On 3/2/07, Oleg Cherevko wrote:

Привет коллегам! Hi!

Вот хочу проконсультироваться.

Ситуация такова. Есть некая западная компания X, у которой имеются западные же клиенты, а также оффшорный девелоперский оффис (не важно где). Оффшорный оффис имеет с компанией и ее клиентами VPN-сеть из IPSec-туннелей. При этом с обоих сторон используется оборудование Cisco. Что именно стоит со стороны компании и клиентов, мне не известно, а со стороны оффшорного оффиса используется что-то из серии Cisco VPN 3000 (я подозреваю, что младшая модель, Cisco VPN 3005). Теперь вот компания X планирует организовать еще один оффшорный девелоперский оффис ближе к нашим краям и, соответственно, стоит задача построить для него VPN-инфраструктуру. Можно, конечно, повторить решение с Cisco VPN 3000/3005. (Кстати, а кто в Киеве может такую штуку продать? За сколько? И как быстро?) Серия VPN 3000 сворачивается, ибо теперь функция VPN концентратора возложена на девайсы семейства ASA (vpn, firewall, ids/ips).

Но хотелось бы понять, какие этому есть альтернативы? IPSec-туннелей будет вряд ли больше 10-ти (ну 20-ти, если в отдаленной перспективе), потому отдельный Cisco VPN-концентратор кажется тут мне Дело не только в к-ве, а и в полосе, которую они будут криптовать.

Сейчас все роутеры Cisco новой серии идут с модулем криптования на борту. Думаю роутер 2800 (но не 2801 !!!) серии вполне подойдёт (2821/2851). Если производительности набортного крипто-модуля не будет хватать, можно взять бОлее производительный AIM.

несколько избыточным. С другой стороны, есть еще такой фактор, что "надо, чтобы с цисками беспроблемно работало" (в формулировке заказчика). В общем, если кто что может посоветовать -- посоветуйте. Мне удобней конфигурить IPSec на IOS. Сейчас IOS умеет делать "tunnel protection ipsec". Не нужно плодить крипто-мапы, следить за симметричностью ACL'ей с разных сторон, всё просто и прозрачно. Если бы ещё в линухе реализовали 'ip tun mode ipsec' наступило бы всеобщее счастие. :)) -- VEL-[RIPE|UANIC]

=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Владимир, Спасибо за отклик и идеи. Можно еще пару вопросов (ниже)? Vladimir Velychko wrote:

On 3/2/07, Oleg Cherevko wrote:

...

Можно, конечно, повторить решение с Cisco VPN 3000/3005. (Кстати, а кто в Киеве может такую штуку продать? За сколько? И как быстро?) Серия VPN 3000 сворачивается, ибо теперь функция VPN концентратора возложена на девайсы семейства ASA (vpn, firewall, ids/ips).

Ага, спасибо за информацию.

...

Но хотелось бы понять, какие этому есть альтернативы? IPSec-туннелей будет вряд ли больше 10-ти (ну 20-ти, если в отдаленной перспективе), потому отдельный Cisco VPN-концентратор кажется тут мне Дело не только в к-ве, а и в полосе, которую они будут криптовать.

Да, я об этом сразу не сказал. Суммарная полоса всех этих VPN'ов вряд ли будет больше 2-5 Mbit/s, даже в перспективе (хотя запас, конечно, никому еще не мешал). Я думаю, по этому фактору мы в ограничение не упремся.

Сейчас все роутеры Cisco новой серии идут с модулем криптования на борту. Думаю роутер 2800 (но не 2801 !!!) серии вполне подойдёт (2821/2851).

А что такого плохого в 2801, что только не его? Просто судя по найденной мною вот в этом документе табличке: http://www.cisco.com/en/US/netsol/ns340/ns394/ns171/netbr09186a00801f0a72.ht... вроде как любой router из серии 2800 должен бы справиться. Или это marketing hype, а на деле все обстоит несколько иначе? -- Olwi =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

On Sat, Mar 03, 2007 at 10:11:24AM +0200, Vladimir Velychko wrote: VV> >несколько избыточным. С другой стороны, есть еще такой фактор, что VV> >"надо, чтобы с цисками беспроблемно работало" (в формулировке VV> >заказчика). В общем, если кто что может посоветовать -- посоветуйте. VV> Мне удобней конфигурить IPSec на IOS. Сейчас IOS умеет делать VV> "tunnel protection ipsec". Не нужно плодить крипто-мапы, следить за VV> симметричностью ACL'ей с разных сторон, всё просто и прозрачно. VV> Если бы ещё в линухе реализовали 'ip tun mode ipsec' наступило бы VV> всеобщее счастие. :)) ну вообще-то там оно есть только конфигурится по другому стандартное ядро (без патчей) - ipsec/racoon работает - год назад я реализовал 3 точки - взула и забула - да и шифрование там есть более криптостойкое, чем у кошек но совместимость с кошками - думаю будет, но не проверял особо тонкий момент - согласование ключей, но afaik и там все стандартно -- Best regard, Aleksander Trotsai aka MAGE-RIPE aka MAGE-UANIC My PGP key at ftp://blackhole.adamant.ua/pgp/trotsai.key[.asc] Что написано топором, то не выправить пером =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message