ch1234 Опубликовано 24 марта, 2010 · Жалоба Добрый день! Гспода есть один вопросик, может не в тему, но пока не можем найти решение. Задача следующая: есть 2 здания - между ними лежит отптика. Оптика используется для взаимодействия между 2-мя сетями зданий. В данный момент оптика тупо включена в Cisco Catalyst 3750 в SPF модули. Линк уровня L2. В итоге проблемма - линк не безопасен, т.е. формально можно в разрыве поставить комутатор оптический и проникнуть в сеть. Что хочется - на концах линка поставить 2 железки которые между собой будут шифровать трафик. Скорость линка до 10 Гб. Желательно, чтоб линк остался L2. Поставть маршрутизатор Cisco и поднять IPSEC не проблемма - но это будет стоить на таких скоростях очень дорого да и выглядит не рационально - ради одного туннеля. Может есть какие нибудь узкоспециализированные желлезки??? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dIMbI4 Опубликовано 24 марта, 2010 · Жалоба а может быть просто алярм по пропаданию линка и чоп? нахрена оно вам. что у вас такого гоняется точ ради этого партизаны будут оптику резать. проще уж вайфай донгл воткнуть в персоналку или флешку и угнать все что надо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ch1234 Опубликовано 24 марта, 2010 (изменено) · Жалоба это банк т.ч. есть что гонять :) Вай фай у нас воткнуть достаточно трудно .... как и флешку А алярм как вариант - но хочется красиво....хотя и ребята с автоматами есть Изменено 24 марта, 2010 пользователем ch1234 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yegorgk Опубликовано 24 марта, 2010 · Жалоба Непонятно как вы это себе предстовляеете воткнуть просто так комутатор в разрыв, можно помоему перенастроить счетчик error disable и по пропаданию хотябы раз связи линк не поднимится пока не сбросите счетчик, и никто не сможет воткнуть коммутатор в разрыв потому как больше ничего не поднимится. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
JoeDoe Опубликовано 24 марта, 2010 · Жалоба Всё сильно зависит от скоростей. Шифровать на ходу 1 Gbit/s - это вам не мешки ворочить. Решения для шифрования L2 траффика есть - как в режиме точка-точка, так и точка-многоточек. Вот пример. Есть пример использования в ЕС, но не в России. Будут ли проблемы с импортом - не знаю, но скорей всего будут. Всё это отнюдь не дешево, потому как wire-speed. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ch1234 Опубликовано 24 марта, 2010 · Жалоба спасибо за пример... изучаем По error disable конечно то же можно. Но если честно есть еще задача - подобная - есть линк такой же но 15 км предоставляется провайдером несколько прямых волокон. В этом случает ероор дисайбл может не подойти тк. могут быть падения. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
witch Опубликовано 24 марта, 2010 · Жалоба Уберите Ethernet из оптики и запустите SDH :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Rostovikov Опубликовано 24 марта, 2010 · Жалоба SFP с аппаратным шифрованием по обе стороны ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ch1234 Опубликовано 24 марта, 2010 · Жалоба SFP с аппаратным шифрованием по обе стороны ? А такие есть? с Вашей подачи нашел еще интересную вещь http://www.datasec.ru/prod/safee.html но цена не рабоует конечно http://price.ru/bin/price/prodlist?curr=2&...10&where=00 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
boykov Опубликовано 24 марта, 2010 · Жалоба а поставить в регламент съем рефлектограммы? Была бы медь -- так половина свичей это умеют чуть не в онлайне. С оптикой придется отключать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ch1234 Опубликовано 24 марта, 2010 · Жалоба а поставить в регламент съем рефлектограммы?Была бы медь -- так половина свичей это умеют чуть не в онлайне. С оптикой придется отключать. Отключать нет возможности. Да и осо не умеем жто делать... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Виктор Трофимов Опубликовано 24 марта, 2010 · Жалоба Разделить на 2 подсети а между ними шифрованный канал? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ch1234 Опубликовано 24 марта, 2010 · Жалоба Разделить на 2 подсети а между ними шифрованный канал? Можно и разделить - т.е. линк будет L3 тогда. Есть что нибудь такое для шифрования? Мы можем поставить Cisco ASR или что то подобное но имхо это многовать для одного линка - если честно хочется коробку какую нибудть недорогую....тысяч в 100 двести с каждой стороны и чтоб она работали толкьо на этом линке Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shaytan Опубликовано 24 марта, 2010 · Жалоба Может несколько линков по 100Мбит зашифровать? http://www.amicon.ru/fpsuip/case.htm Устройство прозрачно на L2. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
CNick Опубликовано 24 марта, 2010 · Жалоба VPLS over IPSec? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Skylaer Опубликовано 24 марта, 2010 · Жалоба А я круче вариант знаю :) соберите etherchanel на 2 портах, с балансировкой per packet и пусть люди упарятся что-то оттуда снифать. p.s. Для сосбых извращенцев - CWDM на 2-4 канала по 1 волокну + езерчанел..Стоимость сниффинга подобного трафика будет такая, что проще застрелиться и купить банк. Наверное даже останется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dIMbI4 Опубликовано 24 марта, 2010 · Жалоба Skylaer, кстати мысль не плоха....... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 24 марта, 2010 · Жалоба Может несколько линков по 100Мбит зашифровать?http://www.amicon.ru/fpsuip/case.htm Устройство прозрачно на L2. openvpn с tap интерфейсами сверхсложная задача. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Skylaer Опубликовано 24 марта, 2010 · Жалоба Skylaer, кстати мысль не плоха....... Я в курсе. С топикстартера пиво :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zoro Опубликовано 24 марта, 2010 · Жалоба Я бы в такой банк деньги не положил-бы ... Да и хотелка сэкономить на шифраторах, при этом имея возможность построить сеть на Сиське и 10Г... смотрится подозрительно... Вообще у банка должно быть две сети внешняя и внутренняя.. отделяется друг от друга шифратором... все что бегает между филиалами банка все шифруется(на практике Л3 уровень)... скорость выжать - да это проблема но кластер из шифровальщиков позволит избавится от этого недостатка... из того что использовал- ФПСУ от амикона, понравились... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dsk Опубликовано 24 марта, 2010 · Жалоба И накой нужен этот амикон? Писюк писюком... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
CNick Опубликовано 24 марта, 2010 · Жалоба Та да, переплачивать деньги за обычный ПК как-то странно. Если не юзать решения от хардварных вендоров то смысл покупать это? не рыба не мясо, надежность как у ПК, а за такой ценник лучше просто сервак поставить для шифрования + еще останется на парочку запасных. etherchannel + CWDM зачет )) хотя банк наверно не то место где можно внедрять такие системы, иллюзия защиты еще хуже чем ее отсутствие. Немного глупый вопрос для не просвещенных, зачем банкам такие каналы? Как-то видел 10G стек филиала с главным отделением, думал просто некуда деньги пристроить, но я так понял что это нормальная практика для банков. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zoro Опубликовано 25 марта, 2010 · Жалоба отделение банка с 500 пользователями- машинами, коммутаторы не корзина, а наборчик из 24х или 48 портовых коммутаторов, все прекрасно работает на стеке- между узлами которого проложены обычные 1гб линки, Задача AD, сервер приложений 60%, 30% оракловских транзакций, 5%- терминальные клиенты, 5% всякая всячина.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ch1234 Опубликовано 25 марта, 2010 (изменено) · Жалоба Немного глупый вопрос для не просвещенных, зачем банкам такие каналы? Как-то видел 10G стек филиала с главным отделением, думал просто некуда деньги пристроить, но я так понял что это нормальная практика для банков. 2 здания в каждом по 500 человек - здания в 500 метрах друг от друго. Серверная в первом здании. Хочется надежный канал иметь. + гоняют файлы иногда по 50-100 Гб... 10 Гб это конечно на рост, а гигабит самое то. Постоить на цисках - не проблемма - сейчас рассматриваются технические вопросы. Согласистесь ставить железку которая умеет 1000 вещей для 1 дела - ну неразумно - надо тупо зашифровать 1 канал, а ставить железку которая умеет шифровать 5000 тунелей (и ббольшая часть ее стоимости из за этого) - зачем... К стати по своему опыту - банки очень умеют считать деньги А я круче вариант знаю :)соберите etherchanel на 2 портах, с балансировкой per packet и пусть люди упарятся что-то оттуда снифать. p.s. Для сосбых извращенцев - CWDM на 2-4 канала по 1 волокну + езерчанел..Стоимость сниффинга подобного трафика будет такая, что проще застрелиться и купить банк. Наверное даже останется. Очень интересная идея - подумаем посмотрм СПАСИБО!!! отделение банка с 500 пользователями- машинами, коммутаторы не корзина, а наборчик из 24х или 48 портовых коммутаторов, все прекрасно работает на стеке- между узлами которого проложены обычные 1гб линки, Задача AD, сервер приложений 60%, 30% оракловских транзакций, 5%- терминальные клиенты, 5% всякая всячина.... А линки шифруются? А если короткие но лежат во враждебной территории??? Изменено 25 марта, 2010 пользователем ch1234 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
eugene210682 Опубликовано 25 марта, 2010 · Жалоба Уберите Ethernet из оптики и запустите SDH :) И как это может помочь? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...