Prihlásiť sa Odoslať Novinky :: FAQ :: Rozšírené vyhľadávanie :: Napísali o nás :: Ankety
Main Menu
· Home
· 
· FAQ
· 
· Diskusia
· 
Main Menu
· Domov

Moduly
· AvantGo
· Downloads
· FAQ
· News
· Recommend Us
· Reviews
· Search
· Sections
· Stats
· Topics
· Top List
· Web Links
· Forum
Jazyk
Výber jazykovej mutácie:

FAQ  •  Search  •  Register  •  Log in to check your private messages
Log in  •  Maximize
The time now is 10.06.2026 - 14:22

SKFREE Forum Index » Technika » Hardware

Cisco na FW

Post new topic Reply to topic
View previous topic Printable version Log in to check your private messages View next topic
Page 6 of 6 < 123456
Author Message
pixall
Post subject: RE: Cisco na FW  PostPosted: 28.07.2010 - 03:02 #83931
Majster


Joined: Okt 21, 2003
Posts: 4247
ste-ve wrote: ›Ja som ale paranoik... Ked toho nemam minimalne n+1 tak mam zly pocit. Cize co spravi clovek ked sa to domrvi? Chyti CFku alebo config a pastne a ide.. Smile A ked nie je do coho? Taak?


jojo, niet nad rezervny kus vo vlastnom sklade... N+1 je nakazlivy pristup... trochu drahy ale inak parada Smile
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
kubiik
Post subject: RE: Cisco na FW  PostPosted: 28.07.2010 - 13:02 #83932
Guru


Joined: Jan 24, 2004
Posts: 1685
pixall wrote: ›
ste-ve wrote: ›Ja som ale paranoik... Ked toho nemam minimalne n+1 tak mam zly pocit. Cize co spravi clovek ked sa to domrvi? Chyti CFku alebo config a pastne a ide.. Smile A ked nie je do coho? Taak?


jojo, niet nad rezervny kus vo vlastnom sklade... N+1 je nakazlivy pristup... trochu drahy ale inak parada Smile


jooj hej;

nooo...
ale odpovede stale nieto heeeej?

mi nevravte, ze vy vsetci megaoperatori mate na branach len more linuxovych masin a ziadne cacane boxy
 
 View user's profile Send private message ICQ Number 
Reply with quote Back to top
pixall
Post subject: RE: Cisco na FW  PostPosted: 28.07.2010 - 20:09 #83936
Majster


Joined: Okt 21, 2003
Posts: 4247
kubiik wrote: ›mi nevravte, ze vy vsetci megaoperatori mate na branach len more linuxovych masin a ziadne cacane boxy


hm Wink konkretne my mame na sieti viacero linuxovych masin (toho casu nieco medzi 15-20) ktore robia autorizaciu/NAT/shaping pre jednotlive oblasti siete, a traffic z tychto masin sa potom zlieva do backbone ktora je postavena na cisco L3 switchoch (uz bez NATka). technicky nie je potrebne aby NATko pre celu siet robil jeden stroj, naopak, cim vacsi traffic, tym horsie (narocnost conntracku na vypoctovy vykon s pribudajucim poctom spojeni rastie exponencialne). NATko sa na nasich boxoch robi iba pre spojenia smerovane do internetu, takze komunikacia v ramci nasej siete je vzdy bez NATka, napriek tomu ze prechadza NAT boxom. a v pripade vypadku jedneho NAT boxu sa prehodenim prislusnych VLAN na iny box da jeho funkcnost nahradit inym, ale s tym vas nejdem zatazovat. Wink
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
kiwi
Post subject: RE: Cisco na FW  PostPosted: 28.07.2010 - 22:30 #83937
Guru


Joined: Jan 30, 2003
Posts: 1572
na inspiraciu: mame trochu viac userov ako pixall a nemame n x (15-20) linuxov (akoze 60-80 a pod Smile )

kupili sme si ostre ips (8000)

v principe je zapojenie user--tigerswitch--cisco--svet, tzn. nepotrebujem natko, nepotrebujem nejaku obskurnu kravinu ktora aj tak nebude zvladat nieco, s cim tvorca nepocital, lebo nikto na svete okrem vyrobcov mikrotiku neobsluhuje tak podivneho providera, co ma radovo stovky userov, rozbitu hybridnu siet, opticko-metalicko-5ghzicko-2.4kicko neviem aku

mame dve serverovne, v kazdej mame dve cisca, ktore su dvomi vlaknami pripojene do energotelu, bezi tam bgp, takze sa to backupuje, na ciscach bezi hsrp, tzn. si pohadzuju gw ipecku keby jedno klaklo

netvrdim ze toto sa hodi kazdemu, ale predtym ako si kupite idiotinu v jednom kuse, ku ktorej neexistuju skusenosti inych providerov, si to rozmyslite ci sa to neda cele prekopat inak
 
 View user's profile Send private message Send e-mail Visit poster's website ICQ Number 
Reply with quote Back to top
BaBo
Post subject: RE: Cisco na FW  PostPosted: 29.07.2010 - 11:24 #83938
Basic


Joined: Júl 26, 2010
Posts: 2
mne sa to hodi, ale kto mi zriesi 4 cecka ? (sam to asi nezvladnem)
 
 View user's profile Send private message  
Reply with quote Back to top
eXplorer
Post subject: RE: Cisco na FW  PostPosted: 29.07.2010 - 11:24 #83939
Majster


Joined: Feb 25, 2003
Posts: 2606
Location: BA,BB
Quote: › predtym ako si kupite idiotinu v jednom kuse, ku ktorej neexistuju skusenosti inych providerov, si to rozmyslite


ake proste - cisco "is the best" a vsetko ostatne je idiotina Laughing, marketing cicka funguje ozaj "na jednicku s hviezdickou" Very Happy Inac na Slovensku Fortinet pouziva napriklad Orange a Tcom a tych ich "zopar" zakaznikov to zvlada ...

kubiik: mail som dostal, ozvem sa
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
421
Post subject: RE: Cisco na FW  PostPosted: 29.07.2010 - 12:49 #83940
Majster


Joined: Jún 12, 2005
Posts: 2739
Location: zilina
explorer ono to vie hierarchicky shaping alebo linearny? ale inak kiwi napisal kus pravdy Smile
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
pixall
Post subject: RE: Cisco na FW  PostPosted: 30.07.2010 - 20:00 #83953
Majster


Joined: Okt 21, 2003
Posts: 4247
kiwi wrote: ›na inspiraciu: mame trochu viac userov ako pixall a nemame n x (15-20) linuxov (akoze 60-80 a pod Smile )

kupili sme si ostre ips (8000)

v principe je zapojenie user--tigerswitch--cisco--svet, tzn. nepotrebujem natko, nepotrebujem nejaku obskurnu kravinu ktora aj tak nebude zvladat nieco, s cim tvorca nepocital, lebo nikto na svete okrem vyrobcov


kiwi mozes sa sice smiat nad tym aki sme kokoti ked to robime takto ale nezabudaj ze nie kazdy ma tvoju siet. tvoje riesenie moze byt OK na 4000 klientov na jednej velikej sidliskovej LANke s N-krat gigabit backbonom, v tom sa absolutne nehadam a myslim ze si to spravil dobre. skus sa teraz ale zamysliet ako by si svoje riesenie nasadil na 4000 klientov rozlezenych v 150 dedinach na 400 APckach. dve cisca, desiatky tigerswitchov a 8000 verejnych IPciek ti v takomto pripade bude platne tolko co na sahare skateboard. uz v momente ked napchas kazdemu wifi klientovi verejnu IPcku, tak sa s nimi rozluc. par tisic pps polozi kazde APcko, a to ti na verejnu IPcku posle ktokolvek z internetu. tudy cesta nevede.

ked hovorim ze mame 15-20 linuxovych boxov (NASiek) tak to ma svoj dovod, z casti technicky, z casti geograficky, z casti historicky. nepovedal som ze na svoju siet by si ich potreboval 60-80, to bol tvoj vyrok, ja si to vobec nemyslim. z mojich 15-20 nat boxov su 4 PCcka na urovni okolo 1-2 GHz, a 10-15 je embedded (routerstation, compex WP188), z tych obsluhuje kazde NASko len par jednotiek az desiatok userov a ide o to iste zariadenie, ktore zaroven sluzi tym userom ako APcko.

svojim predoslym prispevkom som chcel povedat predovsetkym to, ze nie je podla mna vhodne stavat jeden brutalne silny a drahy NAT box a kupit si k nemu este jeden pre istotu, ale ze sa da to iste riesit aj viacerymi malymi NAT boxami, pre kazdu lokalitu, a az prenatovany traffic zlievat dokopy do jednej hrubej rury a potom ho posuvat dalej uz bez potreby NATovania. len na nasej sietke by jeden velky NAT box musel spravit v horsom pripade miliardu porovnani za sekundu len kvoli NATku (10tisic paketov proti 100tisic conntrack polozkam), a to este paket nesiel cez shaping, firewall, atd. ked sa rovnaky pocet paketov rozdeli medzi 10 NAT boxov, jeden box bude porovnavat v priemere 1000 paketov proti 10tisic conntrack polozkam za sekundu, co je 100x menej, a ked takych boxov bude 10, stale je to 10x menej, nez keby to robil jediny stroj, pritom ide o rovnaky traffic. s pribudajucim trafficom rastu pri NATku naroky na vykon exponencialne, preto nie je efektivne kupovat jeden silny stroj, radsej viac slabsich. to bola pointa.

anyway, na tvojom rieseni user-tigerswitch-... by ma zaujimalo ako uzivatela overujes (AAA) ?
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
kubiik
Post subject: RE: Cisco na FW  PostPosted: 06.08.2010 - 19:33 #84029
Guru


Joined: Jan 24, 2004
Posts: 1685
no zacal som studovat zasa co pouzijem ako inet GW ale ako tak pozeram ten fortigate v deme chyba mi tu nejaky ten up/down shaping a co ja viem ze by sa v tom web menu dalo nejak prehladne orientovat a nastavovat perip shaping....
 
 View user's profile Send private message ICQ Number 
Reply with quote Back to top
421
Post subject: RE: Cisco na FW  PostPosted: 06.08.2010 - 20:26 #84030
Majster


Joined: Jún 12, 2005
Posts: 2739
Location: zilina
ja si davam pozor na vsetko co ma webrozhranie a klikacie okienka aj ked to bezi na distribucii linuxu.....
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
kubiik
Post subject: RE: Cisco na FW  PostPosted: 07.08.2010 - 07:24 #84033
Guru


Joined: Jan 24, 2004
Posts: 1685
421 wrote: ›ja si davam pozor na vsetko co ma webrozhranie a klikacie okienka aj ked to bezi na distribucii linuxu.....

drviva vacsina zariadeni ma web rozhranie, ktore ma viacmenej funkcionalitu, ktoru ponuka CLI...
 
 View user's profile Send private message ICQ Number 
Reply with quote Back to top
eXplorer
Post subject: RE: Cisco na FW  PostPosted: 07.08.2010 - 13:00 #84036
Majster


Joined: Feb 25, 2003
Posts: 2606
Location: BA,BB
kubiik wrote: ›no zacal som studovat zasa co pouzijem ako inet GW ale ako tak pozeram ten fortigate v deme chyba mi tu nejaky ten up/down shaping a co ja viem ze by sa v tom web menu dalo nejak prehladne orientovat a nastavovat perip shaping....


Ak chces nastavit PER IP shaping bez toho aby si pre kazdu IP musel napisat pravidlo tak postupuj takto:
1.) Firewall --> Traffic Shaper --> Per IP --> klikni na "Create New", vypln formular (rychlost, pocet paralel sessions) a OK
2.) Firewall --> Policy --> Policy --> zvol si pravidlo na ktore to chces aplikovat, klikni na Edit (alebo vytvor nove), zaskrni "Per IP Shaping" a zvol si profil ktory si vytvoril v bode 1
3.) pre kazdu IP vramci daneho pravidla bude aplikovany rovnaky profil, ale pre kazdu IP zvlast a netreba pre kazdu IP pisat pravidlo
Prehladne je to dost akurat v tom deme na webe chyba strasne vela moznosti, je to nastavene tak aby to nikto nedokazal zhodit tym ze tam nastavi nejake somariny.

Ak chces klasicky shaping tak je postup podobny akurat si zvolis klasicky shaper - v menu oznaceny ako shared a tento rovnakym sposobom aplikujes na pravidlo vo firewall policy. Potom sa dany profil bude aplikovat na vsetky IP priechodzie cez dane pravidlo spolu. Mozes zaroven shapovat oba smery pomocou jedneho pravidla (staci zaskrtnut reverse shapeing). Tento shaping ale nie je hierarchicky.

Dalsim typom shapingu je aplikacny shaping - tento sa nastavuje ako kombinacia shared shapera a application control listu. Shapovanie potom prebieha "per aplikacia" (napr cela skupina P2P, konkretna P2P aplikacia napr bittorent atd).

Fortinet ma celu dokumentaciu dostupnu zadarmo na interente - prirucka k FortiOSu je tu: http://docs.fortinet.com/fgt/handbook/f ... 40-mr2.pdf Je tam mozne najst podrobne info co a ako sa da nastavit, konkretne traffic shaping riesi kapitola 14 na strane 1693 a su tam aj priklady.

Inac ak niekto chce vyslovene iba shaper tak idealne riesenie je shaper od Procera http://www.proceranetworks.com/

PS: na ten mail od teba som nejak zabudol, ale uz som ti odpisal Smile
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
Anton
Post subject: RE: Cisco na FW  PostPosted: 02.09.2010 - 10:37 #84532
Basic


Joined: Okt 31, 2005
Posts: 356
neviem kam stym a zakladat dalsie vlakno je blbost Smile

mam na vymenu WIC 4ESW modul za HWIC 4ESW kedze ta WIC mi nejde v 1800 Sad

dik
 
 View user's profile Send private message Visit poster's website ICQ Number 
Reply with quote Back to top
Display posts from previous:     
All times are GMT
Post new topic Reply to topic
View previous topic Printable version Log in to check your private messages View next topic
Page 6 of 6 < 123456
Jump to:  

SKFREE Forum Index » Technika » Hardware
Powered by PNphpBB2 © 2003-2005 The PNphpBB Group
Credits

(C) SKFree 2002-2010: Powered by POSTNUKE. Môžete prebera? naše správy vo formáte XML(RSS)