|
|
|
|
Страница 1 из 1
|
[ Сообщений: 8 ] |
|
Нужен совет (топология сети)
Автор |
Сообщение |
AlexSashkaff
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 671
|
Вчера позвонил бывший клиент. Пред история: В свое время рисовал ему апгрейд сети, но не сошлись на оплате за работу. Симптомы: шото дохрена всего в серверной, а нефига не работает. Что надо сделать: тАк шоб взлетело и молодой админ (сын главного бухгалтера, студент) мог это админить. Общение с "зеленым админом" выдало следующую информацию: Ядро на база ASA 5510, фронтом стоит 2951. Перед фронтом стоит свитч (хуавей), который раздает два провайдера. На 2951 терминируются порядка 10-ти VPN IPSec + NAT для офиса Отдельно стоит 1941, которай включен в свитч (Хуавей) для SIP телефонии от двух провайдеров (тупо собирает 2 vlan и транслирует их в один Астер) так же в этот свитч (хуавей) воткнута ASA 5505 которая делает ipsec туннели для удаленного оборудования и для AnyConnect
ASA и 1941 типа настраивали провайдеры...
ИТОГО: Есть дикое желание убрать 5505 и 1941 с хуавеем. Все терминировать на 2951. Желание заказчика: 2 провайдера с резервированием + резервирование удаленных точек (VPN)
Подскажите плз, как бы Вы реализовали данный зоопарк? Тупо подымаем на на 2951 vrf и через него разруливать????
Спасибо.
|
20 окт 2017, 09:34 |
|
|
_2e_
Зарегистрирован: 14 май 2009, 12:57 Сообщения: 2067 Откуда: Волгоград
|
Я б ещё и астер вынес.
|
20 окт 2017, 09:55 |
|
|
CiscoGuy
Зарегистрирован: 09 сен 2017, 11:15 Сообщения: 80 Откуда: Default City
|
Я бы весь IPsec убрал на 5505, оставив на маршрутизаторе только border functions. Аса лучше с этим справится, чем рутер ... by design
_________________ @k@ fantik
|
20 окт 2017, 10:45 |
|
|
AlexSashkaff
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 671
|
Ок, спасибо. 1. Куда вынести Астер? Типа сделать мини DMZ и туда его упаковать? 2. Более пристальное изучение показывает что на 2951 таки есть модуль шифрования (со слов "зеленого админа" копающегося в документации бухгалтерии).
Как вариант: убрать 1941, создать мини DMZ для Астера, убрать 5505 терминировать VPN подключения на 2951, а AnyConnect пробросить на 5510 которая типа ядро сети? Спасибо.
|
20 окт 2017, 11:56 |
|
|
_2e_
Зарегистрирован: 14 май 2009, 12:57 Сообщения: 2067 Откуда: Волгоград
|
2951 потянет все это (cme, классический ipsec, ssl и пр.) не напрягаясь, 5505 древнее тупое говно на geode, астер вынести в смысле вообще и пользовать cme. Свич хуавей, 1941 (тоже железка стрёмная - cme нет), 5520 и 5505 нахер продать и купить свич цыцко.
|
20 окт 2017, 12:40 |
|
|
tonve
Зарегистрирован: 26 сен 2013, 10:29 Сообщения: 422
|
По поводу встроенного акселератора на 2800-2900 - тыц! Обычно его хватает подключить удалённый бранч, при увеличении пиров падает производительность. Так что лучше asa всё-таки.
|
20 окт 2017, 13:12 |
|
|
Рубен Папян
Зарегистрирован: 25 сен 2014, 21:51 Сообщения: 906
|
предоплату главное возьми )
|
20 окт 2017, 13:25 |
|
|
AlexSashkaff
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 671
|
No money, no honey... Ok Принцип понятен, все продать - деньги пропить, а в последний день все поднять Вопрос в другом, разводить все это при помощи vrf + pbr ? правильно? или как? И еще, тут "зеленый админ" подал голосок, если не сложно то киньте ссылками про "by desing..." от циски. Спасиб.
|
21 окт 2017, 14:34 |
|
|
|
Страница 1 из 1
|
[ Сообщений: 8 ] |
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 48 |
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения
|
|
|
|