Jump to content
Калькуляторы

Выбор борудования VPN / VoIP

Добрый день,

помогите с выбором оборудования в следующей конфигурации.

 

1. Имеется головной офис и 6 филиалов вразных городах, в каждом от 3 до 7 компьютеров.

2. Головной офис имеет подключение со скоростью 100Мбит синхрон *(постоянный ИП), филиалы от 16/4 до 50/10 (динамический ИП)

3. Телефонная станция(OpenScape Bussines X3R) в головном офисе, в филиалах VoIP от провайдеров с 3-6 номерами.

 

Хотелка шефа:

 

1. Подключить все филиалы через VPN к головному офису (AD + RDS)

2. Подключить все телефоны через станцию в головном офисе (SIP телефоны скорей всего будут OpenStage )

 

Мои предположения

 

1. Головной офис ставим CCR1009-8G-1S-1S+ для OpenVPN сервера

2. в филиалах RB2011UiAS-2HnD-IN

 

Вопросы:

 

1. Правильный ли выбор оборудования?

2. и типа VPN?

3. Вопрос по телефонии. Стоит ли подключать к станции каждый SIP-Trunk с филиала? Может быть проще взять отдельный транк с SIPconnect1.1 с 20-30 каналами? В таком транке же могут быть номера с разных городов?

4. Потянет ли 100Мбитный канал это все? Математически вроде должен, но может опыт говорит об обратном?

5. Как выставить приоритет телефоных каналов и/или задать для них минимальную ширину канала?

Edited by Kamik

Share this post


Link to post
Share on other sites

Добрый день,

помогите с выбором оборудования в следующей конфигурации.

 

1. Имеется головной офис и 6 филиалов вразных городах, в каждом от 3 до 7 компьютеров.

2. Головной офис имеет подключение со скоростью 100Мбит синхрон *(постоянный ИП), филиалы от 16/4 до 50/10 (динамический ИП)

3. Телефонная станция(OpenScape Bussines X3R) в головном офисе, в филиалах VoIP от провайдеров с 3-6 номерами.

 

Хотелка шефа:

 

1. Подключить все филиалы через VPN к головному офису (AD + RDS)

2. Подключить все телефоны через станцию в головном офисе (SIP телефоны скорей всего будут OpenStage )

 

Мои предположения

 

1. Головной офис ставим CCR1009-8G-1S-1S+ для OpenVPN сервера

2. в филиалах RB2011UiAS-2HnD-IN

 

Вопросы:

 

1. Правильный ли выбор оборудования?

2. и типа VPN?

3. Вопрос по телефонии. Стоит ли подключать к станции каждый SIP-Trunk с филиала? Может быть проще взять отдельный транк с SIPconnect1.1 с 20-30 каналами? В таком транке же могут быть номера с разных городов?

4. Потянет ли 100Мбитный канал это все? Математически вроде должен, но может опыт говорит об обратном?

 

1) Центр - модель может быть даже в притык (FW+NAT+QOS+IPSEC_100Mbps+etc). Я бы взял модель постарше. В филиале 2011 50Мб/с в одну сторону не прокачает, умрет. Бери старше.

2) Вместо OpenVPN (от в МТ ущербный) я бы использовал L2TP/IPSEC + OSPF внутри.

3) пасс

4) QOS сделай чтобы не бодались в туннеле и потянет.

Share this post


Link to post
Share on other sites

3. Вопрос по телефонии. Стоит ли подключать к станции каждый SIP-Trunk с филиала? Может быть проще взять отдельный транк с SIPconnect1.1 с 20-30 каналами? В таком транке же могут быть номера с разных городов?

 

1. Что значит "...взять отдельный транк с SIPconnect1.1..." ? Кто такой SIPconnect1.1?

2. "... в филиалах VoIP от провайдеров с 3-6 номерами.... " какое оборудование в филиалах? Есть какая то АТС (софтсвитч)или VoIP (SIP trunk/line) сразу в IP телефоны?

Share this post


Link to post
Share on other sites

 

1. Что значит "...взять отдельный транк с SIPconnect1.1..." ? Кто такой SIPconnect1.1?

 

Протокол http://www.sipforum.org/sipconnect

 

2. "... в филиалах VoIP от провайдеров с 3-6 номерами.... " какое оборудование в филиалах? Есть какая то АТС (софтсвитч)или VoIP (SIP trunk/line) сразу в IP телефоны?

АТС только в одном филиале стоит там 2 отдельных транка с 3 и 4-мя номерами стоит. Предполагается ее убрать. Остальные филиалы/телефоны подключены через VoIP рутер.

 

 

еще возник вопрос с беспроводными телефонами. только WiFi получается? или существуют что-то типа DECT станции с SIP подключением? :)

Edited by Kamik

Share this post


Link to post
Share on other sites

 

Просмотр сообщенияOcean07 (Вчера, 16:15) писал:

2. "... в филиалах VoIP от провайдеров с 3-6 номерами.... " какое оборудование в филиалах? Есть какая то АТС (софтсвитч)или VoIP (SIP trunk/line) сразу в IP телефоны?

АТС только в одном филиале стоит там 2 отдельных транка с 3 и 4-мя номерами стоит. Предполагается ее убрать. Остальные филиалы/телефоны подключены через VoIP рутер.

 

 

Я не работал с вашей АТС, по этому абстрагируемся от конкретной модели оборудования, а будем отталкиваться от принципов работа VoIP протокола SIP.

 

Вы можете используя SIP trunk, зарегистрироваться у множества провайдеров, получать у них номерную емкость и с помощью вашей АТС маршрутизировать как входящую, так и исходящую связь по необходимым вам критериям.

 

SIP абонентов из филиалов можно зарегистрировать на вашей АТС в головном офисе.

 

Минусы:

 

1. Упадут каналы между филиалом и главным офисом - не будет телефонной связи (т.е. появляться единая точка отказа, нужно думать о резервировании).

Как вариант, если телефон поддерживает вторую регистрацию, в случае недоступности основного SIP сервера (вашей АТС в главном офисе), он сможет самостоятельно зарегистрироваться у SIP провайдера.

 

2. Медиа трафик (голос) скорей всего будет ходить ВСЕГДА через АТС головного офиса. Тут конечно нужно смотреть как всё это настроено на АТС, может получится терминировать его и локально.

Но тут есть и плюсы. Если стоит задача писать все соединения, то это будет легко, т.к. весь голосовой трафик проходит через одну точку.

 

 

 

еще возник вопрос с беспроводными телефонами. только WiFi получается? или существуют что-то типа DECT станции с SIP подключением? :)

 

Если в первую очередь важно качество связи, хендовер и время работы трубку от аккумулятора, то конечно нужно использовать SIP-DECT.

Есть несколько производителей:

Mitel SIP-DECT (ранее известный как Aastra SIP-DECT, а ещё ранее DeTeWe) SIP-DECT.

И DECT фирмы Kirk

Может кто-то ещё...

 

 

По Mitel я немного описывал тут: http://www.tr-com.ru/products/aastra/sip-dect.html

Сейчас вышла новая версия ПО и есть изменения, но не принципиальные.

 

SIP-DECT будет дороже чем Wi-Fi но качественней.

 

P.S. Родные трубки для SIP-DECT весьма дорогие (это у всех производителей). Но часто можно использовать трубки третьих производителей (у Mitel), даже бытовые трубки за 40$. Но их предварительно нужно тестировать. Часть функционала может конечно не работать. Например русские имена, датчики падения и оповещение о разных событиях, программируемые меню, СМС, XML и т.д. и т.п. Но часто это и не нужно. В большинстве случаев достаточно просто голосовой связи.)

Edited by Ocean07

Share this post


Link to post
Share on other sites

Используем SIP DECT Panasonic KX-TGP500.

В комплекте база и трубка, можно прицепить ещё пять трубок - т.е. всего до шести трубок. Одновременно на базе могут говорить трое.

Трубки годятся любых моделей и производителей, лишь бы умели DECT GAP стандарт.

Share this post


Link to post
Share on other sites

Если достаточно одной базы для покрытия DECT'ом, то решений много у разных производителей (тот же Siemens сейчас Gigaset), а вот если нужно создать большую DECT сеть для большой территории с множеством RFP (дект баз) то решений не так много и они не дешёвые.

 

P.S. Мне кажется, данная тема уже выходит за рамки тем, обсуждаемых в этой ветке форума.

Нужно сюда http://forum.nag.ru/forum/index.php?showforum=20

Edited by Ocean07

Share this post


Link to post
Share on other sites

Хм. у меня только 3 сообщения в сутки разрешено.

В филиале 2011 50Мб/с в одну сторону не прокачает, умрет. Бери старше.

3011? Но модели с беспроводной так и не выпустили до сих пор (думается мне, что не появится). Модели еще старше дороговато как-то :) Может, другого производителя взять?

 

Центр - модель может быть даже в притык (FW+NAT+QOS+IPSEC_100Mbps+etc). Я бы взял модель постарше.

CCR1016-12G вроде подойдет?

 

P.S. Мне кажется, данная тема уже выходит за рамки тем, обсуждаемых в этой ветке форума.

Нужно сюда http://forum.nag.ru/forum/index.php?showforum=20

Вы правы. Просьба модераторам перенести тему.

 

По DECT понял. Спасибо.

Edited by Kamik

Share this post


Link to post
Share on other sites

Но модели с беспроводной так и не выпустили до сих пор (думается мне, что не появится)

Логично. Зачем роутеру, который стоит в серверной в стойке нужен Wifi ?

Share this post


Link to post
Share on other sites

Но модели с беспроводной так и не выпустили до сих пор (думается мне, что не появится)

Логично. Зачем роутеру, который стоит в серверной в стойке нужен Wifi ?

в филиалах нету стоек, в том-то и дело что там желательна десктоп-версия.

Share this post


Link to post
Share on other sites

RB3011UiAS-RM можно ставить на столе. Не прикручивай уголки для крепления в стойке и став куда угодно.

В комплекте есть резиновые ножки.

Но если нужен Wifi , то можно поставить точку типа RBwAP2nD или RBwAPG-5HacT2HnD.

Edited by mafijs

Share this post


Link to post
Share on other sites

1) Центр - модель может быть даже в притык (FW+NAT+QOS+IPSEC_100Mbps+etc). Я бы взял модель постарше. В филиале 2011 50Мб/с в одну сторону не прокачает, умрет. Бери старше.

2) Вместо OpenVPN (от в МТ ущербный) я бы использовал L2TP/IPSEC + OSPF внутри.

3) пасс

4) QOS сделай чтобы не бодались в туннеле и потянет.

 

Ну да надо сначала закатить IPSEC а потом жаловаться что производительности не хватает - обычного L2TP без шифрования хватит для пропуска 100/100 мегабит трафика, НАТ же будет в центре делаться, а не в офисе, поэтому нагрузка на роутер будет только маршрутизация и все. Телефонию тоже можно гонять через центр, проблем с ней не будет.

 

QOS не поможет, т.к. придется урезать скорость каналов процентов на 10-15, иначе при большом наплыве трафика OSPF начнет связи терять.

Share this post


Link to post
Share on other sites

QOS не поможет, т.к. придется урезать скорость каналов процентов на 10-15, иначе при большом наплыве трафика OSPF начнет связи терять.

Какие есть альтернативы?

Share this post


Link to post
Share on other sites

QOS не поможет, т.к. придется урезать скорость каналов процентов на 10-15, иначе при большом наплыве трафика OSPF начнет связи терять.

Какие есть альтернативы?

 

Никаких, сколько не делали каналы в разные там офисы и филиалы, никогда проблем не возникало, т.к. если сотрудникам обрезать скорость интернета, и скорость доступа к внутрисетевым ресурсам, то они канал на всю не загружают, хотя даже если и загружают, то с телефонией не всегда возникают проблемы, при чем сотрудники уже все осведомлены, если телефония квакает, нужно посмотреть не качает ли кто и т.п.

Share this post


Link to post
Share on other sites

Итак, варианты железа в филиалах выглядит так:

 

1. RB2011UiAS-2HnD-IN + xDSL-модемы (Недостатки: может работать на пределе + собственные глюки модемов. Преимущества: все в одном)

2. RB3011UiAS-RM + RBwAP2nD/RBwAPG-5HacT2HnD + xDSL-модемы (Недостатки: собственные глюки модемов)

3. APU2C4 + Wi-Fi witch OPNsense/Pfsense + свитч + xDSL-модемы (Недостатки: собственные глюки модемов/свитчей. производительность непонятна.)

4. Сisco 886vaw + свитч (производительность непонятна (performance with services for Cisco 880 Series ISRs is 8 Mbps). Недостатки: собственные глюки свитчей. Преимущества: все в одном. )

 

Не могу определиться :)

Хочется, конечно, бюджетно, но с другой стороны стабильность имеет более высокий приоритет (до определенной планки, конечно)

у же RDP есть свое шифрование, так что шифрование VPN, думается, будет излишним?

Edited by Kamik

Share this post


Link to post
Share on other sites

 

у же RDP есть свое шифрование, так что шифрование VPN, думается, будет излишним?

 

Я бы закладывал оборудование с поддержкой шифрования, т.к. сейчас вам не нужно шифровать трафик, а завтра понадобится. Опять пойдете деньги выбивать на новое оборудование?

Да и не шифровать VPN как то не очень... не известно какие ПД или конфиденциальные данные там будут ходить завтра.

Share this post


Link to post
Share on other sites

Личное мнение - 2. RB3011UiAS-RM + RBwAP2nD/RBwAPG-5HacT2HnD

ARM CPU, довольно мощный.

Роутер поставил на полке, в тумбочке - куда угодно и удобно. Точку wifi повесил на потолке. Нечего незагараживает покритие.

Я бы так зделал. Вам виднее что и как на местах. Выбор за вами.

Share this post


Link to post
Share on other sites

Ocean07

Согласен, что запас нужен. Какая конфигурация вам больше нравится? :)

 

Нужно изучать вопрос (какая производительность к каждого устройства в разных режимах работы). У меня на это время сейчас нет, по этому выбор за вами.

 

p.S. Мне кажется решение на базе OPNsense/Pfsense, это не то решение, которое "поставил и забыл".

Хотя могу и ошибаться...

Edited by Ocean07

Share this post


Link to post
Share on other sites

Я бы закладывал оборудование с поддержкой шифрования, т.к. сейчас вам не нужно шифровать трафик, а завтра понадобится. Опять пойдете деньги выбивать на новое оборудование?

Да и не шифровать VPN как то не очень... не известно какие ПД или конфиденциальные данные там будут ходить завтра.

 

Не нужно шифрование, если брать линейку микротик, то что бы с ним работать нужен либо CCR, либо поддержка аппаратного шифрования у некоторых роутеров. Все программы и приложения, передающие конфиденциальные данные, сами их шифруют.

Share this post


Link to post
Share on other sites

...Все программы и приложения, передающие конфиденциальные данные, сами их шифруют.

 

Конфиденциальные данные могут передаваться как угодно, хоть по ftp. Мы не знаем как организованы бизнес процессы в компании.

Edited by Ocean07

Share this post


Link to post
Share on other sites

Saab95, к сожалению, есть требования к организациям сетей передачи данных где обрабатываются ПДН, и передаче ПДН через Инернет. Там не ограничиваются шифрованием на уровне приложений. Они содержат указания на сертифицированные средства (маршрутизаторы и межсетевые экраны) использующие при передаче данных по сети алгоритмоы шифрования по ГОСТ. Увы.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.