On 3/2/07, Oleg Cherevko
Привет коллегам! Hi!
Вот хочу проконсультироваться.
Ситуация такова. Есть некая западная компания X, у которой имеются западные же клиенты, а также оффшорный девелоперский оффис (не важно где). Оффшорный оффис имеет с компанией и ее клиентами VPN-сеть из IPSec-туннелей. При этом с обоих сторон используется оборудование Cisco. Что именно стоит со стороны компании и клиентов, мне не известно, а со стороны оффшорного оффиса используется что-то из серии Cisco VPN 3000 (я подозреваю, что младшая модель, Cisco VPN 3005). Теперь вот компания X планирует организовать еще один оффшорный девелоперский оффис ближе к нашим краям и, соответственно, стоит задача построить для него VPN-инфраструктуру. Можно, конечно, повторить решение с Cisco VPN 3000/3005. (Кстати, а кто в Киеве может такую штуку продать? За сколько? И как быстро?) Серия VPN 3000 сворачивается, ибо теперь функция VPN концентратора возложена на девайсы семейства ASA (vpn, firewall, ids/ips).
Но хотелось бы понять, какие этому есть альтернативы? IPSec-туннелей будет вряд ли больше 10-ти (ну 20-ти, если в отдаленной перспективе), потому отдельный Cisco VPN-концентратор кажется тут мне Дело не только в к-ве, а и в полосе, которую они будут криптовать.
Сейчас все роутеры Cisco новой серии идут с модулем криптования на борту. Думаю роутер 2800 (но не 2801 !!!) серии вполне подойдёт (2821/2851). Если производительности набортного крипто-модуля не будет хватать, можно взять бОлее производительный AIM.
несколько избыточным. С другой стороны, есть еще такой фактор, что "надо, чтобы с цисками беспроблемно работало" (в формулировке заказчика). В общем, если кто что может посоветовать -- посоветуйте. Мне удобней конфигурить IPSec на IOS. Сейчас IOS умеет делать "tunnel protection ipsec". Не нужно плодить крипто-мапы, следить за симметричностью ACL'ей с разных сторон, всё просто и прозрачно. Если бы ещё в линухе реализовали 'ip tun mode ipsec' наступило бы всеобщее счастие. :)) -- VEL-[RIPE|UANIC]
=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message