URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 18082
[ Назад ]

Исходное сообщение
"VPN на Cisco 871/1841/2811. Какое железо ?"
Отправлено Potemkin , 25-Янв-09 13:59

Необходимо выбрать циску для организации vpn ipsec между двумя офисами.
Сделал обзор и остановился на различных вариантах: на Cisco 871, Cisco 1841, Cisco 2811.
Но есть сумления, может кто подскажет, имеет практический опыт, соображения.
Нач.условия - сеть составная без выхода в public internet, тем неменее требуется защищенный доступ в корпоративную сеть (почт.сервер, SQL-сервер и т.п.) головного офиса. Канал ПД выделенный 100Mb. Малый офис включает 4 раб.станции (в перспективе до 8).
Денег нужно потратить как можно меньше.
для сравнения подобрал конфигурации для 1841, 2811:
-CISCO1841
-Cisco 1841 IOS ADVANCED SECURITY ver.12.4
-HWIC 4-port 10/100 Ethernet switch interface card
-128MB DRAM
-CISCO2811
-Cisco 2800 ADVANCED SECURITY ver.12.4
-HWIC 4-port 10/100 Ethernet switch interface card
Получилось достаточно дороговато.
Предлагается также готовые решения для 1841, 2811 слегка подешевле:
-CISCO1841-SEC/K9 и CISCO1841-HSEC/K9
-CISCO2811-SEC/K9 и CISCO2811-HSEC/K9
Правильно ли я понимаю, что конфигурации SEC и HSEC оличаются только наличием во втором варианте карточки AIM и 10 SSL лицензий ? Соответтствую ли подобранные мной конфигурации железа предлагаемому готовому решению SEC (без учета HWIC-ов) ?
Что позволяет конфигурация железки в варианте SEC ? какие производительности при использовании DES/3DES шифровании ?
Насколько я понял HSEC решение включает модуль AIM разгружающий проц циски и как следствие позволяет повысить производительность функций защиты.
Моежт не заморачиваться для 4х ПК и поставить 871...
На сайте нашел Cisco след.информацию:
ПРОИЗВОДИТЕЛЬНОСТЬ ФУНКЦИЙ ЗАЩИТЫ МАРШРУТИЗАТОРОВ С CISCO IOS
Максимальное число VPN-туннелей
Cisco 870 ISR - 10
Cisco 1800 ISR - 50
Cisco 1800 с AIM-VPN/BPII+ - 800
Производительность DES/АES-128, Мбит/сек
Cisco 870 ISR - 30
Cisco 1800 ISR - 40
Cisco 1800 с AIM-VPN/BPII+ - 95
данных для 3DES не нашел, для 2811 данных вообще никаких, только такие комментарии с сайта cisco.com:
* The Cisco 1841 Series Module (AIM-VPN/SSL-1) can provide hardware-based IPSeс encryption services of 25 and 95 Mbps in the Cisco 1841 (IPSec Internet mix [IMIX] and 1400-byte packets).
* The Cisco 2800 Series Module (AIM-VPN/SSL-2) can provide hardware-based IPSec encryption services of 30 and 90 Mbps in the Cisco 2801, 35 and 100 Mbps in the Cisco 2811, 90 and 125 Mbps in the Cisco 2821, and 100 and 150 Mbps in the Cisco 2851 (IPSec IMIX and 1400-byte packets).

Содержание

VPN на Cisco 871/1841/2811. Какое железо ?,Eduard_k, 21:16 , 25-Янв-09
- VPN на Cisco 871/1841/2811. Какое железо ?,Potemkin, 20:28 , 29-Янв-09
  - VPN на Cisco 871/1841/2811. Какое железо ?,Eduard_k, 11:21 , 30-Янв-09
    - VPN на Cisco 871/1841/2811. Какое железо ?,Potemkin, 19:44 , 30-Янв-09
    - VPN на Cisco 871/1841/2811. Какое железо ?,Potemkin, 19:46 , 30-Янв-09

Сообщения в этом обсуждении

"VPN на Cisco 871/1841/2811. Какое железо ?"
Отправлено Eduard_k , 25-Янв-09 21:16

По производительности шифрования смотрите ссылку:
http://www.cisco.com/web/partners/downloads/765/tools/quickr...
имхо CISCO2811-HSEC/K9 - как минимум. Вообще подумайте, возможно ASA 5510 больше подойдет, тем более они с AIP-SSM-10 module сильно подешевели недавно(IPS Edition Bundle которые).

"VPN на Cisco 871/1841/2811. Какое железо ?"
Отправлено Potemkin , 29-Янв-09 20:28

>По производительности шифрования смотрите ссылку:
>http://www.cisco.com/web/partners/downloads/765/tools/quickr...
>имхо CISCO2811-HSEC/K9 - как минимум. Вообще подумайте, возможно ASA 5510 больше подойдет,
>тем более они с AIP-SSM-10 module сильно подешевели недавно(IPS Edition Bundle
>которые).
спасибо за ссылку!
вопрос следом : можно ли временно поднять VPN на 3750G для удаленного доступа малого офиса к ресурсам головного (почт.сервак, SQL и проч.) ? пробросить "выделенный" канал vlan-ом с малого офиса возможность есть, доступ через паблик исключается

"VPN на Cisco 871/1841/2811. Какое железо ?"
Отправлено Eduard_k , 30-Янв-09 11:21

>[оверквотинг удален]
>>http://www.cisco.com/web/partners/downloads/765/tools/quickr...
>>имхо CISCO2811-HSEC/K9 - как минимум. Вообще подумайте, возможно ASA 5510 больше подойдет,
>>тем более они с AIP-SSM-10 module сильно подешевели недавно(IPS Edition Bundle
>>которые).
>
>спасибо за ссылку!
>вопрос следом : можно ли временно поднять VPN на 3750G для удаленного
>доступа малого офиса к ресурсам головного (почт.сервак, SQL и проч.) ?
>пробросить "выделенный" канал vlan-ом с малого офиса возможность есть, доступ через
>паблик исключается
3750G - коммутатор трафик шифровать не будет. Просто маршрутизировать через выделенный канал будет.

"VPN на Cisco 871/1841/2811. Какое железо ?"
Отправлено Potemkin , 30-Янв-09 19:44

>[оверквотинг удален]
>>>которые).
>>
>>спасибо за ссылку!
>>вопрос следом : можно ли временно поднять VPN на 3750G для удаленного
>>доступа малого офиса к ресурсам головного (почт.сервак, SQL и проч.) ?
>>пробросить "выделенный" канал vlan-ом с малого офиса возможность есть, доступ через
>>паблик исключается
>
>3750G - коммутатор трафик шифровать не будет. Просто маршрутизировать через выделенный канал
>будет.
да, вроде и в датащит так, про впн нислова. придется на серваке как то рулить...

"VPN на Cisco 871/1841/2811. Какое железо ?"
Отправлено Potemkin , 30-Янв-09 19:46

>[оверквотинг удален]
>>>которые).
>>
>>спасибо за ссылку!
>>вопрос следом : можно ли временно поднять VPN на 3750G для удаленного
>>доступа малого офиса к ресурсам головного (почт.сервак, SQL и проч.) ?
>>пробросить "выделенный" канал vlan-ом с малого офиса возможность есть, доступ через
>>паблик исключается
>
>3750G - коммутатор трафик шифровать не будет. Просто маршрутизировать через выделенный канал
>будет.
ясно значит на серваке придется как то зразруливать