Выбор железного роутера
 

Подскажите, плиз, по выбору железного роутера для офиса (около 40 пользователей, но с перспективой до 60-70). Бюджет - до 15-17 тыс руб. Может, до 20. Требования - пакетный фильтр, NAT, VPN сервер (L2TP, либо PPTP, хорошо, если будет SSTP, VPN точка-точка, с возможностью и сеть-сеть на перспективу), хотелось бы с неплохо работающими URL - ACL-ами, фильтрами по IP и MAC. Здорово, если будет шейпер. Еще здоровее - если будет возможность лимитировать трафик (либо по дефолту, либо возможность прикрутить чего-нибудь). Поддержка аутентификации на внешних RADIUS -серверах, поддержка LDAP (хотелось бы, конечно, авторизовывать VPN- пользователей на основе учеток Active Directory)
Пока кандидаты -
Zyxel ZyWALL USG 100
Dlink DFL-860E
Ну и несколько особняком стоит Microtic RouterBOARD 1100AHx2, скажем.
Последнюю железку даже немного успел пощупать - удивительно разнообразный функционал, но, насколь помню, нет поддержки LDAP.
Вроде пока все.

в микротике не лдап, но радиус. с урл-фильтрами чуть хуже, но извернуться можно. все остальное присутствует на достойном уровне. 1100*2 отличная железка

качественный писюк за 10-12тыр, будет с перекрытием всех хотелок на порядок,
но без пимпочек и чекбоксов - пугающая перспектива

2-gloomymen > Ну не умеет если человек без окон жить, так научи его как правильно организовать маскарад

по всем критериям cisco ironport или ASA
не путай LDAP и AD там только реализованные подходы одинаковые если нужна тебе поддержка именно AD то сейчас кроме циски и джунипера редко у кого есть совместимость

А чем хуже системник + ClearOS? Там всё будет или прикрутишь что нужно

Я бы присмотрелся к варианту системник + freebsd, но это вопрос личных предпочтений. И качество железок dlink и zyxel в последнее время какое-то сомнительное.
С дорогими правда пока не работал :(
...и ихний срок службы 2 года - вообще убил!

(6) киски 857, 5 лет назад купил 11 штук. Сейчас 3 живые. Так что длинк и зухель - эт нормально.

(6) Дак фрю-ж настраивать нужно:) А ClearOS сразу готова.

7-нормально? Нормально я на работе свой хаб пристроил 2002 года D-Link 8портовый, в который 2 раза молния била. И он ещё в строю, правда с 2мя горелыми портами ))))
2 года для железки - это НИЧТО! Общество потребителей, млин.
Беда в том, что сдохнет железка - через 2 года такую уже не купишь, чтобы готовые настройки залить.

(9) А это политика партии. [url]http://www.youtube.com/watch?v=1xEJTLrlKOQ[/url]
И так оно и есть. И комп. железяки, и быт. техника, и авто... Всё так делается. А вот старая техника делалась по-другому. И другие приоритеты у производителя стояли.
Сейчас срок службы сокращается вообще быстро.

1-Sages >
Да вроде не особый гемор по урлам блокировать, можно через проксю на томже тике, а можно и Layer7 заюзать, та все довольно просто.

11-Tem >на ум только поле Content в фаере приходит. А как вы задружите л7 и урл? Я мож чего не понимаю.

да чего там с l7 пачкаться, в фильтре их рубать!
-m string

Кстати, вопрос по Микротикам, кто-нибудь с 1100 или 750 SNMP-трапы пробовал снимать? Они там работают?

14-matttveiko >я не снимал, но говорили, что работают

[img]http://i53.fastpic.ru/big/2013/0215/a5/daaef050d695b30b523d58263253caa5.png[/img]

Zyxel однозначно рулит как по количеству встроенных плюшек, так и по качеству встроенного блока питания, но он только с модели 300 начинается. Однако если неосторожно обращаться с IPS, то можно поиметь проблемы с производительностью, тщательнее выбирайте группы сигнатур в соответствии с вектором атаки.
Советую также посмотреть в сторону Netgear SRX5308- 500 долл.
to 2 У перечисленных мной устройств есть параметр MTBF, который у пк не будет таким же при равной стоимости. Если Вам пофиг на него, то и пк пойдет.
Однако еще есть размеры, энергопотребление.

17-Антивирус > мсье, в 2011 году я снял, вернее заменил, писюк 1994г.р., по причине несправлябельности с потоком, ибо он был 486SX, лично у меня это чудо отпыхтело [u]10[/u] лет круглосуточно)Ё, до меня еще 7 лет, и сносу ему нет
так что гуляйте со своими MTBF и рулятельными устройствами от zyxel

18 Повезло, больше так компы не делают, я об аппаратных компонентах говорю. Если Мы говорим об одном устройстве, то управлять им достаточно легко (и автору темы подойдет), а если про корпоративную сеть, то единого инструмента управления у таких пк-роутеров нет. Например, в масштабе РОСБАНКА такой эксперимент делали. Была сделана сборка дистра из gentoo. Работало на старье, но по причине высокой стоимости администрирования проект был свернут после 4 лет работы. Да и электричества пк сожрет несоизмерибо больше, причем большую часть времени впустую.
[забаненный онаним]

да вот не [u]повезло[/u], а просто разумный подход при выборе железа, ничего сверхестественного
тов. забаненный онаним, я конечно уважаю ваши убеждения, но мой опыт, и мои знания мне ближе и понятнее
мне глубоко плевать на энергоппотребление, если я понимаю разницу между надежностью и этим самым потреблением

17-Антивирус > Зухель и нормально работает начиная с 300-го. Нетгир 5308 после 50 пользователь чувствует себя очень плохо, был заменен пфсенсой. Сотый зухель начинает дурить уже на 30 простых пользователях, если ещё ВПНы, то вообще худо.

Вдогонку, если канал от провайдера один, обе железки отлично работают.

12-Sages >
Вот так блокировал конкретный фильм на ютубе
/ip firewall layer7-protocol
add name=youtube regexp="(^.+(youtu.be).*\$)"

/ip firewall filter
add action=drop chain=forward content=VzwCV0S6Hk8 disabled=no layer7-protocol=youtube

Не знаю подойдет ли вам, но есть такие штуки новые: Alcatel-Lucent 7324 RU и Cisco Catalyst 2960 WS-C2960-8TC-L. Вопросы в личку