Jump to content
Калькуляторы

Построить КСПД федерального уровня для средней компании Помогите выбрать решение, пожалуйста

Добрый день, уважаемые!

Хочу попросить вас помощи в выборе решения для построения сети для компании такого типа (см. схему).

Офисы: ЦО – до 200 компов, 10-15 серверов, РДЦ – 50 компов, 1 сервер, ДОП – 8 компов. Планируется 5-6 РДЦ, в зоне влияния каждого 5-6 ДОП.

Сервисы: Централизовано в ЦО, основное - 1С через терминальные сессии, Exchange.

Каналы: РДЦ-ЦО – VPN, гарантированные 10 мбс, + надо построить туннели через дикий интернет, для резервирования, РДЦ-ДОП ннадо построить туннели через дикий интернет с автоматическим переключение + доступ в интернет через 2-х провайдеров с автоматическим переключением.

Телефония: в ЦО, контакт-центр (уже работает), с возможностью маршрутизации звонка в любой офис. Прямые звонки в ДОП не нужны - через РДЦ или маршрутизация с call-центра. ЦО – 150 абонентов, РДЦ – 50 абонентов, ДОП – 1-2 абонента. Все каналы по SIP желательно, Планируется разворачивать на Asterisk, но варинты возможны.

 

На cisco посчитали - не влазим в бюджет, т.к. цель открыть с минимальными затратами как можно больше РДЦ и ДОП. Интересуют варианты например на dlink или других вендоров.

post-8830-047821500 1334127305_thumb.gif

Share this post


Link to post
Share on other sites

а что считали у цыцки?

гляньте джанипер, если не нужна сверхвысокая скорость впна, то можно глянуть j2320, srx100. цена вопроса первой железки 70килорублей, вторая около 30. покупаете, заливаете прошивку не для европы, используете 3des шифрование :)

единственное, если нужен будет pptp сервер на базе j2320, то нужно будет покупать лицуху.

для телефонии можно и панас взять tde серию. покупаете на нее лицухи на сип, используете)

 

з.ы. джанипер гораздо быстрей возят, т.к. не надо ждать сертификатов как на циску с шифрованием

Edited by Nikolaicheg

Share this post


Link to post
Share on other sites

Спасибо за совет! А есть в городе спецы, чтобы этими джуниперами рулить? Имхъо не очень распростроненное оборудование. И прошивку заливать честно спи... да? ;)

У циски считали схему, что нарисовали, получилось дорого.

Edited by MATPOCKuH

Share this post


Link to post
Share on other sites

А в каком junos'е есть поддержка PPTP сервера?

Share this post


Link to post
Share on other sites

прошивки сливаются с официального сайта джанипера. просто в европе они официально распространяют только один тип железа, чтобы не заморачиваться с сертификатами. и официальный jtac сам говорит, что для поддержки 3des лейте другую версию прошивки)

с поддержкой всё просто - покупаете контракт на годовую поддержку, а потом мучаете JTAC.

по пптп, так в srx100 сразу идет возможность, вроде как даже на 2 подключения)) можно докупить лицух. аналогично можно извратиться и с j2320. версия джуноса у нас стоит начиная с 10.3 и выше.

Share this post


Link to post
Share on other sites

прошивки сливаются с официального сайта джанипера. просто в европе они официально распространяют только один тип железа, чтобы не заморачиваться с сертификатами. и официальный jtac сам говорит, что для поддержки 3des лейте другую версию прошивки)

с поддержкой всё просто - покупаете контракт на годовую поддержку, а потом мучаете JTAC.

по пптп, так в srx100 сразу идет возможность, вроде как даже на 2 подключения)) можно докупить лицух. аналогично можно извратиться и с j2320. версия джуноса у нас стоит начиная с 10.3 и выше.

 

Так это не pptp же, а dynamic ipsec. Причем подключиться можно к нему только через собственный джуниперский клиент, это по крайней мере на 10.4R6.5 так. На количество статических ipsec тунелей ограничений особых нет, но с ними свои приколы есть...

Share this post


Link to post
Share on other sites

Хочется чтобы приколов было поменьше. :)

Edited by MATPOCKuH

Share this post


Link to post
Share on other sites

Так это не pptp же, а dynamic ipsec. Причем подключиться можно к нему только через собственный джуниперский клиент, это по крайней мере на 10.4R6.5 так. На количество статических ipsec тунелей ограничений особых нет, но с ними свои приколы есть...

 

коллега клянется, что делал и обычный пптп на срх100.

не понял про свои приколы? в чем конкретно прикол?

Share this post


Link to post
Share on other sites

да и dynamic vpn работает по принципу того, что юзер авторизуется на специальной странице, и уже после этого скачивает преднастроенный впн клиент.

После аутентификации пользователя на межсетевом экране (по HTTPS) автоматически скачивается уже настроенный VPN-клиент для установки IPSec-туннеля.

Требуется покупка лицензии на соответсвующее число пользователей.

 

 

у srx100 ограничение в 128 туннелей.

Edited by Nikolaicheg

Share this post


Link to post
Share on other sites

уже арендуем - на схеме они есть и подписаны. :) Просто это доступн не везде, поэтому надо иметь возможность кидать туннели через дикий интернет.

Share this post


Link to post
Share on other sites

Имеется vpn-сервер куда можете закинуть все ваши тунели через интернет.

Share this post


Link to post
Share on other sites

уже арендуем - на схеме они есть и подписаны. :) Просто это доступн не везде, поэтому надо иметь возможность кидать туннели через дикий интернет.

 

у меня все точки продаж сидят на таких впнах через дикий тырнет.

уже как года 3, нареканий нет, кроме разве что периодически плохой связанности разных провайдеров.

Share this post


Link to post
Share on other sites

Имеется vpn-сервер куда можете закинуть все ваши тунели через интернет.

дык свой хочется, смыл его арендовать?

Share this post


Link to post
Share on other sites

коллега клянется, что делал и обычный пптп на срх100.

 

а можете у него узнать как он это делал? Тема крайне интересует.

 

не понял про свои приколы? в чем конкретно прикол?

Например для одного тунеля в proxy-id можно указать только одну подсеть для локального и удаленного конца

vpn IPSEC_VPN_E {
   bind-interface st0.1;
   ike {
       gateway IKE_GATEWAY_E;
       proxy-identity {
           local 192.168.10.0/24;
           remote 192.168.200.0/24;
           service any;
       }
       ipsec-policy IPSEC_POLICY;
   }
   establish-tunnels immediately;
}

 

Если между двумя точками нужно шифровать трафик для более чем одной подсети с каждой стороны, то нужно создавать тунели для каждой пары(local-remote) подсетей. В cisco, например, это все можно указать в одном access-list'е и привязать его к одному crypto-map'у.

 

Еще для remote сетей нужно в явном виде прописывать статический маршрут через туннельный интерфейс st0.* Если remote сеть одна, то при прописывании на нее статиков через разные тунели возникают какие-то косяки и трафик может не ходить. Я в деталях не помню уже, но в свое время я намучился с этим делом. В итоге оставил один тунель, но local сеть в proxy-id поставил с аггрегированной маской, которая перекрывала специфики.

Share this post


Link to post
Share on other sites

proxy-identity не обязательно прописывать.

у меня из 10 впнов описано только для 2, и то те, которые не хотели просто так заводиться, логи писали, что он не может найти p2_policy для ipsec'a.

а можете у него узнать как он это делал? Тема крайне интересует.

 

говорит, что настраивал на srx100 всё сначала, а потом куски конфига вставлял на j2320. конфиг кушался железкой без проблем, но без лицензий не работал :)

 

если до точки идет 2 туннеля, то можно через преференс роут настроить маршрутизацию. т.е. выставляется приоритет маршрута, если приоритетный маршрут недоступен, то идет через второй роут.

Share this post


Link to post
Share on other sites

proxy-identity не обязательно прописывать.

у меня из 10 впнов описано только для 2, и то те, которые не хотели просто так заводиться, логи писали, что он не может найти p2_policy для ipsec'a.

 

У меня было т.н. route-based ipsec vpn. Если при нем не прописывать proxy-id в явном виде, то srx будет посылать 0.0.0.0/0 в качестве local и remote. У вас судя по всему используется policy-based vpn, в этом случае proxy-id выставляется в зависимости от того, что прописано в соответствующем security policy. Если в security-policy больше одной сети в match source-address или destination-address, то srx также выставит 0.0.0.0/0 в качестве local и remote proxy-id.

Share this post


Link to post
Share on other sites

proxy-identity не обязательно прописывать.

у меня из 10 впнов описано только для 2, и то те, которые не хотели просто так заводиться, логи писали, что он не может найти p2_policy для ipsec'a.

 

У меня было т.н. route-based ipsec vpn. Если при нем не прописывать proxy-id в явном виде, то srx будет посылать 0.0.0.0/0 в качестве local и remote. У вас судя по всему используется policy-based vpn, в этом случае proxy-id выставляется в зависимости от того, что прописано в соответствующем security policy. Если в security-policy больше одной сети в match source-address или destination-address, то srx также выставит 0.0.0.0/0 в качестве local и remote proxy-id.

тогда у меня получается черти-че)))

у меня есть прописанные в явном виде сети локал\ремоут. есть так же и не прописанные.

роуты статические, описаны в соответствующем разделе.

...
       gateway samp-ike1 {
           ike-policy ike-unipol;
           address ip_here ;
           local-identity inet ip_here ;
           external-interface ge-0/0/3.0;
       }
       gateway izmail-ike {
           ike-policy ike-unipol;
           address ip_here;
           external-interface ge-0/0/3.0;
       }
       gateway lans-ike {
           ike-policy ike-unipol;
           address ip_here;
           no-nat-traversal;
           local-identity inet ip_here;
           external-interface ge-0/0/3.0;
       }
   }
   ipsec {
	...
       vpn pol-vpn {
           bind-interface st0.10;
           ike {
               gateway pol-ike;
               ipsec-policy vpn-unipol;
           }
           establish-tunnels immediately;
       }
....
    	vpn izmail-vpn {
           bind-interface st0.5;
           ike {
               gateway izmail-ike;
               proxy-identity {
                   local 192.168.1.0/24;
                   remote 192.168.11.0/28;
               }
               ipsec-policy vpn-unipol;
           }
           establish-tunnels immediately;
       }
       vpn lans-vpn {
           bind-interface st0.6;
           ike {
               gateway lans-ike;
               ipsec-policy vpn-unipol;
           }
           establish-tunnels immediately;
       }
       vpn zhelez-vpn {
           bind-interface st0.7;
           ike {
               gateway zhelez-ike;
               proxy-identity {
                   local 192.168.1.0/24;
                   remote 192.168.11.32/28;
               }
               ipsec-policy vpn-unipol;
           }
           establish-tunnels immediately;
       }
	}
}

Share this post


Link to post
Share on other sites

где это интересно жунипер дешевле цисок?

Share this post


Link to post
Share on other sites

Проще все на микротике сделать, и все протоколы есть из коробки, и настраивать через winbox совсем не сложно. Для корпоративных нужд более чем...

Share this post


Link to post
Share on other sites

где это интересно жунипер дешевле цисок?

 

к9 циска 2811 стоит от 130к

Share this post


Link to post
Share on other sites

микротик поставьте, но бабло не освоите...

Share this post


Link to post
Share on other sites

Если Вам нужен VPN (IPSec, как офис-офис, так и телекоммютеры на L2TP) + немного OSPF для резервирования, то в ЦО - пару Cisco ASA 5540/5580 (отказоустойчивость). В РДЦ - 5505/5510 (по одной или парами) с лицензией на 50 или UL юзеров. В ДОП - базовые 5505.

 

Посчитайте на ASA'х, вполне возможно, что влезете в бюджет. Эти железки заточены под VPN / Firewall, стоят дешевле мультисервисок, и в плане VPN / Firewall - куда производительнее. Строил на них подобную же сеть - никаких нареканий. Возможно как прокинуть туннель через несколько IP, так и прокинуть два туннеля, и разрулить на OSPF. Единственное что - необходимо грамотное планирование адресации в сети.

Edited by Alex/AT

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this