Всем привет!
Нужен совет по оборудованию. Контора состоит из нескольких филиалов по Москве. Филиалы подсоединены к инету двумя провайдерами для надежности. Нужно закупить Cisco для обеспечения VPN, динамического переключения протоколами маршрутизации в случае отказа основного провайдера, считать трафик по IP-адресам, плюс телефония.
Предварительно я остановился на модели 1841 в каждый филиал
Девайс стоит вроде 1500 в среднем + возможно понадобятся дополнительные модули и ПО. Закладываюсь на 2000
Посоветуйте плиз, все ли правильно, а то облажаться нельзя.
Спасибо!
Владимир

• Организация VPN нужен совет,Lacunacoil, 10:58 , 14-Дек-05
  • Организация VPN нужен совет,Владимир, 11:22 , 14-Дек-05
    • Организация VPN нужен совет,Lacunacoil, 14:17 , 14-Дек-05
      • Организация VPN нужен совет,Владимир, 16:22 , 14-Дек-05
      • Организация VPN нужен совет,routercs, 18:51 , 14-Дек-05
• Организация VPN нужен совет,toor99, 17:09 , 14-Дек-05
  • Организация VPN нужен совет,nightlight, 17:52 , 14-Дек-05
    • Организация VPN нужен совет,denn, 18:37 , 14-Дек-05
      • Организация VPN нужен совет,Сайко, 18:41 , 14-Дек-05
        • Организация VPN нужен совет,denn, 18:45 , 14-Дек-05
      • Организация VPN нужен совет,nightlight, 03:12 , 15-Дек-05
        • Организация VPN нужен совет,Владимир, 10:10 , 15-Дек-05
          • Организация VPN нужен совет,toor99, 10:48 , 15-Дек-05
        • Организация VPN нужен совет,denn, 11:31 , 15-Дек-05
      • Организация VPN нужен совет,toor99, 10:49 , 15-Дек-05
  • Организация VPN нужен совет,Lacunacoil, 11:45 , 15-Дек-05
  • Организация VPN нужен совет,denn, 11:49 , 15-Дек-05
    • Организация VPN нужен совет,toor99, 12:24 , 15-Дек-05

>Всем привет!
>Нужен совет по оборудованию. Контора состоит из нескольких филиалов по Москве. Филиалы
>подсоединены к инету двумя провайдерами для надежности. Нужно закупить Cisco для
>обеспечения VPN, динамического переключения протоколами маршрутизации в случае отказа основного провайдера,
>считать трафик по IP-адресам, плюс телефония.
>Предварительно я остановился на модели 1841 в каждый филиал
>Девайс стоит вроде 1500 в среднем + возможно понадобятся дополнительные модули и
>ПО. Закладываюсь на 2000
>Посоветуйте плиз, все ли правильно, а то облажаться нельзя.
>Спасибо!
>Владимир

Тут все зависит от нагрузки в этих офисах + ВПН какой полосой нужен, сколько офисов ? Телефония нужно смотреть по ценам иногда выгоднее и правильнее поставить оборудование отдельно от рутера + другого вендора.

>>Всем привет!
>>Нужен совет по оборудованию. Контора состоит из нескольких филиалов по Москве. Филиалы
>>подсоединены к инету двумя провайдерами для надежности. Нужно закупить Cisco для
>>обеспечения VPN, динамического переключения протоколами маршрутизации в случае отказа основного провайдера,
>>считать трафик по IP-адресам, плюс телефония.
>>Предварительно я остановился на модели 1841 в каждый филиал
>>Девайс стоит вроде 1500 в среднем + возможно понадобятся дополнительные модули и
>>ПО. Закладываюсь на 2000
>>Посоветуйте плиз, все ли правильно, а то облажаться нельзя.
>>Спасибо!
>>Владимир
>
> Тут все зависит от нагрузки в этих офисах + ВПН какой
>полосой нужен, сколько офисов ? Телефония нужно смотреть по ценам иногда
>выгоднее и правильнее поставить оборудование отдельно от рутера + другого вендора.
>
>
Спасибо за ответ.
Офисов 7 штук, возможен рост до 10.
По полосе пропускания устроит 5-10Мбит/с.
IP-телефония пока не срочная - сначала нужно чтобы VPN с переключением заработал. Но нужно по крайней мере чтобы функционал можно было расширить, а не заменять устройства.
Кстати, как реально в такой схеме будут работать динамическая маршрутизация? Скажем, при отключении основного провайдера одного из офисов - через сколько времени поменяются маршруты и связи восстановятся через резервного?

>>>Всем привет!
>>>Нужен совет по оборудованию. Контора состоит из нескольких филиалов по Москве. Филиалы
>>>подсоединены к инету двумя провайдерами для надежности. Нужно закупить Cisco для
>>>обеспечения VPN, динамического переключения протоколами маршрутизации в случае отказа основного провайдера,
>>>считать трафик по IP-адресам, плюс телефония.
>>>Предварительно я остановился на модели 1841 в каждый филиал

я посмотрел на сайте циски этот рутер не поддерживает воипи + я несмог найти скорость шифрования, написанно что акселератор есть.(я думаю 5-10 мегабит должен потянуть)

>>>Девайс стоит вроде 1500 в среднем + возможно понадобятся дополнительные модули и
>>>ПО. Закладываюсь на 2000

Внимательно смотри все девайсы циски на предмет совместимости модулей,производительности, функционала. Оброщай внимание на ИОС который там стоит.

>>>Посоветуйте плиз, все ли правильно, а то облажаться нельзя.
>>>Спасибо!

главное не торопись 10 раз все посчитай и проверь из нескольких источников
самое главное продовцов слушай по меньше. Буть внимательнее с горантией на оборудование циски.

>>>Владимир
>>
>> Тут все зависит от нагрузки в этих офисах + ВПН какой
>>полосой нужен, сколько офисов ? Телефония нужно смотреть по ценам иногда
>>выгоднее и правильнее поставить оборудование отдельно от рутера + другого вендора.
>>
>>
>Спасибо за ответ.
>Офисов 7 штук, возможен рост до 10.
>По полосе пропускания устроит 5-10Мбит/с.

это всего или на каждый, например если 5 офисов ломануться к одному это уже будет 25-50 мбит !

>IP-телефония пока не срочная - сначала нужно чтобы VPN с переключением заработал.

Плонировать лучше все сразу. Что бы потом не мучаться !

>Но нужно по крайней мере чтобы функционал можно было расширить, а
>не заменять устройства.

см выше.

>Кстати, как реально в такой схеме будут работать динамическая маршрутизация? Скажем, при
>отключении основного провайдера одного из офисов - через сколько времени поменяются
>маршруты и связи восстановятся через резервного?

если использовать BGP то зависит от таймеров, если другие технологии то зависит от их настроек, но район 180 сек.

>>>>Всем привет!
>>>>Нужен совет по оборудованию. Контора состоит из нескольких филиалов по Москве. Филиалы
>>>>подсоединены к инету двумя провайдерами для надежности. Нужно закупить Cisco для
>>>>обеспечения VPN, динамического переключения протоколами маршрутизации в случае отказа основного провайдера,
>>>>считать трафик по IP-адресам, плюс телефония.
>>>>Предварительно я остановился на модели 1841 в каждый филиал
>
>я посмотрел на сайте циски этот рутер не поддерживает воипи + я
>несмог найти скорость шифрования, написанно что акселератор есть.(я думаю 5-10 мегабит
>должен потянуть)
>
>>>>Девайс стоит вроде 1500 в среднем + возможно понадобятся дополнительные модули и
>>>>ПО. Закладываюсь на 2000
>
>Внимательно смотри все девайсы циски на предмет совместимости модулей,производительности, функционала. Оброщай внимание
>на ИОС который там стоит.
>
>>>>Посоветуйте плиз, все ли правильно, а то облажаться нельзя.
>>>>Спасибо!
>
>главное не торопись 10 раз все посчитай и проверь из нескольких источников
>
>самое главное продовцов слушай по меньше. Буть внимательнее с горантией на оборудование
>циски.
>
>>>>Владимир
>>>
>>> Тут все зависит от нагрузки в этих офисах + ВПН какой
>>>полосой нужен, сколько офисов ? Телефония нужно смотреть по ценам иногда
>>>выгоднее и правильнее поставить оборудование отдельно от рутера + другого вендора.
>>>
>>>
>>Спасибо за ответ.
>>Офисов 7 штук, возможен рост до 10.
>>По полосе пропускания устроит 5-10Мбит/с.
>
>это всего или на каждый, например если 5 офисов ломануться к одному
>это уже будет 25-50 мбит !
>
>>IP-телефония пока не срочная - сначала нужно чтобы VPN с переключением заработал.
>
>Плонировать лучше все сразу. Что бы потом не мучаться !
>
>>Но нужно по крайней мере чтобы функционал можно было расширить, а
>>не заменять устройства.
>
>см выше.
>
>>Кстати, как реально в такой схеме будут работать динамическая маршрутизация? Скажем, при
>>отключении основного провайдера одного из офисов - через сколько времени поменяются
>>маршруты и связи восстановятся через резервного?
>
>если использовать BGP то зависит от таймеров, если другие технологии то зависит
>от их настроек, но район 180 сек

Спасибо!

>Передо мной стоит та же ситуация, только масштабнее.
Во-первых, почитай курс SECUR/CCSP 641-501.
Во-вторых, нужно брать сразу с AIM-VPN/BPII-PLUS, иначе нагнутся твои роутреы (и так дешевле - все вместе).
VoIP - только Voice-over-IP (VoIP) pass-through. Тут есть два выхода - либо брать не 1841, а 2811, либо отдельно покупать девайс VoIP (так дешевле всего: у нас в Украине это добро стоит 150$ за порт FXS или FXO. у вас и того дешевле :)).
Насчет динамических протоколов: никого не слушай, кто говорит BGP или что-то подобное. Тебе не поможет даже Object Tracking.
Нужно брать связку _IPSec+GRE_ (опять же, читай SECUR/CCSP или VPN/CCSP).
По GRE пускаеш, например, EIGRP, а для безопасности используй IPSec с ESP на AES'e и ISAKMP тоже на AES. Вот тут тебе и прогодится эта плата AIM - расгрузит проц только так :))
Для обмена ключами в ISAKMP используй сертификаты или ключи RSA.

Вот вроде и все. Вкратце :)

>Всем привет!
>Нужен совет по оборудованию. Контора состоит из нескольких филиалов по Москве. Филиалы
>подсоединены к инету двумя провайдерами для надежности. Нужно закупить Cisco для
>обеспечения VPN, динамического переключения протоколами маршрутизации в случае отказа основного провайдера,
>считать трафик по IP-адресам, плюс телефония.
>Предварительно я остановился на модели 1841 в каждый филиал
>Девайс стоит вроде 1500 в среднем + возможно понадобятся дополнительные модули и
>ПО. Закладываюсь на 2000
>Посоветуйте плиз, все ли правильно, а то облажаться нельзя.
>Спасибо!
>Владимир

Выглядит неплохо, за исключением телефонии - недостаточно данных.
OSPF, в случае отказа, переключит маршруты за несколько минут. EIGRP - за примерно минуту. Другие протоколы (кто-то советовал BGP от большого ума) я вам не советую даже рассматривать.

>Выглядит неплохо, за исключением телефонии - недостаточно данных.
>OSPF, в случае отказа, переключит маршруты за несколько минут. EIGRP - за
>примерно минуту. Другие протоколы (кто-то советовал BGP от большого ума) я
>вам не советую даже рассматривать.
Если использовать трекинг, переключение будет как скрипт напишите, т.е. неск. секунд вполне реально...
C OSPF разумно настроить балансинг по двум каналам. Отказа никто и не заметит...
А BGP тут действительно ни при чем. Маршрутизация то нужна внутри сети (в пределах одной AS).

>А BGP тут действительно ни при чем. Маршрутизация то нужна внутри сети
>(в пределах одной AS).
ibgp

>Другие протоколы (кто-то советовал BGP от большого ума) я вам не советую >даже рассматривать
аргументы есть?

какой протокол по душе (лучше знаешь) тот и применяй.

40 секунд оспф
"пару секунд " - скрипт, бгп ( как уже говорили)
тк подключения через инет и нужен впн - посмотри в сторону dvpn

А мене кацца, что лучше defaul-route еще не придумали!

>А мене кацца, что лучше defaul-route еще не придумали!

-офтоп
но грех на такой схеме не набраться опыта и перепробовать все.

>>А BGP тут действительно ни при чем. Маршрутизация то нужна внутри сети
>>(в пределах одной AS).
>ibgp
А как вот с энтим быть?
"Это очевидное правило влечет за собой интересное следствие: чтобы не возникло циклов, маршрутизатор не может анонсировать по IBGP маршрут, полученный также по IBGP, поскольку нет способов определить зацикливание при объявлении BGP-маршрутов внутри одной АС.
Следствием этого следствия является необходимость полного графа IBGP-соединений между пограничными маршрутизаторами одной автономной системы: то есть каждая пара маршрутизаторов должна устанавливать между собой соединение по протоколу IBGP. При этом возникает проблема большого числа соединений (порядка N2, где N-число BGP-маршрутизаторов в АС). Для уменьшения числа соединений применяются различные решения: разбиение АС на конфедерации (подсистемы), применение серверов маршрутной информации и др."

>>>А BGP тут действительно ни при чем. Маршрутизация то нужна внутри сети
>>>(в пределах одной AS).
>>ibgp
>А как вот с энтим быть?
>"Это очевидное правило влечет за собой интересное следствие: чтобы не возникло циклов,
>маршрутизатор не может анонсировать по IBGP маршрут, полученный также по IBGP,
>поскольку нет способов определить зацикливание при объявлении BGP-маршрутов внутри одной АС.
>
>Следствием этого следствия является необходимость полного графа IBGP-соединений между пограничными маршрутизаторами одной
>автономной системы: то есть каждая пара маршрутизаторов должна устанавливать между собой
>соединение по протоколу IBGP. При этом возникает проблема большого числа соединений
>(порядка N2, где N-число BGP-маршрутизаторов в АС). Для уменьшения числа соединений
>применяются различные решения: разбиение АС на конфедерации (подсистемы), применение серверов маршрутной
>информации и др."

Всем спасибо за ответы!
Насколько я понял, вполне прокатит конфигурация с устройствами 1841 в каждый офис. По умолчанию у него есть два интерфейса. Для подключения двух провайдеров и к DMZ надо бужет докупать расширение с дополнительными интерфейсами. Плюс еще говорят, что существует некое расширение, позволяющее увеличить пропускную способность VPN, если таковой будет нехватать (шифратор чтоли - пока не уточнял). Там вроде два разъема для расширений, все хватает.
Насчет IP телефонии видимо я поторопился, потому что она не имеет смысла если ее не прикрутить к телефонным станциям офисов. Т.е. здесь уже напрашивается единое адресное пространство и самим девайсом здесь будет выступать станция. В ней или соотв расширении есть сетевой разъем, который нужно будет подключить к маршрутизатору. Т.е. маршрутизатору нужно будет только лишь роутить уже готовые пакеты. 1841 поддерживает (VoIP) pass-through - значит подходит. Т.е. телефония в основном ляжет на телефонные станции.
Обязательно почитаю SECUR/CCSP 641-501, но сейчас мне нужно определиться с железом и закупить до конца фин. года, потом то будет месяца 1.5-2 чтобы спокойно разобраться что и как.
Насчет учета трафика. Мне понадобится считать трафик DMZ и VPN по IP-адресам. Тут ведь софт понадобится. Он платный или реально найти и разобраться самому?
По протоколам "претенденты" OSPF, EIGRP и BGP - они все будут поддерживаются или докупать что-то придется?
Поправьте плиз если что не так

> По протоколам "претенденты" OSPF, EIGRP и BGP - они
> все будут поддерживаются или докупать что-то придется?

Всё будет поддерживаться. И забудьте вы про BGP, не повторяйте чужие глупости.

> Мне понадобится считать трафик DMZ и VPN по IP-адресам.
> Тут ведь софт понадобится. Он платный или реально найти
> и разобраться самому?

Вам нужен коллектор netflow. Они бывают и платные и бесплатные. Смотря под какую платформу, и т.п.

>>>А BGP тут действительно ни при чем. Маршрутизация то нужна внутри сети
>>>(в пределах одной AS).
>>ibgp
>А как вот с энтим быть?
>"Это очевидное правило влечет за собой интересное следствие: чтобы не возникло циклов,
>маршрутизатор не может анонсировать по IBGP маршрут, полученный также по IBGP,
>поскольку нет способов определить зацикливание при объявлении BGP-маршрутов внутри одной АС.
>
>Следствием этого следствия является необходимость полного графа IBGP-соединений между пограничными маршрутизаторами одной
>автономной системы: то есть каждая пара маршрутизаторов должна устанавливать между собой
>соединение по протоколу IBGP. При этом возникает проблема большого числа соединений
>(порядка N2, где N-число BGP-маршрутизаторов в АС). Для уменьшения числа соединений
>применяются различные решения: разбиение АС на конфедерации (подсистемы), применение серверов маршрутной
>информации и др."

так не идет речь что ибгп панацея именно для этого случая.

мой ответ адресован именно
>А BGP тут действительно ни при чем. Маршрутизация то нужна внутри сети (в >пределах одной AS).

>Аргументы есть. Но поскольку у вас вообще возник такой вопрос, они вам, >скорее всего, будут непонятны, извините.
извиняю

>>Другие протоколы (кто-то советовал BGP от большого ума) я вам не советую >даже рассматривать
>аргументы есть?

Аргументы есть. Но поскольку у вас вообще возник такой вопрос, они вам, скорее всего, будут непонятны, извините.

>>Всем привет!
>>Нужен совет по оборудованию. Контора состоит из нескольких филиалов по Москве. Филиалы
>>подсоединены к инету двумя провайдерами для надежности. Нужно закупить Cisco для
>>обеспечения VPN, динамического переключения протоколами маршрутизации в случае отказа основного провайдера,
>>считать трафик по IP-адресам, плюс телефония.
>>Предварительно я остановился на модели 1841 в каждый филиал
>>Девайс стоит вроде 1500 в среднем + возможно понадобятся дополнительные модули и
>>ПО. Закладываюсь на 2000
>>Посоветуйте плиз, все ли правильно, а то облажаться нельзя.
>>Спасибо!
>>Владимир
>
>Выглядит неплохо, за исключением телефонии - недостаточно данных.
>OSPF, в случае отказа, переключит маршруты за несколько минут. EIGRP - за
>примерно минуту. Другие протоколы (кто-то советовал BGP от большого ума) я
>вам не советую даже рассматривать.

Если вы намекаете на меня, то я не советовал а привел пример. И тем более не претендовал на большой ум.

>>Всем привет!
>>Нужен совет по оборудованию. Контора состоит из нескольких филиалов по Москве. Филиалы
>>подсоединены к инету двумя провайдерами для надежности. Нужно закупить Cisco для
>>обеспечения VPN, динамического переключения протоколами маршрутизации в случае отказа основного провайдера,
>>считать трафик по IP-адресам, плюс телефония.
>>Предварительно я остановился на модели 1841 в каждый филиал
>>Девайс стоит вроде 1500 в среднем + возможно понадобятся дополнительные модули и
>>ПО. Закладываюсь на 2000
>>Посоветуйте плиз, все ли правильно, а то облажаться нельзя.
>>Спасибо!
>>Владимир
>
>Выглядит неплохо, за исключением телефонии - недостаточно данных.
>OSPF, в случае отказа, переключит маршруты за несколько минут. EIGRP - за
>примерно минуту. Другие протоколы (кто-то советовал BGP от большого ума) я
>вам не советую даже рассматривать.

вопрос был: динамического переключения протоколами маршрутизации в случае отказа основного провайдера

с вами апстрим оспф поднимает?

>вопрос был: динамического переключения протоколами маршрутизации в случае отказа основного провайдера
>
>с вами апстрим оспф поднимает?

По условию задачи нужно переключать маршруты между VPN туннелями, а не между провайдерами. Как это делается с помощью EIGRP уже написали выше, в случае с OSPF всё ещё проще.