Сообщения без ответов | Активные темы Текущее время: 29 мар 2024, 05:16



Ответить на тему  [ Сообщений: 8 ] 
Нужен совет (топология сети) 
Автор Сообщение

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 671
Вчера позвонил бывший клиент.
Пред история: В свое время рисовал ему апгрейд сети, но не сошлись на оплате за работу.
Симптомы: шото дохрена всего в серверной, а нефига не работает.
Что надо сделать: тАк шоб взлетело и молодой админ (сын главного бухгалтера, студент) мог это админить.
Общение с "зеленым админом" выдало следующую информацию:
Ядро на база ASA 5510, фронтом стоит 2951.
Перед фронтом стоит свитч (хуавей), который раздает два провайдера.
На 2951 терминируются порядка 10-ти VPN IPSec + NAT для офиса
Отдельно стоит 1941, которай включен в свитч (Хуавей) для SIP телефонии от двух провайдеров (тупо собирает 2 vlan и транслирует их в один Астер)
так же в этот свитч (хуавей) воткнута ASA 5505 которая делает ipsec туннели для удаленного оборудования и для AnyConnect

ASA и 1941 типа настраивали провайдеры...

ИТОГО: Есть дикое желание убрать 5505 и 1941 с хуавеем. Все терминировать на 2951.
Желание заказчика: 2 провайдера с резервированием + резервирование удаленных точек (VPN)

Подскажите плз, как бы Вы реализовали данный зоопарк? Тупо подымаем на на 2951 vrf и через него разруливать????

Спасибо.


20 окт 2017, 09:34
Профиль

Зарегистрирован: 14 май 2009, 12:57
Сообщения: 2067
Откуда: Волгоград
Я б ещё и астер вынес.


20 окт 2017, 09:55
Профиль ICQ

Зарегистрирован: 09 сен 2017, 11:15
Сообщения: 80
Откуда: Default City
Я бы весь IPsec убрал на 5505, оставив на маршрутизаторе только border functions.
Аса лучше с этим справится, чем рутер ... by design

_________________
@k@ fantik


20 окт 2017, 10:45
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 671
Ок, спасибо.
1. Куда вынести Астер? Типа сделать мини DMZ и туда его упаковать?
2. Более пристальное изучение показывает что на 2951 таки есть модуль шифрования (со слов "зеленого админа" копающегося в документации бухгалтерии).

Как вариант: убрать 1941, создать мини DMZ для Астера, убрать 5505 терминировать VPN подключения на 2951, а AnyConnect пробросить на 5510 которая типа ядро сети?
Спасибо.


20 окт 2017, 11:56
Профиль

Зарегистрирован: 14 май 2009, 12:57
Сообщения: 2067
Откуда: Волгоград
2951 потянет все это (cme, классический ipsec, ssl и пр.) не напрягаясь, 5505 древнее тупое говно на geode, астер
вынести в смысле вообще и пользовать cme. Свич хуавей, 1941 (тоже железка стрёмная - cme нет), 5520 и 5505 нахер продать и купить свич цыцко.


20 окт 2017, 12:40
Профиль ICQ

Зарегистрирован: 26 сен 2013, 10:29
Сообщения: 422
По поводу встроенного акселератора на 2800-2900 -
тыц!
Обычно его хватает подключить удалённый бранч, при увеличении пиров падает производительность. Так что лучше asa всё-таки.


20 окт 2017, 13:12
Профиль

Зарегистрирован: 25 сен 2014, 21:51
Сообщения: 906
предоплату главное возьми )


20 окт 2017, 13:25
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 671
No money, no honey...
Ok
Принцип понятен, все продать - деньги пропить, а в последний день все поднять :)
Вопрос в другом, разводить все это при помощи vrf + pbr ? правильно?
или как?
И еще, тут "зеленый админ" подал голосок, если не сложно то киньте ссылками про "by desing..." от циски.
Спасиб.


21 окт 2017, 14:34
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 8 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 48


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB