Jump to content
Калькуляторы

Посоветуйте пограничник

Есть сеть на 1500 пользователей, для которой необходимо подобрать граничную железку, способную обеспечивать NAT на 2-х провайдеров для всех пользователей. Присматриваюсь к Juniper SRX 550, но есть сомнения- вывезет ли (работа "впритык" не нужна). Так же предложите, пожалуйста, свои варианты по железу.

Share this post


Link to post
Share on other sites

Добавлю, что от провайдеров планируем брать около 500 Мбит...

Share this post


Link to post
Share on other sites

два писюка на core i7 будут надёжнее и в несколько раз дешевле любой железки

справится и один с многократным запасом - второй для надёжности

Share this post


Link to post
Share on other sites

Озвучьте бюджет - решений много. А что по bgp?

Share this post


Link to post
Share on other sites

dignity

Бюджет "позволяет", но, естественно, брать золотые железки не дадут. BGP будет, если руководство даст добро (SRX с BGP дружит, поэтому этот вопрос не задавал).

 

rdc

Ну про надёжность я бы не стал так говорить, но спорить не буду.

 

Коллеги, предложите ещё чего-нибудь на выбор:)

Share this post


Link to post
Share on other sites

Юзаем аналогичную железку, SRX650, в центре большой корпоративной сети. Девайс хороший, но т.к. это софтроутер, то его производительность ограничена и его возможно задосить. Вот проблемы, с которыми приходилось сталкиваться (правда, у нас в конфиге существенно более сотни правил firewall и nat).

 

Флуд мелкими пакетами вызывает нехватку производительности data plane и потери пакетов.

Флуд по разным ip-адресам вызывает переполнение таблицы сессий и нехватку производительности для удаления старых и создания новых.

От широковещательного флуда может плохо себя почувствовать control plane, если этот флуд в него попадает (30 мегабит флуда bootp хватило, чтобы начались проблемы).

Также сontrol plane может не хватать производительности, если в data plane генерится большое количество логов, которые нужно сохранять на флэш.

Share this post


Link to post
Share on other sites

Купите бу netscreen 5200 или isg2000 - спасет вас гарантировано. Аппаратное.

Share this post


Link to post
Share on other sites

Ну про надёжность я бы не стал так говорить, но спорить не буду.

2 тазика пускай даже с вероятностью отказа 3 раза в год каждого по определению надежнее одной железки с вероятностью отказа раз в 5 лет. Ибо вероятность двойного отказа стремится к нулю. А отказ железки (если не вис а глюк железа) обернется апокалипсисом локального масштаба.

Share this post


Link to post
Share on other sites

У меня Микротик RB1100AHx2 сейчас натит 500 юзеров на скорости 100 Мбит, загрузка CPU 30%. Планирую его держать до 1000 юзеров и 200 Мбит. Тоже интересуюсь на что менять.

 

Посмотрел на предлагаемые варианты, я понимаю конечно что профессиональная железка стоит дороже, но не в 20 раз же! Брать хороший проверенный PC и ставить на него RouterOS. Лично я надеюсь дождаться момента когда до ума доведут CCR.

Share this post


Link to post
Share on other sites

Ericsson SE100 интересная железка... насколько я понял, вытянет и ещё с запасом приличным.

Коллеги, подскажите, какой нибудь стек мало мальский данный аппарат поддерживает?

Буду присматриваться поближе.

Share this post


Link to post
Share on other sites

Ericsson SE100 интересная железка... насколько я понял, вытянет и ещё с запасом приличным.

Коллеги, подскажите, какой нибудь стек мало мальский данный аппарат поддерживает?

Буду присматриваться поближе.

Нет, а зачем вам стек в маршрутизаторах?

Share this post


Link to post
Share on other sites

Подниму тему.

 

На данный момент утвердили скорость- 150Mb.

Будем брать BGP и /23 блок адресов.

Провайдера 2.

Пользователей всё так же- 1500.

Наружу нужно натить около 200 подсетей.

 

Не можем определиться по граничному оборудованию. Вариантов два:

- ставить две железки (cisco или juniper, т.к. есть кому настраивать), которые будут принимать BGP, NATить 1500 пользователей и обрабатывать пару сотен ACL;

- ставить две железки послабее предыдущих, которые не будут NATить вообще, а NAT положить на пару серверов на FreeBSD\Linux

 

Ну и плюсом можно какой нибудь фаервол примастить...

Бюджет есть.

Посоветуйте железо.

Share this post


Link to post
Share on other sites
Пользователей - 1500

Подсетей - 200

 

как-то странно....

Share this post


Link to post
Share on other sites

как-то странно....

Поясните, пожалуйста, что странного? Отделы по 5-10 человек. У каждого отдела своя подсеть.

 

Очень нравятся железки Juniper. Вариант из двух SRX240H2 в virtual-chasis кластере вывезет данные требования?

Share this post


Link to post
Share on other sites

150 мбит и 2fv без проблем прожует cisco 7206 с npe-g1

Share this post


Link to post
Share on other sites

И самое смешное... вам fv, наверняка не нужно.

Share this post


Link to post
Share on other sites

Ericsson SE100 не сколько не интерпрайз класс. Использовать ее не по профилю, смысла нет. Если смотрите в сторону Juniper SRX (нужны функции фаервола, нат), то лучше смотрите в сторону Juniper SRX 650, 550 слабоват, как для связки удаленных офисов он хорош (их сейчас банки пачками закупают на свои филиалы)но 650 более производителен.

Что бы сильно не "штормило" при нагрузке защищайте RE от флуда, и мелкого DDoS'а. Сделайте, как в книжке, какой-нибудь "policer DOS-PROTECTION" с "мелким" bandwidth-limit для (icmp, traceroute и т.д.), крупных проблем не возникнет.

650 нормально "переваривает" 2 FV но Вам то они зачем? Вы же не транзитная AS. Но если очень хочется, то можно их принять, а если что, то отфильтровать префиксы.

Share this post


Link to post
Share on other sites

Поддержу предложение купить juniper srx 650, эрик SE100 BRAS тоже выглядит интересно но будет существенно дороже - за такие деньги можно srx 650 взять с модулем на 2 Х 10G ( речь конечно о б.у ), хоть и потребности пока такой нет но возможность роста приятна. Cisco 72ХХ or 73XX все же не советовал морально устарели они - имхо.

Share this post


Link to post
Share on other sites

Можно было бы предложить Cisco ASA, но не помню есть ли там BGP :(

Share this post


Link to post
Share on other sites

2 тазика пускай даже с вероятностью отказа 3 раза в год каждого по определению надежнее одной железки с вероятностью отказа раз в 5 лет. Ибо вероятность двойного отказа стремится к нулю.

 

Это пионерия. Лучше сразу брать ASA или какой-нибудь MX-80 навырост.

Share this post


Link to post
Share on other sites

Можно было бы предложить Cisco ASA, но не помню есть ли там BGP :(

bgp там нет

ASA(config)# router ?

configure mode commands/options:
 eigrp  Enhanced Interior Gateway Routing Protocol (EIGRP)
 ospf   Open Shortest Path First (OSPF)
 rip    Routing Information Protocol (RIP)

 

а еще из асы хреновый рутер, поэтому для работы с двумя провами рядом придется поставить еще и маршрутизатор. а как nat и fw мне она тоже нравится

Share this post


Link to post
Share on other sites

MX-80 не умеет нат. Как пограничник, MPLS роутер, изумительная железка.

Share this post


Link to post
Share on other sites

Подниму тему.

 

На данный момент утвердили скорость- 150Mb.

Будем брать BGP и /23 блок адресов.

Провайдера 2.

Пользователей всё так же- 1500.

Наружу нужно натить около 200 подсетей.

 

У меня это делает железка стоимостью 400 баксов.

 

Но отличие в том, что я зарабатываю деньги, на не трачу бюджеты. Поэтому общайтесь с единомышленниками.

Просто информирую о существовании параллельной реальности :)

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this