Cisco expert

[kika]

Есть ли среди читателей эксперт по цисковским VPN технологиям? Мне нужно квалифицированное мнение с достаточной степенью детализации о стоимости внедрения данных технологий в некой воображаемой организации.

Posted via LiveJournal.app.

Comments

[kika.livejournal.com]

Статью с bashing'ом какой-нибудь, а тем более большой и толстой, корпорации никто публиковать не будет. Так что хоть в своем (или моем) жеже публикуй.
А рассчитана она должна быть на человека, который командует компанией минимального размера (или IT-отделом, if any, оной) и принимает решение о необходимости внедрения какого-нибудь remote access решения. Этот самый "минимальный размер" тоже, кстати, является вопросом.
Воображаемая компания должна быть не из IT сектора, а, скажем, продает продукты оптом. Ну или еще что-нибудь такое, FMCGобразное. Духи, например :-) Или страховки ОСАГО.

Вот смотрит такой человек на ценник минимального решения от киски и думает "еееебтваюмаааать!". А тут _slw со своей листовкой, сброшенной с самолета.

[http://users.livejournal.com/_slw/]

хы! минимальное решение от киски -- шестьсотбаксофф, хы!
только тормоз-то не с этой стороны находится, а со стороны руководства:
"работник! должен! сидеть! в! оффисе! с 9! до 18!"
(если конечно понятно о чем я).

на этом пути в первом приближении все будет гладко. (если конечно мы вообще административный ступор). ну и понятно, что настройку скорее всего самостоятельно выполнить не удастся.
на втором -- шерховатости будут, но они будут вспухать на совершенно не ожиданных местах, причем не совсем по вине cisco.
как пример -- какое устройство будет использоваться для удаленного доступа? скажем нокии с S60 R3.1 -- это достаточно просто с недавнего времени, а вот более древние (не скажу насколько) -- отдельный гемор.

[kika.livejournal.com]

$600 - это не решение. Решение за $X(N) - это когда я могу придти в (веб)магазин, заплатить $X(N) и, внимание, ньюанс!, решить свою проблему. Заплатив 600 за коробку от циски я решу проблему нехватки коробок от циски в офисе, а я сейчас не о том.
Устройства простые - ноутбуки с XP/Vista, MacOS/X Tiger и выше. Ну может мобилы на WM, потом, когда-нибудь.

В т.н. "цивилизованных странах" идей насчет "работник! должен! сидеть! в! оффисе! с 9! до 18!" уже почти и не осталось. Я вот работаю с Sr. Prod. Mgr. по очень перспективному направлению в одной глобальной супердупер софтверной корпорации. Я еще ни разу, по-моему, его в офисе не застал.

[http://users.livejournal.com/_slw/]

$600 - это не решение. Решение за $X(N) - это когда я могу придти в (веб)магазин, заплатить $X(N) и, внимание, ньюанс!, решить свою проблему. Заплатив 600 за коробку от циски я решу проблему нехватки коробок от циски в офисе, а я сейчас не о том.
Устройства простые - ноутбуки с XP/Vista, MacOS/X Tiger и выше. Ну может мобилы на WM, потом, когда-нибудь.

это такое же решение как формулировка проблемы.
ну в смысле к неясной форумлировке -- какое-то решение.
и правда, коробкой за $600+ услуги специалиста по настройке какое-то понимание этой проблемы можно решить. без дополнительных затрат.
при определенных ограничениях, разумеется.

а исходя из вопроса я предполагаю, что разговор не о "цивилизованных странах". поскольку у них такое решение утвержденно штабквартирой и самодеятельность не приветсвуется.

короче, хочешь голосом на эту тему пообщаться? а то у меня пока полюбэ вопросов больше чем понимания.
+7-921-9338324

[http://users.livejournal.com/_slw/]

ну в общем в продолжениие вопроса.
на самом деле все очень сильно зависит от постановки вопроса и тараканов в голове.
у нас фирма кое-какие решения на эту тему делала(ет) ну и плюс я сам развлекаюсь на кошкиных продуктах.

так вот в первом приближении без удаленного десктопа ты все равно жить не сможешь. а на интернетовских каналах тебе все одно лучше не RDP, а Citrix.
а если ты купил Citrix, то у тебя 95% потребностей, которые должен удоволетворять VPN -- удоволетворены, а достаточно ему проброса одного порта через NAT.

дальше вопрос тараканов в голове. если ты готов порт от citrix выставить в интернет -- vpn тебе не нужен. у нас -- выставлен. у N наших клиентов -- выставлен.

оставшиеся 5% на vpn -- я даже и не знаю зачем.
корпоративная телефония на CCM -- тут VPN будет нужен.
если конечно не играть в SIP и SIP proxy для внешних коннектов.

ну еще конект в каким-то внутренним серверам для получения обновлений, типа антивирусных баз? ну ставится Cisco secure agent и рубит всех по эвристикам, антивирусные базы обновляет в офисе.

опять же, на самом деле vpn -- это и дополнительная головная боль и дыра в безопасности. потому как через такое чудо на vpn и с вирусованной флэшкой можно много чего получить.
тут начинаются песни про NAC, Clean access, блокировку всего-чего-попало при подключении VPN, карантин в корпоративной сети без свежих антивирусов и прочих проверок...

[kika.livejournal.com]

так вот в первом приближении без удаленного десктопа ты все равно жить не сможешь.

А поцеловать обосновать? По моему опыту, от ремут доступа в офис мне нужно:

1. Доступ к данным (дисковые шары, whatever)
   
2. Доступ к интранету
   
3. Внутренняя почта
   
4. И только иногда - запущенные на офисных машинах GUI-приложения
   

А вот для ремут-доступа на консумерском уровне мне регулярно бывает нужен ремут-десктоп. Папе что-то засетупить в компутере, дочке починить медиаплеер, который мультик не показывает, жене на ноуте настроить опять почту, которую она опять сломала и т.д.

[http://users.livejournal.com/_slw/]

Доступ к данным (дисковые шары, whatever)

через citrix remote desktop доступно. да и через опубликованные приложения -- тоже. при этом если бе нужны файлы как таковые локально -- лучше их сразу локально иметь. а то они часто такие монстры -- клиент задолбается на прогресс-бар дрочить. ну а опубликованному приложению естественно внутрении шары доступны по локальной сети

Доступ к интранету
опубликованный ie. с настройками для интранета и которого не засрут выруса из интернета.

Внутренняя почта
из-за rtt опять-таки эффективнее клиента опубликовать. да и ящик вместе с ноутом не проебешь. при этом и лотус и ексчандж штатному уеют анус выставить в интернет для внешних клиентов. у лотуса это работает -- клиенты так работают;

1. И только иногда - запущенные на офисных машинах GUI-приложения

1С или еще какой CRM, не переведеный в интранете.
самое главное, на самом деле

[kika.livejournal.com]

Обоснуй про ртт. Послать письмо с локального клиента через VPN и конторский мейлсервер намного быстрее чем дождаться пока этот аутлук отрисуется сколько надо раз, особенно по медленному каналу.

[http://users.livejournal.com/_slw/]

возможно у ексченджа это иначе
но лотус ведет обширные переговоры с сервером, гораздо сложнее SMTP/POP/IMAP, дальше понятна связь с rtt?

кстати, отрисовка-то довольно быстрая, на citrix-то.
даже на довольно медленных каналах
кстати, а медленных каналах (GRPS?) у тебя со скоростью 1.3KB/s еще неизвестно сто быстрее пролезет и вообще это мучение.

[kika.livejournal.com]

IMAP достаточно сложный протокол. Но тем не менее, как ни крути, и как не оптимизируй передачу десктопа по сети, это намного больше чем передать заголовки в одну сторону, и тело письма в другую. Если лотус сравним с ремут десктопом - тем хуже для лотуса. Кстати, в SMB я лотуса не видел уже очень давно.

И я не говорю про GPRS, я говорю про обычный интернет, но хопов в 15. И примерно мегабит эффективной полосы на каждом конце.

[http://users.livejournal.com/_slw/]

а я эксченджа вообще не видел. совсем, да.
т.е. либо pop3 саморощенный либо лотус
так что про эксчендж говорить могу толь перепевая с чужих слов

на обычном интернете в 15 хопов и мегабите эфективной полосы citrix у тебя
будет летать. у меня из дома до работы где-то так и есть.

[kika.livejournal.com]

А сколько стоит самый дешевый инстанс цитриха?

[http://users.livejournal.com/_slw/]

это риторический вопрос?
или серьезный интерес?
цитриксы у нас продает соседний отдел, если надо -- я узнаю

vpn сессии тоже не дешевые, кстати.

[kika.livejournal.com]

Вторая задача, решение которой мы обдумываем, это сделать решение настолько близкое к бесплатному, насколько это возможно.
По сравнению с остальными hosted VPN мы можем срезать свои затраты на трафик до 90-95%, благодаря технологии. Это хорошо, но недостаточно.

[http://users.livejournal.com/_slw/]

кстати, эксчендж вроде умеет https, а клиент этим httpsумеет пользоваться?
в смысле vpn ему не особо нужен

[kika.livejournal.com]

А по какому адресу клиент придет снаружи на https?

[http://users.livejournal.com/_slw/]

я не умею настраивать этих зверушек, так что это надо спрашивать
у более других. но утверждения что так делают я видел

[kika.livejournal.com]

А при чем тут зверушки? Представь себе что это не эксчендж и аутлук, а апач и броузер.

[http://users.livejournal.com/_slw/]

броузер ходит по адресу в адресной строке.

например https://gw.company.name:serviceport1/

ну и я видал такие клиентские веб-апликухи, которые что б показать пару строче и картинку сначала мегабайты говна выкачивают. типа списка всех юзверей из ad и прочего. плюс квадрилионы скриптов и аплетов.

[kika.livejournal.com]

То есть тебе нужно обеспечить чтобы:
а) gw.company.name имело постоянный и известный адрес снаружи
б) serviceport куда-то пробрасывался

Собственно, задача, решение которой мы обдумываем, это элиминировать необходимость в тебе. Ну, извини, типа :-)

[http://users.livejournal.com/_slw/]

ну а) в случае vpn нужно точно так же

а административные затраты на поддержание vpn бцдут выше, на мой взгляд

[kika.livejournal.com]

В случае нашего VPN не нужно так же. У нас оно будет работать даже если контора висит на стриме для физлиц с динамическим IP. В недалеком будущем даже соединения не будет рвать при выдаче нового IP.

А оценка затрат и есть смысл начала мной этого топика. Посмотрим что получится.

[http://users.livejournal.com/_slw/]

ну с динамическим ip -- не велика шутка, dyndns.org, ага.
только это полюбэ плохо живет с самостоятельной обработкой почтового домена
а что б не рвать соединения -- это тебе у винды стек поменять надобно,
что б за время смены ip у нее таймаутами все не сносило

в общем у меня на вашу затею взгляд пессиместичный

[kika.livejournal.com]

А dyndns кто будет настраивать?

Стек менять не обязательно, у TCP таймауты достаточно длинные. А наш собственный "оверлейный" адрес всегда остается. Так что дело только в очередях.

У меня на ваше будущее тоже взгляд пессимистичный. И не у меня одного.
http://blogs.zdnet.com/Gardner/?p=2772&tag=nl.e539

IT is dead, honey, IT is dead.

[http://users.livejournal.com/_slw/]

А dyndns кто будет настраивать?
а чего его настраивать? там все для даунов, через веб и менюшки.

Стек менять не обязательно, у TCP таймауты достаточно длинные. А наш собственный "оверлейный" адрес всегда остается. Так что дело только в очередях.
у абстрактного TCP -- да, а у виндлового они зарезаны по самое не балуйся.
стандартный tcp должен пять минут где-то сопли жевать, прежде чем отвалиться, а виндовый кажется и 30 секунд не ждет.

У меня на ваше будущее тоже взгляд пессимистичный. И не у меня одного.
http://blogs.zdnet.com/Gardner/?p=2772&tag=nl.e539

IT is dead, honey, IT is dead.

это все равно как сказать, что сантехники вымрут.
а мы -- те же самые сантехники, после зарождения вымрем только вместе с канализацией.

[kika.livejournal.com]

Знаешь сколько жизненно важных профессий вымерло за последние лет 200? Не сосчитать.

[http://users.livejournal.com/_slw/]

они вымерли вместе с предметами
говорю ж -- вместе с канализацией вымрет.