Cisco Support Community
отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

Помогите с выбором

Здравствуйте!

Имеется сеть типа звезды, в данный момент на (freebsd) . Есть основной офис, куда подключается куча филиалов. У каждого филиала своя подсеть 24. В данный момент реализовано с помощью ipip (gif) туннелей. Нужно постепенно перевести все на cisco. Таких филиалов в данный момент около 40, в дальнейшем может увеличиться количество. Между филалами на прямую связей нет(где то есть конечно но их не много). Они все используют одну базу в главном офисе и из офиса же их всех можно админить... Нагруза на туннели очень низка, до пол мегабита редко доходит и не постоянно... Так же хорошо бы иметь возможность, что бы к офису могли подключаться отдельные компьютеры по vpn. И еще, офис имеет 2 wan. Так же склад имеет 2 wan. Тут необходимо создать 2 туннеля между ними и поднять ospf, что бы в случае если канал упал, заработал резерв хотя может  cisco есть другие способы решения этой задачи. Шифрование не используется. Нужно подобрать оборудование в головной офис и на конечечку. В данный момент ширина канала 100 мегабит, резерв 10. Этого достаточно и расширяться в ближайшее время никто не планирует. На всех железках хорошо иметь нат, простенький фаервол и пробросы портов. На конечне стоит самый простой инет, грубо 5-20 мегабит и выход всех пользователей в сеть.

Сейчас ломаем голову на 2 вариантах asa5512 или какой нить роутер 29 серии. Можете подсказать что лучше использовать? Стоит ли заморачиваться с dmvpn ? Ах да некоторые филиалы не имеют внешки и нужна возможность создания туннелей для них с циской... Переход будет постепенный и мне нужно будет cisco подружить с freebsd...

3 УТВЕРЖДЕН. РЕШЕН.

Утвержденные решения

Помогите с выбором

"Стоит ли заморачиваться с dmvpn ?"

Не "заморачиваться", а "серьезно облегчить себе жизнь". ASA не умеет ни GRE, ни IPIP туннели, с ней нужен IPSec в туннельном режиме. И строк по 10 конфига на каждый филиал. DMVPN как раз простой как кувалда.

Можно выбрать не DMVPN, а FlexVPN. Однако, в любом случае надо тестировать совместимость с freebsd. Крайний вариант - остаться на IPIP, тут уж точно нечему глючить.

Файрвол на 2900 есть - ZBF. Звезд с неба не хватает, но вам вроде много и не надо.

Что до резервирования: да, можно OSPF. Или EIGRP, который в данной топологии будет приятнее.

Помогите с выбором

На мой взгляд, оптимально в центр - начиная с 3925.

В филиалы можно, например, 890-е.

Помогите с выбором

Это софтовые решения, основные различия в производительности, портах и т.д.

http://www.cisco.com/web/partners/downloads/765/tools/quickreference/routerperformance.pdf

http://www.cisco.com/en/US/docs/solutions/CVD/Aug2013/CVD-VPNWANDesignGuide-AUG13.pdf

Для 2900-х заявлено максимум 300мб/с мелкими пакетами без сервисов. Исходя из того, что:

1) канал на 150мб/с может быть прогружен полностью в обе стороны

2) Сервисы будут

3) Нежелательно нагружать софтовую платформу сильнее чем на 70-80%

4) Надо еще и соседства с немаленьким числом пиров поддерживать

- лучше 3900-ю взять. Хуже будет, если потом упретесь в ресурсы.

6 ОТВЕТ.

Помогите с выбором

"Стоит ли заморачиваться с dmvpn ?"

Не "заморачиваться", а "серьезно облегчить себе жизнь". ASA не умеет ни GRE, ни IPIP туннели, с ней нужен IPSec в туннельном режиме. И строк по 10 конфига на каждый филиал. DMVPN как раз простой как кувалда.

Можно выбрать не DMVPN, а FlexVPN. Однако, в любом случае надо тестировать совместимость с freebsd. Крайний вариант - остаться на IPIP, тут уж точно нечему глючить.

Файрвол на 2900 есть - ZBF. Звезд с неба не хватает, но вам вроде много и не надо.

Что до резервирования: да, можно OSPF. Или EIGRP, который в данной топологии будет приятнее.

New Member

Помогите с выбором

Тоесть надо смотреть 2900 серию да? Там dmvpn вроде есть. А подскажите какую конкретно модельку лучше выбрать? С учетом использования dmvpn (для бзд ipip оставлю, потом полностью на cisco перейдем и можно всю сеть dmvpn сделать). Требования до 100 филалов. Толщина канала во внешку не более 150 мегабит. 2 wan.

И конечное оборудование, там все элементарно просто, менее 10 компьютеров в сети, 5-20 мегабит инет внешка, ну и дмвпн соотвественно с минимальным фаером и натом.

Помогите с выбором

На мой взгляд, оптимально в центр - начиная с 3925.

В филиалы можно, например, 890-е.

New Member

Помогите с выбором

А еще глупый вопрос, 29 серия от 39 ой чем отличается принципиально? Просто тут еще вопрос в стоимости решения стоит...

Помогите с выбором

Это софтовые решения, основные различия в производительности, портах и т.д.

http://www.cisco.com/web/partners/downloads/765/tools/quickreference/routerperformance.pdf

http://www.cisco.com/en/US/docs/solutions/CVD/Aug2013/CVD-VPNWANDesignGuide-AUG13.pdf

Для 2900-х заявлено максимум 300мб/с мелкими пакетами без сервисов. Исходя из того, что:

1) канал на 150мб/с может быть прогружен полностью в обе стороны

2) Сервисы будут

3) Нежелательно нагружать софтовую платформу сильнее чем на 70-80%

4) Надо еще и соседства с немаленьким числом пиров поддерживать

- лучше 3900-ю взять. Хуже будет, если потом упретесь в ресурсы.

New Member

Помогите с выбором

Спасибо!

262
Просмотры
5
Полезный материал
6
Ответы
СоздатьДля создания публикации, пожалуйста в систему