Juniper SSG-5SH vs Mikrotik RB2011UiAS-RM

На предыдущем месте работы использовались Juniper (NS5GT, SSG20, SSG140, и новенькие SRX100, SRX240). В SSG очень качественная вебморда, но убогая консоль, в SRX - вебморда являет собой невменяемый вебдваноль, зато консоль прекрасна.
В целом Juniper очень понравились. Надёжны, просты и неприхотливы.

Мне кажется, или это абсолютно разные железки, да еще разных классов.

У нас впн построены на 1921 кисках.

ты хоть расскажи что у тебя за каналы связи, какую планируешь топологию, тип маршрутизации и т.д.

Все от цели зависит. Но конечно с джуником ты будешь выглядеть круче.

ты хоть расскажи что у тебя за каналы связи, какую планируешь топологию, тип маршрутизации и т.д.

Хотя микротик отменно пашет, да и админить его легко , но так вообще лучше поставить LEAF , если есть опыт ковыряния в сетевых прогах

ты точно на мой комментарий отвечал?

Извини не то нажал

В общем есть филиалы в 8 регионах с подключением IPVPN от провайдера,канал от 2-4 Мб\с.Слышал что микротики админить легко и работают они не слабо.Для juniper слышал жучки есть от АНБ,ну дело конечно не в них,просто для себя хочу понять какие из 2-х вариантов есть плюсы и где минусы

Ничего не могу сказать про Juniper (хотя нам скоро привезут SRX100H2, буду разбираться). В своих филиалах, где рука дотягивается, все Cisco меняю на Mikrotik. От 750GL-ек до CCR1036. Работают прекрасно.

Я у себя забубенил туннели с филиалами через EoIP поверх PPTP.

Прекрасно себя чувствуют с VRRP, BGP, OSPF, load balancing, failover - как бы я это все заваривал на Cisco - ума не приложу, и бюджет был бы на порядок выше.

все Cisco меняю на Mikrotik.

Почему? Финансы или что-то еще?

Прекрасно себя чувствуют с VRRP, BGP, OSPF, load balancing, failover - как бы я это все заваривал на Cisco - ума не приложу

Тебе вероятно имеет смысл уделить внимание части CCNP-Route. Все вопросы освящены (кроме VRRP). Железо зависит от нагрузки. Для небольших офисов сгодились бы 19xx/18xx. Связка с офисами за счет IPSEC/ GREoverIPSEC. Посмотрел краем глаза спецификации на CCR1036 - выглядит интересно.

Да работал я с цисками, не сделаешь на них такую гибкую балансировку и фыйловер как я хочу. Фаерфвол в микротиках - почти полноценный iptables, а от вида акцеслистов циски хочется плакать.

не сделаешь на них такую гибкую балансировку и фыйловер как я хочу

Какую?

Фаерфвол в микротиках - почти полноценный iptables, а от вида акцеслистов циски хочется плакать.

Причем тут сравнение «firewall почти iptables» c acl? ACL - решает несколько другую задачу. Про Zone-Based Policy Firewall никто и слыхом не слыхивал, да?

Какую?

Как на циске настроить балансировку в бондинге по двум l3 каналам на основе типа или источника трафика с учетом ширины каждого канала + фэйловер для этого бондинга через интернет, с учетом что пров режет gre?

И если ты это таки реализовываешь, то называй цену железки.

Причем тут сравнение «firewall почти iptables» c acl? ACL - решает несколько другую задачу. Про Zone-Based Policy Firewall никто и слыхом не слыхивал, да?

Мои 1801, которые я снимал, этого явно не умели

Мои 1801, которые я снимал, этого явно не умели

1801 умеет

Как на циске настроить балансировку в бондинге по двум l3 каналам на основе типа или источника трафика с учетом ширины каждого канала + фэйловер для этого бондинга через интернет, с учетом что пров режет gre?

По порядку:
1) Что такое L3 канал? Кэп намекает, что канал связи лежит ниже уровня IP.
2) про существование маршрутизации на основе карт ты не слышал, работать с протоколами маршрутизации OSPF и EIGRP не умеешь
3) IP SLA тебе тоже не известно, и чем это помогает в отказоустойчивости
4) GREoverIPSEC не понимаешь (GRE - пассажир). Хотя обычно достаточно только IPSEC.

Резюмируя, скажу, что с этим нужно в раздел JOB, а знания тебе не мешало бы подтянуть. Думаю, что ты сделал бесполезную или даже вредную замену из-за того, что не разбираешься в вопросе. Рекомендую часть Route из курса CCNP.

Опять этот «элитный» тролль 80 уровня вылез.

Андрюша-ламер, иди поучай других. Знаток и советчик епт. В job тебе самому скоро потребуется, когда тебя-ламерка с работы попрут.

Не слушайте этого ламера. Чел с охеренным ЧСВ, на деле хер простой, дуб, не способный воспринимать ни одной альтернативы, лежащей вне его сугубо местечкового опыта дешевого эникея.

Возможно ты прав, я не так глубоко знаком с Cisco.

Я сейчас глянул примеры настройки Zone-Based Policy - это же хищники для чужих делали.

Потом, вот сыпала у меня циска через неделю аптайма Traceback-ками по поводу выделения памяти. Явно текла.

Была ASR1002, которая раз в день-два теряла 10G-модуль и не находила после перезагрузки по питанию, и то не с первого раза. Контракта с Cisco у нас небыло, ибо конторака была маленькая и бедная. ТП посылала сразу, хоть бы IOS свежий предложила. Что прикажешь делать?

Другая ситуация - CCR1036 мы брали сразу после их появления, еще прошивка 6.0 была в бете. В хоте тестов выявили пару косяков с шейпером и BGP. Все решилось тем, что отписались на форуме и в следущем релизе все поправили. Это как?