Для начала определимся так - в мануал меня носиком не тыкать, я там уже была -
как все красиво и прекрасно почитала, меня на деле интересует эта "красота"
в общем четко и ясно отвечать на поставленные мной вопросы.
(Мне НЕ хочется потом материться, купив неподходящий мне девайс за полтыщи америкосиков)

1. WAN-интерфейсы
Есть два провайдера А и В
А - требует поднятия РРТР с динамическим физическим айпом интерфейса
В - требует поднятия РРРоЕ с динамическим физическим айпом интерфейса
у обоих есть доступная внутренняя сеть с неоплачиваемым трафиком (аля дуал ассес)

Требуется подключить сабжевый девайс к этим двум провайдерам через пару WAN,
разроутить трафик по провайдерам (например: мыло через А, нттр через В)
Ессно желательно чтобы сабж не таскал внутреннюю халяву провов через платные поднятые РРТР/РРРоЕ
Вот по этим пунктам полазала в эмуляторе, что-то толково ничего не нашла
http://www.dlink.ru/technical/wizard/DFL-800/index.html

Какие будут проблемы на этом этапе?

2. Срастить сабж с несколькими 804НV/808HV по схеме звезда,
где центром будет сабж, по IPSec тонелям.
Далее настроить роутинг между тонелями, чтобы "лучики" в произвольном порядке видели друг друга
На ДФЛ - на обоих провах статика, белый айп; на НV - где как
(Часть тонелей по принципу динамического ВПН как на 804/808)
И соответственно часть лучиков на прова А (ван1), часть лучиков на прова В (ван2)

Проблемы этого этапа?

3. Возможность подключаться к ДФЛ по РРТР/IPSec с произвольных мест,
и шариться в ланах "лучиков" (те ланы что за 804НV) для удаленного администрирования
(в принципе это дополнение п.2)

Возможные проблемы этого этапа?

4. Срастить ДФЛ с ИСА по IPSec сайт-ту-сайт

Проблемы?

Со структурой ДФЛ в принципе ясно все, принцип как на ИСА

Касаемо пунктов 1-3 особых засад не вижу.
Не говорю что будет просто, помудохаться придётся знатно, но примерно такую схему удалось настроить (единственное что на WanХ статика).

1. При помощи PBR можете направлять определенный тип трафика через определенный провайдер См FAQ http://ftp.dlink.ru/pub/FireWall/_rus_% ... outing.pdf.
Так же устройство является полноценным маршрутизатором, вы можете прописать маршруты к определенным сетям и разрешить к ним IPRules.
2. Срастить можно вполне, но вот заставить при этой схеме видеть локальные сети с DI за другим DI очень непросто, когда вы настраиваете IPSec на DI вы указываете remote network, для этого есть два параметра IIP и subnet mask и видеть он будет по IPSec те подсети которые в эти два параметра укладываются, думаю уже видите сложность с построением на DI подобной схемы. С на уделенной стороне DFL-210 такой проблемы бы не существовало. Больше по данному вопросу ограничений нет.

3. Соединятся можно, так же если вы подключитесь к DFL, и у вас будут для этого пользователя прописаны все разрешающие правила, то в лучики вы попасть сможете.

4. Тоннель lan to lan поднять можно с любым устройством или софтом которые поддерживают алгоритмы шифрования используемые в IPSec на DFL и это решение работает по RFC.

Интересно существование аналогов DFL-800/860/1600/2500 от других производителей,
обязательно наличие не менее трех WAN (можно 2 WAN + 1 настраиваемый DMZ).
Вопрос не цены, а функционала алл-ин-оне, принципа "включил и забыл", безопасности и производительности.

Кисок не предлагать, их модульность в данном случае излишня.
Хотя может у них есть что-то, о чем я незнаю и не видела еще...
Роутер из PC на базе какой-либо ОС тоже не предлагать,
именно от него и хочу избавиться.

А чем DFL не устраивает?

Тем, что мы DFL-ы на тест-драйв получить никак не можем.

Я бы рассматривал варианты Cisco 1841, JuniperNetworks - серия SSG или Netscreen, ZyXEL - серия ZyWALL,

Оборудование получить на тест очень даже реально http://www.dlink.ru/technical/gletter.php

Лично я на данном этапе склоняюсь к оборудованию ZyXEL
Весь необходимый функционал присутствует в моделях ZyWALL 35/70/1050.
Посмотрите, может быть наши задачи схожи.

Угу, мы и туда писали, и в бубен били, и духа Д-Линк вызывали - в ответ тишина как в гробу.
Когда в заявке пишем, что нужен ОДИН DFL-800 - в ответ игнор полный, типа "что с ними связываться".
А то, что головной офис может курировать с десяток разных ООО/ЗАО это не доходит.
Нужно десяток заявок послать? Зачем нам вагон DFL`ов на тест?
Для того чтобы понять то это или не то, нам одного достаточно,
все его "потыкают, обнюхают", и решим уже тогда закупать это добро или нет.

Вот сидят ИТ-шники из восьми организаций и думают, а не послать ли нафиг Д-Линки,
и не купить киски или зюкселя. Благо это добро под боком есть.
Вот такой расклад.

С кем в d-link контактировали? если вы из Москвы, можете по поводу получения оборудования на тест обратиться ко мне.

В продолжение темы...
- подцепили трех провайдеров на DFL-800
(1й имеет локаль и РРТР/РРРоЕ, 2й локаль + РРТР, 3й это АДСЛ на ДМЗ/ВАН3)
- прошивку залили последнюю
- с маршрутами более-менее разобрались
(хотя пока поняла религию этого устройства, убила часа два наверное...
признаюсь, что мануал не читала, читать не умею и мне лень, я мазохистка )
- с пробросом портов пришлось выучить алфавит, ибо там не катит так просто..
- IPSec/PPTP туннели не тестировали, не дошла очередь еще, соответственно остальное тоже пока в пролете

Теперь вопросики к саппорту:
1. Какова производительность DFL-800 относительно задачи?
Чем навеяно... емулом навеяно.
Пробросили емула из локали первого провайдера,
источников от 25 до 50 (ака коннекты), скорость закачки от 3х до 5,5 МБайт/сек...
отдача 128КБайт/сек (списываем на погрешность)
и опа... загрузка процессора от 55 до 73%...
Многовато будет имхо... при этом загрузка РАМ 37МБ
а у нас второй ван не задействован в принципе еще...
туннелей нет пока... хм.. чешем репку..

2. В DFL-800 есть CompactFlash на 128Мб - это под логи?
его можно расширять?

3. В DFL-800 есть слот подозрительно похожий на слот для WLAN...
это что?

1. Производительность у устройства довольно высокая, можете посмотреть спецификацию, видимо дело в каких то настройках, дома стоит DFL-210, с большим количеством источников загрузка ЦП DFL не превышала 7-10%, торент за сотню источников не более 13%. А DFL-800 более производительное устройство.

2. Нет этот flash для firware и сохранения конфигурации. Память, и сам загрузчик реализованы отдельно. Оперативная память размещена отдельной планкой на устройствах DFL-1600/2500
3. Это слот подозрительно похожий на WLAN... (инженерная информация не раскрывается)

Вопрос серьезный, хотелось бы знать общую загрузку WAN Вашего DFL-210 при загрузке ЦП до 10%
Сегодня попробуем поэксперементировать с отключением WAN2/3, оставить один WAN1 и погонять железяку.
Мы загружали WAN1 примерно на 70% от его теоретической пропускной способности,
(имеется ввиду пропускная способность 100Мбитной сети, таскали на скорости до 8МБайт/сек, в битах сами считайте.)
Попробуем через WAN<->LAN по нетшаре потаскать между двумя машинами.

Мультикаста, там кнешно полно летает в ЛАНах провайдеров...может не переваривает?

В настройках в принципе все просто, там настроены только маршруты и
правила на выход всему и вся на WANы, т.к. это тестовый стенд стоит пока.
Какая-либо безопасность не особо нужна, на LAN подключена только одна
машина с ISA 2k6 на борту, она сама разберется со своей безопасностью в любом раскладе.
Кстати при подключении машины с ISA 2k6 напрямую на тех же условиях что и DFL,
ее загрузка не превышала 3-7%, что есть погрешнось OC, машина "курила"

С загрузкой процессора разобрались - на машине с ISA были активны IPSec туннели (забыли вырубить),
ну она и тыкалась в попытках их поднять... хе... но чтоб так круто "ложить" маршрутизатор из лана... младца иска просто..
она в одну каску на 100Мбитном интерфейсе до 70% CPU DFLа грузила,
притом так, что мы не замечали, работая на ней, каких либо тормозков или подобного...
надо взять на заметку эту ее разрушительную способность для оборудования Д-Линк