Перейти к содержимому
Калькуляторы

Выбор маршрутизатора для распределенных офисов

В 08.11.2017 в 11:14, myst сказал:

Дешево и сердито однозначно это микротик (951й например, но надо смотреть по BW туннелей до MAIN, он не вывозит более 8 мегабит крипто). Я такую сеть на 2000 бранчей в свое время реализовывал. 

Про 8 Мбит это Вы сильно преуменьшили. Специально для теста поднял IPSec-туннель с 951 до более мощной головной железки, чтобы упереться в производительность именно 951. Шифрование - AES.
На отправку в TCP получил 14-17Мбит/с. 
На получение в UDP получилось 27-29Мбит/с. 
см. скрины. 

 

IPSEC-951-TCP-send.PNG

IPSEC-951-UDP-receuve.PNG

 

r1sh используйте MikroTik. Работает нормально. В центр, головное устройство надо помощнее, чтобы все туннели держало.
RB951Ui-2HnD пригоден с одним ограничением - у него слабое питание USB. Для работы с USB-модемами лучше поглядеть другой вариант тоже из линейки MikroTik.
Там, где WiFi не нужен - однозначно rb750Gr3.

Изменено пользователем nkusnetsov

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я предложил свой вариант, я бы делал на микротиках. Если есть вариант от циско, то можно и его рассмотреть. Не мне деньги тратить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 11/11/2017 в 05:42, NiTr0 сказал:

микротик с ipsec нежизнеспособен.

Да что вы такое говорите... Мои 2000 филиалов на прошлой работе и не знаю об этом =)

 

 

В 11/12/2017 в 15:09, nkusnetsov сказал:

Про 8 Мбит это Вы сильно преуменьшили. Специально для теста поднял IPSec-туннель с 951 до более мощной головной железки, чтобы упереться в производительность именно 951. Шифрование - AES.
На отправку в TCP получил 14-17Мбит/с. 
На получение в UDP получилось 27-29Мбит/с. 
см. скрины. 

 

IPSEC-951-TCP-send.PNG

IPSEC-951-UDP-receuve.PNG

 

r1sh используйте MikroTik. Работает нормально. В центр, головное устройство надо помощнее, чтобы все туннели держало.
RB951Ui-2HnD пригоден с одним ограничением - у него слабое питание USB. Для работы с USB-модемами лучше поглядеть другой вариант тоже из линейки MikroTik.
Там, где WiFi не нужен - однозначно rb750Gr3.

Я то же самое тести на 751х aes256/3des выше 8ми не поднималось. IPSEC в транспортном и поверх GRE туннель. UPD: А ну да, увидел... вы Direction "Both" поставьте ага? =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А сколько, кстати, в реальности даёт заявленное "аппаратное шифрование" в RB750Gr3 ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, myst сказал:

Я то же самое тести на 751х aes256/3des выше 8ми не поднималось. IPSEC в транспортном и поверх GRE туннель. UPD: А ну да, увидел... вы Direction "Both" поставьте ага? =)

Вы ждёте симметричный трафик между "удаленным офисом на 5 человек" и "головой", где стоИт CISCO ? Это вряд ли.

При both более чем вдвое просела отдача. Приём остался на уровне 20Mbit/s, что логично - расшифровка менее ресурсоёмкий процесс, а на отправку ресурсов не хватает. Шустрая "голова" задавила более слабый CPU трафиком.
Скринов не наделал, ибо сейчас удаленно через матрешку из RDP тестил.

Изменено пользователем nkusnetsov

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 12.11.2017 в 06:05, NiTr0 сказал:

и 5 мбит ipsec - для офиса достаточно.

К великому сожалению, сейчас 5 и даже 20 мбит по ipsec недостаточно. На личном опыте это познали три или четыре года назад. Потому 750-е некротики идут лесом. А кто предлагает на них поднимать ipsec те злобные саботажники.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

taf_321 750gr3 с аппаратным шифрованием обеспечит мегабит 100 по впн, в неких тестах вообще 200 мегабит дуплекса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 часа назад, EShirokiy сказал:

750gr3 с аппаратным шифрованием обеспечит мегабит 100 по впн, в неких тестах вообще 200 мегабит дуплекса.

Ну как дойдут так проверим. В прежнюю их инкарнацию мы выглядели весьма бледно, когда у клиента поменялась парадигма, и он начал по туннелю гонять файлы баз 1С, а потом еще и потоки с видеокамер.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

42 минуты назад, taf_321 сказал:

у клиента поменялась парадигма, и он начал по туннелю гонять файлы баз 1С, а потом еще и потоки с видеокамер.

У клиента под наблюдением склад оружия, камера пыток, нарколаборатория и ангар с летающей тарелкой и пришельцами? Что помешало пустить видео через нешифрованный туннель?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 13.11.2017 в 17:56, nkusnetsov сказал:

Вы ждёте симметричный трафик между "удаленным офисом на 5 человек" и "головой", где стоИт CISCO ? Это вряд ли.

При both более чем вдвое просела отдача. Приём остался на уровне 20Mbit/s, что логично - расшифровка менее ресурсоёмкий процесс, а на отправку ресурсов не хватает. Шустрая "голова" задавила более слабый CPU трафиком.
Скринов не наделал, ибо сейчас удаленно через матрешку из RDP тестил.

скажем так: я не жду одностороннего трафика. по этому тест в одну сторону смысла не имеет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Всех благодарю за столько увлеченные ответы))

 

Судя по системе мониторинга трафик по Ipsec туннелю пиковый трафик 7мб\с средний 1-3мб\с в офисе 40 человек https://yadi.sk/i/dMUqzGr83Pr3Nk

 

Cisco уже не бюджетный вариант. Cisco asa 5506 мы ставим, как я писал, в офисы от 15 человек, для всех остальных нужна максимально гибкая железка которая может и по 4G работать и по меди и Ipsec делать. Желательно чтобы она еще раздавала Wi-Fi но это пожелания.

 

Я для себя набросал сравнение моделей, пришёл к выбору из трёх:

 

1. RB750Gr3 + Unifi AC Lite. Общая цена 10тыс рублей, плюс - ipsec, как вы пишите, аппаратный, порты 1гб\с, wi-fi 802.11ac

2. RB962UiGS-5HacT2HnT. Цена 7500р. Из плюсов гигабитные порты, wi-fi 802.11ac

3. Mikrotik RB951G-2HnD. Цена 5000р. Дешево и сердито. Всё что нужно есть, wi-fi 802.11n.

 

Минус первого варианта в том, что в случае работы через 4G, из моего опыта, могут происходить отвалы ipsec туннелей и могут быть проблемы с доступностью AP Unifi с контроллера в ЦОДе.

 

 

 

Изменено пользователем r1sh

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

16 минут назад, r1sh сказал:

Из плюсов гигабитные порты, wi-fi 802.11ac

и CPU мощней 951-го минимум процентов на двадцать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

31 минуту назад, DRiVen сказал:

CPU мощней 951-го минимум процентов на двадцать.

Хорошо, если третий вариант отбросить, то в чем будут отличия на практике между 1 и  2 вариантами?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так все вроде расписано, в первом варианте - минус порт (под АР), WiFi потенциально слабей (2х2:2 вместо 3х3:3), нет SFP-порта, дороже. Плюс - заметно мощнее CPU роутера, если в ближайшее время планируется значительное расширение каналов на удаленках - однозначно ваш вариант. В противном случае, имхо, второй предпочтительней.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

13 часов назад, _DUDUDSKA_ сказал:

В принципе, можно подобрать хороший роутер с большой дальностью сигнала по нормальной цене (дешевле, чем Cisco). Возможно, вам подойдет Ubiquiti, они нечто среднее между Cisco и d-link. Цена этих роутеров приемлемая и дальность сигнала очень хорошая. Именно это - решение вашего вопроса, имхо. О них можно узнать больше на многих сайтах, в том числе и на симплтехе.

1) Казалось бы, причем тут роутер и дальность сигнала

2) Очень смешно звучит " нечто среднее между Cisco и d-link"

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 20.11.2017 в 09:15, r1sh сказал:

Cisco уже не бюджетный вариант.

http://discom.su/shop/catalog/marshrutizatory_1/marshrutizator-cisco-rv130w-e-k9-g5-rv130w-e-k9-g5-rv130-multifunction-wireless-n-vpn-router/ к примеру - вполне в ваш бюджет укладывается. единственный минус - EOS уже, дораспродаются складские запасы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

9 часов назад, NiTr0 сказал:

http://discom.su/shop/catalog/marshrutizatory_1/marshrutizator-cisco-rv130w-e-k9-g5-rv130w-e-k9-g5-rv130-multifunction-wireless-n-vpn-router/ к примеру - вполне в ваш бюджет укладывается. единственный минус - EOS уже, дораспродаются складские запасы.

да, EOS не подходит + нам нужен USB разьём и поддержка 4g модемов МТС и Мегафон.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 22.11.2017 в 12:19, vvertexx сказал:

Оно же без DMVPN?

как и микротик

 

В 22.11.2017 в 12:30, r1sh сказал:

+ нам нужен USB разьём и поддержка 4g модемов МТС и Мегафон.

он там есть

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 22.11.2017 в 20:19, vvertexx сказал:

Оно же без DMVPN?

Я нежно люблю циску но vendor lock технологии должны умереть в муках.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.