Имеется:

Центральный офис (ЦО). Порядка 200 хостов. Подключение к интернету DSL 2M/1M (если это важно, то оператор Домолинк).

До 10 удалённых подразделений (АО). Порядка 20-40 хостов в каждом. Подключение к интернету DSL 512K/512K (тоже Домолинк)

До полусотни одиночных удалённых рабочих мест (АП) с самым широким спектром подключения: DSL, GPRS, dial-up

До полусотни IP-телефонов Siemens optiLink в различных АО, логически подключённых к АТС Siemens HiPath в ЦО

Требуется:

Шифрованный туннель из каждого АО в ЦО

Шифрованный туннель из любого АО в любой АО

Шифрованный туннель из любого АП в один АО

Задавать приоритеты для типа траффика. (Т.е. если некто перекачивает обновление базы данных из ЦО в АО и занимает весь канал или даже больше, а в это время генеральному из ЦО приспичило вздуть начальника АО, то не дай Боже выпадет хоть буква, или запятая, или даже пробел из их судьбоносного общения. Скорость всех протоколов должна быть пожертвована во имя этой светлой цели. Но только на время орала. Закончился разговор - все опять получают поровну килобит.)

Какое оборудование, в каких количествах и в каких целях мне понадобится?

Центр - DFL-800/DFL-1600, удаленные офисы DFL-210. На любом из DFL вы можете поднять РРТР сервер, так что подключения принимать и пускать в сеть сможет любой. На удаленных рабочих местах подключаться просто средствами Windows.
Приоретизация определенного трафика есть, но помоему с выделением постоянной ширины канала.
Касательно туннелей между удаленными офисами - вы нарисуйте на листе бумаги 10 точек и одну в середине. А теперь все точки соедините. Объем прикинули? Вот если готовы столько каналов поднять и настроить - все без проблем. А вообще - пускайте все через центр, с добавлением каналов между удаленными офисами только если большой траф. А вообще вообще - когда я себе такую конфигурацию делал, я закрыл видимость между "удаленками" - все работают только через серверы (почта, jabber, voip).

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Угу... понятно... Спасибо... То есть, ВПН-концентратор мне не нужен...
А DSL-модемы максимально простые в режиме бриджа?

Да. Лишь бы надежные.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Понимаю, что не совсем в тему, но... 2500U - достаточно надёжные? или есть ещё проще и надёжнее?

А про увеличение канала в главный офис - правильно замечено. Как угодно, но быстрее.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Да для подобной схемы 2/1 для Центрального офиса просто обрушит всю работу даже без вариантов.

...но сейчас-то оно как-то работает! причём в качестве файрволлов используются АПКШ "Континент" и речь о замене пошла только из-за того, что появилась IP-телефония. Маленько заикается.

Не вопрос, но Вы ведь не создали всю эту схему, вот тогда нехватка скорости и скажется, даже если обмен(синхронизация) базами будет происходить ночью и распределённо и будут ограничения для клиентов в том числе и по скорости и вообще нужно проектировать под условия максимальной нагрузки, при мин естественно всё будет хорошо.

Попробовать можно конечно и в текущих условиях. Но на будущее перед вами этот вопрос встанет не просто остро, а очень остро.
Вопрос с надобностью QoS (в т.ч. и в разрезе voip) он ведь такой - работает, работает, еще сносно, а чтобы сделать на чуточку лучше - приходится мегавкладываться по всем фронтам.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Возможно, мы где-то друг друга не понимаем. Всё описанное мной в первом посте уже есть и успешно работает с 2003 года. Но! Производительность АПКШ "Континент" "не тянет" шифрацию голосового потока (IP-телефоны мы только начали расставлять). Приобретать новый "Континент", который имеет сопоставимую с возросшими потребностями производительность - почти 100 тыс. руб. на один конец, что даже для нашей маленькой, но углеводородной компании накладно.
Поэтому и возникла идея перейти на компактное и дешёвое оборудование, которое можно купить быстро и про запас.

Узкое место у вас очевидно, а расширить его можно всегда. Но лучше это делать не когда жареный петух (или шеф) клюнет, а заранее.

Голосовой поток не напряжный - при использовании кодека G.729а (используется большинство H.323/SIP девайсов) всего 8 кбит/сек. Но он "забивается" остальным трафиком! Поэтому ему и нужна приоретизация, а в идеале - QoS.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Это как при отпускных сборах - вроде и вещей немного, а в сумку не влазит. Если, к примеру, одновременно много VoIP звонков - чем поможет QoS? Как перераспределение полосы отразится на работе приложений? Понятно, автору виднее.
зы. А циску здесь фильтруют на уровне мата? )

Безусловно. Просто меня несколько удивило удаление сообщений в этой теме.