Jaki router zamiast 2911

Wszystkie rozmowy związane z problemem z hardwarem, supportowanymi funkcjonalnościami, wydajnością urządzeń itp.

Moderatorzy: mikrobi, garfield, gangrena, Seba, aron

Wiadomość
Autor
zielart
member
member
Posty: 28
Rejestracja: 19 sty 2010, 16:22

Jaki router zamiast 2911

#1

#1 Post autor: zielart »

Zastanawiamy sie nad upgrade'm routera (obecnie mamy 2911) na coś lepszego i wydajniejszego.

Nasza sieć wygląda następująco - 5 tuneli site-to-site, część na krypto mapach część na wirtualnych interfejsach.

Do tego 3 łącza internetowe i połączenia VPN do biura, obecnie jest 250 pracowników ale liczba ta szybko rośnie.

W ciągu dnia pracy średnie obciążenie jest ok 60% i czesto pikuje do 100%.

Firma w dużej cześci korzysta ze środowisk chmurowych więc jest spore wykorzystanie łacz internetowych a są to 2x 20/20 mbit oraz 150/10 mbit.

Jaki router byłby wydajnieszy od 2911 i o ile? 2911 jest chyba najmocniejszy z serii SB.

Seba
CCIE/CCDE Site Admin
CCIE/CCDE Site Admin
Posty: 6223
Rejestracja: 15 lip 2004, 20:35
Lokalizacja: Warsaw, PL

#2

#2 Post autor: Seba »

Idź w routery serii ISR4000, np. 4331 (Datasheet
"Two things are infinite: the universe and human stupidity; and I'm not sure about the universe."
A. Einstein

freel4ncer
wannabe
wannabe
Posty: 531
Rejestracja: 27 wrz 2007, 01:13

#3

#3 Post autor: freel4ncer »

A moze Juniper SRX 240

Awatar użytkownika
Mike
wannabe
wannabe
Posty: 272
Rejestracja: 30 sie 2004, 18:31

#4

#4 Post autor: Mike »

A moze HP MSR3044 lub MSR 4060?

zielart
member
member
Posty: 28
Rejestracja: 19 sty 2010, 16:22

ruter

#5

#5 Post autor: zielart »

Wolałbym pozostać na CISCO, jeżeli chodzi o zarządzanie i konfigurację będzie mi łatwiej to przenieść, rozumiem że nie ma dużych różnic między IOS 2911 a np. 4331.

W 2911 mam jeszcze moduł ze switchem 8 portowym, będzie pasował i do serii 4000?

Jaka będzie różnica wydajnościowa między 2911 a Cisco 4331 i Cisco 4351?

Spora jest różnica w cenie między 4351 a 4331. Warto dopłacać?

Kyniu
wannabe
wannabe
Posty: 3542
Rejestracja: 04 lis 2006, 16:23
Kontakt:

Re: ruter

#6

#6 Post autor: Kyniu »

zielart pisze: rozumiem że nie ma dużych różnic między IOS 2911 a np. 4331.
To zależy o co pytasz - od strony CLI różnica jest niewielka, od strony technicznej kolosalna (inna architektura, linux, IOS jako demon, ....).

zielart
member
member
Posty: 28
Rejestracja: 19 sty 2010, 16:22

#7

#7 Post autor: zielart »

Chodzi mi głównie o możliwość przeniesienia konfiguracjia 1:1 z 2911 na 4351?
Jak CLI jest podobne to może da się przenieść config?

Kyniu
wannabe
wannabe
Posty: 3542
Rejestracja: 04 lis 2006, 16:23
Kontakt:

#8

#8 Post autor: Kyniu »

zielart pisze:Chodzi mi głównie o możliwość przeniesienia konfiguracjia 1:1 z 2911 na 4351?
Jak CLI jest podobne to może da się przenieść config?
Tak całkiem 1:1 to nie często się da chociażby z racji innej numeracji czy nazewnictwa interfejsów. Ale jak wiesz co robisz to sobie poradzisz raczej bez większych przygód. Chyba, że "zapomniało Ci się" o takim drobiazgu jak np. Call Manager Express - ale wtedy nie miej do nas pretensji, że Ci migracja nie poszła.

dolavor
fresh
fresh
Posty: 9
Rejestracja: 29 lut 2016, 11:33

#9

#9 Post autor: dolavor »

Kurcze, u mnie też się szykuje zmiana i nie wiem w co pójść. Muszę się dokładniej zgłębić w temacie.
Hej!

Awatar użytkownika
mstan
wannabe
wannabe
Posty: 92
Rejestracja: 18 lip 2013, 18:21

#10

#10 Post autor: mstan »

W skrocie:

ISR 4331 -> 1 RU, 100-300 Mbps, 1xCU+1xSFP+1xCU/SFP combo, 1 x SM, 2 x NIM, 1 x zasilacz AC

ISR 4351 -> 2 RU, 200-400 Mbps, 3 GE Combo port: RJ45 or SFP, 2 x SM, 3 x NIM, 1 x zasilacz AC lub DC


Jesli chodzi o kompatybilnosc modulow miedzy 2900 a 4000 to tylko moduly SM-X beda dzialac na obu routerach.

EHWIC na ISR G2 zostaly zastapione modulami NIM na 4000.
SM na ISR G2 zostaly zastapione SM-X na 4000.

Awatar użytkownika
Misiekm
wannabe
wannabe
Posty: 511
Rejestracja: 29 lis 2005, 17:31
Lokalizacja: Londyn

#11

#11 Post autor: Misiekm »

Masz 3 lacza na 1 routerze, moze pomysl o 2 mniejszych pudelkach zamiast jednego duzego.

lukaszbw
CCIE
CCIE
Posty: 507
Rejestracja: 23 mar 2008, 11:41

#12

#12 Post autor: lukaszbw »

Ja bym rozważył wstawienie ASA przed routerem. VPN i ACL robisz na firewall a routerem kierujesz tylko ruchem jak potrzeba. ASA są znacznie wydajniejsze (w porównaniu z ISR G2 z włączonymi opcjami) i posiadają lepsze mechanizmy firewall oraz rozbudowane opcje jeżeli chodzi o VPN. No chyba, że używasz DMVPN czy tuneli GRE ale z tego co piszesz to nie.

ASA też wychodzi lepiej jeżeli chodzi o wydajność VPN a cena, szczególnie przy niższych modelach.

Nie wiem jak u ciebie wygląda kwestia firewall dla ruchu z i do internetu ale ASA oferuje znacznie przyjemniejszą konfiguracje stateful firewall niż routery przy zastosowaniu CBAC czy zone based firewall. 250 pracowników to ci powiem, że już najwyższa pora aby dobrze kontrolować ruch na firewall jeżeli jeszcze tego nie robisz.
No i w końcu w ASA masz GUI jak chcesz używać a w CLI nie czujesz się dobrze.

2911 spokojnie pociągnie ci te 300Mbps jak robisz na nim sam routing. Jak nie robisz BGP a firewall przejmie zadania typu VPN, NAT, stateful firewall to nawet zwykły switch L3 wystarczy aby kierować ruch do odpowiednich bramek (zakładając, że na 3 łączach masz 3 różne adresacje).

Pozdr.
Lukasz Wisniowski MSc CCNA CCNP CCIE #20319
Tandem Networks
ul. Sztormowa 34
94-117 Łódź
NIP: 727-257-72-37
tel: +48 (42) 2091825

eljot
wannabe
wannabe
Posty: 67
Rejestracja: 27 sty 2012, 12:37

#13

#13 Post autor: eljot »

Cześć,
Akurat migrowałem niedawno u klienta z 2851 do 4331 w podobnej wielkości firmie, więc coś mogę podpowiedzieć. Roboty przy migracji Cię czeka sporo, jeżeli masz CBAC i choć trochę bardziej skomplikowany firewall ( jakieś dmz, guest vlan itp.). Dziś zarekomendowałbym inaczej, oddzielnie mniejszy router 4K do wanu (dmvpn), asa do reszty - ale to tylko dlatego, że po zamówieniu sprzętu rozpoczął się koncert życzeń: a chcielibyśmy firewallem zarządzać przez www ( cisco configuration professional nie wspiera 4331, więc jedyna opcja to Prime ), a to żeby się profile vpnowe jakoś same dystrybuowały ( brak ssl vpn ), a to może 2-factor authentication dla anyconnecta ( flexvpn w tej chwili nie ma takiej opcji, chociaż lada chwila coś ma być ).
Na plus bardzo fajne narzędzia do troubleshootingu w IOS-XE: packet-trace, embedded packet capture.

lukaszbw
CCIE
CCIE
Posty: 507
Rejestracja: 23 mar 2008, 11:41

#14

#14 Post autor: lukaszbw »

Embedded packet capture jest dostępny też na zwykłych routerach, włącznie z 2911.

ASA mają packet-tracer oraz capture, który jest bardziej rozbudowany niż IOSowy szczególnie jeżeli chodzi o łapanie pakietów dropowanych. Do tego masz NSEL, który znacznie więcej informacji wysyła niż NEL jeżeli chodzi o wykorzystanie netflow do monitoringu.

4000 to nowe modele więc ilość funkcjonalności będzie się zwiększać ale pytanie czy macie czas na czekanie i zabawe.

Generalnie to najlepiej mieć router na brzegu oraz firewall wewnątrz. Routery mają przewage gdy wchodzi funkcjonalność typu DMVPN i dynamiczny routing. Kierowanie pakietami też jest o wiele łatwiejsze. Z kolei firewall mają znacznie przyjemniejszy stateful firewall oraz bardziej rozbudowane VPN (szczególnie RA VPN).

Pozdr.
Lukasz Wisniowski MSc CCNA CCNP CCIE #20319
Tandem Networks
ul. Sztormowa 34
94-117 Łódź
NIP: 727-257-72-37
tel: +48 (42) 2091825

ODPOWIEDZ