nkusnetsov Опубликовано 12 ноября, 2017 (изменено) · Жалоба В 08.11.2017 в 11:14, myst сказал: Дешево и сердито однозначно это микротик (951й например, но надо смотреть по BW туннелей до MAIN, он не вывозит более 8 мегабит крипто). Я такую сеть на 2000 бранчей в свое время реализовывал. Про 8 Мбит это Вы сильно преуменьшили. Специально для теста поднял IPSec-туннель с 951 до более мощной головной железки, чтобы упереться в производительность именно 951. Шифрование - AES. На отправку в TCP получил 14-17Мбит/с. На получение в UDP получилось 27-29Мбит/с. см. скрины. r1sh используйте MikroTik. Работает нормально. В центр, головное устройство надо помощнее, чтобы все туннели держало.RB951Ui-2HnD пригоден с одним ограничением - у него слабое питание USB. Для работы с USB-модемами лучше поглядеть другой вариант тоже из линейки MikroTik. Там, где WiFi не нужен - однозначно rb750Gr3. Изменено 12 ноября, 2017 пользователем nkusnetsov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EShirokiy Опубликовано 12 ноября, 2017 · Жалоба Я предложил свой вариант, я бы делал на микротиках. Если есть вариант от циско, то можно и его рассмотреть. Не мне деньги тратить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 13 ноября, 2017 · Жалоба В 11/11/2017 в 05:42, NiTr0 сказал: микротик с ipsec нежизнеспособен. Да что вы такое говорите... Мои 2000 филиалов на прошлой работе и не знаю об этом =) В 11/12/2017 в 15:09, nkusnetsov сказал: Про 8 Мбит это Вы сильно преуменьшили. Специально для теста поднял IPSec-туннель с 951 до более мощной головной железки, чтобы упереться в производительность именно 951. Шифрование - AES. На отправку в TCP получил 14-17Мбит/с. На получение в UDP получилось 27-29Мбит/с. см. скрины. r1sh используйте MikroTik. Работает нормально. В центр, головное устройство надо помощнее, чтобы все туннели держало.RB951Ui-2HnD пригоден с одним ограничением - у него слабое питание USB. Для работы с USB-модемами лучше поглядеть другой вариант тоже из линейки MikroTik. Там, где WiFi не нужен - однозначно rb750Gr3. Я то же самое тести на 751х aes256/3des выше 8ми не поднималось. IPSEC в транспортном и поверх GRE туннель. UPD: А ну да, увидел... вы Direction "Both" поставьте ага? =) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Urs_ak Опубликовано 13 ноября, 2017 · Жалоба А сколько, кстати, в реальности даёт заявленное "аппаратное шифрование" в RB750Gr3 ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nkusnetsov Опубликовано 13 ноября, 2017 (изменено) · Жалоба 1 час назад, myst сказал: Я то же самое тести на 751х aes256/3des выше 8ми не поднималось. IPSEC в транспортном и поверх GRE туннель. UPD: А ну да, увидел... вы Direction "Both" поставьте ага? =) Вы ждёте симметричный трафик между "удаленным офисом на 5 человек" и "головой", где стоИт CISCO ? Это вряд ли. При both более чем вдвое просела отдача. Приём остался на уровне 20Mbit/s, что логично - расшифровка менее ресурсоёмкий процесс, а на отправку ресурсов не хватает. Шустрая "голова" задавила более слабый CPU трафиком. Скринов не наделал, ибо сейчас удаленно через матрешку из RDP тестил. Изменено 13 ноября, 2017 пользователем nkusnetsov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 14 ноября, 2017 · Жалоба В 12.11.2017 в 06:05, NiTr0 сказал: и 5 мбит ipsec - для офиса достаточно. К великому сожалению, сейчас 5 и даже 20 мбит по ipsec недостаточно. На личном опыте это познали три или четыре года назад. Потому 750-е некротики идут лесом. А кто предлагает на них поднимать ipsec те злобные саботажники. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EShirokiy Опубликовано 14 ноября, 2017 · Жалоба taf_321 750gr3 с аппаратным шифрованием обеспечит мегабит 100 по впн, в неких тестах вообще 200 мегабит дуплекса. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 14 ноября, 2017 · Жалоба 3 часа назад, EShirokiy сказал: 750gr3 с аппаратным шифрованием обеспечит мегабит 100 по впн, в неких тестах вообще 200 мегабит дуплекса. Ну как дойдут так проверим. В прежнюю их инкарнацию мы выглядели весьма бледно, когда у клиента поменялась парадигма, и он начал по туннелю гонять файлы баз 1С, а потом еще и потоки с видеокамер. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 14 ноября, 2017 · Жалоба 42 минуты назад, taf_321 сказал: у клиента поменялась парадигма, и он начал по туннелю гонять файлы баз 1С, а потом еще и потоки с видеокамер. У клиента под наблюдением склад оружия, камера пыток, нарколаборатория и ангар с летающей тарелкой и пришельцами? Что помешало пустить видео через нешифрованный туннель? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 20 ноября, 2017 · Жалоба В 13.11.2017 в 17:56, nkusnetsov сказал: Вы ждёте симметричный трафик между "удаленным офисом на 5 человек" и "головой", где стоИт CISCO ? Это вряд ли. При both более чем вдвое просела отдача. Приём остался на уровне 20Mbit/s, что логично - расшифровка менее ресурсоёмкий процесс, а на отправку ресурсов не хватает. Шустрая "голова" задавила более слабый CPU трафиком. Скринов не наделал, ибо сейчас удаленно через матрешку из RDP тестил. скажем так: я не жду одностороннего трафика. по этому тест в одну сторону смысла не имеет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
r1sh Опубликовано 20 ноября, 2017 (изменено) · Жалоба Всех благодарю за столько увлеченные ответы)) Судя по системе мониторинга трафик по Ipsec туннелю пиковый трафик 7мб\с средний 1-3мб\с в офисе 40 человек https://yadi.sk/i/dMUqzGr83Pr3Nk Cisco уже не бюджетный вариант. Cisco asa 5506 мы ставим, как я писал, в офисы от 15 человек, для всех остальных нужна максимально гибкая железка которая может и по 4G работать и по меди и Ipsec делать. Желательно чтобы она еще раздавала Wi-Fi но это пожелания. Я для себя набросал сравнение моделей, пришёл к выбору из трёх: 1. RB750Gr3 + Unifi AC Lite. Общая цена 10тыс рублей, плюс - ipsec, как вы пишите, аппаратный, порты 1гб\с, wi-fi 802.11ac 2. RB962UiGS-5HacT2HnT. Цена 7500р. Из плюсов гигабитные порты, wi-fi 802.11ac 3. Mikrotik RB951G-2HnD. Цена 5000р. Дешево и сердито. Всё что нужно есть, wi-fi 802.11n. Минус первого варианта в том, что в случае работы через 4G, из моего опыта, могут происходить отвалы ipsec туннелей и могут быть проблемы с доступностью AP Unifi с контроллера в ЦОДе. Изменено 20 ноября, 2017 пользователем r1sh Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 20 ноября, 2017 · Жалоба 16 минут назад, r1sh сказал: Из плюсов гигабитные порты, wi-fi 802.11ac и CPU мощней 951-го минимум процентов на двадцать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
r1sh Опубликовано 20 ноября, 2017 · Жалоба 31 минуту назад, DRiVen сказал: CPU мощней 951-го минимум процентов на двадцать. Хорошо, если третий вариант отбросить, то в чем будут отличия на практике между 1 и 2 вариантами? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 20 ноября, 2017 · Жалоба Так все вроде расписано, в первом варианте - минус порт (под АР), WiFi потенциально слабей (2х2:2 вместо 3х3:3), нет SFP-порта, дороже. Плюс - заметно мощнее CPU роутера, если в ближайшее время планируется значительное расширение каналов на удаленках - однозначно ваш вариант. В противном случае, имхо, второй предпочтительней. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 21 ноября, 2017 · Жалоба 13 часов назад, _DUDUDSKA_ сказал: В принципе, можно подобрать хороший роутер с большой дальностью сигнала по нормальной цене (дешевле, чем Cisco). Возможно, вам подойдет Ubiquiti, они нечто среднее между Cisco и d-link. Цена этих роутеров приемлемая и дальность сигнала очень хорошая. Именно это - решение вашего вопроса, имхо. О них можно узнать больше на многих сайтах, в том числе и на симплтехе. 1) Казалось бы, причем тут роутер и дальность сигнала 2) Очень смешно звучит " нечто среднее между Cisco и d-link" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 22 ноября, 2017 · Жалоба В 20.11.2017 в 09:15, r1sh сказал: Cisco уже не бюджетный вариант. http://discom.su/shop/catalog/marshrutizatory_1/marshrutizator-cisco-rv130w-e-k9-g5-rv130w-e-k9-g5-rv130-multifunction-wireless-n-vpn-router/ к примеру - вполне в ваш бюджет укладывается. единственный минус - EOS уже, дораспродаются складские запасы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vvertexx Опубликовано 22 ноября, 2017 · Жалоба NiTr0 Оно же без DMVPN? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
r1sh Опубликовано 22 ноября, 2017 · Жалоба 9 часов назад, NiTr0 сказал: http://discom.su/shop/catalog/marshrutizatory_1/marshrutizator-cisco-rv130w-e-k9-g5-rv130w-e-k9-g5-rv130-multifunction-wireless-n-vpn-router/ к примеру - вполне в ваш бюджет укладывается. единственный минус - EOS уже, дораспродаются складские запасы. да, EOS не подходит + нам нужен USB разьём и поддержка 4g модемов МТС и Мегафон. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 23 ноября, 2017 · Жалоба В 22.11.2017 в 12:19, vvertexx сказал: Оно же без DMVPN? как и микротик В 22.11.2017 в 12:30, r1sh сказал: + нам нужен USB разьём и поддержка 4g модемов МТС и Мегафон. он там есть Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 24 ноября, 2017 · Жалоба В 22.11.2017 в 20:19, vvertexx сказал: Оно же без DMVPN? Я нежно люблю циску но vendor lock технологии должны умереть в муках. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...