Помогите пожалусто начинающему:

- Требуется маршрутеризатор, желательно гигабитный, для маршрутизации 3-ёх, в дальнейшем возможно больше сетей Vlan, и выходом в Интернет.

Не знаю если это важно, но на всякий случай опишу топологию сети:
имеется 2 помещения в каждом из которых автономный выход в интернет (просто необходимо так, отказаться от этого нельзя) поэтому 2 Vlan:
1-ый vlan будет выходить в интернет через выше обозначенный раутер
2-ой через простой раутер предоставленный провайдером. В каждой сети 7-15 компьютеров.
3-ий vlan это телефонная сеть подключённая к ATC на Asterisk-е. Связь с ней нужна для адменистрирования АТС и резервного копирования телефонных разговоров на storage котрый находится в 1-ой сети.

Возможно что серверная часть, из-за виртуалок и сервисов доступных из интернет в дальнейшем будет выделена в отдельный сегмент, 4-ый vlan.

- Соответственно, нужно чтобы была возможность пробрасывать порты в разные vlan из Интернет и между vlan-ами.

- Желательно чтобы на раутере был VPN сервер.

- VPN клиент для подключения к Интернет, pppoe, l2tp, pptp. Из-за того что офис постоянно переходит от провайдера к провайдеру. Не знаю стоит ли чтобы маршрутеризатор был направленный, т.е. например ADSL с портом RJ-11 для телефонной линии. Или лучше чтобы он имел WAN порт RJ-45, и тогда не важно какой будет линия, он всё равно сможет подключаться.

- Нужно так же нормальная передача VoIP через раутер, как я понял некоторые раутеры вмешиваются в работу протокола VoIP, и потому бывают помехи на линии и прочая дребедень. (планируется, что некоторые пользователи будут иметь возможность подключать телефон из дома к этому АТС).


Вопрос наверное глупый, но хотелсь бы организовать это грамматно, а моего оппыта скажем так "мало", поэтому посоветуйте как лучше это всё организовать?

1. Стоит ли использовать route/bridge провайдера для установления интернет соединения, а router или firewall установить после него чтобы раутить внутреннюю сеть?

2. Использовать специализированный маршрутизатор который будет маршрутизировать внутренний трафик и выход в интернет. А для того чтобы обеспечеить в случае необходимости подключение к интернету разными провайдерами:
а) запостись 2 раутерами: один ADSL, а второй с pptp и l2tp клиентами?
б) взять раутер который будет иметь клиентов VPN для всех возможных соединений (если такой вообще водится)

3. Использовать сервер на основе FreeBSD или Windows 2008 (есть лицензия, но сейчас не используется вообще) в связке с ISA или чем-то подобным.


Прошу поделиться опытом, и по возможности объяснять почему стоит выбрать тот или инной путь

Добавлю что на данный момент я должен заказать ещё 2 коммутатора, потому нет никакой проблемы чтобы один из них был 3-его уровня

Пока что не смог определиться кому лучше доверить маршрутизацию vlan, коммутатору 3-го уровня или secure gateway?
Присмотрел для первого варианта:
switch layer 3:
Cisco SG500X-24
Cisco SGE2000

в связске с:
Cisco ASA 5505 / Security Plus
Juniper SSG 5

Для второго (и как мне кажется более грамматного):
Juniper SRX220
Cisco ASA 5512-X; Security Plus либо Cisco ASA 5520 (так и не смог найти в чём между ними разница)
Cisco SA540 Gateway 25 Bundle

Мне так же рекомендовали посмотреть ASA (если человек не имел ввиду модель Cisco) и Лантек, но их сайтов я не смог найти если кто подскажет, буду признателен

Что скажите, какой вариант стоит выбрать?
И какое оборудывание использовать?

Всем зарание спасибо!

посмотрите в сторону Juniper SSG5 series.

exo, Если я правильно понимаю, этот раутер должен раутить чисто внутренние соединения, для выхода в интернет, мне нужно будет использовать отдельное устройство?

exo, ещё раз простите и спасибо!

этот раутер должен камутировать чисто внутренние соединения »
коммутирует коммутатор (он же свитч).
маршрутизирует маршрутизатор (он же роутер).

большинство руотеров имеют встроенные коммутаторы. В Juniper SSG 5 - каждый отдельный порт можно настроить для своих нужд.

не советую брать SSG, берите SRX, если уж Juniper.
screenos - скоро закончится, а вот Junos - нет.
далее - вланы лучше разрулить на свитчах, чем гнать весь траффик на роутеры и переводить на них порты в ethernet-switching.

насчёт клиентов PPTP/L2TP - не все роутеры могут быть этими клиентами, нужно читать документацию.
PPPoE клиентами - почти все.
наличие портов для DSL - тоже опционально, к примеру SRX 110.

не советую брать SSG, берите SRX, если уж Juniper.
screenos - скоро закончится, а вот Junos - нет. »
согласен. читал там и плюшек больше. я просто не работал с SRX.

cameron, exo,
Если я правильно понимаю, то лучше использовать, router/bridge интернет провайдера, а после него поставить Juniper или Firewall, для раутинга внутреннего трафика? Тогда если провайдер и решит что-то изменить (например несколько месяцев назад наш провайдер решил что больше не работает с pptp, а только l2tp), то на врнутренней сети это никак не отразится.

Я так почитал про эти устройства, они все расчитанны на провайдеров, либо Enterprise. На сколько целесообразно ставить такие устройства в офис на 30-50 машин?

Smoke2k, это зависит от того, как предоставляет интернет провайдер. если он ставит своё оборудование - значит так тому и быть, если не ставит - значит только ваше. Но в любом случае в здании будет стоять оборудование провайдера. Или в соседнем здании. И даже если провайдер что-то меняет, он должен вначале оповестить вас. Если провайдер что-то менет это влияет только на доступ в интернет. Провайдер не имеет доступа в вашу сеть (если вы всё правильно сделаете) и не влияет на неё в любом случае.
На сколько целесообразно ставить такие устройства в офис на 30-50 машин? »
а в чём изменять целесообразность? :)
конечно, в компании лучше не ставить домашний роутер.

exo, хорошо уточню:

У нас в стране, есть чёткое разделение, доступ в интернет и физическое подключение. Это 2 разных поля которые разделенны между разными провайдерами.
Провайдер физической линии:
ADSL предлогает за дополнительную плату установить свой router или bridge, потому как можно купить раутер в магазине, с выходом ADSL и подключить самостоятельно.
xDSL в любом случае устанавливает либо модем, которые является по большей части bridge между rj-45 и RF кабелем, у такого модема нет никаких настроек, и клиент настраивает vpn на компьютере либо покупает соответствующее оборудывание. Либо в последнее время они начали устанавливать модем-раутер, который контралируется по большей части провайдером, т.е. они временами обновляют прошивки и настройки, но в нём можно настроить l2tp или pptp клиент и настройки будут работать всегда.

Провайдер соединения с интернет исползуют выше описанную линию, по котрой протягивают свои vpn-ы.

В последний раз провайдер просто отключил vpn сервера на pptp без какого-либо уведомления, хотя теоретически должен был предупредить. Но во внутреннюю настройку сети провайдер никак не вмешивается.
И даже если провайдер что-то меняет, он должен вначале оповестить вас. Провайдер не имеет доступа в вашу сеть (если вы всё правильно сделаете) и не влияет на неё в любом случае. »
Я имел ввиду, если у раутера нет всех возможных vpn клиентов, и в случае внезапного перехода, от провайдера или вернее от протокола к протоколу, нужно менять само устройство физически.

а в чём изменять целесообразность?
конечно, в компании лучше не ставить домашний роутер. »
Я не имел ввиду установить домашний раутер, который к тому же вряд ли сможет обеспечить выше перечисленные вещи (маршрутеризацию между vlan-ами, vpn-server, проброс портов из интернет в различные vlan). Просто кажется что эти устройства через чур промышленные, или я смотрю на вещи в не верной пропорции, и 30-50 компьютеров это уже уровень требующий оборудывания уровня предприятия? (когда я говорю предприятие, подразумеваю сеть 500 и выше клиентов)
Я просто считал что такое количество клиентов, не требует оборудывания больше уровня SOHO, в крайнем случае medium, но ни как не думал в сторону enterprise или урованя провайдера.
Хотя и из-за того что в офисе все профили пользователей находятся на сервере (они постоянно мигрирует с места на место), то желательно чтобы сеть и маршрутеризатор были gigabit, на 100 Mb это всё довольно сильно подвисает...

Из серии SRX я присмотрелся к SRX220
http://www.juniper.net/us/en/products-services/security/srx-series/srx220/#specs
Хотелось бы услышать мнения.

Может посоветуете приглядется к ещё каким-то производителям и сериям. Я никогда здесь не слышал о такой компнии, и не уверен что у нас такие водятся :-(

далее - вланы лучше разрулить на свитчах, чем гнать весь траффик на роутеры и переводить на них порты в ethernet-switching.
Если я не ошибаюсь, то для этого требуется коммутаторы Layer 3, а у меня все layer 2, т.е. если так смотреть нужно ещё один коммутатор и маршрутеризатор, я правильно Вас понимаю?

Либо в последнее время они начали устанавливать модем-раутер, который контралируется по большей части провайдером, т.е. они временами обновляют прошивки и настройки »
у нас недавно так и вышло. вообще смешная ситуация. на работе у нас стали возникать проблемы, появились перебои с интернетом.
Один сотрудник, не админ, сказал начальнику что это проблемы с коаксиальным мостом (бридж), а тот сказал ему купить новый.
Сотрудник позвонил провайдеру, те выслали коаксиальный роутер. Мы его включили - но проблемы не решились.
Когда я получил доступ к этому новому роутеру оказалось, что он работает как НАТ ! А ведь после него у нас стоит SSG 5 ! т.е. два НАТа, чего я не хочу.
И как раз новый роутер обновляется провайдером. На сайте производителя написано как включить режим моста на этом роутере.
НО этого меню там НЕТ !!! А через пару часов от туда исчезло другое меню!!!
Вот сейчас борюсь с эти "решением" по замене оборудования.
И не спрашивайте, почему неадмин решил заменить оборудование. я сам не знаю...

не спрашивайте, почему неадмин решил заменить оборудование. я сам не знаю...
Как водится начальство вмешивается, куда надо и не надо

А что говорит провайдер? Они ведь должны как-то решать такие проблемы, не думаю что Вы единственный кто борится с этим?

Кто-нибудь объясните мне что это означает:
Concurrent VPN tunnels: 512
Tunnel interfaces: 64

Что можно создать 512 пользователей, но только 64 из них могут быть подключены одновременно?

А что говорит провайдер? »
а мы пока ждём. если во вторник не будет ответа: у меня уже в черновиках лежит "гневное" письмо готовое к отправке к начальникам.

Кто-нибудь объясните мне что это означает: »
попробуйте поискать описание на сайте производителя.

Так, стоп!!! Я тут немного не допонял... на вопрос о раутере Вы мне рекомендовали межесетевой экран.

Может мне кто-нибудь объяснить в чем собственно разница между устройством router и устройством firewall. Я знаю что есть что, как служба, но в чём отличае между устройствами и когда лучше использовать раутер, а когда firewall?

в чем собственно разница между устройством router и firewall »
роутер - это маршрутизатор. его главная задача - маршрутизировать трафик с помощью таблиц маршрутизации.
фаервол - это защита. его главная задача - запрещать соединения из сети интернет.

в настоящее время почти все роутеры имею встроенные функции фаервола.
также фаеролы могут реализовывать маршрутизацию: IPFW, IPTABLES

т.е. аппаратный маршрутеризатор больше подходит, только для того чтобы маршрутеризировать между несколькими сетями без вмешательства в работу протоколов (блокировка портов, фильтрация контента и прочего). А протоколы NАТ/РАТ тоже реализуют маршрутеризаторы, или этот протокол реализуется обычно средствами firewall-а (я имею ввиду что это решает надстройка фаервола)?

А фаервол может спокойно справиться с задачами маршрутеризации помимо своего прямого назначения? Средствами правил фаервола? И что фаерволы так же поддерживают протоколы маршрутеризации OSPF, RIP и прочее, или это наследство от маршрутеризаторов.

Я просто пытаюсь понять, если каждый из этих устройств умеет решать задачи обоих, зачем нужен собрат? Допустем понятно что для меня в данном случае действительно подходит фаервол, его более чем должно хватить для решения моих задач. Остаётся вопрос в каких случаях нужен и стоит использовать непосредственно раутер?

Кстати если так смотреть, то может стоит взять switch layer 3 и простой firewall, тогда от последнего будет меньше требываний? Или такое решение будет дороже, а по гибкости настройки и возможностям будет значительно уступать первому?

т.е. аппаратный маршрутизатор больше подходит, только для того чтобы маршрутеризировать между несколькими сетями без вмешательства в работу протоколов (блокировка портов, фильтрация контента и прочего). А протоколы NАТ/РАТ тоже реализуют маршрутеризаторы, или этот протокол реализуется обычно средствами firewall-а (я имею ввиду что это решает надстройка фаервола)? »
НАТ\ПАТ - это только преобразование адресов.
А фаервол может спокойно справиться с задачами маршрутеризации помимо своего прямого назначения? Средствами правил фаервола? И что фаерволы так же поддерживают протоколы маршрутеризации OSPF, RIP и прочее, или это наследство от маршрутеризаторов. »
может. Но не все.
ОСПФ, РИП, БГП - это протоколы маршрутизации. К фаерволу не имеет отношение. Почитайте о них, хотя бы в википедии.
Я просто пытаюсь понять, если каждый из этих устройств умеет решать задачи обоих, зачем нужен собрат? »
за тем, чтобы не ставить две железки эти функции объединяют.
ач. Остаётся вопрос в каких случаях нужен и стоит использовать непосредственно раутер? »
если вы провайдер и вам всё равно на содержание трафика. Но даже такие железки могут иметь правила блокировок трафика.
switch layer 3 и простой firewall, тогда от последнего будет меньше требываний? Или такое решение будет дороже, а по гибкости настройки и возможностям будет значительно уступать первому? »
дороже и больше времени на настройку. так же ставить свитч перед роутером можно только в одном случае: когда у вас несколько реальных IP адресов, но не подсеть. Если подсеть - можно ставить роутер, т.к. подсеть будет выходить из ЛАН портов. и всё равно ваш роутер будет иметь функции фаервола.

[q=Smoke2k: т.е. аппаратный маршрутизатор
Спасибо!
НАТ\ПАТ - это только преобразование адресов. » я просто хотел понять чья это функция, в *nix-ах её реализует обычно фаервол или отдельный демон, в Microsoft это делает RRAS, вот и непонятно мне, а в аппаратном кто будет этим заниматься, ведь обычно проброс портов внутрь НАТ делает фаервол, хотя в Cisco, кажется это делается чем-то посторонним, не фаерволом... Хотя это и не существенно...

может. Но не все.
ОСПФ, РИП, БГП - это протоколы маршрутизации. К фаерволу не имеет отношение. Почитайте о них, хотя бы в википедии. [post=1989380]»

Да я знаю для чего эти протоколы, и видел что тот-же Juniper Security что-то там, их поддерживает, потому мне стало интересно, если допустим большая организация, имеет несколько небольших офисов, между которыми растянут какой-нибудь тунель с динамическим раутингом, скажем MGRE, они для этого могут воспользоваться Firewall устройствами, а не полноценными раутерами? (конечно при условии что firewall поддерживает необходимые протоколы)

свитч перед роутером можно только в одном случае: когда у вас несколько реальных IP адресов »
Вот тут я малость не понял, мне ведь нужно маршрутизирвать в основном только внутренную сеть, а в интернет выходит только одна из них. Даже если выделить серверную часть в отдельный сегмент (в чём я пока не вижу смысла), они всё равно будут общаться между собой, а не с интернетом.

(конечно при условии что firewall поддерживает необходимые протоколы) »
тогда это уже роутер :)
Вот тут я малость не понял, мне ведь нужно маршрутеризирвать в основном только внутренную сеть »
для маршрутизации внутренний сети вообще роутер не нужен, т.к. все таблицы маршрутизации будут у клиентов. Естественно, что для соединения клиентов нужен коммутатор - свитч.
Даже если выделить серверную часть в отдельный сегмент (в чём я пока не вижу смысла) »
а вот тут нужен будет роутер, который и служит для объединения сегментов. Смысл - почитайте про DMZ

а вот тут нужен будет роутер, который и служит для объединения сегментов »
О DMZ я и говорил когда говорил о выделенном сегменте... но пока что в этом смысла нет...

для маршрутизации внутренний сети вообще роутер не нужен, т.к. все таблицы маршрутизации будут у клиентов. »
согласен, но кто-то ведь должен между ними объединять? В том-то весь и вопрос, кто? Коммутатор 3-его уровня или маршрутизатор (какие же длинные слова по русски %( )

мой друг по происхождению венгр, несколько лет назад перехал жить в Румынию, и когда недавно приезжал в гости жаловался что в румынском языке длинные слова. поэтому ему легче говорить по английски. Я тогда над ним посмеялся, потому что по русски они столь же длинны, но похоже так от этого отвык, что сейчас только понимаю на сколько он был прав, какие же длинные слова и особенно терминалогия...

вот и непонятно мне, а в аппаратном кто будет этим заниматься »
в аппаратных роутерах\фаерволах в большинстве случае (в домашних уж точно) установлен Linux :)
согласен, но кто-то ведь должен между ними объединять? В том-то весь и вопрос, кто? Коммутатор 3-его уровня или маршрутизатор »
достаточно и простого хаба - концентратора (новое слово для вас :) ). Так же достаточно и одного провода для объединения в сеть двух клиентов.