PPP Posted June 1, 2013 Есть сеть на 1500 пользователей, для которой необходимо подобрать граничную железку, способную обеспечивать NAT на 2-х провайдеров для всех пользователей. Присматриваюсь к Juniper SRX 550, но есть сомнения- вывезет ли (работа "впритык" не нужна). Так же предложите, пожалуйста, свои варианты по железу. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
PPP Posted June 1, 2013 Добавлю, что от провайдеров планируем брать около 500 Мбит... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
D^2 Posted June 1, 2013 http://shop.nag.ru/catalog/00002.Marshrutizatory/05249.Ericsson/09572.SE100-BR8-6-111 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rdc Posted June 1, 2013 два писюка на core i7 будут надёжнее и в несколько раз дешевле любой железки справится и один с многократным запасом - второй для надёжности Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dignity Posted June 1, 2013 Озвучьте бюджет - решений много. А что по bgp? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
PPP Posted June 1, 2013 dignity Бюджет "позволяет", но, естественно, брать золотые железки не дадут. BGP будет, если руководство даст добро (SRX с BGP дружит, поэтому этот вопрос не задавал). rdc Ну про надёжность я бы не стал так говорить, но спорить не буду. Коллеги, предложите ещё чего-нибудь на выбор:) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
msdt Posted June 1, 2013 Юзаем аналогичную железку, SRX650, в центре большой корпоративной сети. Девайс хороший, но т.к. это софтроутер, то его производительность ограничена и его возможно задосить. Вот проблемы, с которыми приходилось сталкиваться (правда, у нас в конфиге существенно более сотни правил firewall и nat). Флуд мелкими пакетами вызывает нехватку производительности data plane и потери пакетов. Флуд по разным ip-адресам вызывает переполнение таблицы сессий и нехватку производительности для удаления старых и создания новых. От широковещательного флуда может плохо себя почувствовать control plane, если этот флуд в него попадает (30 мегабит флуда bootp хватило, чтобы начались проблемы). Также сontrol plane может не хватать производительности, если в data plane генерится большое количество логов, которые нужно сохранять на флэш. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dignity Posted June 1, 2013 Купите бу netscreen 5200 или isg2000 - спасет вас гарантировано. Аппаратное. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NiTr0 Posted June 1, 2013 Ну про надёжность я бы не стал так говорить, но спорить не буду. 2 тазика пускай даже с вероятностью отказа 3 раза в год каждого по определению надежнее одной железки с вероятностью отказа раз в 5 лет. Ибо вероятность двойного отказа стремится к нулю. А отказ железки (если не вис а глюк железа) обернется апокалипсисом локального масштаба. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Sonne Posted June 2, 2013 У меня Микротик RB1100AHx2 сейчас натит 500 юзеров на скорости 100 Мбит, загрузка CPU 30%. Планирую его держать до 1000 юзеров и 200 Мбит. Тоже интересуюсь на что менять. Посмотрел на предлагаемые варианты, я понимаю конечно что профессиональная железка стоит дороже, но не в 20 раз же! Брать хороший проверенный PC и ставить на него RouterOS. Лично я надеюсь дождаться момента когда до ума доведут CCR. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
PPP Posted June 2, 2013 Ericsson SE100 интересная железка... насколько я понял, вытянет и ещё с запасом приличным. Коллеги, подскажите, какой нибудь стек мало мальский данный аппарат поддерживает? Буду присматриваться поближе. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zstas Posted June 3, 2013 Ericsson SE100 интересная железка... насколько я понял, вытянет и ещё с запасом приличным. Коллеги, подскажите, какой нибудь стек мало мальский данный аппарат поддерживает? Буду присматриваться поближе. Нет, а зачем вам стек в маршрутизаторах? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
PPP Posted June 25, 2013 Подниму тему. На данный момент утвердили скорость- 150Mb. Будем брать BGP и /23 блок адресов. Провайдера 2. Пользователей всё так же- 1500. Наружу нужно натить около 200 подсетей. Не можем определиться по граничному оборудованию. Вариантов два: - ставить две железки (cisco или juniper, т.к. есть кому настраивать), которые будут принимать BGP, NATить 1500 пользователей и обрабатывать пару сотен ACL; - ставить две железки послабее предыдущих, которые не будут NATить вообще, а NAT положить на пару серверов на FreeBSD\Linux Ну и плюсом можно какой нибудь фаервол примастить... Бюджет есть. Посоветуйте железо. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Дятел Posted June 25, 2013 Пользователей - 1500Подсетей - 200 как-то странно.... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
PPP Posted June 25, 2013 как-то странно.... Поясните, пожалуйста, что странного? Отделы по 5-10 человек. У каждого отдела своя подсеть. Очень нравятся железки Juniper. Вариант из двух SRX240H2 в virtual-chasis кластере вывезет данные требования? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Butch3r Posted June 25, 2013 150 мбит и 2fv без проблем прожует cisco 7206 с npe-g1 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
snark Posted June 25, 2013 cisco 7206 с npe-g1 То же самое, но в пицца боксе. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dignity Posted June 26, 2013 И самое смешное... вам fv, наверняка не нужно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NikBSDOpen Posted June 26, 2013 Ericsson SE100 не сколько не интерпрайз класс. Использовать ее не по профилю, смысла нет. Если смотрите в сторону Juniper SRX (нужны функции фаервола, нат), то лучше смотрите в сторону Juniper SRX 650, 550 слабоват, как для связки удаленных офисов он хорош (их сейчас банки пачками закупают на свои филиалы)но 650 более производителен. Что бы сильно не "штормило" при нагрузке защищайте RE от флуда, и мелкого DDoS'а. Сделайте, как в книжке, какой-нибудь "policer DOS-PROTECTION" с "мелким" bandwidth-limit для (icmp, traceroute и т.д.), крупных проблем не возникнет. 650 нормально "переваривает" 2 FV но Вам то они зачем? Вы же не транзитная AS. Но если очень хочется, то можно их принять, а если что, то отфильтровать префиксы. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alanw Posted June 26, 2013 Поддержу предложение купить juniper srx 650, эрик SE100 BRAS тоже выглядит интересно но будет существенно дороже - за такие деньги можно srx 650 взять с модулем на 2 Х 10G ( речь конечно о б.у ), хоть и потребности пока такой нет но возможность роста приятна. Cisco 72ХХ or 73XX все же не советовал морально устарели они - имхо. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
snark Posted June 26, 2013 Можно было бы предложить Cisco ASA, но не помню есть ли там BGP :( Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nomo Posted June 26, 2013 2 тазика пускай даже с вероятностью отказа 3 раза в год каждого по определению надежнее одной железки с вероятностью отказа раз в 5 лет. Ибо вероятность двойного отказа стремится к нулю. Это пионерия. Лучше сразу брать ASA или какой-нибудь MX-80 навырост. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zi_rus Posted June 26, 2013 Можно было бы предложить Cisco ASA, но не помню есть ли там BGP :( bgp там нет ASA(config)# router ? configure mode commands/options: eigrp Enhanced Interior Gateway Routing Protocol (EIGRP) ospf Open Shortest Path First (OSPF) rip Routing Information Protocol (RIP) а еще из асы хреновый рутер, поэтому для работы с двумя провами рядом придется поставить еще и маршрутизатор. а как nat и fw мне она тоже нравится Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NikBSDOpen Posted June 26, 2013 MX-80 не умеет нат. Как пограничник, MPLS роутер, изумительная железка. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Sonne Posted June 26, 2013 Подниму тему. На данный момент утвердили скорость- 150Mb. Будем брать BGP и /23 блок адресов. Провайдера 2. Пользователей всё так же- 1500. Наружу нужно натить около 200 подсетей. У меня это делает железка стоимостью 400 баксов. Но отличие в том, что я зарабатываю деньги, на не трачу бюджеты. Поэтому общайтесь с единомышленниками. Просто информирую о существовании параллельной реальности :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
