«Для офиса в 20-40 человек и канала 20 мегабит оборудование стоит менее 1000$?»
Можно и дешевле. 1941-й держит весь этот функционал и стоит около $1k (не по GPL, а в магазине). Лицензии — надо смотреть.
«Выпускать в Интернет только авторизованных пользователей.»
Ставлю вопрос по-другому.
Зачем локальная аутентификация?
«цена и сложность настройки делают не доступными эти решения для малого бизнеса.»
В требованиях был указан средне-крупный бизнес. И по объемам трафика (в моей конторе много тысяч сотрудников, трафика меньше), и по количеству IPSec пиров.
«Занят канал, или что-то медленно открывается, работает. Нужно оперативно найти причину — найти (не IP адрес) сотрудника (или нескольких), занявшего весь канал; найти причину очередей и т.п.»
Во-первых, QoS + PfR позволит в автоматическом режиме выбрать оптимальный выход для важного трафика. Ведь проблема может быть не только в загруженности канала, а и в потерях на сети провайдера, или в выросшей в 10 раз задержки из-за аварии и перемаршрутизации через спутник… Такое бывает, причем чаще, чем хотелось бы.
Получить логин — это к netflow с привязкой к AD.
«Сколько будет стоить ASR1k?»
Смотря какой. Тысяч 70 в минимуме, без резервирования супов (всегда помножаем на два).
Вы требования переформулируйте. У вас написано: «IPSec до 50 мегабит, до 3000 одновременных сессий». Это — довольно много IPSec сессий, не считаете?
Ничего принципиально не меняется. Пусть в Киеве поищет. Я этот рюкзак люто рекомендую. В него можно засунуть все так, что прям впритык — и все равно останется место для другого рюкзака в сильно сжатом состоянии — проверено :)
Я не про «заявлена совместимость», а «у народа работает», потому и гугл вместо ебея.
Тут вот какая проблема: если память вдруг окажется несовместимой, то вернуть ее будет не так просто. Ведь всё исправно, нет брака. Потому надо смотреть конкретные модели, которые у кого-то в примерно таком же ноутбуке успешно работают. В идеале — чтобы и чипы совпадали.
«Не в пределах подсети, а в пределах брудкаст домена»
Иногда можно упростить терминологию во имя большей понятности для окружающих.
«Итого нужно пробросить порты 7 и 9 (протокол UDP) через роутер — все.»
Прикольно. Оказывается. WoL действительно иногда работает поверх UDP.
Только статическую NAT трансляцию надо делать либо на subnet broadcast адрес, либо на хостовый, но со статической записью в arp таблице.
Сервер сам подпишет и вышлет файлом сертификат (с публичным и приватным ключами) клиенту. Тот его поставит руками, и будет использовать при каждом новом установлении соединения.
«Потом служебка начальству что мол. На таких то компах стоят нелицензионные программы.»
Такая служебка в рамках уголовного делопроизводства запросто переименовывается в чистосердечное признание. Потворствовал совершению уголовного преступления.
Никогда нельзя сжигать себе пути к уходу в несознанку :)
Кстати, мне интересно — а кто первым придумал эту глупость со служебками? Это сравнимо с запиской «вы приказали мне убить Васю, я, конечно, сделаю это, но мне это не нравится, это нарушает УК», которая определенно понравится прокуратуре.
Не совсем юмор.
Раз «Знания весьма поверхностные.» — нельзя исключать, что автор перепутал мегабиты с мегабайтами.
Иначе единственное объяснение низкой скорости и на iperf, и на SMB — чудовищные потери на портах или патч-корде. Но это маловероятно.
Thinkpad? Нетбук? Вы сейчас сильно оскорбили одну из самых уважаемых в мире линеек бизнес-ноутбуков.
Автор писал «или ноутбуков весом не более 2 кг». Леново весит 1.3кг. Я понимаю, что ультрабуки — это модно, стильно, молодежно, но если нужны характеристики, то лучше на них не смотреть.
Леново: ЦП — вплоть до i7, RAM вплоть до 16гб, накопителей туда можно напихать штуки три (или две, если вставить внутренний 3G или LTE модем).
Ну еще сканер отпечатков, отсутствие кастрации по части интерфейсов, общее великолепное исполнение, исключительная надежность и так далее.
Гарантия — отсутствие данного VLANа на его порту (со стороны свитча). Это нельзя обойти без доступа к конфигурации свитча или без перетыкания патч-кордов. Пакет с неправильным тегом будет дропаться.
Альтернатива. Некрасивая, но для неопытного человека, не имеющего управляемых свитчей, вполне годная. В каждый компьютер воткнуть по отдельной сетевой карте, и воткнуть их в отдельный маленький свитч. Задача решена, изоляция полная на физическом уровне, менять имеющееся оборудование не надо.
Породистые циски брать не следует категорически.
1) Подобрать девайс с приемлемой производительностью для современных домашних сетей за 5к рублей — проблема. Очень большая. Даже Б/У.
2) Да, настройка чуть сложнее, чем ткнуть пару кнопок в гуе. Хотя гуй, в принципе, тоже есть… Но для не-сетевика он неудобен. (да и для сетевика тоже).
3) Анализ трафика. Локально — не вариант (статистика из top-talkers будет абсолютно дырявой). Наверняка есть хомячковые роутеры, умеющие самостоятельно рисовать графики по трафику.
4) Логи не резиновые. Тоже на сторонний syslog сервер лить надо.
Тогда это не безопасность, а, скорее, admission control. Что все-таки скорее неудобно, чем удобно. Ну что плохого во втыкании в домашнюю сеть нового девайса?
Ну как обычно: «любой, кто со мной не согласен, по определению тролль, так как только мое мнение соответствует действительности». Глядя вокруг — сейчас все дети этим болеют.