sirmax Posted December 22, 2005 Posted December 22, 2005 Я думаю, мнгоие пользуются nortel-овскими коммутаторами. Однако, после catalyst настройка их ине кажется слегка запутанной. Думаю, стоит создать тему для обмена "кускам конфигов", примерами, проблемами по аналогии с соответствующей теиой по cаtalyst. Может, и NAG чем поможет. Думаю, многим были б инерересны "типовые задачи" и их решения. Вставить ник Quote
Nailer Posted December 22, 2005 Posted December 22, 2005 Я думаю, мнгоие пользуются nortel-овскими коммутаторами.Однако, после catalyst настройка их ине кажется слегка запутанной. Думаю, стоит создать тему для обмена "кускам конфигов", примерами, проблемами по аналогии с соответствующей теиой по cаtalyst. Может, и NAG чем поможет. Думаю, многим были б инерересны "типовые задачи" и их решения. Задачи пишите, поможем, чем сможем.. Вообще настройки - это гиблое место Нортеля. Вставить ник Quote
repa Posted December 23, 2005 Posted December 23, 2005 Задачи пишите, поможем, чем сможем.. Вообще настройки - это гиблое место Нортеля. Каждый кулик хвалит свое болото. Иногда косвено... :о) Вставить ник Quote
sirmax Posted December 23, 2005 Author Posted December 23, 2005 Nailer, Хотелось бы 1 . Разобраться с настройкой port-security. Лучше всего ссылку на толковую доку. Возможно прикрутить это дело к биллингу? snmp? 2. Настройка приоритезации траффика. Тут вообще темный лес :-( 3. "прочие фичи" Если есть ссылки на доки - очень горяче приветствуются. Вставить ник Quote
Nailer Posted December 23, 2005 Posted December 23, 2005 Задачи пишите, поможем, чем сможем.. Вообще настройки - это гиблое место Нортеля. Каждый кулик хвалит свое болото. Иногда косвено... :о) У меня болото большое, на нем и Нортель живет ;-) Вставить ник Quote
repa Posted December 23, 2005 Posted December 23, 2005 Задачи пишите, поможем, чем сможем.. Вообще настройки - это гиблое место Нортеля. Каждый кулик хвалит свое болото. Иногда косвено... :о) У меня болото большое, на нем и Нортель живет ;-) Ладно. Уболтал... :о) Я же нахожу Nortel-овские коммутаторы несложными в управлении. Тут вот ребята, не могу сказать что с большим опытом, за три месяца "ковыряния по необходимости" в Passport 8600 дошли до написания фильтров. Смотрю их настроики и вижу что писали фильтры с понимаем чего хотят и как это сделать. Вставить ник Quote
Nailer Posted December 23, 2005 Posted December 23, 2005 Задачи пишите, поможем, чем сможем.. Вообще настройки - это гиблое место Нортеля. Каждый кулик хвалит свое болото. Иногда косвено... :о) У меня болото большое, на нем и Нортель живет ;-) Ладно. Уболтал... :о) Я же нахожу Nortel-овские коммутаторы несложными в управлении. Тут вот ребята, не могу сказать что с большим опытом, за три месяца "ковыряния по необходимости" в Passport 8600 дошли до написания фильтров. Смотрю их настроики и вижу что писали фильтры с понимаем чего хотят и как это сделать. "В понимании" и в "управлении" - разные вещи. Я за неделю с мануалом разобрался с 5500 серией. Но не могу сказать, что мне нравятся настройки QoS. Линковка объектов через номера - совсем неудобно, на мой взгляд. Да и структура настройки кажется совершенно нелогичной до тех пор, пока в голове не уложится структура работы асиков. Кстати, по этой теме у Нортеля информации еще меньше, чем у циски. 8600-й - неплохой коммутатор, мне только упорно непонятно его применение. В ентерпрайз - у него файрволла нормального нету, IDS/IPS нету, в провайдера - нету MPLS, IP FIX только обещают сделать.. Вставить ник Quote
repa Posted December 26, 2005 Posted December 26, 2005 "В понимании" и в "управлении" - разные вещи. В понимании того как оборудование работает документация от Nortel многое объясняет, но у кошкарей она действительно "разжеванная" и доходит бысро. Я за неделю с мануалом разобрался с 5500 серией. Но не могу сказать, что мне нравятся настройки QoS. Линковка объектов через номера - совсем неудобно, на мой взгляд. Это от того, что в DM пока не сделали выпадающий список в строках которого кроме номера еще и название. Да и структура настройки кажется совершенно нелогичной до тех пор, пока в голове не уложится структура работы асиков. Кстати, по этой теме у Нортеля информации еще меньше, чем у циски. Выше я уже писал. Соглашаюсь. 8600-й - неплохой коммутатор, мне только упорно непонятно его применение. В ентерпрайз - у него файрволла нормального нету, IDS/IPS нету, в провайдера - нету MPLS, IP FIX только обещают сделать.. 1. Файрвол есть, но производительность его не преывашает 1Гбит/с. Модуль "8660 Service Delivery Module with Four Firewall iSD modules" с интегрированным чекпоинтовским фаерволом. 2. IDS коментировать не могу. Нет у меня наработок в этом направлении. 3. Для провайдеров есть Metro Ethernet. У Голден Телеком применяется данные девайсы. И очень даже операторский сервис с их помощью предосталяют. 4. IPFIX да, обещают. Добавлю еже пятый пункты. 5. Есть модуль "WSM 4-port 1000BASE-SX Gigabit or 10BASE-T/100BASE-TX Ethernet Layer 4-7 Web Switching Module". Данное решение позволяет компаниям имеющим порталы аналогичным Google, eBay получать хорошее решение своих задач. P.S. Мне неизвестно применяют ли Google и eBay решения от Nortel. Порталы этих компаний были приведены как в качестве примеров. Вставить ник Quote
Nailer Posted December 26, 2005 Posted December 26, 2005 "В понимании" и в "управлении" - разные вещи. В понимании того как оборудование работает документация от Nortel многое объясняет, но у кошкарей она действительно "разжеванная" и доходит бысро. Я за неделю с мануалом разобрался с 5500 серией. Но не могу сказать, что мне нравятся настройки QoS. Линковка объектов через номера - совсем неудобно, на мой взгляд. Это от того, что в DM пока не сделали выпадающий список в строках которого кроме номера еще и название. Я обычно CLI-ем настраиваю, привычнее. Было бы удобнее, если бы везде сделали линковку по номерам везде, местами требуем введения имени объекта. Да и синтаксис тот еще. 1. Файрвол есть, но производительность его не преывашает 1Гбит/с. Модуль "8660 Service Delivery Module with Four Firewall iSD modules" с интегрированным чекпоинтовским фаерволом. Мне в разговоре товарищ из нортеля после долгого насилования признался, что SDM вытягивает 300 мегабит. Признание далось ему тяжело ;-) В общем-то, файрволл на 300Мбит - это практически то же самое, что его и нету.. 2. IDS коментировать не могу. Нет у меня наработок в этом направлении.3. Для провайдеров есть Metro Ethernet. У Голден Телеком применяется данные девайсы. И очень даже операторский сервис с их помощью предосталяют. Это который Nortel Proprietary? Вещь в себе, хотя, говорят неплохая. Хотя и недешевая. 4. IPFIX да, обещают. Добавлю еже пятый пункты. 5. Есть модуль "WSM 4-port 1000BASE-SX Gigabit or 10BASE-T/100BASE-TX Ethernet Layer 4-7 Web Switching Module". Данное решение позволяет компаниям имеющим порталы аналогичным Google, eBay получать хорошее решение своих задач. P.S. Мне неизвестно применяют ли Google и eBay решения от Nortel. Порталы этих компаний были приведены как в качестве примеров. Вставить ник Quote
Прохожий Posted December 26, 2005 Posted December 26, 2005 <OFFTOPIC> Nailer, Я бы еще добавил, что у 8600 паспорта нет интегрированного VoIP, что является убийственным недостатком. А у Cat6xxx есть и такой изврат... Дело в том, что 8600 и не задумывался никогда как "все в одном" - как это любит делать Cisco, чтобы потом продавать встраиваемый файрвол по цене трех внешних не хуже. Nortel никогда такой идеологии не придерживался, более того, если Cisco старается все рутить где только возможно, вплоть до воркгруп-свичей, Nortel наоборот старается избегать маршрутизации, максимально упрощая структуру сети и минимизируя геморы. Реально - и у PP8600 и у Cat6500 интегрированные секьюрити-фичи - это, извините, совершенно другие продукты в исполнении "на плате" с прямым интерфейсом на свич-фабрику, и при этом их производительность несопоставима с емкостью коммутации. На скорости фабрики и там и там файрволы умрут, жить будут только фильтры, причем у Cisco фильтры будут увеличивать задержки. Как магистральный коммутатор, цель которого - с минимальным задержками обесчпечить L2 и L3/IP коммутацию - тут PP8600 вне конкуренции просто потому, что задержки в нем действительно минимальные, при этом L2=L3 и не растут ни с трафиком, ни со сложностью обработки, то есть не надо думать: а не process ли там свитчинг при активации такой-то фичи? А какой CEF надо поставить, чтобы тянул? До тех пор, пока в 8600 не начинают пихать "идеологически чуждые" файрволы и лоад-балансеры - то wire-speed на порту без вопросов и вне зависимости от погоды. Своих денег он стоит однозначно. А делать весь мыслимый и немыслимый сервис на одной коробке - это, конечно, в Cisco... </OFFTOPIC> Вставить ник Quote
Nailer Posted December 26, 2005 Posted December 26, 2005 <OFFTOPIC>Nailer, Я бы еще добавил, что у 8600 паспорта нет интегрированного VoIP, что является убийственным недостатком. А у Cat6xxx есть и такой изврат... Дело в том, что 8600 и не задумывался никогда как "все в одном" - как это любит делать Cisco, чтобы потом продавать встраиваемый файрвол по цене трех внешних не хуже. Nortel никогда такой идеологии не придерживался, более того, если Cisco старается все рутить где только возможно, вплоть до воркгруп-свичей, Nortel наоборот старается избегать маршрутизации, максимально упрощая структуру сети и минимизируя геморы. Реально - и у PP8600 и у Cat6500 интегрированные секьюрити-фичи - это, извините, совершенно другие продукты в исполнении "на плате" с прямым интерфейсом на свич-фабрику, и при этом их производительность несопоставима с емкостью коммутации. На скорости фабрики и там и там файрволы умрут, жить будут только фильтры, причем у Cisco фильтры будут увеличивать задержки. Как магистральный коммутатор, цель которого - с минимальным задержками обесчпечить L2 и L3/IP коммутацию - тут PP8600 вне конкуренции просто потому, что задержки в нем действительно минимальные, при этом L2=L3 и не растут ни с трафиком, ни со сложностью обработки, то есть не надо думать: а не process ли там свитчинг при активации такой-то фичи? А какой CEF надо поставить, чтобы тянул? До тех пор, пока в 8600 не начинают пихать "идеологически чуждые" файрволы и лоад-балансеры - то wire-speed на порту без вопросов и вне зависимости от погоды. Своих денег он стоит однозначно. А делать весь мыслимый и немыслимый сервис на одной коробке - это, конечно, в Cisco... </OFFTOPIC> Опять же - deployment непонятен. В энетрепрайз - без файрволла - не пойдет. В SP - без MPLS-а и считалки траффика - не пойдет.. ЗЫ. Не растет у шеститонника/семитонника ничего, у него свитчинг аппратный. Знакомый прием Пети Митрофанова - сравнивать 8600 с 7200 циской ;-) Это не вы, кстати? :-))) Слог похож.. :-) Вставить ник Quote
Nag Posted December 26, 2005 Posted December 26, 2005 Да-да... Хорошее чтиво на ночь для новичков (см. название темы). ;-))) Вставить ник Quote
repa Posted December 26, 2005 Posted December 26, 2005 Опять же - deployment непонятен. В энетрепрайз - без файрволла - не пойдет. В SP - без MPLS-а и считалки траффика - не пойдет.. ЗЫ. Не растет у шеститонника/семитонника ничего, у него свитчинг аппратный. Знакомый прием Пети Митрофанова - сравнивать 8600 с 7200 циской ;-) Это не вы, кстати? :-))) Слог похож.. :-) Хочу спросить, а какие девайсы позволяют сделать statefull firewall с очень хорошей производительностью? Ну так порятка 5 Гбит/с при размере пакета 1500 байт. А при зармере пакета 64 байта? Для MPLS сетей Nortel продвигает другие решения. На память не скажу, а искать инфу сейчас большого желания нет. Вставить ник Quote
Прохожий Posted December 26, 2005 Posted December 26, 2005 Nailer, Не, у меня другая фамилия, хотя и с Митрофановым знаком давно (кто же не знает старика Крупского! :-) Попробуем в другой манере :-) В ентерпрайз без файрвола идет со свистом. Потому что рутить и файрволить все и вся - это бред. Сходите, что ли, к сетевекам NYSE, они, болезные, все мучаются без встроенных файрволов. А еще проще - поставьте PPP8600+BS470+Policy Server и 90% того, для чего Вам нужен файрвол Вы сделаете за 10% его стоимости, включая подавление вирусных эпидемий и прочие вкусности, все на wirespeed. И не надо лохматить бабушку и выдумывать требования, не имеющие под собою никаких реальных оснований. С65 реально хорош только с 720 супом и специально под него точеными модулями. А это нехилого бабла стоит. Сравнивая в одной ценовой категории (более старые супы и модули), по 65 каталисту топчутся все, кому не лень, это правда. А тесты, в которых C65 всех делает - так там просто, извините, разница в стоимости в два раза... Учите матчасть, коллега. С MPLS та же фигня, Cisco хочет чуть ли не до клиента тащить MPLS и все везде рутить и фильтровать, ибо ничего больше не умеет, точнее, не хочет уметь. Ведь если имеешь такую возможность - надо гнуть рынок на игру на своем поле. Что, к несчастью, удается. У Нортеля идеология другая, делать внутри города OE/L2 - в коре быстрые L2 свичи, MAC-IN-MAC на едже, поскольку дешево до безобразия, надежно, просто и функционально. Себестоимость услуги в части городского транспорта на порядок ниже. 250 баксов/порт 10/100 при гигабитных акцесс-кольцах и многогигабитных полосах между основными узлами - хочешь пучками 1G, хочешь - каналами 10G. Это в листе, надо объяснять, почем реально? MPLS сдвинуть на магистраль, ибо в городе она нафиг не нужна при таком раскладе. Интересно, что будет делать Cisco, когда примут стандарт IEEE 802.1ah provider backbone bridges (PBB), который как раз базируется на OE/L2? Опять будет как с АТМ - типа, технология отстой, потому что хочется продавать маршрутизаторы, значит MPLS форева? Nag, Извини... Вот такие мы гады! Нет что бы обсудить что-то жизненное, все норовим в высокие материи уйти... Вставить ник Quote
Nag Posted December 26, 2005 Posted December 26, 2005 Прохожий, не, читаю-то с интересом... ;-) РР8600, говороишь... Хм. Вставить ник Quote
Прохожий Posted December 26, 2005 Posted December 26, 2005 Прохожий, не, читаю-то с интересом... ;-) РР8600, говороишь... Хм. Этой технологией хорошо город накрывать. И использовать как опорную для частников, расшивая дальше дешевыми домовыми свичами и терминируя сервис поближе к ним, мелкими группами по 5-10 тыс юзверей :-)))). Из минусов - ограниченная возможность "постепенного" развития. Надо сразу продавать корпоративщикам l2VPN по городу флэтом от мегабита и цепляться к магистральщику, продавать ему последнюю милю. То есть от 200К только по железу без стекла в принципе. Вставить ник Quote
Nailer Posted December 26, 2005 Posted December 26, 2005 Nailer, Не, у меня другая фамилия, хотя и с Митрофановым знаком давно (кто же не знает старика Крупского! :-) Попробуем в другой манере :-) В ентерпрайз без файрвола идет со свистом. Потому что рутить и файрволить все и вся - это бред. Сходите, что ли, к сетевекам NYSE, они, болезные, все мучаются без встроенных файрволов. А еще проще - поставьте PPP8600+BS470+Policy Server и 90% того, для чего Вам нужен файрвол Вы сделаете за 10% его стоимости, включая подавление вирусных эпидемий и прочие вкусности, все на wirespeed. И не надо лохматить бабушку и выдумывать требования, не имеющие под собою никаких реальных оснований. Ну опять :-) Файрволл нужен совсем не для прогонки через него вирусованного межюзерского траффика, а для прикрытия server farm. Учите дизайн, коллега ;-P А возможности фильтрации у той же 5500 серии свитчей гораздо беднее, чем у 3750 циски. Что у 470-ой и BPS, то подумать страшно. Однако на 5500 серии до сих пор нету COPS-а, в результате - все ручками, ручками, про OPS забыли :-) Насчет требований - ну не надо же так, требования не я выдумываю, требования выдумывает кастомер. Если я буду ему объяснять, что его требования ему не нужны - то он уйдет к тому, кто будет делать так, как он хочет. При этом Нортель сам постоянно орет про Security, Security, а Security, если разобраться, совсем немного. С65 реально хорош только с 720 супом и специально под него точеными модулями. А это нехилого бабла стоит. Сравнивая в одной ценовой категории (более старые супы и модули), по 65 каталисту топчутся все, кому не лень, это правда. А тесты, в которых C65 всех делает - так там просто, извините, разница в стоимости в два раза... Учите матчасть, коллега. 6748GE linecard стоит даже дешевле 6516-ой и 6516A, при том, что портов на ней побольшие. С MPLS та же фигня, Cisco хочет чуть ли не до клиента тащить MPLS и все везде рутить и фильтровать, ибо ничего больше не умеет, точнее, не хочет уметь. Ведь если имеешь такую возможность - надо гнуть рынок на игру на своем поле. Что, к несчастью, удается. А что еще ей надо уметь? :-)) На мой взгляд, MPLS - вполне удачная технология, прикрывает почти все требовния, которые есть на данный момент, имеет возможности для развития. Технология стандартная, технология дешевая, технология, поддержанная другими вендорами. И, кроме всего прочего, совместимая с существующим оборудованием. Это, кстати, на мой взгляд, предопределило ее успех. И с чего вы взяли, что циска пытается тащить MPLS на аксесс? И у циски есть свой Metro Ethernet.. У Нортеля идеология другая, делать внутри города OE/L2 - в коре быстрые L2 свичи, MAC-IN-MAC на едже, поскольку дешево до безобразия, надежно, просто и функционально. Себестоимость услуги в части городского транспорта на порядок ниже. 250 баксов/порт 10/100 при гигабитных акцесс-кольцах и многогигабитных полосах между основными узлами - хочешь пучками 1G, хочешь - каналами 10G. Это в листе, надо объяснять, почем реально? MPLS сдвинуть на магистраль, ибо в городе она нафиг не нужна при таком раскладе. Интересно, что будет делать Cisco, когда примут стандарт IEEE 802.1ah provider backbone bridges (PBB), который как раз базируется на OE/L2? Опять будет как с АТМ - типа, технология отстой, потому что хочется продавать маршрутизаторы, значит MPLS форева? Не знаю, цен не смотрел, но по ощущениям Metro от Nortel совсем не дешев. А по идеологии - ну город накрыть - хватит, а больше? Layer2 масштаба страны? Бррр... Nag, Извини... Вот такие мы гады! Нет что бы обсудить что-то жизненное, все норовим в высокие материи уйти... Коллеги, предлагаю перестать точить когти в ожидании клиентов, и рассказать общественности, как же все-таки настраивать фильтрацию на BPS :-) Вставить ник Quote
Прохожий Posted December 26, 2005 Posted December 26, 2005 Nailer, Будем считать, что меня слегка уели :) Ферму файрволом прикрывать можно и НЕ встроенным, особенно если у Вас их несколько, разнесенные кластеры и т.д., что особенно актуально, если учесть что файрвол и рулится-то отдельно... И в шасси вставлен для понта а не потому, что именно там он максимально эффективен. AFAIK, конечно. Кроме того, ответ на вопрос "зачем ее прикрывать с помощью stateful?" для меня, например, не очевиден. От DoS разве что... Про кастомеров, выдумывающих требования... Коллега, кого вы лечите? 98% катомеров, способных скушать технику класса C65 хавают то, что им скормит хороший пресейлер, и мы оба это знаем... Не будем лукавить. На счет дешевизны MPLS - не совсем правда. Не такая уж она дешевая. Дешево можно сделать на чем-то типа 10720 - но это будет полный тормоз. А 76 и 65 серия - весьма недешево. Я уж молчу про MPLS в ME3750... Metro Ethernet от Cisco это добрый старый ентерпрайз + Q-in-Q и ничего больше. В чем там Metro-то? Я же говорил: на дальней связи - MPLS. Без вариантов. L2 в масштабе страны никто не делает, не надо развивать мысль до собственной противоположности. А ждать здесь клиентов - не самое эффективное занятие :) Это только Нагибину дано :) Вставить ник Quote
Nailer Posted December 26, 2005 Posted December 26, 2005 Nailer, Будем считать, что меня слегка уели :) Ферму файрволом прикрывать можно и НЕ встроенным, особенно если у Вас их несколько, разнесенные кластеры и т.д., что особенно актуально, если учесть что файрвол и рулится-то отдельно... И в шасси вставлен для понта а не потому, что именно там он максимально эффективен. AFAIK, конечно. Кроме того, ответ на вопрос "зачем ее прикрывать с помощью stateful?" для меня, например, не очевиден. От DoS разве что... Встроенный в шасси файрволл - по дизайну сети совсем ничего не облегчает, согласен, а вот по реализации - облегчает сильно. Меньше места в стойках, меньше портов, меньше соединений, меньше требования к электропитанию - все питается в одной точке, и т.д. Наличие интерфейса на backplane коммутатора облегчает как развертывание, так и настройку. Про кастомеров, выдумывающих требования... Коллега, кого вы лечите? 98% катомеров, способных скушать технику класса C65 хавают то, что им скормит хороший пресейлер, и мы оба это знаем... Не будем лукавить. На счет дешевизны MPLS - не совсем правда. Не такая уж она дешевая. Дешево можно сделать на чем-то типа 10720 - но это будет полный тормоз. А 76 и 65 серия - весьма недешево. Я уж молчу про MPLS в ME3750... Ну так если надо быстро - то будет дорого, если нужен функционал MPLS и ширина в мегабит - 2600XM, велкам :-) Metro Ethernet от Cisco это добрый старый ентерпрайз + Q-in-Q и ничего больше. В чем там Metro-то? Я же говорил: на дальней связи - MPLS. Без вариантов. L2 в масштабе страны никто не делает, не надо развивать мысль до собственной противоположности. А ждать здесь клиентов - не самое эффективное занятие :) Это только Нагибину дано :) А тут их никто и не ждет, тут тренируются :-) Вставить ник Quote
Прохожий Posted December 26, 2005 Posted December 26, 2005 Ну наверное да, пусть будет на плате, в конце концов деньги не главное, за отсутствие трех-пяти лишних патч-кордов не грех и переплатить в двое :) если нужен функционал MPLS и ширина в мегабит - 2600XM, велкам :-) Ну и нафига? Именно о том и речь, MPLS over Nx64 при N стремящемся к нулю :) ИМХО бред. И вовсе это будет не дешево, если, конечно, софт соответствующий покупать, а не воровать. Кстати, 2600 - EOL, если мне память не изменяет... Так что там с Cisco Metro Ethernet? Давайте уж дальше потренируемся :) Там таки что-то еще кроме Q-in-Q наклюнулось? Или это таки просто обычный ентерпрайз, который быненько толкается под модным флагом? И без MPLS ни-фи-га вкусного не будет... Вставить ник Quote
GreeNGO Posted December 27, 2005 Posted December 27, 2005 Позволю себе пару комментов, посколько немного в теме. Во первых, решение по городскому кольцу ME на Nortel OESS намного более гибче, и уж на порядок дешевле, т.н. Метро от Циско - лично просчитывал пару раз, да и схема с дешевыми коммутаторыми уровня доступа, включенными в порты MESU 18001850 весьма удачно ложится в понятие городской сети. С тов. Прохожим, помниться, мы эту тему обсуждали. При просчете и оценке возможностей - вполне окупаемая операторская сеть, построенная на оборудовании двух брендов (к примеру Nortel + D-Link) При всей мощности маркетинга Циско, ну ни как не укладывается их идеология строительства сетей MAN в понятие ЭКОНОМИЧЕСКИ ОПРАВДАННОЙ. Может в Штатах.. да, окупится. У нас в России... сорри за грубость, сосать, сосать и еще раз сосать в вопросе с окупаемостью сети на Cisco hardware. Если только сильно б.у считать.. ИМХО не есть гуд для оператора. Далее.. по поводу файрволла, прикрывающего серверную ферму. С точки зрения проектировщика: 1. С точки зрения производительности, лучше отдельный аппаратно-программный firewall + IDS 2. Надежнее, чем иметь встроенные в унифицированное устройство (объяснять, думаю не нужно ?) 3. 3-4 юнита в современных 30-42U шкафах не сыграют решающего значения. да и патчкорды, действительно - никого не напрягут. У себя имеем решение по защите DMZ отдельным файрволом-маршрутизатором Nortel Contivity - практически по функционалу известный многим экспертам по защите сетей Check Point. По крайне мере, наш инженер, весьма серьезно разбирающийся в вопросах сетевой безопасности, был от железки в восторге. Да и с производительностью у Конти все в порядке Вставить ник Quote
Nailer Posted December 27, 2005 Posted December 27, 2005 Позволю себе пару комментов, посколько немного в теме. Далее.. по поводу файрволла, прикрывающего серверную ферму. С точки зрения проектировщика: 1. С точки зрения производительности, лучше отдельный аппаратно-программный firewall + IDS Покажите мне отдельный файрволл с производительностью FWSM-а.. 2. Надежнее, чем иметь встроенные в унифицированное устройство (объяснять, думаю не нужно ?) Чем? 3. 3-4 юнита в современных 30-42U шкафах не сыграют решающего значения. да и патчкорды, действительно - никого не напрягут. У себя имеем решение по защите DMZ отдельным файрволом-маршрутизатором Nortel Contivity - практически по функционалу известный многим экспертам по защите сетей Check Point. По крайне мере, наш инженер, весьма серьезно разбирающийся в вопросах сетевой безопасности, был от железки в восторге. Да и с производительностью у Конти все в порядке Бредятина. Настраивал я вчера это, простите, говно - так у него даже OSPF глючный. Что с остальным - вообще х.з. А по сути - писюк с софтом. И ладно бы софт того стоил, так ***, простите, полная. Была мысль отвинтить заглушку, прикрутить монитор и поставить FreeBSD. Насчет производительности специально почитал Nortel-овскую презентацию. 5000-ая контива стоит $50Куе, лопатит при этом гигабита два. FWSM лопатит 5Гбит, стоит $35Куе, при этом стоит внутри каталиста и не занимет места, и, в отличие от контивы, имеет стандартные PIX-овые механизмы network fileover. У контивы - только VRRP, и к тому же без возможности трекинга маршрутов. В результате - только full mesh топология. Коллеги, еще раз предлагаю закончить войнушки и объяснить таки, как настраивать BPS :-) 2 Прохожий - я не особо силен в цискином ME, но у него есть одно преимущество - он делается на свитчах типа 3550 и выше. Вставить ник Quote
Прохожий Posted December 27, 2005 Posted December 27, 2005 Nailer, Коллега, давайте лексику держать в пределах, Ок? Про Cisco ME могу рассказать: нету никакого ME, это маркетинговая легенда. Есть те же ентерпрайз-коробки. На свичах 3550 с Q-in-Q я сам строиил, и ничего, работает нормально, но на их месте с тем же успехом могли быть хоть делинки - мало бы что изменилось. Т.Н. ME3750 - это WS3750, которому скоренько приварили нетворк процессор на шину и сделали два дополнительных гигабитных аплинка через этот процессор, то есть все вещи типа иерархического полиси - только на этих портах. В остальном - просто 3750. Да, к нему есь еще лицензия MPLS :) Но это Customer Edge, не более, а некоторые продавцы, прости Господи, рисуют кольца из ME3750 и потом поют соловьем про MPLS, забывая, что это вовсе даже не LSR. Лицензия на софт, которые может MPLS - 12K GPL, да плюс к тому еще 7К сам девайс... Best buy on the market, yea... Вот ME2400 и ME3400 - уже более интересны, но я пока не видел на них цен... И опять же - хороший форм-фактор, но если разобраться - Q-in-Q и куча подпорок, хотя на этот раз гораздо более качественно выполненных :) А настраивать BPS - это скучно :) Вставить ник Quote
Nailer Posted December 27, 2005 Posted December 27, 2005 Т.Н. ME3750 - это WS3750, которому скоренько приварили нетворк процессор на шину и сделали два дополнительных гигабитных аплинка через этот процессор, то есть все вещи типа иерархического полиси - только на этих портах. В остальном - просто 3750. Да, к нему есь еще лицензия MPLS :) Но это Customer Edge, не более, а некоторые продавцы, прости Господи, рисуют кольца из ME3750 и потом поют соловьем про MPLS, забывая, что это вовсе даже не LSR. Лицензия на софт, которые может MPLS - 12K GPL, да плюс к тому еще 7К сам девайс... Best buy on the market, yea... 3750ME - это массовая агрегация EoMPLS, как раз таки место его, ИМХО, на стыке Metro Ethernet и MPLS. Ставить шеститонник для терминации 24 EoMPLS-каналов - дороже будет раза в два, как минимум. Железка имеет свою нишу, и не надо ее пытаться пихать в другие :-) А настраивать BPS - это скучно :) Далеки вы от народа, Коллега ;-) Вставить ник Quote
Прохожий Posted December 27, 2005 Posted December 27, 2005 Nailer, Ну так что же это такое - легендарный Metro Ethernet от Cisco? Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.