Уважаемые, подскажите, какое оборудование Cisco подойдёт для решения следующих задач:
- Создание IPSec Lan-2-lan с удалёнными офисами;
- Объединение сетей удалённых офисов по IPSec;
- 2 внешних интерфейса для подключения двух разных провайдеров;
- возможность автопереключения с провайдера-1 на провайдера-2.
Удалённых офисов около 10, возможно увеличение до 15.Функции антивируса не нужны, функции firewall не обязательны.
Я предполагаю, что с этими функциями справится ASA, но всё же хотел бы услышать советов более квалифицированных специалистов.Заранее благодарен.
С уважением.
>[оверквотинг удален]
>- 2 внешних интерфейса для подключения двух разных провайдеров;
>- возможность автопереключения с провайдера-1 на провайдера-2.
>Удалённых офисов около 10, возможно увеличение до 15.
>
>Функции антивируса не нужны, функции firewall не обязательны.
>Я предполагаю, что с этими функциями справится ASA, но всё же хотел
>бы услышать советов более квалифицированных специалистов.
>
>Заранее благодарен.
>С уважением.cisco 18xx серия
>cisco 18xx серияСкажите, а хватит производительности этого устройства чтобы строить столько IPSec туннелей?
>>cisco 18xx серия
>
>Скажите, а хватит производительности этого устройства чтобы строить столько IPSec туннелей?если планируется соединять офисы через низкоскоростные ВАН то да, если нет смотрите более старшие модели
Минимум ASA5505-SEC-BUN-K9 в центральном офисе ASA5505-x-BUN-K9 где x это 10,50,Unlimited Users в Branch
>Минимум ASA5505-SEC-BUN-K9 в центральном офисе ASA5505-x-BUN-K9я слышал, что 5505 - слабовата и на 10 3DES-пирах будет работать "впритык".
Линии на WAN собираюсь ставить 10-100 Мегабит/сек.
Остальные удалённые офисы на wan`е имеют не более 10 Мегабит/сек, за исключением одного, который на 100-ке сидит.Может тогда лучше ASA 5510? Но как тогда обстоят дела с WAN`ами? 2 внешних интерфейса там сделать можно?
Забыл приписать:
офисы-сателиты сидят на роутерах Cisco 870
У меня SECURITY BUNDLE работает с 10 тунелями AES-256 на реальных 10Мегабитах и запаса есть еще много ( 100 это скорость соединения или реальная пропускная способность круглосуточная ? )
> 100 это скорость соединения или
>реальная пропускная способность круглосуточная ? )Это реальная круглосуточная скорость
>> 100 это скорость соединения или
>>реальная пропускная способность круглосуточная ? )
>
>Это реальная круглосуточная скоростьшикарно живете :)
у вас офисы удалены далеко ?
>у вас офисы удалены далеко ?в разных концах г. Москвы, расположены практически звездой.
Центр 1800, 2800 серия.
Удаленные офисы - чтонить из 800й серии.
Ставить асу можно, но... Аса фаирвол. Точка. Ни тебе полиси роутинга, нетфлоу только вот недавно добавили. ИМХО не стоит ее ставить - по цене не особо выиграете, а функций которые можно сделать на маршрутизаторе в будущем у вас уже не будет.
>Центр 1800, 2800 серия.
>Удаленные офисы - чтонить из 800й серии.
>Ставить асу можно, но... Аса фаирвол. Точка. Ни тебе полиси роутинга, нетфлоу
>только вот недавно добавили. ИМХО не стоит ее ставить - по
>цене не особо выиграете, а функций которые можно сделать на маршрутизаторе
>в будущем у вас уже не будет.Да, у меня удалённые офисы как раз на 870-х сидят. А для центра, проанализировав советы предыдущих ораторов, я всё же больше располагаю к 2811 - это всё же роутер, а значит там более гибко настраивается роутинг.
у меня стоит 2811 с модулем:
Device: AIM-VPN/SSL-2
Location: AIM Slot: 0на данный момент 9 ipsec тунелей, загрузка cpu не поднимается более 10%
думаю для удаленных офисов, подойдет даж D-Link, ко мне парочка клиентов именно так и подключена.
Ни у кого случайно нет под рукой даташитов для ASA 5510 и роутера 2811? Чтобы сравить аппаратную часть этих устройств (процессор, память и пр.)
>Ни у кого случайно нет под рукой даташитов для ASA 5510 и
>роутера 2811? Чтобы сравить аппаратную часть этих устройств (процессор, память и
>пр.)дык а что там сравнивать то?
на асе - пентиум 4 помойму
на 2811 если не ошибаюсь RISC-й процессор.вам нужно сравнивать наверно все таки производительность и функционал, а что там внутри ИМХО все равно должно быть.
>вам нужно сравнивать наверно все таки производительность и функционал, а что там
>внутри ИМХО все равно должно быть.Я понял. В таком случае, какое устройство будет по производительности лучше, 2811 или ASA5510?
>>вам нужно сравнивать наверно все таки производительность и функционал, а что там
>>внутри ИМХО все равно должно быть.
>
>Я понял. В таком случае, какое устройство будет по производительности лучше, 2811
>или ASA5510?ASA5510-K8 ASA 5510 Appliance with SW, 5FE, DES B $3 495,00
производительность до 300Мбит/сCISCO2811 2811 w/ AC PWR,2FE,4HWICs,2PVDMs,1NME,2AIMS,IP BASE,64F/256D C $2 495,00
производительность до 61Мбит/с
(все данные по произвоительности из датащита)
тока вот в асу и PVDM не поткнешь, и модулек E1 и...
>[оверквотинг удален]
>
>ASA5510-K8 ASA 5510 Appliance with SW, 5FE, DES B $3 495,00
>
>производительность до 300Мбит/с
>
>CISCO2811 2811 w/ AC PWR,2FE,4HWICs,2PVDMs,1NME,2AIMS,IP BASE,64F/256D C $2 495,00
>производительность до 61Мбит/с
>(все данные по произвоительности из датащита)
>тока вот в асу и PVDM не поткнешь, и модулек E1 и...
>CISCO2811 - ISR! Интегрейтед сервис роутер тобишь, умеет дофига чего, но как и все "комбайны" - с небольшой производительностью.
ASA - всетаки СПЕЦИАЛИЗИРОВАНОЕ решение, пробросьте через него L2 с помощью l2tp v3 или AToM-а? - а вот неполучиться...
Так что определяйтесь с задачами, и берите счет :)
>[оверквотинг удален]
>
>ASA5510-K8 ASA 5510 Appliance with SW, 5FE, DES B $3 495,00
>
>производительность до 300Мбит/с
>
>CISCO2811 2811 w/ AC PWR,2FE,4HWICs,2PVDMs,1NME,2AIMS,IP BASE,64F/256D C $2 495,00
>производительность до 61Мбит/с
>(все данные по произвоительности из датащита)
>тока вот в асу и PVDM не поткнешь, и модулек E1 и...
>Производительности указанные очень условны и зависят от используемых сервисов. Сама циска гарантирует, что 2800 серия нормально переварит только E1 интерфейсы при использовании всех возможных сервисов. Т.е. совсем мало...
У ASA, как я понимаю - 300 мб/с - этоп роизводительность для пользователей(Нат + инспекция уровня трасполрта/приложений). Аса для этого в первыю очередь и сделана. Какую производительность она даст на 10-VPN-х - я не знаю точно - но факт что не 300, и не 100 мб/c.
ИМХО для указанных целей удобнее роутер, минимум 2821. При этом надо смотреть доки по втроенному ускорителю шифрования, и если его не достаточно - покупать соответсвующий модуль расширения.
Про серию 1800 и ASA 5505 - Лушне сразу забыть. Это оборудование исключительно для удаленных офисов, а не для организации VPN-хабов.
Вообще у циски есть специализированные VPN концентраторы. Может присмотреться к ним?
Да нет тут таких скоростей 100-200Мбит/c ( максимум 1-5Мбит/c )
>Вообще у циски есть специализированные VPN концентраторы. Может присмотреться к ним?Не могли бы Вы подсказать какую-нибудь подходящую модель? Мой энтузиазм касательно 2811 уже начал угасать.
Сложность ситуации ещё в том, что про этим IPSec-туннелям будет гоняться видеоконференция на 3-4 абонент, поэтому производительность устройства крайне важна.
>>Вообще у циски есть специализированные VPN концентраторы. Может присмотреться к ним?
>
>Не могли бы Вы подсказать какую-нибудь подходящую модель? Мой энтузиазм касательно 2811
>уже начал угасать.
>
>Сложность ситуации ещё в том, что про этим IPSec-туннелям будет гоняться видеоконференция
>на 3-4 абонент, поэтому производительность устройства крайне важна.Единственное, что я о них знаю - что они есть...))) Никогда не сталкивался и не изучал...
Посмотрите здесь. Производительность вроде указана в явном виде.
http://www.cisco.com/en/US/prod/collateral/vpndevc/ps5743/ps...