Какой маршрутизатор Cisco выбрать или другие варианты?
Имеем:
— Центральный офис. Сеть до 50 компьютеров с выходом в интернет через прокси. Сеть на Active Directory.
— Несколько удалённых офисов на 3-5 компьютеров с прямым доступом в интернет.
— Почтовый сервер в интернете.
Что хочу:
— Прикупить маршрутизатор Cisco. Помогите с выбором. Или вариант — поставить отдельную машину (или виртуальную на XEN) с *nix (CentOS или FreeBSD?) и использовать iptables и openVPN.
— Подключить удаленные офисы к сети центрального офиса по VPN и завести в AD. Какое оборудование использовать в удаленных офисах (Cisco, мне кажется, для этого дороговато).
— Поставить отдельную машину (или виртуальную на XEN) с *nix (CentOS или FreeBSD?). Установить туда postfix, squid и прочее для прокси-сервера (удаленные офисы тоже должны ходить через прокси-сервер) и почтового сервера. Почему на отдельно машине от «iptables» — потому что и почтовый и прокси-сервер будут использовать синхронизацию с ADом.
— Желательно наиболее дешевые и поддающиеся настройке варианты (из дорогого скорее всего смогу только Cisco выпросить).
Сам я — заядлый Windows-админ. С сетями работал «постольку поскольку», но надо развиваться.
Прошу покритиковать, посоветовать, помочь в выборе. Спасибо!
UPD: Возможно, в будущем, захотим подключить резервный интернет канал, поэтому хотелось бы ДОПОЛНИТЕЛЬНО рассмотреть варианты Cisco с двумя WAN-портами или с возможностью переназначения портов и/или расширения дополнительными модулями.
Посмотрите еще vyatta, в инете много how to на русском. Стоит в продакшене уже несколько лет. Сначала стояла Cisco 2811, но у нее зашумел вентилятор. Снял ее и пока искал замену вентилятору (кто менял то знает, их хрен найдешь) временно на виртуалке поставил vyatta. С тех пор прошло 2 года, Cisco до сих пор в шкафу лежит.
Для резервирования можно поднять еще одну vyatta на железе и настроить active-active конфигурацию c виртуалкой на запасном канале. Кроме этого есть firewall с динамическим обновлением списка сайтов в категориях и тд.
Как вариант cisco 28хх серия. И слоты расширения есть и каналы строить умеет (а уж если серия К9) и eigrp понимает. Вообщем не плохая серия — как раз под ваши нужды. Сам пользуюсь 2801.
В-нулевых: роутер в виртуалке не делается.
Во-первых: раз два входа, устройств должно быть два.
Во-вторых, важно знать какая нагрузка на впн будет, она зависит от пропускной способности канала.
Можно купить б\у Cisco, Juniper.
Если денег нет, то Mikrotik. Он умеет и OpenVPN.
Для настройки лучше попросить спецов, заодно и научитесь, если документацию заставите оформить.
Есть предположение, что адреса раздаются по дхцп роутером. Весь роутинг делает роутер. Иными словами, есть телеком инфраструктура, есть вычислительная инфраструктура, и не надо создавать ситуации, когда сбой одного повлияет на всю систему целиком.
Судя по вопросам, у вас не кластер под виртуалками. Сделайте сетевуху отдельно от серваков. По деньгам выйдет не дороже. Та же пара микротиков будет стоит 20 тысяч рублей, их можно объединить по vrrp. wiki.mikrotik.com/wiki/Manual:Interface/VRRP
Плюс для надежной работы впн можно купить внешний хостинг или, если хотите впн хост в своей сети, то придется купить автономную систему. Про автономную систему можете почитать в википедии. Примерная цена 8 тысяч рублей в год.
К слову, можно будет опустить уровень агрегации, и сразу в роутеры втыкать коммутаторы доступа.
два канала — банально по тому что в роутер должно входить интернет от проавйдера и выходить локальную сеть.
про две физические коробки автор не говорит
Cisco 28xx/35xx в офис, в филиалы Микротики 751G, мы так делаем, не хвораем. Микротиков хватает с лихвой для малого офиса для VPN (с VoIP по нему, в том числе), DHCP, шифрованного Wifi и еще много чего. Не чешется вообще.
Если есть 2008R2 сервер — впн, роутинг, nat на нём по учёткам в AD + впн клиент есть в каждой версии винды.
Если нет — vyatta и linux/bsd на сервере и openvpn на винде на региональных офисах.
Почта — если светится наружу, то и будет доступна вне зависимости от подключения по впн.
PS роутер нормально делается в виртуалке с пробросом двух сетевых — если упадёт гипервизор, то поверьте, будет не до прокси, а если упадёт виртуалка — фря и линукс в минимальной конфигурации весят несколько сотен метров, поднять из бекапа минутное дело. Даже виндовая виртуалка в 30 гигабайт поднимается быстро.
Вообще очень не плоха серия UC для филиалов, не для крупных, а скажем мелких и средних. Там уже и voip и голосовая почта. Единтсвенный их минус eigrp не поддерживают, правда нужно уточнить может уже в новых моделях/ios'х добавили.
В головной офис ISR4321-SEC/K9 (именно SEC) без него VPN не прокинуть. В офисы C881-K9.
Или в голову ASA5512-K8 + лицензия L-ASA5512-SEC-PL в офисы ASA5505-SEC-BUN-K9 Второй вариант более классический.