Перейти к содержимому
Калькуляторы

Режем дестанейшн IP на L3. Cisco C3750G-24TS

1. Есть Cisco C3750G-24TS, потянет резать около 3000 дейстанейшн IP (фильтр Роскомнадзора)?

2. Если Да. Кто находил варианты заливки списка IP в ACL на PHP.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1. Есть Cisco C3750G-24TS, потянет резать около 3000 дейстанейшн IP (фильтр Роскомнадзора)?

2. Если Да. Кто находил варианты заливки списка IP в ACL на PHP.

Может чуть не по теме, но мы делали так:

Там, где выгружаем списки, поднимаем quagga и Bgp, с помощью perl-скрипта генерируем конфиг для квагги и рестартим ее. На 3750 делаем статически маршрут ip route 192.168.0.1 255.255.255.255 null 0, поднимаем пириннг с кваггой, на которой с помощью роутмапа next-hop ставим 192.168.0.1. Если есть интерес поделюсь наработкой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот чесслово, уже таких решений, если нет железного dpi, используй софтовый. Зеркалируй трафик на DPI, а она в свою очередь tcp rst посылать будет. Сначала софт мутили сами, по скачиваю реестра и заполнения acl маршрутизатора. Сначала по IP, потом начал рулить по url.. Пока в один момент роутер колом не стал.

В итоге забросили все и перешли на стороннее решение с зеркалированием и копеечными ежемесячными платежами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Может чуть не по теме, но мы делали так:

Там, где выгружаем списки, поднимаем quagga и Bgp, с помощью perl-скрипта генерируем конфиг для квагги и рестартим ее. На 3750 делаем статически маршрут ip route 192.168.0.1 255.255.255.255 null 0, поднимаем пириннг с кваггой, на которой с помощью роутмапа next-hop ставим 192.168.0.1. Если есть интерес поделюсь наработкой.

 

Используем примерно такую же схему для блокировки по IP. Но генерить конфиг квагге не надо. Гораздо проще обращаться с ней по телент и менять конфиг штатными командами, это исключает необходимость ее перезапуска. Как бонус клиенты имеют редирект на страницу с предупреждением о блокировке, а не сидят и ждут таймаута как в случае с acl.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот чесслово, уже таких решений, если нет железного dpi, используй софтовый. Зеркалируй трафик на DPI, а она в свою очередь tcp rst посылать будет. Сначала софт мутили сами, по скачиваю реестра и заполнения acl маршрутизатора. Сначала по IP, потом начал рулить по url.. Пока в один момент роутер колом не стал.

В итоге забросили все и перешли на стороннее решение с зеркалированием и копеечными ежемесячными платежами.

 

Легко тратить чужие деньги :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Может чуть не по теме, но мы делали так:

Там, где выгружаем списки, поднимаем quagga и Bgp, с помощью perl-скрипта генерируем конфиг для квагги и рестартим ее. На 3750 делаем статически маршрут ip route 192.168.0.1 255.255.255.255 null 0, поднимаем пириннг с кваггой, на которой с помощью роутмапа next-hop ставим 192.168.0.1. Если есть интерес поделюсь наработкой.

 

Используем примерно такую же схему для блокировки по IP. Но генерить конфиг квагге не надо. Гораздо проще обращаться с ней по телент и менять конфиг штатными командами, это исключает необходимость ее перезапуска. Как бонус клиенты имеют редирект на страницу с предупреждением о блокировке, а не сидят и ждут таймаута как в случае с acl.

 

Оу оу оу ))) Парни полегче :) Ладно сузим круг вопросов.

 

Давайте представим что кроме 3750 больше ничего под рукой нет. Вообще нет, вакуум.

 

1. Потянет или нет 3000 записей?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Что там сложного? Возьмите пхп/сш/пегл да проверьте, влезет или нет.

Официально ЕМНИП там всего 1к ACE поддерживается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот чесслово, уже таких решений, если нет железного dpi, используй софтовый. Зеркалируй трафик на DPI, а она в свою очередь tcp rst посылать будет. Сначала софт мутили сами, по скачиваю реестра и заполнения acl маршрутизатора. Сначала по IP, потом начал рулить по url.. Пока в один момент роутер колом не стал.

В итоге забросили все и перешли на стороннее решение с зеркалированием и копеечными ежемесячными платежами.

 

Легко тратить чужие деньги :)

Чужие? Как раз нет ;)

А по поводу DPI - от тысячи рублей в месяц стоит. А разработка своего нам обошлась 60тыс рублей, плюс когда росконадзор поменял формат - отдали еще 7 тыс рублей. В итоге - решили завязаться со сторонним решением.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А по поводу DPI - от тысячи рублей в месяц стоит. А разработка своего нам обошлась 60тыс рублей, плюс когда росконадзор поменял формат - отдали еще 7 тыс рублей. В итоге - решили завязаться со сторонним решением.

 

Это только стоимость разработки :) Дешево вам программисты обходятся. Полную стоимость внедрения приведите. С оборудованием, и стоимость эксплуатации. Мы сейчас в стадии внедрения софтового стороннего dpi, одно железо уже обошлось в >50крублей, сервер плюс сетевая карта, место в стойке, монтаж, порты коммутаторов и прочее..

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А по поводу DPI - от тысячи рублей в месяц стоит. А разработка своего нам обошлась 60тыс рублей, плюс когда росконадзор поменял формат - отдали еще 7 тыс рублей. В итоге - решили завязаться со сторонним решением.

 

Это только стоимость разработки :) Дешево вам программисты обходятся. Полную стоимость внедрения приведите. С оборудованием, и стоимость эксплуатации. Мы сейчас в стадии внедрения софтового стороннего dpi, одно железо уже обошлось в >50крублей, сервер плюс сетевая карта, место в стойке, монтаж, порты коммутаторов и прочее..

Пошёл на склад, нашёл старый HP DL360 g4 с двумя зеонами и 4гб памяти, залил DPI, отзеркалировал порт, подкинул ЭЦП, ввел инн и огрн, указал интерфейс в меню - и закончилось внедрение, правда разрабам подкинул пару идей по алгоритму и интеграции с zabbix. Работает не жужжит, ежемесячный платёж я уже указал, триад 2 недели, суппорт отменный. Так что мне сторонний DPI, обошелся в дреавний сервер и ничего более. А быть всегда привязанным к одному аутсорсеру - не кайф.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А по поводу DPI - от тысячи рублей в месяц стоит. А разработка своего нам обошлась 60тыс рублей, плюс когда росконадзор поменял формат - отдали еще 7 тыс рублей. В итоге - решили завязаться со сторонним решением.

 

Это только стоимость разработки :) Дешево вам программисты обходятся. Полную стоимость внедрения приведите. С оборудованием, и стоимость эксплуатации. Мы сейчас в стадии внедрения софтового стороннего dpi, одно железо уже обошлось в >50крублей, сервер плюс сетевая карта, место в стойке, монтаж, порты коммутаторов и прочее..

Пошёл на склад, нашёл старый HP DL360 g4 с двумя зеонами и 4гб памяти, залил DPI, отзеркалировал порт, подкинул ЭЦП, ввел инн и огрн, указал интерфейс в меню - и закончилось внедрение, правда разрабам подкинул пару идей по алгоритму и интеграции с zabbix. Работает не жужжит, ежемесячный платёж я уже указал, триад 2 недели, суппорт отменный. Так что мне сторонний DPI, обошелся в дреавний сервер и ничего более. А быть всегда привязанным к одному аутсорсеру - не кайф.

 

Будьте тогда столь любезны, киньте в ЛС контакты этого райского DPI ;-)

 

Про зеркало не совсем понлял... как можно что то резать на зеркале, насколько я понимаю только мониторить...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Хех, ну так бы и сказали что карбон :) Ладно попробуем, только вопрос как быстро закончится ограничение SLA1 в 10000 записей :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Хех, ну так бы и сказали что карбон :) Ладно попробуем, только вопрос как быстро закончится ограничение SLA1 в 10000 записей :)

Реклама была бы. Но работает хорошо, сам недоверчиво отнёсся сначала.

По лицензии 750 000 htttp/s пакетов в секунду, это как я понял по твоему варианту

Изменено пользователем SyJet

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.