Madnezz Posted June 15, 2013 Posted June 15, 2013 Добрый день. Есть задача объединить главный офис + 3 филиала. Хотел закупить cisco 2911 в офис, а в филиалы что посоветуете? Планировал поднять dmvpn + ospf + ipsec, но почитал что там нужны лицензии K9 чтобы ipsec работал, разрешение от ФСБ и тд. Хотя все железки я смотрю продают с припиской /K9, то есть работать теоретически должно? Какими способами можно еще все это объединить? Вставить ник Quote
srg555 Posted June 15, 2013 Posted June 15, 2013 Да, с c29 жопа в этом плане. Для запуска ipsec нужен ключик(лицензия), который зависит от серийника. По опыту коллег, Cisco вам его не продаст. Вариантов несколько - c28 б/у или остатки (cisco их уже не продаёт) или оборудование других производителей(из-за ipsec). Самый простой вариант - простенький сервер в центральный офис и ещё более простые серверы в филиалы. Или что-нибудь на базе openwrt, но там вопрос в производительность можете упереться. Вставить ник Quote
Saab95 Posted June 15, 2013 Posted June 15, 2013 Микротик поставьте в центр, например RB1100AHx2, в офисы RB2011, транспорт по IP в туннелях с маршрутизацией OSPF. Такая связка прокачает под 200-300мбит трафика. При этом не надо никаких лицензий и прочего геморроя, настраивается несколькими кликами мышки и стабильно работает, и самое главное отличие от циски - не флудит во все порты в случае перегрузки процессора. Вставить ник Quote
pawel40 Posted June 15, 2013 Posted June 15, 2013 Микротик поставьте в центр, например RB1100AHx2, в офисы RB2011, транспорт по IP в туннелях с маршрутизацией OSPF. Такая связка прокачает под 200-300мбит трафика. При этом не надо никаких лицензий и прочего геморроя, настраивается несколькими кликами мышки и стабильно работает, и самое главное отличие от циски - не флудит во все порты в случае перегрузки процессора. И тут впариваешь микротик :( Вставить ник Quote
srg555 Posted June 16, 2013 Posted June 16, 2013 и самое главное отличие от циски - не флудит во все порты в случае перегрузки процессора. первый раз такую чушь слышу с28/с29 это такой же софтроутер как и микротик по своей сути. геморрой с лицензией у cisco связан с законодательством РФ Вставить ник Quote
rmika Posted June 16, 2013 Posted June 16, 2013 Микротик поставьте в центр, например RB1100AHx2, в офисы RB2011, транспорт по IP в туннелях с маршрутизацией OSPF. Такая связка прокачает под 200-300мбит трафика. При этом не надо никаких лицензий и прочего геморроя, настраивается несколькими кликами мышки и стабильно работает, и самое главное отличие от циски - не флудит во все порты в случае перегрузки процессора. И тут впариваешь микротик :( Тоже хотел предложить такую схему, но не увидев ответа на свой вопрос, решил не кормить тролей. Вставить ник Quote
Madnezz Posted June 16, 2013 Author Posted June 16, 2013 Тоже думал в сторону микротика. Я так понимаю канал там будет шифрованный? Просто читал что микротики довольно глючные, мне нужно чтоб поставил и забыл Вставить ник Quote
Saab95 Posted June 16, 2013 Posted June 16, 2013 и самое главное отличие от циски - не флудит во все порты в случае перегрузки процессора. первый раз такую чушь слышу с28/с29 это такой же софтроутер как и микротик по своей сути. геморрой с лицензией у cisco связан с законодательством РФ А я сталкивался много раз. Ставят циску и она работает, потом поступают жалобы что канал интернета не пропускает заявленную скорость. Лезешь разбираться а с порта клиента летит поток данных с его серыми адресами, загрузка процессора циски 100% - она начинает флудить во все порты. Тоже думал в сторону микротика. Я так понимаю канал там будет шифрованный? Просто читал что микротики довольно глючные, мне нужно чтоб поставил и забыл Микротики не глючные. Все проблемы от не внимательности или не правильной настройки. RB1100AHx2 имеет аппаратный модуль шифрования и позволяет передавать до 200мбит шифрованного трафика. CCR1036 с 36 процессорами прокачивает с каждым по 100-200мбит шифрованного трафика в туннелях, следовательно даже по низкой планки в 100мбит общая пропускная способность будет 3.6 гигабит. Единственно встает вопрос с дешевым устройством для филиалов, тот же RB2011 с процессором 750мгц прокачивает только 30-40мбит шифрованного трафика в зависимости от пакетной нагрузки. Если требуется больше - то RB1100AHx2, но он все же дорогой. Тоже хотел предложить такую схему, но не увидев ответа на свой вопрос, решил не кормить тролей. Суть в том что люди привыкли везде ставить циску, не смотря на то, что есть другие более дешевые и качественные решения. Которые настраиваются легко через удобный интерфейс, а не через устаревшую консоль. Вставить ник Quote
digsi Posted June 16, 2013 Posted June 16, 2013 А RB1100AHx2 где можно на тест взять в Москве, 100 мбит в каждую сторону было бы неплохо, но что-то сомнения берут что потянет. Вставить ник Quote
pawel40 Posted June 16, 2013 Posted June 16, 2013 Добрый день. Есть задача объединить главный офис + 3 филиала. Хотел закупить cisco 2911 в офис, а в филиалы что посоветуете? Планировал поднять dmvpn + ospf + ipsec, но почитал что там нужны лицензии K9 чтобы ipsec работал, разрешение от ФСБ и тд. Хотя все железки я смотрю продают с припиской /K9, то есть работать теоретически должно? Какими способами можно еще все это объединить? В главный офис ставите сервер хотя бы на атоме. Туда закатываете Linux или FreeBSD, дальше ставите OpenVPN и настраиваете мост между tap и eth интерфейсом. Все профит с возможностью масштабирования и довольно дешево. Чистый L2 гонять можно. Если брать атомы то где то 400-500$ выйдет за точку. Вставить ник Quote
Saab95 Posted June 16, 2013 Posted June 16, 2013 Если брать атомы то где то 400-500$ выйдет за точку. Если еще на них и микротик установить, то вообще будет все замечательно. Есть материнки с питанием 12 вольт, собрать в корпус с пассивным охлаждением, проблемы только в ограниченном количестве сетевых интерфейсов. Чистый L2 гонять можно. Вот уж чего не надо так не надо. L2 на то и L2 что бы работать в пределах локальной сети, а не растаскивать по всей стране. Вставить ник Quote
pawel40 Posted June 16, 2013 Posted June 16, 2013 Если брать атомы то где то 400-500$ выйдет за точку. Если еще на них и микротик установить, то вообще будет все замечательно. Есть материнки с питанием 12 вольт, собрать в корпус с пассивным охлаждением, проблемы только в ограниченном количестве сетевых интерфейсов. Зачем платить за бесплатный линукс на базе которого ваш глючиный микротик собирается? Вставить ник Quote
pppoetest Posted June 16, 2013 Posted June 16, 2013 (edited) Если еще на них и микротик установить, то вообще будет все замечательно. Нахер это проприентарное уродство на ядре с возрастом говна динозавра и глючными дровами? Если уж брать атом, десятикрат проще линукс туда накатить. Гы, полчаса вкладка висела, уже ответить успели :D Edited June 16, 2013 by pppoetest Вставить ник Quote
Alex/AT Posted June 16, 2013 Posted June 16, 2013 Если объединять надо по L3, а не по L2 - посмотрите в сторону D-Link DFL или Cisco ASA. Надёжные железные решения, и весьма недорогие. Вставить ник Quote
Saab95 Posted June 16, 2013 Posted June 16, 2013 Если объединять надо по L3, а не по L2 - посмотрите в сторону D-Link DFL или Cisco ASA. Надёжные железные решения, и весьма недорогие. Тут недавно как раз DFL критиковали, что после 150 мбит трафика они сдуваются. Вставить ник Quote
pawel40 Posted June 16, 2013 Posted June 16, 2013 Если объединять надо по L3, а не по L2 - посмотрите в сторону D-Link DFL или Cisco ASA. Надёжные железные решения, и весьма недорогие. А что мешает tun написать в конфиге? Надо L2 например для vlan-ов то tap Вставить ник Quote
Alex/AT Posted June 17, 2013 Posted June 17, 2013 Тут недавно как раз DFL критиковали, что после 150 мбит трафика они сдуваются. У производителя есть пункт "производительность VPN" для данного случая. DFL-1660 допустим реально "сдувается" после 350 Мбит IPSec. Не silver bullet, угу, ребренд Clavister. Но на DFL-ях межофисную сеть когда-то строил, по опыту - заявленным параметрам более-менее соответствуют. ASA вообще выглядит получше, но чуть дороже. У DFL кстати с ASAми нормальная интероперабельность - когда строил - вполне получалось подвязать IPSec'и с DFL-210 на ASA 5540. А что мешает tun написать в конфиге? Надо L2 например для vlan-ов то tap У ASA нет понятия tun/tap - это L3-железки. Во всяком случае, были, последние firmware не смотрел. У DFL - то же самое. Вставить ник Quote
pawel40 Posted June 17, 2013 Posted June 17, 2013 А что мешает tun написать в конфиге? Надо L2 например для vlan-ов то tap У ASA нет понятия tun/tap - это L3-железки. Во всяком случае, были, последние firmware не смотрел. У DFL - то же самое. Я про софтовое решение. Вставить ник Quote
Madnezz Posted June 17, 2013 Author Posted June 17, 2013 Все таки решил делать на микротиках. Но как у них дела обстоят со стабильностью? Не рвется ipsec при отсутствии данных? Вставить ник Quote
-Pave1- Posted June 17, 2013 Posted June 17, 2013 (edited) Все таки решил делать на микротиках. Но как у них дела обстоят со стабильностью? Не рвется ipsec при отсутствии данных? От отсутвия данных спасают IPIP/GRE инкапсуляция + протокол динамический маршрутизации. Есть альтернатива микротику - бесплатный линукс роутер с великолепной командной строкой vyatta: http://www.vyatta.org/ В центре одну/две - виртуальные машины по количеству провайдеров. В филиалы Ubiquiti EdgeRouter на той же вьятте: http://www.ubnt.com/edgemax#EdgeMAXhardware У меня в лабе виртуалка с 1 ядром и 1 Гб переваривает 250-300 мб/с IPSec aes128 + sha1 + pfs TCP трафика с окном 10 мб и 50-ю сессиями. PS Хваленая прогрессивная GUI микротика нервно курит по сравнению с "древней" командной строкой вьятты, или той же циски. Если знаешь их) Edited June 17, 2013 by -Pave1- Вставить ник Quote
Madnezz Posted June 17, 2013 Author Posted June 17, 2013 Посмотрел эту ватту, интересная штука. Но с бесплатной лицензией самые вкусные штуки порезаны, а лицензия стоит 1к$ и причем я так понял каждый год Вставить ник Quote
-Pave1- Posted June 17, 2013 Posted June 17, 2013 (edited) А где вы про 1$ нагуглили? Да и про каждый год с чего бы? Это грабеж тогда. Да и подписок они никаких не продают сейчас. Сам, если честно - нигде не нашел инфы про цену. Они только предлагают связаться с их продавцом. Но имхо multicast для региональных vpn сетей - крайне маловероятно понадобится. А если филиалов меньше 10 - то никаких проьлем нет построить сетку на обычных vti, без dmvpn. Последний реально востребован, когда филиалов совсем много, либо обязательно full-mesh нужен. Да и у микротика этой технологии нет в принципе. А так как у вас вряди больше 10 офисов, 99% трафика вероятно бегает в центральный цод и мультикаста нет - то скорее всего бесплатной версии будет более чем достаточно. Edited June 17, 2013 by -Pave1- Вставить ник Quote
pawel40 Posted June 17, 2013 Posted June 17, 2013 Посмотрел эту ватту, интересная штука. Но с бесплатной лицензией самые вкусные штуки порезаны, а лицензия стоит 1к$ и причем я так понял каждый год А еще проще нанять админа вменяемого сделает то же самое бесплатно. Ну или оутсорс под чисто этот проект что еще дешевле. Вставить ник Quote
Saab95 Posted June 17, 2013 Posted June 17, 2013 Все таки решил делать на микротиках. Но как у них дела обстоят со стабильностью? Не рвется ipsec при отсутствии данных? Зачем вам ipsec если оборудование микротик? У него есть SSTP и L2TP с шифрованием, этого более чем достаточно, работает без всяких сертификатов и т.п. На практике вообще шифрование редко кто использует, т.к. никому в инете не нужны ваши данные. Обычно в ТЗ всегда указывают что требуется шифрование, однако потом по каналу гоняют обычный интернет в центр, или телефонию, которая опять же из центра идет в открытом виде на сервер провайдера, в итоге шифруют 99 процентов данных, которые вообще этого не требуют, что только загружает процессоры и повышает стоимость оборудование. После общения с вменяемыми заказчиками все переводится на схему без шифрования основного количества трафика, и только по нужным направлениям (например доступ к корпоративным базам данных и т.п.) идет отдельное шифрованное соединение. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.