forum.opennet.ru - "Организация VPN нужен совет" (18)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Организация VPN нужен совет"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Организация VPN нужен совет"
Сообщение от Владимир (??) on 14-Дек-05, 10:49 (MSK)
Всем привет! Нужен совет по оборудованию. Контора состоит из нескольких филиалов по Москве. Филиалы подсоединены к инету двумя провайдерами для надежности. Нужно закупить Cisco для обеспечения VPN, динамического переключения протоколами маршрутизации в случае отказа основного провайдера, считать трафик по IP-адресам, плюс телефония. Предварительно я остановился на модели 1841 в каждый филиал Девайс стоит вроде 1500 в среднем + возможно понадобятся дополнительные модули и ПО. Закладываюсь на 2000 Посоветуйте плиз, все ли правильно, а то облажаться нельзя. Спасибо! Владимир
	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

Организация VPN нужен совет, Lacunacoil, 10:58 , 14-Дек-05, (1)

Организация VPN нужен совет, Владимир, 11:22 , 14-Дек-05, (2)

Организация VPN нужен совет, Lacunacoil, 14:17 , 14-Дек-05, (3)

Организация VPN нужен совет, Владимир, 16:22 , 14-Дек-05, (4)
Организация VPN нужен совет, routercs, 18:51 , 14-Дек-05, (10)

Организация VPN нужен совет, toor99, 17:09 , 14-Дек-05, (5)

Организация VPN нужен совет, nightlight, 17:52 , 14-Дек-05, (6)

Организация VPN нужен совет, denn, 18:37 , 14-Дек-05, (7)

Организация VPN нужен совет, Сайко, 18:41 , 14-Дек-05, (8)

Организация VPN нужен совет, denn, 18:45 , 14-Дек-05, (9)

Организация VPN нужен совет, nightlight, 03:12 , 15-Дек-05, (11)

Организация VPN нужен совет, Владимир, 10:10 , 15-Дек-05, (12)

Организация VPN нужен совет, toor99, 10:48 , 15-Дек-05, (13)

Организация VPN нужен совет, denn, 11:31 , 15-Дек-05, (15)

Организация VPN нужен совет, toor99, 10:49 , 15-Дек-05, (14)

Организация VPN нужен совет, Lacunacoil, 11:45 , 15-Дек-05, (16)
Организация VPN нужен совет, denn, 11:49 , 15-Дек-05, (17)

Организация VPN нужен совет, toor99, 12:24 , 15-Дек-05, (18)

Сообщения по теме [Сортировка по времени, UBB]

1. "Организация VPN нужен совет"

Сообщение от Lacunacoil (??) on 14-Дек-05, 10:58  (MSK)

>Всем привет!
>Нужен совет по оборудованию. Контора состоит из нескольких филиалов по Москве. Филиалы
>подсоединены к инету двумя провайдерами для надежности. Нужно закупить Cisco для
>обеспечения VPN, динамического переключения протоколами маршрутизации в случае отказа основного провайдера,
>считать трафик по IP-адресам, плюс телефония.
>Предварительно я остановился на модели 1841 в каждый филиал
>Девайс стоит вроде 1500 в среднем + возможно понадобятся дополнительные модули и
>ПО. Закладываюсь на 2000
>Посоветуйте плиз, все ли правильно, а то облажаться нельзя.
>Спасибо!
>Владимир
Тут все зависит от нагрузки в этих офисах + ВПН какой полосой нужен, сколько офисов ? Телефония нужно смотреть по ценам иногда выгоднее и правильнее поставить оборудование отдельно от рутера + другого вендора.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Организация VPN нужен совет"

Сообщение от Владимир (??) on 14-Дек-05, 11:22  (MSK)

>>Всем привет!
>>Нужен совет по оборудованию. Контора состоит из нескольких филиалов по Москве. Филиалы
>>подсоединены к инету двумя провайдерами для надежности. Нужно закупить Cisco для
>>обеспечения VPN, динамического переключения протоколами маршрутизации в случае отказа основного провайдера,
>>считать трафик по IP-адресам, плюс телефония.
>>Предварительно я остановился на модели 1841 в каждый филиал
>>Девайс стоит вроде 1500 в среднем + возможно понадобятся дополнительные модули и
>>ПО. Закладываюсь на 2000
>>Посоветуйте плиз, все ли правильно, а то облажаться нельзя.
>>Спасибо!
>>Владимир
>
> Тут все зависит от нагрузки в этих офисах + ВПН какой
>полосой нужен, сколько офисов ? Телефония нужно смотреть по ценам иногда
>выгоднее и правильнее поставить оборудование отдельно от рутера + другого вендора.
>
>
Спасибо за ответ.
Офисов 7 штук, возможен рост до 10.
По полосе пропускания устроит 5-10Мбит/с.
IP-телефония пока не срочная - сначала нужно чтобы VPN с переключением заработал. Но нужно по крайней мере чтобы функционал можно было расширить, а не заменять устройства.
Кстати, как реально в такой схеме будут работать динамическая маршрутизация? Скажем, при отключении основного провайдера одного из офисов - через сколько времени поменяются маршруты и связи восстановятся через резервного?

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Организация VPN нужен совет"

Сообщение от Lacunacoil (??) on 14-Дек-05, 14:17  (MSK)

>>>Всем привет!
>>>Нужен совет по оборудованию. Контора состоит из нескольких филиалов по Москве. Филиалы
>>>подсоединены к инету двумя провайдерами для надежности. Нужно закупить Cisco для
>>>обеспечения VPN, динамического переключения протоколами маршрутизации в случае отказа основного провайдера,
>>>считать трафик по IP-адресам, плюс телефония.
>>>Предварительно я остановился на модели 1841 в каждый филиал
я посмотрел на сайте циски этот рутер не поддерживает воипи + я несмог найти скорость шифрования, написанно что акселератор есть.(я думаю 5-10 мегабит должен потянуть)

>>>Девайс стоит вроде 1500 в среднем + возможно понадобятся дополнительные модули и
>>>ПО. Закладываюсь на 2000
Внимательно смотри все девайсы циски на предмет совместимости модулей,производительности, функционала. Оброщай внимание на ИОС который там стоит.

>>>Посоветуйте плиз, все ли правильно, а то облажаться нельзя.
>>>Спасибо!
главное не торопись 10 раз все посчитай и проверь из нескольких источников
самое главное продовцов слушай по меньше. Буть внимательнее с горантией на оборудование циски.

>>>Владимир
>>
>> Тут все зависит от нагрузки в этих офисах + ВПН какой
>>полосой нужен, сколько офисов ? Телефония нужно смотреть по ценам иногда
>>выгоднее и правильнее поставить оборудование отдельно от рутера + другого вендора.
>>
>>
>Спасибо за ответ.
>Офисов 7 штук, возможен рост до 10.
>По полосе пропускания устроит 5-10Мбит/с.
это всего или на каждый, например если 5 офисов ломануться к одному это уже будет 25-50 мбит !

>IP-телефония пока не срочная - сначала нужно чтобы VPN с переключением заработал.
Плонировать лучше все сразу. Что бы потом не мучаться !
>Но нужно по крайней мере чтобы функционал можно было расширить, а
>не заменять устройства.
см выше.
>Кстати, как реально в такой схеме будут работать динамическая маршрутизация? Скажем, при
>отключении основного провайдера одного из офисов - через сколько времени поменяются
>маршруты и связи восстановятся через резервного?
если использовать BGP то зависит от таймеров, если другие технологии то зависит от их настроек, но район 180 сек.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Организация VPN нужен совет"

Сообщение от Владимир (??) on 14-Дек-05, 16:22  (MSK)

>>>>Всем привет!
>>>>Нужен совет по оборудованию. Контора состоит из нескольких филиалов по Москве. Филиалы
>>>>подсоединены к инету двумя провайдерами для надежности. Нужно закупить Cisco для
>>>>обеспечения VPN, динамического переключения протоколами маршрутизации в случае отказа основного провайдера,
>>>>считать трафик по IP-адресам, плюс телефония.
>>>>Предварительно я остановился на модели 1841 в каждый филиал
>
>я посмотрел на сайте циски этот рутер не поддерживает воипи + я
>несмог найти скорость шифрования, написанно что акселератор есть.(я думаю 5-10 мегабит
>должен потянуть)
>
>>>>Девайс стоит вроде 1500 в среднем + возможно понадобятся дополнительные модули и
>>>>ПО. Закладываюсь на 2000
>
>Внимательно смотри все девайсы циски на предмет совместимости модулей,производительности, функционала. Оброщай внимание
>на ИОС который там стоит.
>
>>>>Посоветуйте плиз, все ли правильно, а то облажаться нельзя.
>>>>Спасибо!
>
>главное не торопись 10 раз все посчитай и проверь из нескольких источников
>
>самое главное продовцов слушай по меньше. Буть внимательнее с горантией на оборудование
>циски.
>
>>>>Владимир
>>>
>>> Тут все зависит от нагрузки в этих офисах + ВПН какой
>>>полосой нужен, сколько офисов ? Телефония нужно смотреть по ценам иногда
>>>выгоднее и правильнее поставить оборудование отдельно от рутера + другого вендора.
>>>
>>>
>>Спасибо за ответ.
>>Офисов 7 штук, возможен рост до 10.
>>По полосе пропускания устроит 5-10Мбит/с.
>
>это всего или на каждый, например если 5 офисов ломануться к одному
>это уже будет 25-50 мбит !
>
>>IP-телефония пока не срочная - сначала нужно чтобы VPN с переключением заработал.
>
>Плонировать лучше все сразу. Что бы потом не мучаться !
>
>>Но нужно по крайней мере чтобы функционал можно было расширить, а
>>не заменять устройства.
>
>см выше.
>
>>Кстати, как реально в такой схеме будут работать динамическая маршрутизация? Скажем, при
>>отключении основного провайдера одного из офисов - через сколько времени поменяются
>>маршруты и связи восстановятся через резервного?
>
>если использовать BGP то зависит от таймеров, если другие технологии то зависит
>от их настроек, но район 180 сек
Спасибо!

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "Организация VPN нужен совет"

Сообщение от routercs on 14-Дек-05, 18:51  (MSK)

>Передо мной стоит та же ситуация, только масштабнее.
Во-первых, почитай курс SECUR/CCSP 641-501.
Во-вторых, нужно брать сразу с AIM-VPN/BPII-PLUS, иначе нагнутся твои роутреы (и так дешевле - все вместе).
VoIP - только Voice-over-IP (VoIP) pass-through. Тут есть два выхода - либо брать не 1841, а 2811, либо отдельно покупать девайс VoIP (так дешевле всего: у нас в Украине это добро стоит 150$ за порт FXS или FXO. у вас и того дешевле :)).
Насчет динамических протоколов: никого не слушай, кто говорит BGP или что-то подобное. Тебе не поможет даже Object Tracking.
Нужно брать связку _IPSec+GRE_ (опять же, читай SECUR/CCSP или VPN/CCSP).
По GRE пускаеш, например, EIGRP, а для безопасности используй IPSec с ESP на AES'e и ISAKMP тоже на AES. Вот тут тебе и прогодится эта плата AIM - расгрузит проц только так :))
Для обмена ключами в ISAKMP используй сертификаты или ключи RSA.
Вот вроде и все. Вкратце :)

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Организация VPN нужен совет"

Сообщение от toor99 (??) on 14-Дек-05, 17:09  (MSK)

>Всем привет!
>Нужен совет по оборудованию. Контора состоит из нескольких филиалов по Москве. Филиалы
>подсоединены к инету двумя провайдерами для надежности. Нужно закупить Cisco для
>обеспечения VPN, динамического переключения протоколами маршрутизации в случае отказа основного провайдера,
>считать трафик по IP-адресам, плюс телефония.
>Предварительно я остановился на модели 1841 в каждый филиал
>Девайс стоит вроде 1500 в среднем + возможно понадобятся дополнительные модули и
>ПО. Закладываюсь на 2000
>Посоветуйте плиз, все ли правильно, а то облажаться нельзя.
>Спасибо!
>Владимир
Выглядит неплохо, за исключением телефонии - недостаточно данных.
OSPF, в случае отказа, переключит маршруты за несколько минут. EIGRP - за примерно минуту. Другие протоколы (кто-то советовал BGP от большого ума) я вам не советую даже рассматривать.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Организация VPN нужен совет"

Сообщение от nightlight (ok) on 14-Дек-05, 17:52  (MSK)

>Выглядит неплохо, за исключением телефонии - недостаточно данных.
>OSPF, в случае отказа, переключит маршруты за несколько минут. EIGRP - за
>примерно минуту. Другие протоколы (кто-то советовал BGP от большого ума) я
>вам не советую даже рассматривать.
Если использовать трекинг, переключение будет как скрипт напишите, т.е. неск. секунд вполне реально...
C OSPF разумно настроить балансинг по двум каналам. Отказа никто и не заметит...
А BGP тут действительно ни при чем. Маршрутизация то нужна внутри сети (в пределах одной AS).

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Организация VPN нужен совет"

Сообщение от denn (ok) on 14-Дек-05, 18:37  (MSK)

>А BGP тут действительно ни при чем. Маршрутизация то нужна внутри сети
>(в пределах одной AS).
ibgp
>Другие протоколы (кто-то советовал BGP от большого ума) я вам не советую >даже рассматривать
аргументы есть?
какой протокол по душе (лучше знаешь) тот и применяй.
40 секунд оспф
"пару секунд " - скрипт, бгп ( как уже говорили)
тк подключения через инет и нужен впн - посмотри в сторону dvpn

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "Организация VPN нужен совет"

Сообщение от Сайко on 14-Дек-05, 18:41  (MSK)

А мене кацца, что лучше defaul-route еще не придумали!

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "Организация VPN нужен совет"

Сообщение от denn (ok) on 14-Дек-05, 18:45  (MSK)

>А мене кацца, что лучше defaul-route еще не придумали!
-офтоп
но грех на такой схеме не набраться опыта и перепробовать все.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "Организация VPN нужен совет"

Сообщение от nightlight (ok) on 15-Дек-05, 03:12  (MSK)

>>А BGP тут действительно ни при чем. Маршрутизация то нужна внутри сети
>>(в пределах одной AS).
>ibgp
А как вот с энтим быть?
"Это очевидное правило влечет за собой интересное следствие: чтобы не возникло циклов, маршрутизатор не может анонсировать по IBGP маршрут, полученный также по IBGP, поскольку нет способов определить зацикливание при объявлении BGP-маршрутов внутри одной АС.
Следствием этого следствия является необходимость полного графа IBGP-соединений между пограничными маршрутизаторами одной автономной системы: то есть каждая пара маршрутизаторов должна устанавливать между собой соединение по протоколу IBGP. При этом возникает проблема большого числа соединений (порядка N2, где N-число BGP-маршрутизаторов в АС). Для уменьшения числа соединений применяются различные решения: разбиение АС на конфедерации (подсистемы), применение серверов маршрутной информации и др."

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "Организация VPN нужен совет"

Сообщение от Владимир (??) on 15-Дек-05, 10:10  (MSK)

>>>А BGP тут действительно ни при чем. Маршрутизация то нужна внутри сети
>>>(в пределах одной AS).
>>ibgp
>А как вот с энтим быть?
>"Это очевидное правило влечет за собой интересное следствие: чтобы не возникло циклов,
>маршрутизатор не может анонсировать по IBGP маршрут, полученный также по IBGP,
>поскольку нет способов определить зацикливание при объявлении BGP-маршрутов внутри одной АС.
>
>Следствием этого следствия является необходимость полного графа IBGP-соединений между пограничными маршрутизаторами одной
>автономной системы: то есть каждая пара маршрутизаторов должна устанавливать между собой
>соединение по протоколу IBGP. При этом возникает проблема большого числа соединений
>(порядка N2, где N-число BGP-маршрутизаторов в АС). Для уменьшения числа соединений
>применяются различные решения: разбиение АС на конфедерации (подсистемы), применение серверов маршрутной
>информации и др."

Всем спасибо за ответы!
Насколько я понял, вполне прокатит конфигурация с устройствами 1841 в каждый офис. По умолчанию у него есть два интерфейса. Для подключения двух провайдеров и к DMZ надо бужет докупать расширение с дополнительными интерфейсами. Плюс еще говорят, что существует некое расширение, позволяющее увеличить пропускную способность VPN, если таковой будет нехватать (шифратор чтоли - пока не уточнял). Там вроде два разъема для расширений, все хватает.
Насчет IP телефонии видимо я поторопился, потому что она не имеет смысла если ее не прикрутить к телефонным станциям офисов. Т.е. здесь уже напрашивается единое адресное пространство и самим девайсом здесь будет выступать станция. В ней или соотв расширении есть сетевой разъем, который нужно будет подключить к маршрутизатору. Т.е. маршрутизатору нужно будет только лишь роутить уже готовые пакеты. 1841 поддерживает (VoIP) pass-through - значит подходит. Т.е. телефония в основном ляжет на телефонные станции.
Обязательно почитаю SECUR/CCSP 641-501, но сейчас мне нужно определиться с железом и закупить до конца фин. года, потом то будет месяца 1.5-2 чтобы спокойно разобраться что и как.
Насчет учета трафика. Мне понадобится считать трафик DMZ и VPN по IP-адресам. Тут ведь софт понадобится. Он платный или реально найти и разобраться самому?
По протоколам "претенденты" OSPF, EIGRP и BGP - они все будут поддерживаются или докупать что-то придется?
Поправьте плиз если что не так

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "Организация VPN нужен совет"

Сообщение от toor99 (??) on 15-Дек-05, 10:48  (MSK)

> По протоколам "претенденты" OSPF, EIGRP и BGP - они
> все будут поддерживаются или докупать что-то придется?
Всё будет поддерживаться. И забудьте вы про BGP, не повторяйте чужие глупости.
> Мне понадобится считать трафик DMZ и VPN по IP-адресам.
> Тут ведь софт понадобится. Он платный или реально найти
> и разобраться самому?
Вам нужен коллектор netflow. Они бывают и платные и бесплатные. Смотря под какую платформу, и т.п.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

15. "Организация VPN нужен совет"

Сообщение от denn (??) on 15-Дек-05, 11:31  (MSK)

>>>А BGP тут действительно ни при чем. Маршрутизация то нужна внутри сети
>>>(в пределах одной AS).
>>ibgp
>А как вот с энтим быть?
>"Это очевидное правило влечет за собой интересное следствие: чтобы не возникло циклов,
>маршрутизатор не может анонсировать по IBGP маршрут, полученный также по IBGP,
>поскольку нет способов определить зацикливание при объявлении BGP-маршрутов внутри одной АС.
>
>Следствием этого следствия является необходимость полного графа IBGP-соединений между пограничными маршрутизаторами одной
>автономной системы: то есть каждая пара маршрутизаторов должна устанавливать между собой
>соединение по протоколу IBGP. При этом возникает проблема большого числа соединений
>(порядка N2, где N-число BGP-маршрутизаторов в АС). Для уменьшения числа соединений
>применяются различные решения: разбиение АС на конфедерации (подсистемы), применение серверов маршрутной
>информации и др."
так не идет речь что ибгп панацея именно для этого случая.
мой ответ адресован именно
>А BGP тут действительно ни при чем. Маршрутизация то нужна внутри сети (в >пределах одной AS).
>Аргументы есть. Но поскольку у вас вообще возник такой вопрос, они вам, >скорее всего, будут непонятны, извините.
извиняю

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

14. "Организация VPN нужен совет"

Сообщение от toor99 (??) on 15-Дек-05, 10:49  (MSK)

>>Другие протоколы (кто-то советовал BGP от большого ума) я вам не советую >даже рассматривать
>аргументы есть?
Аргументы есть. Но поскольку у вас вообще возник такой вопрос, они вам, скорее всего, будут непонятны, извините.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

16. "Организация VPN нужен совет"

Сообщение от Lacunacoil (??) on 15-Дек-05, 11:45  (MSK)

>>Всем привет!
>>Нужен совет по оборудованию. Контора состоит из нескольких филиалов по Москве. Филиалы
>>подсоединены к инету двумя провайдерами для надежности. Нужно закупить Cisco для
>>обеспечения VPN, динамического переключения протоколами маршрутизации в случае отказа основного провайдера,
>>считать трафик по IP-адресам, плюс телефония.
>>Предварительно я остановился на модели 1841 в каждый филиал
>>Девайс стоит вроде 1500 в среднем + возможно понадобятся дополнительные модули и
>>ПО. Закладываюсь на 2000
>>Посоветуйте плиз, все ли правильно, а то облажаться нельзя.
>>Спасибо!
>>Владимир
>
>Выглядит неплохо, за исключением телефонии - недостаточно данных.
>OSPF, в случае отказа, переключит маршруты за несколько минут. EIGRP - за
>примерно минуту. Другие протоколы (кто-то советовал BGP от большого ума) я
>вам не советую даже рассматривать.
Если вы намекаете на меня, то я не советовал а привел пример. И тем более не претендовал на большой ум.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

17. "Организация VPN нужен совет"

Сообщение от denn (??) on 15-Дек-05, 11:49  (MSK)

>>Всем привет!
>>Нужен совет по оборудованию. Контора состоит из нескольких филиалов по Москве. Филиалы
>>подсоединены к инету двумя провайдерами для надежности. Нужно закупить Cisco для
>>обеспечения VPN, динамического переключения протоколами маршрутизации в случае отказа основного провайдера,
>>считать трафик по IP-адресам, плюс телефония.
>>Предварительно я остановился на модели 1841 в каждый филиал
>>Девайс стоит вроде 1500 в среднем + возможно понадобятся дополнительные модули и
>>ПО. Закладываюсь на 2000
>>Посоветуйте плиз, все ли правильно, а то облажаться нельзя.
>>Спасибо!
>>Владимир
>
>Выглядит неплохо, за исключением телефонии - недостаточно данных.
>OSPF, в случае отказа, переключит маршруты за несколько минут. EIGRP - за
>примерно минуту. Другие протоколы (кто-то советовал BGP от большого ума) я
>вам не советую даже рассматривать.
вопрос был: динамического переключения протоколами маршрутизации в случае отказа основного провайдера
с вами апстрим оспф поднимает?

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

18. "Организация VPN нужен совет"

Сообщение от toor99 (??) on 15-Дек-05, 12:24  (MSK)

>вопрос был: динамического переключения протоколами маршрутизации в случае отказа основного провайдера
>
>с вами апстрим оспф поднимает?
По условию задачи нужно переключать маршруты между VPN туннелями, а не между провайдерами. Как это делается с помощью EIGRP уже написали выше, в случае с OSPF всё ещё проще.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Организация VPN нужен совет"
Сообщение от Lacunacoil (??) on 14-Дек-05, 10:58 (MSK)
>Всем привет! >Нужен совет по оборудованию. Контора состоит из нескольких филиалов по Москве. Филиалы >подсоединены к инету двумя провайдерами для надежности. Нужно закупить Cisco для >обеспечения VPN, динамического переключения протоколами маршрутизации в случае отказа основного провайдера, >считать трафик по IP-адресам, плюс телефония. >Предварительно я остановился на модели 1841 в каждый филиал >Девайс стоит вроде 1500 в среднем + возможно понадобятся дополнительные модули и >ПО. Закладываюсь на 2000 >Посоветуйте плиз, все ли правильно, а то облажаться нельзя. >Спасибо! >Владимир Тут все зависит от нагрузки в этих офисах + ВПН какой полосой нужен, сколько офисов ? Телефония нужно смотреть по ценам иногда выгоднее и правильнее поставить оборудование отдельно от рутера + другого вендора.
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "Организация VPN нужен совет"
	Сообщение от Владимир (??) on 14-Дек-05, 11:22 (MSK)
	>>Всем привет! >>Нужен совет по оборудованию. Контора состоит из нескольких филиалов по Москве. Филиалы >>подсоединены к инету двумя провайдерами для надежности. Нужно закупить Cisco для >>обеспечения VPN, динамического переключения протоколами маршрутизации в случае отказа основного провайдера, >>считать трафик по IP-адресам, плюс телефония. >>Предварительно я остановился на модели 1841 в каждый филиал >>Девайс стоит вроде 1500 в среднем + возможно понадобятся дополнительные модули и >>ПО. Закладываюсь на 2000 >>Посоветуйте плиз, все ли правильно, а то облажаться нельзя. >>Спасибо! >>Владимир > > Тут все зависит от нагрузки в этих офисах + ВПН какой >полосой нужен, сколько офисов ? Телефония нужно смотреть по ценам иногда >выгоднее и правильнее поставить оборудование отдельно от рутера + другого вендора. > > Спасибо за ответ. Офисов 7 штук, возможен рост до 10. По полосе пропускания устроит 5-10Мбит/с. IP-телефония пока не срочная - сначала нужно чтобы VPN с переключением заработал. Но нужно по крайней мере чтобы функционал можно было расширить, а не заменять устройства. Кстати, как реально в такой схеме будут работать динамическая маршрутизация? Скажем, при отключении основного провайдера одного из офисов - через сколько времени поменяются маршруты и связи восстановятся через резервного?
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "Организация VPN нужен совет"
	Сообщение от Lacunacoil (??) on 14-Дек-05, 14:17 (MSK)
	>>>Всем привет! >>>Нужен совет по оборудованию. Контора состоит из нескольких филиалов по Москве. Филиалы >>>подсоединены к инету двумя провайдерами для надежности. Нужно закупить Cisco для >>>обеспечения VPN, динамического переключения протоколами маршрутизации в случае отказа основного провайдера, >>>считать трафик по IP-адресам, плюс телефония. >>>Предварительно я остановился на модели 1841 в каждый филиал я посмотрел на сайте циски этот рутер не поддерживает воипи + я несмог найти скорость шифрования, написанно что акселератор есть.(я думаю 5-10 мегабит должен потянуть) >>>Девайс стоит вроде 1500 в среднем + возможно понадобятся дополнительные модули и >>>ПО. Закладываюсь на 2000 Внимательно смотри все девайсы циски на предмет совместимости модулей,производительности, функционала. Оброщай внимание на ИОС который там стоит. >>>Посоветуйте плиз, все ли правильно, а то облажаться нельзя. >>>Спасибо! главное не торопись 10 раз все посчитай и проверь из нескольких источников самое главное продовцов слушай по меньше. Буть внимательнее с горантией на оборудование циски. >>>Владимир >> >> Тут все зависит от нагрузки в этих офисах + ВПН какой >>полосой нужен, сколько офисов ? Телефония нужно смотреть по ценам иногда >>выгоднее и правильнее поставить оборудование отдельно от рутера + другого вендора. >> >> >Спасибо за ответ. >Офисов 7 штук, возможен рост до 10. >По полосе пропускания устроит 5-10Мбит/с. это всего или на каждый, например если 5 офисов ломануться к одному это уже будет 25-50 мбит ! >IP-телефония пока не срочная - сначала нужно чтобы VPN с переключением заработал. Плонировать лучше все сразу. Что бы потом не мучаться ! >Но нужно по крайней мере чтобы функционал можно было расширить, а >не заменять устройства. см выше. >Кстати, как реально в такой схеме будут работать динамическая маршрутизация? Скажем, при >отключении основного провайдера одного из офисов - через сколько времени поменяются >маршруты и связи восстановятся через резервного? если использовать BGP то зависит от таймеров, если другие технологии то зависит от их настроек, но район 180 сек.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "Организация VPN нужен совет"
	Сообщение от Владимир (??) on 14-Дек-05, 16:22 (MSK)
	>>>>Всем привет! >>>>Нужен совет по оборудованию. Контора состоит из нескольких филиалов по Москве. Филиалы >>>>подсоединены к инету двумя провайдерами для надежности. Нужно закупить Cisco для >>>>обеспечения VPN, динамического переключения протоколами маршрутизации в случае отказа основного провайдера, >>>>считать трафик по IP-адресам, плюс телефония. >>>>Предварительно я остановился на модели 1841 в каждый филиал > >я посмотрел на сайте циски этот рутер не поддерживает воипи + я >несмог найти скорость шифрования, написанно что акселератор есть.(я думаю 5-10 мегабит >должен потянуть) > >>>>Девайс стоит вроде 1500 в среднем + возможно понадобятся дополнительные модули и >>>>ПО. Закладываюсь на 2000 > >Внимательно смотри все девайсы циски на предмет совместимости модулей,производительности, функционала. Оброщай внимание >на ИОС который там стоит. > >>>>Посоветуйте плиз, все ли правильно, а то облажаться нельзя. >>>>Спасибо! > >главное не торопись 10 раз все посчитай и проверь из нескольких источников > >самое главное продовцов слушай по меньше. Буть внимательнее с горантией на оборудование >циски. > >>>>Владимир >>> >>> Тут все зависит от нагрузки в этих офисах + ВПН какой >>>полосой нужен, сколько офисов ? Телефония нужно смотреть по ценам иногда >>>выгоднее и правильнее поставить оборудование отдельно от рутера + другого вендора. >>> >>> >>Спасибо за ответ. >>Офисов 7 штук, возможен рост до 10. >>По полосе пропускания устроит 5-10Мбит/с. > >это всего или на каждый, например если 5 офисов ломануться к одному >это уже будет 25-50 мбит ! > >>IP-телефония пока не срочная - сначала нужно чтобы VPN с переключением заработал. > >Плонировать лучше все сразу. Что бы потом не мучаться ! > >>Но нужно по крайней мере чтобы функционал можно было расширить, а >>не заменять устройства. > >см выше. > >>Кстати, как реально в такой схеме будут работать динамическая маршрутизация? Скажем, при >>отключении основного провайдера одного из офисов - через сколько времени поменяются >>маршруты и связи восстановятся через резервного? > >если использовать BGP то зависит от таймеров, если другие технологии то зависит >от их настроек, но район 180 сек Спасибо!
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	10. "Организация VPN нужен совет"
	Сообщение от routercs on 14-Дек-05, 18:51 (MSK)
	>Передо мной стоит та же ситуация, только масштабнее. Во-первых, почитай курс SECUR/CCSP 641-501. Во-вторых, нужно брать сразу с AIM-VPN/BPII-PLUS, иначе нагнутся твои роутреы (и так дешевле - все вместе). VoIP - только Voice-over-IP (VoIP) pass-through. Тут есть два выхода - либо брать не 1841, а 2811, либо отдельно покупать девайс VoIP (так дешевле всего: у нас в Украине это добро стоит 150$ за порт FXS или FXO. у вас и того дешевле :)). Насчет динамических протоколов: никого не слушай, кто говорит BGP или что-то подобное. Тебе не поможет даже Object Tracking. Нужно брать связку _IPSec+GRE_ (опять же, читай SECUR/CCSP или VPN/CCSP). По GRE пускаеш, например, EIGRP, а для безопасности используй IPSec с ESP на AES'e и ISAKMP тоже на AES. Вот тут тебе и прогодится эта плата AIM - расгрузит проц только так :)) Для обмена ключами в ISAKMP используй сертификаты или ключи RSA. Вот вроде и все. Вкратце :)
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

5. "Организация VPN нужен совет"
Сообщение от toor99 (??) on 14-Дек-05, 17:09 (MSK)
>Всем привет! >Нужен совет по оборудованию. Контора состоит из нескольких филиалов по Москве. Филиалы >подсоединены к инету двумя провайдерами для надежности. Нужно закупить Cisco для >обеспечения VPN, динамического переключения протоколами маршрутизации в случае отказа основного провайдера, >считать трафик по IP-адресам, плюс телефония. >Предварительно я остановился на модели 1841 в каждый филиал >Девайс стоит вроде 1500 в среднем + возможно понадобятся дополнительные модули и >ПО. Закладываюсь на 2000 >Посоветуйте плиз, все ли правильно, а то облажаться нельзя. >Спасибо! >Владимир Выглядит неплохо, за исключением телефонии - недостаточно данных. OSPF, в случае отказа, переключит маршруты за несколько минут. EIGRP - за примерно минуту. Другие протоколы (кто-то советовал BGP от большого ума) я вам не советую даже рассматривать.
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "Организация VPN нужен совет"
	Сообщение от nightlight (ok) on 14-Дек-05, 17:52 (MSK)
	>Выглядит неплохо, за исключением телефонии - недостаточно данных. >OSPF, в случае отказа, переключит маршруты за несколько минут. EIGRP - за >примерно минуту. Другие протоколы (кто-то советовал BGP от большого ума) я >вам не советую даже рассматривать. Если использовать трекинг, переключение будет как скрипт напишите, т.е. неск. секунд вполне реально... C OSPF разумно настроить балансинг по двум каналам. Отказа никто и не заметит... А BGP тут действительно ни при чем. Маршрутизация то нужна внутри сети (в пределах одной AS).
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "Организация VPN нужен совет"
	Сообщение от denn (ok) on 14-Дек-05, 18:37 (MSK)
	>А BGP тут действительно ни при чем. Маршрутизация то нужна внутри сети >(в пределах одной AS). ibgp >Другие протоколы (кто-то советовал BGP от большого ума) я вам не советую >даже рассматривать аргументы есть? какой протокол по душе (лучше знаешь) тот и применяй. 40 секунд оспф "пару секунд " - скрипт, бгп ( как уже говорили) тк подключения через инет и нужен впн - посмотри в сторону dvpn
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "Организация VPN нужен совет"
	Сообщение от Сайко on 14-Дек-05, 18:41 (MSK)
	А мене кацца, что лучше defaul-route еще не придумали!
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	9. "Организация VPN нужен совет"
	Сообщение от denn (ok) on 14-Дек-05, 18:45 (MSK)
	>А мене кацца, что лучше defaul-route еще не придумали! -офтоп но грех на такой схеме не набраться опыта и перепробовать все.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	11. "Организация VPN нужен совет"
	Сообщение от nightlight (ok) on 15-Дек-05, 03:12 (MSK)
	>>А BGP тут действительно ни при чем. Маршрутизация то нужна внутри сети >>(в пределах одной AS). >ibgp А как вот с энтим быть? "Это очевидное правило влечет за собой интересное следствие: чтобы не возникло циклов, маршрутизатор не может анонсировать по IBGP маршрут, полученный также по IBGP, поскольку нет способов определить зацикливание при объявлении BGP-маршрутов внутри одной АС. Следствием этого следствия является необходимость полного графа IBGP-соединений между пограничными маршрутизаторами одной автономной системы: то есть каждая пара маршрутизаторов должна устанавливать между собой соединение по протоколу IBGP. При этом возникает проблема большого числа соединений (порядка N2, где N-число BGP-маршрутизаторов в АС). Для уменьшения числа соединений применяются различные решения: разбиение АС на конфедерации (подсистемы), применение серверов маршрутной информации и др."
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	12. "Организация VPN нужен совет"
	Сообщение от Владимир (??) on 15-Дек-05, 10:10 (MSK)
	>>>А BGP тут действительно ни при чем. Маршрутизация то нужна внутри сети >>>(в пределах одной AS). >>ibgp >А как вот с энтим быть? >"Это очевидное правило влечет за собой интересное следствие: чтобы не возникло циклов, >маршрутизатор не может анонсировать по IBGP маршрут, полученный также по IBGP, >поскольку нет способов определить зацикливание при объявлении BGP-маршрутов внутри одной АС. > >Следствием этого следствия является необходимость полного графа IBGP-соединений между пограничными маршрутизаторами одной >автономной системы: то есть каждая пара маршрутизаторов должна устанавливать между собой >соединение по протоколу IBGP. При этом возникает проблема большого числа соединений >(порядка N2, где N-число BGP-маршрутизаторов в АС). Для уменьшения числа соединений >применяются различные решения: разбиение АС на конфедерации (подсистемы), применение серверов маршрутной >информации и др." Всем спасибо за ответы! Насколько я понял, вполне прокатит конфигурация с устройствами 1841 в каждый офис. По умолчанию у него есть два интерфейса. Для подключения двух провайдеров и к DMZ надо бужет докупать расширение с дополнительными интерфейсами. Плюс еще говорят, что существует некое расширение, позволяющее увеличить пропускную способность VPN, если таковой будет нехватать (шифратор чтоли - пока не уточнял). Там вроде два разъема для расширений, все хватает. Насчет IP телефонии видимо я поторопился, потому что она не имеет смысла если ее не прикрутить к телефонным станциям офисов. Т.е. здесь уже напрашивается единое адресное пространство и самим девайсом здесь будет выступать станция. В ней или соотв расширении есть сетевой разъем, который нужно будет подключить к маршрутизатору. Т.е. маршрутизатору нужно будет только лишь роутить уже готовые пакеты. 1841 поддерживает (VoIP) pass-through - значит подходит. Т.е. телефония в основном ляжет на телефонные станции. Обязательно почитаю SECUR/CCSP 641-501, но сейчас мне нужно определиться с железом и закупить до конца фин. года, потом то будет месяца 1.5-2 чтобы спокойно разобраться что и как. Насчет учета трафика. Мне понадобится считать трафик DMZ и VPN по IP-адресам. Тут ведь софт понадобится. Он платный или реально найти и разобраться самому? По протоколам "претенденты" OSPF, EIGRP и BGP - они все будут поддерживаются или докупать что-то придется? Поправьте плиз если что не так
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	13. "Организация VPN нужен совет"
	Сообщение от toor99 (??) on 15-Дек-05, 10:48 (MSK)
	> По протоколам "претенденты" OSPF, EIGRP и BGP - они > все будут поддерживаются или докупать что-то придется? Всё будет поддерживаться. И забудьте вы про BGP, не повторяйте чужие глупости. > Мне понадобится считать трафик DMZ и VPN по IP-адресам. > Тут ведь софт понадобится. Он платный или реально найти > и разобраться самому? Вам нужен коллектор netflow. Они бывают и платные и бесплатные. Смотря под какую платформу, и т.п.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	15. "Организация VPN нужен совет"
	Сообщение от denn (??) on 15-Дек-05, 11:31 (MSK)
	>>>А BGP тут действительно ни при чем. Маршрутизация то нужна внутри сети >>>(в пределах одной AS). >>ibgp >А как вот с энтим быть? >"Это очевидное правило влечет за собой интересное следствие: чтобы не возникло циклов, >маршрутизатор не может анонсировать по IBGP маршрут, полученный также по IBGP, >поскольку нет способов определить зацикливание при объявлении BGP-маршрутов внутри одной АС. > >Следствием этого следствия является необходимость полного графа IBGP-соединений между пограничными маршрутизаторами одной >автономной системы: то есть каждая пара маршрутизаторов должна устанавливать между собой >соединение по протоколу IBGP. При этом возникает проблема большого числа соединений >(порядка N2, где N-число BGP-маршрутизаторов в АС). Для уменьшения числа соединений >применяются различные решения: разбиение АС на конфедерации (подсистемы), применение серверов маршрутной >информации и др." так не идет речь что ибгп панацея именно для этого случая. мой ответ адресован именно >А BGP тут действительно ни при чем. Маршрутизация то нужна внутри сети (в >пределах одной AS). >Аргументы есть. Но поскольку у вас вообще возник такой вопрос, они вам, >скорее всего, будут непонятны, извините. извиняю
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	14. "Организация VPN нужен совет"
	Сообщение от toor99 (??) on 15-Дек-05, 10:49 (MSK)
	>>Другие протоколы (кто-то советовал BGP от большого ума) я вам не советую >даже рассматривать >аргументы есть? Аргументы есть. Но поскольку у вас вообще возник такой вопрос, они вам, скорее всего, будут непонятны, извините.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	16. "Организация VPN нужен совет"
	Сообщение от Lacunacoil (??) on 15-Дек-05, 11:45 (MSK)
	>>Всем привет! >>Нужен совет по оборудованию. Контора состоит из нескольких филиалов по Москве. Филиалы >>подсоединены к инету двумя провайдерами для надежности. Нужно закупить Cisco для >>обеспечения VPN, динамического переключения протоколами маршрутизации в случае отказа основного провайдера, >>считать трафик по IP-адресам, плюс телефония. >>Предварительно я остановился на модели 1841 в каждый филиал >>Девайс стоит вроде 1500 в среднем + возможно понадобятся дополнительные модули и >>ПО. Закладываюсь на 2000 >>Посоветуйте плиз, все ли правильно, а то облажаться нельзя. >>Спасибо! >>Владимир > >Выглядит неплохо, за исключением телефонии - недостаточно данных. >OSPF, в случае отказа, переключит маршруты за несколько минут. EIGRP - за >примерно минуту. Другие протоколы (кто-то советовал BGP от большого ума) я >вам не советую даже рассматривать. Если вы намекаете на меня, то я не советовал а привел пример. И тем более не претендовал на большой ум.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	17. "Организация VPN нужен совет"
	Сообщение от denn (??) on 15-Дек-05, 11:49 (MSK)
	>>Всем привет! >>Нужен совет по оборудованию. Контора состоит из нескольких филиалов по Москве. Филиалы >>подсоединены к инету двумя провайдерами для надежности. Нужно закупить Cisco для >>обеспечения VPN, динамического переключения протоколами маршрутизации в случае отказа основного провайдера, >>считать трафик по IP-адресам, плюс телефония. >>Предварительно я остановился на модели 1841 в каждый филиал >>Девайс стоит вроде 1500 в среднем + возможно понадобятся дополнительные модули и >>ПО. Закладываюсь на 2000 >>Посоветуйте плиз, все ли правильно, а то облажаться нельзя. >>Спасибо! >>Владимир > >Выглядит неплохо, за исключением телефонии - недостаточно данных. >OSPF, в случае отказа, переключит маршруты за несколько минут. EIGRP - за >примерно минуту. Другие протоколы (кто-то советовал BGP от большого ума) я >вам не советую даже рассматривать. вопрос был: динамического переключения протоколами маршрутизации в случае отказа основного провайдера с вами апстрим оспф поднимает?
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	18. "Организация VPN нужен совет"
	Сообщение от toor99 (??) on 15-Дек-05, 12:24 (MSK)
	>вопрос был: динамического переключения протоколами маршрутизации в случае отказа основного провайдера > >с вами апстрим оспф поднимает? По условию задачи нужно переключать маршруты между VPN туннелями, а не между провайдерами. Как это делается с помощью EIGRP уже написали выше, в случае с OSPF всё ещё проще.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ]