Jump to content
Калькуляторы

организация vpn канала между офисами + раздача интернета какое железо лучше взять?

Всем доброго времени суток.

Необходимо сделать впн-канал между 3 офисами.

Какое железо лучше взять? Необходимы параметры:

-нат в интернет

-роутинг между офисами

-общая скорость в инет 10-20 мегабит

-возможно нетфлоу.

 

смотрел в сторону asa-5000 серии, но слышал, что изменили правила ввоза в Россию и есть некоторые затруднения в сроках поставки.

Share this post


Link to post
Share on other sites

в центральный фис freebsd а в остальные поставьте самы ешевый длинк и все будет раотать. и ненао говорить что асус лучшелинка а триком или зюхел еще круче, все из одного текстоилита и одни микросем, при нормальном питании все будет классно.

Share this post


Link to post
Share on other sites

Я бы поставил DFL210 везде, если нужно именно железками.

Дешёвый длинк для дома, где юзер от скуки будет его перезагружать раз в сутки.

Share this post


Link to post
Share on other sites

А что про неё сказить?

Вашим хотелкам удовлетворяет, кроме нетфлоу. В остальном - хорошо но дорого:)

Share this post


Link to post
Share on other sites

а какую-нибудь статистику по нату, кто куда ходил, с нее можно снять?

 

альтернативные девайсы, окромя длинка есть еще? :)

Edited by Nikolaicheg

Share this post


Link to post
Share on other sites
а какую-нибудь статистику по нату, кто куда ходил, с нее можно снять?

Могёт сливать лог по трансляциям на сислог...

Share this post


Link to post
Share on other sites

В последних версиях asa netflow добавили, но только v9 и без экспорта объемов трафика. Проверял, даже на 5505 пасочке работает. Netflow там создает запись при (не)пускании кого-то по ACL.

 

Share this post


Link to post
Share on other sites

Обратился к поставщику насчет ASA серии. как поискал по форуму, с асами сейчас проблемы изза сертификации фсб, теперь они поставляются порядка 4 месяцев..

получил предложение по аналогам:

Juniper серии SSG и IBM Proventia® Network Multi-Function Security (MFS).

 

поэтому вопрос, кто что юзал, какие впечатления?

Share this post


Link to post
Share on other sites

я уже отказался от идеи АСА. мне варианты с ssg и ibm больше нравятся. на АСА за всякие лицензии тока успевай бабло выкладывать :)

впрочем и на другие варианты тож бабло надо, но, по моим прикидкам, куда более скромное...

Share this post


Link to post
Share on other sites

про asa никто ничего не скажет?..

ASA 5520-5550 -- это устаревшее PC-шное железо с Pentium 4 от Cisco. Более младшие модели -- и того хуже.

Edited by photon

Share this post


Link to post
Share on other sites

ASA 5520-5550 -- это устаревшее PC-шное железо с Pentium 4 от Cisco. Более младшие модели -- и того хуже.

это тоже камень в огород asa. уже другие мысли... читать последние посты :)

Share this post


Link to post
Share on other sites
ASA 5520-5550 -- это устаревшее PC-шное железо с Pentium 4 от Cisco. Более младшие модели -- и того хуже.
А зачем туда что-то более современное пихать - производительности CPU и шины хватает...

Криптопроцессор отдельный чип...

ASA5510-ASA5550 - мамка одинаковая... - отличаются установленными CPU и распаянными сетевыми контроллерами (5510 от более старших)

ASA5510 - P4 Celeron 1.6

ASA5520 - P4 Celeron 2.0

Чипсет 865 вариант с ESB2 мостом - ECC память и пр...

Я себе в 5520 заменил CPU на P4 2.4... - пока доволен - трансфер файлов из DMZ в LAN - до 50 Мбайт/с...

Share this post


Link to post
Share on other sites

Если не дфл 210 тогда вообще пс роутер воткнуть и забыть.

Share this post


Link to post
Share on other sites

можем помочь вреализации впна, недорого)) стабильно и надежно.

Share this post


Link to post
Share on other sites

в центральный фис freebsd а в остальные поставьте самы ешевый длинк и все будет раотать.

а если вспомнить ФЗ 152 о защите персональных данных? что работать то то будет - это понятно, а сертификаты на это где?

Share this post


Link to post
Share on other sites

Центральный офис на cisco2811/2821 - IOS с поддержкой энкриптинга, cisco 800-серии на удаленные точки также с энкриптингом.

Между роутерами IPSec, OSPF, netflow v5, NAT, ACL - конфиги 100500 раз разжеваны везде, все работает с полпинка.

В принципе, довольно распространенная схема. Большое количество вариантов моделей и модулей.

 

Ну или бюджетное решение - Free/OpenBSD, они умеют все. И нетфлов тоже.

 

Share this post


Link to post
Share on other sites
а если вспомнить ФЗ 152 о защите персональных данных?
А причем тут это? Откуда вы знаете для чего этот впн нужен? Может там сотрудники в контру будут рубиться через этот впн :)

Давайте еще сюда лицензии фсб прикрутим для пущей понтявости и все в таком роде.

Share this post


Link to post
Share on other sites

10-20 мегабит даже сохо железки длинка прожуют, некоторые.

Share this post


Link to post
Share on other sites

вобщем с цысками любыми секурными полная труба по поставкам.

я остановил свой выбор на juniper j-2320. на выносных точках возможно srx-100.

Share this post


Link to post
Share on other sites
а если вспомнить ФЗ 152 о защите персональных данных?
А причем тут это? Откуда вы знаете для чего этот впн нужен? Может там сотрудники в контру будут рубиться через этот впн :)

Давайте еще сюда лицензии фсб прикрутим для пущей понтявости и все в таком роде.

это понятно что все впны для контры создаются :)

я как раз про вырожденый случай, где надо впн по требованиям ФЗ 152

Share this post


Link to post
Share on other sites
в центральный фис freebsd а в остальные поставьте самы ешевый длинк и все будет раотать.

а если вспомнить ФЗ 152 о защите персональных данных? что работать то то будет - это понятно, а сертификаты на это где?

А требование к ИСПДн на защиту при передаче по паблик сетям где? Как Вы систему классифицируете - такой потом геморрой и огребете.

Share this post


Link to post
Share on other sites
про asa никто ничего не скажет?..
ASA 5520-5550 -- это устаревшее PC-шное железо с Pentium 4 от Cisco. Более младшие модели -- и того хуже.

Вот до чего пионэры дошли. Я всегда думал, что производительность железки измеряется в пакетах, ну или битах в секунду, а оказывается - в мегагерцах!

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this