Jump to content
Калькуляторы

Режем дестанейшн IP на L3. Cisco C3750G-24TS

1. Есть Cisco C3750G-24TS, потянет резать около 3000 дейстанейшн IP (фильтр Роскомнадзора)?

2. Если Да. Кто находил варианты заливки списка IP в ACL на PHP.

Share this post


Link to post
Share on other sites

1. Есть Cisco C3750G-24TS, потянет резать около 3000 дейстанейшн IP (фильтр Роскомнадзора)?

2. Если Да. Кто находил варианты заливки списка IP в ACL на PHP.

Может чуть не по теме, но мы делали так:

Там, где выгружаем списки, поднимаем quagga и Bgp, с помощью perl-скрипта генерируем конфиг для квагги и рестартим ее. На 3750 делаем статически маршрут ip route 192.168.0.1 255.255.255.255 null 0, поднимаем пириннг с кваггой, на которой с помощью роутмапа next-hop ставим 192.168.0.1. Если есть интерес поделюсь наработкой.

Share this post


Link to post
Share on other sites

Вот чесслово, уже таких решений, если нет железного dpi, используй софтовый. Зеркалируй трафик на DPI, а она в свою очередь tcp rst посылать будет. Сначала софт мутили сами, по скачиваю реестра и заполнения acl маршрутизатора. Сначала по IP, потом начал рулить по url.. Пока в один момент роутер колом не стал.

В итоге забросили все и перешли на стороннее решение с зеркалированием и копеечными ежемесячными платежами.

Share this post


Link to post
Share on other sites

Может чуть не по теме, но мы делали так:

Там, где выгружаем списки, поднимаем quagga и Bgp, с помощью perl-скрипта генерируем конфиг для квагги и рестартим ее. На 3750 делаем статически маршрут ip route 192.168.0.1 255.255.255.255 null 0, поднимаем пириннг с кваггой, на которой с помощью роутмапа next-hop ставим 192.168.0.1. Если есть интерес поделюсь наработкой.

 

Используем примерно такую же схему для блокировки по IP. Но генерить конфиг квагге не надо. Гораздо проще обращаться с ней по телент и менять конфиг штатными командами, это исключает необходимость ее перезапуска. Как бонус клиенты имеют редирект на страницу с предупреждением о блокировке, а не сидят и ждут таймаута как в случае с acl.

Share this post


Link to post
Share on other sites

Вот чесслово, уже таких решений, если нет железного dpi, используй софтовый. Зеркалируй трафик на DPI, а она в свою очередь tcp rst посылать будет. Сначала софт мутили сами, по скачиваю реестра и заполнения acl маршрутизатора. Сначала по IP, потом начал рулить по url.. Пока в один момент роутер колом не стал.

В итоге забросили все и перешли на стороннее решение с зеркалированием и копеечными ежемесячными платежами.

 

Легко тратить чужие деньги :)

Share this post


Link to post
Share on other sites

Может чуть не по теме, но мы делали так:

Там, где выгружаем списки, поднимаем quagga и Bgp, с помощью perl-скрипта генерируем конфиг для квагги и рестартим ее. На 3750 делаем статически маршрут ip route 192.168.0.1 255.255.255.255 null 0, поднимаем пириннг с кваггой, на которой с помощью роутмапа next-hop ставим 192.168.0.1. Если есть интерес поделюсь наработкой.

 

Используем примерно такую же схему для блокировки по IP. Но генерить конфиг квагге не надо. Гораздо проще обращаться с ней по телент и менять конфиг штатными командами, это исключает необходимость ее перезапуска. Как бонус клиенты имеют редирект на страницу с предупреждением о блокировке, а не сидят и ждут таймаута как в случае с acl.

 

Оу оу оу ))) Парни полегче :) Ладно сузим круг вопросов.

 

Давайте представим что кроме 3750 больше ничего под рукой нет. Вообще нет, вакуум.

 

1. Потянет или нет 3000 записей?

Share this post


Link to post
Share on other sites

Что там сложного? Возьмите пхп/сш/пегл да проверьте, влезет или нет.

Официально ЕМНИП там всего 1к ACE поддерживается.

Share this post


Link to post
Share on other sites

Вот чесслово, уже таких решений, если нет железного dpi, используй софтовый. Зеркалируй трафик на DPI, а она в свою очередь tcp rst посылать будет. Сначала софт мутили сами, по скачиваю реестра и заполнения acl маршрутизатора. Сначала по IP, потом начал рулить по url.. Пока в один момент роутер колом не стал.

В итоге забросили все и перешли на стороннее решение с зеркалированием и копеечными ежемесячными платежами.

 

Легко тратить чужие деньги :)

Чужие? Как раз нет ;)

А по поводу DPI - от тысячи рублей в месяц стоит. А разработка своего нам обошлась 60тыс рублей, плюс когда росконадзор поменял формат - отдали еще 7 тыс рублей. В итоге - решили завязаться со сторонним решением.

Share this post


Link to post
Share on other sites

А по поводу DPI - от тысячи рублей в месяц стоит. А разработка своего нам обошлась 60тыс рублей, плюс когда росконадзор поменял формат - отдали еще 7 тыс рублей. В итоге - решили завязаться со сторонним решением.

 

Это только стоимость разработки :) Дешево вам программисты обходятся. Полную стоимость внедрения приведите. С оборудованием, и стоимость эксплуатации. Мы сейчас в стадии внедрения софтового стороннего dpi, одно железо уже обошлось в >50крублей, сервер плюс сетевая карта, место в стойке, монтаж, порты коммутаторов и прочее..

Share this post


Link to post
Share on other sites

А по поводу DPI - от тысячи рублей в месяц стоит. А разработка своего нам обошлась 60тыс рублей, плюс когда росконадзор поменял формат - отдали еще 7 тыс рублей. В итоге - решили завязаться со сторонним решением.

 

Это только стоимость разработки :) Дешево вам программисты обходятся. Полную стоимость внедрения приведите. С оборудованием, и стоимость эксплуатации. Мы сейчас в стадии внедрения софтового стороннего dpi, одно железо уже обошлось в >50крублей, сервер плюс сетевая карта, место в стойке, монтаж, порты коммутаторов и прочее..

Пошёл на склад, нашёл старый HP DL360 g4 с двумя зеонами и 4гб памяти, залил DPI, отзеркалировал порт, подкинул ЭЦП, ввел инн и огрн, указал интерфейс в меню - и закончилось внедрение, правда разрабам подкинул пару идей по алгоритму и интеграции с zabbix. Работает не жужжит, ежемесячный платёж я уже указал, триад 2 недели, суппорт отменный. Так что мне сторонний DPI, обошелся в дреавний сервер и ничего более. А быть всегда привязанным к одному аутсорсеру - не кайф.

Share this post


Link to post
Share on other sites

А по поводу DPI - от тысячи рублей в месяц стоит. А разработка своего нам обошлась 60тыс рублей, плюс когда росконадзор поменял формат - отдали еще 7 тыс рублей. В итоге - решили завязаться со сторонним решением.

 

Это только стоимость разработки :) Дешево вам программисты обходятся. Полную стоимость внедрения приведите. С оборудованием, и стоимость эксплуатации. Мы сейчас в стадии внедрения софтового стороннего dpi, одно железо уже обошлось в >50крублей, сервер плюс сетевая карта, место в стойке, монтаж, порты коммутаторов и прочее..

Пошёл на склад, нашёл старый HP DL360 g4 с двумя зеонами и 4гб памяти, залил DPI, отзеркалировал порт, подкинул ЭЦП, ввел инн и огрн, указал интерфейс в меню - и закончилось внедрение, правда разрабам подкинул пару идей по алгоритму и интеграции с zabbix. Работает не жужжит, ежемесячный платёж я уже указал, триад 2 недели, суппорт отменный. Так что мне сторонний DPI, обошелся в дреавний сервер и ничего более. А быть всегда привязанным к одному аутсорсеру - не кайф.

 

Будьте тогда столь любезны, киньте в ЛС контакты этого райского DPI ;-)

 

Про зеркало не совсем понлял... как можно что то резать на зеркале, насколько я понимаю только мониторить...

Share this post


Link to post
Share on other sites

Хех, ну так бы и сказали что карбон :) Ладно попробуем, только вопрос как быстро закончится ограничение SLA1 в 10000 записей :)

Share this post


Link to post
Share on other sites

Хех, ну так бы и сказали что карбон :) Ладно попробуем, только вопрос как быстро закончится ограничение SLA1 в 10000 записей :)

Реклама была бы. Но работает хорошо, сам недоверчиво отнёсся сначала.

По лицензии 750 000 htttp/s пакетов в секунду, это как я понял по твоему варианту

Edited by SyJet

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this