router dilemma (cisco vs. mikrotik)

Hálózatok általános

Sziasztok!

Tapasztalatokra lennék kíváncsi, hogy ki mit ajánl egy olyan helyre, ahol mondjuk 30/30Mbit-es netet kellene routeolni, esetleg lehet a képben egy vésztartalék backup dsl, vagy egy másik 10/10-es vonal is.
Kb. 60-100 munkaállomás használná a szolgáltatásokat, a web nagyrészt proxyn megy, tehát kevesebb a kapcsolat, mintha direktben kellene mindent csinálni.
Örülnék pár olyan plusz fícsörnek, amit az én elképzelésem szerinti Cisco meg tudna valósítani, de nem feltétlen kitétel. Ezek a plusz fícsörök: IPSec VPN szerver (iOS és Android klienseknek főleg, esetleg pár Win munkaállomás), firewall, esetleg vmi. basic IPS.
Ami szóba jött eddig az a Cisco 1812, költség oldalról közelítve talán a Cisco 500-as szériája, továbbá a Mikrotik routerboard 435G (lvl5).
Az elvárás annyi lenne h. konfigurálás után az ügyfél annyit vegyen észre (lehetőleg még 2-3 év múlva is), h. ez végre működik.
Ki melyik eszközt javasolná? Esetleg valami mást?

Köszi,
Zoli

  • 7107 megtekintés

( igiboy | 2012. 02. 08., sze – 19:11 )

A Mikrotik sokszor elég arra amit írsz. Olcsóbb mint a Cisco. Stabilitásra nem tudok panaszkodni.
Nem tudom számodra mik a követelmények a router paramétereiben, de én a 450G-t venném RACK-es házzal, sokkal kezelhetőbb mint a csak tálcára tehető fémházasok. Ha már most 3 portot elhasználnál semmiképp nem vennék olyat amin kezdetben ennyi van. Ha AP funkció is kell inkább tegyél mellé egy RB751G-2HnD-t igy könnyen átjárható a rendszer, és oda teheted az antennás dolgot, ahol épp a legkényelmesebb.

( jaci | 2012. 02. 08., sze – 19:58 )

Az említett Cisco eszközökről kevés a tapasztalatom. Viszont a mikrotikről csak jót mondhatok, én azt választanám, nemcsak az ár miatt.

( haga | 2012. 02. 08., sze – 20:02 )

Cisco. Mikrotik jó-jó, de azért valljuk be, egy Cisco mégiscsak megbízhatóbb. Ha szeretnél IPS-t is, akkor ASA sorozatot nézd meg. Pl. az ASA5505.

Igen pptp-t a régebbi pix-ek tudtak, de minek, ha van jobb nála :). Vlanból 20 darabot lehet csinálni azt hiszem a magasabb licence-szel, az alappal talán van 3 (na igen az kevés). A mikrotik tény megengedőbb, de nekem 1-2 alkalommal volt vele bajom, hogy lefagyott, illetve a bridge-elésnél is akadtak gondjaim. Mindenesetre azt be kell vallani, hogy elég sok helyen használják megelégedéssel, én is raktam össze pár darabot, de nagyon komoly helyre nem mernék rakni.

Azert egy ASA legalsobb hangon is olyan 130 korul mozog. Mikrotik meg megvan cc 50-60 korul.
A gondom nekem is az h ez a hely mar kicsit komolyabb mint ahova tennek mikrotiket, de ugyanakkor meg elegge sufni gondolkodas van a fejekben ahhoz h pl egy Asa ennyiert elmenjen, de plane mondjuk egy 1812-es, ami meg baratok kozott is 200 korul mozog.
Tipp h mivel lehet asara ravenni oket pl? :)

A gond h. teljesen egyetértek.
Attól még nem változik az iPhone-os főnök hozzáállása h. mindketten tudjuk, hogy a 200E forintos routert illene megvenni. Én kiröhögöm pl., nem adom meg neki ami szerinte megfelelő (értsd.: miért akarok én rásózni 200-ért egy ciscot, a haver cégénél pistike simán csapatja tplinkkel 15E-ért), hívja pistikét aki lerakja ide is a tplinket és újabb embert nyert magának a "höhöhö", röhögök egyet rajta hozzáállás (rövid távon).
Vagy, csinálhatom azt is h. megpróbálom annyira megdumálni, hogy mégse vegyen annyira szart, ez lenne mondjuk a Mikrotik, majd 2-3 év múlva röhög ő a haver cégén, akinél 1 napot nem ment semmi, mert pistike ügyes volt és legközelebb talán már jobban hallgat rám, vagy akár rád, amikor azt mondjuk h. főőőőnök, vegye meg a jobbat, mert az télleg jobb.
Csak röviden a véleményem erről.

Ugyanmár, 1812 vs. komoly hely.. SOHO router. Miért kellene a nevet választani? Az a kérdés tudni fogja e azt amit kérnek tőle. Ha tudja akkor mt-ből még akár redundáns megoldás is építhető hasonló összegből mint ha megvenné a 1812-őt. Cisco-t akkor kell venni, ha kérik, ha többért lehet eladni, és kevesebbe kerül adminisztrálni (pl. mindenhol az van a Mikrotiket meg tanulni kell). A Mikrotikből adott esetben meleg tartalék is belefér a költségvetésbe és egy ipari jellegű (nincs mozgó alkatrész, -20-+50 fok működési tartomány, alkatrészenkénti csere lehetősége)
Ami nagyon fontos, vagy legyen olyan szakembere akinek van tapasztalata az előforduló hibákkal, mert akkor relatíve nem függ az egyébként teljesen rosszul működő Mikrotik támogatástól. Ez az amiben talán különbözik a két megoldás, bár sztem a 1812-höz esetlegese érdekes probléma esetén is elég mostohán állna a Cisco. Mindenesetre a célrétege más a két cégnek. Ez azonban a mostani megoldás szállításnál nem hiszem hogy kérdésként kell hogy felmerüljön.

Mikrotikben nincs ips, illetve néhány ficsőrt nem tud amit a cisco. ASA-t ajánlottam (5505-öst mivel az elég olcsó), nem a 1812-est.
A célrétegben egyetértek, de pont emiatt is írtam, hogy komolyabb céghez, akiknek kellenek azok a plusz szolgáltatások, amiket a mikrotik nem tud nyújtani, illetve hajlandóak kifizetni plusz pénzt erre. De tényleg inkább először azt kellene megtudni, hogy konkrétan milyen szolgáltatásokat szeretnének kapni, utána kiválasztani az eszközt, aztán ha az nem felel meg árban, akkor az igényekből lejjebb adni.

Alapvetoen a legfontosabb ficsorok:
-Normalisan mukodo routing a 30+10 megara (megbizhato, stabil)
-Ipsec vpn szerver 20 userig
-Snmp tamogatas (helyi ember zabbix-al osszekocolna)
-Opcionalisan IPS v valami ertelmes content filter kb 60 user hasznalna valtozatos eszkozokrol ( ertsd: iphone, mac, win pc, stb) ez opcionalis, egy jelenleg uzemelo sz.rt kellene kivaltani es gondoltam ha mar elkezdunk kolteni ne egy linksyst vegyenek....

Diohejban ennyi.

( Skuzzy | 2012. 02. 08., sze – 22:08 )

Mielott hirtelen beleugranal egy 1812-esbe, emlekeim szerint a 30Mb/s mar elegge hatareset neki, foleg ha meg vpn-nel is terheled. 2-3 év alatt a net tobbszorosere is gyorsulhat, amit biztos nem tud kiahsznalni.

Nekem itthon 1812 szolgálja ki a 80 megát, bírja.
Tele van rakva miden szarral, PPPoE, NAT, IPSec, GRE + multicast, meg még rengeteg apróság.
Nekem valahogy a Cisco routerek rugalmasabbnak tűnnek az ASA-knál, de ez csak szubjektív "életérzés". Nem csoda, IP hálózatos vagyok :)
Én inkább ilyet, vagy inkább az újabb 1900-as szériát választanám.
Biztos nem olcsó (én sose tudom az árakat, csak konfigolom), de ezekből a SOHO kategória
is magasan felette áll az összes többi gyártó felső kategóriás termékénél. (sokéves tapasztalat)
A Juniper is kitűnő, de az SSG mgmt-je borzalom, az SRX meg még nagyon pre-pre-béta.
Onnan core-ba érdemes sok10G-s cuccokat használni, de az most nem téma...

( LMoon | 2012. 02. 09., cs – 09:11 )

RB+Mikrotik

és egyet kell értenem igiboy-al: "A Mikrotik sokszor elég arra amit írsz. Olcsóbb mint a Cisco.
Stabilitásra nem tudok panaszkodni.
Nem tudom számodra mik a követelmények a router paramétereiben, de én a 450G-t venném RACK-es házzal, sokkal kezelhetőbb mint a csak tálcára tehető fémházasok. Ha már most 3 portot elhasználnál semmiképp nem vennék olyat amin kezdetben ennyi van. Ha AP funkció is kell inkább tegyél mellé egy RB751G-2HnD-t igy könnyen átjárható a rendszer, és oda teheted az antennás dolgot, ahol épp a legkényelmesebb."

Nekem is hasonló a problémám mint a kérdezőnek, picit másabb paraméterekkel.
120MB-es UPC netre kellene egy megbízható router 2 lan szegmens és a wan közötti routolásra, vlan képességgel, tűzfal funkciókkal és site-to-site vpn-el, kb 40 kliens van a hálózatban.

Nem ismerem még a mikrotiket, de az ára alapján nagyon szimpatikus.
Melyik lenne alkalmasabb erre a feladatra, a 450g vagy a 750gl?

Köszönöm.

Otthonra, kisiroda, ahol kb TP-Link és még a D-Link is megél(ne) oda elég a műanyagdobozos 750gl.
Nagyobb hálózathoz, ahol már rackelni is kell esetleg a készüléket oda 450g.
Az árán kívül mindkettőnek vannak egyéb tulajdonságaik, nézegesd meg azokat is, hogy neked mi az ami kellhet.
Amit irsz arra inkább 450g, nagyobb sebesség, több memória. A VPN tunnel-el terhelik a gépet.

Nagyobb sávszélesség + memória sztem nem igaz.

Tapasztalataim szerint mikrotik mint szoftver szódával...
Viszont kell alá vas.

Saját RB kiadások vicces sávszélel kecsegtetnek akár RB1200 RB1100 ha ipari elvárásaid vannak.

Ha komolyak a szándékai router ügyben a kedves topiknyitónak és áldoz rá: Intel 525 alap + 1gb eth. kártya és 1gb ig sávszél meg lesz oldva úgy, hogy (256mb ram) cpu max 50% fog ketyegni, hülyére fűzheted a tűzfalad és agyon routolhatod ahogyan akarod + pptp,eoip stb...

Egyszóval nem lehet lefektetni.
De csak 2 etherneted van.

Néha érdemes elolvasni azt is amiből egy post szülteik. :)
sávszélesség növekedésről nem beszéltem... a procija nagyobb és több a memóriája, na meg azért nem egy szappantartó, ami ha más nem nézünk Elektromágneses kompatibilitás és termikus szempontokból is jó pont.
750GS és 450G között akart választani.

( Vizibirka | 2012. 02. 09., cs – 15:29 )

Nyugodt szívvel tudom ajánlani a mikrotiket, sokat kibírnak. A 30/30-as netre meg bőven elég a 750G.
Stabilnak stabil egy valamit kivéve:

Multicast forgalom VPN-ben, mert az néha bizony szakad.

( lzs | 2012. 02. 09., cs – 16:21 )

Csupán kíváncsiságból kérdezem, hogy komolyabb router appilance -ok (cisco,microtic, juniper, netasq stb...) és jobb fajta x86 1U vas + pfsense, ipcop, vyatta stb . . . között ki mi alapján választ. Annyival jobb az appilance-ok cél hardvere és szoftvere? Az x86+router sw stack felálláshoz márt volt nemegyszer szerencsém kellően univerzális és nagy teljesítményű. A másik oldalról nincs tapasztalatom. Versus írást szívesen olvasnék.

Nagyobb a hiba lehetosege egy x86-os cuccnal, igy hacsak valami nagyon specialis konfiguraciora nincs szukseg, akkor nem szivesen hasznalnam.
(Eleg csak arra gondolni, hogy mennyivel osszetettebb a hutese egy x86-os szervernek. Ehhez jon meg hozza a tobbi hw-es dolog es meg a rengeteg szoftveres is...)

Lehet benne valami. SOHO Wi-Fi router kategóriában lehet tapasztalni, hogy kb van két-három chip és ezek köre épülnek a végtermékek. Gyártó függő, hogy ki milyen minőségű alkatrészekből rakja körbe a chipet, hogyan tervezi meg és lásd az egyik frankó a másik instabil. Ezzel azt akarom mondani, hogy az appilance-ok egy kicsit betli, ahhoz képest hogy nem olcsók. Draytek 21xx, 29xx és 3000-eshez volt szerencsém, az iptables cmd-hez szokott lelkemnek. Nekem kicsit nyakatekert volt a webmenedzsment logikája, némely szabály beállításakor fw rule újraindította az egész firware-t ?!?!? Tény maga a hardver bírja a strapát. Olyan érzésem volt, hogy egyszer lőj be aztán ne buzerálj.

A gyarilag csak webes feluletrol konfiguralhato cuccokat en a jatekszer kategoriaba sorolom. Otthonra jo, de az eletemet nem biznam ra.

Otthon is egy 2600 szerias Cisco-m van. Az 5Mb/s-es DSL-hez eleg, stabil, es rugalmasan konfiguralhato. Cserebe ha nem ertesz hozza akkor nem fogod tudni hasznalni vagy teli lesz hibaval a konfiguraciod.

összehasonlításképpen tavaly a legjobb (prototípusban) elérhető Mikrotik routerboard az 1100AH volt.
Van benne IPSEC accelerator chip, viszont azt routingban nem használja. Amennyiben 1-200mbps-nél többet akarsz vele route-olni (ahol kisebb csomagok is befigyelnek) kapásból elvérzik, ha Queue-ingot, vagy conntrack-t kapcsolsz be rajta. (nem úgy értem, h megáll, de kb 90-100%-ig könnyen felmegy a CPU)
Uezt i3-as gépnél nem tapasztaltam.

( nexudes v | 2012. 02. 09., cs – 16:27 )

Ár érték arányban Mikrotik, RB450 ketyeg otthon, bár nekem a lényeg az volt, hogy el tudjak szeparálni hálózatokat, a különböző "lábai" közt.
Cégnél RB450G ott már VPN és más nyalánkságok is befigyeltek.
Egyik se fagyott még le soha, bár ez elég kicsi minta.

30/30-ra még egy Juniper 5GT is bőven megfelel.
Olyan 80-at tud tűzfalban, és 25-30 körül IPSec-ben. (Ez utóbbira nem teszem most a fejem.)
PPTP-t nem tud, de L2TP IPSec-et igen Xauth-tal. (Mégiscsak más :)
VLAN, zóna, miegymás.

(Postolónak: 25e-ért van, ha kettőt vesz, darabja 19e Ft :)

Ezzel a nickkel pont a Junipert ajanlani :)
Btw az SRX- ben is azt latom a buganak h az osszes valoban fejlett funkciojahoz license-et kell venni, ami gyakorlatilag esetemben egyet jelent a "halallal", mert az lesz a kerdes h miaz h "havidijas" a router? :)
Nyilvan lehet venni mondjuk ot evre elore license-et, csak ugy meg veszek 15 mikrotiket az arabol gondolom.
Cafolj meg ha nem igy mukodik az SRX is, meg persze az ASA is.

Az SSG és SRX széria a következő funkciókhoz használ license-t ( ami a topicban említésre került )

-Antispam ( Sophos )
-Antivírus ( Kaspersky )
-Deep inspection
-Web filtering ( Websense )

A licenseköteles funkciók kihasználásához SSG esetén kötelező a high-memory modell. SRX esetén nem, de ajánlott.