VPN кто на чем и как делает ?

Обсуждение технических вопросов по продуктам Novell

VPN кто на чем и как делает ?

Сообщение Ravil » 24 сен 2004, 09:29

В связи с утановкой в ближайшее время Windows 2003 Terminal server
возникла необходимость защищенного соединения между центральным офисом и филиалами (везде выделенки)
На данный момент имеем сервера NW5.1 для Инет и в некотрых филиалах файрволы D-Link DFL-100.

Вопросы
1) У кого есть опыт построения VPN поделитесь (аппаратный VPN)
2) Насколько пригоден для построения VPN D-Link DFL-100 в котором есть поддержка VPN ?
(на первом этапе предполагается офис соединить с десятком филиалов, потом будет больше).
3) Если не D-link то какое железо Cisco или еще что нибудь можно использовать чтобы не очень цена ломовая была ?
Ravil
 
Сообщения: 396
Зарегистрирован: 17 июл 2002, 12:05
Откуда: Kazan

Сообщение Аркадий Глазырин » 24 сен 2004, 10:31

У меня VPN средствами шлюза организован. На шлюзах FreeBSD.
Аватара пользователя
Аркадий Глазырин
 
Сообщения: 2762
Зарегистрирован: 16 авг 2002, 09:09
Откуда: Екатеринбург

Re: VPN кто на чем и как делает ?

Сообщение Сергей.М. » 24 сен 2004, 12:54

Ravil писал(а):3) Если не D-link то какое железо Cisco или еще что нибудь можно использовать чтобы не очень цена ломовая была ?


Об этом забудте, цена будет с 4-мя нулями. Самое дешовое решение от Cisco на маршрутизаторах серии 2600 будет стоить порядка 10-11 тысяч. При использовании PIX или специализированного VPN концентратора еще выши.


FreeBSD, Linux + софт соответствующий. На гугле поищите.
Аватара пользователя
Сергей.М.
 
Сообщения: 181
Зарегистрирован: 06 июн 2002, 08:14

Сообщение Константин Матвеев » 24 сен 2004, 14:02

Novell BorderManager 3.8 вам поможет.
цена вопроса - 40 долларов на пользователя (в рекомендованных ценах).
Константин Матвеев, MCNE
Аватара пользователя
Константин Матвеев
 
Сообщения: 252
Зарегистрирован: 10 июл 2002, 13:49
Откуда: Москва

Константину про BM

Сообщение skoltogyan » 25 сен 2004, 11:06

А что в BM есть PIX , IDS ?
skoltogyan
 
Сообщения: 1941
Зарегистрирован: 12 июл 2002, 19:39
Откуда: Украина, Донецк

а если надо сделать VPN для канала 100 MB ???

Сообщение Dimerson » 25 сен 2004, 21:58

А вот что подскажет ALL - если есть потребность обьединять LAN головной крнторы с LAN оффисов [некий провайдер предоставляет VLAN 100 MB - что-нибудь типа MPLS] ... хотелось бы иметь Transparent Bridging - мало ли что я буду гонять + все это шифровать на полной скорости ...

Есть идеи у All??
Аватара пользователя
Dimerson
 
Сообщения: 2798
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: а если надо сделать VPN для канала 100 MB ???

Сообщение Сергей.М. » 27 сен 2004, 06:12

Dimerson писал(а):А вот что подскажет ALL - если есть потребность обьединять LAN головной крнторы с LAN оффисов [некий провайдер предоставляет VLAN 100 MB - что-нибудь типа MPLS] ... хотелось бы иметь Transparent Bridging - мало ли что я буду гонять + все это шифровать на полной скорости ...

Есть идеи у All??


Если данные не очень критичные что вполне могут не шифроваться дополнительно, то можно пользоваться данной технологией.

802.1Q and Layer 2 Protocol Tunneling

Tunnel ports are used in 802.1Q tunneling to segregate the traffic of customers in a service provider network from other customers who appear to be on the same VLAN. You configure an asymmetric link from a tunnel port on a service provider edge switch to an 802.1Q trunk port on the customer switch. Packets entering the tunnel port on the edge switch, already 802.1Q-tagged with the customer VLANs, are encapsulated with another layer of 802.1Q tag (called the metro tag) containing a VLAN ID unique in the service provider network, for each customer. The double-tagged packets go through the service-provider network keeping the original customer VLANs separate from those of other customers. At the outbound interface, also a tunnel port, the metro tag is removed, and the original VLAN numbers from the customer network are retrieved.
Аватара пользователя
Сергей.М.
 
Сообщения: 181
Зарегистрирован: 06 июн 2002, 08:14

Re: а если надо сделать VPN для канала 100 MB ???

Сообщение Dimerson » 27 сен 2004, 06:31

Сергей.М. писал(а):
Dimerson писал(а):А вот что подскажет ALL - если есть потребность обьединять LAN головной крнторы с LAN оффисов [некий провайдер предоставляет VLAN 100 MB - что-нибудь типа MPLS] ... хотелось бы иметь Transparent Bridging - мало ли что я буду гонять + все это шифровать на полной скорости ...

Есть идеи у All??


Если данные не очень критичные что вполне могут не шифроваться дополнительно, то можно пользоваться данной технологией.

802.1Q and Layer 2 Protocol Tunneling

Tunnel ports are used in 802.1Q tunneling to segregate the traffic of customers in a service provider network from other customers who appear to be on the same VLAN. You configure an asymmetric link from a tunnel port on a service provider edge switch to an 802.1Q trunk port on the customer switch. Packets entering the tunnel port on the edge switch, already 802.1Q-tagged with the customer VLANs, are encapsulated with another layer of 802.1Q tag (called the metro tag) containing a VLAN ID unique in the service provider network, for each customer. The double-tagged packets go through the service-provider network keeping the original customer VLANs separate from those of other customers. At the outbound interface, also a tunnel port, the metro tag is removed, and the original VLAN numbers from the customer network are retrieved.


Спасибо - это я понимаю - 802.1Q или MPLS VPN (на основе BGP), а если всетаки надо шифровать ?
Аватара пользователя
Dimerson
 
Сообщения: 2798
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: а если надо сделать VPN для канала 100 MB ???

Сообщение Аркадий Глазырин » 27 сен 2004, 09:12

Dimerson писал(а):Спасибо - это я понимаю - 802.1Q или MPLS VPN (на основе BGP), а если всетаки надо шифровать ?


Как я понял Вы хотите узнать какая будет максимальная ширина VPN канала, организованного при использовании сети стандарта 100BaseTX.

Так?

Правильно понято?

Промежуточный ответ: даже без организации VPN, при нулевой загрузке сети посторонними задачами Вы на карточках, например, D-Link DFE-530TX получите максимум 80Мегабит в секунду. :?
Если сеть загружена, то меньше 60Мегабит в секунду.

Ибо десктопные карты софтовые.

Так что давайте сперва поговорим о "железе" и лишь после этого перейдём к программному обеспечению.

Что у Вас за сеть, как сделана, какие карты, какие серверы, какие коммутаторы?
Аватара пользователя
Аркадий Глазырин
 
Сообщения: 2762
Зарегистрирован: 16 авг 2002, 09:09
Откуда: Екатеринбург

Сообщение Владимир_Степанов » 27 сен 2004, 09:59

Linux + Freeswan. Замечательное и дешевое решение
Владимир_Степанов
 
Сообщения: 14
Зарегистрирован: 01 сен 2004, 18:33
Откуда: Рига, Латвия

Сообщение Аркадий Глазырин » 27 сен 2004, 10:28

Владимир_Степанов писал(а):Linux + Freeswan. Замечательное и дешевое решение


Это понятно. Автор темы о скорости спрашивает. На 100Мегабитной коммутируемой линии.
Причина онкологий - иммунодефицит. Он вызывается загаром, нервотрёпкой, прививками от гриппа, генномодифицированными дрожжами, например "Саф-Момент", приёмом наркотиков, особенно героиновой группы. + Грибы и паразиты.
Аватара пользователя
Аркадий Глазырин
 
Сообщения: 2762
Зарегистрирован: 16 авг 2002, 09:09
Откуда: Екатеринбург

Сообщение Ravil » 27 сен 2004, 13:22

Я так понял аппаратного решения за умеренную цену нет ?
а железки от D-link тоже никто не юзал.

В принципе тему можно закрыть.
Ravil
 
Сообщения: 396
Зарегистрирован: 17 июл 2002, 12:05
Откуда: Kazan

Сообщение Аркадий Глазырин » 27 сен 2004, 13:29

Ravil писал(а):Я так понял аппаратного решения за умеренную цену нет ?
а железки от D-link тоже никто не юзал.


:!: Не надо приписывать нам Ваши мысли.
_________________________________________________________
Аппаратное решение есть.
Как пример

Маршрутизатор D-Link DI-804HV (Eth->Eth., встр. коммутатор, 4*10/100TX, 1*RS-232, 1*WAN: 1*10/100TX)

Широкополосный маршрутизатор с VPN, IPSec и продвинутым Firewall. Позволяет подключить к интернет локальную сеть через одно соединение. Умеет резервировать линию через модем. Подключаете модем, а в настройках включаете функцию Auto BackUp. При проподании основного соединения DI-804HV будет дозваниваться к провайдеру и работать через модем (установка соединения "по требованию"). При восстановлении основного соединения связь через модем обрывается и DI-804HV работает по основному линку.

Стоит он 3 370 руб. в розницу.

Обеспечивает создание VPN канала с шириной не уже 2Мегабит в секунду, чего для работы Интернет и удалённых офисов хватает с запасом. На практике ширина канала 6-8Мегабит.

При цене маршрутизатора меньше 100Евро это вполне нормальная скорость.
Аватара пользователя
Аркадий Глазырин
 
Сообщения: 2762
Зарегистрирован: 16 авг 2002, 09:09
Откуда: Екатеринбург

Сообщение Ravil » 27 сен 2004, 14:12

Аркадий я свои мысли ,тебе уж точно не приписываю :lol:

в первом сообщение я указал про аппаратный VPN именно он меня интересует больше. У меня есть в филиалах D-link DFL-100 (около 200$) , в офис готов купить железку гдето за 1500$
Поэтому просил поделится опытом построения VPN тех у кого он есть .
Ravil
 
Сообщения: 396
Зарегистрирован: 17 июл 2002, 12:05
Откуда: Kazan

Сообщение biruk » 27 сен 2004, 14:50

Ravil писал(а):У меня есть в филиалах D-link DFL-100 (около 200$) , в офис готов купить железку гдето за 1500$
Поэтому просил поделится опытом построения VPN тех у кого он есть .

у нас в филиалах стоят linux-овые тачки. на них и настроено vpn-firewall-dns-dhcp + еще что-нить.
стоимость - только железка и оклад инженера.

удаленный доступ cisco vpn client терминируются на pix-е...
стоимость - PIX-515R ~$4900

с банком vpn через ФПСУ-ИП, железка сертифицированная ФАПСИ, шифрование по госту.
стоимость - ~$2100-2300

настривал ipsec между pix-ом и linsys-ом - нормально работает. с dlink-ом так не получилось :(

канал у нас 2мб, так что про скоростные режимы ничего не скажу.
biruk
 
Сообщения: 111
Зарегистрирован: 21 янв 2004, 14:20

След.

Вернуться в Novell

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2

cron