Route Опубликовано 2 октября, 2009 · Жалоба Имею основной (10 мбит) и резервный (5 мбит) канал интернета. Стоит сейчас у меня на входе "типа" сервер (на борту FreeBSD 7.2), на нем крутится пару сайтов и почта +через него идет весь трафик с других серверов локальной сети + около 400-500 пользователей интернета (через vpn сервер). С недавних пор этот сервер начал не справляться со своей задачей, появились проблемы с доступом, потери в канале и т.д. Узкое место именно в нем, вычислено. Можно было бы, конечно, сделать апгрейд сервера, возможно это бы помогло, но я выбрал вариант замены его (как роутера) на cisco 1841. По прошествии суток, после своего решения, я решил еще на эту cisco возложить обязанности VPN (pptp) сервера. Вот тут то я и задумался: А хватит ли мне этой модели на 500 одновременных VPN подключений и функций роутера? Мб стоит увеличить памяти в ней.... Бюджет ограничен 40 000-50 0000.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dsk Опубликовано 3 октября, 2009 · Жалоба Вы лучше расскажите как вы сделали так, что писюк не справился с роутингом 15-и мбит. В былые времена и Pentium I поболее прожевывал. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shicoy Опубликовано 4 октября, 2009 · Жалоба За такие деньги проще еще писюк поднять, серьезно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Route Опубликовано 4 октября, 2009 · Жалоба Ну там скорей зависит все именно от почты и вэб, т.к. именно это самое ресурсоемкое. А в этом плане там не самая слабая нагрузка. За такие деньги проще еще писюк поднятьНе проще. Нужно решение, настроил и забыл. Писюк так не может =) За ним все равно нужно посматривать поболее чем на железку. Да и все же много всяких мелких факторов, которые влияют на это решение. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dsk Опубликовано 4 октября, 2009 (изменено) · Жалоба Железки конечно хорошо, но для вашей задачи неоправданно дорого, да и посматривать за ней все равно придется, процики там немощные, одно неловкое движение и железка еле бултыхается, начинаются лаги, потери, громкие вопли юзеров "а за что мы вам деньги платим?". А тщательно вылизанный писюк может пыхтеть годами и каши не просить, особенно если железо куплено с запасом. Если нужет роутер без всяких дисковых операций, то собирайте писюк без жесткого с системой на флешке. Для доведения надежности до уровня железки держите копию рабочей флешки ну и писюк для резерва, этого вполне достаточно. Изменено 4 октября, 2009 пользователем dsk Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 5 октября, 2009 · Жалоба Угу, расскажите мне про железку которая каши не просит. Стоит немного этого говна, что не понос, так золотуха... если она не юзается как тупой рутер (писюк с тупым рутингом может стоять тоже годами), то регулярно сплоиты новые появляются... извольте-с подписочку за денежку на Cisco, чтоб свеженький IOS дернуть. Вот сейчас свежачок-с: OS: Cisco IOS 12.x Cisco IOS R12.x Cisco IOS XE 2.1.x Cisco IOS XE 2.2.x Cisco IOS XE 2.3.x 3) Multiple errors exist in the IP tunnelling implementation when switching network packets. These can be exploited to trigger a device reload via specially crafted packets. Successful exploitation requires that the device is configured for PPTP, GRE, IPinIP, Generic Packet Tunneling in IPv6, or IPv6 over IP tunnels, and Cisco Express Forwarding. 5) An error in the H.323 implementation can be exploited to trigger a device reload via specially crafted TCP packets. 6) An error in the SIP implementation related to the Cisco Unified Border Element feature can be exploited to trigger a device reload. 7) An error in the SSLVPN, SSH, and IKE Encrypted Nonces features can be exploited to reload a device via specially crafted packets sent to TCP ports 22 (for SSH) or 443 (for SSLVPN), or UDP ports 500 and 4500 (for IKE Encrypted Nonces). 8) A race condition error exists in the Authentication Proxy for HTTP(S), Web Authentication, and consent features. This can be exploited to bypass the authentication proxy services and the consent accept web page if a successfully authenticated session or accepted consent session exists. Ну поставите вы циску. Ну поработаете немного, на скляченном с торрентов иосе. Ну найдут юзеры или снаружи сплоит... вы найдете новый "вроде-как-пофикшенный" иос. А в нем какой-нить баг нашлепанный индийскими программерами, и шибко нужная фича перестанет работать. И раскошелитесь еще на шибко умного насквозь сертифицированного цисковода и подписочку, чтоб пофиксить сей баг... но вероятнее шустро метнетесь в магазин и притащите писюк и диск с пингвином :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shicoy Опубликовано 5 октября, 2009 · Жалоба Не проще. Нужно решение, настроил и забыл. Писюк так не может =) За ним все равно нужно посматривать поболее чем на железку. Да и все же много всяких мелких факторов, которые влияют на это решение. Возвращаясь к вашему вопросу: 1841 на 400-500 тунелей не хватит. Берите 7204, но оно сильно дороже 40-50к рублей. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ghost Опубликовано 5 октября, 2009 · Жалоба Здохнет 1841 даже не успев начать работать :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 5 октября, 2009 · Жалоба Дык не лучше ли просто отдельный писюк, который бы тупо занимался PPTP и больше ничем? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dsk Опубликовано 5 октября, 2009 · Жалоба Судя по посту автора, сейчас там так и сделано. Автор хочет наоборот весь функционал взгромоздить на одну железку. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Route Опубликовано 7 октября, 2009 (изменено) · Жалоба Железки конечно хорошо, но для вашей задачи неоправданно дорогоДа дело то особо не в деньгах, их выделяют, но пока маленькими частями, так бы что-нибудь из 7-й ветки смотрелвопли юзеров "а за что мы вам деньги платим?"Это исключено, т.к. денег никаких не беру =) Просто до ума довожу всю сеть предприятия. Пытаюсь сделать меньше "узких" мест.писюк без жесткого с системой на флешкеС этим вариантом успешно работаю, стоит на отдаленных точках, но тут я забыл 1 момент указать (как оказалось важный) - количество места в серверной ограниченно, щас как раз идет замена серваков, ставятся все rack-кие.Автор хочет наоборот весь функционал взгромоздить на одну железкуИменно так. Но судя по всему 1841 можно поставить лишь как роутер, рулить 2-3 каналами в интернет. Если получается такая ситуация, то не лучше ли будет посмотреть в сторону PIX? Вариант с писюком не рассматриваю в принципе. Надо железку =) Изменено 7 октября, 2009 пользователем Route Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dsk Опубликовано 7 октября, 2009 (изменено) · Жалоба По моему использовать pptp в корпоративной сети это то еще извращенье. Избавляйтесь от этого костыля, тогда и с железкой вам будет проще, подойдет в принципе L3 свич в центр ну и ваша сиська как роутер для инета. Если хотите (почти) железку для впна, то поставьте микротик рб1000, он потянет. Изменено 7 октября, 2009 пользователем dsk Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Route Опубликовано 7 октября, 2009 · Жалоба использовать pptp в корпоративной сети это то еще извращеньеНуу, это зависит еще от того, какая она эта корпоративная сеть =) В нашем случае - это идеальный вариант в полу-управляемой сети из полутора тысяч машин выдать интернет только 400-ста счастливчикам =)L3 свич в центрЭти штуковины и так ставятся помаленьку в каждое здание.железку для впнаНаверно тут попозже сяду за калькулятор. Хотя скорей всего возьму полноценный сервер и определю на него все задачи по доступу (VPN, шейпинг, биллинг, NAT) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dsk Опубликовано 8 октября, 2009 (изменено) · Жалоба В нашем случае - это идеальный вариант в полу-управляемой сети из полутора тысяч машин выдать интернет только 400-ста счастливчикамЯ бы тут начал не с "железок", а с приведения сети к состоянию полностью управляемой. Эти штуковины и так ставятся помаленьку в каждое здание.Это же очень хорошо, убирайте там впн, для разграничения доступа используйте ACL на этих свичах. Изменено 8 октября, 2009 пользователем dsk Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...