Jump to content

Построить КСПД федерального уровня для средней компании

MATPOCKuH
 Share

Recommended Posts

MATPOCKuH

MATPOCKuH

Posted
Posted

Добрый день, уважаемые!

Хочу попросить вас помощи в выборе решения для построения сети для компании такого типа (см. схему).

Офисы: ЦО – до 200 компов, 10-15 серверов, РДЦ – 50 компов, 1 сервер, ДОП – 8 компов. Планируется 5-6 РДЦ, в зоне влияния каждого 5-6 ДОП.

Сервисы: Централизовано в ЦО, основное - 1С через терминальные сессии, Exchange.

Каналы: РДЦ-ЦО – VPN, гарантированные 10 мбс, + надо построить туннели через дикий интернет, для резервирования, РДЦ-ДОП ннадо построить туннели через дикий интернет с автоматическим переключение + доступ в интернет через 2-х провайдеров с автоматическим переключением.

Телефония: в ЦО, контакт-центр (уже работает), с возможностью маршрутизации звонка в любой офис. Прямые звонки в ДОП не нужны - через РДЦ или маршрутизация с call-центра. ЦО – 150 абонентов, РДЦ – 50 абонентов, ДОП – 1-2 абонента. Все каналы по SIP желательно, Планируется разворачивать на Asterisk, но варинты возможны.

 

На cisco посчитали - не влазим в бюджет, т.к. цель открыть с минимальными затратами как можно больше РДЦ и ДОП. Интересуют варианты например на dlink или других вендоров.

post-8830-047821500 1334127305_thumb.gif

Nikolaicheg

Nikolaicheg

Posted
Posted (edited)

а что считали у цыцки?

гляньте джанипер, если не нужна сверхвысокая скорость впна, то можно глянуть j2320, srx100. цена вопроса первой железки 70килорублей, вторая около 30. покупаете, заливаете прошивку не для европы, используете 3des шифрование :)

единственное, если нужен будет pptp сервер на базе j2320, то нужно будет покупать лицуху.

для телефонии можно и панас взять tde серию. покупаете на нее лицухи на сип, используете)

 

з.ы. джанипер гораздо быстрей возят, т.к. не надо ждать сертификатов как на циску с шифрованием

Edited by Nikolaicheg
MATPOCKuH

MATPOCKuH

Posted
  • Author
Posted (edited)

Спасибо за совет! А есть в городе спецы, чтобы этими джуниперами рулить? Имхъо не очень распростроненное оборудование. И прошивку заливать честно спи... да? ;)

У циски считали схему, что нарисовали, получилось дорого.

Edited by MATPOCKuH
Nikolaicheg

Nikolaicheg

Posted
Posted

прошивки сливаются с официального сайта джанипера. просто в европе они официально распространяют только один тип железа, чтобы не заморачиваться с сертификатами. и официальный jtac сам говорит, что для поддержки 3des лейте другую версию прошивки)

с поддержкой всё просто - покупаете контракт на годовую поддержку, а потом мучаете JTAC.

по пптп, так в srx100 сразу идет возможность, вроде как даже на 2 подключения)) можно докупить лицух. аналогично можно извратиться и с j2320. версия джуноса у нас стоит начиная с 10.3 и выше.

agr

agr

Posted
Posted

прошивки сливаются с официального сайта джанипера. просто в европе они официально распространяют только один тип железа, чтобы не заморачиваться с сертификатами. и официальный jtac сам говорит, что для поддержки 3des лейте другую версию прошивки)

с поддержкой всё просто - покупаете контракт на годовую поддержку, а потом мучаете JTAC.

по пптп, так в srx100 сразу идет возможность, вроде как даже на 2 подключения)) можно докупить лицух. аналогично можно извратиться и с j2320. версия джуноса у нас стоит начиная с 10.3 и выше.

 

Так это не pptp же, а dynamic ipsec. Причем подключиться можно к нему только через собственный джуниперский клиент, это по крайней мере на 10.4R6.5 так. На количество статических ipsec тунелей ограничений особых нет, но с ними свои приколы есть...

Nikolaicheg

Nikolaicheg

Posted
Posted

Так это не pptp же, а dynamic ipsec. Причем подключиться можно к нему только через собственный джуниперский клиент, это по крайней мере на 10.4R6.5 так. На количество статических ipsec тунелей ограничений особых нет, но с ними свои приколы есть...

 

коллега клянется, что делал и обычный пптп на срх100.

не понял про свои приколы? в чем конкретно прикол?

Nikolaicheg

Nikolaicheg

Posted
Posted (edited)

да и dynamic vpn работает по принципу того, что юзер авторизуется на специальной странице, и уже после этого скачивает преднастроенный впн клиент.

После аутентификации пользователя на межсетевом экране (по HTTPS) автоматически скачивается уже настроенный VPN-клиент для установки IPSec-туннеля.

Требуется покупка лицензии на соответсвующее число пользователей.

 

 

у srx100 ограничение в 128 туннелей.

Edited by Nikolaicheg
MATPOCKuH

MATPOCKuH

Posted
  • Author
Posted

уже арендуем - на схеме они есть и подписаны. :) Просто это доступн не везде, поэтому надо иметь возможность кидать туннели через дикий интернет.

Nikolaicheg

Nikolaicheg

Posted
Posted

уже арендуем - на схеме они есть и подписаны. :) Просто это доступн не везде, поэтому надо иметь возможность кидать туннели через дикий интернет.

 

у меня все точки продаж сидят на таких впнах через дикий тырнет.

уже как года 3, нареканий нет, кроме разве что периодически плохой связанности разных провайдеров.

agr

agr

Posted
Posted

коллега клянется, что делал и обычный пптп на срх100.

 

а можете у него узнать как он это делал? Тема крайне интересует.

 

не понял про свои приколы? в чем конкретно прикол?

Например для одного тунеля в proxy-id можно указать только одну подсеть для локального и удаленного конца

vpn IPSEC_VPN_E {
   bind-interface st0.1;
   ike {
       gateway IKE_GATEWAY_E;
       proxy-identity {
           local 192.168.10.0/24;
           remote 192.168.200.0/24;
           service any;
       }
       ipsec-policy IPSEC_POLICY;
   }
   establish-tunnels immediately;
}

 

Если между двумя точками нужно шифровать трафик для более чем одной подсети с каждой стороны, то нужно создавать тунели для каждой пары(local-remote) подсетей. В cisco, например, это все можно указать в одном access-list'е и привязать его к одному crypto-map'у.

 

Еще для remote сетей нужно в явном виде прописывать статический маршрут через туннельный интерфейс st0.* Если remote сеть одна, то при прописывании на нее статиков через разные тунели возникают какие-то косяки и трафик может не ходить. Я в деталях не помню уже, но в свое время я намучился с этим делом. В итоге оставил один тунель, но local сеть в proxy-id поставил с аггрегированной маской, которая перекрывала специфики.

Nikolaicheg

Nikolaicheg

Posted
Posted

proxy-identity не обязательно прописывать.

у меня из 10 впнов описано только для 2, и то те, которые не хотели просто так заводиться, логи писали, что он не может найти p2_policy для ipsec'a.

а можете у него узнать как он это делал? Тема крайне интересует.

 

говорит, что настраивал на srx100 всё сначала, а потом куски конфига вставлял на j2320. конфиг кушался железкой без проблем, но без лицензий не работал :)

 

если до точки идет 2 туннеля, то можно через преференс роут настроить маршрутизацию. т.е. выставляется приоритет маршрута, если приоритетный маршрут недоступен, то идет через второй роут.

agr

agr

Posted
Posted

proxy-identity не обязательно прописывать.

у меня из 10 впнов описано только для 2, и то те, которые не хотели просто так заводиться, логи писали, что он не может найти p2_policy для ipsec'a.

 

У меня было т.н. route-based ipsec vpn. Если при нем не прописывать proxy-id в явном виде, то srx будет посылать 0.0.0.0/0 в качестве local и remote. У вас судя по всему используется policy-based vpn, в этом случае proxy-id выставляется в зависимости от того, что прописано в соответствующем security policy. Если в security-policy больше одной сети в match source-address или destination-address, то srx также выставит 0.0.0.0/0 в качестве local и remote proxy-id.

Nikolaicheg

Nikolaicheg

Posted
Posted

proxy-identity не обязательно прописывать.

у меня из 10 впнов описано только для 2, и то те, которые не хотели просто так заводиться, логи писали, что он не может найти p2_policy для ipsec'a.

 

У меня было т.н. route-based ipsec vpn. Если при нем не прописывать proxy-id в явном виде, то srx будет посылать 0.0.0.0/0 в качестве local и remote. У вас судя по всему используется policy-based vpn, в этом случае proxy-id выставляется в зависимости от того, что прописано в соответствующем security policy. Если в security-policy больше одной сети в match source-address или destination-address, то srx также выставит 0.0.0.0/0 в качестве local и remote proxy-id.

тогда у меня получается черти-че)))

у меня есть прописанные в явном виде сети локал\ремоут. есть так же и не прописанные.

роуты статические, описаны в соответствующем разделе. 

...
       gateway samp-ike1 {
           ike-policy ike-unipol;
           address ip_here ;
           local-identity inet ip_here ;
           external-interface ge-0/0/3.0;
       }
       gateway izmail-ike {
           ike-policy ike-unipol;
           address ip_here;
           external-interface ge-0/0/3.0;
       }
       gateway lans-ike {
           ike-policy ike-unipol;
           address ip_here;
           no-nat-traversal;
           local-identity inet ip_here;
           external-interface ge-0/0/3.0;
       }
   }
   ipsec {
	...
       vpn pol-vpn {
           bind-interface st0.10;
           ike {
               gateway pol-ike;
               ipsec-policy vpn-unipol;
           }
           establish-tunnels immediately;
       }
....
    	vpn izmail-vpn {
           bind-interface st0.5;
           ike {
               gateway izmail-ike;
               proxy-identity {
                   local 192.168.1.0/24;
                   remote 192.168.11.0/28;
               }
               ipsec-policy vpn-unipol;
           }
           establish-tunnels immediately;
       }
       vpn lans-vpn {
           bind-interface st0.6;
           ike {
               gateway lans-ike;
               ipsec-policy vpn-unipol;
           }
           establish-tunnels immediately;
       }
       vpn zhelez-vpn {
           bind-interface st0.7;
           ike {
               gateway zhelez-ike;
               proxy-identity {
                   local 192.168.1.0/24;
                   remote 192.168.11.32/28;
               }
               ipsec-policy vpn-unipol;
           }
           establish-tunnels immediately;
       }
	}
}

dsk

dsk

Posted
Posted

Проще все на микротике сделать, и все протоколы есть из коробки, и настраивать через winbox совсем не сложно. Для корпоративных нужд более чем...

Alex/AT

Alex/AT

Posted
Posted (edited)

Если Вам нужен VPN (IPSec, как офис-офис, так и телекоммютеры на L2TP) + немного OSPF для резервирования, то в ЦО - пару Cisco ASA 5540/5580 (отказоустойчивость). В РДЦ - 5505/5510 (по одной или парами) с лицензией на 50 или UL юзеров. В ДОП - базовые 5505.

 

Посчитайте на ASA'х, вполне возможно, что влезете в бюджет. Эти железки заточены под VPN / Firewall, стоят дешевле мультисервисок, и в плане VPN / Firewall - куда производительнее. Строил на них подобную же сеть - никаких нареканий. Возможно как прокинуть туннель через несколько IP, так и прокинуть два туннеля, и разрулить на OSPF. Единственное что - необходимо грамотное планирование адресации в сети.

Edited by Alex/AT

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.