r1sh Posted August 15, 2013 Posted August 15, 2013 Добрый день! Занимаюсь апгрейдом сети, составляю новую схему. 4 vlan, порядка 6шт 2960 на уровне доступа будет,ядро на том же 2960 только гигабитном. Канал от одного провайдера, но предполагается резервирование 2м провом, трафик в пике 50мб\с в среднем 35, если шейпить то до 30 можно опуститься. Предполагается QoS voip трафика. Шлюз в данный момент на vyatta (софтроутер) рассматриваю варианты как Cisco роутеров так и софтроутера с шустрыми сетевушками. Отдел разработки насчитывает 60 человек, у них порядка 30 тестовых vm, и продажники\колл-центр кот звонит около 50 человек, имеет ли смысл ставить отдельных шлюз под телефонию + офисных сотрудников и отдельный под разработчиков из соображений что разработчикам нужен проброс портов, фильтрация трафика извне и тд, а офисным сотрудникам ничего такого не нужно, только voip красить? Бюджет не предполагает миллионных трат, в разумных пределах:) Вставить ник Quote
srg555 Posted August 15, 2013 Posted August 15, 2013 трафик в пике 50мб\с Шлюз в данный момент на vyatta (софтроутер) рассматриваю варианты как Cisco роутеров так и софтроутера с шустрыми сетевушками. Вас щас засмеют с вашими 50мбитами. vyatta на компе вам за глаза и за уши хватит. Cisco в таких масштабах есть смысл брать только ради привычного(?) CLI. Хотя и vyatta имеет монолитный CLI. И да, Cisco на 50мбит это будет такой же софтроутер, только в красивой коробочке. Под телефонию вам надо взять отдельный канал в интернет(если она у вас через public), это обязательно, т.к. на входящий трафик(от провайдера к вам) в общем случае нельзя оказывать влияние, особенно если качают торренты по udp, как бы вы его не разукрашивали. Можно покрасить телефонию на порту включения софтсвитча, если у вас сотрудники подключены через телефон. Если телефон и компьютер отдельными портами, то красить смысла нет, ибо аплинки гигабитные, а порты включения энд-кастомеров 100М Вставить ник Quote
darkagent Posted August 15, 2013 Posted August 15, 2013 если очень хочется циско: http://shop.nag.ru/catalog/02092.Cisco/07120.800-1800-2800-3800/02415.CISCO2811 http://shop.nag.ru/catalog/02092.Cisco/07120.800-1800-2800-3800/01951.CISCO2821 http://shop.nag.ru/catalog/02092.Cisco/07120.800-1800-2800-3800/01952.CISCO2851 Всех трех вариантов в вашем случае будет заглаза, но вариант 2821 лучше впишется в гигабитную сеть, а 2851 обеспечит вас запасом производительности на длительный период (~200мбит/с в обе стороны выжимает вполне спокойно). и за б\у шибко не переживайте - эти железки практически не убиваемы (если только не заливать их водой - начинают внутренности ржаветь, и не кидать в костер). Вставить ник Quote
r1sh Posted August 15, 2013 Author Posted August 15, 2013 сех трех вариантов в вашем случае будет заглаза, но вариант 2821 лучше впишется в гигабитную сеть, а 2851 обеспечит вас запасом производительности на длительный период (~200мбит/с в обе стороны выжимает вполне спокойно). и за б\у шибко не переживайте - эти железки практически не убиваемы (если только не заливать их водой - начинают внутренности ржаветь, и не кидать в костер). да в гигабитку лучше конечно 2821, кстати а для резервирования имеет смысл брать плату расширения и в нее воткнуть два коммутатора а от них уже разводку по остальным коммутаторам? И для 4х vlan стоит брать 2960 или хватит sf300? Я и в тех и тех копался, у sf300 cli почти как у c2960 только по произзводительности не измерял Вставить ник Quote
darkagent Posted August 15, 2013 Posted August 15, 2013 cataylst 2960 неубиваемы, sf300 это уже не catalyst, а скорей всего linksys - в любом случае lowcost. если есть 2960, лучше их. если нет, вполне хватит и sf300. никаких плат в 2800 не надо. оба порта цепляем в коммутатор, дальше гуляем вланами - один влан для одного аплинка, другой влан для другого аплинка, для офиса третий влан и т.д. - ну а как куда и чего будет подводиться - вариантов 100500, вплоть до всяких vrrp и прочих механизмов защиты от физического вымирания одного из линков. Вставить ник Quote
r1sh Posted August 15, 2013 Author Posted August 15, 2013 cataylst 2960 неубиваемы, sf300 это уже не catalyst, а скорей всего linksys - в любом случае lowcost. если есть 2960, лучше их. если нет, вполне хватит и sf300. никаких плат в 2800 не надо. оба порта цепляем в коммутатор, дальше гуляем вланами - один влан для одного аплинка, другой влан для другого аплинка, для офиса третий влан и т.д. - ну а как куда и чего будет подводиться - вариантов 100500, вплоть до всяких vrrp и прочих механизмов защиты от физического вымирания одного из линков. а в инет чем смотреть?:) и резервирование канала другим провайдером, у меня ест опыт только на циске 1941 с использованием двух гигабитных портов один под isp1 второй под isp2 + ihwic c 4 гигабитными портами. И имеет ли смысл для разработчиков отдельный роутер выводить? Вставить ник Quote
darkagent Posted August 15, 2013 Posted August 15, 2013 1941 не шибко в настройках будет отличаться от 2800, а уж если есть опыт резервирования средствами 2х физ.интерфейсов, то легко справитесь с резервированием средствамии 2х логич.интерфейсов. В вашем случае задача настолько простая, что тут на форуме наверняка найдутся желающие развернуть побыстрому эту сеть и максимально автоматизировать ее резервирование за скромное вознаграждение. Да и наверняка найдутся те, кто готовы за символическую плату взять вашу сеть на обслуживание. Вставить ник Quote
r1sh Posted August 15, 2013 Author Posted August 15, 2013 1941 не шибко в настройках будет отличаться от 2800, а уж если есть опыт резервирования средствами 2х физ.интерфейсов, то легко справитесь с резервированием средствамии 2х логич.интерфейсов. как могут бызть зарезервированы 2 логических интерфейса если будет два физических шнурка от провайдера?) уверен что таких людей будет много, свою сеть никому не отдам:) хотелось бы узнать аналогичные решения на базе Debian или FreeBSD ну и Microtik, плюсы\минусы этих решений... Вставить ник Quote
srg555 Posted August 15, 2013 Posted August 15, 2013 на ваших объемах хватит и тплика за 1500р Вставить ник Quote
NikBSDOpen Posted August 16, 2013 Posted August 16, 2013 Возьмите SRX220 или SRX240. Хватит за глаза. По цене как средний "ноут", а функционал закроет все Ваши потребности. http://shop.nag.ru/catalog/05269.Juniper/10028.SRX/11862.SRX220H2 Вставить ник Quote
dignity Posted August 16, 2013 Posted August 16, 2013 Боюсь показаться Saab-ом, но возьмите Routerboard и забудьте о своих проблемах на пару лет до 200-300 Мбит трафика. Вставить ник Quote
-Pave1- Posted August 16, 2013 Posted August 16, 2013 Боюсь показаться Saab-ом, но возьмите Routerboard и забудьте о своих проблемах на пару лет до 200-300 Мбит трафика. Дык у него же уже и так есть тазик с vyatta. Накой шило на мыло менять то? Тем более последняя для энтерпрайза куда как приятнее. Вставить ник Quote
r1sh Posted August 20, 2013 Author Posted August 20, 2013 Возьмите SRX220 или SRX240. Хватит за глаза. По цене как средний "ноут", а функционал закроет все Ваши потребности. http://shop.nag.ru/c.../11862.SRX220H2 с джуниперами еще не работал и не хочется зоопарк городидить, свичи будут циски, и роутер либо циска либо никсы, а свичи циски и роутер джунипер както...не комильфо... Боюсь показаться Saab-ом, но возьмите Routerboard и забудьте о своих проблемах на пару лет до 200-300 Мбит трафика. рассматривал уже такой вариант, не вижу разницы между vyatta и routerboard.... Дык у него же уже и так есть тазик с vyatta. Накой шило на мыло менять то? Тем более последняя для энтерпрайза куда как приятнее. ну во у меня на последнем месте работы виатта была в двух точках: в Германии в Питере, виртуалка под Hyper-V и виртуалка под Vmware ESXi, без лишних проблем тянула по 4 туннеля с 10 циско-роутерами, фаервол с роутингом до 30мб\с ну и удобный интерфейс, разве что netflow не смогла мне родить:( Вставить ник Quote
mt8875 Posted August 20, 2013 Posted August 20, 2013 не вижу разницы между vyatta и routerboard.... Зря... Вставить ник Quote
-Pave1- Posted August 20, 2013 Posted August 20, 2013 (edited) с джуниперами еще не работал и не хочется зоопарк городидить, свичи будут циски, и роутер либо циска либо никсы, а свичи циски и роутер джунипер както...не комильфо... Собственно cli vyatta слизан с джуна, и если ты в нем разобрался - то вероятно и с ждуном разберешься быстро. ПОэтому почему бы и нет, если экономически и функционально предложение интересное? Т.е. с точки зрения инженера это как минимум интересно. С точки зрения собственника бизнеса - уже не очень))) Самому с джуном работать не приходилось, хотя интересно было бы попробовать. Cli не пугает, вьятту за 3-4 дня освоил без проблем. не вижу разницы между vyatta и routerboard.... Зря... А можно аргументированно? Какие у микротика плюсы, не считая не нужных топикстартеру провайдерских технологий, как q-in-q, mpls, и т.д. Неужто корявая гуи-надстройка над iptables, удобная только заядлым линуксойдам, взамен прозрачного и понятного Zone Bazed Firewall? Про стабильность IPSec думаю говорить вообще не стоит: коробочку RB750 я перегружал раз в 2-3 суток... Edited August 20, 2013 by -Pave1- Вставить ник Quote
biox Posted August 20, 2013 Posted August 20, 2013 (edited) Коробочку RB750 я перегружал раз в 2-3 суток... С тех пор много воды утекло..... Edited August 20, 2013 by biox Вставить ник Quote
mt8875 Posted August 20, 2013 Posted August 20, 2013 А можно аргументированно? Какие у микротика плюсы, не считая не нужных топикстартеру провайдерских технологий, как q-in-q, mpls, и т.д. Неужто корявая гуи-надстройка над iptables, удобная только заядлым линуксойдам, взамен прозрачного и понятного Zone Bazed Firewall? Про стабильность IPSec думаю говорить вообще не стоит. Коробочку RB750 я перегружал раз в 2-3 суток... Я к тому что Vyatta лучше, и менять ее на микротик это даунгрейд... Вставить ник Quote
r1sh Posted August 21, 2013 Author Posted August 21, 2013 Я к тому что Vyatta лучше, и менять ее на микротик это даунгрейд... Посмотрел модели Микротика на офф сайте: либо за 100$ держат до 30мб\с при фильтрации трафика либо за 700$ держат до 500Мб\с при фильтрации трафика. Мне полпополамки, пожалуйста:) Нет среднего звена.... Если бы была железка, подходящая мне, я бы может и задумался насчет микротика, потмоу что: - он бы стоил дешевле чем машина для Linux-системы - имел бы порты для коммутации на гигабите - внешние порты для разных провайдеров и failover на 100мб\с, - меньше энергопотребление - меньше размеры. Cisco я хочу из соображений: - я уже с ней работал и на нее учился и не нужно читать стопку мануалов о том как на Linux настраивается qos, очереди, синтаксис iptables и порядок работы таблиц. - владельца фирмы обычно радуют фразы типа "это типизированное оборудование с документацией по стандартами в настройке, которую может осуществить большинство ИТ специалистов" потому что даже меня достало что я прихожу на новое место а старый админ-приверженец-чегото делал только для себя без масштабируемости, например как в астериске curl руками в extensions прописывать или на винде для копирования файлов cygwin использовать, я думаю, у каждого были такие случаи в практике. - в купе с циско-коммутаторами всяке проприетарные плюшки. Собственно cli vyatta слизан с джуна, и если ты в нем разобрался - то вероятно и с ждуном разберешься быстро. ПОэтому почему бы и нет, если экономически и функционально предложение интересное? Т.е. с точки зрения инженера это как минимум интересно. С точки зрения собственника бизнеса - уже не очень))) прямо слизан?) а ничего такой cli, я правда не понимаю как можно смотреть show conf, я обычно пользуюсь sh conf comm как не тру-админ:) интересно это хорошо, когда времени куча свободного, а когда ты приходишь после админа и нужно стопку дел исправлять, начиная от составления схемы скс, заканчивая причесывания телефонии, хочется гибкое решение которое настроил и забыл, не потратив на настройку месяц:) Кстати а как джуны дружат с коммутаторами цисок? Вставить ник Quote
-Pave1- Posted August 22, 2013 Posted August 22, 2013 (edited) Кстати а как джуны дружат с коммутаторами цисок? А в чем разница то? o_O Как они могут дружить, кроме как по IP. На сайте джуна есть короткий вводный видео урок по JunOS - посмотри. А еще посмотри в сторону Cisco ASA. Скорее всего для тебя самое подходящее. + у нее есть identity firewall, можно правила на имена юзеров писать. Причем тебе вероятно 5505 вполне хватит. PS Вопрос к джуноводам: у srx есть аналог identity firewall в ASA. Чтоб работал без приобретения дорогущих фирменных серверов "авторизаци" и и построения всей инфраструктуры на джуне? Edited August 22, 2013 by -Pave1- Вставить ник Quote
NikBSDOpen Posted August 22, 2013 Posted August 22, 2013 Вопрос к джуноводам: у srx есть аналог identity firewall в ASA. Чтоб работал без приобретения дорогущих фирменных серверов "авторизаци" и и построения всей инфраструктуры на джуне? Есть. Вставить ник Quote
-Pave1- Posted August 22, 2013 Posted August 22, 2013 Вопрос к джуноводам: у srx есть аналог identity firewall в ASA. Чтоб работал без приобретения дорогущих фирменных серверов "авторизаци" и и построения всей инфраструктуры на джуне? Есть. Спасибо за ответ. А не подскажите ключевые слова, по которым гуглить? А то вендорские сайты таковы, что без опыта общения с ними и пол-литра - зачастую сложно найти желаемое. Вставить ник Quote
NikBSDOpen Posted August 22, 2013 Posted August 22, 2013 Чего Вы конкретно хотите добиться? Вариантов масса начиная от использования DHCP Relay, заканчивая 802.1х. Собственно никахих проблем и дополнительных усилий не требуется. Вставить ник Quote
-Pave1- Posted August 22, 2013 Posted August 22, 2013 (edited) Чего Вы конкретно хотите добиться? Вариантов масса начиная от использования DHCP Relay, заканчивая 802.1х. Собственно никахих проблем и дополнительных усилий не требуется. Хочу, что бы фаервол из AD подсасывал базу адресов залогинившихся на доменных компьютерах юзеров, и применял правила на основе доменных имен (а не IP адресов). Как это сделано в ASA, Checkpoint и т.д. МОжно так сделать? И если да, то как гуглить описание технологии. PS Заранее спасибо за помощь, и сорри за офтоп. Но думаю топикстартеру тоже интересно) Пока я только нагуглил про нечно под названием UAC - но оно вроде как работает только совместно с дорогим проприетарным сервером и еще не понятно с чем. Edited August 22, 2013 by -Pave1- Вставить ник Quote
NikBSDOpen Posted August 22, 2013 Posted August 22, 2013 А в чем проблема использовать 802.1x ? Привязывайте к радиусу, который в AD и далее по схеме. С родным виндовым суппликантом заведется без особых проблем. Хотите плюшек - скачате Networks Odyssey Access Client. UAC дороговат конечно. Можно найти на "ебей" б/у достаточно дешево. А вообще используйте то, что Вам идеологически роднее. Купите ASA, прикрутите MARS. Хотя я сторонник Juniper и не пративник cisco. Вставить ник Quote
-Pave1- Posted August 22, 2013 Posted August 22, 2013 Спасибо за ответы. Покупать пока ничего не планрую. Прото джун в принципе интересен, и пытаюсь понять что он может. 802.1х хоть и позволяет делать то же посредством downloadable ACL на свичи и т.д. - это все же технология совсем другого плана. И далеко не везде она в принципе применима по техническим/административным причинам. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.