Jump to content

Аппаратный VPN

Rewop
 Share

Recommended Posts

Rewop

Rewop

Posted
Posted

Посоветуйте железку для организации аппаратного доступа по VPN. На 500-1000 линий, поддержкой внешнего RADIUS сервера (аутентификация и выдача IP), быстрый (до 100 мбит на клиента... 10 тоже рассматриваются).

к WAN требований никаких

FriedricH

FriedricH

Posted
Posted

Хо! А вы представляете себе - что это такое - шифрация 100 мбитного потока? Даже на стороне клиента это будет отжирать, если не ошибаюсь, не менее 10% хорошего пня. Вкупе с дешевой сетевой мы будем нагружать проц неслабо.

 

Со стороны серева... Меня уже тошнит от этого названия, но... Циско. Из больших и тяжелых. Вот, модуль к 6500 - 1.9 Гбпс IPSec, до 8000 сессий. 20000 уев к базовому 30000 коммутатору.

 

Недорогие Д-Линки - не более 100 Мбпс. Имхо, дешевле работать с ВЛанами :)

FriedricH

FriedricH

Posted
Posted

Это домашняя сеть... И они хотят избежать кражи трафика. Гораздо более удобное для абонента решение - ВЛАНы... Идеальное, имхо, 802.1х. Тут, судя по всему, интересная схемка намечается...

 

Какой-нибудь Д-Линк 2108 (для нелюбителей - Асотел и Зиксель) - оконечный

Какой-нибудь Д-Линк 3526 (хороший свитч, не надо) - чуть выше.

 

На каждом порту 3526го можно авторизовать до 16 маков по 802.1х, причем с полноценным Радиусом. В случае привязки к биллингу это означает автоотключение сети при неуплате. Если это так и работает, то так и будем делать.

GreeNGO

GreeNGO

Posted
Posted

Если нужно шифрование- рекомендую Nortel Contivity.

Одна из лучших железок в мире для шифрованного доступа по VPN, + навороченный файрволл. За те же 7-20тыс. у.е просто задавит по производительнсти практически любую Циску. близкого ценового диапазона.

Если просто аппаратный доступ клиентов к узлу по VPN - неплохая железка попалась недавно у ZyXELL.. цену не узнал, но именуется гордо:

SMG-700 EE Контроллер сети широкополосного доступа (BRAS)

Rewop

Rewop

Posted
  • Author
Posted

100мбит надо на всё устройство. pptp vpn, хотя не играет роли... шифрование потока не надо. нужно только протоколы проверки пароля. Удалённый радиус достаёт из базы данных пароли и адреса клиентов, которые присваивает железка.

vlan использовать не хотим

GreeNGO

GreeNGO

Posted
Posted

Ага.. за то софт такой, что циска курит бамбук в стороне не по дестки :)

Кстати -Циско тоже обычно PCздюк.. только процессор послабже Motorolla, и вместо HDD - флэшка... назовите 10 отличий от писюка ?

Давайте будем называть вещи своими именами. А то при слове Циско народу мерешится что то особенное надежное, бронированное и суперовое. Чуть ли не вычислительный комплекс боевого танка Leclerk:)

GreeNGO

GreeNGO

Posted
Posted

Вот мой системный инженер, большой любитель Циско, после знакомства с Контей, что то не хочет на Циско обратно менять :).. странно почему это ?

Guest

Guest

Posted
Posted
Rewop, 7206. Без шифрования - самое оно.

 

Кстати, сотку вытянет и на NPE-400 - т.е. можно б/у и недорого.

 

Ничего не нашёл про поддержку внешнего Radius сервера у них

Nailer

Nailer

Posted
Posted

Гость, где ж вы искали то? :-)

 

У всех иосов есть поддержка внешних аутентификационных серверов, таких как Radius и TACACS. В том числе и у софта 72000-й.

RealTime

RealTime

Posted
Posted

У нас VPN сервер на линуксе, комп P4 2800Мгц 512RAM ...

софт для него немного подправили работает отлично, не вис со дня рождения, тфу тфу тфу ...:))

загрузка с стандартным шифрованием 40 бит на 10Мбит потока 0.5% процессора, с шифрованием 128бит - до 5-8%

а траффик считается на vpn. как только закончиться сумма предоплаты инет отключается автоматом, выдается сообщение на веб типа - заплати и будет тебе инет.

кстати шифрование 128бит мы поставили как платный ресурс :))

roma

roma

Posted
Posted
кстати шифрование 128бит мы поставили как платный ресурс :))

нескромный вопрос - и что востребованно?

Rewop

Rewop

Posted
  • Author
Posted
У нас VPN сервер на линуксе, комп P4 2800Мгц 512RAM ...

софт для него немного подправили работает отлично, не вис со дня рождения, тфу тфу тфу ...:))

загрузка с стандартным шифрованием 40 бит на 10Мбит потока 0.5% процессора, с шифрованием 128бит - до 5-8%

а траффик считается на vpn. как только закончиться сумма предоплаты инет отключается автоматом, выдается сообщение на веб типа - заплати и будет тебе инет.

кстати шифрование 128бит мы поставили как платный ресурс :))

 

Подобная связка и у меня стоит... только на freebsd. Хочется разнести всё аппаратно - vpn, netflow.

Kirya

Kirya

Posted
Posted

Мы тоже думали над этой проблемой, но в итоге посчитав и всё взвесив, получилось следующее, наш Athlon64+ 3500+ +Linux держит ~1000 клиентских vpn без особых напрягов, будет мало-возьмем двухядерный :), а надежность в случае разненесения Vpn и Radius-сервер же уменьшиться, так как при вылете хотя бы одного элемента всё-равно всё упадет.

Rewop

Rewop

Posted
  • Author
Posted
Мы тоже думали над этой проблемой, но в итоге посчитав и всё взвесив, получилось следующее, наш Athlon64+ 3500+ +Linux держит ~1000 клиентских vpn без особых напрягов, будет мало-возьмем двухядерный :), а надежность в случае разненесения Vpn и Radius-сервер же уменьшиться, так как при вылете хотя бы одного элемента всё-равно всё упадет.

 

Сколько у вас абонентов ?

Чем считаете трафик ? (что его накапливаете... биллинг не интересует)

 

NetFlow железки весьма дороги как я понял, что предпринимают люди в наши дни ? использование PC в качестве бриджа для сбора трафика не очень хотелось бы.

Rewop

Rewop

Posted
  • Author
Posted
Rewop, если вам надо траффик считать, то проще забирать у vpn-сервера, он в RADIUS пулять умеет..

 

На сколько я понял он пуляет суммарное количесвто байт входящего и исходящего трафика...

 

Мне надо получать информацию о трафике в виде netflow таблицы...

При этом мне надо считать не только VPN трафик, но и трафик локальных адресов.

В задумках было ставить на некоторое количесво пользователей netflow устройсво и заводить на него vlan от пользователей.

 

Есть варианты лучше ?

Bah

Bah

Posted
Posted

Используем связку:

севрер (P-III) c Linux

PPTP с авторизацией во внешнем радиусе

IPCAD с IP QUEUE (чтобы без потерь) генерирует NetFlow поток на внешний коллектор.

Трафик делится на внутренний, доступ к ресурсам, интернет.

 

одновременно до 300 пользователей бывает

загрузка интерфенйса в пиках - 30Mbps

загрузка System CPU Max: 8.86%

User CPU Max: 4.25%

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.