Нужен совет по выбору оборудования для сети предприятия в новом здании. "Нарисовали" себе проект, обратились к поставщику, предлагают следующее оборудование:
Джунипер:
2 * MX5-T-AC - бордер;
2 * SRX240H - файрвол;
2 * EX4200-24T - ядро;
10 * EX2200-48T-4G - доступ.
ко всему этому добру еще и базовая поддержка
Сиско:
2* CISCO 2921 - бордер;
2* ASA5510 - файрвол;
2* Catalyst 3750X-24T-S - ядро;
2* Catalyst 2960S-48TS-L - доступ на сервера;
8* Catalyst 2960-48TC-L - доступ пользователи
и ко всему этому добру смартнеты
цена первого решения, даже немного ниже, чем планировали потратить, цена решения на сиско - на 10-15% выше чем на джуниперах и уже переваливает за планируемый бюджет.
Сейчас используем оборудование от сиско в цо и филиалах - порядка 20 роутеров, коммутаторы - allied telesis и разный "тупой" хлам. половина из оборудования в филиалах - морально устарела и тоже будет меняться в обозримом будущем на что-то новое.
На каком оборудовании остановиться?
>[оверквотинг удален]
> 8* Catalyst 2960-48TC-L - доступ пользователи
> и ко всему этому добру смартнеты
> цена первого решения, даже немного ниже, чем планировали потратить, цена решения на
> сиско - на 10-15% выше чем на джуниперах и уже переваливает
> за планируемый бюджет.
> Сейчас используем оборудование от сиско в цо и филиалах - порядка 20
> роутеров, коммутаторы - allied telesis и разный "тупой" хлам. половина из
> оборудования в филиалах - морально устарела и тоже будет меняться в
> обозримом будущем на что-то новое.
> На каком оборудовании остановиться?Не могу понять откуда у них juniper дешевле получился, тут один только MX5 как три 2921 стоит. Да и вообще оборудование абсолютно разного класса. asr1000 - вот конкурент MX.
Использовали cisco и используйте, зачем разводить зоопарк?
ASA5510 - это старая, ей на замену есть сразу несколько вариантов 5512-X, 5515-X
http://www.cisco.com/en/US/products/ps6120/prod_models_compa...
>[оверквотинг удален]
>> оборудования в филиалах - морально устарела и тоже будет меняться в
>> обозримом будущем на что-то новое.
>> На каком оборудовании остановиться?
> Не могу понять откуда у них juniper дешевле получился, тут один только
> MX5 как три 2921 стоит. Да и вообще оборудование абсолютно разного
> класса. asr1000 - вот конкурент MX.
> Использовали cisco и используйте, зачем разводить зоопарк?
> ASA5510 - это старая, ей на замену есть сразу несколько вариантов 5512-X,
> 5515-X
> http://www.cisco.com/en/US/products/ps6120/prod_models_compa...джунипер дешевле по тому, что он известен на весь мир своими щедрыми дисконтами. у него gpl и реальная стоимость под проект разнится просто колоссально (50% дают наверное каждому встречному).
по поводу "Использовали cisco и используйте, зачем разводить зоопарк?" - но ведь джунипер предлагает более производительное оборудование. как сами говорили mx5 и 2921 это соовсем разные железки (в пользу mx5). коммутаторы они предлагают гигабитные против соток у сиско, правда 2960 - проверенные временем аппараты, а у джунипера коммутаторы - новое направление, хотя слыхал об 2200 хорошие отзывы (правда у человека немного предвзятое отношение).тут же на каждом углу кричат что джунипер круче циско, а как суть да дело, все советуют оставаться на циско
>[оверквотинг удален]
> дисконтами. у него gpl и реальная стоимость под проект разнится просто
> колоссально (50% дают наверное каждому встречному).
> по поводу "Использовали cisco и используйте, зачем разводить зоопарк?" - но ведь
> джунипер предлагает более производительное оборудование. как сами говорили mx5 и 2921
> это соовсем разные железки (в пользу mx5). коммутаторы они предлагают гигабитные
> против соток у сиско, правда 2960 - проверенные временем аппараты, а
> у джунипера коммутаторы - новое направление, хотя слыхал об 2200 хорошие
> отзывы (правда у человека немного предвзятое отношение).
> тут же на каждом углу кричат что джунипер круче циско, а как
> суть да дело, все советуют оставаться на цискоЕсли Вы оператор - то смотрите в сторону Juniper.
Если нет то оставайьесь на Cisco
> Если Вы оператор - то смотрите в сторону Juniper.
> Если нет то оставайьесь на CiscoА аргументировать можете?
У циски есть коробки не хуже, а то и лучше для операторского сектора: asr1000,asr9000,crs.
>[оверквотинг удален]
>> по поводу "Использовали cisco и используйте, зачем разводить зоопарк?" - но ведь
>> джунипер предлагает более производительное оборудование. как сами говорили mx5 и 2921
>> это соовсем разные железки (в пользу mx5). коммутаторы они предлагают гигабитные
>> против соток у сиско, правда 2960 - проверенные временем аппараты, а
>> у джунипера коммутаторы - новое направление, хотя слыхал об 2200 хорошие
>> отзывы (правда у человека немного предвзятое отношение).
>> тут же на каждом углу кричат что джунипер круче циско, а как
>> суть да дело, все советуют оставаться на циско
> Если Вы оператор - то смотрите в сторону Juniper.
> Если нет то оставайьесь на Ciscoнет, мы не оператор
тогда наверное проще действительно на циске остаться
я так по себе взвесил - по мне там самые интересные операторские фичи:
tcpdump
dynamic db (коммит конфига с бгп-фильтрами на нескольких апстримов и prefix-based фильтрами на точки обмена занимает времени порядка нескольких секунд, фап-фап-фап)
ну и всё в таком же духеда, srx240 плохо смотрится вместе с MX
это фаервол очень начального уровня, типа 5510 - пойдёт только под нат сотни-другой пользователей; если у вас куча внешних ресурсов, которые будете защищать от ddos - что-нибудь не меньше srx1400 или asa5585/ssp10
видимо, уже сейчас есть какие-то мощности, посмотрите на них пропускаемые pps в пиках, подбирайте соответственный фаерволsrx240 по опыту на гигабитных скоростях можно использовать только как packet-based, но тогда в его приобретении смысла нет - всё тоже самое можно сделать и на MX
но если asa/srx только для поднятия туннелей - флаг вам в руки
>[оверквотинг удален]
> да, srx240 плохо смотрится вместе с MX
> это фаервол очень начального уровня, типа 5510 - пойдёт только под нат
> сотни-другой пользователей; если у вас куча внешних ресурсов, которые будете защищать
> от ddos - что-нибудь не меньше srx1400 или asa5585/ssp10
> видимо, уже сейчас есть какие-то мощности, посмотрите на них пропускаемые pps в
> пиках, подбирайте соответственный фаервол
> srx240 по опыту на гигабитных скоростях можно использовать только как packet-based, но
> тогда в его приобретении смысла нет - всё тоже самое можно
> сделать и на MX
> но если asa/srx только для поднятия туннелей - флаг вам в рукину асы и собирались 5510 брать, я сравнивал они действительно аналогичны.
ладно, я так понял что большинство все-таки за сиско, ну и я больше склоняюсь к ним. просто хотел удостовериться в правильности своих мыслей
ну если честно - для меня подобный ответ обычен для вопросов людей, которые судя по их вопросу, не сильно уверены и дают подобные решения на откуп неизвестным лицам из интернетов :)
> ну если честно - для меня подобный ответ обычен для вопросов людей,
> которые судя по их вопросу, не сильно уверены и дают подобные
> решения на откуп неизвестным лицам из интернетов :)правильно, я задаю вопрос, поскольку лично я с джуниперами не работал, но внешне - их предложение заманчиво. вот и спрашиваю: стоит ли игра свеч?
Если у вас хорошее знание теории построения сетей и вы, следовательно, ....кхм...уверены в себе - то ответ "Да! Вы что, издеваетесь?", на другой случай обычно осторожное, сберегающее впоследствии кучу нервов семье админа "Хорошо подумайте, ведь у вас же всё уже поставлено на поток, да и вон, спецов по циске пруд пруди, а вот случись что, э?" и взляд такой на собеседника ленинский, добрый, с прищуром.Выбор ответа зависит только от ваших личных качеств, и анонимы здесь бессильны, хехе...
>> ну если честно - для меня подобный ответ обычен для вопросов людей,
>> которые судя по их вопросу, не сильно уверены и дают подобные
>> решения на откуп неизвестным лицам из интернетов :)
> правильно, я задаю вопрос, поскольку лично я с джуниперами не работал, но
> внешне - их предложение заманчиво. вот и спрашиваю: стоит ли игра
> свеч?Есть несколько нюансов:
1. Juniper по всяким фичам/рюшикам не уступает cisco (а в некоторых вариантах и обставляет оную).
2. Не совсем понял накой EX4200?? EX3200 при меньшей цене обладает практически эквивалентным функционалом.
3. Сколько вы собираетесь bgp маршрутов принять? при количестве роутов до 10Тыс - накой вам отдельные бордеры? тот же EX3200 прекрастно справиться в eBGP+iBGP, единственное ограничение - количество роутов.
4. В джунике "внутри" в качестве прослойки задействовано freeBSD со всеми вытекающими преимуществами.Единственный минус во всем этом - теоретически вам нужен специалист по обслуживанию/сопровождению джуника, в больших конторах это в некоторой степени препятствие - надо содержать спецов по 2-м вендорам, в небольших и средних сия проблема не стоит - там восновном мастера на все руки/вендоры больше нужны.
Лично я бы предпочел джуник (тем более цена - довольно серьезный аргумент для начальства), но я люблю поэкспериментить и посравнивать.
>[оверквотинг удален]
> - накой вам отдельные бордеры? тот же EX3200 прекрастно справиться в
> eBGP+iBGP, единственное ограничение - количество роутов.
> 4. В джунике "внутри" в качестве прослойки задействовано freeBSD со всеми вытекающими
> преимуществами.
> Единственный минус во всем этом - теоретически вам нужен специалист по обслуживанию/сопровождению
> джуника, в больших конторах это в некоторой степени препятствие - надо
> содержать спецов по 2-м вендорам, в небольших и средних сия проблема
> не стоит - там восновном мастера на все руки/вендоры больше нужны.
> Лично я бы предпочел джуник (тем более цена - довольно серьезный аргумент
> для начальства), но я люблю поэкспериментить и посравнивать.Ну вот, теперь набежали фанаты джунипера )) Прокомментирую по пунктам:
1) верю что такое может быть
2) не знаю... это ж не я выбирал, а мне поставщик предлагает. да и собственно пофиг, в бюджет то пролазит без проблем ))
3) у меня не только 2 провайдера с инетом, есть еще куча других каналов и провайдеров, которые предоставляют не только интернет. подобная схема мне кажется более прозрачной
4) тут я преимуществ не вижу, ну и что, что есть tcpdump, можно использовать скрипты и т.д. в кошках есть аналогичный функционал, правда реализуется другими средствами
5) о специалисте - мы как-раз относимся к разряду мелких контор, да еще и в провинции находимся. поэтому я и есть тот "мастер на все руки" (
6) 6-го числа в киеве джунипер дей, будут доклады об SRX и EX. собираемся "делегацией" поехать/послушать
>[оверквотинг удален]
> других каналов и провайдеров, которые предоставляют не только интернет. подобная схема
> мне кажется более прозрачной
> 4) тут я преимуществ не вижу, ну и что, что есть tcpdump,
> можно использовать скрипты и т.д. в кошках есть аналогичный функционал, правда
> реализуется другими средствами
> 5) о специалисте - мы как-раз относимся к разряду мелких контор, да
> еще и в провинции находимся. поэтому я и есть тот "мастер
> на все руки" (
> 6) 6-го числа в киеве джунипер дей, будут доклады об SRX и
> EX. собираемся "делегацией" поехать/послушатьЖелаю удачи ;)
и вообще, вы странно легко отбрасываетеосновной вопрос по спеке - когда захочется 10гб бордер<>уровень аггрегации по джуниперовской спеке, вам понадобится лицензия до MX20 и модуль с сфп на EX, всё без даунтайма
ну и по советам доброхотов из интернета предпочесть софтовый роутер железному с FIB на 2 млн маршрутов и в перспективе с 4x10гб портами для меня вообще дикость
> и вообще, вы странно легко отбрасываете
> основной вопрос по спеке - когда захочется 10гб бордер<>уровень аггрегации по джуниперовской
> спеке, вам понадобится лицензия до MX20 и модуль с сфп на
> EX, всё без даунтайма
> ну и по советам доброхотов из интернета предпочесть софтовый роутер железному с
> FIB на 2 млн маршрутов и в перспективе с 4x10гб портами
> для меня вообще дикостьпро то что mx5 и в сравнение не идет с 2921 я прекрасно понимаю, другое дело что у меня и близко не будет тех нагрузок, для которых 2921 будет мало. от провов планируется принимать только дефалт (для моих задач этого достаточно). асы с srx идентичны по производительности (кстати, что на srx с ips?) Е4200 и 3750Х вроде тоже мало чем отличаются, Е2200 превосходят 2960 тем, что они гигабитные, против 100 мбит у каталистов. циско - знакомый бренд, джунипер - новое для меня. интерес разобраться с джунипером есть, но делать предполагаемую схему на незнакомом оборудовании - что-ли стремно как-то ))
Плюсы и минусы есть и там и там, на чем остановиться - на 100% пока не решил, но скорее всего на сиско.
> про то что mx5 и в сравнение не идет с 2921 я
> прекрасно понимаю, другое дело что у меня и близко не будет
> тех нагрузок, для которых 2921 будет мало. от провов планируется принимать
> только дефалт (для моих задач этого достаточно).Раскладывать трафик по дефолтам при нескольких провайдерах на обоих вариантах имхо кощунственно :)
> асы с srx идентичны
bgp, mpls?
в 5510 можно докупить модуль под sfp 1гб/dsl/e1_data?> по производительности (кстати, что на srx с ips?)
обновление сигнатур атак и вирусов в разы дороже
всякие syn-flood prevention и т.п. из коробки бесплатно> Е4200 и 3750Х
> вроде тоже мало чем отличаются,стековая шина шире, больше маршрутов в FIB, больше arp-записей и мак-адресов, в 3750x ограничение на RVI - до 1000
возможность заюзать на халяву OSPF/BGP (будут только периодические предупреждения в логах "купите лицензию")
у джуниперовских свичей есть возможность ограничения (не помню - то ли pps, то ли проценты от пропускной способности порта) unicast flood, у циски только вкл-выкл
> Е2200 превосходят 2960 тем, что они
> гигабитные, против 100 мбит у каталистов.ага
а ещё система коммитов, как у всех джуников (вздрогнул, когда вспомнил как чувствовал себя минёром, удалённо перенастраивая вланы на каталистах)
а ещё 2200 - третьего уровня
а ещё в этом свиче есть tcpdump и скрипты> циско - знакомый бренд, джунипер
> - новое для меня. интерес разобраться с джунипером есть, но делать
> предполагаемую схему на незнакомом оборудовании - что-ли стремно как-то ))вы пошли в сетевые инженеры и сразу за циски?
> Плюсы и минусы есть и там и там, на чем остановиться -
> на 100% пока не решил, но скорее всего на сиско.Собственно, о чём и говорю, вы предлагаете воображаемым друзьям оценить ваши личные способности, спеки можно было и не писать, заголовка достаточно.
> а ещё в этом свиче есть tcpdump и скриптыНу tcpdump там не фига ни чего не покажет
>[оверквотинг удален]
> 8* Catalyst 2960-48TC-L - доступ пользователи
> и ко всему этому добру смартнеты
> цена первого решения, даже немного ниже, чем планировали потратить, цена решения на
> сиско - на 10-15% выше чем на джуниперах и уже переваливает
> за планируемый бюджет.
> Сейчас используем оборудование от сиско в цо и филиалах - порядка 20
> роутеров, коммутаторы - allied telesis и разный "тупой" хлам. половина из
> оборудования в филиалах - морально устарела и тоже будет меняться в
> обозримом будущем на что-то новое.
> На каком оборудовании остановиться?ИМХО что лучше знаете/что лучше знают ваши спецы - то и берите.
Еще на hh.ru посмотрите предложение по спецам по циско и джунипер.Точно не стоит делать смешанный колхоз из того и другого.
Кстати говоря, на сколько я голословно знаю (я ни разу не спец по джуну) - SRX в отличие от ASA обладает полноценныи функционалом рутера (BGP, PBR и т.д.) - нафиг к нему бордер еще в такой не большой сети?
> Кстати говоря, на сколько я голословно знаю (я ни разу не спец
> по джуну) - SRX в отличие от ASA обладает полноценныи функционалом
> рутера (BGP, PBR и т.д.) - нафиг к нему бордер еще
> в такой не большой сети?потому, что нужен отказоустойчивый VPN (L2L, Remote Access)
> потому, что нужен отказоустойчивый VPN (L2L, Remote Access)так впн и удаленный доступ настраиваются на файрволле, необходимость бордера все еще под сомнением.
>> потому, что нужен отказоустойчивый VPN (L2L, Remote Access)
> так впн и удаленный доступ настраиваются на файрволле, необходимость бордера все еще
> под сомнением.bgp
>>> потому, что нужен отказоустойчивый VPN (L2L, Remote Access)
>> так впн и удаленный доступ настраиваются на файрволле, необходимость бордера все еще
>> под сомнением.
> bgpУчитывая, что вы не оператор/провайдер, можно предположить, что бордер будет работать как дефолт гейт. А значит с этой задачей легко справится и srx240.
>>>> потому, что нужен отказоустойчивый VPN (L2L, Remote Access)
>>> так впн и удаленный доступ настраиваются на файрволле, необходимость бордера все еще
>>> под сомнением.
>> bgp
> Учитывая, что вы не оператор/провайдер, можно предположить, что бордер будет работать как
> дефолт гейт. А значит с этой задачей легко справится и srx240.как Вы себе представляете отказоустойчивость такого решения?
>>>>> потому, что нужен отказоустойчивый VPN (L2L, Remote Access)
>>>> так впн и удаленный доступ настраиваются на файрволле, необходимость бордера все еще
>>>> под сомнением.
>>> bgp
>> Учитывая, что вы не оператор/провайдер, можно предположить, что бордер будет работать как
>> дефолт гейт. А значит с этой задачей легко справится и srx240.
> как Вы себе представляете отказоустойчивость такого решения?тут какбы дело не в железяке, а в количестве аплинков :)
>>>>>> потому, что нужен отказоустойчивый VPN (L2L, Remote Access)
>>>>> так впн и удаленный доступ настраиваются на файрволле, необходимость бордера все еще
>>>>> под сомнением.
>>>> bgp
>>> Учитывая, что вы не оператор/провайдер, можно предположить, что бордер будет работать как
>>> дефолт гейт. А значит с этой задачей легко справится и srx240.
>> как Вы себе представляете отказоустойчивость такого решения?
> тут какбы дело не в железяке, а в количестве аплинков :)а выход железа из строя Вы не рассматриваете?
схема предполагается довольно стандартная: 2 бордера с ibgp между ними и ebgp с провами, 2 файрвола в active/pasive, 2 коммутатора 3-го уровня в ядре. вопросы?
>[оверквотинг удален]
>>>>>> под сомнением.
>>>>> bgp
>>>> Учитывая, что вы не оператор/провайдер, можно предположить, что бордер будет работать как
>>>> дефолт гейт. А значит с этой задачей легко справится и srx240.
>>> как Вы себе представляете отказоустойчивость такого решения?
>> тут какбы дело не в железяке, а в количестве аплинков :)
> а выход железа из строя Вы не рассматриваете?
> схема предполагается довольно стандартная: 2 бордера с ibgp между ними и ebgp
> с провами, 2 файрвола в active/pasive, 2 коммутатора 3-го уровня в
> ядре. вопросы?Выше уже написали, что по бгп принимаете от провайдеров только дефолт гейт.
Значит жунипер 240 точно справится. К каждому прову ставите по жуниперу, между ними и коммутаторами ибгп. Лишняя железяка - лишняя точка отказа. :)
>[оверквотинг удален]
>>>>>> под сомнением.
>>>>> bgp
>>>> Учитывая, что вы не оператор/провайдер, можно предположить, что бордер будет работать как
>>>> дефолт гейт. А значит с этой задачей легко справится и srx240.
>>> как Вы себе представляете отказоустойчивость такого решения?
>> тут какбы дело не в железяке, а в количестве аплинков :)
> а выход железа из строя Вы не рассматриваете?
> схема предполагается довольно стандартная: 2 бордера с ibgp между ними и ebgp
> с провами, 2 файрвола в active/pasive, 2 коммутатора 3-го уровня в
> ядре. вопросы?схема не обсуждается, она уже утверждена.
да и я не спрашиваю как сэкономить, меня интересует какой вариант более предпочтителен
>[оверквотинг удален]
>>>>> дефолт гейт. А значит с этой задачей легко справится и srx240.
>>>> как Вы себе представляете отказоустойчивость такого решения?
>>> тут какбы дело не в железяке, а в количестве аплинков :)
>> а выход железа из строя Вы не рассматриваете?
>> схема предполагается довольно стандартная: 2 бордера с ibgp между ними и ebgp
>> с провами, 2 файрвола в active/pasive, 2 коммутатора 3-го уровня в
>> ядре. вопросы?
> схема не обсуждается, она уже утверждена.
> да и я не спрашиваю как сэкономить, меня интересует какой вариант более
> предпочтителенДо сих пор так и не понял - накой вам в этой схеме лишняя точка отказа в виде бордера, если ваши требования к бордеру полностью перекрываются ex4200 (или ex3200) при выборе джунипера или каталистом при выборе циско??????