Страница 1 из 2

VPN кто на чем и как делает ?

СообщениеДобавлено: 24 сен 2004, 09:29
Ravil
В связи с утановкой в ближайшее время Windows 2003 Terminal server
возникла необходимость защищенного соединения между центральным офисом и филиалами (везде выделенки)
На данный момент имеем сервера NW5.1 для Инет и в некотрых филиалах файрволы D-Link DFL-100.

Вопросы
1) У кого есть опыт построения VPN поделитесь (аппаратный VPN)
2) Насколько пригоден для построения VPN D-Link DFL-100 в котором есть поддержка VPN ?
(на первом этапе предполагается офис соединить с десятком филиалов, потом будет больше).
3) Если не D-link то какое железо Cisco или еще что нибудь можно использовать чтобы не очень цена ломовая была ?

СообщениеДобавлено: 24 сен 2004, 10:31
Аркадий Глазырин
У меня VPN средствами шлюза организован. На шлюзах FreeBSD.

Re: VPN кто на чем и как делает ?

СообщениеДобавлено: 24 сен 2004, 12:54
Сергей.М.
Ravil писал(а):3) Если не D-link то какое железо Cisco или еще что нибудь можно использовать чтобы не очень цена ломовая была ?


Об этом забудте, цена будет с 4-мя нулями. Самое дешовое решение от Cisco на маршрутизаторах серии 2600 будет стоить порядка 10-11 тысяч. При использовании PIX или специализированного VPN концентратора еще выши.


FreeBSD, Linux + софт соответствующий. На гугле поищите.

СообщениеДобавлено: 24 сен 2004, 14:02
Константин Матвеев
Novell BorderManager 3.8 вам поможет.
цена вопроса - 40 долларов на пользователя (в рекомендованных ценах).

Константину про BM

СообщениеДобавлено: 25 сен 2004, 11:06
skoltogyan
А что в BM есть PIX , IDS ?

а если надо сделать VPN для канала 100 MB ???

СообщениеДобавлено: 25 сен 2004, 21:58
Dimerson
А вот что подскажет ALL - если есть потребность обьединять LAN головной крнторы с LAN оффисов [некий провайдер предоставляет VLAN 100 MB - что-нибудь типа MPLS] ... хотелось бы иметь Transparent Bridging - мало ли что я буду гонять + все это шифровать на полной скорости ...

Есть идеи у All??

Re: а если надо сделать VPN для канала 100 MB ???

СообщениеДобавлено: 27 сен 2004, 06:12
Сергей.М.
Dimerson писал(а):А вот что подскажет ALL - если есть потребность обьединять LAN головной крнторы с LAN оффисов [некий провайдер предоставляет VLAN 100 MB - что-нибудь типа MPLS] ... хотелось бы иметь Transparent Bridging - мало ли что я буду гонять + все это шифровать на полной скорости ...

Есть идеи у All??


Если данные не очень критичные что вполне могут не шифроваться дополнительно, то можно пользоваться данной технологией.

802.1Q and Layer 2 Protocol Tunneling

Tunnel ports are used in 802.1Q tunneling to segregate the traffic of customers in a service provider network from other customers who appear to be on the same VLAN. You configure an asymmetric link from a tunnel port on a service provider edge switch to an 802.1Q trunk port on the customer switch. Packets entering the tunnel port on the edge switch, already 802.1Q-tagged with the customer VLANs, are encapsulated with another layer of 802.1Q tag (called the metro tag) containing a VLAN ID unique in the service provider network, for each customer. The double-tagged packets go through the service-provider network keeping the original customer VLANs separate from those of other customers. At the outbound interface, also a tunnel port, the metro tag is removed, and the original VLAN numbers from the customer network are retrieved.

Re: а если надо сделать VPN для канала 100 MB ???

СообщениеДобавлено: 27 сен 2004, 06:31
Dimerson
Сергей.М. писал(а):
Dimerson писал(а):А вот что подскажет ALL - если есть потребность обьединять LAN головной крнторы с LAN оффисов [некий провайдер предоставляет VLAN 100 MB - что-нибудь типа MPLS] ... хотелось бы иметь Transparent Bridging - мало ли что я буду гонять + все это шифровать на полной скорости ...

Есть идеи у All??


Если данные не очень критичные что вполне могут не шифроваться дополнительно, то можно пользоваться данной технологией.

802.1Q and Layer 2 Protocol Tunneling

Tunnel ports are used in 802.1Q tunneling to segregate the traffic of customers in a service provider network from other customers who appear to be on the same VLAN. You configure an asymmetric link from a tunnel port on a service provider edge switch to an 802.1Q trunk port on the customer switch. Packets entering the tunnel port on the edge switch, already 802.1Q-tagged with the customer VLANs, are encapsulated with another layer of 802.1Q tag (called the metro tag) containing a VLAN ID unique in the service provider network, for each customer. The double-tagged packets go through the service-provider network keeping the original customer VLANs separate from those of other customers. At the outbound interface, also a tunnel port, the metro tag is removed, and the original VLAN numbers from the customer network are retrieved.


Спасибо - это я понимаю - 802.1Q или MPLS VPN (на основе BGP), а если всетаки надо шифровать ?

Re: а если надо сделать VPN для канала 100 MB ???

СообщениеДобавлено: 27 сен 2004, 09:12
Аркадий Глазырин
Dimerson писал(а):Спасибо - это я понимаю - 802.1Q или MPLS VPN (на основе BGP), а если всетаки надо шифровать ?


Как я понял Вы хотите узнать какая будет максимальная ширина VPN канала, организованного при использовании сети стандарта 100BaseTX.

Так?

Правильно понято?

Промежуточный ответ: даже без организации VPN, при нулевой загрузке сети посторонними задачами Вы на карточках, например, D-Link DFE-530TX получите максимум 80Мегабит в секунду. :?
Если сеть загружена, то меньше 60Мегабит в секунду.

Ибо десктопные карты софтовые.

Так что давайте сперва поговорим о "железе" и лишь после этого перейдём к программному обеспечению.

Что у Вас за сеть, как сделана, какие карты, какие серверы, какие коммутаторы?

СообщениеДобавлено: 27 сен 2004, 09:59
Владимир_Степанов
Linux + Freeswan. Замечательное и дешевое решение

СообщениеДобавлено: 27 сен 2004, 10:28
Аркадий Глазырин
Владимир_Степанов писал(а):Linux + Freeswan. Замечательное и дешевое решение


Это понятно. Автор темы о скорости спрашивает. На 100Мегабитной коммутируемой линии.

СообщениеДобавлено: 27 сен 2004, 13:22
Ravil
Я так понял аппаратного решения за умеренную цену нет ?
а железки от D-link тоже никто не юзал.

В принципе тему можно закрыть.

СообщениеДобавлено: 27 сен 2004, 13:29
Аркадий Глазырин
Ravil писал(а):Я так понял аппаратного решения за умеренную цену нет ?
а железки от D-link тоже никто не юзал.


:!: Не надо приписывать нам Ваши мысли.
_________________________________________________________
Аппаратное решение есть.
Как пример

Маршрутизатор D-Link DI-804HV (Eth->Eth., встр. коммутатор, 4*10/100TX, 1*RS-232, 1*WAN: 1*10/100TX)

Широкополосный маршрутизатор с VPN, IPSec и продвинутым Firewall. Позволяет подключить к интернет локальную сеть через одно соединение. Умеет резервировать линию через модем. Подключаете модем, а в настройках включаете функцию Auto BackUp. При проподании основного соединения DI-804HV будет дозваниваться к провайдеру и работать через модем (установка соединения "по требованию"). При восстановлении основного соединения связь через модем обрывается и DI-804HV работает по основному линку.

Стоит он 3 370 руб. в розницу.

Обеспечивает создание VPN канала с шириной не уже 2Мегабит в секунду, чего для работы Интернет и удалённых офисов хватает с запасом. На практике ширина канала 6-8Мегабит.

При цене маршрутизатора меньше 100Евро это вполне нормальная скорость.

СообщениеДобавлено: 27 сен 2004, 14:12
Ravil
Аркадий я свои мысли ,тебе уж точно не приписываю :lol:

в первом сообщение я указал про аппаратный VPN именно он меня интересует больше. У меня есть в филиалах D-link DFL-100 (около 200$) , в офис готов купить железку гдето за 1500$
Поэтому просил поделится опытом построения VPN тех у кого он есть .

СообщениеДобавлено: 27 сен 2004, 14:50
biruk
Ravil писал(а):У меня есть в филиалах D-link DFL-100 (около 200$) , в офис готов купить железку гдето за 1500$
Поэтому просил поделится опытом построения VPN тех у кого он есть .

у нас в филиалах стоят linux-овые тачки. на них и настроено vpn-firewall-dns-dhcp + еще что-нить.
стоимость - только железка и оклад инженера.

удаленный доступ cisco vpn client терминируются на pix-е...
стоимость - PIX-515R ~$4900

с банком vpn через ФПСУ-ИП, железка сертифицированная ФАПСИ, шифрование по госту.
стоимость - ~$2100-2300

настривал ipsec между pix-ом и linsys-ом - нормально работает. с dlink-ом так не получилось :(

канал у нас 2мб, так что про скоростные режимы ничего не скажу.