Juniper или Cisco?

Question

[foxnet]

В нашей компании возникла необходимость установить L3 свитч и фаирволы в основном офисе и филиалах.
Планировали устанавливать циски, пока не прислали предложение по juniper. Я их всегда считал оборудованием высокого класса и дороже, чем cisco этого же класса. И оказалось, что Juniper совсем даже не так дорого обходится.
Например, Cisco WS-C3560X-24T-S мне насчитали в 3010$, в то время как juniper EX3200-24T стоит уже 2100$.
Примерно такая же ситуация с фаирволлами. Juniper выходит подешевле и к тому же с большей заявленной производительностью.
Так что же взять? С cisco достаточно знаком, а специфика конфигурирования Juniper совсем не знакома. По надежности тоже нет совсем никаких мнений. Только субъективное. Но есть ощущение, что Juniper очень надежное оборудование, но опять же, не подтвержденное фактами и опытом.
Может быть кто-нибудь работает с juniper? Кто что может сказать про них?

Answer 1

[alex stephen]

Answer 2

[nick5]

Похожая ситуация, знаком с Cisco. А на работе стоит один жалкий маршрутизатор-фареволл Juniper SRX-100. Пришлось учиться и разбираться в нем. Скажу по своему опыту что Cisco IOS и JunOS достаточно похожи, нужно понять саму структуру и логику JunOS и всё пойдет как по маслу. Есть хороший видео курс на флеше на русском языке, он вам идеально подходит, так как показаны примеры как настраивается «что-то» в Cisco IOS, а как тоже самое в JunOS. Если хотите сэкономить — берите Juniper, вы получите хороший продукт, по цене меньше чем Cisco.

Сам видео курс — https://www.juniper.net/us/en/training/technical_education/jsl_international_editions/russian/course_start.html

Comments

[foxnet]

Спасибо, хорошая информация.

Answer 3

[Михаил]

Вопрос пахнет троллингом. Что лучше — христианство или буддизм? не в обиду будет сказано, но исходя из вопроса, автор не имеет опыта работы ни с одним из вендоров, поэтому можно советовать что угодно, вплоть до PC с несколькими сетевухами.

Скажите, зачем именно фаерволлы? У Вас каналы Интернет в филиалах больше 10 мб/с? Вы планируете использовать IPS/IDS? У Вас будет выделенная DMZ для серверов? У Вас филиалов меньше 5? Если на половину вопросов ответ «нет», то берите маршрутизатор (я работаю с Cisco, поэтому рекомендую ее :)- )

Исходя из каких соображений Вам была предложена 3560? Почему не WS-C3750G-24TS, которая, ИМХО, круче в качестве «ядра» для небольшой конторы?

Если в филиалах не более 20 человек, берите одну Cisco 861 (K9), если более — Cisco 1921. Поднимите на ней и ACL для защиты от Интернета и DMVPN в ЦО. Поднимите на ней OSPF с ЦО.

В ЦО как однорукий роутер поставьте Cisco 2921, на ядро сети 3750, в качестве внешнего брандмауэра — Cisco ASA 5505 и живите счастливо — будет красиво и удобно.

Вот таблица производительности по IPSec — anticisco.ru/pubs/ISR_G2_Perfomance.pdf

Answer 4

[JDima]

В нашей компании возникла необходимость установить L3 свитч и фаирволы в основном офисе и филиалах.

Какой требуется функционал?

А так да, жуниперы хорошие железки. Но отталкиваться все же надо не от «цена за порт», а от конкретных задач.

Comments

[foxnet]

Наши задачи выполнит и cisco и juniper. Для L3: статическая маршрутизация, для фаирволов — IPsec 3DES из филиалов в основной офис и NAT.
На сколько мне дал понять поставщик, эти задачи вполне по силам оборудованию и по производительности. Тогда встают вопросы: сложность настройки, надежность, цена.

[JDima]

Статическая маршрутизация — это ужасно. Циска делает DMVPN, исключительно простое и удобное решение на базе IPSec, фактически являющееся multipoint GRE с обвязкой в виде NHRP и позволяющее среди прочего гонять поверх себя динамику. Статические маршруты не требуются. У Juniper есть что-то похожее.
И так ли нужны именно L3 свитчи в филиалы? Ради интереса расскажите, почему решили именно так. Ведь L2 дешевле.

[foxnet]

Похоже вы просто меня не так поняли. L3 нужен только в основной офис, для intervlan маршрутизации. В филиалы нужны только фаирволы. Хотели изначально ставить маршрутизаторы, но поняли, что ставить ASA или SRX логичнее.

[JDima]

Хотели изначально ставить маршрутизаторы, но поняли, что ставить ASA или SRX логичнее.

Ни разу не логичнее.
1) ASA/SRX поддерживают лишь классическую реализацию IPSec VPN, донельзя убогую. IOS роутеры умеют DMVPN и GETVPN (ну мало ли). Netscreen железки умеют AC VPN, похожий на DMVPN. Что это такое? Это — динамическая маршрутизация поверх IPSec любым удобным протоколом, автоматическое создание прямых динамических туннелей между филиалами без малейших настроек по мере надобности (то есть трафик между филиалами минует центр), легкое подключение новых филиалов без настроек даже на хабах, продвинутый QoS (хаб будет знать от спока, какая у него ширина канала, и в соответствии с этим настраивать очереди) и много чего другого.
2) Голос. Цискины роутеры при наличии цискиной голосовой инфраструктуры могут много чего интересного, включая транскодирование, проигрывание MOH, перерегистрацию на себя местных телефонов при падении всех каналов (с сохранением номеров и примерных прав дозвона, предоставляя выход в город через себя по любым транспортам от ISDN и FXO до SIP). Ну а даже без CUCM инфраструктуры они являются неплохими IP PBX с фичами вплоть до IVR.
В общем, у роутеров масса преимуществ.

И кстати, ASA 5505 и SRX-100 стоят одинаково. SRX быстрее в базовой маршрутизации (ну кому нужно 700мб/с в мелком филиале?), а ASA — в шифровании IPSec. Хотя возможности обоих с лихвой перекрывают запросы любого мелкого филиала.

[foxnet]

Боюсь, что нам как раз классическая реализация и нужна, нужен просто туннель 3DES. Роутеры по схожей цене — это серия 2900, у них производительность шифрованного трафика, на сколько я понял, достаточно низкая.
поддержка голосовых функций в данный момент и в ближайший просто не актуальна.

[JDima]

Зачем 3DES, когда AES быстрее при сравнимой или более высокой надежности?
И нет, роутеры по схожей цене — это 880-е и 890-е. Смотря какой ширины каналы.

И еще вспомнил: habrahabr.ru/post/144218/#comment_4948691

[foxnet]

И вы советуете 800 для IPSEC вместо ASA?

[JDima]

Если производительности 800-х хватит — да, IPSec лучше поднимать на роутерах, ибо там возможны более красивые его реализации. Ключевой момент именно ширина каналов.
Я — сторонник того, чтобы сразу заложить красивую архитектуру. Скажем, сейчас у вас 5 филиалов, преимущества DMVPN не так очевидны. Через год будет 50, и вот тут уже классический IPSec начнет вызывать некоторую ненависть.

[TiFFolk]

Все хорошо, кроме одного — оборудование Cisco ввозится в Россию без поддержки шифрования. Поэтому можно не задумываться о IPSec+DMVPN, 3DES и т.п.

Поэтому обычно заказчиков полностью устраивает Juniper SRX, более универсальная железка чем ISR или ASA. Конечно, DMVPN нету, но это не так критично при статическом составе филиалов, небольшое неудобство при первой настройке. Может быть подойдет и GET VPN на SRX, в редких случаях. Так в целом настроите, поставите и забудите.

Второй вариант это Huawei, у них интересное железо, поддерживает голос, есть аналог DMVPN. Наших заказчиков устраивает полностью. Вам в филиал может подойдти что-то из этого: http://enterprise.huawei.com/en/products/network/router/ar-g3/en_ar150_ar200.htm

[JDima]

оборудование Cisco ввозится в Россию без поддержки шифрования. Поэтому можно не задумываться о IPSec+DMVPN, 3DES и т.п.

Мы получаем железки с K9, с благословения ФСБ. Причем даже ГОСТом шифроваться не обязаны.

Вам в филиал может подойдти что-то из этого:

Мне говорите?
Что-то я сомневаюсь, что подойдет :)
1) Поддержка цискиного SRST.
2) Возможность воткнуть поток Е1. Не везде есть SIP.
3) Поддержка цискиного EIGRP (надеюсь, нет возражений, что для топологии multihub&spoke ничего лучше не придумали?)
4) Поддержка цискиного DMVPN (7200-е с VSA менять не собираемся)
5) Поддержка DMVPN phase 3 (филиалов много сотен)

Juniper SRX, более универсальная железка чем ISR или ASA

Любопытства ради — чем же они функциональнее ISRов?
Вроде умеют кластеризоваться. Еще?

[foxnet]

Это все оговорено. Поставщик утверждает, что все опции шифрования включаются при собственноручной активации лицензии на оборудовании. Ввозится то оно да, без шифрования. Что cisco, что juniper.

Answer 5

[Kasatka23]

У меня есть сертификаты и по джуниперу и по циске. Скажу честно Джунос лучше для ядра сети и уровня агрегации в провайдерской сети. Так как лучше реализован mpls по сравнению с Cisco и имеется пропроетарный протокол L2VPN Kompella,также цена карточек более дешевая чем у циски. А вот синтаксис и в целом параметр management в разы лучше чем у Cisco.

Comments

[Kasatka23]

Иван Кузнецов: У Циски сложнее вопросы и баллов больше требуют. В Джунипере нету практических вопросов. В то же время дампов по джуносу не найдешь

Answer 6

[rgaliull]

возможно, ответ будет немного не в тему, но рекомендую посмотреть на китайцев типа huawei.
Alliedtelesys крайне хороши.
А так… давите джунов на скидки… процентов 30% — как нефиг делать… особенно, если узнают, что цискари просели. Примените челночную дипломатию.

Comments

[foxnet]

В сторону китайцев как-то боязно смотреть.
А чем вы Allied считаете хорошим? У нас стоит много L2 свитчей от них, не могу сказать ничего плохого, но и хорошего тоже. Управление не очень нравится.
Скидки и так неплохие. Что по cisco, что по Juniper предлагают больше 40% скидки от GPL.

Answer 7

[rgaliull]

согласен, по Alliedtelesys переборщил с хвалебами…
Позовите хуавей, послушайте что предложат… может понравится… А если не понравится, продавите циску. Джун — больше операторский класс, а оборудование начального уровня для них не основной рынок, поэтому выбрал бы циску.

Answer 8

[Николай Турнавиотов]

не знаю, как сейчас, но в бытностью мою работы в одной крупной конторе 3560 там тоже внутренним «роутингом» (каким — за давностью лет не скажу, тогда циски вообще не знал) занималась. Так вот по отзывам моих знающих коллег — на 3560 роутинг грустненький был, пришлось менять. Может там сейчас что и поправили. но на моей текущей работе с 3560 пришлось немного повозиться, пока понял, что ей нужен маршрут по умолчанию, для того чтобы она могла достукиваться куда угодно из менеджмент влана.

Comments

[Николай Турнавиотов]

в отличие от 29xx коммутаторов

[JDima]

по отзывам моих знающих коллег — на 3560 роутинг грустненький был

А именно?
По-моему, с роутингом там все как раз хорошо. Правда, не слишком функционально. Сабинтерфейсов нет, MPLS нет и еще по мелочи. Тем не менее, под большинство задач она подойдет.

на моей текущей работе с 3560 пришлось немного повозиться, пока понял, что ей нужен маршрут по умолчанию, для того чтобы она могла достукиваться куда угодно из менеджмент влана.

Тут можно сказать «RTFM». Ну и здравый смысл как бы :)
Правда, закономерный вопрос: на кой черт брать L3 роутер и не поднимать на нем человеческую маршрутизацию?

в отличие от 29xx коммутаторов

Что значит «в отличие»? 29-е — только L2. И им тем более надо выдавать дефолтный маршрут.

[Николай Турнавиотов]

jdima — вот, Вы правильно сказали — малофункционально.
на кой чёрт брать — что мне дали, с тем я и работаю.
про последний пункт — под руками нет железок, посему конфиги не скажу, а так — на 29хх настройка у меня не вызвала никаких проблем, в отличие от 3560, какую-то непонятную маршрутизацию с которых пришлось убирать.

[JDima]

Вы правильно сказали — малофункционально.

Но его никто никогда не объявлял core свитчем. Кто взял под ядро — сам дурак. А для routed access железка превосходна.
Автору именно routed access и нужен. Даже без динамики. Честно говоря, в этом случае 3560-й — перебор, можно остановится на каком-нибудь бюджетном HPшном хламе — у них было что-то из L3 свитчей, способное иметь 16 статических маршрутов, но модели не помню.

на 29хх настройка у меня не вызвала никаких проблем, в отличие от 3560, какую-то непонятную маршрутизацию с которых пришлось убирать.

А это уже вопрос знания элементарнейшей матчасти ;)
На любых L3 свитчах DGW объявляется «ip default-gateway X.X.X.X» при отсутствии команды «ip routing» либо «ip route 0.0.0.0 0.0.0.0 X.X.X.X» при наличии.
Но дальше — больше. Вы убрали «ip routing» и превратили L3 свитч в L2 свитч. Так нахрена вообще задействовать под это дело 3560-й?

Answer 9

[strib]

Файеры у Juniper мне нравятся больше. Может быть потому-что я с ними и работал в основном.
В реальности на одном из проектов замечательно сосущесвтуют Cisco 3560 и Juniper ssg3xx…

Но на этих 2х вендорах свет клином не сошелся — посмтрите FortiGate, для филиалов их с головой хватит.

Comments

[foxnet]

И так зоопарк получается)
Своим решением по поводу вендора хотелось бы наметить общую тенденцию выбора оборудования в будущем.
Сейчас используются allied и hp, с ними мне не очень нравится работать.

[strib]

Если не зоопарк — то vendor-lock )
Если время позволяет, то почему бы не попросить железки на тест и не сравнить их? Но в реальности оба вендора полностью покроют Ваши нужды.
И да, субъективно и по памяти, т.к. статистика сбоев мне недоступна уже, файеры Juniper доставляли меньше проблем чем какие-либо другие.

Answer 10

[foxnet]

Это ваш ответ троллингом пахнет. Если вы считаете этих производителей одинаковыми по качеству, то так и напишите. С juniper не приходилось общаться совсем, только видел, что у операторов ставят и в дата-центрах. По этому спрашиваю мнения. Может быть оборудование для филиалов у них полное говно?
Зачем фаирволы? Они более производительны в ipsec, трафик планируется заметно больше, чем 10Мб/с. Это основное. Филиалов тоже больше, чем 5.
Вопрос цены, кстати, не стоит отодвигать на последнее место.

А какой смысл в 3750? В ближайшее время не планируется стэкировать коммутаторы, а стоимость 3750 заметно выше.

Comments

[Михаил]

Нет, вопрос не в качестве, а в том, с чем Вы знакомы больше. У Zyxel тоже есть модели, поддерживающие IPSec — например Zywall 2+ (старый, снят с производства) или Zywall 35, у которого есть аналог DMVPN. Я даже знаю сеть, полностью построенную на этих устройствах (только коммутаторы 3com).

По поводу МСЭ Cisco ASA у меня лично неоднозначные впечатления — например, столкнулся с тем, что 5520 выходит в полку по CPU, на трафике всего в 100 мб/с по процессу «Dispatch Unit» и путей решения этой проблемы я пока не нашел. Но при этом самые благоприятные впечатления от CheckPoint, общаться с которым начал еще в 2004 году.

Роутер даст Вам намного больше гибкости в конфигурации, это не один я Вам говорю.

Answer 11

[kurok]

Работаю с Джуном 10 лет, задачи конечно без войса. Нареканий нет.
По цена производительность — конкурентов мало — это касается сети типа провайдерской или хостинга. Если хотите баловаться войсом то циско вне конкуренции — к сожалению он стал стандартом де-факто для подключения к городским сетям или к передаче голосового траффика за бугор.

Answer 12

[arctic-fox]

Работаю с Juniper 2 года, в сети бегает в т.ч. и голос.
Парк от NetScreen NS-5 до SRX-650 и EX2200-4200.
Физические интерфейсы только Ethernet (E,FE,GE).
Основным плюсом для меня оказался очень удобный CLI, гораздо удобнее чем cisco и фичи Junos Automation.
EX2200/3200 вполне подходят для использования в роли маршрутизаторов со статическими маршрутами, на EX3200 уже в базе доступен OSPF, но потребуется лицензия на BGP.
Сетевые экраны SSG-5 (EOS) будут весьма полезными если консоль вызывает отторжение, IPsec VPN они поддерживвают нормально, в нормальных условиях филиалы (20 человек в филиале, 4 туннеля, 2 WAN) загружены на 20% CPU и около 50% памяти (SSG5-SB).
SRX100 сейчас нормально разруливает филиал с 50-100 сотрудниками в нагрузке около 50% по памяти и также около 20% по CPU.
В сети нормально бегает голос. На ранних версиях Junos был баг с максимальной длинной UDP датаграм - замечено на прохождении DNS запросов.
Голосовая сеть прописана в [Ethernet-switching-options voip], заюз LLDP-med и CoS.
Со временем немного надоело отсутствие возможности быстро "передёрнуть" интерфейс.

ОЧЕНЬ важный аспект: Junos не имеет встроенного L2TP/PPTP клиента, что может отсечь возможность подключения к некоторым провайдерам, хотя для этого есть workaround в виде подключения SRX через SOHO маршрутизатор.

За cisco сказать ничего не могу, но разве что её язык конфигурирования менее удобен

Ах да, у Juniper очень удобная библиотека и не нужно забывать про форум.

Comments

[foxnet]

В итоге мы ушли в Huawei. Также всем доволен, CLI великолепен, производительность высокая :)

Answer 13

[Байциско Байциско]

Можно у нас купить бу или ref Сisco и не думать. Ценник на бу Cisco, Juniper будет ниже гораздо. www.buycisco.ru
Касательно Cisco или Juniper. Я как поставщик могу сказать что 70-80% покупают Cisco и всего 20-30% Juniper.

Цены у нас к примеру Juniper EX3200-24T бу - 780 Euro
Cisco WS-C3560X-24T-S бу - 1200 Euro

Answer 14

[PikachU_01]

Друзья! Неожиданно для себя столкнулся с серьёзной проблемой. Вышел из строя маршрутизатор Juniper. Компания Juniper Networks, при условии того, что платим колоссальные деньги на сервисный контракт («Next business day”), условие которого подразумевает замену оборудования производителем в ближайшие сроки, не делает абсолютно ничего, кроме как отгрузили роутер со склада. Ждём уже более 10 дней, но результата нет! Устройство, вышедшее из строя ключевое для организации регионального уровня и быстро заменить на что-то другое не получится. Вот и подумайте, стоит ли тратить деньги на приобретение сервисного обслуживания Juniper? Или все таки выбрать вариант с другим производителем, которые уважают своего клиента? Кто-то вообще сталкивался с этим, может мы такие одни? Сидим, больше недели ждём, сколько ещё ждать? Как у других вендоров это бывает? Так же забивают?