Добрый день!

Господа, требуется Ваша помощь в выборе сетевого оборудования!
У меня есть 3 здания - основное и два филиала. Они соединены оптикой провайдера, т.е. в каждое здание приходит шнурок rj45 (через медиаконвертер), все это в отдельном продайдерском vlan, т.е. для меня это выглядит как будто все 3 здания воткнули в 1 хаб (ну и 3 адреса 192.168.10.1-3). В основном здании стоит сервер под pfsense который NATит в инет локальную сеть основного здания (172.16.0.0) и вышеописанный vlan провайдера (т.е. два филиала). В филиалах так же стоят небольшие сервера на pfsense, на одном интерфейсе у них LAN (172.17.0.0 и 172.18.0.0), на другом vlan провайдера, и настроена маршрутизация, чтобы все уходило на основной сервер pfsense, который уже рулит трафиком. Скорости, хоть и оптика, небольшие - 5 мегабит в пике. Так вот, хочу вместо двух pfsense в офисах поставить какие-то железки (может и в основной тоже надо будет?), которые бы могли объединить эти 3 здания (3 сети) в одну, точно также как сейчас, только за одно еще чтобы трафик шифровался при передачи по сети провайдера, тобишь VPN.
Если в схему сети детально не вдаваться, то по сути требуется просто маршрутизировать весь трафик от LAN в VPN туннель до моего основного pfsense.
Главные требования к железкам - надежность, настроил - забыл, работа в режиме 24/7.

Сумма проекта?
Предпочтительные вендоры?

Сумма, в общем-то, не ограничена. Насчет вендоров - предлагайте любых, хоть циски, правда я в них вообще ничего не понимаю :)

1) Если требуется только VPN и межсетевой экран, то лучше брать желзяки типа ASA. Особенно если со временем вы будет подключать к VPN пользователей
http://www.cisco.com/web/RU/solutions/smb/products/security/asa_5500_series_adaptive_security_appliances.html

5505 - филиал
5510 - центр, если нужна кластеризация, то - 5520

http://www.cisco.com/en/US/products/ps6120/prod_models_comparison.html#~mid-range


2) Если данные устройства будут работать как опорные (будут интенсивно маршрутизировать, будут применяться протоколы динамической маршрутизации), тогда лучше использовать маршрутизаторы с префиксом K9

1811 - филиал
1841 - центр, если есть необходимость VoIP = 1861

5505 это самое младшее решение? Просто у него 8 портов, а мне по сути нужно всего 2. С ценами на эти девайсы я вообще ничего не понял :( Разброс от 10 до 40 тыс?!
А зачем ставить 5510 в центр? Подключать пользователей по VPN я не буду, исключительно мои два филиала.
есть необходимость VoIP = 1861 »
А что серия 5500 не будет пропускать VoIP трафик?

1841 - центр »
больше 10мбпс получить в туннеле IPsec (3des-sha) на ней не реально, насколько я поняла.
TrueAlex,
посмотрите ещё на устройства Juniper, они дешевле Cisco и ничем не хуже.

А что серия 5500 не будет пропускать VoIP трафик? »
Дело не в пропускании.
1841 может выполнить функции VoIP шлюза и/или АТС.

5505 это самое младшее решение? »
Да

Разброс от 10 до 40 тыс?! »
Зависит от активированных функций, так же в комплекте могут идти SSL (пользовательские VPN) - лицензии.

А зачем ставить 5510 в центр? Подключать пользователей по VPN я не буду, исключительно мои два филиала. »
Вы топологию нарисуйте сначала, а потом будем обсуждать.
Центровое устройство должно быть мощнее оконечных, т. к. пиковый трафик через нее равен суммарному трафику от всех филиалов.

TrueAlex,
посмотрите ещё на устройства Juniper, они дешевле Cisco и ничем не хуже. »

Что ничем не хуже - это верно.
По некоторым параметрам даже лучше.
А вот дешевле ...
Прайс посмотреть можно?

А вот дешевле ...
Прайс посмотреть можно? »
я не продавец =)
http://www.senetsy.ru/products/juniper/firewalls/srx_100_210_220_240/
вот пример, соотно минус от GPL в зависимости от ;)
думаю что для задач, которые пока что, толком не сформулированы - хватит srx100 в мелкие и возможно 210/220/240 в головной.
хотя может и 100-тки хватит, если мы говорим о канальчиках в 2-4-6-8мбпс.

да уж :) А есть что-то попроще? Без всяких VoIP и прочего? А то по ходу и проще и дешевле купить железки под pfsense...

А то по ходу и проще и дешевле купить железки под pfsense... »
mikrotik ;)
А есть что-то попроще? »
вам дешевле, или всё же проще? :)
Без всяких VoIP и прочего? »
так а если вы его не используете, зачем тогда на него закладываться?

cameron,
Спасибо.


думаю что для задач, которые пока что, толком не сформулированы - хватит srx100 в мелкие и возможно 210/220/240 в головной. »
Да, это более чем достаточно.

вам дешевле, или всё же проще? »
Пока выходит, что и дешевле и проще.

думаю что для задач, которые пока что, толком не сформулированы »
Я же сказал - максимум 5 мегабит скорость, 1 vpn из каждой точки, ну 2 максимум. VoIP уже не я придумал.

TrueAlex,

Если VPN будет классический - точка-точка, то схема сети будет приблизительно такая.

Я же сказал - максимум 5 мегабит скорость, 1 vpn из каждой точки, ну 2 максимум. VoIP уже не я придумал. »
тогда я считаю что 3-х srx100b (даже не H), вам хватит за глаза.