оборудование для шифрованного канала на 25 и 50 Мбит/сек

[romantix74]

Поставили задачу подобрать оборудование для передачи видеопотока в реальном времени (unicast) по шифрованному каналу на 25 и 50 Мбит/сек через интернет .

На счет каналов отдельная тема , возможно будут отдельные провайдеры под это дело, поэтому другой трафик не учитываем . Сейчас используется схема DMVPN hub-and-spoke на оборудовании cisco , соответственно трафик идет от спока (cisco 2811) до хаба (cisco 3825).

по

1) Подскажите нужен ли здесь qos ?

2) Каких вендоров и конкретные модели порекомендуете?

3) На счет законодательства : не знаю нужно ли шифрование по ГОСТу если брать новые железки . (я не совсем в теме шифрации : отдаленно слышал что надзорные органы требуют)

[-Pave1-]

1. Cisco c K9 ввести сейчас официально сложно, требуется как минимум нотификация и одобрение ФСБ.

2. Именно для видео (если не передаете гостайну, персональные даные и т.д.) - теоритически ГОСТ не требуется. Но с законодательством у нас все сложно, и и не постоянно :)

3. Vyatta на виртуальной машине с одним ядом современного процессора и 1 G оперативки отлично справится с поставленной задачей. Из минусов - бесплатная версия не роутит мультикаст и не умеет DMVPN.

Edited July 31, 2013 by -Pave1-

[vovannovig]

Слышал много положительного про использование в корпоративном секторе FortiGate - http://www.fortinet.com/products/fortigate/60C.html - 60ка без запаса... (но надо адаптироваться к ихней логике...)

Лично сам поднимал и на Dlink серии DFL

[Saab95]

Микротик подойдет, от RB1100AHx2 и выше.

[vovannovig]

Микротик подойдет, от RB1100AHx2 и выше.

Подойдет, но надо сразу говорить что IPSec сейчас в нем НЕ РАБОТАЕТ!

[srg555]

На счет законодательства : не знаю нужно ли шифрование по ГОСТу если брать новые железки . (я не совсем в теме шифрации : отдаленно слышал что надзорные органы требуют)

 

Вы для себя делаете или для гос.органов?

[romantix74]

На счет законодательства : не знаю нужно ли шифрование по ГОСТу если брать новые железки . (я не совсем в теме шифрации : отдаленно слышал что надзорные органы требуют)

 

Вы для себя делаете или для гос.органов?

Для себя , обычная корпоративная филиальная сеть.

[romantix74]

1. Cisco c K9 ввести сейчас официально сложно, требуется как минимум нотификация и одобрение ФСБ.

 

3. Vyatta на виртуальной машине с одним ядом современного процессора и 1 G оперативки отлично справится с поставленной задачей. Из минусов - бесплатная версия не роутит мультикаст и не умеет DMVPN.

1. Где можно почитать что делать с этим ФСБ, я так понимаю все согласования делает покупатель ? если да, то как оформлять, куда обращаться ?

3. Интересное решение . Спасибо.

[srg555]

На счет законодательства : не знаю нужно ли шифрование по ГОСТу если брать новые железки . (я не совсем в теме шифрации : отдаленно слышал что надзорные органы требуют)

 

Вы для себя делаете или для гос.органов?

Для себя , обычная корпоративная филиальная сеть.

 

Тогда делайте что хотите, если вы сами не гос.орган.

[-Pave1-]

1. Где можно почитать что делать с этим ФСБ, я так понимаю все согласования делает покупатель ? если да, то как оформлять, куда обращаться ?

1. Самим процессом по сути будет заниматься продавец (партнер циски), он же предоставит образец письма для заполнения - и отправит его в ФСБ.

2. Без наличия сертификатов ФСБ из серии "на обслуживание криптосредств" и т.д., а так же без внятной аргументации почему вам не подходит отечественное УГ из серии S-Terra и т.д. - получить добро вероятность не высокая, только внимание лишнее привлечете.

 

Есть еще варианты прикупиь k9 c документами на железо npe - но это вроде даже статья про незаконный ввоз)))

Edited July 31, 2013 by -Pave1-

[pukoid]

Слышал много положительного про использование в корпоративном секторе FortiGate - http://www.fortinet.com/products/fortigate/60C.html - 60ка без запаса... (но надо адаптироваться к ихней логике...)Лично сам поднимал и на Dlink серии DFL

 

D-Link серии DFL вполне годняе железки - http://www.dlink.ru/ru/products/6/ . Внутри шведская Clavistier NetDefendOS. Логика своеобразная, есть всё, что нужно. http://www.dlink.ru/ru/products/6/1381_b.html DFL-860e будет маловато, http://www.dlink.ru/ru/products/6/1401_b.html] DFL-1660 хватит с запасом.

На ftp://ftp.dlink.ru/ лежат древние прошивки 2.27.х с урезанным шифрованием и кучей глюков, c http://tsd.dlink.com.tw/ берутся нормальные 2.40.х с блэкджеком и гимназистками (в частности у 2.40 не отваливаются ВПНы при обновлении настроек). IPSec и другие vpn-ы есть во всех версиях, в импортных есть возможность включить запрещённые 3DES, AES и т.д. Эксплуатирую несколько таких аппаратов и доволен вполне.

Если воротит от слова D-Link, можно поискать чистый Clavistie, но зачем?

[naves]

А vipnet кто-нибудь пробовал на таких потоках?

Нужно будет передавать персональные данные между филиалами.

[digsi]

+1 за серию dfl. Очень стабильные железки. DFL 860 потянет до 60 мбит в одну сторону, или по 30 в обе.

[ash]

А vipnet кто-нибудь пробовал на таких потоках?

Нужно будет передавать персональные данные между филиалами.

 

по стране куча випнетов hw1000

тянут до 250мб.с в шифр трафике

hw2000 пока сыроваты

 

посмотрите еще pfsense

[Dubridze]

Юзаю FortiGate 40c-60c

Доволен как слон.

[digsi]

купить пару cisco 3825 + Cisco AIM-VPN/SSL-3 Security SSL Module for 3825 3845, на ебае вообще смешные цены на них.

Шифруют до 160 мбит

[romantix74]

купить пару cisco 3825 + Cisco AIM-VPN/SSL-3 Security SSL Module for 3825 3845, на ебае вообще смешные цены на них.

Шифруют до 160 мбит

на сколько повышаают эти модули производительность?

Опять же cisco говорит что без модуля 3825 дает 170 Мбит а с модулем 180 . А сколько на практике примерно без модуля и с модулем? Как раз думаем 3825 использовать для филиала.