Jump to content

Помогите выбрать железку

Cynic
 Share

Recommended Posts

Cynic

Cynic

Posted
Posted

Всем привет. Нужно подобрать устройство роутер или фаерволл, которое:

1) Имеет два WAN интерфейса;

2) Умеет переключатсья между провайдерами, если один линк падает;

3) Умеет делать IPsec;

4) Умеет переключаться между IPsec-пирами, в случае если один из них отказал;

5) Принадлежит известному вендору типа HP или Cisco;

6) Стоит в районе 600$;

Может у кто работал с какой нибудь чудо железкой и поделиться инфой )))

applx

applx

Posted
Posted

Всем привет. Нужно подобрать устройство роутер или фаерволл, которое:

1) Имеет два WAN интерфейса;

2) Умеет переключатсья между провайдерами, если один линк падает;

3) Умеет делать IPsec;

4) Умеет переключаться между IPsec-пирами, в случае если один из них отказал;

5) Принадлежит известному вендору типа HP или Cisco;

6) Стоит в районе 600$;

Может у кто работал с какой нибудь чудо железкой и поделиться инфой )))

 

 

EdgeRouter Lite (Ubiquiti) $120

Saab95

Saab95

Posted
Posted

У вас просто засилье устаревших технологий, от них все и проблемы. С вашей задачей успешно справится Mikrotik RB1100AHx2, в бюджет как раз укладывается.

 

1) Имеет два WAN интерфейса;

 

Микротик имеет n-1 WAN интерфейсов в зависимости от количества портов.

 

2) Умеет переключатсья между провайдерами, если один линк падает;

 

Если включить OSPF то это не проблема.

 

3) Умеет делать IPsec;

 

IPsec устаревшая технология, ее успешно заменяет SSTP, который намного проще в настройке и не требует сертификатов.

 

4) Умеет переключаться между IPsec-пирами, в случае если один из них отказал;

 

Микротик может подключиться одновременно к 10 и более центральным железкам, со всеми установить связь и распределять нагрузку, если кто-то откажет простой будет минимальный.

 

5) Принадлежит известному вендору типа HP или Cisco;

 

Чем известнее вендор тем менее гибкие у него решения, и естественно дорогие.

 

6) Стоит в районе 600$;

 

RB1100AHx2 прокачивает по полгига трафика через туннели, а с шифрованием - 200мбит.

 

Может у кто работал с какой нибудь чудо железкой и поделиться инфой )))

 

Я работал с микротиком, на нем очень многое делается нажатием одной-двух кнопок в интерфейсе прямо из винды, обладатели известных вендоров строчат по кнопкам по полчаса что бы реализовать одинаковый функционал.

nuclearcat

nuclearcat

Posted
Posted

IPsec устаревшая технология, ее успешно заменяет SSTP, который намного проще в настройке и не требует сертификатов.

Постарайтесь не вводить людей в заблуждение. Вы сейчас или намеренно соврали или показали свою дремучую неграмотность. Причем назвать SSTP лучше IPSEC - это просто феерический простите ***ец.

Вы хоть в курсе в чем колоссальная разница между IPSEC с сертификатами и очередным наколенным поделием от Microsoft именуемым SSTP? Особенно когда дело касается X.509.

И сколько видов инкапсуляции ipsec существует?

Saab95

Saab95

Posted
Posted

IPsec устаревшая технология, ее успешно заменяет SSTP, который намного проще в настройке и не требует сертификатов.

Постарайтесь не вводить людей в заблуждение. Вы сейчас или намеренно соврали или показали свою дремучую неграмотность. Причем назвать SSTP лучше IPSEC - это просто феерический простите ***ец.

Вы хоть в курсе в чем колоссальная разница между IPSEC с сертификатами и очередным наколенным поделием от Microsoft именуемым SSTP? Особенно когда дело касается X.509.

И сколько видов инкапсуляции ipsec существует?

 

Смотрите. Я беру микротик ставлю в центре, беру другие и ставлю в офисах. Если нужна гарантированная доставка настраиваю SSTP, если нужно просто шифрование, с ним и простой L2TP справится. При этом достаточно иметь только статический белый адрес в центре. Если нужен резерв то 2 устройства в офисе подключаются к 2 (2-10) операторам. И какая разница что там с инкапсуляциями происходит, если поставленная задача передачи данных через публичные сети выполняется?

 

Конечно так можно делать если все оборудование свое и нет задачи подключиться к какому-то чужому и т.п. Там действительно без цисок и HP никак. Однако сейчас идет положительная тенденция отказа от цисок в малом и среднем бизнесе, т.к. решение на базе Mikrotik менее глючные, чем дешевые циски, обладают большими возможностями и производительностью при в разы более низкой стоимости.

nuclearcat

nuclearcat

Posted
Posted

Что будет с вашим гарантированным SSTP при потерях 1%? :) Скорость несколько килобайт в секунду и пинги по 200-2000ms?

Не говоря о том, что разгоняться до 100 Мбит при задержке 50ms он будет долго и невесело. И не дай бог по нему внутри летают приложения по udp требующие low latency - кирдык им.

Про L2TP, циска его умеет получше чем Mikrotik, в режиме pseudowire, stateless. Mikrotik stateless принципиально не может.

 

Опять же, схема шифрования с CA намного гибче, авторизация может быть и точка-точка, и центр, но проверка валидности сертификатов идет через CA. Схема намного более безопасная чем radius chap, более легкая в настройке чем radius EAP-TLS, и более надежная на случай выхода из строя сервера CA (только временно не будут получены данные о отзыве сертификатов).

 

Ну и последний гвоздь, собственно главная фича шифрования, чтобы траффик оставался приватным. Приватный сертификат IPSec соединения из Циски неизвлекаем, чего не скажешь о микротиках :) Если я получу логин админа микротика на минутку, я могу спокойно слить сертификаты-пароли и дешифровать предварительно соснифленный зашифрованный траффик. Это даже если на Микротике запущен ipsec.

Учитывая что микротик позволяет запускать SSTP без сертификатов, и соответственно никакой аутентификации и нормальной инициации шифрования нет - (в лучшем случае давно поломанный CHAPv2 + MPPE) когда траффик убежит на сторону - такому горе-админу яйца отрежут, а потом тому кто его нанял :)

srg555

srg555

Posted
Posted (edited)

Cynic (Сегодня, 02:40) писал:

2) Умеет переключатсья между провайдерами, если один линк падает;

 

 

Если включить OSPF то это не проблема.

 

Щито? Если провайдер согласен поднять ospf c клиентом (в public routing table), то от такого провайдера надо сразу бежать куда больше. IGP между ISP или ISP-клиент в паблике это типичный пример "как не надо делать"

Edited by srg555
Saab95

Saab95

Posted
Posted

Cynic (Сегодня, 02:40) писал:

2) Умеет переключатсья между провайдерами, если один линк падает;

 

 

Если включить OSPF то это не проблема.

 

Щито? Если провайдер согласен поднять ospf c клиентом (в public routing table), то от такого провайдера надо сразу бежать куда больше. IGP между ISP или ISP-клиент в паблике это типичный пример "как не надо делать"

 

Не с клиентом, а в туннелях через сеть оператора между центральным сервером и например, офисом.

Cynic

Cynic

Posted
  • Author
Posted

Из нового juniper srx100. Но всё-таки лучше бу srx240.

 

Я как раз на счёт srx100 думал. Но есть один вопрос: Поддерживаетли его OS возможность автоматического переключения VPN-peer'ов (имеется ввиду удалённая сторона) при выходе одного из них из строя?

Поясню. Например стоит с одной стороны srx100, а на другой стороне Cisco ASA. ASA подключена к двум провайдерам и соответственно имеет два публичных адреса. Предположим прицепился srx100 VPN'ом к AS'е через 1-го провайдера и работает себе. Тут у первого провайдера, что то случается и ASA переключается на второго провайдера. Сможет ли srx100 автоматически установить VPN с AS'ой через второго провайдера?

ASA к слову так делать умеет.

И вопрос про Juniper'ы на немного отвлечённую тему, при покупке большого количества (~50 шт), какую скидку (в %) может дать Juniper?

 

У вас просто засилье устаревших технологий, от них все и проблемы. С вашей задачей успешно справится Mikrotik RB1100AHx2, в бюджет как раз укладывается.

 

1) Имеет два WAN интерфейса;

 

Микротик имеет n-1 WAN интерфейсов в зависимости от количества портов.

 

2) Умеет переключатсья между провайдерами, если один линк падает;

 

Если включить OSPF то это не проблема.

 

3) Умеет делать IPsec;

 

IPsec устаревшая технология, ее успешно заменяет SSTP, который намного проще в настройке и не требует сертификатов.

 

4) Умеет переключаться между IPsec-пирами, в случае если один из них отказал;

 

Микротик может подключиться одновременно к 10 и более центральным железкам, со всеми установить связь и распределять нагрузку, если кто-то откажет простой будет минимальный.

 

5) Принадлежит известному вендору типа HP или Cisco;

 

Чем известнее вендор тем менее гибкие у него решения, и естественно дорогие.

 

6) Стоит в районе 600$;

 

RB1100AHx2 прокачивает по полгига трафика через туннели, а с шифрованием - 200мбит.

 

Может у кто работал с какой нибудь чудо железкой и поделиться инфой )))

 

Я работал с микротиком, на нем очень многое делается нажатием одной-двух кнопок в интерфейсе прямо из винды, обладатели известных вендоров строчат по кнопкам по полчаса что бы реализовать одинаковый функционал.

 

Про IPsec полный гон, корпоративные стандарты ни кто не отменял, а всё шифрование работает примерно одинаково.

А в остальном, интересно сколько Вам платят за столь не навязчивую рекламу )))

srg555

srg555

Posted
Posted

Cynic (Сегодня, 02:40) писал:

2) Умеет переключатсья между провайдерами, если один линк падает;

 

 

Если включить OSPF то это не проблема.

 

Щито? Если провайдер согласен поднять ospf c клиентом (в public routing table), то от такого провайдера надо сразу бежать куда больше. IGP между ISP или ISP-клиент в паблике это типичный пример "как не надо делать"

 

Не с клиентом, а в туннелях через сеть оператора между центральным сервером и например, офисом.

 

А где в ТЗ сказано, что единственная его задача - поднять тунель до центрального офиса? С чего Вы решили что эта железка не будет использоваться как шлюз в интернет для локального офиса?

uxcr

uxcr

Posted
Posted (edited)

Cynic

google: juniper srx ipsec failover

Что-то там было ещё про dead-peer-detection

По скидкам не подскажу, я тоже клиент а не продавец.

Edited by uxcr
nuclearcat

nuclearcat

Posted
Posted

Если не ошибаюсь

Я как раз на счёт srx100 думал. Но есть один вопрос: Поддерживаетли его OS возможность автоматического переключения VPN-peer'ов (имеется ввиду удалённая сторона) при выходе одного из них из строя?

Вроде на джунах в отличии от Микротиков есть человеческое скриптование.

http://www.juniper.net/us/en/community/junos/script-automation/library/event/track-ip/

Там даже есть root shell.

На цисках есть TCL, даже на L3 свитчах.

Saab95

Saab95

Posted
Posted

Cynic (Сегодня, 02:40) писал:

2) Умеет переключатсья между провайдерами, если один линк падает;

 

 

Если включить OSPF то это не проблема.

 

Щито? Если провайдер согласен поднять ospf c клиентом (в public routing table), то от такого провайдера надо сразу бежать куда больше. IGP между ISP или ISP-клиент в паблике это типичный пример "как не надо делать"

 

Не с клиентом, а в туннелях через сеть оператора между центральным сервером и например, офисом.

 

А где в ТЗ сказано, что единственная его задача - поднять тунель до центрального офиса? С чего Вы решили что эта железка не будет использоваться как шлюз в интернет для локального офиса?

 

Ну так микротик может работать и как шлюз, и даже может перенаправлять часть запросов в интернет через центральный сервер, а другую через локального провайдера. И в качестве резерва можно USB 3G модем воткнуть, или йоту, тогда в каждом офисе например будут 2 кабельных и один резервный беспроводной оператор, что позволит при глобальных отказах иметь хоть какую-то связь с центром. А запитать его в случае чего можно и от батареек, если в офисе есть ноутбуки, то даже при отключении электричества можно еще часа 3-4 продолжать работать.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.