Аппаратное шифрование трафика?

Question

[Дмитрий]

Необходимо соединить два офиса в одну локальную сеть через провайдера средствами l2VPN.
с обеих сторон поставить две железки которые будут шифровать трафик.
Подскажите какие железки лучше использовать и как это вообще правильно организовать.
Надо чтобы они стабильно держали 1 гигабит.

Comments

[Дмитрий Шицков]

Вы бы бюджеты озвучили. Можно бюджетнее, а можно и популярнее.

[Дмитрий]

Рассматриваются все варианты

[MinamotoSoft]

Гигабит не обещаю но несколько сот мбит на процессоре i3-5-7 с аппаратной поддержкой AES + "железный" сетевой адаптер в связке с m0n0.ch или pfsense.com по ipsec - будет держать. (в продакшине живет такая связка больше 4-х лет, пиковый трафик около 250мбит, больше просто нечем нагрузить). Ценник такого решения несколько сотен баксов на точку.
Думаю, для чистого гигабита понадобятся сиськи/экстримы с ценником в неколько десятков кБаксов.

[Евгений]

MinamotoSoft: а померяйте iperf3 сколько в пике оно выдержит, интересно

[MinamotoSoft]

Евгений: Оперативно - не обещаю. С одной стороны канал притушили до 200мбит (бюджет мать его). С начала нового месяца должны вернуть гбит - тогда можно и померять.

[Евгений]

MinamotoSoft: отлично, а я померяю два CCR по гигабиту сколько потянут IPsec

Answer 1

[Василий Печерский]

Fortigate Начиная с 60, но см исключения тут.
У вышеперечисленных устройств имеется отдельный пакет процессор, поэтому даже перегруженный Центральный процессор (антивирус, Url Filtering) не роняет основные функции. Я не знаю как цены у Cisco - но на подписку/гарантию железа у Фортинет они демократичные.

Если цена не в бюджете - spotifi предлагает подходящий вариант.

Дмитрий Шицков - после того, как я познал дзен настроив ASA - никому его не рекомендую.
pfsense, Fortigate, CheckPoint - хотя бы логичные в настройке. У ASA логика очень интересная ..... Я её так и не постиг.

Comments

[Дмитрий]

да я вот почти определился с Fortigate 80 серии...

[Василий Печерский]

Fortigate 80 - очень старый и будет снят с производства.
У меня таких в хозяйстве хватает - нареканий нет.... Но "Надо чтобы они стабильно держали 1 гигабит." - см таблицу. Он гигабит IPSec не держит.
См Fortigate 90.

[spotifi]

По цене - не так.
Для дешевых моделей - компьютер не конкурент.
А вот если требуется шифрование и быстро - компьютер оходится дешевле.

[Дмитрий]

Василий Печерский: хм... я этого не знал... огромное спасибо за наводку.. а то мне ребята одни почти напарили 80ую модель.

Answer 2

[spotifi]

Шифрование, вообще говоря, довольно ресурсоемкая процедура.
Небольшие нагрузки потянет умно-конфигурируемый роутер типа Микротик.

Но его процессор протухает при больших нагрузках.

Специализированные высокопроизводительные решения для шифрования - очень дороги.

Какая нибудь недорогой компактный компьютер с двумя сетевыми картами и с операционной системой pfSense - лучший вариант из простых. Это такой дистрибутив FreeBSD, специализированный для работы как шлюз, имеет веб-управление, управляется по сети, монитор ему не нужен (ну разве что при первоначальной установке с монитором попроще будет).

Comments

[Евгений]

Микротик CCR - гигабит и не протухнет

[spotifi]

Евгений:
По цене около полтинника тысяч рублей?
Это только если позарез нужнен именно компатный мало жрущий электричества аппарат с RouterOS.

За такие деньги можно разгуляться и на компактный полноценный компьютер, которые будет и дешевле и быстрее.

[Евгений]

spotifi: ну там много всякого, не только компактность и маложручесть. Но от задач зависит, да.

[spotifi]

Евгений: Ну да, RouterOS с её - "все из коробки". Это бонус важный. Для данной же задачи - нет.

Answer 3

[Сайпутдин Омаров]

IPSec на двух pfsense

Comments

[Сайпутдин Омаров]

на двух серверах с нормальными сетевухами серверными, делов настроек на пару часов. уложится можно дешевле чем на Cisco

Answer 4

[Дмитрий]

Пока только нашел оборудование Fortinet, говорят справляется...
Но его основная ниша это файрволл

Comments

[Дмитрий Шицков]

Cisco ASR 1000 серии скорее всего удовлетворит ваши требования

Answer 5

[Diman89]

может попросить прова сделать ваш L2VPN в их внутренней сети (серой), немаршрутизируемой в мир?

Answer 6

[Евгений]

Mirotik Cloud Core Router, если бюджет позволит. Это будет явно дешевле двух серверов, CCR серия ощутимо стабильнее (главное не обновлять прошивку сразу после выхода, а то у них бывает).

Comments

[Дмитрий]

Мкротик вжизни не вытащит мне гигабит под IPSec

[Евгений]

Дмитрий: RB750 да, а CCR это немного про другое - 36 CPU. Проверю по гигабиту сколько он IPsec потнянет (есть 2 и канал)

[Дмитрий]

Евгений: У меня стоит как контроллер для беспроводных точек, впн с шифрованием больше 300 М.бит не тянет

Answer 7

[TOParh]

Если вам нужно хорошее и честное шифрование без глюков в работе можете раскошелиться на CheckPoint у них есть готовые железки или виртуалки как вам больше подойдет. Можете посмотреть в строну 2200 модели И если не секрет что же за такой провайдер, который вам даёт гигабиный VPN-канал?

Comments

[Дмитрий]

Спасибо за совет, к сожалению не могу раскрывать подобной информации.

[Владислав]

А что такого удивительного в 1 Гбит L2 VPN ?) Если есть свободная ёмкость с радостью даём такие каналы)