Printable Version of Topic
Click here to view this topic in its original format |
Forums > Глюкодром > Как связать две сети по VPN (или не по VPN) |
Posted by: Lab on 29-04-2004, 15:05 |
знатоки - у меня ламерский вопрос. суть проблемы в следующем, есть локалка, в ней стоял вин2000 сервер, на нем был поднят AD DC, ,были заведены пользователи тперь того домена не существует физически, но пользователи-то остались, я поставил новый сервер, поднял на нем AD DC и завел пользователей по новой (но логины оставил теми же, да это и не важно), теперь если на рабочих машинах логинуться новым пользователем, то у него все установки сбрасываются (и это понятно SID пользователся ведь поменялся), создается новая папка внутри Documents and Settings и все приходится настраивать по новой: почту, папки бла-бла... Лениво Как бы залогинувшись новым пользователем втянуть в него настройки из старого пользователя. PS еще вопрос - как через скрипт логина поменять местоположение таких папок как "Мои документы" "Темп", а? |
Posted by: FiL on 29-04-2004, 15:39 |
lab, заходишь новым пользователем, ему создается профайл. Потом заходишь локальным администратором, идешь в CP->System->User Profiles и копируешь старый профайл в новый. Все. P.S. Темп меняется просто set TEMP=C:\TEMP A вот "мои документы" так не поменяешь. Только через политики. |
Posted by: Lab on 29-04-2004, 16:53 |
Фил, что-то я не наблюдал такого - это же не локальные пользователи, а пользователи домена и в списке локальных пользователей их просто нет. можно поподробней насчет "моих документов" и политик? |
Posted by: Lab on 29-04-2004, 16:58 |
меня местный модератор не забанит за оффтоп в предыдущих постах? я мигом исправляюсь и хочу спросить вот, что - среди цисок (или устройств от другой конторы) есть такие железки, чтобы с одной стороны в нее втыкался кабель с интернетом, а с другой строны к ней подключалась локалка и эта железка содержала в себе стенку, НАТ еще что-нить полезное и поддерживало VPN для связи двух локалок расположеных в разных городах (два домена AD будут общаться друг с другом через VPN) во как |
Posted by: FiL on 29-04-2004, 20:15 |
Эээ... насколько я себе представляю современный рынок, то в любом цисковом рутере будет все, что ты попросил. Но я на 100% утверждать не буду. На читать описания. По поводу профилей. Юзера не локальные. А профиль лежит локально (тот самый каталог в Documents and Settings) Я-же тебя не в user manager посылал, а в user profiles закладку в CP->system Ты туда сходи сначала, а потом спрь По поводу политик я так прямо ходу не расскажу. Там и раньше все было как-то не просто. А с введением AD вообще все стало непонятно. Я может позже сам разберусь и расскажу. А может и не разберусь. |
Posted by: heineken man on 30-04-2004, 00:42 | ||
Этот тип оборудования условно можно назвать Small Office Firewall Appliance, чрезвычайно распространен в последнее время. Самые ходовые выпускают те же вендоры, что и известные файерволы: Checkpoint Safe@Office Line (http://www.checkpoint.com/products/choice/platforms/platforms_size.html, Cisco PIX 500 Series (http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/index.html, Nokia (http://www.nokia.com/networks/product_catalog/pc_subcategory/1,,38669,00.html и др. У Нокии Внутри тоже Чекпойнт на основе IPSO - BSD based OS. В наших довольно избалованных в области Security Products краях, в случае минимального бюджета и маленького оффиса доминирует продукт S-Box фирмы Sofaware (http://www.sofaware.com/products.aspx?boneId=145&objId=23&nsId=143 - дочерней чекпойнтовской фирмы. Все упомянутые "коробочки" представляют из себя довольно серьезные statefull inspection файерволлы, с графическим интерфейсом и определением site-to-site ВПН через GUI. Для Client-to-Site ВПН используются собственные бесплатные клиенты. Раутеры от циски тоже могут использоваться таким образом, но не надо забывать что для них нет удобоваримого ГУЯ, а также строить секьюрити при помощи аксесс листов - то еще занятие, не говоря уже о правильности такого подхода, связанного с врожденными ограничениями ACL-ов. Можно на раутер взгромоздить дополнительный файервольный модуль - но это уже для самых сиско-поклонников. Обычно задачи похожие на твои решают так - в каждом оффисе ставят модем АДСЛ, к нему кросс-кабелем подключают какой-нибудь С-Бокс баксов за 200, через Веб интерфейс за десять минут конфигурируют, и дальше все пучком. |
Posted by: genka on 30-04-2004, 02:11 |
^Cisco PIX^ хороша тем, что к ней есть карточка- ускоритель ^VPN^, очень серьезно поднимает скорость. Недостаток Сиски известно какой- цена. Впрочем, карточка у меня где-то валяется, могу помочь, но ^PIX^ целиком- увы, нет. ^FiL^ У меня к тебе вопрос. Подцепил своуй новую ^XP Pro^ на ^AD Domain^. Когда зашел доменным аккаунтом, не дает мне ничего делать с системой. Я знаю, что есть способ сделать юзера из домена локальным администратором, но не могу найти, как именно. Не подскажешь? |
Posted by: FiL on 30-04-2004, 07:01 |
Подскажу. После того, как добавил хрюшу в домен, заходишь на хрюшу локальным админом и лезешь в user manager. Там добавляешь доменного юзера в группу Administrators. Обычно оно так работает, но у меня последние пару раз локальный user manager не хотел видеть доменных юзеров. Решается просто. Идется на домен-контроллер (админом, ессно). Там запускается computer manager, из него коннектишься к хрюше, и в нем уже доменные юзера замечательно видны. Добавляешь доменного юзера в локальную группу Administrators и спишь довольный. Если чего непонятно - стучись. Буду пошагово рассказывать. |
Posted by: astra on 30-04-2004, 13:06 |
О! Помоему топик на 12-ой страничке принял тот самый вид ради которого он создавался. Так сказать пошаговая стратегия без побочных коментариев, типа глубокой теории чем усери локальные отличаются от усеров доменных, и что такое вообще домаин, блах блах блах... |
Posted by: genka on 30-04-2004, 16:37 |
^astra^- это из темы "дай человеку рыбу или научи его рыбачить"- пошаговые инструкции не очень то помогают в понимании делаемого. ^FiL^- спасибо, именно так и оказалось- не видел доменного юзера. Так как у меня нет доступа к контроллеру и его админу, я поковырялся еще. Оказалось, что доменного юзера можно добавить в список, ну а дальше все, как ты сказал. |
Posted by: astra on 30-04-2004, 17:14 | ||
Совершенно верно. Тот кто хочет понимать - пусть купит книгу на 1200 страниц и насчнёт изучать предмет как положенно, а то, что не ясно спрашивать. Расчитывать понять сети в топике не инете, ето не реально. Многие кому надо что-то сделать, совсем не хотят понимать что они делают. Им надо избавится от проблемы и забыть, вот тут-то етот топик и поможет (проблемы которые часто слышатся тут, типа какой порт открыть для мула). IMHO |
Posted by: FiL on 30-04-2004, 20:04 |
astra, ну не скажи. Иногда в топике на форуме очень понятно и подробно объясняют какой-то момент, который ты почему-то не мог понять сам. Не всю теорию, а какой-то один момент. |
Posted by: astra on 30-04-2004, 20:17 | ||||
=
Разве я отрицал возможность прояснения отдельных моментов? На мой взгляд ето отличается от попытки об#яснить/понять как работает ^IP,IPX,TCP,UDP,FTP,TFTP,Telnet,VPN^ и т.д. и т.п. в топиках на форуме. Не зря для етого книги и не самые тонкие написанны. |
Posted by: retro on 01-05-2004, 08:16 |
laborant По профилям. Как одно из решений, можно и так сделать: 1) переименовать Default User в DU, 2) стародоменный профиль в Default User, 3) на папку Default User установить Full Control "мигрируемого", 4) залогиниться под "мигрируемым" , 5) проверить что все ok и можно выпить пива, 6) убить Default User, 7) переименовать DU в Default User Еще. Также в самой ХР очень клевая штучка, которой никто не пользуется, а я пару раз попробовал, неплохо. Имеется ввиду "Files And Setting Transfer Wizzard" из System Tools. Все просто и понятно. Что еще... Да хотя бы средствами от USMT, ADMT, Ideal Migration .... до Aelita Сontrolled Migration Suite (админ все равно работает с тем, что знает, и что есть под руками ) Единственно, что при одинаковом имени домена (как у тебя), с утилитами по-проще будут проблемы... По "Мои документы". Самое лучшее ИМХО, сделать через политику в Active Directory настройку, чтобы при открытии папки "Мои документы" посылать всех пользователей НА ..., нет, не туда, куда ты подумал, а на сетевой диск. Запускаем dsa.msc, в групповой политике подразделения (OU) идем в User Configuration > Windows Settings > Folder Redirection > ... дальше все понятно. Может такое случится, что потом, когда надо, не возврашается назад. Такая гадость у меня была несколько раз и просто сломал голову. А все очень просто. Забыл про secedit... Без этого работать не будет. Вообще любое изменение в политике, да почитай сам Using Secedit.exe to Force Group Policy to Be Applied Again (http://support.microsoft.com/default.aspx?scid=kb;EN-US;227448 |
Posted by: retro on 01-05-2004, 08:26 | ||
genka
|
Posted by: retro on 01-05-2004, 10:32 |
laborant А по поводу "железки" с VPN, очень симпатично пашет всем известный ZyXEL. Дешево и красиво. Все, что тебе надо, там есть. И стоит на порядок (или два) дешевле, чем Cisco или им подобные. Опять же, смотря какие у тебя задачи. Если без параноидального total security (а я думаю, что именно так у тебя и обстоит дело ), то вполне и очень даже... |
Posted by: Lab on 11-05-2004, 11:16 |
а если без железки, как организовать работу, совместную двух доменов, один в Москве, другой в Балтийске... а? |
Posted by: retro on 11-05-2004, 12:13 | ||
laborant
Так же, как и с железкой... Soft-VPN. A какая скорость у тебя? И какой(е) домен(ы)? Это понятие растяжимое... Сколько народу и какие задачи надо решать? |
Posted by: Lab on 11-05-2004, 12:35 |
скорость у меня 128 кбит для начала нужно хотя бы, чтобы домен (AD) вошел в состав уже действующей группы доменов... чтобы пользователь из московского домена смог залогинуться в Балтийске и дотянуться до своего компа в Москве.. ну например за файлом из папки "Мои документы", чтобы доступ к шарам был.. ну и т.д. |
Posted by: retro on 11-05-2004, 13:41 | ||
laborant
Ну самая обычная ситуация, при этом принципиально абсолютно неважно, какая связь при этом имеется, и на этот счет просто море рекомендаций, советов и готовых решений (лес, сайт, доверительные отношения, пр.....), в зависимости от самой схемы. Что же касается реального исполнения, то при твоей скорости логин будет происходить безумно долго, а если пользователей много? А почта? А репликации? |
Posted by: Lab on 11-05-2004, 14:08 |
Дело в том, что я планирую заранее это сделать. чтобы к моменту когда начнем - быть в курсе. Потому что очень скоро планируется расширение канала до 2 Мбит и уже можно будет всерьез об этом думать Можно для меня ликбез небольшой сделать по этому вопросу? Или меня проще в книжку послать? |
Posted by: retro on 11-05-2004, 14:33 |
Чтобы огород не городить, поищу чего-нибудь хорошо и просто написанное. А книжка... Да это всегда САМОЕ лучшее. Из всех, которые приходилось читать, особенно запомнилась одна. Если не ошибаюсь, Федор Зубанов. "Active Directory - подход профессионала". В России она продается везде и дешево. Обязательно купи, тем более, что собираешься работать, а не просто так. Получишь удовольствие! |
Posted by: FiL on 11-05-2004, 15:29 |
lab, для твоей задачи я-бы просто поднял софтовый VPN между домен-контроллерами. Прямо родной от MS. Доступ к московским файлам из Балтийска особо шустрым не будет, но это и не самая частая операция. А логины авторизуются локально. Репликация будет идти долго и нудно, но настрой ее на 2 часа ночи и пусть себе ходит. |
Posted by: Lab on 11-05-2004, 16:19 |
ну и что мне делать - пытать Фила или пойти искать книжку? |
Posted by: heineken man on 11-05-2004, 16:22 | ||
А как это - вообще без железки ? Раутеры есть ? Ежели Циски - то между ними ВПН и подымай. |
Posted by: retro on 11-05-2004, 16:24 | ||
FiL Все зависит от схемы, и если
т.е., насколько я понял, дочерний домен, с Global каталог на основном. Тогда логин будет на том домене. Если разговор просто о доверительных (я этого не увидел из постановки вопроса), то тогда да, локально. |
Posted by: Lab on 11-05-2004, 16:35 |
heineken man у меня програмный раутер - Kerio WinRoute FireWall |
Posted by: heineken man on 11-05-2004, 16:57 |
Это конечно противотечит некоторым моим принципам, но в этом случае я вижу как два MS ISA сервера делают Site-to-Site VPN. Может быть PPTP или L2TP/IPSEC. Они же служат и стенками в обеих сетях. Можно конечно и между серверами, используя RRAS сервис, но в таком случае нужно проверить что существующая стенка поддерживает VPN passthrough. |
Posted by: FiL on 11-05-2004, 17:17 | ||||
Одно дерево. Дочерний домен в Балтийске. Global catalog в Москве. Авторизация проходит на ближайшем контроллере. А иначе какой смысл в нескольких, разнесенных территориально, контроллерах. Изменения да, будут посылаться в Москву. Но авторизация будет проходить локально. |
Posted by: retro on 11-05-2004, 17:20 | ||||
heineken man
А почему нельзя просто?
Еще раз прочитай. Дочерний домен в Москве. |
Posted by: heineken man on 11-05-2004, 17:50 | ||
Можно конечно. Но технически скорее всего сложнее будет чем поднять туннель между файерволами, да и преимуществ у site-to-site больше. 1. Керио скорее всего делает НАТ, у контроллеров адреса по польшей части "левые". Значит надо конфигурировать стену для port-redirection и т.п, чтобы трафик между впн-нодами проходил на non-routable IP. 2. Насколько я помню, L2TP VPN не работает за НАТ-ом. Значит остается PPTP - сегодня это уже вчерашний день, MS не рекоммендует его использование. 3. VPN traversal - нужно чтобы существующая стена пропускала ВПН трафик от нода к ноду. Керио вроде это поддерживает, но надо проверить. Надо заметить, что как в случае ВПН между стенками, так и между контроллерами доменов, ВПН строится один и тот же - MS RRAS. Еще в случае site-to-site тунелем могут пользоваться все хосты в обеих сетях, не требуя изменения существующей маршрутизации. Connecting Networks over the Internet with a Gateway to Gateway VPN (http://www.tacteam.net/isaserverorg/vpnkitbeta2/g2g-betab.htm |
Posted by: retro on 11-05-2004, 18:46 | ||
Да, делает. А может и не делает. А какая разница? Не Kerio, так Symantec, не он, так еще кто-то (или что-то), но само-собой разумеется, что железяка решает все проблемы намного лучше. И, кстати, по деньгам тоже еще спорный вопрос. Если софт не ворованный, то тоже... Тот же Symantec VPN Enterprise и им подобные. Значит бесплатно и если нет железки только М$. А Kerio... ну что... да несерьезно это как-то... (ИМХО) Что касаемо М$, то работает (на удивление!) просто чудесно, а в 2003 еще лучше. И ничего не надо покупать. |
Posted by: heineken man on 11-05-2004, 19:08 |
А я и предлагаю MS, хоть мне лично это и противно. ISA ставится на обычный сервер 2000 или 2003, для ВПН-а использует штатный виндовский механизм. Но вдобавок, еще и служит файерволом. В интернет человек выходит через Керио, у того с одной стороны интернет-девайс, а с другой - локальная сеть, в которой сидит домейн контроллер. Вместо того чтобы строить ВПН между контроллерами и пропускать его через Керио, лучше делать терминацию на файерволе, он же VPN Gateway, он же ISA server - разрабатывает его майкрософтовское отделение в Хайфе. Кстати, сейчас бесплатно дают бета-версию ISA-2004. ISA Server Home Page (http://www.microsoft.com/isaserver |
Posted by: FiL on 11-05-2004, 19:50 | ||
Ну кроме самой винды. А MS-Сервер далеко не бесплатный. |
Posted by: retro on 11-05-2004, 20:13 | ||
Что ты имел ввиду? Чего-то я не совсем понял... |
Posted by: heineken man on 11-05-2004, 20:38 |
Идея в том, чтобы заменить Керио на ISA. Оба файерволы, но ISA еще и VPN Gateway. Таким образом, туннель существует между двумя файерволами, а все кто за ними - общаются друг с другом через ВПН. Т.н. Site-to-Site. В ссылке, которую я привел все довольно подробно описано. За одним приятным исключением - PKI (CA Authority) можно не поднимать, L2TP/IPSec VPN может работать с pre-shared secret. |
Posted by: retro on 11-05-2004, 20:51 | ||
heineken man Ознакомился с твоей ссылкой, спасибо. Действительно, очень подробно. Что сразу не понравилось (правда, ознакомился я довольно поверхностно, абсолютно не вникал в детали, так что чего-то, возможно, и не просек) - установку кучу дополнительных сервисов, как, например IIS, Wins, и пр. Мне кажется, что это здорово усложняет настройку...
|
Posted by: heineken man on 11-05-2004, 21:20 |
Я ведь писал уже почему - из-за требуемой переконфигурации Керио и дополнительных преимуществ соединения сетей а не серверов. Потом, если поднять тунель между файерволами, то не нужно делать вообче никаких изменений внутри каждой сети - весь трафик (как интернетный так и ВПН-ный) и так проходит через файервол. Насчет конфигурации - IIS нужен только для CA, а если использовать pre-shared то его ставить не надо. Кажется, стенку можно вообще в домейн не ставить. По моему, если платить - то надо ставить железо, если нет - то ISA. |
Posted by: Lab on 12-05-2004, 11:01 |
разговаривал с москвой - обещали дать железку что просить? |
Posted by: heineken man on 12-05-2004, 12:00 |
Лаборант: 1. Сколько юзеров внутри каждой сети. 2. Как сети выходят в интернет (АДСЛ, сетевой кабель в стену помещения и т.д) - это определяет нужна ли поддержка ПППоЕ/ППТП. 3. Сколько законных адресов имеется. 4. Нужны ли ДМЗ - например почтовый сервер или Веб в отдельном сегменте с доступом из интернета - отсюда можно сформулировать требование к количеству НИКов на железке. Это ОЧЕНь влияет на цену. Дело в том, что в моделях начального уровня обычно 2 интерфейса без возможности расширения. Подберем тебе что-нибудь. З.Ы. Не кажется ли вам, что последние пару страниц нужно перенести в отдельный топик? А то что-то слишком большой контраст между бурным началом темы и ее занудным концом. |
Posted by: Lab on 12-05-2004, 12:32 |
ок. ситуация такая: Балтийск: офис сидит на выделенной линий, но потом здесь будет SDSL 2 Мбита, в локалке один AD DC, почтовый сервер (MDaemon, буду менять на Excandge) и 15 пользователей Москва: точно не скажу, но когда я там был, я видел что у них уже их домен входит в состав чего-то там... потому что в сетевом окружении видны подсети и в лондоне и в женеве и т.д. как у них там организовано: лесом, деревом - не знаю, я там был всего один день и не разобрался еще. почему я так все выспрашиваю: конечно, когда будем связывать наши домены мне все скажут, но как-то хочется подготовится к этому вопросу и быть может выбить для себя лучший вариант. |
Posted by: FiL on 12-05-2004, 18:27 | ||
Вообще это очень странно, что у тебя есть хоть какое-то право выбора. Обычно в такого рода конторах при открытии офиса приходит контейнер весьма конкретного оборудования с огромным томом детальной инструкции какие кнопки нажимать. Шаг влево-вправо считается побегом и карается не отходя от кассы. |
Posted by: heineken man on 12-05-2004, 18:49 |
С Балтийском все более-менее понятно - стандартная ситуация Small Office. Типичное решение - двухинтерфейсный appliance. Когда будет SDSL, будет и раутер. Провайдер выделит некоторое кол-во "взрослых" адресов, один из них займет внутренняя нога раутера, другой - внешняя файервола. Все локальные компы присоединены к внутреннему интерфейсу файервола, в Интернет и в ВПН ходят через него. Адреса у всех - левые. Для доступа к Ексченжу из интернета на железке открывается Static NAT или Port Redirection, в зависимости от наличия свободного "взрослого" адреса. Как рекомендуемую альтернативу можно рассмотреть покупку трехинтерфейсного железа, тогда в полученный ДМЗ можно поставить еще один почтовый сервер-релей, который будет форвардить почту в Ексченж. Минимально подходящие железки из серьезных ценой в 500-700$.- Safe@Office110 (S-Box) (http://www.checkpoint.com/products/smallbusiness/safe@office.html, Nokia IP 40 (http://www.nokia.com/BaseProject/Sites/NOKIA_MAIN_18022/CDA/Categories/Business/LargeBusiness/NetworkIntegrity/IPSecurityPlatforms/DistributedEnterprises/_Content/_Static_Files/sec_ip40_datasheet.pdf и Cisco PIX-501 (http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/ps2031/index.html. Все упомянутые продукты расчитаны на несколько меньшее кол-во юзеров (в стандартной форме лицензирования), возможно придется немного доплатить. С Москвой сложнее (у них там в Москве всегда все сложно ). Из наличия лондонских и женевских доменов можно предположить наличие также и существующих интернет и/или WAN линий, и Балтийский оффис понадобиться интегрировать в существующую инфраструктуру. Тут без подробного анализа существующей сети не обойтись, и следует танцевать от уже установленного оборудования. В любом случае, предпочтительнее иметь две железки от одного вендора на разных концах. Скажем, если окажется что в Москве стоит раутер Cisco , то лучше всего для Балтийска подойдет PIX, если там Checkpoint - то Nokia или S-Box. Что-то ж там есть, и не слабое, они ведь как-то и в интернет и в Лондон ходят. Нагрузка там судя по всему не малая, вышеперечисленные младшие модели скорее всего не подойдут. |
Posted by: retro on 12-05-2004, 23:18 | ||
heineken man Да не так уж и понятно. Но если начали говорить об интеграции, то получается, что возможны два варианта: каждый из доменов располагается в отдельном сайте, или один из доменов разбит на несколько сайтов. А это уже в корне меняет дело. И сколько серверов DNS - Балтийск, если народу там мало, может вообще обойтись без него, ну или одного хватит, а вот все остальные? Как они между собой связаны? Как они вообще стоят? Если все за стенками, то по 53-у и готово, если один(и) там, а другой(е) снаружи, как ты будешь связывать? Это на все сервера ставить надо и настраивать-переделывать, о чем ты говоришь? Не получится вот так "железно" внедриться (ИМХО)... Схема-то давно пашет, все утверждено, ты можешь только подстроиться под существующие условияи, и я просто не понимаю саму постановку вопроса:
Не знаю... Ну я понимаю, воткнул по железке с обоих сторон в небольших конторах по одному-двум DC, и работает. А при такой разветвленной структуре... Подождем других мнений. Я, кстати, сегодня изучал статью по твоей ссылке. Многое прояснилось, но как все это должно четко работать пока не разобрался. |
Posted by: genka on 12-05-2004, 23:45 |
Ребята, ведь это же форум для начинающих, а не для крутых админов! |
Posted by: Lab on 13-05-2004, 08:47 |
ну что же - может модератор отреагирует и отрежет мой кусок в куда-нибудь? и назовет его - "как связать две сети по VPN (или не по VPN)" |
Posted by: heineken man on 13-05-2004, 09:53 | ||
Админы - режьте, а то меня совесть мучает.
Кажется пришло время остановиться на термине Site-to-Site VPN. Смысл этого такой - все, кто находятся позади двух связанных между собой по тунеллю железок, имеют возможность пользоваться этим защищенным каналом для связи друг с другом. При этом выход в инет остается обычным - через ту же железку. Какая разница сколько ДНС-ов и где они находятся ? Для Балтийска ситуация меняется с "сеть за одним файерволом выходящая через него в интернет" на "сеть за одним файерволом выходящая через него в интернет и дополнительно имеющая защищенный канал с сетью в Москве". Насчет Москвы - я ведь написал, что без вникания в структуру решение найти нельзя. |
Posted by: Lab on 13-05-2004, 10:44 |
пусть Москва сама с собой разбирается, тем более, что у нее уже есть структура через которую они ходят в Лондон. можно ли не вникая в структуру Москвы, посоветовать решение для Балтийска, чтобы, например, иметь железку для хождения в инет и поддежржки защищенного канала для связи с Москвой? |
Posted by: Lab on 13-05-2004, 12:08 |
разговаривал с Москвой - новая вводная, пока с Лондоном нас интегрировать не будут, в Москве поставят новый сервер, отдельный канал и все это только для связи с Балтийском... то есть сначала мы настроим связь Москва-Балтийск, вот. Но по сути ничего не поменялось и я еще раз повторю: сначала разберемся с железкой (однозначно будет железка) что вы посоветуете взять для подобных условий с прицелом на будущее (может мы и не будет расти численно по экспоненте, но запас прочности иметь надо) и не сильно ограничивая себя в деньгах (кстати - в Лондоне предпочитают циски, пусть и у меня будет циска ) |
Posted by: Lab on 15-05-2004, 11:42 |
up |
Posted by: genka on 15-05-2004, 15:04 |
Так за тебя уже все решили- бери ^cisco^, и не мучайся, раз деньги дают. По твоим требованиям сгодится даже 501, но если можно потратить больше, то возьми 506 для душевного спокойствия. |
Posted by: FiL on 15-05-2004, 17:00 |
heineken man перенял эстафету. Удачи. |
Posted by: Lab on 15-05-2004, 18:14 |
Во.. спасибо за конкретный ответ - значит 501 или 506 - будем клянчить Если модератор не вырежет это кусок, то он так и останется тут Я пойду покупать книгу и пока железка не появится буду изучать мат.часть Скажите, а можно сначала сделать связь опираясь на програмные продукты, а потом переключить это на железку? а то мне ее в течении месяца врядли купят. |
Posted by: heineken man on 17-05-2004, 11:51 |
Тут такой момент - 501 и 506 PIX-ы двухинтерфейсные, без возможности расширения. 15 юзеров с тенденцией на увеличение сеть уже не крошечная, а вполне даже чувствительная, особенно если вместе с расширением канала юзеры почувствуют апетит к серьезным даунлоудам (ФТП, П2П). Плюс по существующему VPN туннелю начнут гонять не только синхронизацию доменов, но и много всего прочего. Я конечно понимаю, что 0.5-1к и 2-3к суммы совершенно разные, но все же PIX-515 - "взрослый" файервол, который может с успехом работать как с 15 юзерами, так и с значительно большим количеством, не предявляя при этом ограничений малых моделей. Если фирма готова платит за вхождение в мир серьезных дядь (а симметричный канал 2мб очень даже "совершеннолетний", я до этого года менеджил фирму с 150 юзерами плюс 20 ВПН туннелей на таком канале), то лишняя тысяча зеленых никого не должна остановить. IMHO. |
Posted by: heineken man on 17-05-2004, 13:02 |
Насчет поиграться пока программно, муторное это дело поднимать такие вещи на временной инфраструктуре. Временной, потому что наверняка новый канал с сервером в Москве еще не готов, а выводить через существующий без внедрения в структуру сети не получится, как уже неоднократно подчеркивалось. Да и в Балтийске пока 128к, наверняка забит в дупель 24 часа в день, только туннелей там не хватало. Месяц всего - сколько той зимы. |
Posted by: genka on 18-05-2004, 23:06 |
Мне кажеся, что и маленького ^PIX^ должно хватить- трафик он потянет, а дополнительный интерфейс для ^DMZ^ в региональном офисе вряд-ли нужен. Но! Если дают $$, надо покупать самое лучшее. Купишь и будет работать- никто тебя ни в чем не упрекнет, а если возмешь подешевле и через некоторое врмея выяснится, что мощи не хватает, то шишки могут посыпаться Хорошо, если ты им в ответ сказать- я хотел получше, а вы денег не дали Я лично маленьких ^PIX^ов не видел. у меня только 515ые, да и те я не использую для ^VPN^. Недавно разжился большой книгой. Посмотрел, тебе все равно подходит 501. 506 отличается только скоростью- ^3DES VPN^ до 17Мб вместо 3. 515 имеет больше возможностей- до 6 интерфейсов, поддержка ^failover^, скорость еще выше- до 140Мб. Вопрос только, нужно ли тебе это. Я думаю, что нет, но если бабки есть- бери! |