Привет, незнакомец!

Похоже, вы здесь новенький. Чтобы принять участие, нажмите одну из кнопок ниже!

SOHO best practice

отредактировано Июнь 2016 Раздел: Best practice
Всем привет. Не нашел подходящего раздела и тему, но думаю, что обсуждение дизайна построения сетей для малого и среднего бизнеса (так сказать реалии жизни) было бы очень интересно в рамках этого форума с таким большим количеством специалистов в одном месте.
И так, суть вопроса - нахождение оптимальных (цена/качество/функционал) решений для тех или иных задач с учетом применения современных технологий и новейших устройств.

Задача номер 1
Есть маленький офис с обычным провайдерским модемом/роутером/вайфай Cisco DPC3941B и 10 компьютерами в LAN (wired or wireless). Бизнес покупает /29 Public IP block и устанавливает в офисе 2 сервера с адресами из этого блока, но трафик к которым нужно защитить и открыть только определенные порты с определенных source адресов.
Средствами Cisco DPC3941B не возможно создать нормальной DMZ или даже настроить статический адрес на WAN (cable) port, поэтому он переводится в bridge (только модем) режим, а за него ставится Firewall, к которому цепляются сервера через switch и роутер с wifi для LAN.

Вопрос 1. Какие железки (firewall, router, switch, etc.) необъодимо купить не сильно увеличивая бюджет, но при этом современные и функциональные?
Вопрос 2. Какие ещё варианты могут быть для решения поставленной задачи?
Вопрос 3. Что еще стоить поставить (best practice) в сеть для улучшения производительности и стабильности (мониторинг, back-up, etc.)?
Тэги темы:

Комментарии

  • В качестве шлюзов: Cisco ASA5505 (5506-X - есть вариант со встроенной точкой доступа), Juniper SRX 100/110 (SRX 300), Можно Mikrotik посмотреть, Cisco Router 880 серии
    В локальную сеть любой L2 коммутатор (можно даже управляемый с VLAN-ами)
  • cann написал:

    В качестве шлюзов: Cisco ASA5505 (5506-X - есть вариант со встроенной точкой доступа), Juniper SRX 100/110 (SRX 300), Можно Mikrotik посмотреть, Cisco Router 880 серии
    В локальную сеть любой L2 коммутатор (можно даже управляемый с VLAN-ами)

    А по ценам как? ASA вроде от 1000$ начинаются.
    Пока из самого удобного и современного и как бы 3-в-1 выбрал Meraki MX64W за 945$ плюс лиценции. Весь фунуционал через облако из любой точки мира и можно запасной канал на 3G/4G модем посадить.
  • Для таких задач (уровень SOHO) оборудование Mikrotik подходит как нельзя кстати. Богатый выбор для оптимального сочетанию цены и мощей (http://routerboard.com/) в зависимости от потребностей, и исключительная гибкость. Иногда бывает глючит тот или иной "извратный" функционал в той или иной прошивке, но в целом баги фиксятся, и поддержка на твёрдую 4. Но чего только стоит поддержка L2 или L3 MPLS VNP на маршрутизаторе за 70$? Или же openvpn прямо в коробке. Можно за очень дешево собрать решение с VPN для центрального офиса и нескольких десятков бранчей. Коробки от cisco с аналогичным функционалом стоят несравненно больших денег.
  • Может в сторону NFV посмотреть :) Сервера то у вас думаю гипервизоры, поднимите на них виртуалочку с програмным маршрутизатором (или две для HA) например open source'ный VyOS. Там и routing, statefull fw, client vpn, s2s vpn. С 3/4G модемом у него тоже ок, по крайней мере на HW сервере я настраивал, думаю и в vm можно будет пробросить.
  • Grigoriy написал:

    cann написал:

    В качестве шлюзов: Cisco ASA5505 (5506-X - есть вариант со встроенной точкой доступа), Juniper SRX 100/110 (SRX 300), Можно Mikrotik посмотреть, Cisco Router 880 серии
    В локальную сеть любой L2 коммутатор (можно даже управляемый с VLAN-ами)

    А по ценам как? ASA вроде от 1000$ начинаются.
    Пока из самого удобного и современного и как бы 3-в-1 выбрал Meraki MX64W за 945$ плюс лиценции. Весь фунуционал через облако из любой точки мира и можно запасной канал на 3G/4G модем посадить.
    Как-то так:
    http://www.vtkt.ru/catalog/security/ipfirewalls/cisco_asa_5506_x/asa_5506w_x_cisco_mezhsetevoy_ekran_s_firepower_8ge_data_1ge_mgmt_ac_3des_aes_/

    Насчет Meraki не знаю, не сталкивался. А если и это дороговато, то лучше смотреть в сторону Mikrotik
  • По мне мераки вообще не вариант, т.к. нужно иметь постоянную подписку (платить каждый год). Если подписки нет то железо превращается в пустую коробку которая не работает.
  • Для совсем бюджетных вариантов можно использовать обычный комп с pfSense, monowall и soho router tp-link с openwrt или ddwrt.
  • pfSense так плох, что он сравнивается с домашними рутерами на tp link? У них же есть и коммерческая поддержка и версии выходят регулярно. Если ставить pfSense на подготовленной виртуальной инфраструктуре, то какие видите подводные камни? Мы как раз планируем переходить на psSense с роутеров zyxell zywall младших серий
Войдите или Зарегистрируйтесь чтобы комментировать.