DMVPN + Azure

[cbcisco]

Witam,
Projektuję sieć dla pewnego startup’u, który produkuje soft.
Firma ma dwa biura w większych miastach i zatrudnia łącznie jakieś 100 osób.
W najbliższym czasie planuje otworzyć kilkanaście oddziałów terenowych i wzrost zatrudnienia do paru tysięcy.

Postanowiłem, że zrobię to na DMVPN w topologii hub&spoke po Internecie.
Założyłem, że lokalizacje spoke będą miały po jednym routerze Cisco ISR 1941, który będzie miał dwa tunele do huba, składającego się z dwóch osobnych routerów ASR 1002-F.
Pierwsze moje pytanie dotyczy tego, czy dla tej implementacji potrzebny jest aż tak drogi router, jak ASR1002-F?
Czy może wystarczyłby Cisco ISR z wyższej serii, np.: 2900?
Ktoś ma jakieś doświadczenie, jeżeli chodzi o sprzęt, licencje, wersje IOS’a?
Będę wdzięczny za podpowiedź.
Może paść propozycja zupełnie inna od planowanej przeze mnie, ponieważ urządzenia jeszcze nie zostały zakupione.

I przy okazji druga zagadka, która spędza mi sen z oczu, to połączenie tego z Azurem microsoftowym.
Chodzi o to, że Azure, pomimo wykupionych kilku subskrypcji, udostępnia tylko jeden tunel VPN Site-to-Site.
Czy ma ktoś jakiś pomysł, jak połączyć Azure z wewnętrzną chmurą DMVPN, aby każda wykupiona subskrypcja była po stronie firmy w osobnym VLAN’ie, a mimo tego, komunikowała się przez pojedynczy i jedyny możliwy tunel S-to-S.
Przy okazji: mam tutaj do dyspozycji jedną ASĘ 5506.
Do tego trzeba jeszcze dołożyć klientów firmy, którzy kupują produkowany soft.
Oni muszą mieć też dostęp do wykupionych przez nich subskrypcji, ponieważ na Azure jest testowany soft, który zamawiają.
Może jakiś NAT, albo dać na brzegu jednego ISR1941, jako dodatkowego spoke?
Chodzi mi o sprawdzone i z życia wzięte przykłady obejścia problemu.
Z góry dziękuje za wszystkie wskazówki i pozdrawiam.

[polak]

Kwestia ile bedzie spoków i jaka przepustowość szyfrowania ipsec do huba.
Seria 2900 to raczej nie ale 4300 da radę. Powyżej 100 spoków to raczej asr.

[cbcisco]

planuję 14 spoke'ów do jednego dual hub'a

parametry dla IPSek:
algorytm szyfrowania: AES 256b
algorytm podpisu hash: SHA-1
autentykacja: sygnatura RSA
grupa Diffie-Hellman: #2 1024b
czas życia SA: 86400 s

a co sądzisz o 2x ASR 901?
tylko nie wiem, jaką wersję IOS'a i czy dokupuje się jakąś dodatkową licencję, jak np dla rozwiązań iWAN?
podpowiesz coś?

[domin]

ASR 901 to zupełnie nie to pozycjonowanie. W zależności od wymagań co do łączy w HQ, dla 14 spoke'ów można pomyśleć nad ISR 4431/4451.

[pkupisiewicz]

Wybór pudełek zależy od typu ruchu, który będzie przez tego DMVPNa latał.

Jeżeli większość ruchu będzie spoke-to-spoke i jeden spoke będzie zestawiał 15-20 tuneli z innymi spokami, wtedy nawet po stronie oddziałów zdalnych potrzebujesz 43xx/44xx. W tym wypadku natomiast HUB też spokojnie może być 44xx.

Ogólnie 15-20 tuneli spokojnie zostanie obsłużone przez 43xx/44xx/ASR1K w sensie control plane. Jeżeli chodzi o wybór konkretnego pudła to patrz na throughput. O ISR G2 (19xx) zapomniałbym na dzisiaj.

[cbcisco]

głównie pomiędzy spoke'ami będzie odbywał się ruch generowany przez Cisco TelePrecense
reszta tutejszego ruchu, to drobnica w porównaniu z powyższym (e-mail, kominikator, dns)
dodam jeszcze, że spokes zwiększy się do kilkunastu, dopiero w ciągu kilku najbliższych lat
obecnie są cztery + hub i na tym się na razie kończy