vavy Опубликовано 13 июля, 2010 · Жалоба Люди! Порекомендуйте пару железок для того чтобы зашифровать, скажем, ipip-туннель, скажем, 3des-ом. Самую эффективную по соотношнию (скорость_пропускания & надежность) / цена. В диапазоне 500-5000 долл. Спасибо! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mschedrin Опубликовано 13 июля, 2010 · Жалоба Писюк :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yakuzzza Опубликовано 13 июля, 2010 · Жалоба 2 писюка ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vavy Опубликовано 13 июля, 2010 · Жалоба я думал, что указанный ценовой диапазон не попадает под попадалово описанное в http://forum.nag.ru/forum/index.php?showtopic=58173 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nikolaicheg Опубликовано 13 июля, 2010 · Жалоба жанипер смотри) ипсек, 3дес, все дела. до 5000 баксов чо хошь можно взять) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vavy Опубликовано 14 июля, 2010 · Жалоба жанипер смотри)ипсек, 3дес, все дела. до 5000 баксов чо хошь можно взять) Juniper тоже так же невозможно официально купить из-за таможенных барьеров? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex/AT Опубликовано 14 июля, 2010 · Жалоба ASA 5505. Дешево и неплохо по производительности. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
i.zhuvakov Опубликовано 14 июля, 2010 · Жалоба Люди! Порекомендуйте пару железок для того чтобы зашифровать, скажем, ipip-туннель, скажем, 3des-ом.Самую эффективную по соотношнию (скорость_пропускания & надежность) / цена. В диапазоне 500-5000 долл. Спасибо! 2 писюка + Linux Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vavy Опубликовано 14 июля, 2010 · Жалоба Люди! Порекомендуйте пару железок для того чтобы зашифровать, скажем, ipip-туннель, скажем, 3des-ом.Самую эффективную по соотношнию (скорость_пропускания & надежность) / цена. В диапазоне 500-5000 долл. Спасибо! 2 писюка + Linux как оказалось, не особо просто найти 2 писюка в миниатюрном исполнении (micro-itx высотой в 4,5см) так чтобы туда четырехядерный проц встал и материнка чтобы была с двумя гигабитными нормальными сетевухами.Может кто-то уже подбирал решение такое? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
woddy Опубликовано 14 июля, 2010 · Жалоба вам какая производительность тунеля нужна? зачем вам 4 ядра? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mschedrin Опубликовано 14 июля, 2010 · Жалоба vavy у вас проблема с местм в стойке? Купите писюк, а на сэкномленные деньги еще одну стойку :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vavy Опубликовано 14 июля, 2010 · Жалоба вам какая производительность тунеля нужна? зачем вам 4 ядра? 200 мбит 3des хочу. А лучше 1000 мбит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nikolaicheg Опубликовано 16 июля, 2010 · Жалоба vavy Жаниперы ввозят без проблем. у них другая политика. они по-умолчанию предлагают базовый софт. заказав годовой контракт поддержки, вы получаете доступ в репозиторий софта. там можно скачать полноценную версию с 3des шифрованием. я использую у себя два j-2320 и пять штук srx-100. При хотелках 1000мбит 3DES вам, думается мне, не удастся найти необходимое железо :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
trace Опубликовано 16 июля, 2010 · Жалоба делали туннель на микротиках RB750G, EoIP -> PPtP с шифрованием, вроде так. 50мбит держало. Учитывая стоимость такого решения в 100 баксов за сторону, можно придумать довольно неплохую схемку, в этом направлении. решение колхозное, но мы так объединили филиалы, всё работает, все довольны. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
puh Опубликовано 16 июля, 2010 · Жалоба trace 1 гиг / 50 мбит = 20 железок с каждой стороны. Чем балансировать трафик на 20 линков будете? asa 5505 тоже на гиг не пойдёт. На гиг [согласно даташиту] требуется ASA 5580. Но формат её далеко не mini-itx, да и цена не 5000 уе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
trace Опубликовано 16 июля, 2010 · Жалоба есть железки помощнее и подороже, я описал то, что мы запускали. да и вопрос в том, каково предназначение - закрыть аську от посторонних глаз, или филиал банка подключить и сдать линию связи всем проверкам. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex/AT Опубликовано 19 июля, 2010 (изменено) · Жалоба Да, на тысячку - только 5580. На 200 можно обойтись и 5520, по опыту. Изменено 19 июля, 2010 пользователем Alex/AT Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 23 июля, 2010 · Жалоба Mikrotik RB/800PI 2 * $500. Встроенная RouterOS умеет PPTP, OpenVPN и IPSec. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex/AT Опубликовано 23 июля, 2010 (изменено) · Жалоба MPC8544 800MHz пропустит 1гбит IPSec/3DES? Оно в чистом роутинге пропускает только 1.5 гига, а тут еще туннель + шифрование. Оценка такова - в 3DES - не более 40-60 мбит для данной железки, в AES - и того меньше. http://www.routerboard.com/pdf/routerboard...mance_tests.pdf Под такую задачу только железки с поддержкой аппаратной криптовалки типа той же ASA, иного не дано. Ну или - как уже было сказано - пара достаточно мощных серваков на линухах, ядра должны быть производительными. По оценке - что-то класса Xeon W5580 справится и с гигом. Изменено 23 июля, 2010 пользователем Alex/AT Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
a0d75 Опубликовано 23 июля, 2010 · Жалоба У микротика рб1000 есть аппаратный акселератор ipsec. При копеечной цене устройств получите пол гигабита (по заявлениям производителя) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GreyWolf Опубликовано 23 июля, 2010 (изменено) · Жалоба Давненько делал шифрование L2-линка между офисами на базе двух P4-2.8 писюков и OpenVPN (шифровал blowfish'ем). Скорости проца хватило на 100МБит полу-дуплекса. Бюджет, сами понимаете - просто смешной :) Выбирал именно blowfish и, как следствие OpenVPN, только из-за скорости - с 3DES'ом на 100Mbit писюки уже не справлялись, а AES в той версии openssl был ещё тормозной. Цифры максимальной производительности OpenVPN хорошо коррелируют с "openssl speed алгортим". Так что, гигабит в софте на дешёвом железе обработать не получится, а вот с пол-гигабита при умелом распараллеливании по ядрам - можно попробовать. Что ещё приятно, так это то, что отказоустойчивость можно реализовать в такой схеме крайне просто - 2 компа с каждой стороны, OpenVPN в режиме моста и etherchannel с обеих сторон, можно даже 802.1Q пробросить :-) Изменено 23 июля, 2010 пользователем GreyWolf Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AciDSAS Опубликовано 24 июля, 2010 · Жалоба Из писюков на ум напрашивается процессор Via с модулем PadLock. PadLock — аппаратное шифрование AES и, вроде, 3DES. Были где-то бенчмарки по отношению к Intel Core & Intel P4 процессорам. Intel сильно отставал... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 26 июля, 2010 · Жалоба Давненько делал шифрование L2-линка между офисами на базе двух P4-2.8 писюков и OpenVPN (шифровал blowfish'ем). Скорости проца хватило на 100МБит полу-дуплекса. Бюджет, сами понимаете - просто смешной :)Выбирал именно blowfish и, как следствие OpenVPN, только из-за скорости - с 3DES'ом на 100Mbit писюки уже не справлялись, а AES в той версии openssl был ещё тормозной. Цифры максимальной производительности OpenVPN хорошо коррелируют с "openssl speed алгортим". Так что, гигабит в софте на дешёвом железе обработать не получится, а вот с пол-гигабита при умелом распараллеливании по ядрам - можно попробовать. Можно было ещё с ключами компилятора при сборке поигратся, тот же -O3, -OS или ещё что - это самое простое. Можно найти реализации самих алгоритмов шифрования на асме с использованием SSE/MMX и пр и использовать их, если там код на си, это всё может очень даже поднять производительность. Ещё, в доках на фряху есть как поднимать IPSec тунель, там вроде всё шифрование в ядре остаётся, это тоже ощутимый плюс к производительности, в сравнении с юзерспейс OpenVPN. Проблема производительности - в том что переносимый код на си предпочтительнее: писать/отлаживать проще. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GreyWolf Опубликовано 27 июля, 2010 · Жалоба Можно было ещё с ключами компилятора при сборке поигратся, тот же -O3, -OS или ещё что - это самое простое.Можно найти реализации самих алгоритмов шифрования на асме с использованием SSE/MMX и пр и использовать их, если там код на си, это всё может очень даже поднять производительность. В OpenSSL и так большая часть реализации криптоалгоритмов на ASM'е. И дополнительная оптимизация компилятора уже не спасет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
