Poraďte router pro středně velkou firmu

[vesterna12]

Hledám router+firewall pro středně velkou firmu.

Nějakých 280 stanic.
9 VLAN.
Potřebuji podporu LACP pro propojení s existující infrastrukturou pomocí 4x1Gbe.
2xWAN pro podporu 2xISP, 2X100Mbit.
Hodila by se i podpora "load balancingu/VIP" pro služby v DMZ, ale případně se dá použít HAProxy.
VPN Ipsec nebo podobné pro propojení ostatních lokalit (2x).
QOS pro priorizaci provozu z VLAN do internetu.

Nějaký MK jako takový se mi jeví jako dobré řešení, ale rád si nechám poradit
https://www.i4wifi.cz/cs/262009-mikrotik-cloud-core-router-ccr2004-16g-2s

[Reklama]

[darebacik]

Ano MK je v pohode, ale mozno by si mohol pouvazovat nad niecim od freebsd. Narazam na pfsense, prip. opnsense. To mozes postavit na nejakom x86_64 zeleze. Ak to postavis nad nejakym VE (KVM) tak to nemusi sluzit len ako router.

[vesterna12]

Mikrotik bych volil čistě pro VLAN management a routing.
Za MK bych dal pak Pfsense pro IDP a IDS.

[_Jenda]

Koupil bych běžný x86 počítač/server na který jste zvyklí, s dostatkem síťovek / PCIe slotů na ně, a dal na to Debian.

Důležité je řešit nějaké HA/failover, protože určitě nechceš pod tlakem řešit, že to vypadlo a firma o 300 lidech nemůže pracovat. Koupil bych druhý takový stroj (bonus pro diverzifikaci: zdroj/motherboard etc. od jiného výrobce, ale není to nutné) a automaticky na něj kopíroval (např. rsyncem) veškerou konfiguraci a data. Předpokládám, že výpadek pár minut daný fyzickým přepojením kabelů si dovolit můžete.

[Pavel...]

tak na okraj: je dovod neuvazovat na niecim hotovym a zabalenym?

ako obet https://www.paloaltonetworks.com/network-security/next-generation-firewall mam sice par namietok voci ich produktu, ale v principe mi to pride pohodlne a pouzitelne riesenie za rozumny peniaz.

[Reklama]

[honzako]

Že by Cisco nic vhodného nenabízelo?!
Nedobře se na to koukáš!
Cena za zařízení je jedna věc, ale cena za výpadek a tudíž nedostupnost je věc kterou mnoho lidí, bohužel, si ani neuvědomuje.
K čemu ti bude ušetřených pár desítek tisíc, když pak těch 280 userů nebude moci pracovat, protože se krabice za dvacítku rozbila a výměna nebude rychlá, resp. nemáš žádnou smluvní garanci?
Kolik to pak asi bude stát na mzdových nákladech?! Stačí si vynásobit jednodenní mzdu 2 tis. x 280 lidí a tolik jsi prostě zahodil do kanálu pofidérní úsporou.

[_Jenda]

K čemu ti bude ušetřených pár desítek tisíc, když pak těch 280 userů nebude moci pracovat, protože se krabice za dvacítku rozbila a výměna nebude rychlá, resp. nemáš žádnou smluvní garanci?

Bude mít větší dostupnost, když si ty krabice za dvacítku koupí tři a v případě výpadku přehodí kabely a zmáčkne reset (5 minut), nebo když si koupí jednu krabici za půl mega a k tomu za dvěstě litrů NBD servis a pak bude s vysypanou krabicí čekat od pátku do pondělí večer (NBD)?

Co se týče debaty „něco hotového s vlastním síťovým OS“ vs. „standardní počítač s běžným OS + nastavit to“ tak osobně preferuju to druhé. Možná to má větší investici na počáteční nastavení, ale nestane se ti, že by ti chyběla nějaká featura a výrobce řekl „sorry neděláme“ nebo „jj, je k dispozici v enterprise verzi za další mega“, a navíc je potřeba také myslet na to, že nejsi jediný, kdo se o to má starat - a „administrátor - expert na konfiguraci sítě v Linuxu“ se shání podstatně jednodušeji než „administrátor - expert na konkrétní síťový OS nějakého výrobce“.

[ja.]

Bude mít větší dostupnost, když si ty krabice za dvacítku koupí tři a v případě výpadku přehodí kabely a zmáčkne reset (5 minut), nebo když si koupí jednu krabici za půl mega a k tomu za dvěstě litrů NBD servis a pak bude s vysypanou krabicí čekat od pátku do pondělí večer (NBD)?

Tu v princípe s tebou súhlasím, akurát vyššie spomínané Mikrotiky podporujú VRRP, takže v prípade výpadku sa za tri sekundy samé prehodia na záložný. V rozpočte za Cisco môže mať celý regál záložných Mikrotikov.

Vyššie spomenuté Mikrotiky neposkytnú IDS alebo NGFW. Síce to v požiadavkách nebolo, ale pri firme s 280 ľuďmi by som to asi chcel.

Co se týče debaty „něco hotového s vlastním síťovým OS“ vs. „standardní počítač s běžným OS + nastavit to“ tak osobně preferuju to druhé. Možná to má větší investici na počáteční nastavení, ale nestane se ti, že by ti chyběla nějaká featura a výrobce řekl „sorry neděláme“ nebo „jj, je k dispozici v enterprise verzi za další mega“, a navíc je potřeba také myslet na to, že nejsi jediný, kdo se o to má starat - a „administrátor - expert na konfiguraci sítě v Linuxu“ se shání podstatně jednodušeji než „administrátor - expert na konkrétní síťový OS nějakého výrobce“.

Tu nie celkom súhlasím. Aadministrátor bežného OS vie nastaviť ip adresu na rozhraní, alebo nejako dá iptables, ale na BGP bude pozerať ako na zjavenie. Sieťový administrátor je v tomto ohľade niečo iné a vie riešiť veci, ktoré by si si v bežnom OS musel nejako došolíchať sám.

[vesterna12]

Bude mít větší dostupnost, když si ty krabice za dvacítku koupí tři a v případě výpadku přehodí kabely a zmáčkne reset (5 minut), nebo když si koupí jednu krabici za půl mega a k tomu za dvěstě litrů NBD servis a pak bude s vysypanou krabicí čekat od pátku do pondělí večer (NBD)?

Tu v princípe s tebou súhlasím, akurát vyššie spomínané Mikrotiky podporujú VRRP, takže v prípade výpadku sa za tri sekundy samé prehodia na záložný. V rozpočte za Cisco môže mať celý regál záložných Mikrotikov.

Vyššie spomenuté Mikrotiky neposkytnú IDS alebo NGFW. Síce to v požiadavkách nebolo, ale pri firme s 280 ľuďmi by som to asi chcel.

Co se týče debaty „něco hotového s vlastním síťovým OS“ vs. „standardní počítač s běžným OS + nastavit to“ tak osobně preferuju to druhé. Možná to má větší investici na počáteční nastavení, ale nestane se ti, že by ti chyběla nějaká featura a výrobce řekl „sorry neděláme“ nebo „jj, je k dispozici v enterprise verzi za další mega“, a navíc je potřeba také myslet na to, že nejsi jediný, kdo se o to má starat - a „administrátor - expert na konfiguraci sítě v Linuxu“ se shání podstatně jednodušeji než „administrátor - expert na konkrétní síťový OS nějakého výrobce“.

Tu nie celkom súhlasím. Aadministrátor bežného OS vie nastaviť ip adresu na rozhraní, alebo nejako dá iptables, ale na BGP bude pozerať ako na zjavenie. Sieťový administrátor je v tomto ohľade niečo iné a vie riešiť veci, ktoré by si si v bežnom OS musel nejako došolíchať sám.

Psal jsem to v predhochzim prispevku.
Mikrotik chci primarne pouzit na VLAN routing a management. Pro ochranu provozu z/do internetu Pfsense s IDS/IPS.

[pruzkumbojem]

jak je to ale s L3 vykonem, pekne daleko od wirespeed? dle mych zkusenosti je to u mikrotik rad 328 a 309, co mam ja, naprosta tragedie.
ale jak se zda, tak se da castecny hw offloading zapnout na router OS 7.1+

[David]

Jakmile od Mikrotiku chce člověk více firewallu, výkon jde hodně dolů. Pokud stačí jen základní pravidla, dá se použít fasttrack; ten nejde u markování jednotlivých paketů, což je potřeba např. pro policy-based routing.

Pro středně velkou firmu bych se prostě nebál použít serverový hardware a x86 server a na něm software dle schopností admina. Klidně debian + nftables.

[ja.]

jak je to ale s L3 vykonem, pekne daleko od wirespeed? dle mych zkusenosti je to u mikrotik rad 328 a 309, co mam ja, naprosta tragedie.
ale jak se zda, tak se da castecny hw offloading zapnout na router OS 7.1+

No tak v prvom rade CRS3xx sú switche, nie routre. Vedia l3hw offload, ale treba sa stále k tomu správať ako ku switchu a dobre si pozrieť konfiguráciu, či sú splnené podmienky pre offload. Ak nie, tak switch chip je s CPU spojený len 1.3 Gbps (CRS324), resp 3 Gbps (CRS309) linkou a CPU je dvojjadro na 800 MHz, tak to switchovaciu kapacitu CRS309 ani CRS324 neutiahne.

Vyššie spomenutý CCR2004 je trocha iná kategória (aj keď spodný model z nej). Či by postačil alebo nie, závisí na číslach, ktoré bude mať len pôvodný pýtajúci sa.

[František Ryšánek]

Mikrotik chci primarne pouzit na VLAN routing a management. Pro ochranu provozu z/do internetu pfSense s IDS/IPS.

...nejsem v obraze ohledně novinek a nejsem v oboru rutinér. Směl bych poprosit o vysvětlivku, když nasadíte Pfsense, co přesně ohledně VLAN a "managementu" zbyde na Mikrotik? Z mého povrchního pohledu, pfSense / opnsense umí dot1Q tagging (zacházet s fyzickým eth rozhraním jako s VLAN trunkem) a dál stačí libovolný switch. Troufám si tvrdit, že na většině základních managed switchů je práce s VLANami příjemnější než na Mikrotiku...

Byla tu řeč o VRRP - pfSense/opnsense údajně používají CARP.

Když se bavíme o firewallu na PC, jenom bych zmínil, že není od věci, zakázat C-states hlubší než C1. Kvůli latencím při řidším provozu, pokud máte zároveň na síti provoz, který je na latence háklivý - třeba (ne)šikovně napsanou DB aplikaci. U pfSense nevím jaký je default, opnsense má zřejmě z výroby omezeno na maximálně C1 (za mě správně). FreeBSD pro to má sysctl proměnou hw.acpi.cpu.cx_lowest . Vanilkový Linux by default využívá nejhlubší mikrospánky, které hardware nabízí - tady je vhodné omezit např. pomocí intel_idle.max_cstate=1 (na kernel command line).

Pokud jde o platformu X86 stroje, na základní forwarding paketů (zejm. pro rychlost 100 Mb) stačí čtyřjádro BayTrail ATOM. Možná by stačil i na gigabit - záleží na podrobnostech (jaký provoz, jak složitá konfigurace FW pravidel). Nemám ale zkušenost, co všechno vyvádí pfSense/opnsense a nakolik jsou ty fičurky procesorově náročné. Chci říct, že než jít rovnou po nějakém enterprise železe, přimlouval bych se provést napřed test, zda by nestačil relativně obyčejný procesor. Matně si vybavuju, že vystropovat 10Gb iSCSI na běžném PC býval už trochu problém.

[Bugsa]

OPNsense router provozuji v obdobně velké firmě na miniPC od firmy XtendLan s Intel Celeron J1900 (Bay Trail) na 300 Mb/s lince. Pro lepší management je tam Proxmox a až v něm OPNsense. Mám tam 2 kusy zapojené v HA konfiguraci a vše funguje bezproblémově, takže mohu doporučit.

[lojza007]

Začni tím, že si ověříš, že nebudete spadat pod NIS2 a osobně si myslím, že při této velikosti budete. Abys nevyhodil prachy a spoustu času za nějaký řešení, který se za rok buď bude muset rozšířit nebo úplně vyměnit.