у меня там серваки воткнуты в 2960... кому говорю - все в шоке... а как я был в шоке, когда устроился на работу )))

А чем плохи 2960

Там трафика 800М в ЧНН))

Мммм... 800 метров в чнн. Эт usn на Питер или какую-то часть области пашет?

Я вот о том же ?

Мммм... 800 метров в чнн. Эт usn на Питер или какую-то часть области пашет?

Урал, не питер

Урал, не питер

Вы уж извините, но я запутался. Всегда думал, что вы в Питере работаете и питерские железки эксплуатируете. А тут либо, вы не в Питере, либо не только питерские железки, либо мегафон гоняет трафик через про страны до Питера))))

цус же

у Мегафона он в Пытере?

Красногорск вроде

Вы уж извините, но я запутался. Всегда думал, что вы в Питере работаете и питерские железки эксплуатируете. А тут либо, вы не в Питере, либо не только питерские железки, либо мегафон гоняет трафик через про страны до Питера))))

ЕЦУС Запад эксплуатирует сеть Столичного, Центрального, Уральского и Северо-Западного филиалов))

Остальной кусок эксплуатирует ЦУС Восток

Глобально у Вас там)

Сейчас в зоне ответсвенности болен 2500 железок

Более

Эт транспорт только

Начиная от цисок 29 и заканцивая mx960

Так что весело, каждый день что нить, да сломают))

Почитал у тебя по Джуниперам материалы. Отдельное спасибо - хорошо объясняешь.

Кому то интересна история с ipsec между RUH2 и циской? Все получилось

Рассказывай чё было

ларчик просто открывался... на внешнем интерфейсе циски NAT висел и натил все без разбора

добавил в acl

ip access-list extended NAT-acl deny ip any 10.0.0.0 0.255.255.255 deny ip any 172.16.0.0 0.15.255.255 deny ip any 192.168.0.0 0.0.255.255

b dct

и все

теперь буду аутентификацию по сертификатам прикручивать

ибо crypto keyring RUH2-kr pre-shared-key address 0.0.0.0 0.0.0.0 key

это зло)

Nat-t не работает что ли?

Коллеги, а посоветуйте какое-нибудь достойное решение на замену старенькому dlink dfl-260e на шлюз для средней организации

Микротик сср

Коллеги, а посоветуйте какое-нибудь достойное решение на замену старенькому dlink dfl-260e на шлюз для средней организации

а бюджет то какой? а то Марат щас Juniper посоветует

а бюджет то какой? а то Марат щас Juniper посоветует

я уже посоветовал :)

я уже посоветовал :)

@bormoglotx не успел..

Черт, не успел))))

Nat-t не работает что ли?

работает... просто нат на циске натил весь траффик, даже тот что айписечится должен

бюджет до 100

SRX100H2 не?

ченить такое может? они копеечные

я домой такой хотел

тогда лучше 300, эт новая линейка

Микротик сср

Это ж не фаерволл

Это ж не фаерволл

ну может и правда человеку хватит его - как шлюз оно может, всяко может. на малую контору то да - можно

Да, забыл еще добавить. Нужно, чтобы держал до 100 ipsec и где-то 1-1.5 Гбит/с. Сценарий простой. На железку по ipsec цепляются около 20 удаленных филиалов (число будет увеличиваться). Ну, и предприятие на 150 компов - расширять будем до 250. У удаленщиков инэт по 50 Мбит всреднем. Они туда RDP сессией ходят + почта + smb + еще портал на Sharepoint (этот трафик, думается, можно не учитывать)

Я в том смысле, что миграцию конфигов будет сложно делать. Все таки фаерволл и роутер работают очень по разному

Да, забыл еще добавить. Нужно, чтобы держал до 100 ipsec и где-то 1-1.5 Гбит/с. Сценарий простой. На железку по ipsec цепляются около 20 удаленных филиалов (число будет увеличиваться). Ну, и предприятие на 150 компов - расширять будем до 250. У удаленщиков инэт по 50 Мбит всреднем. Они туда RDP сессией ходят + почта + smb + еще портал на Sharepoint (этот трафик, думается, можно не учитывать)

Сто тыщ вряд ли хватит

100 айписеков.. это уже софтово не решить..

Сто тыщ вряд ли хватит

Уже посоветовали SRX310. Я Zyxel ZyWall 110 рассматривал

Сеичас используется 20. Но будут еще. Я хочу с заделом на будующее

Хотя бы лет на 5

Srx имхо тут только, без вариантов

Уже посоветовали SRX310. Я Zyxel ZyWall 110 рассматривал

ну как бы бери сэрикс. но не зюксель.

а меня прокатили сэриксом менеджеры (

Может, из микротиков еще что?

а меня прокатили сэриксом менеджеры (

пошто так? и что дали? неужто длинк?)

чекпоинт 4800

а длинк когда-то был да, дфл))

Может, из микротиков еще что?

100 айписеков будет нормально деоржать у них только старшая железка. она под 200. и убога до сих пор.

Ой, страшная штука dfl. Я с ним реально мучаюсь

если не трогать после того настроил все, то норм работает

Вчера, вот, проблема была. Начали отваливаться ipseс-и. До этого работало, не трогал. 1 изменение в конфигу внес - нужно было порт пробросить.

не знаю, как связано

Софт

то есть тут надо понимать что если обрабатывать все на проце - как делает тик .... короче я к тику отношусь так: в подразделение хорошо. дома хуже. в ядро сети - это попа

ну для СОХО бизнеса, как по мне, тик самое то по цена/качество

ERROR: S client not available

ну для СОХО бизнеса, как по мне, тик самое то по цена/качество

Дело не в сохо, а в требованиях к железке

ну для СОХО бизнеса, как по мне, тик самое то по цена/качество

только для . но когда хотят нат полтора и 100 айписеков - ну его нахрен.

Дело не в сохо, а в требованиях к железке

да, согласен, верное учточнение

я сегодня тик вспоминал - мне ноут родственники принесли - заменить мост. вот в асусе такой же уродский текстолит как у тиков и эриссона

Народ, а как у джунов с лицензиями? Все лицензировать надо или можно будет железку поставить в базовой комплектации и работать?

Народ, а как у джунов с лицензиями? Все лицензировать надо или можно будет железку поставить в базовой комплектации и работать?

Смотря какое железо. Обычно все и так работает

SRX 340

Интересное решение

под мою задачу

под мою задачу

Но он будет где-то 150к стоить за штуку (недавно брали себе)

125

http://junipershop.ru/security-juniper/srx_series/srx_300/srx340

Плюс ещё учитывай, что сроки поставки для SRX как правилос неприличные

Да, пофиг сроки

http://junipershop.ru/security-juniper/srx_series/srx_300/srx340

А этих ребят не советую

Работает же DLINK

сеичас

Они серяк возят

Плюс ещё учитывай, что сроки поставки для SRX как правилос неприличные

у джунипершопа в наличии

Ага, знаю. Ток это серая партия =)

Они серяк возят

поподробнее можно?)

Без доков от ФСБ, без гарантии от джуна

И они не официальный партнёр. Так что если захотите потом купить сервис на эту железку - будет облом

а. ну вот последнее да. а фсб и прочее - все решаемо

Сами будете бюллетень получать?)

И железка по серийнику под азиатский рынок

Кстати, раз зашла такая пьянка, то как у джунов с интеграцией с АД? Реализуемо, чтобы принадлежность в группе определяла заданную политику на фаерволе?

С АД лучше всего дружит Пало-Альто