hexes Posted November 16, 2005 Posted November 16, 2005 Здравствуйте господа, стоит задача соединить нескольких удаленных офисов, причём как отдельный и немаловажный критерий выделена безопастность (шифрование трафика). Предложено решение на базе Cisco 1760 (+однопортовые BRI карты) с резервированием каналов по ISDN. Основной для 2х офисов: выбран радиоканал с использованием Libra 5800 CPE; для 3его ADSL. В "Итого" имеем немалую сумму в 300тр.(с коп) Посему вопрос, стоит ли оно того?.. Я первый раз сталкиваюсь с подобным оборудованием и хотел бы разобраться, что к чему. Стоит ли брать циски по 46 и 61 (за ADSL вариант) тр. Настолько ли они надёжны как дороги? Заработает ли эта штука (Libra) в городе мягко говоря "без прямой видимости" (2 конца города). Мои знания и интуиция подсказывают, что возможно сделать сл. Основной канал: ЛВС1 -> дешевый комп с *nix -> ADSL модем -> ГТС -> ADSL модем -> дешевый комп с *nix -> ЛВС(Гл.офис) Резервный: ЛВС1 -> дешевый комп с *nix -> ISDN модем -> ГТС -> ISDN модем -> дешевый комп с *nix -> ЛВС(Гл.офис) и обойдётся всё это мягко говоря дешевле... Теперь ещё такая мысль, если "падает" основной канал, значит либо линия либо у прова "упал", так? Бкдет ли при этом работать ISDN от того же прова?.. Вообщем поделитесь опытом по теме... (если с разделом ошибся простите plz... не хотел.) Вставить ник Quote
Diesel Posted November 17, 2005 Posted November 17, 2005 "дешевый комп с *nix" - это намного менее надежно чем циска. наверно посоветовал бы здесь не искать "свой путь", а придерживаться классики. Время восстановления циски и писюка отличаются намного. Выбор именно модели 1760 пока непонятен, мало вводных данных. Но в принципе мне кажется что можно взять более бюджетное решение, например http://4isp.ru/core.asp?main=catalog&act=p...e&id=1052&cat=2 Между офисами сделать VPN. ADSL и ISDN скорее всего пойдут через одну АТС, а складывать все яйца в одну корзину не есть хорошо. Может сделать ADSL + радио? Ну и по радиоканалу: без тестов тут ничего не скажешь, надо пробовать. "2 конца города" - это не характеристика. Город - Москва или 10*10км? :-) Вставить ник Quote
hexes Posted November 17, 2005 Author Posted November 17, 2005 "дешевый комп с *nix" - это намного менее надежно чем циска. Под дешевым я понимал не дешевое БУ/Noname железо, а цену в 3-4 раза ниже циски. Всё равно он будет менее надёжен? Время восстановления циски и писюка отличаются намного. Восстановления после перезагрузки?.. мало вводных данных Что ещё рассказать? Спрашивайте, я просто не знаю какая информация нужна а какая нет... Между офисами сделать VPN Я про это и думал, а для этого циска подойдёт? Может сделать ADSL + радио? Ну и по радиоканалу: без тестов тут ничего не скажешь, надо пробовать. "2 конца города" - это не характеристика. Город - Москва или 10*10км? :-) Именно такое решение и было предложено. У меня возникли сомнения по поводу реальности. Какая там будет скорость?!.. А "тестить" не уверен что поставщик согласится, оборудование от скорее всего привезет на заказ, и куда потом (в случае если не подойдёт) он его денет? Город хм... не сказать что оч. маленький... (пока точного расстояния немогу сказать, узнаю напишу) А "прямая видимость" не является в данном случае необходимой? Т.к. м/у ними (антенами) может быть оч. много 9ти этажек (антена на уровне 3-4 этажа)... Вставить ник Quote
hexes Posted November 17, 2005 Author Posted November 17, 2005 Выяснил расстояние - приблизительно 7,4 км. Вставить ник Quote
Diesel Posted November 17, 2005 Posted November 17, 2005 Прямая видимость - является необходимой. Можно взять бинокль и поискать разрывы между многоэтажками. Если "окон" нет - вероятность успеха предприятия очень мала. Кстати, почему именно 1760? Вставить ник Quote
hexes Posted November 17, 2005 Author Posted November 17, 2005 Дело обстоит так, я пришёл на эту работу, мне выдали 3 ком.предложения. Одно из ник как раз на объединение офисов в единую сеть. И сказали разбирайся, смотри... Вообщем всё на меня свалили... Соответственно и вопрос, как лучше?.. Какие у данного варианта +/-?.. Что посоветуете?.. Вставить ник Quote
Nailer Posted November 17, 2005 Posted November 17, 2005 Здравствуйте господа, стоит задача соединить нескольких удаленных офисов, причём как отдельный и немаловажный критерий выделена безопастность (шифрование трафика).Предложено решение на базе Cisco 1760 (+однопортовые BRI карты) с резервированием каналов по ISDN. Основной для 2х офисов: выбран радиоканал с использованием Libra 5800 CPE; для 3его ADSL. В "Итого" имеем немалую сумму в 300тр.(с коп) Посему вопрос, стоит ли оно того?.. 10Куе - довольно смешные деньги.. И потом, не ваши же. А по теме - стоит, иначе бы не покупали. Я первый раз сталкиваюсь с подобным оборудованием и хотел бы разобраться, что к чему. Стоит ли брать циски по 46 и 61 (за ADSL вариант) тр. Настолько ли они надёжны как дороги? Заработает ли эта штука (Libra) в городе мягко говоря "без прямой видимости" (2 конца города). Мои знания и интуиция подсказывают, что возможно сделать сл.Основной канал: ЛВС1 -> дешевый комп с *nix -> ADSL модем -> ГТС -> ADSL модем -> дешевый комп с *nix -> ЛВС(Гл.офис) Резервный: ЛВС1 -> дешевый комп с *nix -> ISDN модем -> ГТС -> ISDN модем -> дешевый комп с *nix -> ЛВС(Гл.офис) и обойдётся всё это мягко говоря дешевле... Ну опять :-) Деньги ваши? А гемморой потом будет ваш.. Теперь ещё такая мысль, если "падает" основной канал, значит либо линия либо у прова "упал", так? Бкдет ли при этом работать ISDN от того же прова?..Вообщем поделитесь опытом по теме... (если с разделом ошибся простите plz... не хотел.) Насчет шифрования - вы определились, какой ширины должны быть шифрованные потоки, какой протокол шифрование будете испрользовать? 1760, мягко говоря, шифрование не особо хорошо жует, проц у нее для этого слабый. А вот для ADSL циску стоит брать, это лучше, чем подтыкать в нее ADSL-модем с Eth выходом. Я бы советовал вам разнести функции транспорта (оставить 1760) и шифрования (поставить PIX или 26xx+AIM-VPN). Вставить ник Quote
hexes Posted November 17, 2005 Author Posted November 17, 2005 10Куе - довольно смешные деньги.. Только без обид. Сколько вы зарабатываете что бы так говорить? И потом, не ваши же. Это точно, но отчасти мне платят за их хкономию... Нам тут предложили рабочие станции по 900$ когда я по пунктам общитал их стоимость (реальную, без видюхи за 500$, ибо кассиру она мягко говоря не нужна) у меня получилось 350$... В итоге проект подешевел на 5000$... Деньги нужно считать! У тех кто их считать не умеет, их никогда не будет... Сорри за отступление. Я хочу считать деньги, и РЕАЛЬНО осозновать, что трачу их на НУЖНЫЕ вещи, и не стреляю из пушки по воробьям. А по теме - стоит, иначе бы не покупали. Я прекрасно понмаю, что есть места где стОит. Вопрос в том, мой ли это случай?.. А гемморой потом будет ваш... Не могу не согласиться. Опять же вопрос, будет ли?.. А вот для ADSL циску стоит брать, это лучше, чем подтыкать в нее ADSL-модем с Eth выходом. Почему? (опять вопрос эконом. целесообразности) 20тр. к 5... Я бы советовал вам разнести функции транспорта (оставить 1760) и шифрования (поставить PIX или 26xx+AIM-VPN). Я понимаю что просьба несколько не корректна, но немогли бы вы по развёрнутее говорить об оборудовании. Мне по этим "обрывкам" его даже найти трудновато, а лучше ссылки на обзоры давать... Заранее спасибо. И ... Nailer, не сочтите за спор. Просто хочу докопаться до истины. Ваши комментарии очень важны для меня... Спасибо. Вставить ник Quote
BSB Posted November 17, 2005 Posted November 17, 2005 Я бы ещё вариант с покупкой прямого провода у узла связи и установкой SHDSL продумал для организации канала. Только предварительно оттестить надо - расстояние большое, вдруг не поднимется. Но по опыту 128К должно работать. Вставить ник Quote
Nailer Posted November 17, 2005 Posted November 17, 2005 Сорри за отступление. Я хочу считать деньги' date=' и РЕАЛЬНО осозновать, что трачу их на НУЖНЫЕ вещи, и не стреляю из пушки по воробьям. А по теме - стоит, иначе бы не покупали. Я прекрасно понмаю, что есть места где стОит. Вопрос в том, мой ли это случай?.. А гемморой потом будет ваш... Не могу не согласиться. Опять же вопрос, будет ли?.. А вот для ADSL циску стоит брать, это лучше, чем подтыкать в нее ADSL-модем с Eth выходом. Почему? (опять вопрос эконом. целесообразности) 20тр. к 5... Я бы советовал вам разнести функции транспорта (оставить 1760) и шифрования (поставить PIX или 26xx+AIM-VPN). Я понимаю что просьба несколько не корректна, но немогли бы вы по развёрнутее говорить об оборудовании. Мне по этим "обрывкам" его даже найти трудновато, а лучше ссылки на обзоры давать... Заранее спасибо. И ... Nailer, не сочтите за спор. Просто хочу докопаться до истины. Ваши комментарии очень важны для меня... Спасибо. Да легко :-) 1. Чем мне не нравится 1760. а) Машина старая б) Машина для шифрования откровенно слабая. 2. Почему я бы рекомендовал вам взять вместо нее 2651XM+AIM-VPN: а) потому что с модулем AIM-VPN циска шифрует аппаратно на нем, не нагружая CPU шифрованием. б) потому что на ней можно поднять шифрование и без AIM-VPN, процессора хватит на небольшой поток. 3. Почему 2651XM, а не 2811, например: потому что, несмотря на то, что в нее уже встроен ускоритель шифрования, пока не особо стабилен софт, особенно с использованием ускорителя. Хотя, в принципе, можно рискнуть и взять 2800 серию, рано или поздно софт нормальный напишут. 4. Почему ADSL лучше пихать в циску - можно настроить QoS, можно контролировать состояние линии.. 5. Почему не советовал бы связываться с unix-ами - сама по себе задача довольно сложная, как это будет работать на юнихе - уже большой вопрос.. Опять же, на циске можно поднять много чего другого вкусного - QoS, Security, IDS/IPS, голос между офисами.. Читать: http://www.cisco.com/en/US/products/ps5881/index.html http://www.cisco.com/en/US/products/ps5880/index.html Вставить ник Quote
BSB Posted November 17, 2005 Posted November 17, 2005 5. Почему не советовал бы связываться с unix-ами - сама по себе задача довольно сложная, как это будет работать на юнихе - уже большой вопрос.. Опять же, на циске можно поднять много чего другого вкусного - QoS, Security, IDS/IPS, голос между офисами.. Нормально оно всё будет на юнихах работать. И всё вкусное тоже поднять на линухе можно. Вставить ник Quote
Nailer Posted November 17, 2005 Posted November 17, 2005 5. Почему не советовал бы связываться с unix-ами - сама по себе задача довольно сложная, как это будет работать на юнихе - уже большой вопрос.. Опять же, на циске можно поднять много чего другого вкусного - QoS, Security, IDS/IPS, голос между офисами.. Нормально оно всё будет на юнихах работать. И всё вкусное тоже поднять на линухе можно. Угу, особенно голос :-) Вставить ник Quote
BSB Posted November 17, 2005 Posted November 17, 2005 Угу, особенно голос :-) Смотря что имеется ввиду под "Голосом". Что должно получиться? Вставить ник Quote
hexes Posted November 18, 2005 Author Posted November 18, 2005 Nailer, опять встает вопрос целесообразности QoS, Security, IDS/IPS, голос между офисами.. А оно нужно? QoS - это резервирование определенной "ширины" под что то, так? голос - так ведь есть телефон :-) А что есть остальное?.. Вставить ник Quote
hexes Posted November 18, 2005 Author Posted November 18, 2005 Вот вот! О чём я и говорил! Высокая производительность Межсетевой экран Cisco PIX поддерживает более 256 тысяч одновременных соединений и, соответственно, обеспечивает поддержку сотен и тысяч пользователей без уменьшения производительности. Полностью загруженный межсетевой экран PIX обеспечивает пропускную способность до 170 Мб/сек. Такая пропускная способность существенно превосходит любой межсетевой экран, базирующийся на ОС UNIX или ОС Microsoft Windows NT. Мне не нужно 256 тысяч одновременных соединений! МАКС!! что пойдёт ч/з один "шлюз" это 4-5 компов... 2 удаленных офиса (в течении некоторого времени возможен +2), по 5 компов 1 центральный 20-25 (а ещё нам впаривают сервак Intel SC5300BD2 на 2х Xeon 3.0 ГГц, вопрос в целесообразности опять встает) Вставить ник Quote
Vlad Karagezov, D-Link Posted November 18, 2005 Posted November 18, 2005 Вот вот! О чём я и говорил!Высокая производительность Межсетевой экран Cisco PIX поддерживает более 256 тысяч одновременных соединений и, соответственно, обеспечивает поддержку сотен и тысяч пользователей без уменьшения производительности. Полностью загруженный межсетевой экран PIX обеспечивает пропускную способность до 170 Мб/сек. Такая пропускная способность существенно превосходит любой межсетевой экран, базирующийся на ОС UNIX или ОС Microsoft Windows NT. Мне не нужно 256 тысяч одновременных соединений! МАКС!! что пойдёт ч/з один "шлюз" это 4-5 компов... 2 удаленных офиса (в течении некоторого времени возможен +2), по 5 компов 1 центральный 20-25 (а ещё нам впаривают сервак Intel SC5300BD2 на 2х Xeon 3.0 ГГц, вопрос в целесообразности опять встает) может я чего-то пропустил, но изначально (без привязки к предложенным проектам) - задача какая? Объеденить офисы только для передачи трафика или еще и сделать единую телефонию? Вставить ник Quote
hexes Posted November 18, 2005 Author Posted November 18, 2005 Нее про телефонию вообще никаких разговоров не было. Это вот товарищи как "дополнительный +" говорят... МНЕ она не нужна. Пока задача ТОЛЬКО объединить офисы с VPN (или ещё какой то технологией шифрования) вероятнее всего ч/з ADSL с каким то резервным каналом (по возможности)... Вставить ник Quote
Vlad Karagezov, D-Link Posted November 18, 2005 Posted November 18, 2005 Нее про телефонию вообще никаких разговоров не было. Это вот товарищи как "дополнительный +" говорят...МНЕ она не нужна. Пока задача ТОЛЬКО объединить офисы с VPN (или ещё какой то технологией шифрования) вероятнее всего ч/з ADSL с каким то резервным каналом (по возможности)... Ок, ясно. Тогда так если есть провайдеры ADSL во всех точках присутствия - тогда однозначно ADSL! Модемы стоят уже просто копейки - DSL-300T к примеру - 41$ Далее, по объединению офисов: если все офисы подлючаются к одному и тому же провайдеру и есть возможность взять постоянные ip адреса, пусть даже "серые" - проблема решается просто установкой VPN концентраторов в каждом офисе. Если провайдеры разные - купить у них "белые" IP или договориться о форвардинге пакетов по порту 500 и протоколу IP 50 на "серый" адрес, но это как правило сложно. Проще будет задействовать в этом случае PPTP. В качестве примера - firewall с функциями роутинга и VPN (IPSec, PPTP server, L2TP server, PPTP client etc.) - DFL-200 (350$) или DFL-700 (547$) - в зависимости от необходимой производительности и кол-ва туннелей. Сравнительная таблица здесь: http://www.dlink.ru/products/firewall_table.php Это если решать только те задачи, о которых Вы упомянули. Думаю, решение будет горазжо дешевле 10K $ :-) Если будут вопросы - можете позвонить в ближайший наш офис, координаты на сайте. Вставить ник Quote
hexes Posted November 18, 2005 Author Posted November 18, 2005 Я тут схемку накидал... Как я себе это представляю... Может прояснит картину... Вставить ник Quote
hexes Posted November 18, 2005 Author Posted November 18, 2005 Vlad Karagezov, D-Link, спасибо за совет. Думаю, решение будет горазжо дешевле 10K $ :-) Хотелось бы... По поводу схемы: Radio/ISDN как варианты резервного канала. ? - Возможное подключение по той же схеме ещё 2х офисов. Вставить ник Quote
SSD Posted November 18, 2005 Posted November 18, 2005 Я тут схемку накидал... Как я себе это представляю... Может прояснит картину... На мой взгляд то что предложил Nailer, наиболее оптимально. Так у Вас стоит одна железка к которой подключенны оба канала, в случае падения основного канала, включится резервный. Еще не мало важно то, что Циско имеет возможность расширения. Если голос не нужен сейчас это не означает, что он не потребуется в будующем. Про решение Владислава Карагезова, оно бюджетное, но к тем VPN концентраторам Вам прийдется еще докупить по роутеру, чтобы он переходил на резервный канал в случае падения основного ;) Вставить ник Quote
hexes Posted November 18, 2005 Author Posted November 18, 2005 но к тем VPN концентраторам Вам прийдется еще докупить по роутеру, чтобы он переходил на резервный канал в случае падения основного ;) Есть такое дело... :-) Эх... Компромис бы найти м/у дешево и сердито :-) Вставить ник Quote
Vlad Karagezov, D-Link Posted November 18, 2005 Posted November 18, 2005 Про решение Владислава Карагезова, оно бюджетное, но к тем VPN концентраторам Вам прийдется еще докупить по роутеру, чтобы он переходил на резервный канал в случае падения основного ;) Зачем же? :-) Можно тогда уж не посупиться и купить в те офисы, где необходимо резервирование канала, новые наши МСЭ, DFL-800, 973 $ Там 2 порта WAN, можно решить задачу без проблем! Вставить ник Quote
SSD Posted November 18, 2005 Posted November 18, 2005 Про решение Владислава Карагезова, оно бюджетное, но к тем VPN концентраторам Вам прийдется еще докупить по роутеру, чтобы он переходил на резервный канал в случае падения основного ;) Зачем же? :-) Можно тогда уж не посупиться и купить в те офисы, где необходимо резервирование канала, новые наши МСЭ, DFL-800, 973 $ Там 2 порта WAN, можно решить задачу без проблем! А как он (DFL-800) определит, что не доступен основной канал? P.S. Что то сильно много сносок в описании ;) Вставить ник Quote
Vlad Karagezov, D-Link Posted November 18, 2005 Posted November 18, 2005 Про решение Владислава Карагезова, оно бюджетное, но к тем VPN концентраторам Вам прийдется еще докупить по роутеру, чтобы он переходил на резервный канал в случае падения основного ;) Зачем же? :-) Можно тогда уж не посупиться и купить в те офисы, где необходимо резервирование канала, новые наши МСЭ, DFL-800, 973 $ Там 2 порта WAN, можно решить задачу без проблем! А как он (DFL-800) определит, что не доступен основной канал? P.S. Что то сильно много сносок в описании ;) по поводу определения недоступности канала - уточню и отвечу Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.