Перейти к содержимому
Калькуляторы

Посоветуйте пограничник

Есть сеть на 1500 пользователей, для которой необходимо подобрать граничную железку, способную обеспечивать NAT на 2-х провайдеров для всех пользователей. Присматриваюсь к Juniper SRX 550, но есть сомнения- вывезет ли (работа "впритык" не нужна). Так же предложите, пожалуйста, свои варианты по железу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Добавлю, что от провайдеров планируем брать около 500 Мбит...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

два писюка на core i7 будут надёжнее и в несколько раз дешевле любой железки

справится и один с многократным запасом - второй для надёжности

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Озвучьте бюджет - решений много. А что по bgp?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

dignity

Бюджет "позволяет", но, естественно, брать золотые железки не дадут. BGP будет, если руководство даст добро (SRX с BGP дружит, поэтому этот вопрос не задавал).

 

rdc

Ну про надёжность я бы не стал так говорить, но спорить не буду.

 

Коллеги, предложите ещё чего-нибудь на выбор:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Юзаем аналогичную железку, SRX650, в центре большой корпоративной сети. Девайс хороший, но т.к. это софтроутер, то его производительность ограничена и его возможно задосить. Вот проблемы, с которыми приходилось сталкиваться (правда, у нас в конфиге существенно более сотни правил firewall и nat).

 

Флуд мелкими пакетами вызывает нехватку производительности data plane и потери пакетов.

Флуд по разным ip-адресам вызывает переполнение таблицы сессий и нехватку производительности для удаления старых и создания новых.

От широковещательного флуда может плохо себя почувствовать control plane, если этот флуд в него попадает (30 мегабит флуда bootp хватило, чтобы начались проблемы).

Также сontrol plane может не хватать производительности, если в data plane генерится большое количество логов, которые нужно сохранять на флэш.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Купите бу netscreen 5200 или isg2000 - спасет вас гарантировано. Аппаратное.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну про надёжность я бы не стал так говорить, но спорить не буду.

2 тазика пускай даже с вероятностью отказа 3 раза в год каждого по определению надежнее одной железки с вероятностью отказа раз в 5 лет. Ибо вероятность двойного отказа стремится к нулю. А отказ железки (если не вис а глюк железа) обернется апокалипсисом локального масштаба.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У меня Микротик RB1100AHx2 сейчас натит 500 юзеров на скорости 100 Мбит, загрузка CPU 30%. Планирую его держать до 1000 юзеров и 200 Мбит. Тоже интересуюсь на что менять.

 

Посмотрел на предлагаемые варианты, я понимаю конечно что профессиональная железка стоит дороже, но не в 20 раз же! Брать хороший проверенный PC и ставить на него RouterOS. Лично я надеюсь дождаться момента когда до ума доведут CCR.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ericsson SE100 интересная железка... насколько я понял, вытянет и ещё с запасом приличным.

Коллеги, подскажите, какой нибудь стек мало мальский данный аппарат поддерживает?

Буду присматриваться поближе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ericsson SE100 интересная железка... насколько я понял, вытянет и ещё с запасом приличным.

Коллеги, подскажите, какой нибудь стек мало мальский данный аппарат поддерживает?

Буду присматриваться поближе.

Нет, а зачем вам стек в маршрутизаторах?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подниму тему.

 

На данный момент утвердили скорость- 150Mb.

Будем брать BGP и /23 блок адресов.

Провайдера 2.

Пользователей всё так же- 1500.

Наружу нужно натить около 200 подсетей.

 

Не можем определиться по граничному оборудованию. Вариантов два:

- ставить две железки (cisco или juniper, т.к. есть кому настраивать), которые будут принимать BGP, NATить 1500 пользователей и обрабатывать пару сотен ACL;

- ставить две железки послабее предыдущих, которые не будут NATить вообще, а NAT положить на пару серверов на FreeBSD\Linux

 

Ну и плюсом можно какой нибудь фаервол примастить...

Бюджет есть.

Посоветуйте железо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Пользователей - 1500

Подсетей - 200

 

как-то странно....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

как-то странно....

Поясните, пожалуйста, что странного? Отделы по 5-10 человек. У каждого отдела своя подсеть.

 

Очень нравятся железки Juniper. Вариант из двух SRX240H2 в virtual-chasis кластере вывезет данные требования?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

150 мбит и 2fv без проблем прожует cisco 7206 с npe-g1

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

И самое смешное... вам fv, наверняка не нужно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ericsson SE100 не сколько не интерпрайз класс. Использовать ее не по профилю, смысла нет. Если смотрите в сторону Juniper SRX (нужны функции фаервола, нат), то лучше смотрите в сторону Juniper SRX 650, 550 слабоват, как для связки удаленных офисов он хорош (их сейчас банки пачками закупают на свои филиалы)но 650 более производителен.

Что бы сильно не "штормило" при нагрузке защищайте RE от флуда, и мелкого DDoS'а. Сделайте, как в книжке, какой-нибудь "policer DOS-PROTECTION" с "мелким" bandwidth-limit для (icmp, traceroute и т.д.), крупных проблем не возникнет.

650 нормально "переваривает" 2 FV но Вам то они зачем? Вы же не транзитная AS. Но если очень хочется, то можно их принять, а если что, то отфильтровать префиксы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поддержу предложение купить juniper srx 650, эрик SE100 BRAS тоже выглядит интересно но будет существенно дороже - за такие деньги можно srx 650 взять с модулем на 2 Х 10G ( речь конечно о б.у ), хоть и потребности пока такой нет но возможность роста приятна. Cisco 72ХХ or 73XX все же не советовал морально устарели они - имхо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Можно было бы предложить Cisco ASA, но не помню есть ли там BGP :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 тазика пускай даже с вероятностью отказа 3 раза в год каждого по определению надежнее одной железки с вероятностью отказа раз в 5 лет. Ибо вероятность двойного отказа стремится к нулю.

 

Это пионерия. Лучше сразу брать ASA или какой-нибудь MX-80 навырост.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Можно было бы предложить Cisco ASA, но не помню есть ли там BGP :(

bgp там нет

ASA(config)# router ?

configure mode commands/options:
 eigrp  Enhanced Interior Gateway Routing Protocol (EIGRP)
 ospf   Open Shortest Path First (OSPF)
 rip    Routing Information Protocol (RIP)

 

а еще из асы хреновый рутер, поэтому для работы с двумя провами рядом придется поставить еще и маршрутизатор. а как nat и fw мне она тоже нравится

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

MX-80 не умеет нат. Как пограничник, MPLS роутер, изумительная железка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подниму тему.

 

На данный момент утвердили скорость- 150Mb.

Будем брать BGP и /23 блок адресов.

Провайдера 2.

Пользователей всё так же- 1500.

Наружу нужно натить около 200 подсетей.

 

У меня это делает железка стоимостью 400 баксов.

 

Но отличие в том, что я зарабатываю деньги, на не трачу бюджеты. Поэтому общайтесь с единомышленниками.

Просто информирую о существовании параллельной реальности :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.