|
[ Dennis @ 08.08.2014. 15:44 ] @
| Pozdrav,
Sa Ciscom sam se igrao u testnim okruženjima do sada, pa mi treba preporuka za ruter koji bi bio postavljen za, da kažem, mini cloud u datacentru.
WAN konekcija ce biti 50/50, mozda bude povećana na 100/100 kroz godinu dve. Saobraćaj kroz ruter će biti okvirno do 10 VPN konekcija, do 20 SIP konekcija, do 100 RDP konekcija sa uploadovanjem fajlova kroz RDP, povremeni fajl transfer kroz VPN do recimo 40 Mb/s i još neke sitnice.
Sa WAN strane eka bude giga port, sa LAN strane bi idealno bilo da bude 8 giga LAN portova u istom VLANu.
Potrebno je podesiti par NAT i QoS pravila. Što se tiče firewalla, neka osnovna podešavanja, ne znam kakve su sve opcije tu.
Bilo bi dobro da trošak bude između 500 i 1000 € za neki rack mount ruter.
1. Koji ruter koristiti?
2. Da li tu može biti troškova za dodatne licence ili drugo vezano za softver?
3. Koja je preporuka za LAN stranu, da li ubaciti 1 x 8 ili 2 x 4 kartice?
4. Da li postoji još nešto što bih trebao da uzmem u obzir? |
[ gogo82 @ 10.08.2014. 14:51 ] @
1. Koji ruter koristiti?
S obzirom da si kao jedan od parametara naveo i cenu do 1000 €, ne znam da li za taj novac možeš da nađeš Cisco ruter. Moja preporuka je da u razmatranje uzmeš i neki Mikrotikovih ''cloud core'' rutera iz serije CCR-1016 ili još bolje CCR-1036.
Cena se razlikuje u zavisnosti od broja portova i ostalih funkcionalnosti a u rasponu od:
-645 € do 745 € za CCR-1016
-995 € do 1200 € za CCR-1036
Postoje modeli sa ili 8 ili 12 GigabitEthernet portova, sa ili bez SFP modula
http://i.mt.lv/routerboard/files/CCR1016-12G.pdf
http://i.mt.lv/routerboard/fil...6-12S-1S_plus-140425161749.pdf
http://i.mt.lv/routerboard/files/CCR1036-12G-4S_web.pdf
http://i.mt.lv/routerboard/fil...036-8G-2Splus-131030144844.pdf
http://i.mt.lv/routerboard/files/CCR1036-12G-4S-EM.pdf
http://i.mt.lv/routerboard/fil...036-8G-2Splus-131030144853.pdf
Inače cenovnik, detaljnu specifikaciju i sve ostale informacije o ovim i drugim Mikrotik modelima možeš naći na ovom linku http://routerboard.com/
[ Dennis @ 10.08.2014. 15:27 ] @
MikroTik Cloud Core mi je prvo pao na pamet, ali mislim da ću odustati od MikroTika zbog nepouzdanog softvera i hardvera. U verziji 6.11 sam imao problem sa L2TP konekcijama gde se ceo ruter restartovao, a sada na RB1100 AH2 imam problema sa memory leakom sa gotovo defaultnom konfiguracijom na drugom ruteru. Da ne pricam o elektrolitskim kondezatorima lošeg kvaliteta koji pucaju posle godinu dana... No, nebitno...
Što se Ciska tiče, našao sam na Amazonu jedan za 800 USD i karticu sa 8 gigabitnih portova na eBay za 200 USD.
Šta misliš o ovome? Video sam da je serija 1900 još jeftinija, ali ne znam da li bi podržalo sav saobraćaj i nisam uspeo da nađem gigabitne LAN kartice za 1900 seriju (pošto će biti dosta saobraćaja između servera, a ne bih uzimao switch da ne bih zauzimao još jedan unit u ormaru.).
[ nkrgovic @ 10.08.2014. 18:01 ] @
Ja bi uzeo swith. Za mrezu sa 8 gigabitnih portova za servere, verovatno imas bar 4 servera. Hteces i neki inter-vlan routing, hteces svasta kad krenes da pravis taj cloud, dizes vm-ove, pravis raspored saobracaja.... trebace ti.
Ja bi pogledao Cisco Small Business 300 seriju, relativno su povoljni, posebno ako uzmes polovne, a dobices skoro sve kao na Catalystu, jedino ti mozda NetFlow zafali. Inace 2901 je skroz OK, to je sjajan ruter - ja sam par godina rabio jedan 2611XM, gasen je jedan jedini put, kad smo selili kanc. :)
[ gogo82 @ 10.08.2014. 21:08 ] @
Citat: Dennis:
MikroTik Cloud Core mi je prvo pao na pamet, ali mislim da ću odustati od MikroTika zbog nepouzdanog softvera i hardvera. U verziji 6.11 sam imao problem sa L2TP konekcijama gde se ceo ruter restartovao, a sada na RB1100 AH2 imam problema sa memory leakom sa gotovo defaultnom konfiguracijom na drugom ruteru. Da ne pricam o elektrolitskim kondezatorima lošeg kvaliteta koji pucaju posle godinu dana... No, nebitno...
Što se Ciska tiče, našao sam na Amazonu jedan za 800 USD i karticu sa 8 gigabitnih portova na eBay za 200 USD.
Šta misliš o ovome? Video sam da je serija 1900 još jeftinija, ali ne znam da li bi podržalo sav saobraćaj i nisam uspeo da nađem gigabitne LAN kartice za 1900 seriju (pošto će biti dosta saobraćaja između servera, a ne bih uzimao switch da ne bih zauzimao još jedan unit u ormaru.).
OK. Mislio sam da samo novi ruteri dolaze u obzir.
Sto se tice Mikrotik-a i njegovih ''bugova'' slazem se da je hardver slabija strana tih rutera ....
Sto se tice Cisco 2901 to je po meni OK ruter ako useps da ga nabavis po toj ceni zajedno sa 8 gigaethernet modulom.
[ Marcony @ 11.08.2014. 06:40 ] @
[ Dennis @ 11.08.2014. 14:04 ] @
Ok, znači 2901 je sasvim ok.
Što se switcha tiče, za sada će biti 2 do 3 servera (oba servera po jedan LAN i iLO2 interfejs) pa će 2-4 porta ostati slobodna. A i serveri će vrteti Hyper-V pa neće biti problem odraditi bilo kakvu virtuelnu mrežu i povezati na VLAN. Verovatno ću se držati kartice, jer datacentar naplaćuje po unitu. A kada i ako bude bilo potrebe dodaće se i switch.
Trebao bi mi odgovor na moje drugo pitanje, vezano za licence. Da li ruter koji je isporučen po defaultu ima neka ograničenja? Znam da za neke ASA-e trebaju dodatne licence, ako se recimo poveća broj računara na LANu.
[Ovu poruku je menjao Dennis dana 11.08.2014. u 15:18 GMT+1]
[ nkrgovic @ 11.08.2014. 14:48 ] @
U tom smislu ne, ali pogledaj detaljno, licence su vezane za SSL, VPN, VoIP i druge mogucnosti.
I da, vodi racuna - cak i najjevtiniji SG300 ima 24 porta, sa rutiranjem izmedju VLAN-ova, line-rate brzina. Ovo nijedan ruter nema :). A cena tog switcha je uporediva sa tom karticom. Nije 1U smak sveta, koliko ga, aman, naplacuju.... Pri tome, trosi malo struje - sto je verovatno veci faktor.
poz,
nk.
[ dragancili @ 11.08.2014. 14:48 ] @
Po default taj ruter dolazi sa IP base licencom...tebi ce trebati I Security licenca na to.
Nemas problema povecanjem korisnika na LAN-u s tim sto ti treba samo adekvatan broj SSL VPN licenci - ako uopste to planiras I da koristis.
Pozdrav,
Dragan
[ dragancili @ 11.08.2014. 14:51 ] @
Line-rate na Cisco SMB svicu - to ne verujem da ce skoro da se desi...
Licno - SMB I Catalyst svicevi su neuporedivi - I nije samo netflow koji si spomenuo u pitanju.
Da ne izlazimo van teme - ako vec mora da se uzme neki svič - topla preporuka - samo Catalyst...I nikad ne stedeti na tome ;)
Pozdrav,
Dragan
[ nkrgovic @ 11.08.2014. 15:04 ] @
IPv4 routing
Wirespeed routing of IPv4 packets
http://www.cisco.com/c/en/us/p...hes/data_sheet_c78-610061.html
Pazi, ja bi mu isto radije preporucio neki L3 Catalyst, ali znam koliko kostaju. Ja sad cackam neki Juniper 2200, isto fina sprava - ali opet: cena! On pravi neki mini-lab ili nesto za jako malo para, i stedi 1U prostora, sumnjam da za to ima budzet. Za ono sto njemu treba, SG300 je vrlo verovatno sasvim dovoljan.
P.S. Rekao je da mu treba VPN, rekao je da hoce i SIP - mada mislim da nece da ga terminira NA ruteru. U svakom slucaju trebace mu dodatna licenca, a morace sam da vidi koja.
[ zeenmc @ 11.08.2014. 23:46 ] @
Dennise, ako imas ASA sa ogranicenjima, cimni me, imam keygenerator za sve verzije ASA 5505-5580 ili vec sta tacno xD :)
Probao, sve razbija :)
[ Dennis @ 12.08.2014. 19:03 ] @
Nema ASA, ali hvala :)
[ Dennis @ 12.08.2014. 19:18 ] @
Citat: nkrgovic:
IPv4 routing
Wirespeed routing of IPv4 packets
http://www.cisco.com/c/en/us/p...hes/data_sheet_c78-610061.html
Pazi, ja bi mu isto radije preporucio neki L3 Catalyst, ali znam koliko kostaju. Ja sad cackam neki Juniper 2200, isto fina sprava - ali opet: cena! On pravi neki mini-lab ili nesto za jako malo para, i stedi 1U prostora, sumnjam da za to ima budzet. Za ono sto njemu treba, SG300 je vrlo verovatno sasvim dovoljan.
P.S. Rekao je da mu treba VPN, rekao je da hoce i SIP - mada mislim da nece da ga terminira NA ruteru. U svakom slucaju trebace mu dodatna licenca, a morace sam da vidi koja.
Nije u pitanju mini lab, u pitanju je nešto ozbiljnije, a 1U prostora je oko 50 do 100 USD mesecno, pa nije za bacanje, ako može bez toga. Ali ovde je switch manje bitna stavka. Mislim da ću biti sasvim ok sa 8 portnom karticom u ruteru. Siguran sam da je podjednako pouzdana, a zaista mi ne trebaju druge napredne opcije koje Catalyst nudi.
VPN će biti potreban, a SIP neću terminisati na ruteru.
Upravo mi treba pomoć oko dodatnih licenci. Ne znam odakle bih krenuo, a ne bih da uzmem nešto pogrešno.
[ Dennis @ 12.08.2014. 19:22 ] @
Citat: dragancili:
Po default taj ruter dolazi sa IP base licencom...tebi ce trebati I Security licenca na to.
Nemas problema povecanjem korisnika na LAN-u s tim sto ti treba samo adekvatan broj SSL VPN licenci - ako uopste to planiras I da koristis.
Pozdrav,
Dragan
U suštini, konfiguracija će biti krajnje jednostavna. Osim VPNa, trebaće da se podesi NAT i QoS.
Šta meni security licenca nudi? Da li je neophodna?
[ Dennis @ 12.08.2014. 19:25 ] @
Citat: nkrgovic:
U tom smislu ne, ali pogledaj detaljno, licence su vezane za SSL, VPN, VoIP i druge mogucnosti.
I da, vodi racuna - cak i najjevtiniji SG300 ima 24 porta, sa rutiranjem izmedju VLAN-ova, line-rate brzina. Ovo nijedan ruter nema :). A cena tog switcha je uporediva sa tom karticom. Nije 1U smak sveta, koliko ga, aman, naplacuju.... Pri tome, trosi malo struje - sto je verovatno veci faktor.
poz,
nk.
Razmisliću od SG300 seriji, hvala na preporuci!
[ dragancili @ 13.08.2014. 07:35 ] @
Ukoliko planiras da terminiras VPN sesije na tom ruteru - Security licenca ti je neophodna.
Zasto, sta nudi I ostalo - imas na cisco.com...u osnovi Sec licenca ti daje firewall, vpn, ssl vpn itd na cisco ios OS-u.
Ovo sto si spomenuo za NAT I QoS - to imas po default u base licenci naravno...
Pozdrav,
Dragan
[ markovm @ 15.08.2014. 11:31 ] @
Ako ne insistiras na Cisco-u pogledaj HP-ve nove routere, konkretno MSR3012 (JG409A). Uklapices se u budzet, performanse su daleko ispred zahtevanih, a nema licenciranja security funkcionalnosti.
Poz,
Milenko.
[ Dennis @ 15.08.2014. 21:29 ] @
Mislim da ću preskočiti HP, jer želim da naučim o Cisku.
Da li konkretno ovaj Cisko ima SVE što mi je potrebno za VPN sa strane licenciranja? Recimo do 10 VPN konekcija. Vidim da piše security bundle, ali liceciranje mi nikada nije bilo jača strana :) i stvarno ne bih da pogrešim kad se o tome radi. I kada pričamo o VPN-u, ovde se misli na IPSec pretpostavljam. Da li je potrebna licenca za PPTP?
[ zeenmc @ 16.08.2014. 11:39 ] @
Zasto neuzmes nesto iz serije 28xx, tipa 2811,2821 ? to mozes i u Srbiji da nadjes za "male" pare, 2821 ima i 2 giga porta inace nema fastethernet...on moze da gura i 15ce...:)
[ Dennis @ 18.08.2014. 17:37 ] @
2811 ima FE portove, koliko sam video, a 2821 je preko 1U.
[ zeenmc @ 18.08.2014. 22:13 ] @
A tebi bas trebaju gigabitni portovi ? Hm je*eno.... :) pogledaj na ebay seriju od 28xx mozda jos nesto ima gigabitne portove....
Copyright (C) 2001-2024 by www.elitesecurity.org. All rights reserved.
|