Cisco expert

[kika]

Есть ли среди читателей эксперт по цисковским VPN технологиям? Мне нужно квалифицированное мнение с достаточной степенью детализации о стоимости внедрения данных технологий в некой воображаемой организации.

Posted via LiveJournal.app.

Comments

[http://users.livejournal.com/_slw/]

ну в общем в продолжениие вопроса.
на самом деле все очень сильно зависит от постановки вопроса и тараканов в голове.
у нас фирма кое-какие решения на эту тему делала(ет) ну и плюс я сам развлекаюсь на кошкиных продуктах.

так вот в первом приближении без удаленного десктопа ты все равно жить не сможешь. а на интернетовских каналах тебе все одно лучше не RDP, а Citrix.
а если ты купил Citrix, то у тебя 95% потребностей, которые должен удоволетворять VPN -- удоволетворены, а достаточно ему проброса одного порта через NAT.

дальше вопрос тараканов в голове. если ты готов порт от citrix выставить в интернет -- vpn тебе не нужен. у нас -- выставлен. у N наших клиентов -- выставлен.

оставшиеся 5% на vpn -- я даже и не знаю зачем.
корпоративная телефония на CCM -- тут VPN будет нужен.
если конечно не играть в SIP и SIP proxy для внешних коннектов.

ну еще конект в каким-то внутренним серверам для получения обновлений, типа антивирусных баз? ну ставится Cisco secure agent и рубит всех по эвристикам, антивирусные базы обновляет в офисе.

опять же, на самом деле vpn -- это и дополнительная головная боль и дыра в безопасности. потому как через такое чудо на vpn и с вирусованной флэшкой можно много чего получить.
тут начинаются песни про NAC, Clean access, блокировку всего-чего-попало при подключении VPN, карантин в корпоративной сети без свежих антивирусов и прочих проверок...

[kika.livejournal.com]

так вот в первом приближении без удаленного десктопа ты все равно жить не сможешь.

А поцеловать обосновать? По моему опыту, от ремут доступа в офис мне нужно:

1. Доступ к данным (дисковые шары, whatever)
   
2. Доступ к интранету
   
3. Внутренняя почта
   
4. И только иногда - запущенные на офисных машинах GUI-приложения
   

А вот для ремут-доступа на консумерском уровне мне регулярно бывает нужен ремут-десктоп. Папе что-то засетупить в компутере, дочке починить медиаплеер, который мультик не показывает, жене на ноуте настроить опять почту, которую она опять сломала и т.д.

[http://users.livejournal.com/_slw/]

Доступ к данным (дисковые шары, whatever)

через citrix remote desktop доступно. да и через опубликованные приложения -- тоже. при этом если бе нужны файлы как таковые локально -- лучше их сразу локально иметь. а то они часто такие монстры -- клиент задолбается на прогресс-бар дрочить. ну а опубликованному приложению естественно внутрении шары доступны по локальной сети

Доступ к интранету
опубликованный ie. с настройками для интранета и которого не засрут выруса из интернета.

Внутренняя почта
из-за rtt опять-таки эффективнее клиента опубликовать. да и ящик вместе с ноутом не проебешь. при этом и лотус и ексчандж штатному уеют анус выставить в интернет для внешних клиентов. у лотуса это работает -- клиенты так работают;

1. И только иногда - запущенные на офисных машинах GUI-приложения

1С или еще какой CRM, не переведеный в интранете.
самое главное, на самом деле

[kika.livejournal.com]

Обоснуй про ртт. Послать письмо с локального клиента через VPN и конторский мейлсервер намного быстрее чем дождаться пока этот аутлук отрисуется сколько надо раз, особенно по медленному каналу.

[http://users.livejournal.com/_slw/]

возможно у ексченджа это иначе
но лотус ведет обширные переговоры с сервером, гораздо сложнее SMTP/POP/IMAP, дальше понятна связь с rtt?

кстати, отрисовка-то довольно быстрая, на citrix-то.
даже на довольно медленных каналах
кстати, а медленных каналах (GRPS?) у тебя со скоростью 1.3KB/s еще неизвестно сто быстрее пролезет и вообще это мучение.

[kika.livejournal.com]

IMAP достаточно сложный протокол. Но тем не менее, как ни крути, и как не оптимизируй передачу десктопа по сети, это намного больше чем передать заголовки в одну сторону, и тело письма в другую. Если лотус сравним с ремут десктопом - тем хуже для лотуса. Кстати, в SMB я лотуса не видел уже очень давно.

И я не говорю про GPRS, я говорю про обычный интернет, но хопов в 15. И примерно мегабит эффективной полосы на каждом конце.

[http://users.livejournal.com/_slw/]

а я эксченджа вообще не видел. совсем, да.
т.е. либо pop3 саморощенный либо лотус
так что про эксчендж говорить могу толь перепевая с чужих слов

на обычном интернете в 15 хопов и мегабите эфективной полосы citrix у тебя
будет летать. у меня из дома до работы где-то так и есть.

[kika.livejournal.com]

А сколько стоит самый дешевый инстанс цитриха?

[http://users.livejournal.com/_slw/]

это риторический вопрос?
или серьезный интерес?
цитриксы у нас продает соседний отдел, если надо -- я узнаю

vpn сессии тоже не дешевые, кстати.

[kika.livejournal.com]

Вторая задача, решение которой мы обдумываем, это сделать решение настолько близкое к бесплатному, насколько это возможно.
По сравнению с остальными hosted VPN мы можем срезать свои затраты на трафик до 90-95%, благодаря технологии. Это хорошо, но недостаточно.

[http://users.livejournal.com/_slw/]

кстати, эксчендж вроде умеет https, а клиент этим httpsумеет пользоваться?
в смысле vpn ему не особо нужен

[kika.livejournal.com]

А по какому адресу клиент придет снаружи на https?

[http://users.livejournal.com/_slw/]

я не умею настраивать этих зверушек, так что это надо спрашивать
у более других. но утверждения что так делают я видел

[kika.livejournal.com]

А при чем тут зверушки? Представь себе что это не эксчендж и аутлук, а апач и броузер.

[http://users.livejournal.com/_slw/]

броузер ходит по адресу в адресной строке.

например https://gw.company.name:serviceport1/

ну и я видал такие клиентские веб-апликухи, которые что б показать пару строче и картинку сначала мегабайты говна выкачивают. типа списка всех юзверей из ad и прочего. плюс квадрилионы скриптов и аплетов.

[kika.livejournal.com]

То есть тебе нужно обеспечить чтобы:
а) gw.company.name имело постоянный и известный адрес снаружи
б) serviceport куда-то пробрасывался

Собственно, задача, решение которой мы обдумываем, это элиминировать необходимость в тебе. Ну, извини, типа :-)

[http://users.livejournal.com/_slw/]

ну а) в случае vpn нужно точно так же

а административные затраты на поддержание vpn бцдут выше, на мой взгляд

[kika.livejournal.com]

В случае нашего VPN не нужно так же. У нас оно будет работать даже если контора висит на стриме для физлиц с динамическим IP. В недалеком будущем даже соединения не будет рвать при выдаче нового IP.

А оценка затрат и есть смысл начала мной этого топика. Посмотрим что получится.

[http://users.livejournal.com/_slw/]

ну с динамическим ip -- не велика шутка, dyndns.org, ага.
только это полюбэ плохо живет с самостоятельной обработкой почтового домена
а что б не рвать соединения -- это тебе у винды стек поменять надобно,
что б за время смены ip у нее таймаутами все не сносило

в общем у меня на вашу затею взгляд пессиместичный

[kika.livejournal.com]

А dyndns кто будет настраивать?

Стек менять не обязательно, у TCP таймауты достаточно длинные. А наш собственный "оверлейный" адрес всегда остается. Так что дело только в очередях.

У меня на ваше будущее тоже взгляд пессимистичный. И не у меня одного.
http://blogs.zdnet.com/Gardner/?p=2772&tag=nl.e539

IT is dead, honey, IT is dead.

[http://users.livejournal.com/_slw/]

А dyndns кто будет настраивать?
а чего его настраивать? там все для даунов, через веб и менюшки.

Стек менять не обязательно, у TCP таймауты достаточно длинные. А наш собственный "оверлейный" адрес всегда остается. Так что дело только в очередях.
у абстрактного TCP -- да, а у виндлового они зарезаны по самое не балуйся.
стандартный tcp должен пять минут где-то сопли жевать, прежде чем отвалиться, а виндовый кажется и 30 секунд не ждет.

У меня на ваше будущее тоже взгляд пессимистичный. И не у меня одного.
http://blogs.zdnet.com/Gardner/?p=2772&tag=nl.e539

IT is dead, honey, IT is dead.

это все равно как сказать, что сантехники вымрут.
а мы -- те же самые сантехники, после зарождения вымрем только вместе с канализацией.

[kika.livejournal.com]

Знаешь сколько жизненно важных профессий вымерло за последние лет 200? Не сосчитать.

[http://users.livejournal.com/_slw/]

они вымерли вместе с предметами
говорю ж -- вместе с канализацией вымрет.