На каких Cisco можно поднять постоянный VPN?

Question

[Вася Пупкин]

Есть два удаленных офис, есть канал 100 мбит, есть два белых IP по технологии IPoE. Нужно поднять постоянное VPN между двумя офисами. Микротик не рассматривается, потому что в будущем все будет на Cisco. Подскажите, кто уже имел с ними дело, на каких моделях можно будет поднять постоянный канал между ними?

Comments

[hint000]

Примерно на любых, которые являются маршрутизаторами.
Я допускаю, что лет 30 назад могло быть не на любых.

[Дмитрий Шицков]

Для vpn может потребоваться дополнительное лицензирование, уточняйте у дилера

[Вася Пупкин]

Дмитрий Шицков, т.е. банально взять какие нибудь Cisco 1921 и к ним доп. лицензию ?

Answer 1

[iddqda]

тут два варианта: маршрутизатор или файрвол
дальше вам решать что вам больше подходит под ваши задачи
1. минимальный рухтер, который протащит 100 метров - ISR4331/K9
правда надо понимать что цискина производительность считается как сумма входящего трафика по всем интерфейсам. т.е. если вам надо загрузить 100 метров в обе стороны то по цискиной математике это уже 200 метров
тут либо брать модель 4351 либо докупать к 4331 perfomance license на 300М (оно right to use так что если совесть позволит можно сэкономить)
кроме IPSec получите стандартные фишки маршрутизации: динамику, PBR, VRF, QoS, итп
плюс к этому вся ISR серия умеет в телефонию

2. файрвола хватит самого простого FPR1010-NGFW-K9
он протащит теже 300 метров как 4331 с лицензией
при этом дополнительно получите стейтфул файрвол, IPS и прочие секурити фишки если они нужны (большинство по подписке)

з.ы. маршрутизатор работает под IOS-XE и та же OS используется на всех коммутаторах каталист (это к вопросу о в будущем все на циско)
а вот в файрволах все не так
там ASA или FXOS

Comments

[Вася Пупкин]

Спасибо, погляжу.
По сути firewall не нужен будет. На маршрутизаторе же будет ACL, где я смогу настроить подключение только с одного белого IP?
Второй офис, там будет стоять пару железок, на них будут сливаться данные с первого офиса. Во втором офисе никого по факту не будет и исходящего трафика там будет по минимуму. Серфить инет там никто не будет. Я хочу просто поднять соединение с первой циской и на второй сделать ACL, запрет на все, кроме трафика с первого белого IP. Так же можно будет сделать или все равно надо будет смотреть в сторону ASA ?

[iddqda]

да так можно конечно. аса тебе не нужна
и если второй офис чисто для бекапов то может и циска никакая не нужна там
да и вобще может и офис не нужен
взять нужные ресурсы в любом коммерческом цоде
а там уж впн поднять либо с одной из пары железок либо средствами облачного провайдера

Answer 2

[ky0]

Покупать целую циску ради одного впна как-то странно. Думаю, что сначала нужно набросать план "как будет потом" и вписать железку, которая будет терминировать впн, в него. Может, органичнее будет и с какого-нибудь линукса поднять туннель, например. А так-то 100 мегабит может и EOL ASA5510, не говоря уж о более свежих.