Jump to content

Посоветуйте конфигурацию сети и сетевого оборудования для развесистого корпората.

slammer
 Share

Recommended Posts

slammer

slammer

Posted
Posted (edited)

Посоветуйте конфигурацию сети и сетевого оборудования для развесистого корпората.

 

 

Бордер: Имеется три провайдера. Суммарная емкость каналов порядка 100М, перспектива - до 300. Необходимо чтобы бордер умел BGP, OSPF и source-routing. Кроме каналов, есть еще ~150 ipsec VPN, с перспективой увеличения до 300. Все одновременно не работают конечно, но суммарный дневной трафик около 40М с перспективой до 100. Сейчас их тянут три выделенных unix-гейта и пикс, тянут хорошо, но все это ужасно сложно администрировать и траблшутить, учитывая перекрытие сетей по адресам, решающееся гроздьями хитрых натов, и требования безопасности, кое-как удовлетворяемые длинными firewall-скриптами, а также форвардами через нат в нужный порт. Надо обеспечить нормальную работу и переключение тоннелей при падении любого vpn-шлюза, и (или) бордера. Имеется с десяток бранчей, (зарубежных в основном) очень чувствительных к падениям vpn. Надо учитывать наличие у каждого из них двух провайдеров, и обеспечить автоматическое переключение их линков. Шлюзы на бранчах - cisco, unix. Все бранчи общаются друг с другом через центр. Время реакции на отказ – единицы минут.

 

ВПНы надо (или нуевонафиг???) привести в ядро сети, где и разроутить по нужным vlan, числом около 30, с перспективой 50-100. Сеть около 700 портов на 3COM 3226, 4500, 4200G, собрано кольцо между транковыми свичами (RSTP). Пока в ядре unix-машина, хочется железку с резервированием…

 

Бюджет:

Денег мало, но тонн 20-30 зелени на это дадут =) так что, наверное, б/у Cisco?

Edited by slammer
slammer

slammer

Posted
  • Author
Posted

так что, наверное, б/у Cisco?

Нет, это б/у админ. Причем чем больше б/у - тем лучше.

Шутку понял, да. Существующий б/у админ умеет все это расширять и траблшутить, что и позволяет мне спрашивать совета на форумах, не особенно торопясь. With all do respect, но нельзя ли

ближе к делу? Или задача сформулирована неверно?

 

 

2zadrovets: У меня нет задачи снизить затраты, тут надо сделать надежно, красиво, и резерв на будущее обеспечить.

Алексей Андриянов

Алексей Андриянов

Posted
Posted

Я думаю, нужно оставаться на писюках и планомерно оптимизировать сеть, менять адресацию, сокращать количество серверов, упрощать схему на предмет более легкого администрирования.

 

300М - это не тот объем, чтобы из-за него ставить аппаратный маршрутизатор, а такой гибкости как на писюке вы нигде не найдете.

 

Представьте для начала, как вы будете переезжать на cisco. Деньги и время на ветер.

jab

jab

Posted
Posted

Зато под перезд на cisco можно и откатик сообразить. И потом - курсы,

семинары, коммандировочные, представительские.

grama

grama

Posted
Posted (edited)

ИМХО Вечный поиск утомляет. У нас ,например, основное большинство задач крутитится на линюхе на SUN&HP и системный математик программист от БОГА. Но я никогда не забуду его неподдельного восхищения включения PPPoE авторизации для всех VLAN на 7206VXR-NPE-G2 одной командой ;) Я даже под это дело сразу между двумя стойками SC-SC прокинул и SFP вкорячил :lol:

Edited by grama
grama

grama

Posted
Posted (edited)

:lol: Я лично не знаю, напильник я :lol: Но степень унификации на стандартном оборудовании с внятными описаниями, порой важнее рекордов дешивизна/производительность.

Edited by grama
slammer

slammer

Posted
  • Author
Posted

Вопрос пошел в философию =)

 

Недавно на одном из vpn-гейтов что-то переклинило в перловом скриптике, снимавшем статистику, LA дошел до 140, в ядре что-то переклинило, даже после убивания скрипта трафик не ходил.

Ребут, rc.conf не соответствует тому что наконфигурено вручную - остались лежать три десятка VPN...

 

Бардак? Бардак. И все-таки мне кажется, что лучше сделать систему, не подталкивающую делать ошибки, чем каждый раз искать "очень б/у админа" и потом его дрессировать.

 

Я не фанат cisco, мне просто хочется схему, некий best practice для описанного корпората.

sirmax

sirmax

Posted
Posted
Вопрос пошел в философию =)

 

Недавно на одном из vpn-гейтов что-то переклинило в перловом скриптике, снимавшем статистику, LA дошел до 140, в ядре что-то переклинило, даже после убивания скрипта трафик не ходил.

Ребут, rc.conf не соответствует тому что наконфигурено вручную - остались лежать три десятка VPN...

 

Бардак? Бардак. И все-таки мне кажется, что лучше сделать систему, не подталкивающую делать ошибки, чем каждый раз искать "очень б/у админа" и потом его дрессировать.

 

Я не фанат cisco, мне просто хочется схему, некий best practice для описанного корпората.

Забыл раз сделать wr mem на кошаке.

Результат описан вами выше =)

jab

jab

Posted
Posted

Достаточно один раз найти админа, который на писюке сделает резервируемую систему не подталкивающую делать ошибки. :-)

И уберет с vpn-гейтов глючные перловые скрипты.

SergeiK

SergeiK

Posted
Posted

Тем не менее, если человек хочет купит cisco - имеет право :).

Я бы предложил для таких скоростей отдельно 7201 (менее 20k$ должно стоит) как роутер и ASA5520 для IPSEC/VPN (6-7 k$).

Можно 2 ASA5510-SEC-BUN-K9 - для резервирования и разделения нагрузки.

 

Все новое, конечно.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.