|
Автор |
Сообщение |
ploskiy
Зарегистрирован: 23 янв 2019, 11:56 Сообщения: 78
|
Только вот в 3945 можно одновременно воткнуть POE свитч на 48 портов, WiFi контроллер на SRE модуле поднять и ещё на одном SRE какую-нибудь винду для виртуального присутствия на площадке, а в 4431 такое не получится - минимум 4451 или 4461 уже, а это другие деньги. С точки зрения производительности конечно даже мелкие 4321, 4331 будут мощнее даже более старших моделей из 2900 линейки, но не производительностью единой живём. Я сейчас на один проект поставил как раз 3945 со всем выше перечисленным набором - маленькой конторе вполне достаточно. 2951 не подошла по размеру, 3925 - не тянет указанную конфигцрацию модулей. Супер безопасности, супер новых технологий там не нужно и грузить трафиком под 100% её точно никто не будет. Даже достаточно крупный энтерпрайз при правильной организации инфраструктуры у нас помещался на 2951 - чуть больше 20 филиалов на 650 человек, которые больше 200 постоянных сессий в терминалках держали. Заменили их, кажется, на 4431, но я уже 1,5 года как ушёл оттуда - не знаю чем закончилось всё.
|
29 окт 2019, 15:26 |
|
|
dijix
Зарегистрирован: 02 ноя 2013, 08:12 Сообщения: 791
|
root99 писал(а): при 1-2G трафика так или иначе уже требуется взаимодействие с оператором через bgp flow spec для защиты - здесь этого нет и не будет - это главный минус По секурити немного неправильно выразился - допустим AES256-GCM но какая производительность то будет + прибавляется стоимость нужен HSEC Второй главный минус например для C3945E SPE250 - как то выкидывать 1.5-2к килобаксев + некоторое кол-во баксев за HSEC за практически не живой продукт смысла нет.
ASR1001-Х ISR4400 ISR4300 - это всё платформа IOS XE отличается только по производительности, я не сторонник ISR4k - тем более например 4451 - стоит дороже чем ASR1001-Х ( новый стоит 5.5к уже в РФ соот. в Китае он ещё дешевле ) бу можно найти 2.5-3к - но так вы получаете современную платформу и производительность во всём в десятки раз превосходящую старый ISRg2 Про несколько фуллов для ISR4400 например ну так добавьте памяти для ASR1001-X тоже самое и будет вам всё... - даже если рассматривать 4431 бу то он по цене сопоставим с 3945е 4451 держит 5 fw спокойно, памяти свободной 1.3 гб
|
29 окт 2019, 20:17 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
dijix
4451-4461 как новые по цене не выгодны, проще взять дешевле более производительную систему ASR1001-X например....
|
29 окт 2019, 20:40 |
|
|
fork
Зарегистрирован: 26 окт 2019, 19:58 Сообщения: 8
|
root99 писал(а): при 1-2G трафика так или иначе уже требуется взаимодействие с оператором через bgp flow spec для защиты - здесь этого нет и не будет - это главный минус По секурити немного неправильно выразился - допустим AES256-GCM но какая производительность то будет + прибавляется стоимость нужен HSEC Второй главный минус например для C3945E SPE250 - как то выкидывать 1.5-2к килобаксев + некоторое кол-во баксев за HSEC за практически не живой продукт смысла нет.
ASR1001-Х ISR4400 ISR4300 - это всё платформа IOS XE отличается только по производительности, я не сторонник ISR4k - тем более например 4451 - стоит дороже чем ASR1001-Х ( новый стоит 5.5к уже в РФ соот. в Китае он ещё дешевле ) бу можно найти 2.5-3к - но так вы получаете современную платформу и производительность во всём в десятки раз превосходящую старый ISRg2 Про несколько фуллов для ISR4400 например ну так добавьте памяти для ASR1001-X тоже самое и будет вам всё... - даже если рассматривать 4431 бу то он по цене сопоставим с 3945е никто не спорит, что ASR1001-Х и ISR4400 конечно же на порядок интересней чем C3945E SPE250, НО! C3945E SPE250 на авито полно, стоит 30-50к деревянных. а тот же 4431 уже раз в пять дороже, ASR1001-Х еще дороже! да, понятно, что AES256-GCM это стильно,модно,молодежно но все ГОСТовые крипто балалайки работают пока еще на CBC, гнаться конечно нужно за свежими алгоритмами, но без фанатичного выкидывания бабла. Через 5 лет что-то новей придумают, опять все менять? bgp flow spec это тупо опция, совсем не обязательно эту фичу использовать хоть у тебя 10G на аплинке! даже среди операторов, единицы, кто использует эту фичу. Про интерпрайз я вообще молчу, за минус вообще не считаю. Жили все раньше на ASR100*-без Х, 7200, 7600, 65K без bgp flow spec и нормально! Фича нормальная, имеет смысл использовать если доступна, но и без нее все работает и не разваливается и с защитой все норм.
|
29 окт 2019, 22:40 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
C3945E SPE250 - что-то на авито смотрю нет там таких цен 30-50k... bgp flowspec предоставляют очень много операторов, не знаю как вы там защищаетесь ( наверное Вас не ложили ещё 10G легко можно заполнить Volumetric атакой ) - но по крайней мере здесь у вас больше инструментов по управлению трафиком и т.д. без зависимостей и прошения аплинка что-то сделать...., в сегодняшних реалиях отсутствие данной фичи большой минус я бы даже сказал основной....., крипто херни без них можно прожить..., что касается жизненного цикла то по крайней мере ASR1001-X ISR4k ещё будут актуальны ещё лет 5 и даже новая крипта на них появится, что не скажешь про платформу ISRg2 - жизненный цикл закончился их т.е. EoL.
|
29 окт 2019, 22:54 |
|
|
dijix
Зарегистрирован: 02 ноя 2013, 08:12 Сообщения: 791
|
root99 писал(а): dijix
4451-4461 как новые по цене не выгодны, проще взять дешевле более производительную систему ASR1001-X например.... если смотреть в будущее на расширение asr1001-x до 5Gb и далее (лицензия 2.5-5Gb = 12500$ GPL) накидал спеку, asr1001-x в дефолте - 8Gb ОЗУ, 6 SFP RJ45 и 4451x 4451x дешевле, но с boost максимум 8Gb
Вложения:
4451.JPG [ 60.87 КБ | Просмотров: 3993 ]
1001-x.JPG [ 44.84 КБ | Просмотров: 3993 ]
|
30 окт 2019, 06:31 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
Для ASR1001-X если смотреть в будущее можно получить PLR активацию до 20G за пару тройку сотен, тоже самое BOOST и HSEC для любого ISR4K всего лишь за пару сотен
Само железо в Китае АСР1001-Х стоит дешевле чем 4451-4461
|
30 окт 2019, 09:28 |
|
|
siqueiros
Зарегистрирован: 17 окт 2016, 18:02 Сообщения: 228
|
ploskiy писал(а): Даже достаточно крупный энтерпрайз при правильной организации инфраструктуры у нас помещался на 2951 - чуть больше 20 филиалов на 650 человек, которые больше 200 постоянных сессий в терминалках держали. Заменили их, кажется, на 4431, но я уже 1,5 года как ушёл оттуда - не знаю чем закончилось всё. А как была организована удаленная сеть для терминального доступа для 200 сессий, можете чуть подробнее рассказать ? Туннель какой использовался? Какая безопасность ?
|
03 ноя 2019, 22:43 |
|
|
ploskiy
Зарегистрирован: 23 янв 2019, 11:56 Сообщения: 78
|
siqueiros писал(а): ploskiy писал(а): Даже достаточно крупный энтерпрайз при правильной организации инфраструктуры у нас помещался на 2951 - чуть больше 20 филиалов на 650 человек, которые больше 200 постоянных сессий в терминалках держали. Заменили их, кажется, на 4431, но я уже 1,5 года как ушёл оттуда - не знаю чем закончилось всё. А как была организована удаленная сеть для терминального доступа для 200 сессий, можете чуть подробнее рассказать ? Туннель какой использовался? Какая безопасность ? DMVPN между филиалами и ЦОД'ом, больше не скажу - не вдавался в подробности. Изначально хаб в цоде был на 2850 с софтовым шифрованием, когда первый раз перелило поставили хардварные модули. Было связано с изменением архитектуры - головной офис отделили от ЦОДа и сделали spoke'ом. Второй раз переливать хаб начало когда файловые сервера из филиалов перетащили в ЦОД и апдейты на вин10 начали через DMVPN гонять, а не из интернета.
|
07 ноя 2019, 12:24 |
|
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: Google [Bot] и гости: 17 |
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения
|
|
|