[Nikolaicheg]

Всем доброго времени суток.

Необходимо сделать впн-канал между 3 офисами.

Какое железо лучше взять? Необходимы параметры:

-нат в интернет

-роутинг между офисами

-общая скорость в инет 10-20 мегабит

-возможно нетфлоу.

 

смотрел в сторону asa-5000 серии, но слышал, что изменили правила ввоза в Россию и есть некоторые затруднения в сроках поставки.

[_dmitr_]

в центральный фис freebsd а в остальные поставьте самы ешевый длинк и все будет раотать. и ненао говорить что асус лучшелинка а триком или зюхел еще круче, все из одного текстоилита и одни микросем, при нормальном питании все будет классно.

[Ivan_83]

Я бы поставил DFL210 везде, если нужно именно железками.

Дешёвый длинк для дома, где юзер от скуки будет его перезагружать раз в сутки.

[Nikolaicheg]

про asa никто ничего не скажет?..

[Stak]

А что про неё сказить?

Вашим хотелкам удовлетворяет, кроме нетфлоу. В остальном - хорошо но дорого:)

[Nikolaicheg]

а какую-нибудь статистику по нату, кто куда ходил, с нее можно снять?

 

альтернативные девайсы, окромя длинка есть еще? :)

Изменено 7 ноября, 2009 пользователем Nikolaicheg

[Stak]

а какую-нибудь статистику по нату, кто куда ходил, с нее можно снять?

Могёт сливать лог по трансляциям на сислог...

[troyand]

В последних версиях asa netflow добавили, но только v9 и без экспорта объемов трафика. Проверял, даже на 5505 пасочке работает. Netflow там создает запись при (не)пускании кого-то по ACL.

 

[Nikolaicheg]

Обратился к поставщику насчет ASA серии. как поискал по форуму, с асами сейчас проблемы изза сертификации фсб, теперь они поставляются порядка 4 месяцев..

получил предложение по аналогам:

Juniper серии SSG и IBM Proventia® Network Multi-Function Security (MFS).

 

поэтому вопрос, кто что юзал, какие впечатления?

[Leooo]

Могу помочь с ASA.

[Nikolaicheg]

я уже отказался от идеи АСА. мне варианты с ssg и ibm больше нравятся. на АСА за всякие лицензии тока успевай бабло выкладывать :)

впрочем и на другие варианты тож бабло надо, но, по моим прикидкам, куда более скромное...

[photon]

про asa никто ничего не скажет?..

ASA 5520-5550 -- это устаревшее PC-шное железо с Pentium 4 от Cisco. Более младшие модели -- и того хуже.

Изменено 13 ноября, 2009 пользователем photon

[Nikolaicheg]

ASA 5520-5550 -- это устаревшее PC-шное железо с Pentium 4 от Cisco. Более младшие модели -- и того хуже.

это тоже камень в огород asa. уже другие мысли... читать последние посты :)

[DenKZ]

ASA 5520-5550 -- это устаревшее PC-шное железо с Pentium 4 от Cisco. Более младшие модели -- и того хуже.

А зачем туда что-то более современное пихать - производительности CPU и шины хватает...

Криптопроцессор отдельный чип...

ASA5510-ASA5550 - мамка одинаковая... - отличаются установленными CPU и распаянными сетевыми контроллерами (5510 от более старших)

ASA5510 - P4 Celeron 1.6

ASA5520 - P4 Celeron 2.0

Чипсет 865 вариант с ESB2 мостом - ECC память и пр...

Я себе в 5520 заменил CPU на P4 2.4... - пока доволен - трансфер файлов из DMZ в LAN - до 50 Мбайт/с...

[Ivan_83]

Если не дфл 210 тогда вообще пс роутер воткнуть и забыть.

[_dmitr_]

можем помочь вреализации впна, недорого)) стабильно и надежно.

[izuware]

в центральный фис freebsd а в остальные поставьте самы ешевый длинк и все будет раотать.

а если вспомнить ФЗ 152 о защите персональных данных? что работать то то будет - это понятно, а сертификаты на это где?

[yakuzzza]

Центральный офис на cisco2811/2821 - IOS с поддержкой энкриптинга, cisco 800-серии на удаленные точки также с энкриптингом.

Между роутерами IPSec, OSPF, netflow v5, NAT, ACL - конфиги 100500 раз разжеваны везде, все работает с полпинка.

В принципе, довольно распространенная схема. Большое количество вариантов моделей и модулей.

 

Ну или бюджетное решение - Free/OpenBSD, они умеют все. И нетфлов тоже.

 

[dsk]

а если вспомнить ФЗ 152 о защите персональных данных?

А причем тут это? Откуда вы знаете для чего этот впн нужен? Может там сотрудники в контру будут рубиться через этот впн :)

Давайте еще сюда лицензии фсб прикрутим для пущей понтявости и все в таком роде.

[Ivan_83]

10-20 мегабит даже сохо железки длинка прожуют, некоторые.

[Nikolaicheg]

вобщем с цысками любыми секурными полная труба по поставкам.

я остановил свой выбор на juniper j-2320. на выносных точках возможно srx-100.

[izuware]

а если вспомнить ФЗ 152 о защите персональных данных?

А причем тут это? Откуда вы знаете для чего этот впн нужен? Может там сотрудники в контру будут рубиться через этот впн :)

Давайте еще сюда лицензии фсб прикрутим для пущей понтявости и все в таком роде.

это понятно что все впны для контры создаются :)

я как раз про вырожденый случай, где надо впн по требованиям ФЗ 152

[Nickuz]

в центральный фис freebsd а в остальные поставьте самы ешевый длинк и все будет раотать.

а если вспомнить ФЗ 152 о защите персональных данных? что работать то то будет - это понятно, а сертификаты на это где?

А требование к ИСПДн на защиту при передаче по паблик сетям где? Как Вы систему классифицируете - такой потом геморрой и огребете.

[chainick]

про asa никто ничего не скажет?..

ASA 5520-5550 -- это устаревшее PC-шное железо с Pentium 4 от Cisco. Более младшие модели -- и того хуже.

Вот до чего пионэры дошли. Я всегда думал, что производительность железки измеряется в пакетах, ну или битах в секунду, а оказывается - в мегагерцах!