ColdSUN Опубликовано 7 мая, 2009 · Жалоба Итак, сейчас имеем достаточно большую и распределённую сеть с центральным офисом и удалёнными офисами, которые соеденены с центром через VPN туннели (IPSec). В удалённых филиалах в качестве маршрутизаторов стоят компьютеры с Linux. В центральном офисе на выходе в интернет стоит Cisco pix 506e. Задачи которые выполняются именно им. 1. Собственно организация туннелей с удалёнными офисами. (IPSec, 3des) 2. Маршрутизация 2 VLAN в интернет. Один это собственно наша сеть, второй это несколько арендаторов. 3. Есть несколько компьютеров в локальной сети которые выходят в сеть под своим белым ip адресом (mail, proxy, sip). Каждый из арендаторов выходит в интернет под своим белым ip адресом. 4. PPTP сервер для доступа сотрудников к локальной сети из дома. Может чё-то и забыл, но это основное. Что планируется и хочется реализовать дополнительно, при помощи одной железки... На данный момент провайдер в центральном офисе и в удалённых филиалах только один, но везде разные. Собираемся в каждый офис заводить минимум двух провайдеров. Соответственно необходимо чтобы железка в центре могла обеспечивать динамическую маршрутизацию и в случае падения основного провайдера переключаться на резервный. Самое главное, что нужно будет сразу поднимать туннели. Имеет смысл так-же установить две таких железки, на случай смерти одной из них. Есть же функция типа failover, которая 506 не поддерживается. Необходима возможность выделения на каждого арендатора отдельного vlan. 506 поддерживает максимум два. Необходима так же возможность зажимания полосы для каждого отдельного арендатора. Было бы замечательно, если бы весь http/https, smtp трафик проверялся антивирусом. У juniper видел вроде подобное решение. В филиалах тоже подумываем заменить компы с Linux на что-то бездисковое, чтобы максимально обеспечить устойчивость связи. Но скорее всего это будут теже Linux только на твёрдотельных носителях. Возможно будем заказывать решение интегратору, но хочется и самому немножко разобраться, чем же это удобенне реализовать. ЗЫ Смотрел в сторону Cisco ASA 5500 Series в центр, а в филиалах оставить Linux, но написать скрипты которые будут проверять живость провайдера и если что переключаться. ASA 5500 никогда нигде не видел, может кто сталкивался, расскажите подойдёт она подо всё это или нет, и какую тогда именно выбрать конфигурацию. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ugluck Опубликовано 7 мая, 2009 · Жалоба а что если в голову тоже пару пингвинов поставить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
chocholl Опубликовано 7 мая, 2009 · Жалоба ASA почти тотже PIX. а что если перейти на ISR-ы (при необходимости с криптомодулями) на них и маршрутизацию гонять можно, и доступность шлюзов проверять. только в голове для НАТа желательно другую железку использовать, хотя смотря сколько НАТа... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 7 мая, 2009 · Жалоба ISR-ы конечно более универсальные, но намного менее производительные... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
supp Опубликовано 7 мая, 2009 · Жалоба Микротик Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Telesis Опубликовано 7 мая, 2009 · Жалоба Зачем менять если все работает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ColdSUN Опубликовано 8 мая, 2009 · Жалоба Работать то работает. Но Vlan не хватает. Последние прошивки не заливаются, потому что флешка маленькая. Маршрутизация на несколько провайдеров тоже не тривиальная задача. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fox_m Опубликовано 8 мая, 2009 · Жалоба ColdSUN, а на Linux машинах какое приложение для IPSEec используете? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergeiK Опубликовано 8 мая, 2009 · Жалоба ASA5500 может решить все задачи и на вид как PIX. И для антивируса есть модуль, внутри TrendMicro. И файловер. И трекить доступность провайдера для переключения маршрутизации на другой канал. Посмотреть кратко можно http://cisco.com/en/US/products/ps6120/pro...comparison.html, но скорее всего 5510-SEC-K9 устроит. Скорости какие? Но ASA не умеет NetFlow, PBR, и вот зажимать полосу арендатору может быть сложно. Хотя тут проскакивала ссылочка, как это сделать на ASA5500, но, в целом, задача может быть не тривиальная. А на филиалы, в зависимости от скоростей и юзеров, можно поставить или ASA5505 с разыми лицензиями (от 500$ по GPL), или 871-SEC-k9 за 600$. Наверно, немногим дороже линуксов, но компактные устройства. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
puh Опубликовано 8 мая, 2009 · Жалоба ISR-ы конечно более универсальные, но намного менее производительные... у ISR есть волшебный модуль AIM-VPN. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergeiK Опубликовано 8 мая, 2009 · Жалоба AIM-VPN не очень сильно ускоряет работу шифрации, где-то была табличка, можно найти при острой необходимости. А на скорость NAT и Firewall не влияет вообще никак. Так что при одной цене ASA заметно быстрее в этом функционале ISR, но заметно менее функциональна в плане управления трафиком. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jurs Опубликовано 8 мая, 2009 · Жалоба ColdSUN, а на Linux машинах какое приложение для IPSEec используете? racoon? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ColdSUN Опубликовано 8 мая, 2009 · Жалоба ColdSUN, а на Linux машинах какое приложение для IPSEec используете? OpenSWAN Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 8 мая, 2009 · Жалоба AIM-VPN не очень сильно ускоряет работу шифрации, где-то была табличка, можно найти при острой необходимости. А на скорость NAT и Firewall не влияет вообще никак. Так что при одной цене ASA заметно быстрее в этом функционале ISR, но заметно менее функциональна в плане управления трафиком. Вот об этом я и говорил) На производительность при форвардинге пакетов на ISRах наличие криптомодулей не влияет... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mastodont Опубликовано 9 мая, 2009 · Жалоба Попробуйте сменить вендора. Под ваши задачи больше подходит J-series. Juniper J-series http://www.juniper.net/us/en/products-serv...uting/j-series/ Juniper SRX-series http://www.juniper.net/us/en/products-serv...ity/srx-series/ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ColdSUN Опубликовано 11 мая, 2009 · Жалоба Попробуйте сменить вендора. Под ваши задачи больше подходит J-series. Juniper J-series http://www.juniper.net/us/en/products-serv...uting/j-series/ Juniper SRX-series http://www.juniper.net/us/en/products-serv...ity/srx-series/ Вот отсюда поподробнее, с Juniper вообще дела не имел. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
IvanI Опубликовано 11 мая, 2009 · Жалоба В данном случае помоему лучше будет и в главном офисе поставить софтовый роутер - функционал неограничен, надежность не ниже циски б.у. и цена лучше. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ColdSUN Опубликовано 11 мая, 2009 · Жалоба Софтовый роутер - *nix? Тоже думал не заморачиваться а ставить всё на Linux. Уже даже смотрел железо, чтобы не было подвижных частей, тоесть без вентилятора, и hdd заменить на твёрдотельный накопитель, а логи складывать на другую машину по syslog. Тогда получается что записываться на сам комп будет очень мало, только когда конфиг менять, и ломаться там становится практически нечему. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...