URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 14943
[ Назад ]

Исходное сообщение
"Посоветуйте PIX для следующей конфигурации"

Отправлено screepah , 27-Ноя-07 10:56 
Добрый день. Есть такая задача: центральный офис и 5 в других городах. В центральном пользователей до 70, в городах до 30. Хочу поднять vpn ipsec для объединения сеток - подбираю оборудование: pix 525 в офисе и 515e в городах. Вопрос следующий - потянет ли по производительности (вместе они вроде работают?)? Или все же использовать везде 515e?

Содержание

Сообщения в этом обсуждении
"Посоветуйте PIX для следующей конфигурации"
Отправлено dxer , 27-Ноя-07 10:59 
>Добрый день. Есть такая задача: центральный офис и 5 в других городах.
>В центральном пользователей до 70, в городах до 30. Хочу поднять
>vpn ipsec для объединения сеток - подбираю оборудование: pix 525 в
>офисе и 515e в городах. Вопрос следующий - потянет ли по
>производительности (вместе они вроде работают?)? Или все же использовать везде 515e?
>

Лучше так!
ASA5510 c SSM10 в ЦО
в регионах asa5505

По цене тоже самое, потянут и так как ты хочешь :) можно даже проще в ЦО 515e, и 505 в регионах - ещё дешевле, но меньший функционал в общем целом.


"Посоветуйте PIX для следующей конфигурации"
Отправлено screepah , 27-Ноя-07 11:45 
>Лучше так!
>ASA5510 c SSM10 в ЦО
>в регионах asa5505

С ними не работал никогда, PIX конфигурил, а ASA в глаза не видел

>По цене тоже самое, потянут и так как ты хочешь :) можно
>даже проще в ЦО 515e, и 505 в регионах - ещё
>дешевле, но меньший функционал в общем целом.

Т.е. 525 и 515E тоже пойдет получается...

PIX-525-FO-GE-BUN
PIX-515E-FO-BUN

оба с VAC+ - то я подобрал, вдруг кто знает? :)


"Посоветуйте PIX для следующей конфигурации"
Отправлено dxer , 27-Ноя-07 12:20 
>[оверквотинг удален]
>>По цене тоже самое, потянут и так как ты хочешь :) можно
>>даже проще в ЦО 515e, и 505 в регионах - ещё
>>дешевле, но меньший функционал в общем целом.
>
>Т.е. 525 и 515E тоже пойдет получается...
>
>PIX-525-FO-GE-BUN
>PIX-515E-FO-BUN
>
>оба с VAC+ - то я подобрал, вдруг кто знает? :)

Зачем тебе мощный такой зверь 525 и в регионах на 30 человек железку, которая работает на 400-500 хостов?? :) Если приследуешь свои интересы, а не организации - то понимаю :)

Зачем тебе VAC - на таком мизерном трафике?
Аса - та же пикса, конфигурировать основной функционал асы так же как и пикса, особенно если версия PixOS 7/8 + некоторые полезные вещи как IDS, SSM, CSM - чего в пиксе нет.

Вообщем не парься, бери вот данное железо и не испытаешь трудностей не в конфигурации, не в экспл. данного железа:

ASA5510-AIP10-K9 модулем AIP-SSM - в ЦО. - по GPL где-то 7995$

ASA5505-50-BUN-K9 на 50 машин в регионы (если надо UL лицензия ничуть не дороже на неё) - 845$ (неиграниченное кол-во пользователей на 100$ дороже)
ну и вычти с каждой цены 30-35% GPL + свою моржу :) и получаешь готовое решение.
А про линейку PIX - тем более такой мощности как 525 я думаю нет смысла вспоминать, если не распеределенная корп. сеть между ЦО и регионами превышает порог в 100 мегабит/c :)


"Посоветуйте PIX для следующей конфигурации"
Отправлено screepah , 27-Ноя-07 12:34 

>ASA5510-AIP10-K9 модулем AIP-SSM - в ЦО. - по GPL где-то 7995$
>
>ASA5505-50-BUN-K9 на 50 машин в регионы (если надо UL лицензия ничуть не
>дороже на неё) - 845$ (неиграниченное кол-во пользователей на 100$ дороже)

Спасибо!


"Посоветуйте PIX для следующей конфигурации"
Отправлено dxer , 27-Ноя-07 12:24 
>PIX-525-FO-GE-BUN
>PIX-515E-FO-BUN
>оба с VAC+ - то я подобрал, вдруг кто знает? :)

Оба верианта из спецификации твоей с Фэйловером (у тебя их везде по два? -а зачем деньги тратить? )+ в каждом из написанных тобой выше есть VAC+.


"Посоветуйте PIX для следующей конфигурации"
Отправлено dxer , 27-Ноя-07 12:30 
почитал тут про VAC+

http://cisco.com/en/US/products/hw/vpndevc/ps2030/products_d...

У тебя будут скорости подобны тем в IPSec 3des/aes между ЦО и регионами?

Не понимаю, зачем такую мощную модель собирать :)


"Посоветуйте PIX для следующей конфигурации"
Отправлено screepah , 27-Ноя-07 12:36 
>почитал тут про VAC+
>
>http://cisco.com/en/US/products/hw/vpndevc/ps2030/products_d...
>
>У тебя будут скорости подобны тем в IPSec 3des/aes между ЦО и
>регионами?
>
>Не понимаю, зачем такую мощную модель собирать :)

Там просто объемы данных будут крутиться очень большие и требования по шифрованию высокие



"Посоветуйте PIX для следующей конфигурации"
Отправлено dxer , 27-Ноя-07 12:42 
>[оверквотинг удален]
>>
>>http://cisco.com/en/US/products/hw/vpndevc/ps2030/products_d...
>>
>>У тебя будут скорости подобны тем в IPSec 3des/aes между ЦО и
>>регионами?
>>
>>Не понимаю, зачем такую мощную модель собирать :)
>
>Там просто объемы данных будут крутиться очень большие и требования по шифрованию
>высокие

Какой трафик пиковый между офисами будет?
ASA 5510 у меня на одном из предприятии отлично держит 45 мегабит/с 3DES трафика аппаратно суммарно с 40 территориально-распределенными хостами MPLS сети :)
При этом crypto процесс не сьедает больше 18% в пике!
Просто в твоем случае, железки будут простаивать  "гоняя воздух" в аппаратной.


"Посоветуйте PIX для следующей конфигурации"
Отправлено screepah , 27-Ноя-07 12:47 
>Какой трафик пиковый между офисами будет?

Примерный трафик в районе 15-20 мбит/сек в среднем (не пиковое)

>ASA 5510 у меня на одном из предприятии отлично держит 45 мегабит/с
>3DES трафика аппаратно суммарно с 40 территориально-распределенными хостами MPLS сети :)
>При этом crypto процесс не сьедает больше 18% в пике!
>Просто в твоем случае, железки будут простаивать  "гоняя воздух" в аппаратной.

Ого, действительно "гоняя воздух" получится. Ок, спасибо за консультацию!


"Посоветуйте PIX для следующей конфигурации"
Отправлено dxer , 27-Ноя-07 12:54 
>>Какой трафик пиковый между офисами будет?
>
>Примерный трафик в районе 15-20 мбит/сек в среднем (не пиковое)
>
>>ASA 5510 у меня на одном из предприятии отлично держит 45 мегабит/с
>>3DES трафика аппаратно суммарно с 40 территориально-распределенными хостами MPLS сети :)
>>При этом crypto процесс не сьедает больше 18% в пике!
>>Просто в твоем случае, железки будут простаивать  "гоняя воздух" в аппаратной.
>
>Ого, действительно "гоняя воздух" получится. Ок, спасибо за консультацию!

почитай на cisco.com возможности тех или иных Security Appliance-девайсов. Там немного завышены показатели, ну в среднем оценить можно, что тебе необходимо.

У меня 525 в одной московской домашней сетке 8000 юзерей натит - вот это для неё хорошая нагрузка под 40% в вечерние часы, с учётом любителей торрентов на анлимитед канале.


"Посоветуйте PIX для следующей конфигурации"
Отправлено screepah , 27-Ноя-07 12:57 
Почитаю, нужно матчасть подучить по циске.

>У меня 525 в одной московской домашней сетке 8000 юзерей натит -
>вот это для неё хорошая нагрузка под 40% в вечерние часы,
>с учётом любителей торрентов на анлимитед канале.

Ясно, тогда однозначно 525 слишком мощная будет.


"Посоветуйте PIX для следующей конфигурации"
Отправлено www.bc.ru , 28-Ноя-07 15:07 
>Почитаю, нужно матчасть подучить по циске.

1) PIX - динозавры, через пару месяцев снимаются с производства
2) ASA - пхорошие железки, но Cisco не позиционирует их как устройтсва site-to-site VPN.
Для этих целей служат именно маршрутизаторы. Например, взять ту же полезную функцию DMVPN -- ее умеют только маршрутизаторы.

Если еще не определились с оборудованием - звоните\пишите, подберем оптимальное решение исходя из тех сервисов, которые Вы ожидаете от сети.

Дмитрий Перов
(495) 937-1606, www.bc.ru


"Посоветуйте PIX для следующей конфигурации"
Отправлено dxer , 28-Ноя-07 15:29 
>[оверквотинг удален]
>2) ASA - пхорошие железки, но Cisco не позиционирует их как устройтсва
>site-to-site VPN.
>Для этих целей служат именно маршрутизаторы. Например, взять ту же полезную функцию
>DMVPN -- ее умеют только маршрутизаторы.
>
>Если еще не определились с оборудованием - звоните\пишите, подберем оптимальное решение исходя
>из тех сервисов, которые Вы ожидаете от сети.
>
>Дмитрий Перов
>(495) 937-1606, www.bc.ru

Вот это ненадо. Семейство Cisco Security Appliances позиционирует как Site-to-Site/Remote access/SSL vpn концентратора... Да она не умеет pptp/l2tp... Но в плане терминатора Сайт-ту-сайт IPSec - лучшее решение. И потом у маршрутизаторов другие задачи и он абсолютно для других целей создан.


"Посоветуйте PIX для следующей конфигурации"
Отправлено Олег , 29-Ноя-07 14:24 

>Вот это ненадо. Семейство Cisco Security Appliances позиционирует как Site-to-Site/Remote access/SSL vpn
>концентратора... Да она не умеет pptp/l2tp... Но в плане терминатора Сайт-ту-сайт
>IPSec - лучшее решение. И потом у маршрутизаторов другие задачи и
>он абсолютно для других целей создан.

Где можно почитать, что и как компания Cisco позиционирует?


"Посоветуйте PIX для следующей конфигурации"
Отправлено dxer , 29-Ноя-07 14:51 
>
>>Вот это ненадо. Семейство Cisco Security Appliances позиционирует как Site-to-Site/Remote access/SSL vpn
>>концентратора... Да она не умеет pptp/l2tp... Но в плане терминатора Сайт-ту-сайт
>>IPSec - лучшее решение. И потом у маршрутизаторов другие задачи и
>>он абсолютно для других целей создан.
>
>Где можно почитать, что и как компания Cisco позиционирует?

www.cisco.com

клацайте Product & services.
и ходите по всей линейке продктор изучая data sheet.


"Посоветуйте PIX для следующей конфигурации"
Отправлено www.bc.ru Дмитрий Перов , 29-Ноя-07 16:35 
>Вот это ненадо. Семейство Cisco Security Appliances позиционирует как Site-to-Site/Remote access/SSL vpn
>концентратора... Да она не умеет pptp/l2tp... Но в плане терминатора Сайт-ту-сайт
>IPSec - лучшее решение. И потом у маршрутизаторов другие задачи и
>он абсолютно для других целей создан.

Dxer, читайте циску, прежде чем спорить:
http://www.cisco.com/en/US/netsol/ns340/ns394/ns171/ns142/ne...

Для терминации серьезных site-to-site VPN позиционируются именно маршрутизаторы.


"Посоветуйте PIX для следующей конфигурации"
Отправлено dxer , 29-Ноя-07 17:08 
>>Вот это ненадо. Семейство Cisco Security Appliances позиционирует как Site-to-Site/Remote access/SSL vpn
>>концентратора... Да она не умеет pptp/l2tp... Но в плане терминатора Сайт-ту-сайт
>>IPSec - лучшее решение. И потом у маршрутизаторов другие задачи и
>>он абсолютно для других целей создан.
>
>Dxer, читайте циску, прежде чем спорить:
>http://www.cisco.com/en/US/netsol/ns340/ns394/ns171/ns142/ne...
>
>Для терминации серьезных site-to-site VPN позиционируются именно маршрутизаторы.

мне пора CCIE заканчивать :o) и переходить на "серьезные" VPN...


"Посоветуйте PIX для следующей конфигурации"
Отправлено mt , 29-Ноя-07 23:54 
>[оверквотинг удален]
>>>концентратора... Да она не умеет pptp/l2tp... Но в плане терминатора Сайт-ту-сайт
>>>IPSec - лучшее решение. И потом у маршрутизаторов другие задачи и
>>>он абсолютно для других целей создан.
>>
>>Dxer, читайте циску, прежде чем спорить:
>>http://www.cisco.com/en/US/netsol/ns340/ns394/ns171/ns142/ne...
>>
>>Для терминации серьезных site-to-site VPN позиционируются именно маршрутизаторы.
>
>мне пора CCIE заканчивать :o) и переходить на "серьезные" VPN...

У маршрутизатора как раз эти задачи :) решать что куда направить и как (т.е. инкапсултровать, GRE, IPSec, *TP, ...).

В качестве CPE или border PIX (он же ASA) решение не то что бы плохое - негибкое. GRE нет, PBR нет, OSPF так себе, ничего кроме ethernet нет.

Другое дело если в филиале бордер уже на чем-то организован и нужно протащить тунель за него - да, будет хороший фаерволл и vpn  на нем...

А вообще у PIX/ASA слишком много дизайн-ограничений что бы использовать их слишком близко к границе сети - не для этого они...