[Yeehoo]

Коллеги, приветствую!

Помогите выбрать между CCR1009-7G-1C-PC и RB1100AHx2, ну или посоветуйте свой вариант.

ТЗ: Со стороны филиалов(5 шт по 5-10 юзеров) стоят тики RB2011. В головном офисе 100 мб, планирую поделить их по 20 между филиалами(10 минимум) под VPN и подключить доп линк на 50 под интернет, почту и всякое баловство(если не хватит по 10 на филиал). Надобно соединить все по l2tp/IPsec. Пробовал в головном ставить 2011, он задыхвается под AES 256, мне уже говорили что 128 вполне а если для галочки, то вообще 3des. Но надо так. Интересует максимально соотношение цена-качество с учетом, возможно, открытия еще пары филиалов по 5-10 щей.

Трафик по VPN будет файл-шара, 1-с и почтарь, пока все.

И еще задам сюда-же. Если подниму АД и мигрирую ДНС с ДХЦП на него, чего ожидать? Где-то в сети видел что инфу что в таком случае надо не l2tp\IPsec... но где, нагуглить не могу.

 

Заранее благодарю!

Edited February 9, 2017 by Yeehoo

[NiTr0]

l2tp+ipsec вроде как на микротыках нежизнеспособно в принципе. а так - вроде как у 1100 есть аппаратный aes, а у 1009 - нет.

 

смотрите бенчи, берите на пробу и оговаривайте возврат взад, раз уж завязались с тиками. хотя на 100 мбит 1100 скорее всего хватит.

[DRiVen]

или посоветуйте свой вариант.

RB750Gr3

у 1009 - нет

Есть, но не уверен что он необходим на 100мбит трафика.

[NiTr0]

Есть, но не уверен что он необходим на 100мбит трафика.

хм, таки да, что-то мне казалось что криптодвижка у тайлер нет...

[nkusnetsov]

Yeehoo, в головной ставить CCR1009. В филиалы RB750Gr3 (Именно новые hEX gen3 имеют аппаратное ускорение aes-256).

Файл-шара и 1с в файловом варианте завалят канал. 1C надо или 8.3 "управляемые формы", или в RDP гонять.

1С в файловом варианте 100Мбит LAN забивает.

Edited February 11, 2017 by nkusnetsov

[Yeehoo]

в головной ставить CCR1009. В филиалы RB750Gr3 (Именно новые hEX gen3 имеют аппаратное ускорение aes-256).

Файл-шара и 1с в файловом варианте завалят канал. 1C надо или 8.3 "управляемые формы", или в RDP гонять.

1С в файловом варианте 100Мбит LAN забивает.

В филиалах стоят 2011 и проц местных микротиков не нагружает даже по 256, а вот головной в запаре. За ccr1009 спасибо, думал в его сторону. 1-с у нас как раз управляемые формы и на скуле.

Спасибо за развернутый ответ!

[dIMbI4]

Купили бы джуниперов или цисок и бед бы не знали))

[vlad11]

Купили бы джуниперов или цисок и бед бы не знали))

Тссс. ТС надо вначале сжечь пачку зелени, потом он будет думать лучше :)

[DRiVen]

Купили бы джуниперов или цисок и бед бы не знали))

ТС надо вначале сжечь пачку зелени, потом он будет думать лучше :)

Вас, господа, снобизм не замучал? ТС не ISP и не мегаынтерпрайз, "сотка" в ЦО с несколькими выносами - все это настолько незатейливо, что спокойно жуется непафосным тиком и стоИт как табурет, за как минимум в несколько раз меньшую стоимость. Имеется косой десяток подобных проектов, не доставляющих никаких хлопот.

[dIMbI4]

Мегаынтерпрайз уже на другом железе живет. А админы должны спокойно уходить в отпуск. Жун стоит 20к на филиал и 80к на голову. Всего в 2 раза дороже некротика. А если залезть на барахолку, то и вообще дешевле будет.

[DRiVen]

20к на филиал и 80к на голову

Что за модельки по 20к не с барахолки?

[vvertexx]

DRiVen

srx100 ~20-30к (srx100B GPL был около 450$, кажись)

на барахолке за копейки можно найти

[vlad11]

Вас, господа, снобизм не замучал? ТС не ISP и не мегаынтерпрайз, "сотка" в ЦО с несколькими выносами - все это настолько незатейливо, что спокойно жуется непафосным тиком и стоИт как табурет, за как минимум в несколько раз меньшую стоимость. Имеется косой десяток подобных проектов, не доставляющих никаких хлопот.

 

Есть пару прекрасных книг:

Алан Купер «Психбольница в руках пациентов».
Джон Оллспоу «Искусство планирования мощностей»
Томас Лимончелли «Системное и сетевое администрирование. Практическое руководство»

Посыл:

Не всегда думайте о низкой цене на оборудование, думайте о траблшуттинге и резервах!

[Saab95]

Мегаынтерпрайз уже на другом железе живет. А админы должны спокойно уходить в отпуск. Жун стоит 20к на филиал и 80к на голову. Всего в 2 раза дороже некротика. А если залезть на барахолку, то и вообще дешевле будет.

 

Если не делать всякой фигни в виде шифрования, то CCR1009 тянет 100 офисов без проблем, при этом отказов не бывает. Если в центре поставить 2 микротика, подключить к разным провайдерам, то все офисы получают и резервирование. Аналогично можно и в офисах ставить по 2 микротика.

 

Самое главное, это не забивать каналы в полку, что бы служебные данные не терялись, либо устанавливать шейпера на транзитный трафик.

[NiTr0]

Если не делать всякой фигни в виде шифрования

если не ставить всякую фигню в виде микротика....

[vvertexx]

Saab95

а на одном нельзя два провайдера? на джуне даже на srx100 можно, ospf и балансировку/резервирование, хоть в 4 туннеля (полное перекрестное соединение)

[Saab95]

а на одном нельзя два провайдера? на джуне даже на srx100 можно, ospf и балансировку/резервирование, хоть в 4 туннеля (полное перекрестное соединение)

 

На микротике можно хоть в 100 туннелей.

 

С двумя устройствами все просто. В центре есть 2 подключения - устанавливаете 2 микротика, каждый подключен к своему каналу, у каждого свой IP адрес. Удаленные устройства устанавливают 2 туннеля, на каждый IP центральных устройств. При этом не требуется ничего настраивать, типа всяких там балансировок и прочего, ведь если на одном микротике воткнуть 2 провайдера, то шлюз по умолчанию будет только один, и что бы пускать запросы по своим каналам нужно маркировать соединения, что не удобно.

 

В удаленных офисах, при наличии двух провайдеров, можно просто создавать маршрут на один из IP центра по второму провайдеру, что так же не потребует маркировок. Но для удобства просто устанавливают второй микротик, который поднимает 2 туннеля. Если фирма серьезная, то нет разницы в том, поставить в офисе второй микротик за 5000р. или не поставить=)

[dIMbI4]

Да лаааадно)

[vvertexx]

Всякий раз, когда я вижу совет купить ещё несколько микротиков - представляю фото еврея-продавца, потирающего руки.

[DRiVen]

Посыл:

Не всегда думайте о низкой цене на оборудование, думайте о траблшуттинге и резервах!

Ну точно, снобизм одолевает... Траблшутинг, резервы... "Какие ноги? Какие руки? У меня нет ни рук ни ног!"(с)Удав,"38 попугаев". Вы про какой траблшуттинг говорите на звезде из 5-7 офисов? А думать об обоснованности цены для конкретного применения нужно прежде всего. Что-то ни один из крупных ISP на сети доступа и агрегации ни кошки ни джуны ставить не разбежался, подсказать почему? Если предприятие зарабатывает до***арды на каком-нибудь на не к ночи упомянутом в соседнем топике HFT - да не вопрос, хоть из платины с брыльянтями. Но, судя по ТЗ, это обычное МП и простые удаленные офисы с булгахтерами, на дворе экономический кризис и за предложение потратить дохренаденег как бы ТС-у с работы не вылететь. Упоминаемые присно кошки с ждуниперами они, полагаю, купить таки в состоянии, но оправданно этого не делают, ибо никогда не окупится, а работать на дядю-производителя супер-пупер девайсов не хочется. И резервы тут организовать не проблема, уж про стоимость молчу, в зубах навязло.

[dIMbI4]

ошибаетесь, ставят и кошки и джуны и хуавеи и тп... понимание что нужно сатвить нормальное железо и делать резервы прихоит после факапа на удаленном офисе с потерей прибыли х1000+ стоимостей роутера))

[NiTr0]

и за предложение потратить дохренаденег как бы ТС-у с работы не вылететь

SRX100 б/у на ибэе можно найти за 50 баксов вообще-то...

[DRiVen]

ошибаетесь, ставят и кошки и джуны и хуавеи и тп... понимание что нужно ставить нормальное железо и делать резервы приходит после факапа на удаленном офисе с потерей прибыли х1000+ стоимостей роутера))

Да вроде про прибыль все написал, опять "за рыбу гроши". Откуда там х1000+ потери возьмутся при email+1c+share не понятно (если так и есть - да не вопрос, только как тогда там 2011-е оказались?), а пресловутый аппаратный резерв на МТ сделать однозначно дешевле.

SRX100 б/у на ибэе можно найти за 50 баксов вообще-то...

Не искал, но беру на веру что можно. Только ведь "и на старуху бывает проруха", не говоря уже о б/у, а то, что МТ вполне себе качественное аппаратно (по крайней мере в части SOHO-рутеров) есть личное подтверждение, тоже упоминал выше по топику. Я совсем не в восторге от микротика, но оправданность затрат на именитых вендоров есть далеко не всегда.

[NiTr0]

Только ведь "и на старуху бывает проруха", не говоря уже о б/у, а то, что МТ вполне себе качественное аппаратно (по крайней мере в части SOHO-рутеров) есть личное подтверждение

1) у микротика всё - сохо

2) "качественный аппаратно" по части сохо где-то как тплинк - конденсаторы нонейм гуано которое пухнет за 2-3 года.

[Saab95]

Организации вряд ли будут что-то покупать не ибэе б/у, потому что такие покупки не гарантируют долгой работы оборудование, и в затраты записать сложнее. Микротик легко с указанными задачами справиться, а те, кто пишут обратное, просто с ним не работают, и предпочитают ставить везде циски и перешитые длинки, что бы никто кроме них не смог разобраться в работе оборудования.