https://www.opennet.dev/openforum/vsluhforumID6/14943.html Добрый день. Есть такая задача: центральный офис и 5 в других городах. В центральном пользователей до 70, в городах до 30. Хочу поднять vpn ipsec для объединения сеток - подбираю оборудование: pix 525 в офисе и 515e в городах. Вопрос следующий - потянет ли по производительности (вместе они вроде работают?)? Или все же использовать везде 515e?<br> https://www.opennet.dev/openforum/vsluhforumID6/14943.html#18 Thu, 29 Nov 2007 20:54:36 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;концентратора... Да она не умеет pptp/l2tp... Но в плане терминатора Сайт-ту-сайт <br>&gt;&gt;&gt;IPSec - лучшее решение. И потом у маршрутизаторов другие задачи и <br>&gt;&gt;&gt;он абсолютно для других целей создан. <br>&gt;&gt;<br>&gt;&gt;Dxer, читайте циску, прежде чем спорить: <br>&gt;&gt;http://www.cisco.com/en/US/netsol/ns340/ns394/ns171/ns142/netbr09186a00801f0a72.html <br>&gt;&gt;<br>&gt;&gt;Для терминации серьезных site-to-site VPN позиционируются именно маршрутизаторы. <br>&gt;<br>&gt;мне пора CCIE заканчивать :o) и переходить на "серьезные" VPN... <br><br>У маршрутизатора как раз эти задачи :) решать что куда направить и как (т.е. инкапсултровать, GRE, IPSec, *TP, ...).<br><br>В качестве CPE или border PIX (он же ASA) решение не то что бы плохое - негибкое. GRE нет, PBR нет, OSPF так себе, ничего кроме ethernet нет.<br><br>Другое дело если в филиале бордер уже на чем-то организован и нужно протащить тунель за него - да, будет хороший фаерволл и vpn на нем... <br><br>А вообще у PIX/ASA слишком много дизайн-ограничений что бы использовать их слишком близко к https://www.opennet.dev/openforum/vsluhforumID6/14943.html#17 Thu, 29 Nov 2007 14:08:49 GMT &gt;&gt;Вот это ненадо. Семейство Cisco Security Appliances позиционирует как Site-to-Site/Remote access/SSL vpn <br>&gt;&gt;концентратора... Да она не умеет pptp/l2tp... Но в плане терминатора Сайт-ту-сайт <br>&gt;&gt;IPSec - лучшее решение. И потом у маршрутизаторов другие задачи и <br>&gt;&gt;он абсолютно для других целей создан. <br>&gt;<br>&gt;Dxer, читайте циску, прежде чем спорить: <br>&gt;http://www.cisco.com/en/US/netsol/ns340/ns394/ns171/ns142/netbr09186a00801f0a72.html <br>&gt;<br>&gt;Для терминации серьезных site-to-site VPN позиционируются именно маршрутизаторы. <br><br>мне пора CCIE заканчивать :o) и переходить на "серьезные" VPN...<br> https://www.opennet.dev/openforum/vsluhforumID6/14943.html#16 Thu, 29 Nov 2007 13:35:57 GMT &gt;Вот это ненадо. Семейство Cisco Security Appliances позиционирует как Site-to-Site/Remote access/SSL vpn <br>&gt;концентратора... Да она не умеет pptp/l2tp... Но в плане терминатора Сайт-ту-сайт <br>&gt;IPSec - лучшее решение. И потом у маршрутизаторов другие задачи и <br>&gt;он абсолютно для других целей создан. <br><br>Dxer, читайте циску, прежде чем спорить:<br>http://www.cisco.com/en/US/netsol/ns340/ns394/ns171/ns142/netbr09186a00801f0a72.html<br><br>Для терминации серьезных site-to-site VPN позиционируются именно маршрутизаторы.<br> https://www.opennet.dev/openforum/vsluhforumID6/14943.html#15 Thu, 29 Nov 2007 11:51:20 GMT &gt;<br>&gt;&gt;Вот это ненадо. Семейство Cisco Security Appliances позиционирует как Site-to-Site/Remote access/SSL vpn <br>&gt;&gt;концентратора... Да она не умеет pptp/l2tp... Но в плане терминатора Сайт-ту-сайт <br>&gt;&gt;IPSec - лучшее решение. И потом у маршрутизаторов другие задачи и <br>&gt;&gt;он абсолютно для других целей создан. <br>&gt;<br>&gt;Где можно почитать, что и как компания Cisco позиционирует? <br><br>www.cisco.com<br><br>клацайте Product & services.<br>и ходите по всей линейке продктор изучая data sheet.<br> https://www.opennet.dev/openforum/vsluhforumID6/14943.html#14 Thu, 29 Nov 2007 11:24:20 GMT <br>&gt;Вот это ненадо. Семейство Cisco Security Appliances позиционирует как Site-to-Site/Remote access/SSL vpn <br>&gt;концентратора... Да она не умеет pptp/l2tp... Но в плане терминатора Сайт-ту-сайт <br>&gt;IPSec - лучшее решение. И потом у маршрутизаторов другие задачи и <br>&gt;он абсолютно для других целей создан. <br><br>Где можно почитать, что и как компания Cisco позиционирует?<br> https://www.opennet.dev/openforum/vsluhforumID6/14943.html#13 Wed, 28 Nov 2007 12:29:17 GMT &gt;[оверквотинг удален]<br>&gt;2) ASA - пхорошие железки, но Cisco не позиционирует их как устройтсва <br>&gt;site-to-site VPN. <br>&gt;Для этих целей служат именно маршрутизаторы. Например, взять ту же полезную функцию <br>&gt;DMVPN -- ее умеют только маршрутизаторы. <br>&gt;<br>&gt;Если еще не определились с оборудованием - звоните\пишите, подберем оптимальное решение исходя <br>&gt;из тех сервисов, которые Вы ожидаете от сети. <br>&gt;<br>&gt;Дмитрий Перов <br>&gt;(495) 937-1606, www.bc.ru <br><br>Вот это ненадо. Семейство Cisco Security Appliances позиционирует как Site-to-Site/Remote access/SSL vpn концентратора... Да она не умеет pptp/l2tp... Но в плане терминатора Сайт-ту-сайт IPSec - лучшее решение. И потом у маршрутизаторов другие задачи и он абсолютно для других целей создан. <br><br> https://www.opennet.dev/openforum/vsluhforumID6/14943.html#12 Wed, 28 Nov 2007 12:07:55 GMT &gt;Почитаю, нужно матчасть подучить по циске. <br><br>1) PIX - динозавры, через пару месяцев снимаются с производства<br>2) ASA - пхорошие железки, но Cisco не позиционирует их как устройтсва site-to-site VPN.<br>Для этих целей служат именно маршрутизаторы. Например, взять ту же полезную функцию DMVPN -- ее умеют только маршрутизаторы.<br><br>Если еще не определились с оборудованием - звоните\пишите, подберем оптимальное решение исходя из тех сервисов, которые Вы ожидаете от сети.<br><br>Дмитрий Перов<br>(495) 937-1606, www.bc.ru<br> https://www.opennet.dev/openforum/vsluhforumID6/14943.html#11 Tue, 27 Nov 2007 09:57:23 GMT Почитаю, нужно матчасть подучить по циске.<br><br>&gt;У меня 525 в одной московской домашней сетке 8000 юзерей натит - <br>&gt;вот это для неё хорошая нагрузка под 40% в вечерние часы, <br>&gt;с учётом любителей торрентов на анлимитед канале. <br><br>Ясно, тогда однозначно 525 слишком мощная будет.<br> https://www.opennet.dev/openforum/vsluhforumID6/14943.html#10 Tue, 27 Nov 2007 09:54:12 GMT &gt;&gt;Какой трафик пиковый между офисами будет? <br>&gt;<br>&gt;Примерный трафик в районе 15-20 мбит/сек в среднем (не пиковое) <br>&gt;<br>&gt;&gt;ASA 5510 у меня на одном из предприятии отлично держит 45 мегабит/с <br>&gt;&gt;3DES трафика аппаратно суммарно с 40 территориально-распределенными хостами MPLS сети :) <br>&gt;&gt;При этом crypto процесс не сьедает больше 18% в пике! <br>&gt;&gt;Просто в твоем случае, железки будут простаивать "гоняя воздух" в аппаратной. <br>&gt;<br>&gt;Ого, действительно "гоняя воздух" получится. Ок, спасибо за консультацию! <br><br>почитай на cisco.com возможности тех или иных Security Appliance-девайсов. Там немного завышены показатели, ну в среднем оценить можно, что тебе необходимо.<br><br>У меня 525 в одной московской домашней сетке 8000 юзерей натит - вот это для неё хорошая нагрузка под 40% в вечерние часы, с учётом любителей торрентов на анлимитед канале.<br>