n0_name Posted October 25, 2013 · Report post Добрый день, ТЗ такого плана: Задачи: 1. Организовать стык нашей автономной сети с двумя операторами (один 100мбит/с, второй 50мбит/с, возможно расширится до 100. ) 2. Загрузить оба канала на исходящий трафик. Для этого с моей точки зрения, правильно было бы иметь full view от обоих аплинков. Возможно у железок есть и другие средства, которые решат эту проблему. 3. Защита периметра. Контроль входящего и исходящего трафика. 4. Организация IPSec туннелей с удаленными офисами/точками. IPSec стандартный, тк с другой стороны линукс. 5. Организация удаленного доступа к сети. Разношерстные девайсы типа планшетов, телефонов и ноутбуков. Операционные системы - Windows, OSX, Android, iOS, Blackberry. Поддержка PKI. Протоколы и ТТХ на один стык: - NAT порядка 200 пользователей - IPSec Site2Site до 10шт по 20-30мбит - Remote Access до 50шт (возможность использования PKI) - eBGP 1 full - iBGP 1 full - OSPF (до 100 маршрутов) - Трафик 100мбит/с (желательно запас до 150-200) - IPS - ACL (желательно application control) - NetFlow - Поддержка IPv6 на будущее Продаван предлагает srx 650. Сомневаюсь, сможет ли роутер выполнить все поставленные задачи, прошу прокомментировать. Заранее спасибо! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NikBSDOpen Posted October 25, 2013 (edited) · Report post Продаван предлагает srx 650. Сомневаюсь, сможет ли роутер выполнить все поставленные задачи, прошу прокомментировать. Заранее спасибо! Потянет, причем даже если включить DPI, антивирус, антиспам.. На 200 пользователях будет жрать процентов 30-40 CPU. А вот пямяти процентов 90. И почему нужен только 1 FV ? Edited October 25, 2013 by NikBSDOpen Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kostas Posted October 25, 2013 (edited) · Report post Продаван предлагает srx 650. Сомневаюсь, сможет ли роутер выполнить все поставленные задачи, прошу прокомментировать. Заранее спасибо! Потянет, причем даже если включить DPI, антивирус, антиспам.. На 200 пользователях будет жрать процентов 30-40 CPU. А вот пямяти процентов 90. И почему нужен только 1 FV ? И 2шт полных BGP потянет? 200 пользователей чего? NAT? А как же IPSec туннели? Remote Access? NetFlow? Он вообще поддерживает SSL VPN? PS: А что такое "1 FV"? Edited October 25, 2013 by kostas Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
n0_name Posted October 25, 2013 (edited) · Report post Full View — популярен в основном у нас, иностранные коллеги чаще говорят Full BGP, Full Table или Full Feed один fv редко используется, получается, что используется только один аплинк, и нет смысла обрабатывать таблицу. Edited October 25, 2013 by n0_name Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kostas Posted October 25, 2013 · Report post Full View — популярен в основном у нас, иностранные коллеги чаще говорят Full BGP, Full Table или Full Feed один fv редко используется, получается, что используется только один аплинк, и нет смысла обрабатывать таблицу. Ну как же нет смысла, если есть iBGP и еще один по меньшей мере стык с интернет? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NikBSDOpen Posted October 28, 2013 · Report post И 2шт полных BGP потянет? 200 пользователей чего? NAT? А как же IPSec туннели? Remote Access? NetFlow? Он вообще поддерживает SSL VPN? PS: А что такое "1 FV"? 650 потянет две Full Route Table. Site2Site VPN + поверх этого OSPF с парой десятков префиксов. Несколько зон безопасности. SSL VPN как такового нет. Есть Dynamic VPN. По поводу NAT на такой скорости вашего канала, srx вытянет гораздо! больше чем 200 пользователей... Весь вопрос в том, что будете ли использовать IDP,UTM и AppFW policy. Т.к. при использовании UTM на скоростях ~1Gbit/s могут быть "лаги", но только если скорость на пользователя >= 50-100Mbit/s и то, смотря как настроены сервисы UTM. При использовании IDP Signature, без использования антивируса, антиспаса etc, все что описано выше, практически не действует, т.е. не "сильно" критично. А вообще Вам лучше самому попробовать, "покрутить в руках". Попросите, что бы "продаваны" показали на живой сети. Насколько я вкурсе 650 закупали раньше пачками банки, до выхода 550, но там вряди Вам покажут, но общую картину опишут. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kostas Posted October 28, 2013 · Report post Отсутствие SSL VPN не даст построить полноценный мультиплатформенный Remote Access с использованием Junos Pulse. Dynamic VPN - это ведь только виндовые клиенты. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NikBSDOpen Posted October 28, 2013 (edited) · Report post Отсутствие SSL VPN не даст построить полноценный мультиплатформенный Remote Access с использованием Junos Pulse. Dynamic VPN - это ведь только виндовые клиенты. Нет, не только. http://kb.juniper.net/InfoCenter/index?page=content&id=KB17436 https://github.com/ndpgroup/juniper-srx-linux Со второй ссылкой ошибся. Сейчас подправил. Edited October 28, 2013 by NikBSDOpen Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kostas Posted October 28, 2013 (edited) · Report post По первой ссылке, вроде как раз и пишут The Junos Pulse Dynamic VPN client is supported on the following Operating Systems:- Windows 8 (64-bit) - Windows 7 (32-bit and 64-bit) - Windows XP (32-bit and 64-bit) The Junos Access Manager Dynamic VPN client is supported on the following Operating Systems (platforms): - Windows XP 32-bit and 64-bit with any service pack - Windows Vista 32-bit and 64-bit with any service pack - Windows 7 32-bit and 64-bit with any service pack (Junos 10.4 and above only) The Dynamic VPN feature (Pulse or Juniper Access Manager) is not supported on the following Operating Systems: - Linux - Macintosh Desktop Systems including Pulse 3.0 (for more information, refer to KB23960 - [sRX] Junos Pulse 3.0 installed on a Mac OS X system fails to connect to a SRX device with the dynamic VPN feature). - Windows Server - iPad/iPhone - Android OS Вторая ссылка только линукс. Остается еще как минимум OSX и мобильные девайсы (( Edited October 28, 2013 by kostas Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NikBSDOpen Posted October 28, 2013 (edited) · Report post Ну дык, откройте первую. Вот список того, что поддерживается. Шпуксы, бсд, динамик не поддерживает нативно, но можно ведь "классик" IPsec VPN сделать? Windows 8 (64-bit) Windows 7 (32-bit and 64-bit) Windows XP (32-bit and 64-bit) Windows Server Mac OS X iPad/iPhone https://itunes.apple.com/ru/app/junos-pulse/ Android OS https://play.google.com/store/apps/developer?id=Juniper+Networks,+Inc.+and+Affiliates Смотрим http://www.juniper.net/support/downloads/?p=pulse#sw Вот http://www.juniper.net/techpubs/software/pulse/releasenotes/j-pulse-4.0r5-releasenotes.pdf Junos Pulse Mac OS X Edition build b39813 MD5 SHA1 4.0R5 dmg 9,717,010 24 Sep 2013 Edited October 28, 2013 by NikBSDOpen Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kostas Posted October 28, 2013 · Report post Странно. Текст копировал с Вашей первой ссылке. Там было только то, что я написал выше. Цитирую. The Dynamic VPN feature (Pulse or Juniper Access Manager) is not supported on the following Operating Systems:- Linux - Macintosh Desktop Systems including Pulse 3.0 (for more information, refer to KB23960 - [sRX] Junos Pulse 3.0 installed on a Mac OS X system fails to connect to a SRX device with the dynamic VPN feature). - Windows Server - iPad/iPhone - Android OS То есть - is not supported on the following Operating Systems. Сейчас я уже не могу открыть эту ссылку - почему-то просит пароль. По первой ссылке из последнего сообщения - вижу что можно скачать Pulse под Windows и OSX. Но мы ведь говорим не просто про Pulse, а об его совместимости с SRX. Pulse на сколько я знаю, в основном работает по SSL VPN (платформа MAG) и частично с Dynamic VPN. Так вот это частично и ограничивается только Windows. На всех остальных ОС, Pulse в Dynamic VPN не работает. Если Вы действительно знаете, что 4я версия Pulse работает в режиме Dynamic VPN под всеми ОС, в том же числе и мобильными (Apple iOS и Android) - было бы рад увидеть подтверждение этому. Потому как железяка в общем-то нравится и вполне подходит, не считая VPN. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kostas Posted October 28, 2013 (edited) · Report post На страничке загрузки Pulse под Android REQUIREMENTS: 1. Juniper Networks SA Series SSL VPN Appliances or MAG Series Junos Pulse Gateways running Junos Pulse Secure Access Service. For more information about supported gateways and Android versions, please read the Supported Platforms guide at: http://www.juniper.net/support/products/pulse/mobile/ Опять пишут про SSL VPN и MAG. Edited October 28, 2013 by kostas Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NikBSDOpen Posted October 28, 2013 · Report post Вот добрался до одного из 650 Model: srx650 JUNOS Software Release [11.4R9.4] show security dynamic-vpn client version Junos Pulse 4.0.2.34169 Могу сказать одно. OS X я не использовал, просто нет под рукой. клиента под android запускал, работал на стенде, не вижу причин, почему он не будет работать в продакшене. Iphone не проверял, нет в наличии. Повторять прямо сейчас не буду, 10 минут до конца смены, но с учетом, какой версии клиент, то взлетит. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kostas Posted October 28, 2013 (edited) · Report post Чего-то я запутался в конец (((( Спасибо за попытку помочь. Но пока однозначного ответа нет. Все на уровне "должно". Но покупать железку и потом понять, что это не совсем то, что надо было - не есть хорошо. К сожалению официального подтверждения работы Dynamic VPN на указанных платформах я не нашел. PS: Кстати, а что у нас не будет работать в Dynamic VPN? В чем его кардинальное отличие от SSL VPN в рамках Pulse? Edited October 28, 2013 by kostas Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
borodaUch Posted October 29, 2013 · Report post В общем то как только junuper сделали себе MAG они решили что им не выгодно продавать решение "все в одном" поэтому основной упор в устройствах удаленного доступа и работой с Pulse клиентом идет именно на устройства MAG. SRX допилиться до полной совместимости не будет, т.к. вендору это не выгодно. В данный момент клиент с СРХ работает только под Windоззз вот судя по кометам выше еще и под Андроид вместе с СРХ. MAG стоит копейки и размерами со спичечный коробок, поэтому в принципе если купить аж 650 коробку в чем проблема прикупить к ней приставочку и организовать удаленный доступ непонятно ) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NikBSDOpen Posted October 29, 2013 · Report post PS: Кстати, а что у нас не будет работать в Dynamic VPN? В чем его кардинальное отличие от SSL VPN в рамках Pulse? Вы только поймите правильно, не понимаю Вашей позиции в отношении SRX. Вы хотите и "периметр" защитить, натить клиентов, пиринг сделать, DPI развернуть, но Вас смущает то, что "dyn vpn" будет как-то не так работать, как Вы расчитываете? Но это не основная функция устройства, там для "попробовать" перманентно зашито только две лицензии. Все на уровне "должно". Но покупать железку и потом понять, что это не совсем то, что надо было - не есть хорошо. Вы бы составили Т.З. для себя, определили необходимые задачи, затем первостепенные задачи. Поверьте, я не защищаю jun, с его не совсем простой политикой лицензирования, но если посчитать, то на cisco вышло бы дороже. И все в одном Вы опять таки не получили. В Вашей ситуации лично я виду несколько вариантов. Первое купить маленький SRX(по цене сотового телефона)попробовать реализовать необходимый функционал на нем, если устроит, то брать старшую модель (маленький пригодится). Второе, брать 650 если что то не устроило, искать варианты. Один из них докупить MAG, либо найти что-нибудь из б.у. j4350, j6350, залить в них скринос, "пользовать" L2TP на доступ. Третий вариант сменить поиск в направлении вендора. В общем то как только junuper сделали себе MAG они решили что им не выгодно продавать решение "все в одном" поэтому основной упор в устройствах удаленного доступа и работой с Pulse клиентом идет именно на устройства MAG. SRX допилиться до полной совместимости не будет, т.к. вендору это не выгодно. В данный момент клиент с СРХ работает только под Windоззз вот судя по кометам выше еще и под Андроид вместе с СРХ. MAG стоит копейки и размерами со спичечный коробок, поэтому в принципе если купить аж 650 коробку в чем проблема прикупить к ней приставочку и организовать удаленный доступ непонятно ) Полностью поддерживаю. :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kostas Posted October 29, 2013 · Report post В общем то как только junuper сделали себе MAG они решили что им не выгодно продавать решение "все в одном" поэтому основной упор в устройствах удаленного доступа и работой с Pulse клиентом идет именно на устройства MAG. SRX допилиться до полной совместимости не будет, т.к. вендору это не выгодно. В данный момент клиент с СРХ работает только под Windоззз вот судя по кометам выше еще и под Андроид вместе с СРХ. MAG стоит копейки и размерами со спичечный коробок, поэтому в принципе если купить аж 650 коробку в чем проблема прикупить к ней приставочку и организовать удаленный доступ непонятно ) Все что Вы написали - все верно. Если честно, сам не понимаю, чего вдруг привязался к тому, что там должно быть все в одном. Тут по всей видимости двоякая информация дала о себе знать. Вроде VPN есть, да он не такой. Да еще и вроде что-то работает, да не у всех и на всех железках. По всей видимости хотел докопаться до сути и успокоившись рассматривать MAG )) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kostas Posted October 29, 2013 · Report post NikBSDOpen, как я уже написал выше - в принципе сам jun довел меня до этого состояния, что пришлось обратиться на форум и искать правду. По большей части все эти поиски привели можно сказать уже к спортивному интересу, так как никто толком не мог ответить на мой вопрос по поводу VPN. На выбор были и Cisco 3925/45 + ASA5510/20 и 3925/45 + MAG и SRX240h и теперь уже SRX650 + MAG. По ТЗ - все части важны. Ни от одного пункта нельзя отказываться, поэтому приходится искать лучшую связку цена/возможности. С Cisco вроде все хорошо, но их политика лицензирования криптографии - удручает. У Juniper - свой огород и свои фокусы в виде VPN на отдельной железке. Итого вердикт - SRX650 потянет все вышеперечисленное + MAG должны закрыть все оставшиеся вопросы? Кстати по MAG. Наверняка у них тоже есть какие-то ограничения? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NikBSDOpen Posted October 30, 2013 · Report post Итого вердикт - SRX650 потянет все вышеперечисленное + MAG должны закрыть все оставшиеся вопросы? В общем да. Я даже склонен считать, что один 650 потянет все перечисленное, MAG использовать, как своего рада запасной вариант. SRX очень достойно себя показывает на Site-to-Site VPN, отлично "натит". NetFlow работает без особых нареканий, но как частный случай я предпочитаю использовать на SRX'ах сислог + SNMP, меньше нагрузка на RE. Но сразу учтите, что под нагрузкой "Screen", для зон безопасности нужно будет "тюнить" под себя (увеличивать-уменьшать пороговые значения), но это не является проблемой, тем более для 100 мегабитного канала. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kostas Posted October 30, 2013 · Report post Понятно. Спасибо. А что такое "Screen"? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
borodaUch Posted October 31, 2013 · Report post screen - это специальный механизм обеспечивающий защиту сети от всякой "нечести" зашитый в срх, и не требующий лицензий. например от DDoS. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kostas Posted October 31, 2013 · Report post О как. Спасибо. Интересно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
n0_name Posted December 4, 2013 · Report post Кто-нибудь разбирался с 550 SRX? Хуже 650 по аппаратным характеристикам, но более универсальный по интерфейсам. Наверное есть другие принципиальные отличия, которые не видно в спецификациях? И на 550 сразу ставится 12.1 Junos OS, а на 650- 11.4R5, подскажите, кратко, основные фишки версии 12.1? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NikBSDOpen Posted December 5, 2013 · Report post Кто-нибудь разбирался с 550 SRX? Хуже 650 по аппаратным характеристикам, но более универсальный по интерфейсам. А что значит в Вашем понимании "более" универсальный по интерфейсам? В текущем положении дел мало, кто пользуется DSL портами на сетевом экране. Дешевле какую-нибудь мыльницу купить для DSL и воткнуть в обычный порт "изернета" по поводу JunOS не поленитесь, почитайте http://www.juniper.net/techpubs/en_US/junos12.1x44/information-products/topic-collections/release-notes/12.1x44-d10/junos-release-notes-12.1X44.pdf И на 550 сразу ставится 12.1 Junos OS, а на 650- 11.4R5, подскажите, кратко, основные фишки версии 12.1? Для 650 рекомендованный 11.4R9.4 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
n0_name Posted December 5, 2013 · Report post А что значит в Вашем понимании "более" универсальный по интерфейсам? к 650 SFP-порт довольно дорогой: SRX-GP-24GE за 4к SRX-GP-24GE-POE за 5к SRX-GP-2XE-SFPP-TX (10ки) за 12к а в 550 должен подойти SRX-MP-1SFP-GE за 1к Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...