Bankir.Ru
9 декабря, пятница 12:41

Объявление

Свернуть
Пока нет объявлений.

vpn или ...?

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • vpn или ...?

    Привет всем.
    Встала у нашего банка задача организовать онлайновую работу отделения, находящегося в другом городе, причём трафик нужно шифровать. Возможны разные варианты, их я и собираюсь с вами обсудить .
    1. Доступ с помощью терминального сервера Windows 2000 и Citrix.
    2. Использование старенького компьютера с двумя сетевыми карточками: одной обычной, другой -- поддерживающей IPSec. На компе настроить роутинг с одной карточки на другую. На клиентском месте прописать шлюзом адрес простой карточки. Тогда ip-пакет пойдёт на обычную, с неё на шифрующую, а дальше в шлюз интернет.
    3. Вместо шифрующей карточки поставить какой-нибудь Unix, который бы шифровал сам.
    4. Заюзать возможности vpn в Windows 2000 или Unix.
    5. Использовать специальное устройство для vpn-ов. Поставщик нам предлагает Cisco 805.
    По идее, первый вариант самый простой. Второй посложнее, но не намного. От четвёртого нас отговаривают. Говорят, что ненадёжно. У кого какие мысли?

  • #2
    Есть вариант из 5 пункта. Наподобие Циски. Аппаратно програмный комплекс. ФПСУ-IP (ООО “АМИКОН”).
    Я работал с ними, неплохая штучка(хорошая). Это обыкновенный(почти) комп с 2 картачками и встроенной таблеточницей. Система написана на неизвестном ДОСе(вроде ФизТехДОС) и умеет шифровать, отсеивать, роутить, узнавать... вобщем все что требуется для создания тунеля. Грамотно организована система ключевания и т.д. Руский интерфейс, широчайший набор возможностей настроек(даже с перламутрывыми пугвицами). Мне понравилась. Знаю банк который работает на ней. Большой банк. Филиалов... тьма.
    Мы тада стояли перед выбором и пробовали ФПСУ и IP-Lir
    IP-Lir - это програмный комплекс, ставиться на NT (тада был под 4.0) - честно подменил сокет на свой, честно создавал тунель... но мне не понравился... потому_что "NT"
    Подавая сигналы в рог будь всегда справедлив, но строг. ©

    Комментарий


    • #3
      По поводу первого пункта:
      При работе терминала из Win 2000 каким образом будете настраивать печать? Оч. интересно....
      Из моего опыта, не малого общения с WinNT 4.0 Terminal Server, эта проблема являеться основной.
      --------------------
      С уважением,

      Комментарий


      • #4
        Если предполагается использование Инета, то, ИМХО, однозначно VPN. Для этого нужно использовать специальный софт (например сертифицированный ФАПСИ VIPNet или любой западный, выбор большой) или, например, аппаратно на базе технологии MPLS от Cisco (это недешево, не всякий провайдер подойдет).

        Комментарий


        • #5
          У Citrix проблема печати решена отлично. На нем мы и работаем. 11 дополнительных офисов. По 3-4 операциониста на офис.
          А шифровать каналы можно и Motorolla. Дешевле Cisco получается.

          Комментарий


          • #6
            To Lotus
            Даже в стандартном майкрософтовском терминальном клиенте (из Windows 2000) есть печать из терминальной сессии на локальные принтеры, подключение локальных дисков, com и lpt порты и проигрывание звука на локальную звуковую карточку!
            To Others
            Спасибо за ответы! (К Lotus-у это тоже относится . Про аппаратные вещи всё более-менее понятно, а кто-нибудь занимался чисто софтверным решением? Как оно себя ведёт?

            Комментарий


            • #7
              5-й вариант:
              У Cisco есть встроенная шифрация по IPSEC. Мы пользуем ее для организации VPN с филиалами. Мощность циски надо выбирать исходя из пропускной способности канала. В принципе меня устраивает Cisco 1720 - с аппаратной шифрацией -- работает быстро, не дерется с NAT и Firewall, стоит $3100. Cisco 160x -- дешевле, но шифрация программная и поэтому конфигурация NAT+Firewall+IPSec перегружает ее весьма сильно для канала быстрее 64К.
              В голове сейчас стоит 1720 на канале 512. В 3-х филиалах 160х на каналах 128 и 64. Вроде не глючит.
              Serg Voronov

              Комментарий


              • #8
                4 вариант
                Две фришки, что-то типа пень-133, встроенный в ядро IPSEC
                нагрузка ~10%, стоит год и не беспокоит
                канал с одной стороны 128, с другой 256
                единственно что в начале были проблемы с провайдером, что-то
                у него с выбором маршрутов не так

                Комментарий


                • #9
                  2 azig
                  У Вас есть две связанные но паралельные задачи.
                  Первое: Удаленный доступ к прилоджению по каналу связи.
                  Второе: Организация канала связи.
                  Для первой задачи Вам, в зависимости от требуемой функциональности, организации последующей поддержки, структуры хранилища данных, пропускной способности канала данных нужно решить как Вы будете строить архитектуру приложения:
                  Сервер-Клиент-Cytryx-канал-Cytryx клиент
                  Сервер-канал-Клиент
                  Сервер-канал-Сервер-Клиент
                  Не все всегда работает, как планировалось, тем более если вы начнете шифровать пакеты,вызывая тем самым задержку.
                  Для второй задачи.
                  Подойдет надежное или сомообслуживаемое решение.Об этом после.

                  Комментарий


                  • #10
                    Goga_Ch
                    А шифровать каналы можно и Motorolla.
                    А туннелировать, например, Х.25-трафик в IP на Мотороле не пробовали?
                    Чиркните, если получится ;-).
                    Romsan
                    Есть штука наподобие стриммера, обычный видак использунтся как НМЛ....
                    Есть NSG наподобие Vanguard Motorola....
                    Есть TK-7 наподобие ACX-8 Алкатель...
                    Только всё это жалкие подобия. И когда контора обрастает таким мусором, то становится неуправляемой.
                    З.Ы. Предупреждаю - это не снобизм. Сам наступал на такие грабли.
                    Нет сейчас (пока) оборудования равного Cisco.

                    Комментарий


                    • #11
                      3Card вспомнил АРВИД, еще бы логарифмическую линейку помянул...

                      Попробую сравнить... Циску и ФПСУ

                      Железо: В Циске - уникальное, не ремонтопригодное, дорогое, надежное... (ничего не забыл?). ФПСУ - Комп собраный Крафтвеем, ремонтопригодный, условно дорогой, надежность можно прировнять к "серверу от Крафтвея".
                      Ядро: В Циске - Юникс, надежен, условно доступен, ограниченая документация, свой шел, язык постфикс, возможность обновления, стандартизирована, практически не доступно. ФПСУ - своё, условно совместимый, надежен(личный опыт), документация отсутствует, свой шел, язык стандарт ДОС, возможность обнавления, практически не доступно.
                      ПО В Циске - модульное, Юникс-подобное, язык свой, требует знаний не только принципов работы сети, но и администрирования(отдельное обучение). ФПСУ - модульное, псевдо-графическое, язык - русский, документация полная, требует знания только принцепов работы сети.

                      Если говорить отвлеченно... то распространеность Цисок играет скорее отрицательную роль, и "на том берегу" может оказатся более сильный админ. Достаточно вспомнить случай с "Пепси-колой"
                      Надо добавить об организационых моментах работы с ключевой информацией, ИМХО, в случае с ФПСУ организованна значительно правильней.
                      Нельзя также забывать о возможной смене админов в банке... вобщем почти все что хотел сказать - сказал.

                      ЗЫЖ Я не представитель этой фирмы.
                      Подавая сигналы в рог будь всегда справедлив, но строг. ©

                      Комментарий


                      • #12
                        А что ту сравнивать когда задача то не определена?
                        !
                        Циска все равно рулез, как роутер и система реального времени, хотя и не без греха. Циска и копьютер - это устройства из разных областей. И случай с Пепсиколой здесь не причем. При наличии пароля можно поломать все, тем более заход был через X25, что вообще может быть что угодно.
                        !
                        И причем здесь рапространненость и админ. Если дыры оставить то любая система загнется. Если делать выделенные каналы, то только провайдер может влезть. Если цепляться в Интернет или в X25 - то нужно 3-4 устройтсва друг за другом городить, чтобы надежность обеспечить.
                        !
                        "ФПСУ - ПО своё". Не верю. Откуда нибудь содрали. Может Линукс) Или НТ. А фапсишные закладки там есть ? Сказать Юникс это не сказать ничего. Цискин юникс был им лет 10 назад. Тоже самое сказать что Линукс и Юникс из ПБХ одно и тоже.
                        !
                        Надеженость из личного опыта. Простите на какой выборке. 1-10-50-200-1000?
                        !
                        Хотя несомнено,судя по Вашему описанию, ФПСУ имеет достоинсва в виде юзеровского интерфейса и железной ремонтопригодности на коленках. И подойдет как бюджетный "роутер" для глубинки. А Циска должна заменяться, для этого там всякие контракты поддержки есть.
                        !
                        Но задача то не определена? См предидущй постинг.

                        Комментарий


                        • #13
                          > И когда контора обрастает таким мусором, то становится >неуправляемой.
                          Да вот подумайте еще о об этом (см наверху). В каком количестве у Вас коробки будут. Как поддерживать. Как мониторить работоспособность сети и управлять. Защита от сбоев на каналах, организация бэкапа ну и другие стандартные сетевые вещи )

                          Комментарий


                          • #14
                            2 azig
                            А Вы то где ?

                            Комментарий


                            • #15
                              AAL А Вы ведь даже не потрудились попробовать найти и почитать...
                              Подавая сигналы в рог будь всегда справедлив, но строг. ©

                              Комментарий


                              • #16
                                >попробовать найти и почитать
                                Попробовал. Что нашел почитал.
                                "Программно-аппаратный комплексы "ФПСУ-Х.25" (или Сетевой фильтр X.25)" http://www.citforum.ru/nets/fpsu/index.shtml
                                Прежде чем такую "магамбу" ставить. Нужно задачу номер один решить. Что поверх этого бегать будет. Большие трафики через x.25 не пропустишь или очень дорого будет. Да и в описании нашел "GUARDADM.EXE" - вы знаете а это ведь ДОС ) А на дворе 2001 год. А там все про x.25 ) Да и через ИНЕТ это все рабоать не будет.
                                !
                                Ну да ладно. Клиент то ради которого все затеяли. Спекся )

                                Комментарий


                                • #17
                                  Поклёп!!!
                                  Итак, все спрашивают о постановке задачи. В общих чертах это выглядит так. Есть некая база данных в одном городе. Клиенты из другого города должны получить доступ к данным из своих клиентских программок. Данные бегают по TCP/IP. Предполанаемое количество клиентов - человека четыре, на одно соединение должно приходиться где-то 19200.
                                  Насчёт ФПСУ-IP -- как-то оно получается дорого (1800) против той 805-ой Циски (~$1000). К тому же решение само в себе. Без возможности модификации и непонятно с какими закладками.
                                  Скорее всего, мы выберем Cisco. (Опять же и в резюме "щупал Cisco" будет выглядеть лучше, чем "разбирался с ФПСУ-IP" )

                                  Комментарий


                                  • #18
                                    Romsan
                                    АРВИД
                                    Точно АРВИД! Никак не мог вспомнить как это самопальное убожество называлось.
                                    Так вот Арвид, ТК-7 и ФПСУ - убожества одного порядка (логарифмические линейки с претензиями на промышленную эксплуатацию).
                                    Используют такие вещи чаще от бедности. Иногда по глупости либо неосведомленности.

                                    Комментарий


                                    • #19
                                      Убожество... Слово_то какое.
                                      И категоричность тоже настораживает

                                      Где-то я уже это слышал... Молоко для лохов, тормоза для трусов...

                                      Dixi.
                                      Подавая сигналы в рог будь всегда справедлив, но строг. ©

                                      Комментарий


                                      • #20
                                        Romsan
                                        Это не категоричность, это то что приходит с возрастом....

                                        Комментарий


                                        • #21
                                          Таким образом задача номер один определена.
                                          Сервер---4 канала от 19.2000----клиент
                                          А что для каналов будете и можете использовать ?
                                          Интернет
                                          ГТС Телефонные линии с дозвонкой
                                          Астра Телефонные линии с дозвонкой
                                          Выделенную линию на основе телефонной линии
                                          Канал от провайдера 64K
                                          Frame realay от провайдера

                                          Комментарий


                                          • #22
                                            Да и какая у вас топология ?

                                            а) Сервер-Хаброутер---4 телефонные линии---модемы---РС
                                            б) Cервер-Хаброутер--FR;Internet;LeasedLines-----Роутер-РС
                                            в) ???

                                            Комментарий


                                            • #23
                                              Каналы у нас -- выделенные линии. Планируем на 128 Кбит.
                                              Топология типа б)

                                              Комментарий


                                              • #24
                                                (sorry za raskladku segodnya) - Esli u vas videlennie linii to dlya HAB routera 850 model' ne podoidet. Tam tol'ko odin port. I nugno chto to cheturhportovoe.

                                                Комментарий


                                                • #25
                                                  У нас, конечно, небольшой банк, но не до такой же степени...
                                                  Предполагается, что у нас есть несколько коммутаторов, хабов и прочей сетевой ерунды. На клиентских местах шлюзом называется внутренний ip-адрес Cisco, а она уже смотрит -- если пакет на ip-адрес филиала, пускает его по vpn, если нет, то по обычному каналу.
                                                  Или я не понял вопрос?

                                                  Комментарий


                                                  • #26
                                                    Ya dumayu - vopros bil ne ponyat.
                                                    Kto Vas znaet po povodu togo chto u vas est')
                                                    Esli u vas est' cht-to (Router c cheturmya WAN interveisami) kuda mogno votknut' cheture LL. Togda vse normal'no. Habi i "prostie" komutatori zdes' ne prichem.U nih WAN interfacov ne Ya imel vvidu chto nugno chto-to podobnoe sm nige:
                                                    !
                                                    ..2xxx ...|--LL----|850Router s 1 WAN interfacom
                                                    ..Router..|--LL----|850Router s 1 WAN interfacom
                                                    ..c4WAN...|--LL----|850Router s 1 WAN interfacom
                                                    ..interf..|--LL----|850Router s 1 WAN interfacom

                                                    Комментарий


                                                    • #27
                                                      А как вам D-Link DI-804HV? Кто-нить строил VPN на их базе?

                                                      Комментарий


                                                      • #28
                                                        azig
                                                        У нас VPN на линуксах. 3 допофиса. 1 в городе, 2 нет. АБС работает в онлайне. Медленновато (каналы спутниковые), но все привыкли. Если с репликацией разберемся, то сервера в каждый допофис будем ставить.

                                                        Комментарий


                                                        • #29
                                                          azig
                                                          Если нет требования "обязательно сертифицированное и на ГОСТе", то можно взять "свободного лебедя" - www.freeswan.org. Дешево и сердито (2 линукса).
                                                          А вообще, поставьте себе вопрос, что же вы хотите от этого VPN.
                                                          Типа:
                                                          1. сертифицирован?
                                                          2. протокол управления ключами?
                                                          3. шифрование: программное/аппаратное?
                                                          4. ОС (linux, bsd, винда)?
                                                          5. разработчик проводит обучение?
                                                          6. удаленное/локальное управление?
                                                          7. поддержка мобильных пользователей
                                                          8. производительность/накладные расходы
                                                          9. цена

                                                          Ну и, нужно ли от него кроме шифрования еще и функции межсетевого экрана (firewall).

                                                          Мы в свое время рассматривали:
                                                          ШИП (www.security.ru)
                                                          АПК Континент-К (www.infosec.ru)
                                                          ЗАСТАВА (www.elvis.ru)
                                                          ViPNET (www.infotecs.ru)
                                                          IPSafe-PRO (www.signal-com.ru)
                                                          ФПСУ-IP (www.amicon.ru)
                                                          ТРОПА-ДЖЕТ (www.jet.msk.su)
                                                          Earl Vlad Drakula. ///

                                                          Комментарий


                                                          • #30
                                                            To hugevlad
                                                            На чем остановились, если не секрет? (можно в B-mail)

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X