Нужно обьединить две маленькие локальные сети посредством местных сетипровадеров, возник вопрос о безопасности. На просторах интернета нашёл решение- шифровать трафик аппаратным способом. Нужен совет по выбору модели, и где в Симферополе можно пощупать купить сей девайс?
ipsec решает эту проблему. рекомендую cisco 860 серий(для маленького офиса) или 870 серий (для офиса побольше). Но смотрите не купите серую NPE. Как альтернатива кажись еще с ipsec умеет работать Zyxel(вот только что глянул есть такая штука как DrayTek Vigor разных серий с туннелями умеет работать ) или Allied Telesin ( точно модели не скажу). Посмотрите в разделе аппаратных файрволов. Еще можно купить pix 501(но лично я pixы не очень люблю). Поставить сервера (с линукс, виндовс итд)на обоих концах не рекомендую. Но на мой взгляд это в большинстве случаев более геморно и в конечном итоге выливается в бОльшую цену владения. Выбор устройства также зависит от того сколько туннелей вы собираетесь использовать ну и естественно от нагрузки.
Вам полюбому нужно будет этот зашифрованый трафик маршрутизировать. А что у вас сейчас за роутер стоит ? Вобщем если у вас подключение к провайдеру через ethernet то заменяете свои роутеры на CISCO861-K9 если ADSL то CISCO867-K9.
Свитч там наверное не очень подойдет Хотя есть свичи третьего уровня например foundry fastiron но они стоят под 10тыс уе.
Но маленькие свичи конечно вам будут нужны чтобы сделать локалку внутри офисов. насколько я понимаю у вас схема должна быть такая офис1 - роутер - провайдер1 - интернет - провайдер2 - роутер - офис2.
планировалось так: офис1 - Ip-Шифратор - провайдер1 - Ip-Шифратор - офис2. офисы расположены недалеко друг от друга, в зоне покрытия сети одного провайдера
Вот смотрите. Не существует устройств которые только шифруют трафик и больше ничего не делают. Шифрованным трафиком нужно управлять. Грубо говоря шифрованному трафику нужно указать путь куда идти, кроме этого вам скорее всего нужно будет обеспечить выход рабочих станции в интернет (веб, мсн, аська итд). Распознать трафик который нужно шифровать и трафик которые не нужно может только маршрутизатор. Без него вы не обойдетесь никак, поэтому как я уже говорил выше, я бы в ваших условиях взял бы: если подключение к провайдеру через ethernet то - CISCO861-K9,если ADSL то CISCO867-K9.
Добавлено в [mergetime]1307613422[/mergetime] Простой пример : У меня дома сейчас стоит cisco 881 маршрутизатор. На нем настроено 1 ipsec туннель для voip (что поделаешь не хочу чтобы подслушивали) . 1 сервер VPN если нужно вдруг попасть в домашнюю сеть с любой точки интернета. И плюс к этому из дома можно пользоваться всеми благами современного интернета которые не требуют шифрования. Но это еще не всё. Домашняя сеть защищена от возможных посягательств со стороны как провайдера так и из интернета. Если вы поставите просто свитч смысла в шифрах я не вижу никакого. Потому что ваша сеть будет абсолютно прозрачная для любого вида воздействия из вне.
то есть сеть наша будет иметь вид офис1 - CISCO861-K9 - провайдер1 - CISCO861-K9 - офис2. ? я правильно понимаю Вас? и если появится офис3, то его можно будет подключить к CISCO861-K9(офис1) ? насколько надёжно шифрование трафика с помощью CISCO861-K9?
Да именно так и будет. Относительно надежности шифрования могу сказать следующее : Не зря же Российские спецслужбы протянули закон о том что настоящий K9 можно продавать только с разрешения ФСБ. А для всех остальных смертных NPE(no payload encryption). На Украине к счастью таких ограничений пока нет. Но всё таки можно нарваться на контрабандно завезенную NPE из России.
На 861 вы сможете построить 5 шифрованных тунеллей.(т е 5 офисов). Если нужно больше то нужно устройство мощнее.
Но сразу предупрежу стоимость цисок относительно велика по сравнению со всяким хламом типа Длинк итд. Плюс настройка цисок требует определенной квалификации.
геморой на ровном месте.... openvpn само оптимальное решение, не настолько у вас ценная инфа чтобы её аппаратно шифровать, сеть в итоге выглядеть будет так: локалка1 - сервер(openvpn сервев) - тырнет - сервер(openvpn клиент) - локалка2 под сервак можно использовать любой до потопный комп(проц от 300 гц оперы от 64 мб)
Самый крутой геморой это как раз таки сервера ставить там где они не нужны. В конце концов есть корпоративные стандарты. Но если уж очень хочется можно и сервера поставить собранные из хлама. Но тогда нужно готовится к тому что в один прекрасный день этот хлам не включится.
геморой на ровном месте.... openvpn само оптимальное решение, не настолько у вас ценная инфа чтобы её аппаратно шифровать, сеть в итоге выглядеть будет так: локалка1 - сервер(openvpn сервев) - тырнет - сервер(openvpn клиент) - локалка2 под сервак можно использовать любой до потопный комп(проц от 300 гц оперы от 64 мб)
ktoto, Sammael, и всем! всем! всем! спасибо за ценную информацию. кто подскажет? где в Симферополе продают хорошее сетевое оборудование?интересует CISCO861-K9.
если точно решил. То дешевле и проще заказать в Киеве с доставкой. я заказывал в http://www.ip-tech.com.ua. Надеюсь за рекламу не сочтут. Моей не было в наличии поэтому я ждал 2 месяца. Но я брал очень редкий вариант. Рекомендую перезвонить и уточнить наличие перед тем как заказывать.
если точно решил. То дешевле и проще заказать в Киеве с доставкой. я заказывал в http://www.ip-tech.com.ua. Надеюсь за рекламу не сочтут. Моей не было в наличии поэтому я ждал 2 месяца. Но я брал очень редкий вариант. Рекомендую перезвонить и уточнить наличие перед тем как заказывать.