CISCO ASA 5510 или Allied AT-AR-770S

Question

[sidisko]

Прошу помощи зала, как говорится, в выборе, указанном в заголовке.
Вводные:
Имеется офис на 200 машин, 2 интернет канала на 100Мбит каждый.
Канал 1 используется для выхода в инет средствами freebsd+pf (2 идентичных машины с включенным CARP для отказоустойчивости, так как сервера в непрерывной работе с 2004 года. Пора бы уже апгрейд провести, и заодно снизить энергопотребление)
Канал 2 для внешних серверов (99,999% ftp-data) (для обмена видеоматериалами)
Задача:
Удалить из инфраструктуры freebsd машины.
Свести оба внешних канала в одно устройство дабы реализовать failover на случай падения одного из каналов.
Попутно организовать минимальный уровень защиты. (Сейчас это опять же делает BSD с помощью pf)

Что не устраивает в ASA — наличие гигабитных портов резко повышает стоимость. Не совсем понятна возможность реализации failover подключений. Дефолтный вариант железки ограничен 10-ю VLAN ( в моем случае по всей сети используется 26, до машин выходящих наружу доходит только 5, но нет гарантий что оно так и останется). И по старой памяти: без подписки фиг получишь обновления операционки. Может сейчас ситуация иная, просто со времен 36-х серий я циски как-то разлюбил.

Что не устраивает в Аллиеде: в первую очередь, нераспространенность среди русскоговорящих, отсюда скудность мануалов(на русском языке разумеется). (С другой стороны в инфраструктуре уже имеются их железки, и в целом командная строка cisco-style.). А больше собственно в минусы мне нечего записать.

В общем, как всегда все упирается в деньги, под мои задачи на мой взгляд подходят обе железки, только с разницей в 2к уе в цене.

Может у Вас есть иная точка зрения? Прошу комментировать аргументировано.

Answer 1

[Ilya Evseev]

Я бы смотрел в сторону либо supermicro.nl/products/system/1U/5017/SYS-5017A-EP.cfm + Linux/FreeBSD, либо routerboard.com/CCR1036-12G-4S

Answer 2

[Wott]

Я не вижу смысла менять более стабильное решение на другое

Answer 3

[JDima]

наличие гигабитных портов резко повышает стоимость.

Не наличие гигабитных портов, а наличие шильдика «Cisco» :)

Не совсем понятна возможность реализации failover подключений.

Грубо говоря: перед ASA стоит свитч, в который воткнуты внутренние машины, а за асой — свитч, в который воткнуты интернет-каналы. Асы работают в active/standby: как только сдохла первая, вторая мгновенно хватает те же адреса и продолжает роутить без потери соединений.

без подписки фиг получишь обновления операционки.

Официально — фиг (но обычно smartnet — лишь 10% стоимости железки в год, и иногда оно того стоит). Неофициально — торренты, без проблем. Во времена 3600-х это тем более не было проблемой.

только с разницей в 2к уе в цене.

Смотрю на яндекс.маркете. Обе стоят примерно одинаково. Циска даже немного дешевле.
Только вот брать сейчас 5510 — никакого смысла, она сильно устарела и наверняка скоро станет EOL. Есть 5512-X за те же деньги.

Канал 2 для внешних серверов (99,999% ftp-data) (для обмена видеоматериалами)

«До»? То есть удастся на уровне таблицы маршрутизации разграничить доступ? Иначе задача немного усложнится.

Answer 4

[m0ps]

Можно еще посмотреть на Juniper SRX-линейку — нет проблем с ввозом в РФ, т.к. ввозят их с имеджем без шифрования. Есть поддержка кластеризации (можно собрать 2 железки в отказоустойчивый кластер). Суппорт как и у циско, только при покупке поддержки. На торентах можно найти свежие версии JunOS. Документации на сайте навалом, есть хороший форум (правда ж англоязычный).

Answer 5

[rituzzzpilot]

Allied экономит на светодиодах, поэтому получится хорошая экономия электроэнергии!))