Я за циску впрягаться не намерен. Она лично мне никаких ништяков не обещает :)
К сожалению, Джунипер — мой пробел. Я там выше уже дисклаймерился по этому поводу.
Просьба привести конкурентов — не надменное желание ткнуть носом, а для самообразования.
Ну, кстати к слову: у Хуавея трудно найти хорошее работающее решение. Увы, сдулся Хуавей на данном этапе.
А про то, что надо использовать имеющееся разнообразие по назначению — категорически согласен, к чему и стремлюсь.
Но давайте будем честны: у циски есть хорошие решения. Иногда ТОЛЬКО у неё. И не настолько уж она дорога, как любят расписывать конкуренты. А то больно уж однобоко получается: циска — барахло, а те, кто вложился в неё (95% маршрутизаторов инета, например :)) — лохи :)
Как раз циска очень и очень неплохо работает с другими. Проверено не раз. Наши заказчики — люди… эээ… расчётливые и часто пытаются экономить там, где не надо :)
Сейчас времена не те, чтобы банально делать несовсестимость. Свои протоколы лепить, более удобные, но только для себя — да, этого не отнять. Но никто же не запрещает и другим так сделать :)
Нет. Я всё могу (высокомерное такое, заносчивое утверждение :)).
Если в качестве конца туннеля ставить ОДИН адрес, всё работает. Но заказчик требовал, чтобы при падении одного канала в центре сразу же поднимался резервный и к нему поднималя туннель. ДЛя этого надо в качестве ендпоинта ставить не адрес, а группу адресов. И вот в этом случае со стороны ДЛинка туннель не поднимается.
"… что знает случай, когда существует то или иное решение, которое проще, дешевле, лучше, производительнее, чем решение от Cisco… "(с) процитирую себя, хотя это и дурной тон :)
Приведите мне пож-ста пример НР свитчрутера, который умеет Policy Baced Routing?
Если ЭТО лично Вам не нужно, это не говорит о том, что не нужно никому :)
НР позиционирует свои железяки, как ПРОСТЕНЬКИЕ передатчики пакетов, поэтому ни о каком правильном QoS, маршрутизации и других изысках там речь не идёт.
ЗЫ Есть такая маленькая компания РоверКомпьютерс, которая пользовала НР долго, мирясь с… функционалом и надёжностью… Попробовав циску ВСЕ НР были списаны.
Хочу странного: хочу, чтобы работало КАК НАПИСАНО! Дешевые производители, гонясь за «обёрткой», часто анонсируют фичу, которая в реальности либо не работает вовсе, либо не так, как надо (в RFC, например)
ЗЫ Статья была обещана Кириллу, если честно, до кучик Димкиной статье про АллайдТелесис :) И писалась в самолете в пятницу после выездного курса. Я понимаю, почему все кричат «реклама»… Потому что конкретики никакой, но чтож хотеть от одного куцего листика? :))
Вкратце: ничего нового :)
1. Определение «необычной» активности, сравнивая с накопленной статистикой
2. Определение «необычной» активности на «обычных» портах
3. HoneyPot для выявления методов взлома
4. Настраиваемые фильтры и пороги срабатывания.
А чего там ещё придумывать? ДДоС крайне дибильные атаки. Их задача — забить канал. ПРи помощи ботнета это делается одной кнопкой. Например, банальными пингами или ДНС-запросами. Трафик то нормальный!
А вот как их этой мути вытянуть реальные запросы… Вот это и есть дорогостоящая задача…
Кстати, у меня на поддержке (за 6 лет) есть несколько компаний, у которых бюджет на сеть и поддержку — минимальный. Скажем так, за 5 лет одна прихимистая контра, имеющая офисы в 3х странах, истратила на сеть 15 куе… А други построили себе сеть на циске за… 1.5 куе…
Вы просто никогда не видели АР, висящие под вентилятором, а то перегреваются (ДЛинк), коммутаторы, которые «устают» коммутировать (НР) и требуют перезагрузки раз в неделю, маршрутизаторы, которые помирают от одного единственного мультикаст пакета :))
Есть проблема — обращайтесь. Я правда их довольно много перерешал :)
Некоторые «особенности» работы циски (уж простите, больше всего с ней завязан) я собираю в некую базу фич/багов. Эта база случайным образом показывается на антициско.ру в правом фрейме «Знаете ли вы...»
Я на хабре человек сверхновый: Кирилл выдал инвайт сегодня :) Обживусь — может разрожусь в профильном блоге чем-нить более приземлённом.
Ну и если хочется чего то глубоко технического — пожалуйста :)
Сеть: посередине CIsco 3825, на периферии ДЛинки 824.
Задача — сделать избыточный IPSec, т.е. у рутера 2 подключения к провайдерам. Надо с периферии ходить по одному, а если падает — по другому выходу. Ясно, что и НАТ с маршрутизацией тоже должОн работать :)
Так вот: настроить всё получается, но НЕ работает. По вине ДЛинка. Если туннель ставить из-за циски — все Ок. Если трафик инициируется из-под ДЛинка — не поднимается канал.
Ключевой момент: в ДЛинке в качестве адреса конца туннеля стоит группа хостов, а не явно хост. Никакими танцами с бубном и перепрошивками не решается.
Коллеги, дабы ответить на Ваши вопросы сразу скопом:
1. Это не реклама в том виде, в котором её все привыкли искать: никто никому здесь ни копейки не заплатил
2. Но это скрытая реклама нашего ресурса — антициско.ру Скрывать не стану :)
3. Аргументы типа «А мурку можешь»(с) довольно забавны.
4. К циске, ни импортной, ни московской прямого отношения я не имею, хотя и тесно знаком со многими цискофункционерами
5. Просто я ей занимаюсь давно. Много. Знаю тоже много и высказал СВОЁ! мнение. Кстати, статья вовсе не копипаст: всё написано своими ручками :)
6. Описать, как для других производителей, все возможности железа, типа, покупаем то то, настраиваем так то и получаем рабочую сеть… Те, кто имели дело с циской должны улыбнуться :)
Я — цискин инструктор. Привык отвечать на вопросы и искать ответы. Это мой хлеб, профессия. Мне это нравится. Так что если есть вопросы — велкам!
ЗЫ Кстати, я всякое железо повидал и понастраивал. Кроме Жунипера. Это мой пробел. Сейчас думаю, как бы его закрыть :)
Я за циску впрягаться не намерен. Она лично мне никаких ништяков не обещает :)
К сожалению, Джунипер — мой пробел. Я там выше уже дисклаймерился по этому поводу.
Просьба привести конкурентов — не надменное желание ткнуть носом, а для самообразования.
Ну, кстати к слову: у Хуавея трудно найти хорошее работающее решение. Увы, сдулся Хуавей на данном этапе.
А про то, что надо использовать имеющееся разнообразие по назначению — категорически согласен, к чему и стремлюсь.
Но давайте будем честны: у циски есть хорошие решения. Иногда ТОЛЬКО у неё. И не настолько уж она дорога, как любят расписывать конкуренты. А то больно уж однобоко получается: циска — барахло, а те, кто вложился в неё (95% маршрутизаторов инета, например :)) — лохи :)
Давайте по пунктам:
1. Конкурент ASA5580-40 какой?
2. Конкурент IPS-4270 — какой?
3. CRS-1 конкурент — какой?
Это тупо примеры навкидку. И ладно бы я был продавцом, завлекающим в свои сети глупеньких богатеньких буратин :)
Эх, все форумы одинаковы: много слов, мало дела.
Сейчас времена не те, чтобы банально делать несовсестимость. Свои протоколы лепить, более удобные, но только для себя — да, этого не отнять. Но никто же не запрещает и другим так сделать :)
Если в качестве конца туннеля ставить ОДИН адрес, всё работает. Но заказчик требовал, чтобы при падении одного канала в центре сразу же поднимался резервный и к нему поднималя туннель. ДЛя этого надо в качестве ендпоинта ставить не адрес, а группу адресов. И вот в этом случае со стороны ДЛинка туннель не поднимается.
Приведите мне пож-ста пример НР свитчрутера, который умеет Policy Baced Routing?
Если ЭТО лично Вам не нужно, это не говорит о том, что не нужно никому :)
НР позиционирует свои железяки, как ПРОСТЕНЬКИЕ передатчики пакетов, поэтому ни о каком правильном QoS, маршрутизации и других изысках там речь не идёт.
ЗЫ Есть такая маленькая компания РоверКомпьютерс, которая пользовала НР долго, мирясь с… функционалом и надёжностью… Попробовав циску ВСЕ НР были списаны.
ЗЫ Статья была обещана Кириллу, если честно, до кучик Димкиной статье про АллайдТелесис :) И писалась в самолете в пятницу после выездного курса. Я понимаю, почему все кричат «реклама»… Потому что конкретики никакой, но чтож хотеть от одного куцего листика? :))
1. Определение «необычной» активности, сравнивая с накопленной статистикой
2. Определение «необычной» активности на «обычных» портах
3. HoneyPot для выявления методов взлома
4. Настраиваемые фильтры и пороги срабатывания.
А чего там ещё придумывать? ДДоС крайне дибильные атаки. Их задача — забить канал. ПРи помощи ботнета это делается одной кнопкой. Например, банальными пингами или ДНС-запросами. Трафик то нормальный!
А вот как их этой мути вытянуть реальные запросы… Вот это и есть дорогостоящая задача…
Вот, влип :) Теперь ещё один ресурс мониторить :)
Есть проблема — обращайтесь. Я правда их довольно много перерешал :)
Некоторые «особенности» работы циски (уж простите, больше всего с ней завязан) я собираю в некую базу фич/багов. Эта база случайным образом показывается на антициско.ру в правом фрейме «Знаете ли вы...»
Я на хабре человек сверхновый: Кирилл выдал инвайт сегодня :) Обживусь — может разрожусь в профильном блоге чем-нить более приземлённом.
Ну и если хочется чего то глубоко технического — пожалуйста :)
Сеть: посередине CIsco 3825, на периферии ДЛинки 824.
Задача — сделать избыточный IPSec, т.е. у рутера 2 подключения к провайдерам. Надо с периферии ходить по одному, а если падает — по другому выходу. Ясно, что и НАТ с маршрутизацией тоже должОн работать :)
Так вот: настроить всё получается, но НЕ работает. По вине ДЛинка. Если туннель ставить из-за циски — все Ок. Если трафик инициируется из-под ДЛинка — не поднимается канал.
Ключевой момент: в ДЛинке в качестве адреса конца туннеля стоит группа хостов, а не явно хост. Никакими танцами с бубном и перепрошивками не решается.
Удовлетворил? :))
ЗЫ Да, по докам всё работать должно :)
1. Это не реклама в том виде, в котором её все привыкли искать: никто никому здесь ни копейки не заплатил
2. Но это скрытая реклама нашего ресурса — антициско.ру Скрывать не стану :)
3. Аргументы типа «А мурку можешь»(с) довольно забавны.
4. К циске, ни импортной, ни московской прямого отношения я не имею, хотя и тесно знаком со многими цискофункционерами
5. Просто я ей занимаюсь давно. Много. Знаю тоже много и высказал СВОЁ! мнение. Кстати, статья вовсе не копипаст: всё написано своими ручками :)
6. Описать, как для других производителей, все возможности железа, типа, покупаем то то, настраиваем так то и получаем рабочую сеть… Те, кто имели дело с циской должны улыбнуться :)
Я — цискин инструктор. Привык отвечать на вопросы и искать ответы. Это мой хлеб, профессия. Мне это нравится. Так что если есть вопросы — велкам!
ЗЫ Кстати, я всякое железо повидал и понастраивал. Кроме Жунипера. Это мой пробел. Сейчас думаю, как бы его закрыть :)
СУВЖ, Сергей Фёдоров АКА Fedia