Выбор оборудования - помогите советом и поделитесь опытом

[Serg_79]

Здравствуйте.

Для начала опишу свою ситуацию:
Довольно крупная по размерам компания, множество удалённых объектов(~500) <-> пять филиалов <-> одна "голова" (исполнительная дирекция). Скорость подключения удалённых объектов от 256Кбит/c до 2МБит. Филиалы >-> "голова" от 100Мбит/c до 1Гбит/c. Трафик в основном специфический - МЭК-104 (вообщем TCP только - unicast). Каналы редко бывают загружены на 100%, раз в неделю максимум и в разное время, в остальной период утилизация ~15-20%. Важным параметром является время доставки tcp, не более 0,9 сек объект >-> филиал. филиал >-> "голова" уже не так критично.
Обязательно два канала от удалённого объекта до филиала (основной-резервный), в обязательном порядке на объекте как минимум два устройства СПД - это и маршрутизаторы Cisco серий 8хх, 18хх, 19хх, и т.д., есть Mikrokik, есть Dlink и т.д. - вообщем зоопарк ещё тот. Если на удалённом объекте много конечных устройств (больше чем портов на маршрутизаторе или HWIC'е который туда можно поставить), то добавляются ещё по паре L2 коммутаторов. Производитель - всех мастей и стран. На филиалах - где как, где маршрутизаторы Cisco, где обычные компы "заточенные" чтобы маршрутизировать. В "голове" - пара Cisco 2951 + пара Cisco 3750Х. Вообщем, схема достаточно классическая.
Сейчас часть удалённых объектов подключена GRE+ipsek в нём, часть - без шифрования, наиболее часто используемые функции на удалённых:
Static NAT, PBR, SLA, HSRP, EIGRP или OSPF. На филиалах - всё выше перечисленное плюс vrf-lite и ZBF. Голова - тоже что и филиалы.

Что хочется - выработать единый подход к вновь стоящимся и реконструируемым удалённым объектам, в части подключения к филиалам, в том числе - выбрать единого производителя оборудования (желательно не с космическими ценниками).

Прошу совета от производителя и мнение форума, по следующим вопросам:
Стоит ли ориентироваться на Eltex при текущих потребностях? Какие модели подойдут на удалённые, какие на филиал?
Народ привык к cisco like CLI - насколько я понимаю у Eltex приближенный интерфейс.
Два бока питания - я считаю обязательны, запарились уже с Cisco RPS 2300, хочется обычного "православного" решения.

Как получить на тест оборудование которое порекомендуете? Кота в мешке не хочется покупать...

[Steam]

Добрый день,

Нужна дополнительная информация:
филиалы и удаленки, все подключаются к головному офису? ipsec-over gre - соединение точка-точка или клиент-сервер? Как подключены без шифрования?
в головном офисе планируется менять маршутизаторы Cisco? сколько головной офис максимально перерабатывает трафика?

[Serg_79]

Добрый.

1. Удалённые объекты подключаются только к филиалам, подключения удалённых объектов к "голове" - нет. Будут ли в дальнейшем - сказать сложно, ситуация меняется каждые пол года, но пока прецедентов нет.
2. ipsec-over gre - только точка-точка
3. которые без шифрования - провайдер даёт канал на L2 - обычно это по Vlan на удалённый объект, в филиале обычно отдают транком, там на sub-if отлавливаются удалённые Vlan. ну и дальше навешивается L3 - обычная маршрутизация и всё.
4. Если будет адекватная замена маршрутизаторам "головы" - готов рассмотреть такую возможность. Пока ни да ни нет не скажу. На текущий момент "голова" переваривает копейки ~10Мбит. В 2017г. эта цифра начнёт возрастать и в конечном итоге (~5лет, во всяком случае такой расклад по ОКС) и составит приблизительно 500-600Мбит стабильно, пики возможны до 1Гбит/c.
тут важный момент - необходимо чтобы QoS хотя бы между филиалом и "головой" работал как часы. А в идеале и между удалёнкой и филиалом.

[Steam]

тогда,

в головной можно esr1000 (2 блока питания)
на филиалы подойдет esr100/esr200
на удаленку предложу завтра

На всей серии есть: NAT, PBR, SLA, VRRP, OSPF, IPSec, GRE, VRF-lite, firewall, QoS
из SLA что необходимо?
но есть одно "но", в esr10(блок питания внешний)/esr100/esr200 один блок питания,

по вопросам "взять на тест" нужно обратиться в коммерческий отдел

[Serg_79]

Спасибо.

Тогда такие вопросы:
1) Если менять оборудование - то постепенно, соответственно необходимо обеспечить совместимость нового и существующего, т.е. есть ли возможность "скрестить"Cisco c Eltex - ipsec-over gre ?
Также, на форуме я читал, что ваша реализация vrrp поддерживает только маршрутизацию через него и даже просто попинговать его (vrrp) невозможно? Если так - то такое оборудование не подойдёт.
2) По блокам питания - ОЧЕНЬ печально на самом деле... Если блоки питания ещё и внешние (читать постоянка) то реализовать схему питания с двумя такими блоками - не сложно.. продавать с одним, подключение второго и его покупка - опционально.
3) По sla, хотя бы как минимум что-то вроде этого:
ip sla 1
icmp-echo 1.1.1.1 source-interface GigabitEthernet0/0
frequency 10
ip sla schedule 1 life forever start-time now

ip route 10.10.10.0 255.255.255.0 1.1.1.1 100 name -=TESTO=- track 1
track 1 ip sla 1 reachability

interface GigabitEthernet0/1.999
encapsulation dot1Q 999
ip address 192.168.1.2 255.255.255.0
standby version 2
standby 1 timers 1 3
standby 1 ip 192.168.1.1
standby 1 priority 120
standby 1 preempt
standby 1 track 1 shutdown
standby 1 auth XXX

может где ошибся в синтаксисе, но думаю мысль вы уловили.

По тестированию железа - понял.
Нашел у одной из наших бывших ДЗО ваш L3 коммутатор на складе - обещали дать попользоваться, начну с него.

[Steam]

скоро будет доступна версия 1.2.0 в ней реализован Policy-based IPSec котороый совместим с Cisco
vrrp пинговать можно

[Serg_79]

Понятно, спасибо, ориентировочный срок выхода версии 1.2.0 можете назвать?

И ответьте пожалуйста по SLA, пример которого в предыдущем посте - такое уже реализовано?

[Steam]

1.2 должен выйти до конца года,

тогда будут доступны esr100/esr200/esr1000

Есть аналогичные вариант:
есть с вариант с BGP + BFD,
разница в том, что трафик с основного устройства если у него нет доступа в интернет, будет заруливаться по локальной сети на резерв

[Serg_79]

про версию 1.2 - понял.

Есть аналогичные вариант:
есть с вариант с BGP + BFD,
разница в том, что трафик с основного устройства если у него нет доступа в интернет, будет заруливаться по локальной сети на резерв

Подозрительно похоже на "костыль" если я правильно понимаю, то описанный мной функционал (по SLA) не будет реализован в версии 1.2 ?

[Steam]

про версию 1.2 - понял.

Подозрительно похоже на "костыль" если я правильно понимаю, то описанный мной функционал (по SLA) не будет реализован в версии 1.2 ?

Костыль был бы, если бы использовали скрипты.
Есть трекинг доступности маршрута, через ping

[Serg_79]

про версию 1.2 - понял.

Подозрительно похоже на "костыль" если я правильно понимаю, то описанный мной функционал (по SLA) не будет реализован в версии 1.2 ?

Костыль был бы, если бы использовали скрипты.
Есть трекинг доступности маршрута, через ping

ну, значит при выходе прошивки 1.2 надо будет тестить