- Посоветуйте PIX для следующей конфигурации,
 dxer, 10:59 , 27-Ноя-07 (1)>Добрый день. Есть такая задача: центральный офис и 5 в других городах.
>В центральном пользователей до 70, в городах до 30. Хочу поднять
>vpn ipsec для объединения сеток - подбираю оборудование: pix 525 в
>офисе и 515e в городах. Вопрос следующий - потянет ли по
>производительности (вместе они вроде работают?)? Или все же использовать везде 515e?
>Лучше так!
ASA5510 c SSM10 в ЦО
в регионах asa5505 По цене тоже самое, потянут и так как ты хочешь :) можно даже проще в ЦО 515e, и 505 в регионах - ещё дешевле, но меньший функционал в общем целом.
- Посоветуйте PIX для следующей конфигурации, screepah, 11:45 , 27-Ноя-07 (2)
>Лучше так!
>ASA5510 c SSM10 в ЦО
>в регионах asa5505 С ними не работал никогда, PIX конфигурил, а ASA в глаза не видел >По цене тоже самое, потянут и так как ты хочешь :) можно
>даже проще в ЦО 515e, и 505 в регионах - ещё
>дешевле, но меньший функционал в общем целом. Т.е. 525 и 515E тоже пойдет получается... PIX-525-FO-GE-BUN
PIX-515E-FO-BUN оба с VAC+ - то я подобрал, вдруг кто знает? :)
- Посоветуйте PIX для следующей конфигурации, dxer, 12:20 , 27-Ноя-07 (3)
>[оверквотинг удален]
>>По цене тоже самое, потянут и так как ты хочешь :) можно
>>даже проще в ЦО 515e, и 505 в регионах - ещё
>>дешевле, но меньший функционал в общем целом.
>
>Т.е. 525 и 515E тоже пойдет получается...
>
>PIX-525-FO-GE-BUN
>PIX-515E-FO-BUN
>
>оба с VAC+ - то я подобрал, вдруг кто знает? :) Зачем тебе мощный такой зверь 525 и в регионах на 30 человек железку, которая работает на 400-500 хостов?? :) Если приследуешь свои интересы, а не организации - то понимаю :) Зачем тебе VAC - на таком мизерном трафике?
Аса - та же пикса, конфигурировать основной функционал асы так же как и пикса, особенно если версия PixOS 7/8 + некоторые полезные вещи как IDS, SSM, CSM - чего в пиксе нет. Вообщем не парься, бери вот данное железо и не испытаешь трудностей не в конфигурации, не в экспл. данного железа: ASA5510-AIP10-K9 модулем AIP-SSM - в ЦО. - по GPL где-то 7995$ ASA5505-50-BUN-K9 на 50 машин в регионы (если надо UL лицензия ничуть не дороже на неё) - 845$ (неиграниченное кол-во пользователей на 100$ дороже)
ну и вычти с каждой цены 30-35% GPL + свою моржу :) и получаешь готовое решение.
А про линейку PIX - тем более такой мощности как 525 я думаю нет смысла вспоминать, если не распеределенная корп. сеть между ЦО и регионами превышает порог в 100 мегабит/c :)
- Посоветуйте PIX для следующей конфигурации, screepah, 12:34 , 27-Ноя-07 (6)
>ASA5510-AIP10-K9 модулем AIP-SSM - в ЦО. - по GPL где-то 7995$
>
>ASA5505-50-BUN-K9 на 50 машин в регионы (если надо UL лицензия ничуть не
>дороже на неё) - 845$ (неиграниченное кол-во пользователей на 100$ дороже) Спасибо!
- Посоветуйте PIX для следующей конфигурации, dxer, 12:24 , 27-Ноя-07 (4)
>PIX-525-FO-GE-BUN
>PIX-515E-FO-BUN
>оба с VAC+ - то я подобрал, вдруг кто знает? :) Оба верианта из спецификации твоей с Фэйловером (у тебя их везде по два? -а зачем деньги тратить? )+ в каждом из написанных тобой выше есть VAC+.
- Посоветуйте PIX для следующей конфигурации, dxer, 12:30 , 27-Ноя-07 (5)
- Посоветуйте PIX для следующей конфигурации, screepah, 12:36 , 27-Ноя-07 (7)
- Посоветуйте PIX для следующей конфигурации, dxer, 12:42 , 27-Ноя-07 (8)
>[оверквотинг удален]
>>
>>http://cisco.com/en/US/products/hw/vpndevc/ps2030/products_d...
>>
>>У тебя будут скорости подобны тем в IPSec 3des/aes между ЦО и
>>регионами?
>>
>>Не понимаю, зачем такую мощную модель собирать :)
>
>Там просто объемы данных будут крутиться очень большие и требования по шифрованию
>высокие Какой трафик пиковый между офисами будет?
ASA 5510 у меня на одном из предприятии отлично держит 45 мегабит/с 3DES трафика аппаратно суммарно с 40 территориально-распределенными хостами MPLS сети :)
При этом crypto процесс не сьедает больше 18% в пике!
Просто в твоем случае, железки будут простаивать "гоняя воздух" в аппаратной.
- Посоветуйте PIX для следующей конфигурации, screepah, 12:47 , 27-Ноя-07 (9)
>Какой трафик пиковый между офисами будет? Примерный трафик в районе 15-20 мбит/сек в среднем (не пиковое) >ASA 5510 у меня на одном из предприятии отлично держит 45 мегабит/с
>3DES трафика аппаратно суммарно с 40 территориально-распределенными хостами MPLS сети :)
>При этом crypto процесс не сьедает больше 18% в пике!
>Просто в твоем случае, железки будут простаивать "гоняя воздух" в аппаратной. Ого, действительно "гоняя воздух" получится. Ок, спасибо за консультацию!
- Посоветуйте PIX для следующей конфигурации, dxer, 12:54 , 27-Ноя-07 (10)
>>Какой трафик пиковый между офисами будет?
>
>Примерный трафик в районе 15-20 мбит/сек в среднем (не пиковое)
>
>>ASA 5510 у меня на одном из предприятии отлично держит 45 мегабит/с
>>3DES трафика аппаратно суммарно с 40 территориально-распределенными хостами MPLS сети :)
>>При этом crypto процесс не сьедает больше 18% в пике!
>>Просто в твоем случае, железки будут простаивать "гоняя воздух" в аппаратной.
>
>Ого, действительно "гоняя воздух" получится. Ок, спасибо за консультацию! почитай на cisco.com возможности тех или иных Security Appliance-девайсов. Там немного завышены показатели, ну в среднем оценить можно, что тебе необходимо. У меня 525 в одной московской домашней сетке 8000 юзерей натит - вот это для неё хорошая нагрузка под 40% в вечерние часы, с учётом любителей торрентов на анлимитед канале.
- Посоветуйте PIX для следующей конфигурации, screepah, 12:57 , 27-Ноя-07 (11)
Почитаю, нужно матчасть подучить по циске.>У меня 525 в одной московской домашней сетке 8000 юзерей натит -
>вот это для неё хорошая нагрузка под 40% в вечерние часы,
>с учётом любителей торрентов на анлимитед канале. Ясно, тогда однозначно 525 слишком мощная будет.
- Посоветуйте PIX для следующей конфигурации, www.bc.ru, 15:07 , 28-Ноя-07 (12)
>Почитаю, нужно матчасть подучить по циске. 1) PIX - динозавры, через пару месяцев снимаются с производства
2) ASA - пхорошие железки, но Cisco не позиционирует их как устройтсва site-to-site VPN.
Для этих целей служат именно маршрутизаторы. Например, взять ту же полезную функцию DMVPN -- ее умеют только маршрутизаторы. Если еще не определились с оборудованием - звоните\пишите, подберем оптимальное решение исходя из тех сервисов, которые Вы ожидаете от сети. Дмитрий Перов
(495) 937-1606, www.bc.ru
- Посоветуйте PIX для следующей конфигурации, dxer, 15:29 , 28-Ноя-07 (13)
>[оверквотинг удален]
>2) ASA - пхорошие железки, но Cisco не позиционирует их как устройтсва
>site-to-site VPN.
>Для этих целей служат именно маршрутизаторы. Например, взять ту же полезную функцию
>DMVPN -- ее умеют только маршрутизаторы.
>
>Если еще не определились с оборудованием - звоните\пишите, подберем оптимальное решение исходя
>из тех сервисов, которые Вы ожидаете от сети.
>
>Дмитрий Перов
>(495) 937-1606, www.bc.ru Вот это ненадо. Семейство Cisco Security Appliances позиционирует как Site-to-Site/Remote access/SSL vpn концентратора... Да она не умеет pptp/l2tp... Но в плане терминатора Сайт-ту-сайт IPSec - лучшее решение. И потом у маршрутизаторов другие задачи и он абсолютно для других целей создан.
- Посоветуйте PIX для следующей конфигурации, Олег, 14:24 , 29-Ноя-07 (14)
>Вот это ненадо. Семейство Cisco Security Appliances позиционирует как Site-to-Site/Remote access/SSL vpn
>концентратора... Да она не умеет pptp/l2tp... Но в плане терминатора Сайт-ту-сайт
>IPSec - лучшее решение. И потом у маршрутизаторов другие задачи и
>он абсолютно для других целей создан. Где можно почитать, что и как компания Cisco позиционирует?
- Посоветуйте PIX для следующей конфигурации, dxer, 14:51 , 29-Ноя-07 (15)
>
>>Вот это ненадо. Семейство Cisco Security Appliances позиционирует как Site-to-Site/Remote access/SSL vpn
>>концентратора... Да она не умеет pptp/l2tp... Но в плане терминатора Сайт-ту-сайт
>>IPSec - лучшее решение. И потом у маршрутизаторов другие задачи и
>>он абсолютно для других целей создан.
>
>Где можно почитать, что и как компания Cisco позиционирует? www.cisco.com клацайте Product & services.
и ходите по всей линейке продктор изучая data sheet.
- Посоветуйте PIX для следующей конфигурации, www.bc.ru Дмитрий Перов, 16:35 , 29-Ноя-07 (16)
>Вот это ненадо. Семейство Cisco Security Appliances позиционирует как Site-to-Site/Remote access/SSL vpn
>концентратора... Да она не умеет pptp/l2tp... Но в плане терминатора Сайт-ту-сайт
>IPSec - лучшее решение. И потом у маршрутизаторов другие задачи и
>он абсолютно для других целей создан. Dxer, читайте циску, прежде чем спорить:
http://www.cisco.com/en/US/netsol/ns340/ns394/ns171/ns142/ne... Для терминации серьезных site-to-site VPN позиционируются именно маршрутизаторы.
- Посоветуйте PIX для следующей конфигурации, dxer, 17:08 , 29-Ноя-07 (17)
>>Вот это ненадо. Семейство Cisco Security Appliances позиционирует как Site-to-Site/Remote access/SSL vpn
>>концентратора... Да она не умеет pptp/l2tp... Но в плане терминатора Сайт-ту-сайт
>>IPSec - лучшее решение. И потом у маршрутизаторов другие задачи и
>>он абсолютно для других целей создан.
>
>Dxer, читайте циску, прежде чем спорить:
>http://www.cisco.com/en/US/netsol/ns340/ns394/ns171/ns142/ne...
>
>Для терминации серьезных site-to-site VPN позиционируются именно маршрутизаторы. мне пора CCIE заканчивать :o) и переходить на "серьезные" VPN...
- Посоветуйте PIX для следующей конфигурации, mt, 23:54 , 29-Ноя-07 (18)
>[оверквотинг удален]
>>>концентратора... Да она не умеет pptp/l2tp... Но в плане терминатора Сайт-ту-сайт
>>>IPSec - лучшее решение. И потом у маршрутизаторов другие задачи и
>>>он абсолютно для других целей создан.
>>
>>Dxer, читайте циску, прежде чем спорить:
>>http://www.cisco.com/en/US/netsol/ns340/ns394/ns171/ns142/ne...
>>
>>Для терминации серьезных site-to-site VPN позиционируются именно маршрутизаторы.
>
>мне пора CCIE заканчивать :o) и переходить на "серьезные" VPN... У маршрутизатора как раз эти задачи :) решать что куда направить и как (т.е. инкапсултровать, GRE, IPSec, *TP, ...). В качестве CPE или border PIX (он же ASA) решение не то что бы плохое - негибкое. GRE нет, PBR нет, OSPF так себе, ничего кроме ethernet нет. Другое дело если в филиале бордер уже на чем-то организован и нужно протащить тунель за него - да, будет хороший фаерволл и vpn на нем... А вообще у PIX/ASA слишком много дизайн-ограничений что бы использовать их слишком близко к границе сети - не для этого они...
|
Версия для распечатки
Посоветуйте PIX для следующей конфигурации, 
