marshallq schreef op dinsdag 05 februari 2013 @ 20:39:
Wij gebruiken de NSA240 van Sonicwall bij diverse klanten.
Mijn ervaring is dat je de throughput met een korreltje zout moet nemen, vooral als je Gateway Anti-Virus Throughput aanzet. Bij een klant van ons in Noorwegen hebben ze een 100 Mbps lijn, bovenstaande feature aan gezet en ineens bleef er nog maar 20 Mbps over (en CPU's op 100%)... zonder de AV zaten we op 80 Mbps.
Tevens hadden we een aantal vastlopers op de SSL vpn, dit gebeurde toen men via zoiets als GitHub repos ging syncen. Gelukkig merkte de rest van het netwerk er niets van, maar andere SSL vpn gebruikers konden niet meer verbinden.
De support van Sonicwall is wel erg goed (paar keer contact mee gehad). Verder zal de Web GUI met meer objecten wel gaan irriteren (snel meer tabbladen en de interface is dan ineens niet zo handig meer).
Mijn conclusie: staar je in elk geval niet blind op een firewall die alles moet kunnen, meestal kom je dan bedrogen uit (in mijn beperkte ervaring). En voor onze grotere omgevingen gaan we vaak toch voor iets anders, Cisco.
Een NSA240 is natuurlijk niet echt een enorm krachtig ding. Die red het prima op een 100Mbit lijn, maar als je fanzy zooi activeerd houd het snel op.
Een NSA4500 is een stuk krachtiger. Als je overigens SSL-VPN wat serieuzer wil gaan gebruiken zou ik dat ook op een dedicated doos doen, en niet op de router zelf. Een SRA4200 is een mooie aanvulling op een NSA. Je moet even kijken wat de werkelijke benodigde throughput is, mogelijk is een 3500 ook voldoende.
Als je alles redundant wilt hebben kun je ook 2 stuks in een HA setup zetten. Als je wan verbindingen ook dubbel zijn kun je dan de hele setup redundant maken. Ik heb dat ook bij een klant draaien.
Een vergelijkbare situatie als jouw (een school) draait op een NSA3500. Daar zitten iets van 3000 PC's op, en nog eens zo'n 1500 wifi devices. En die Sonicwall is nog nooit onderuit gegaan. Het scheelt wel hoe je het opzet, in dat geval is het hele netwerk gesegmenteerd en doet een dikke switch het routeren onderling.
Bottomline: Simpel natten kan elke router al, maar houd wel rekening met het max aantal nat connecties. Maar een beetje middenklasse ding komt al een eind. SSL-VPN is mijn voorkeur om dat dedicated af te laten handelen. Performance moet je vooral naar kijken als je dat ding echt CPU-intensieve dingen laat doen.
Een ASA kan het ongetwijfeld ook. Je moet alleen zelf een rekensommetje maken kwa hardware kosten, support en eventuele (wederkerende) licenties.
/u/33663/lagavulln16.png?f=community)
:strip_icc():strip_exif()/u/5326/crop5ff8e3fc691c6_cropped.jpeg?f=community)