VPN на Cisco 871/1841/2811. Какое железо ?

Juniper/Cisco/Allied Telesis/D-Link/Zyxel
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Potemkin
проходил мимо

VPN на Cisco 871/1841/2811. Какое железо ?

Непрочитанное сообщение Potemkin » 2009-01-25 14:11:21

Необходимо выбрать циску для организации vpn ipsec между двумя офисами.
Сделал обзор и остановился на различных вариантах: на Cisco 871, Cisco 1841, Cisco 2811.
Но есть сумления, может кто подскажет, имеет практический опыт, соображения.
Нач.условия - сеть составная без выхода в public internet, тем неменее требуется защищенный доступ в корпоративную сеть (почт.сервер, SQL-сервер и т.п.) головного офиса. Канал ПД выделенный 100Mb. Малый офис включает 4 раб.станции (в перспективе до 8).
Денег нужно потратить как можно меньше.
для сравнения подобрал конфигурации для 1841, 2811:

-CISCO1841
-Cisco 1841 IOS ADVANCED SECURITY ver.12.4
-HWIC 4-port 10/100 Ethernet switch interface card
-128MB DRAM

-CISCO2811
-Cisco 2800 ADVANCED SECURITY ver.12.4
-HWIC 4-port 10/100 Ethernet switch interface card

Получилось достаточно дороговато.
Предлагается также готовые решения для 1841, 2811 слегка подешевле:
-CISCO1841-SEC/K9 и CISCO1841-HSEC/K9
-CISCO2811-SEC/K9 и CISCO2811-HSEC/K9

Правильно ли я понимаю, что конфигурации SEC и HSEC оличаются только наличием во втором варианте карточки AIM и 10 SSL лицензий ? Соответтствую ли подобранные мной конфигурации железа предлагаемому готовому решению SEC (без учета HWIC-ов) ?
Что позволяет конфигурация железки в варианте SEC ? какие производительности при использовании DES/3DES шифровании ?
Насколько я понял HSEC решение включает модуль AIM разгружающий проц циски и как следствие позволяет повысить производительность функций защиты.
Моежт не заморачиваться для 4х ПК и поставить 871...

На сайте нашел Cisco след.информацию:
ПРОИЗВОДИТЕЛЬНОСТЬ ФУНКЦИЙ ЗАЩИТЫ МАРШРУТИЗАТОРОВ С CISCO IOS

Максимальное число VPN-туннелей

Cisco 870 ISR - 10
Cisco 1800 ISR - 50
Cisco 1800 с AIM-VPN/BPII+ - 800

Производительность DES/АES-128, Мбит/сек

Cisco 870 ISR - 30
Cisco 1800 ISR - 40
Cisco 1800 с AIM-VPN/BPII+ - 95

данных для 3DES не нашел, для 2811 данных вообще никаких, только такие комментарии с сайта cisco.com:

* The Cisco 1841 Series Module (AIM-VPN/SSL-1) can provide hardware-based IPSeс encryption services of 25 and 95 Mbps in the Cisco 1841 (IPSec Internet mix [IMIX] and 1400-byte packets).
* The Cisco 2800 Series Module (AIM-VPN/SSL-2) can provide hardware-based IPSec encryption services of 30 and 90 Mbps in the Cisco 2801, 35 and 100 Mbps in the Cisco 2811, 90 and 125 Mbps in the Cisco 2821, and 100 and 150 Mbps in the Cisco 2851 (IPSec IMIX and 1400-byte packets).

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
m0ps
лейтенант
Сообщения: 986
Зарегистрирован: 2008-05-08 20:18:06
Откуда: Chernigov (Ukraine)
Контактная информация:

Re: VPN на Cisco 871/1841/2811. Какое железо ?

Непрочитанное сообщение m0ps » 2009-01-25 19:23:30

используем 2811 adventerp в центре и 857 advsecur в филиалах, правда каналы низкоскоростные

и еще, не понял зачем модули 4-х портовые докупать? лишние деньги, все равно на каждой есть 2 езернет порта. 1 езернет на внешний канал, один в локалку


Аватара пользователя
m0ps
лейтенант
Сообщения: 986
Зарегистрирован: 2008-05-08 20:18:06
Откуда: Chernigov (Ukraine)
Контактная информация:

Re: VPN на Cisco 871/1841/2811. Какое железо ?

Непрочитанное сообщение m0ps » 2009-01-30 23:24:13

экономии на чем? на свичах?

Potemkin
проходил мимо

Re: VPN на Cisco 871/1841/2811. Какое железо ?

Непрочитанное сообщение Potemkin » 2009-02-05 14:08:16

Правильно понял. Там всего 4 места рабочих надо зацепить

Аватара пользователя
m0ps
лейтенант
Сообщения: 986
Зарегистрирован: 2008-05-08 20:18:06
Откуда: Chernigov (Ukraine)
Контактная информация:

Re: VPN на Cisco 871/1841/2811. Какое железо ?

Непрочитанное сообщение m0ps » 2009-02-08 22:39:02

а что мешает купить копеечный свич портов на 8, или эт дороже модуля?

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: VPN на Cisco 871/1841/2811. Какое железо ?

Непрочитанное сообщение zingel » 2009-02-10 20:48:03

купите самое простое, иначе потом просто запутаетесь и будет оно у Вас лежать мертвым грузом
Z301171463546 - можно пожертвовать мне денег

Аватара пользователя
m0ps
лейтенант
Сообщения: 986
Зарегистрирован: 2008-05-08 20:18:06
Откуда: Chernigov (Ukraine)
Контактная информация:

Re: VPN на Cisco 871/1841/2811. Какое железо ?

Непрочитанное сообщение m0ps » 2009-02-10 23:24:01

ну и я о том же. в филиал хватит 871-й с головой и свич за 20 баксов (хоть бы тот же д-линк)

Grass_snake
рядовой
Сообщения: 28
Зарегистрирован: 2006-06-20 22:54:36

Re: VPN на Cisco 871/1841/2811. Какое железо ?

Непрочитанное сообщение Grass_snake » 2009-02-27 13:05:08

Potemkin писал(а):Необходимо выбрать циску для организации vpn ipsec между двумя офисами.
Сделал обзор и остановился на различных вариантах: на Cisco 871, Cisco 1841, Cisco 2811.

В моей компании весьма похожая ситуация. Центральный офис и филиалы по стране.

Связь между филиалами и центром построена именно на 871-х маршрутизаторах в филиалах и 2811 в центре. Ширина каналов - 1 мегабит. Этого более чем достаточно для нашей работы. IPSec сделан с применением алгоритма шифрования AES. Он мне больше понравился чем 3DES.

Cisco 2811
sh ver:
Cisco IOS Software, 2800 Software (C2800NM-ADVENTERPRISEK9-M), Version 12.4(10), RELEASE SOFTWARE (fc1)

....

Cisco 2811 (revision 53.51) with 249856K/12288K bytes of memory.
Processor board ID FCZ094972ZB
2 FastEthernet interfaces
1 Virtual Private Network (VPN) Module
DRAM configuration is 64 bits wide with parity enabled.
239K bytes of non-volatile configuration memory.
62720K bytes of ATA CompactFlash (Read/Write)


Cisco 871
sh ver:

Cisco IOS Software, 2800 Software (C2800NM-ADVENTERPRISEK9-M), Version 12.4(10), RELEASE SOFTWARE (fc1)

...

Cisco 871 (MPC8272) processor (revision 0x100) with 118784K/12288K bytes of memory.
Processor board ID FHK094910NG
MPC8272 CPU Rev: Part Number 0xC, Mask Number 0x10
5 FastEthernet interfaces
128K bytes of non-volatile configuration memory.
24576K bytes of processor board System flash (Intel Strataflash)


Так вот, загрузка 28-циски за последние пять месяцев не превышала 11 процентов. Это при том что я активно использую общий канал связи не только на работе через тот же IPSec VPN. Загрузка 871-х маршрутизаторов колеблется около 6 процентов, не превышая тех же 11 в самых тяжёлых случаях.

Таким образом, как мне кажется, имеет смысл у клиентов устанавливать всё-таки 871-е модели. Они хоть и ощутимо дороже но получились весьма удачными по фичастости.
С центральным VPN шлюзом у нас вышел перебор, конечно же. Думаю хватило бы модели попроще.