Jaki router zamiast 2911
Jaki router zamiast 2911
Zastanawiamy sie nad upgrade'm routera (obecnie mamy 2911) na coś lepszego i wydajniejszego.
Nasza sieć wygląda następująco - 5 tuneli site-to-site, część na krypto mapach część na wirtualnych interfejsach.
Do tego 3 łącza internetowe i połączenia VPN do biura, obecnie jest 250 pracowników ale liczba ta szybko rośnie.
W ciągu dnia pracy średnie obciążenie jest ok 60% i czesto pikuje do 100%.
Firma w dużej cześci korzysta ze środowisk chmurowych więc jest spore wykorzystanie łacz internetowych a są to 2x 20/20 mbit oraz 150/10 mbit.
Jaki router byłby wydajnieszy od 2911 i o ile? 2911 jest chyba najmocniejszy z serii SB.
Nasza sieć wygląda następująco - 5 tuneli site-to-site, część na krypto mapach część na wirtualnych interfejsach.
Do tego 3 łącza internetowe i połączenia VPN do biura, obecnie jest 250 pracowników ale liczba ta szybko rośnie.
W ciągu dnia pracy średnie obciążenie jest ok 60% i czesto pikuje do 100%.
Firma w dużej cześci korzysta ze środowisk chmurowych więc jest spore wykorzystanie łacz internetowych a są to 2x 20/20 mbit oraz 150/10 mbit.
Jaki router byłby wydajnieszy od 2911 i o ile? 2911 jest chyba najmocniejszy z serii SB.
ruter
Wolałbym pozostać na CISCO, jeżeli chodzi o zarządzanie i konfigurację będzie mi łatwiej to przenieść, rozumiem że nie ma dużych różnic między IOS 2911 a np. 4331.
W 2911 mam jeszcze moduł ze switchem 8 portowym, będzie pasował i do serii 4000?
Jaka będzie różnica wydajnościowa między 2911 a Cisco 4331 i Cisco 4351?
Spora jest różnica w cenie między 4351 a 4331. Warto dopłacać?
W 2911 mam jeszcze moduł ze switchem 8 portowym, będzie pasował i do serii 4000?
Jaka będzie różnica wydajnościowa między 2911 a Cisco 4331 i Cisco 4351?
Spora jest różnica w cenie między 4351 a 4331. Warto dopłacać?
Re: ruter
To zależy o co pytasz - od strony CLI różnica jest niewielka, od strony technicznej kolosalna (inna architektura, linux, IOS jako demon, ....).zielart pisze: rozumiem że nie ma dużych różnic między IOS 2911 a np. 4331.
Tak całkiem 1:1 to nie często się da chociażby z racji innej numeracji czy nazewnictwa interfejsów. Ale jak wiesz co robisz to sobie poradzisz raczej bez większych przygód. Chyba, że "zapomniało Ci się" o takim drobiazgu jak np. Call Manager Express - ale wtedy nie miej do nas pretensji, że Ci migracja nie poszła.zielart pisze:Chodzi mi głównie o możliwość przeniesienia konfiguracjia 1:1 z 2911 na 4351?
Jak CLI jest podobne to może da się przenieść config?
W skrocie:
ISR 4331 -> 1 RU, 100-300 Mbps, 1xCU+1xSFP+1xCU/SFP combo, 1 x SM, 2 x NIM, 1 x zasilacz AC
ISR 4351 -> 2 RU, 200-400 Mbps, 3 GE Combo port: RJ45 or SFP, 2 x SM, 3 x NIM, 1 x zasilacz AC lub DC
Jesli chodzi o kompatybilnosc modulow miedzy 2900 a 4000 to tylko moduly SM-X beda dzialac na obu routerach.
EHWIC na ISR G2 zostaly zastapione modulami NIM na 4000.
SM na ISR G2 zostaly zastapione SM-X na 4000.
ISR 4331 -> 1 RU, 100-300 Mbps, 1xCU+1xSFP+1xCU/SFP combo, 1 x SM, 2 x NIM, 1 x zasilacz AC
ISR 4351 -> 2 RU, 200-400 Mbps, 3 GE Combo port: RJ45 or SFP, 2 x SM, 3 x NIM, 1 x zasilacz AC lub DC
Jesli chodzi o kompatybilnosc modulow miedzy 2900 a 4000 to tylko moduly SM-X beda dzialac na obu routerach.
EHWIC na ISR G2 zostaly zastapione modulami NIM na 4000.
SM na ISR G2 zostaly zastapione SM-X na 4000.
Ja bym rozważył wstawienie ASA przed routerem. VPN i ACL robisz na firewall a routerem kierujesz tylko ruchem jak potrzeba. ASA są znacznie wydajniejsze (w porównaniu z ISR G2 z włączonymi opcjami) i posiadają lepsze mechanizmy firewall oraz rozbudowane opcje jeżeli chodzi o VPN. No chyba, że używasz DMVPN czy tuneli GRE ale z tego co piszesz to nie.
ASA też wychodzi lepiej jeżeli chodzi o wydajność VPN a cena, szczególnie przy niższych modelach.
Nie wiem jak u ciebie wygląda kwestia firewall dla ruchu z i do internetu ale ASA oferuje znacznie przyjemniejszą konfiguracje stateful firewall niż routery przy zastosowaniu CBAC czy zone based firewall. 250 pracowników to ci powiem, że już najwyższa pora aby dobrze kontrolować ruch na firewall jeżeli jeszcze tego nie robisz.
No i w końcu w ASA masz GUI jak chcesz używać a w CLI nie czujesz się dobrze.
2911 spokojnie pociągnie ci te 300Mbps jak robisz na nim sam routing. Jak nie robisz BGP a firewall przejmie zadania typu VPN, NAT, stateful firewall to nawet zwykły switch L3 wystarczy aby kierować ruch do odpowiednich bramek (zakładając, że na 3 łączach masz 3 różne adresacje).
Pozdr.
ASA też wychodzi lepiej jeżeli chodzi o wydajność VPN a cena, szczególnie przy niższych modelach.
Nie wiem jak u ciebie wygląda kwestia firewall dla ruchu z i do internetu ale ASA oferuje znacznie przyjemniejszą konfiguracje stateful firewall niż routery przy zastosowaniu CBAC czy zone based firewall. 250 pracowników to ci powiem, że już najwyższa pora aby dobrze kontrolować ruch na firewall jeżeli jeszcze tego nie robisz.
No i w końcu w ASA masz GUI jak chcesz używać a w CLI nie czujesz się dobrze.
2911 spokojnie pociągnie ci te 300Mbps jak robisz na nim sam routing. Jak nie robisz BGP a firewall przejmie zadania typu VPN, NAT, stateful firewall to nawet zwykły switch L3 wystarczy aby kierować ruch do odpowiednich bramek (zakładając, że na 3 łączach masz 3 różne adresacje).
Pozdr.
Lukasz Wisniowski MSc CCNA CCNP CCIE #20319
Tandem Networks
ul. Sztormowa 34
94-117 Łódź
NIP: 727-257-72-37
tel: +48 (42) 2091825
Tandem Networks
ul. Sztormowa 34
94-117 Łódź
NIP: 727-257-72-37
tel: +48 (42) 2091825
Cześć,
Akurat migrowałem niedawno u klienta z 2851 do 4331 w podobnej wielkości firmie, więc coś mogę podpowiedzieć. Roboty przy migracji Cię czeka sporo, jeżeli masz CBAC i choć trochę bardziej skomplikowany firewall ( jakieś dmz, guest vlan itp.). Dziś zarekomendowałbym inaczej, oddzielnie mniejszy router 4K do wanu (dmvpn), asa do reszty - ale to tylko dlatego, że po zamówieniu sprzętu rozpoczął się koncert życzeń: a chcielibyśmy firewallem zarządzać przez www ( cisco configuration professional nie wspiera 4331, więc jedyna opcja to Prime ), a to żeby się profile vpnowe jakoś same dystrybuowały ( brak ssl vpn ), a to może 2-factor authentication dla anyconnecta ( flexvpn w tej chwili nie ma takiej opcji, chociaż lada chwila coś ma być ).
Na plus bardzo fajne narzędzia do troubleshootingu w IOS-XE: packet-trace, embedded packet capture.
Akurat migrowałem niedawno u klienta z 2851 do 4331 w podobnej wielkości firmie, więc coś mogę podpowiedzieć. Roboty przy migracji Cię czeka sporo, jeżeli masz CBAC i choć trochę bardziej skomplikowany firewall ( jakieś dmz, guest vlan itp.). Dziś zarekomendowałbym inaczej, oddzielnie mniejszy router 4K do wanu (dmvpn), asa do reszty - ale to tylko dlatego, że po zamówieniu sprzętu rozpoczął się koncert życzeń: a chcielibyśmy firewallem zarządzać przez www ( cisco configuration professional nie wspiera 4331, więc jedyna opcja to Prime ), a to żeby się profile vpnowe jakoś same dystrybuowały ( brak ssl vpn ), a to może 2-factor authentication dla anyconnecta ( flexvpn w tej chwili nie ma takiej opcji, chociaż lada chwila coś ma być ).
Na plus bardzo fajne narzędzia do troubleshootingu w IOS-XE: packet-trace, embedded packet capture.
Embedded packet capture jest dostępny też na zwykłych routerach, włącznie z 2911.
ASA mają packet-tracer oraz capture, który jest bardziej rozbudowany niż IOSowy szczególnie jeżeli chodzi o łapanie pakietów dropowanych. Do tego masz NSEL, który znacznie więcej informacji wysyła niż NEL jeżeli chodzi o wykorzystanie netflow do monitoringu.
4000 to nowe modele więc ilość funkcjonalności będzie się zwiększać ale pytanie czy macie czas na czekanie i zabawe.
Generalnie to najlepiej mieć router na brzegu oraz firewall wewnątrz. Routery mają przewage gdy wchodzi funkcjonalność typu DMVPN i dynamiczny routing. Kierowanie pakietami też jest o wiele łatwiejsze. Z kolei firewall mają znacznie przyjemniejszy stateful firewall oraz bardziej rozbudowane VPN (szczególnie RA VPN).
Pozdr.
ASA mają packet-tracer oraz capture, który jest bardziej rozbudowany niż IOSowy szczególnie jeżeli chodzi o łapanie pakietów dropowanych. Do tego masz NSEL, który znacznie więcej informacji wysyła niż NEL jeżeli chodzi o wykorzystanie netflow do monitoringu.
4000 to nowe modele więc ilość funkcjonalności będzie się zwiększać ale pytanie czy macie czas na czekanie i zabawe.
Generalnie to najlepiej mieć router na brzegu oraz firewall wewnątrz. Routery mają przewage gdy wchodzi funkcjonalność typu DMVPN i dynamiczny routing. Kierowanie pakietami też jest o wiele łatwiejsze. Z kolei firewall mają znacznie przyjemniejszy stateful firewall oraz bardziej rozbudowane VPN (szczególnie RA VPN).
Pozdr.
Lukasz Wisniowski MSc CCNA CCNP CCIE #20319
Tandem Networks
ul. Sztormowa 34
94-117 Łódź
NIP: 727-257-72-37
tel: +48 (42) 2091825
Tandem Networks
ul. Sztormowa 34
94-117 Łódź
NIP: 727-257-72-37
tel: +48 (42) 2091825