Nikolaicheg Posted November 6, 2009 Posted November 6, 2009 Всем доброго времени суток. Необходимо сделать впн-канал между 3 офисами. Какое железо лучше взять? Необходимы параметры: -нат в интернет -роутинг между офисами -общая скорость в инет 10-20 мегабит -возможно нетфлоу. смотрел в сторону asa-5000 серии, но слышал, что изменили правила ввоза в Россию и есть некоторые затруднения в сроках поставки. Вставить ник Quote
_dmitr_ Posted November 6, 2009 Posted November 6, 2009 в центральный фис freebsd а в остальные поставьте самы ешевый длинк и все будет раотать. и ненао говорить что асус лучшелинка а триком или зюхел еще круче, все из одного текстоилита и одни микросем, при нормальном питании все будет классно. Вставить ник Quote
Ivan_83 Posted November 6, 2009 Posted November 6, 2009 Я бы поставил DFL210 везде, если нужно именно железками. Дешёвый длинк для дома, где юзер от скуки будет его перезагружать раз в сутки. Вставить ник Quote
Nikolaicheg Posted November 7, 2009 Author Posted November 7, 2009 про asa никто ничего не скажет?.. Вставить ник Quote
Stak Posted November 7, 2009 Posted November 7, 2009 А что про неё сказить? Вашим хотелкам удовлетворяет, кроме нетфлоу. В остальном - хорошо но дорого:) Вставить ник Quote
Nikolaicheg Posted November 7, 2009 Author Posted November 7, 2009 (edited) а какую-нибудь статистику по нату, кто куда ходил, с нее можно снять? альтернативные девайсы, окромя длинка есть еще? :) Edited November 7, 2009 by Nikolaicheg Вставить ник Quote
Stak Posted November 7, 2009 Posted November 7, 2009 а какую-нибудь статистику по нату, кто куда ходил, с нее можно снять? Могёт сливать лог по трансляциям на сислог... Вставить ник Quote
troyand Posted November 7, 2009 Posted November 7, 2009 В последних версиях asa netflow добавили, но только v9 и без экспорта объемов трафика. Проверял, даже на 5505 пасочке работает. Netflow там создает запись при (не)пускании кого-то по ACL. Вставить ник Quote
Nikolaicheg Posted November 13, 2009 Author Posted November 13, 2009 Обратился к поставщику насчет ASA серии. как поискал по форуму, с асами сейчас проблемы изза сертификации фсб, теперь они поставляются порядка 4 месяцев.. получил предложение по аналогам: Juniper серии SSG и IBM Proventia® Network Multi-Function Security (MFS). поэтому вопрос, кто что юзал, какие впечатления? Вставить ник Quote
Nikolaicheg Posted November 13, 2009 Author Posted November 13, 2009 я уже отказался от идеи АСА. мне варианты с ssg и ibm больше нравятся. на АСА за всякие лицензии тока успевай бабло выкладывать :) впрочем и на другие варианты тож бабло надо, но, по моим прикидкам, куда более скромное... Вставить ник Quote
photon Posted November 13, 2009 Posted November 13, 2009 (edited) про asa никто ничего не скажет?.. ASA 5520-5550 -- это устаревшее PC-шное железо с Pentium 4 от Cisco. Более младшие модели -- и того хуже. Edited November 13, 2009 by photon Вставить ник Quote
Nikolaicheg Posted November 13, 2009 Author Posted November 13, 2009 ASA 5520-5550 -- это устаревшее PC-шное железо с Pentium 4 от Cisco. Более младшие модели -- и того хуже. это тоже камень в огород asa. уже другие мысли... читать последние посты :) Вставить ник Quote
DenKZ Posted November 13, 2009 Posted November 13, 2009 ASA 5520-5550 -- это устаревшее PC-шное железо с Pentium 4 от Cisco. Более младшие модели -- и того хуже.А зачем туда что-то более современное пихать - производительности CPU и шины хватает...Криптопроцессор отдельный чип... ASA5510-ASA5550 - мамка одинаковая... - отличаются установленными CPU и распаянными сетевыми контроллерами (5510 от более старших) ASA5510 - P4 Celeron 1.6 ASA5520 - P4 Celeron 2.0 Чипсет 865 вариант с ESB2 мостом - ECC память и пр... Я себе в 5520 заменил CPU на P4 2.4... - пока доволен - трансфер файлов из DMZ в LAN - до 50 Мбайт/с... Вставить ник Quote
Ivan_83 Posted November 14, 2009 Posted November 14, 2009 Если не дфл 210 тогда вообще пс роутер воткнуть и забыть. Вставить ник Quote
_dmitr_ Posted November 14, 2009 Posted November 14, 2009 можем помочь вреализации впна, недорого)) стабильно и надежно. Вставить ник Quote
izuware Posted November 16, 2009 Posted November 16, 2009 в центральный фис freebsd а в остальные поставьте самы ешевый длинк и все будет раотать. а если вспомнить ФЗ 152 о защите персональных данных? что работать то то будет - это понятно, а сертификаты на это где? Вставить ник Quote
yakuzzza Posted November 16, 2009 Posted November 16, 2009 Центральный офис на cisco2811/2821 - IOS с поддержкой энкриптинга, cisco 800-серии на удаленные точки также с энкриптингом. Между роутерами IPSec, OSPF, netflow v5, NAT, ACL - конфиги 100500 раз разжеваны везде, все работает с полпинка. В принципе, довольно распространенная схема. Большое количество вариантов моделей и модулей. Ну или бюджетное решение - Free/OpenBSD, они умеют все. И нетфлов тоже. Вставить ник Quote
dsk Posted November 16, 2009 Posted November 16, 2009 а если вспомнить ФЗ 152 о защите персональных данных?А причем тут это? Откуда вы знаете для чего этот впн нужен? Может там сотрудники в контру будут рубиться через этот впн :)Давайте еще сюда лицензии фсб прикрутим для пущей понтявости и все в таком роде. Вставить ник Quote
Ivan_83 Posted November 18, 2009 Posted November 18, 2009 10-20 мегабит даже сохо железки длинка прожуют, некоторые. Вставить ник Quote
Nikolaicheg Posted November 18, 2009 Author Posted November 18, 2009 вобщем с цысками любыми секурными полная труба по поставкам. я остановил свой выбор на juniper j-2320. на выносных точках возможно srx-100. Вставить ник Quote
izuware Posted November 20, 2009 Posted November 20, 2009 а если вспомнить ФЗ 152 о защите персональных данных?А причем тут это? Откуда вы знаете для чего этот впн нужен? Может там сотрудники в контру будут рубиться через этот впн :)Давайте еще сюда лицензии фсб прикрутим для пущей понтявости и все в таком роде. это понятно что все впны для контры создаются :)я как раз про вырожденый случай, где надо впн по требованиям ФЗ 152 Вставить ник Quote
Nickuz Posted November 20, 2009 Posted November 20, 2009 в центральный фис freebsd а в остальные поставьте самы ешевый длинк и все будет раотать. а если вспомнить ФЗ 152 о защите персональных данных? что работать то то будет - это понятно, а сертификаты на это где? А требование к ИСПДн на защиту при передаче по паблик сетям где? Как Вы систему классифицируете - такой потом геморрой и огребете. Вставить ник Quote
chainick Posted November 20, 2009 Posted November 20, 2009 про asa никто ничего не скажет?..ASA 5520-5550 -- это устаревшее PC-шное железо с Pentium 4 от Cisco. Более младшие модели -- и того хуже. Вот до чего пионэры дошли. Я всегда думал, что производительность железки измеряется в пакетах, ну или битах в секунду, а оказывается - в мегагерцах! Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.