Выбор шлюза Cisco

Question

[krylovlf]

Добрый день, Дан офис с локалкой и некое здание где планируется раздавать гостевой интернет, офис до 20 пользователей и гостевой интернет до 100 клиентов. Планирую взять свитч Catalyst 2960 24 (WS-C2960-24TC-S) и некий шлюз cisco. Планирую "попилить" сеть вланами на две части: офис и гостевой интернет, также шлюз должен резать канал на две части. Попутный вопрос: не возникнет ли проблем с torrentами из гостевого вилана, нужно чтобы трафик офиса был максимально стабилен. И вопрос по выбору шлюза, залез на сайт киски и потерялся, столько решений, а свое не найду. основные критерии: 1) интернет приходит по ethernet, 56Mb 2) нужно делить трафик 3) нужен VPN сервер и клиент (будет подключатся к центральному офису и будет принимать VPNки из интернета) 4) Firewall, NAT 5) опция запрета плохих сайтов пляшет от ценника. поставщик посоветовал взять ASA5512-K9 за 4к$, но это моноговато - бюджет около до 2к$, но чем меньше - тем как обычно.

Comments

[krylovlf]

и еще, с cisco не общался, но достаточно упорен и есть желание перевести инфраструктуру на cisco.

Answer 1

[Alexandr Mikhailov]

VPN с шифрованием или без? в принципе, под ваши задачи будет достаточно Cisco RV016

Answer 2

[Тимур Тучковенко]

я бы вообще на какой-нибудь Б/У 1700 остановился, на shop.nag.ru они копейки стоят.

Comments

[Тимур Тучковенко]

есть ещё usercisco.ru, да и вообще несть числа таким ресурсам.

[Тимур Тучковенко]

usedcisco.ru, простите :)

[krylovlf]

б/у немного смущает: а у него ушки оторваны, да и память там битая и бп сам найдешь - родной горелый :)

Answer 3

[krylovlf]

Честно говоря я не совсем понимаю нужно ли мне K9, сильно ли проигрывает K8, я понимаю что все дело в длине ключа, но хватит ли 56бит? Меня еще одолевают сомнения касательно QoS, будит ли железка четко делить ван на 2 влана?

Answer 4

[Alexandr Mikhailov]

а вы шифроваться официально будете? разрешамба у вас есть? ;)

1700-е могут не потянуть много шифрованных каналов - загнется, бедолага. и с тонкой настройкой балансировки, нат, впн и пр. у них туго. ну и модульные интерфейсы к ним, к тому же, уже становятся все более редки и потому дороже

Comments

[krylovlf]

как я понимаю я должен только сообщить фсб что у меня есть такая железка, Вы пользуетесь k9?

Answer 5

[RazorBlade]

Если рассматривать ISR, то за глаза хватит 1941, а то и 891 (на нее можно не покупать лицензию на security, правда это нелегально). Входящий трафик можно будет шейпить на сабинтерфейсах. VPN умеет, как site2site, так и клиентский. Блокировать "плохие" сайты будет неудобно, но можно.
Если брать ASA, то так же, минимум 5505 или максимум 5510. Они больше заточены под шифрование и firewall. С дополнительными модулями есть проверка трафика на вирусы, спам и тд., правда придется ежегодно покупать подписки.

Comments

[krylovlf]

@RazorBlade обнаружилась проблема с доставкой оборудования киско в регион филиала :(долго), а сервис (инэт) достаточно критический, встал вопрос о резервировании при том же бюджете - вот склоняюсь в сторону асашки 5505 дабы купить 2е штуки. Чем отличается влан от сабинтерфейса? Очень критично резать трафик, еще бы было классно если шейпер делал это динамически, т.е. если канал офиса "забит", а гостевой канал свободен, то офисный канал расширялся в сторону гостевого.

[demon_odinok]

Чем отличается влан от сабинтерфейса?
Влан это 2 уровень (сама труба), а саб это дополнительные интерфейс на интерфейсе. Имелось ввиду что саб - это оконеченый влан ip-адрессом

Answer 6

[demon_odinok]

склоняюсь в сторону асашки 5505 дабы купить 2е штуки.

А модули (допустим ASA-SSM-CSC-10 )тоже 2 штуки брать ? Тогда дешевле 5510 с одним модулем и одной лицухой

Comments

[krylovlf]

@demon_odinok для филиала я решил отказаться от такого модуля. Поставщик нарисовал такую конфу: ASA5512-K9, SF-ASA-X-9.1-K8, CAB-ACE, ASA5500-ENCR-K9, ASA5512-MB, (CON-SNT-A12K9 думаю, брать ли)- все это на 4к$, на эти деньги можно взять две 5505, я прав? Хватит ли 5505?

[demon_odinok]

@krylovlf Вы смотрите под свои задачи. Могу сказать что 5505 если не криптовать траф через всякие ipsec и тд туннели , а использовать ее для маршрутизации или nat + какойнить модуль (допустим фильтрации контента + антивирь) - вполне хватит . В общем, очень сильно жрет аппаратные ресурсы криптование , из этого делайте выводы. Могу сказать по опыту 5510 тянула ~70 мбит крипто туннель (ipsec 3DES, самый прожорливый). Опять же повторюсь если брать две 5505 , то надо два модуля + 2 лицензии на модули (антивирус , антиспам и тд) , и это надо оплачивать каждый год !!! .