LINUX.ORG.RU
ФорумAdmin

Железо для корпоративного роутера.

 


1

3

Собираюсь сделать маршрутизатор-ядро сети на базе Linux. Сеть – пока порядка 500 хостов. Маршрутизация – статическая. Порядка 10-15 /24 подсетей. VLAN-ы. Iptables.

Вижу так: две двухпортовые сетевушки 10Gb плюс 2 медных 1Gb порта. Т.е. 4 оптических и 2 медных порта. Хотелось бы, чтобы железо этого софт-роутера эффективно обрабатывало планируемую пропускную способность.

Подскажите пожалуйста, как рассчитать конфигурацию железа?

Ну это точно должно быть на базе Intel Core i5-12400F
Материнку по разъёмам подбирать надо.
Райзены и в целом AMD не подходят, потому что кол-во линий PCI там часто не работает.
Пишут одно, по факту другое.
И надо смотреть по лицензиям. Дадут ли вам лицензию на этот интел или нет. По лицензиям с AMD проблем обычно нет. Но там геморой с линиями PCI и прошивками BIOS.

dognabakni
()
Ответ на: комментарий от upcFrost

мы обычное медицинское бюджетное учреждение в РФ… не провайдер, не оператор связи. сертификация в этом случае тоже обязательна?

P.S. тут есть Mikrotik, но на нем очен гемморно рулить Vlan-ами, хочется его заменить.

borschov
() автор топика
Ответ на: комментарий от dognabakni

И надо смотреть по лицензиям. Дадут ли вам лицензию на этот интел или нет.

Эм… что, сервера на базе Intel для Linux как на IBM Power для AIX теперь — нельзя купить, только аренда и нужно при этом платить за разблокировку функций?

Vsevolod-linuxoid ★★★★★
()
Ответ на: комментарий от Pinkbyte

а если софт-роутер будет на Astra Linux работать, который сертифицирован ФСТЭК? знаю, что есть под винду решения user-gate или что-то подобное тоже сертифицированный ФСТЭК. он же на любом железе может работать. или я что-то не понимаю?

borschov
() автор топика
Последнее исправление: borschov (всего исправлений: 2)
Ответ на: комментарий от borschov

Это надо уточнять(по медицинским данным там какие-то особые заморочки вроде были, я не шарю), но в целом наверное да.

Pinkbyte ★★★★★
()
Последнее исправление: Pinkbyte (всего исправлений: 1)
Ответ на: комментарий от anc

Usergate - это вполне себе сертифицированный x86-маршрутизатор(а может и не только x86, я их ПАКи не щупал) и еще конечно прокси и куча всякого гогна с не так чтобы очень вменяемым интерфейсом.

Pinkbyte ★★★★★
()
Последнее исправление: Pinkbyte (всего исправлений: 1)
Ответ на: комментарий от Pinkbyte

Афигеть! Я серьезно. Як же продвинулись ребята на ниве продаванства ненужного :) У меня про него только остались воспоминания из конца 90-х :)

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от borschov

мы обычное медицинское бюджетное учреждение в РФ… не провайдер, не оператор связи. сертификация в этом случае тоже обязательна?

Медицина была первой кто получил спдн, это было в 2013 году. Помню как ставил StoneGate девять лет назад именно из-за этого

Так что да, нужна

upcFrost ★★★★★
()
Ответ на: комментарий от borschov

а если софт-роутер будет на Astra Linux работать, который сертифицирован ФСТЭК

Имхо нет, но я не юрист. Когда сам занимался сетями как раз в медицине (2012-2014) сертификация была на всю прошивку разом. То есть даже если у тебя железка с медалькой и вышла прошивка v1.2.x, то ты не можешь её ставить пока именно она не пройдёт фстэк

upcFrost ★★★★★
()
Ответ на: комментарий от dognabakni

Ну это точно должно быть на базе Intel Core i5-12400F

Объясните пожалуйста, почему именно процессор?

И надо смотреть по лицензиям. Дадут ли вам лицензию на этот Intel или нет.

А кто должен ее дать? Вот купил я этот процессор в магазине, собрал сервер, вставил сетевые карты, кто мне на него должен дать лицензию?

Я просто не в курсе…

borschov
() автор топика
Последнее исправление: borschov (всего исправлений: 1)
Ответ на: комментарий от borschov

Вот купил я этот процессор в магазине, собрал сервер, вставил сетевые карты, кто мне на него должен дать лицензию?

Затем, приходит в ваше учреждение проверка. Например от вышестоящего органа. И говорит:

Ваши действия, такие и вот такие, нарушают законодательство, Закон такой-то, статья такая-то. Кто все это делал?

Глава учреждения, покажет приказ, в котором сказано:

Организовать мероприятия по обеспечению работы цифровой информационной системы.

Глава ит отдела покажет приказ:

Приказываю, Иванову И.И., организовать мероприятия по обеспечению работы цифровой информационной системы.

И что произойдет? Правильно. Ты окажешься виновным в нарушении Закона. Кто понесет всю ответственность? Ты.

Поэтому, лор тебе правильно советует. Разберись с законами. Что законно, а что нет.

И если от тебя требуют нарушить закон, то можешь смело увольняться. Пусть сами идут и нарушают.

sfedosenko
()
Ответ на: комментарий от sfedosenko

Приказываю, Иванову И.И., организовать мероприятия по обеспечению работы цифровой информационной системы.

закупленной по ФЗ-44/223, не иначе.
и по соответствующим критериям, афаик.
т.е. в гос. учреждении нельзя от балды что-то купить просто так

etwrq ★★★★★
()
Последнее исправление: etwrq (всего исправлений: 2)
Ответ на: комментарий от sfedosenko

надо составить ТЗ без «более-менее» но с диапазонами и без уникальных условий, общие параметры указаны тут https://zakupki.gov.ru/epz/ktru/ktruCard/ktru-description.html?itemId=28976 для маршрутизатора.
так же там ктру почти для всего есть, наверное кроме комплектующих.
зы. если всплывет что закупленно что-то не то, то вздерут начальника ит и того кто закупки проводил этого

etwrq ★★★★★
()
Последнее исправление: etwrq (всего исправлений: 1)
Ответ на: комментарий от borschov

И надо смотреть по лицензиям. Дадут ли вам лицензию на этот Intel или нет

Бро, говорю же, если ты мед учреждение забудь про самосбор. Ты подпадаешь под 152-фз и все что с ним связано. Для медицины там есть послабление, 3-4 уровень вместо первого, но тем не менее.

У тебя как минимум:

При этом фурволл не только между инетом и клиникой, а желательно между всеми вланами, иначе будешь потом объяснять проверке почему бухи не отделены сертифицированным экраном от МИС. Так что уровень ядра у тебя по любому должен быть с бумажкой. А если там ещё и пациентов много (100к+) - бумажку нужно более толстую

И в качестве ложки дёгтя в бочку дёгтя - ответственность за это добро лежит на админе, а не на главвраче. Время сейчас довольно весёлое, пятую точку лучше держать прикрытой.

upcFrost ★★★★★
()
Ответ на: комментарий от upcFrost

Пусть они его уволят, админа.

И возьмут на эту должность Васю Пупкина. И пока на должности будет Вася Пупкин, старый уволенный админ, все соберет и настроит.

И когда будет готово, Вася Пупкин увольняется, и старый админ опять зачисляется в штат.

Схема конечно опасная. А что делать? Надо как то жить ).

sfedosenko
()
Ответ на: комментарий от anc

По крайней мере, автор глубоко задумается, нужно ли ему делать то, что он хотел делать. Насколько это все законно и нужно. И за это благодарность ЛОРу и его участникам.

sfedosenko
()
Ответ на: комментарий от sfedosenko

Вот примерно так сказал у меня на прошлом месте мужик, руководивший постройкой завода за бюджетные деньги: за день до приёмки псж, через день после обратно, подписи моей там не будет.

А так по теме проверять бюджетную клинику конечно вряд ли будут, но мало ли. У нас была частная, нас проверяли пару раз. Но если разок проверят и никакой бумажки-закрывашки не будет - придётся вертеться как уж на сковородке, особенно если ли вдруг какие-нибудь данные утекут.

Лучше хотя бы формально выполнить некий минимум типа фурвола с сертификацией и кипы бумаг, получить в худшем случае minor nonconformance от аудиторов и жить спокойно

upcFrost ★★★★★
()
Ответ на: комментарий от borschov

P.S. тут есть Mikrotik, но на нем очен гемморно рулить Vlan-ами, хочется его заменить.

То есть уже есть, и прямо в этой сети? И справляется? Тогда что мешает по его производительности прикинуть?

AS ★★★★★
()
Ответ на: комментарий от upcFrost

Проверь нужна ли сертификация, 500 хостов звучит прилично больше чем гараж, можете на спдн попасть

А при чём тут роутер? На нём персональные данные не хранятся и не обрабатываются. Хотя... Если там есть что-то про VPN между подразделениями, то могли напридумывать что-нибудь. Но, наверное, сертифицированным дистрибутивом можно будет решить, если вдруг что.

AS ★★★★★
()
Ответ на: комментарий от dsdqmhsx

А что не так с mikrotik и vlan’ами (вопрос самого использования микротика в данных условиях не вопрос)?

На нем очень геморно управлять Vlan в принципе.

borschov
() автор топика
Ответ на: комментарий от AS

А при чём тут роутер?

При том что если у тебя есть МИС и есть бухгалтерия, то между ними либо не должно быть связи вообще, либо должен быть сертифицированный по фстэк экран. С интернетом аналогично. ТС ищет уровень ядра сети, то есть сертификат нужен будет в 99% случаев

upcFrost ★★★★★
()
Ответ на: комментарий от upcFrost

ТС ищет уровень ядра сети, то есть сертификат нужен будет в 99% случаев

Как печально… А кто-нибудь знает сертифицированные решения с linux-like интерфейсом управления. Да и вообще, чтоб Линукс по капотом был.

borschov
() автор топика
Ответ на: комментарий от borschov

Когда-то был StoneGate, это были по факту линуксовые тачки, только управлять ими надо было с венды через наркоманский интерфейс. Но он вроде сдох года 4 назад.

Проще всего открыть список фстэк и смотреть там, тебя интересуют 3-4 уровни в зависимости от числа пациентов. Можно вообще хитро сделать - берёшь не-фстэковый роутер-сиську с sfp и покупаешь для него фстэковый sfp-модуль и через него цепляешь свитчи.

Но первое дело это набить кучу бумаг и отнести на подпись, в первую очередь смотрят именно их.

upcFrost ★★★★★
()
Ответ на: комментарий от AS

Уже не могу редактировать, так что напишу так

На нём персональные данные не хранятся и не обрабатываются. 

Если байты прошли через оборудование то это уже обработка. Это тебе и буруйские iso27001, и pci dss, и отечественные аналоги скажут

Из плюсов в рф нужен только экран по факту, внутри подсети можно юзать любое оборудование. В Британии скажем все более кисло, там медицина это 1 уровень и нужно иметь бумагу на каждый свитч, в результате сертифицированный цод берет конские бабки просто за то что у него все шито-крыто

upcFrost ★★★★★
()
Ответ на: комментарий от vbr

Разве во всяких амазонах нет всех нужных бумажек?

Нет, не та бизнес-модель. Чтоб получить эти бумаги в одной единственной стране нужно 30 раз присесть. Амазон этим драть себе мозг не станет, у них количество > качество. Яндекс вроде сертифицирован, но тоже не точно и хз по какому классу. Ну и только для рф, разумеется

upcFrost ★★★★★
()
Последнее исправление: upcFrost (всего исправлений: 2)
Ответ на: комментарий от upcFrost

Ну они много сертификатов имеют (амазон). Вот к примеру некоторые: G-Cloud UK Hébergeur de Données de Santé (HDS) Esquema Nacional de Seguridad высокого уровня

Я специально дал ссылки именно на внутри-национальные стандарты. Все их значки можно посмотреть вроде как тут. И их там реально много. Про всякую классику вроде PCI DSS даже не говорю. Так что ты не прав, что они этим драть себе мозг не станут. У госзаказов маржа хорошая и влезть туда все хотят, амазон не исключение.

vbr ★★★
()
Ответ на: комментарий от upcFrost

берёшь не-фстэковый роутер-сиську с sfp и покупаешь для него фстэковый sfp-модуль и через него цепляешь свитчи.

можно ссылку на фстэковский sfp-модуль?
чёт колдунство какое-то по ощущению, аж интересно стало :-)

etwrq ★★★★★
()

У меня есть свободная лицензия Astra Linux SE 1.6 Смоленск. В Возможностях реализации мер защиты информации в соответствии с приказом ФСТЭК России № 17 средствами ОС Astra Linux среди прочего написано: Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами. можно прочесть тут. пункт УПД.3

Достаточно ли этого, чтобы использовать этот софт как ядро сети?

borschov
() автор топика
Ответ на: комментарий от etwrq

https://tssltd.ru/products/dcrypt-smart-sfp/

Фуф блин, я уж думал совсем загнался, еле нашел. Хз та же или нет (скорее всего нет, выглядит слишком новой), мы в 2014 похожую смотрели чтоб просто отцепить через нее сетку меднаправления и не парить себе мозг, но в итоге взяли обычное железо. Там были тонкости с тем как именно она работает и было лень копать глубже. Там по сути были недогейт в форме sfp

upcFrost ★★★★★
()
Ответ на: комментарий от borschov

среди прочего написано: Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками 

Может и пойдёт, тут лучше юристов тыкать. Раньше точно нужно было чтоб весь комплекс был обмазан сертификатом, включая железо. Может что поменялось

upcFrost ★★★★★
()
Ответ на: комментарий от vbr

Не знал, спасибо. Когда сам делал такое крупные нос воротили мол «кипа бумаг ради пары десятков клиентов танунах». В целом облака тогда конечно в зародыше были

upcFrost ★★★★★
()
Ответ на: комментарий от upcFrost

спасибо! нашел там еще пару пунктов, которые точно к такой железке относятся, например:

Защита периметра (физических и (или) логических границ) информационной системы при ее взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями

а каким сертификатом может быть железо обмазано? с трудом представляю. и по поводу юристов - я не знаю таких, кто компетентно может ответить на эти вопросы.

borschov
() автор топика
Ответ на: комментарий от borschov

по поводу юристов - я не знаю

Вы работаете на предприятии. Вы ит специалист. Ваша задача - определить параметры железа и программное обеспечение.

Когда вы определите, вы пишете запрос в юридический отдел вашего предприятия. Насколько такое то железо, и такое то по, соответствует требованиям законодательства, применительно к деятельности организации и ее форме собственности.

Юридический отдел, обязан обработать запрос и дать аргументированный ответ, что соответствует в полном обьеме или не соответствует, или соответствует но частично.

Затем, вы идете в бухгалтерский отдел. Показываете параметры железа и по, показываете ответ юр. отдела, и бухгалтерия, без вашего участия, покупает нужное железо и по.

И на этом все. И конечно, вы как опытный специалист, не поленитесь проверить аргументированный ответ юр отдела. Вдруг они написали что соответствует закону, а оно на самом деле нет ;-).

sfedosenko
()
Ответ на: комментарий от upcFrost

А так по теме проверять бюджетную клинику конечно вряд ли будут, но мало ли

Обязательно будут. И вы правы в том, что изначально нужно делать толково. Делать как требует закон. И в этом с вами согласен.

Но бывает, что денег нет сделать по закону. А сделать нужно. Или еще проблема какая. И тогда начинаются схемы.

Вы здорово помогли автору. Теперь он будет подкованнее. И вот эта схема:

фстэковый sfp-модуль и через него цепляешь свитчи

тоже отличная 888)

sfedosenko
()
Ответ на: комментарий от borschov

а каким сертификатом может быть железо обмазано? с трудом представляю. и по поводу юристов - я не знаю таких, кто компетентно может ответить на эти вопросы

Если нет штатного юриста - лучше всего сначала сгонять наверх (главврач, директор, начальник отдела), обрисовать ситуацию и спросить знают ли они хоть кого-то кто что-то понимает в правовом поле. Ну или кого-то кто знает кого-то и т.д. Я сомневаюсь что в мире есть хоть один человек который хотя бы через вторые руки не знает ни одного юриста, тем более если этот человек довольно высоко сидит.

Можно вообще сделать маневр и спросить есть ли кто из технической комиссии, и так попытаться выйти на собственно тех кто проводит аудит. Они лучше всех в курсе что и как делать. Но тут надо быть тонким и изворотливым, иначе вместо ответа можно получить проверку.

Ну и реально советую сразу начать готовить кипу бумаг, обычно собрать подписи занимает куда больше времени чем заказать и настроить шлюз. Как раз можно совместить с вопросами про юристов

upcFrost ★★★★★
()
Ответ на: комментарий от anc

«точно» это как? Вы на основании чего сделали вывод про своё «точно»?

Вот, что продают под PFsense. На Xeon D-1537. Наверное стоит ориентироваться на что-то подобное? Только у меня 4sfp+ планируется. А тут их два. Кто что скажет?

borschov
() автор топика