Нужны советы по выбору качественного маршрутизатора
6431
33
Igor SSE
activist
Объясню суть проблемы, пользуемся в организации зикселем зайволом 300 USG. На удаленных узлах зайвол 50 USG
Борьба с глюками и багами зикселя и с поддержкой стали просто уже доставать.
Сеть организована через построение VPN данным оборудованием.
Периодические проблемы у 300 с ВПН, в духе то перестает поднимать туннели, то в логах не может определить куда пакет в какой туннель маршрутизировать в зависимости от того что за пакет (неадекватно реагирует на команды трасировки, телнета (наблюдается на стыке оборудования 300-50 войп планет 480).
ВПН туннели строятся динамически, инициаторы удаленные узлы.
у 50 зайвола свои мега бонусы как выяснилось по использованию, пока техподдержка в тупике зикселя...
Суть у 50 зайвола 2 вана, что подразумевает возможнсоть использования 2х провайдеров, для резервирования связи.... логично и правильно. Есть балансировка, здорово, даже вроде работает по тестированию. Но вот не задача..... построение ВПН с возможностью использовать любой из ванов..... не предусмотрено оборудованием, что именно имелось ввиду, для построения ВПН нужно выбрать жестко интерфейс с которого будет устанавливаться соединение...... и логично когда этот интерфейс лежит.... то просто напросто ВПН не будет создаваться и балансировкой это не вылечить..... было желание сделать динамический интерфейс по аналогии с 300, чтобы можно было использовать оба вана для создания ВПН, но вот не задача, оборудование тогда просто не пытается установить соединение, понятное дело что не доработка разработчиков, но вот все эти проблемы начинают напрягать по страшному.....
В добавок у тогоже 300 зайвола с постоянством отпадает НАТ, притом очень интересным способом, до 7 правила включительно нат правила работают, после просто не работают, по логам видно что вместо срабатывания нат идет соединение по проброшенным портам на сам зайвол, лечится только перезагрузкой.
Поэтому вопрос ко всем, что можете посоветовать из качественного нормального оборудования которое бы нормально держало впн, имело бы 2 вана и умело номрально их использовать, не глючило бы и работало как часы.
Я так понимаю по производителям циски, ликнксис и 3ком или есть что-то лучше?
По возможности ищется замена зайволу 300, так как его приколы работы уже сильно напрягают. Но варианты замены заайволов 50 тоже, так как разработчиков за только уже то что в 50 зайволе нет "Fall back to Primary Peer Gateway when possible" при использовании резервирования.... и ответ техподдержки, да нету и не будет, не считаем нужным.... а если и убдет то года через 2... удручает настолько что ощущение что производителю пофиг что он там выпускает.
Минус в том что купив другое оборудование нет гарантии что при использовании не выявятся иные грабли.... поэтому вопрос 2, кто знает фирму которая может выдать в тест оборудование на выбор, чтобы провести тестирование и возможности оборудования, дабы не натыкаться на недоработки производителей.
Борьба с глюками и багами зикселя и с поддержкой стали просто уже доставать.
Сеть организована через построение VPN данным оборудованием.
Периодические проблемы у 300 с ВПН, в духе то перестает поднимать туннели, то в логах не может определить куда пакет в какой туннель маршрутизировать в зависимости от того что за пакет (неадекватно реагирует на команды трасировки, телнета (наблюдается на стыке оборудования 300-50 войп планет 480).
ВПН туннели строятся динамически, инициаторы удаленные узлы.
у 50 зайвола свои мега бонусы как выяснилось по использованию, пока техподдержка в тупике зикселя...
Суть у 50 зайвола 2 вана, что подразумевает возможнсоть использования 2х провайдеров, для резервирования связи.... логично и правильно. Есть балансировка, здорово, даже вроде работает по тестированию. Но вот не задача..... построение ВПН с возможностью использовать любой из ванов..... не предусмотрено оборудованием, что именно имелось ввиду, для построения ВПН нужно выбрать жестко интерфейс с которого будет устанавливаться соединение...... и логично когда этот интерфейс лежит.... то просто напросто ВПН не будет создаваться и балансировкой это не вылечить..... было желание сделать динамический интерфейс по аналогии с 300, чтобы можно было использовать оба вана для создания ВПН, но вот не задача, оборудование тогда просто не пытается установить соединение, понятное дело что не доработка разработчиков, но вот все эти проблемы начинают напрягать по страшному.....
В добавок у тогоже 300 зайвола с постоянством отпадает НАТ, притом очень интересным способом, до 7 правила включительно нат правила работают, после просто не работают, по логам видно что вместо срабатывания нат идет соединение по проброшенным портам на сам зайвол, лечится только перезагрузкой.
Поэтому вопрос ко всем, что можете посоветовать из качественного нормального оборудования которое бы нормально держало впн, имело бы 2 вана и умело номрально их использовать, не глючило бы и работало как часы.
Я так понимаю по производителям циски, ликнксис и 3ком или есть что-то лучше?
По возможности ищется замена зайволу 300, так как его приколы работы уже сильно напрягают. Но варианты замены заайволов 50 тоже, так как разработчиков за только уже то что в 50 зайволе нет "Fall back to Primary Peer Gateway when possible" при использовании резервирования.... и ответ техподдержки, да нету и не будет, не считаем нужным.... а если и убдет то года через 2... удручает настолько что ощущение что производителю пофиг что он там выпускает.
Минус в том что купив другое оборудование нет гарантии что при использовании не выявятся иные грабли.... поэтому вопрос 2, кто знает фирму которая может выдать в тест оборудование на выбор, чтобы провести тестирование и возможности оборудования, дабы не натыкаться на недоработки производителей.
это и так понятно, в данном направлении уже думаю, но варианты?
ещё бы из предложенных моделей была бы возможность достать их на тест.... так как нет уверенности что не будет проблем и с циской.
Дополняю, количество VPN туннелей порядка 15 и будет в дальнейшем только увеличиваться.
ещё бы из предложенных моделей была бы возможность достать их на тест.... так как нет уверенности что не будет проблем и с циской.
Дополняю, количество VPN туннелей порядка 15 и будет в дальнейшем только увеличиваться.
имхо качественные писюки + грамотный линуксовод. в разы дешевле кошек, надежность такая же. циски в таких задачах неконкурентноспособны.
для ваших задач по производительности подойдет любой писюк. смотрите младшие платформы от супермикро например, и сетевые карты туда на 2-4 порта.
тесты можно вобще хоть на десктопах провести а потом перенести конфиги на серьезное железо.
для ваших задач по производительности подойдет любой писюк. смотрите младшие платформы от супермикро например, и сетевые карты туда на 2-4 порта.
тесты можно вобще хоть на десктопах провести а потом перенести конфиги на серьезное железо.
решение какое-то не очень.... честно говоря..... разве нет нормального оборудования которое было имело 2 Wan и правильно (адекватно) работало с VPN, то как себя ведут зайволы при работе малость озадачивает чем думали производители....
попробуйте у длинка dfl серию взять в тест. если "на столе" весь функционал будет работать - то ставьте в сеть
Длинк? чего-то сам по себе производитель не впечатляет, да и отзывы по оборудвоанию дилнка обычно не ахти.... зиксель и то получше будет.
Сейчас читают
Стол заказов (часть 2)
1063311
682
Дозорим сюда. NF? FN? О! Флудить!
203503
1000
Хорошая портниха
551695
1000
зухель лучше только среди мыльниц (категория до 100 баксов). в остальных случаях часто длинк интереснее (хотя встречаются провальные модели)
по крайней мере глюка с привязкой ВПНа к порту нет. дома стоит, работает (pptp использую). но есть ряд других недочетов, с которыми возможно вы сможете мириться.
по крайней мере глюка с привязкой ВПНа к порту нет. дома стоит, работает (pptp использую). но есть ряд других недочетов, с которыми возможно вы сможете мириться.
какие недочеты?
кстати по 50 зайволу зиксель сделал прошивку в которой поправили привязку ВПН к вану, сделали чтобы с обоих ходило, пока ещё не тестировали.... конечно уже приятно но вот все остальное....
кстати по 50 зайволу зиксель сделал прошивку в которой поправили привязку ВПН к вану, сделали чтобы с обоих ходило, пока ещё не тестировали.... конечно уже приятно но вот все остальное....
ну, а чего стесняться? есть проблема - пишите производителю. звоните. решают они проблемы, Вы в этом сами убедились.
а вариант woddy с "железками" будет наверное, если не дешевле, то управляемее.
ну либо - "до того, как" покупать железо - почитать поузнавать а какие у него проблемы бывают.
allied telesyn юзал ar410-450 - ничё так. правда VPN не делал. уже года 3 стоит - пыхтит, а так лет6 фунциклирует. я уж и логин на него забыл.
а вариант woddy с "железками" будет наверное, если не дешевле, то управляемее.
ну либо - "до того, как" покупать железо - почитать поузнавать а какие у него проблемы бывают.
allied telesyn юзал ar410-450 - ничё так. правда VPN не делал. уже года 3 стоит - пыхтит, а так лет6 фунциклирует. я уж и логин на него забыл.
перечитал - вам наверное по производительности AR-7xx серию надо, но там цена..
программно-аппаратный рутер Вам в руки нужен.
как woddy сказал.
программно-аппаратный рутер Вам в руки нужен.
как woddy сказал.
по циске сам читал и переписывался с дилером, то что подобрал совпало с предложенным дилером, серия АСА 50хх, точнее 5010, но цена конечно хорошая под 100 тыс..
Другой вопрос где взять его на тест никто не в курсе?
Оборудование дорогое и соотв. у поставщиков такого не держится на складах....
брать железно-программный комплекс.... кто его будет настраивать человек со стороны? Где гарантия что он решит те проблемы которые есть?, было у самого времени готов был бы и сам заниматься но увы его нет и не предвидится.
Другой вопрос где взять его на тест никто не в курсе?
Оборудование дорогое и соотв. у поставщиков такого не держится на складах....
брать железно-программный комплекс.... кто его будет настраивать человек со стороны? Где гарантия что он решит те проблемы которые есть?, было у самого времени готов был бы и сам заниматься но увы его нет и не предвидится.
ну настройки и гарантии производительности - вещи несколько несвязанные, на мой взгляд.
по сайзингу могли бы сотрудники техотделов "провов" подсказать, у кого часть трафика на таких программно-аппаратных платфорамх идёт, чтобы уж железо компа "наверняка" брать. и что-то мне подсказывает, что стоимость при такой производительности будет гораздо ниже, чем у озвученных марок.
Да и собрать комп, установить софт и настроить под такие задачи - дело одного дня.
Выбор - за Вами.
по сайзингу могли бы сотрудники техотделов "провов" подсказать, у кого часть трафика на таких программно-аппаратных платфорамх идёт, чтобы уж железо компа "наверняка" брать. и что-то мне подсказывает, что стоимость при такой производительности будет гораздо ниже, чем у озвученных марок.
Да и собрать комп, установить софт и настроить под такие задачи - дело одного дня.
Выбор - за Вами.
ну и как вариант - предлагаю посмотреть в сторону AT-AR750S
AT-AR750S-DP
по ценам дешевле. Более "складские" позиции в Москве. был опыт общения с саппортом производителя в Москве - впечатление осталось положительное. Напишите, может что подскажут по Вашим задачам и "их" железкам.
AT-AR750S-DP
по ценам дешевле. Более "складские" позиции в Москве. был опыт общения с саппортом производителя в Москве - впечатление осталось положительное. Напишите, может что подскажут по Вашим задачам и "их" железкам.
вот что пишут про производительность
VPN/Encryption
• NAT-T
• AES, DES, 3DES encryption
• 5,000 configured IPsec VPN tunnels (250 active)
• HW accelerated IPsec VPN >35Mbps@72byte
packets (with AES 256 bit encryption)
• Up to 195Mbps IPsec throughput with large packets
VPN/Encryption
• NAT-T
• AES, DES, 3DES encryption
• 5,000 configured IPsec VPN tunnels (250 active)
• HW accelerated IPsec VPN >35Mbps@72byte
packets (with AES 256 bit encryption)
• Up to 195Mbps IPsec throughput with large packets
по сайзингу могли бы сотрудники техотделов "провов" подсказать, у кого часть трафика на таких программно-аппаратных платфорамх идёт, чтобы уж железо компа "наверняка" брать.я назвал супермикры
у нас сеть на них живет. 8ядерная платформа до 4гбит прокачивает, но топикстартеру это явно много. потому и советовал младшие железки брать, типа 2ядра / 2 гига. тыщ в 40-60 уложиться должен, плюс пара серверов запас на склад. дин раз настроить, конфиги бэкапить, грузить с флешки. при выходе сервера из строя флешка переставляется в новый сервак и работает.
а для опытов покупать вобще не обязательно. можно взять любой офисный комп и на нем провести опыты, настроить.
брать железно-программный комплекс.... кто его будет настраивать человек со стороны? Где гарантия что он решит те проблемы которые есть?, было у самого времени готов был бы и сам заниматься но увы его нет и не предвидится.а циски кто вам настраивать будет? )
"40-60 уложиться"
да, дешевше
мать серверная тыщ 8
проц тыщ 5 quad
память 2 гига 1,5 рубля
ну корпус "приличный" 6-8 рублей
22 рубля.
да, дешевше
мать серверная тыщ 8
проц тыщ 5 quad
память 2 гига 1,5 рубля
ну корпус "приличный" 6-8 рублей
22 рубля.
"а циски кто вам"
надо полагать - аутсорс
почём берёте?
надо полагать - аутсорс
почём берёте?
неа, я циски не настраиваю) у нас для этого штат инженеров есть
22 рубля.
а винт/ы забыл добавить.
но их цена смехотворна на фоне цены железа.
а винт/ы забыл добавить.
но их цена смехотворна на фоне цены железа.
циски..... сами настроим, рано или поздно всему учатся.
Проблема не в не знании, или не желании, а в отсутствии времени
ну покрайней мере более менее определились. По солянке понятно надо изучать инф. в данном направлении.
Проблема не в не знании, или не желании, а в отсутствии времени
ну покрайней мере более менее определились. По солянке понятно надо изучать инф. в данном направлении.
"сами настроим"
у Вас вроде времени нет.
Один раз заплатите на настройку, слейте конфиг и разбирайтесь. Дальше проще будет. А "с нуля" IOS
у Вас вроде времени нет.
Один раз заплатите на настройку, слейте конфиг и разбирайтесь. Дальше проще будет. А "с нуля" IOS
"40-60 уложиться"не изобретайте велосипед web-страница
да, дешевше
мать серверная тыщ 8
проц тыщ 5 quad
память 2 гига 1,5 рубля
ну корпус "приличный" 6-8 рублей
22 рубля.
циски..... сами настроим, рано или поздно всему учатся.Дану? Че правда чтоли только во времени вся соль?
Проблема не в не знании, или не желании, а в отсутствии времени
У нас в городе мильён безработных или полубезработных ойти-шнегов. Если добавить еще всякие соседние Кемеровы, которые рвутся сюда в "столицу". Времени у них думаю достаточно. Так что же они не заботанят это магическое слово "цыска"? Вакансии сейчас есть на 30-60 рублей . Вудди, например, тоже ищет цыскарей и не только. Вилку зп правда у них не знаю
Был бы вопрос только во времени, у нас были бы россыпи молодых и немолодых специалистов ойтишнегов. И я бы не зарабатывал нормально из-за конкуренции... и чувствовал бы себя неуютно 
не знаю. у нас супермикро исторически используется последние 6 лет. зачем менять если оно работает? разница в цене +-10% погоды не сделает. думаю интел будет не хуже но чуть дороже из-за более громкого бренда. обращал бы внимание на совместимость, а то на HP например были нарекания. они в маркетинговых целях не дают использовать "чужие" комплектующие (по слухам, лично не сталкивался с HP).
ну вот зря на ОБС (одна бабка сказала) сослались.
если мне память не изменяет, были проблемы у Compaq и как следствие линейки ML,DL уже в составе HP, с тем, что память других производителей (нафига оригинальную-то брать), вроде подходящая по физ.параметрам и описанию - "не заводилась". Ставишь оригинальную - работает. Более проблем о "несовместимости" - не слышал.
учитывая глобальное удешевление, упрощение всего и вся, думаю такой проблемы на данный момент - нет.
если мне память не изменяет, были проблемы у Compaq и как следствие линейки ML,DL уже в составе HP, с тем, что память других производителей (нафига оригинальную-то брать), вроде подходящая по физ.параметрам и описанию - "не заводилась". Ставишь оригинальную - работает. Более проблем о "несовместимости" - не слышал.
учитывая глобальное удешевление, упрощение всего и вся, думаю такой проблемы на данный момент - нет.
топикстартеру.
Не совсем прозрачно, каким методом организуется VPN. Если по PPTP, то возможно, проблема именно в нем - он крайне чувствителен к качеству канала. Аналогичную задачу я решил и на простом оборудовании. у меня порядка 30 удаленных точек. Все связаны единой сетью через GRE-тоннели + OSPF маршрутизация. На каждой точке по два интернет провайдера с реальным адресами. В центре также два (было три) канала интернет. Получается по 4 GRE-тоннеля от каждой точки. В итоге, весьма не мало каналов приходится на центр. Оборудование на точках - тупейшее. Linksys W54GT с прошивкой от Openwrt. На нем организована и двухканальная работа операторов и GRE+OSPF. В центре - Линух с аналогичными функциями + куча еще остального.
Разумеется, идеальным решением было бы использование хотя бы Cisco 2128 или аналогичного металолома, но стоимость высока. Как промежуточный вариант: Cisco 891 GigaE SecRouter - тоже не плохая машинка, но её возможности я пока плохо знаю.
Не совсем прозрачно, каким методом организуется VPN. Если по PPTP, то возможно, проблема именно в нем - он крайне чувствителен к качеству канала. Аналогичную задачу я решил и на простом оборудовании. у меня порядка 30 удаленных точек. Все связаны единой сетью через GRE-тоннели + OSPF маршрутизация. На каждой точке по два интернет провайдера с реальным адресами. В центре также два (было три) канала интернет. Получается по 4 GRE-тоннеля от каждой точки. В итоге, весьма не мало каналов приходится на центр. Оборудование на точках - тупейшее. Linksys W54GT с прошивкой от Openwrt. На нем организована и двухканальная работа операторов и GRE+OSPF. В центре - Линух с аналогичными функциями + куча еще остального.
Разумеется, идеальным решением было бы использование хотя бы Cisco 2128 или аналогичного металолома, но стоимость высока. Как промежуточный вариант: Cisco 891 GigaE SecRouter - тоже не плохая машинка, но её возможности я пока плохо знаю.
кстати да, OSPF это правильно. исчезает единая точка отказа, при плохой связности будет работать "обходной" маршрут,..
Осталось только PI или вообще автономную систему получить и все будет в шоколаде. Хоть два оператора в центре, хоть двадцать два - адрес один
Не совсем прозрачно, каким методом организуется VPN. Если по PPTP, то возможно, проблема именно в нем - он крайне чувствителен к качеству канала.нет без него. Он тоже в будущем будет от другого провайдера, пока просто езернет
Можете в личку по своей схеме/структуре отписаться? Интtресная реализация, по 4 тунеля + OSPF
У меня строится 1 VPN тунель всего , просто с задействованием по необходимости всех провайдеров с обоих сторон сети (другой вопрос что не идеально с зайвола 50.... не возвращаяется на основного провайдера, пока с производителем переписка).
У вас более отказоустойчивая структура, каналы поддерживаются постоянно (все варианты соединения), OSPF разруливает маршрутизацию между ними.
Отправил личку. Оборудование я выбирал как раз такое, которое можно легко заменить, мало стоит и поддерживает прошивки с Linux. Я думаю, что можно улучшить качество именно изменением технологии организации связи, а не только провайдером. У меня тоже провайдеры - не фонтант.
Посмотрел любопытства ради на описания 300ки и 50ки. Это отличные железяки, но немного для иных целей, нежели здесь описываются. PPTP в них использоваться может, по большей части, не для связывания подразделений, а для удаленных пользователей с ноутбуками.