Альтернатива vpn — ssh шлюз. Пользователь с помощью того же Putty запускает сессию до удаленного шлюза. И конектится на localhost:port_для проброса. А ssh шлюз пересылает уже нужному внутреннему rdp на 3398. И не надо городить acl для внешних пользователей. Если хочется повысить безопасноть, то надо раздать пользователям ключи и отключить парольный/интерактивный вход на шлюз.
Если есть cygwin с openssh, то и вообще все просто.
ssh -f -N -L localport:remote_rdp_host_inside_network:3389 user@ip_ssh_gate
что-то типа
ssh -f -N -L 33389:10.10.10.10:3389 user@ssh.company.name
Дело ваше. Если что-то плохое может случится, то оно обязательно случится. Чтобы не парится с проверкой условия в цикле и не жалеть циклов процессора, можно все переделать на использование таймера в режиме capture и сделать все на прерываниях.
У него в самом даташите перечислены все случаи при которых он начинает деградировать. В целом дешевая поделка не расчитаная на тяжелые условия эксплуатации.
Ну например вот этот while ( !_PIN_DHT_GET ) _delay_us(1); в getDhtBit(). Если есть проверка в клиенте, то это конечно хорошо. А потом вам захочется сделать устройство автономным, а этот кусок так и останется опасным. У каждого из пульса есть задокументированная максимальная длительность. Вот это значение и надо ставить как выход из соответсвующих циклов.
Если не хотите, чтобы третий раз, когда сгорел кондей, северной опять стало плохо. Внедрите в код проверку на максимальное время ожидания. Вот заглючет чего-нить и не выйдете больше из своего while()…
Вы только что описали классику жанра по перекладыванию ответсвенности и прикрывания своего зада. Про людей которые так думают уже написали. Если понятно что заказчик так думает, значит работать с ним не надо. Он не сделает правильных выводов для бизнеса и атмосферы в коллективе, а так же ни чему не научится.
С теми же кто сделает правильный вывод можно и нужно работать, вы получили лояльного клиента.
Олег Типисов про это рассказывал на Cisco Connect. Не думаю что где-то полнее найдете, да еще и на русском. pdf
Учитывая архитектуру форвардинга ASA, pbr не долже ни как повлиять на производительность. Но можнно спросить у того же Олега на русском cisco support community. https://supportforums.cisco.com/ru/community/5686/bezopasnost-security
Ну что же, значит я был не просто в топе, а в элите. Кстати проникновением в 45% мог тоже не каждый похвастаться, а в 8 году примерно продались акаде :(
Мне сказали что любая мыльница уделает ISR. Я считаю, что сравнение вообще не уместно, т.к. аналогов в мире нет. Наверное надо было сразу так написать.
Интересно сколько сессий на сервер, вдруг придется вспоминать молодость? Я несколькими сессиями с сервера и 80гигабит выжимал. Сейчас конечно многое поменялось. Но тогда 10-гб серваки не умели, либо стоили как круизные лайнеры. А в 2006 уже далеко не одну 10-ку утилизировал. Сервера в лучшем случае 800 мбит прокачивали и умириали от прерываний даже при настроенном пулинге, т.е. один сервер на одну задачу. Про остальные задачи я уже молчу.
А сколько надо парится чтобы получить полноценный BRAS на таком решении? На сколько все сильно станет хуже, если добавить фаервол, инспецию трафика, шейперы/полисеры/маркирование? Решение уже не кажется таким уж дешевым. Сейчас и с отказоусточивостью получше конечно на серверах, а тогда в лучшем случае кривой CARP с кучей ограничений. Так что тут не до сказок. В статье восновном старье кроме ISR4k. Вот я и сравниваю с тем что было тогда.
VPN hub же, или Вы все же не в теме совсем? Больше 100 мбит/с на ipsec это повод для гордости, а не стыда. Даже если спидтест.
В свое время заменил большущий кластер на фре из 20 машин делавших нат, на два маршрутизатора, которые заняли в разы меньше места и по потрблению электричества сильно выигрывали. Так что это всего лишь вопрос денег, задач и квалификации.
А на счет ISR, до сих пор нет конкуретнов по количеству фич в одной коробке. У cisco один из самых лучших радиотрактов для wifi в мире. AC есть уже очень давно. Почитайте например про CleanAir. Или про то, что делает Мираки. Ну тут я сильно спорить не буду, знаю как минимум еще двух хороших производителей. Да и я больше про датацентры, чем про радио.
Обе железки с рис1 не смогут дать 100 мегабит пакетами по 64 байта.
Если пересчитать данные с рисунка 1 для NAT+FW, то получится: 2,56 мегабита вместо 60 и 1,12 мегабита вместо 25.
Современные домашние мыльницы от длинка натят быстрее чем 871 за счёт аппаратного ната.
Обе представленные 800-е совсем древние. 871 — умерла больше года назад. Была актуальна на конец 2000-x. 881 доживает последние денечки. Разработчиками уже года два не поддерживается. И говорить про эти две модели практически прошлого века нет ни какого смысла. Посмотрите на NITRO, будете приятно удивлены. VPN до амса спидтест показал больше 100Мбит/с. Показал бы еще больше, но на хабе шейпер.
Ну и если пошло сравнение. Покажите мне домашнюю мыльницу с ospf/bgp/mpls/sip/h323/snmp/trunk/sub interfaces и прочим.
А вот корзина уже подключается к фабрикам как раз через port-channel максимум восьми десятигигабитных линков в каждую фабрику. Итого, теоретический предел одного сетевого интерфейса — это 80 гигабит/с.
Уже несколько больше. Фабрик экстендеры третьего поколения это уже минимум 4х40Гбит.
Ни куда не приведет. Текущих 2-4-х ядерный процессоров уже выше головы для контрол плейна. А от дата плейна любой проц довольно быстро умрет от прерываний даже с учетом пулинга. Без особых сервисов тестил csr1000v. Максимум что удалось выжать в качестве простой молотилки пакетов — 80 гигабит. Дальше все уперлось в процессор, а было всего-то 60 ядер… Но это мало кому нужно и будет дешевле купить железное решение в виде маршрутизатора для таких масштабов.
Если есть cygwin с openssh, то и вообще все просто.
ssh -f -N -L localport:remote_rdp_host_inside_network:3389 user@ip_ssh_gate
что-то типа
ssh -f -N -L 33389:10.10.10.10:3389 user@ssh.company.name
С теми же кто сделает правильный вывод можно и нужно работать, вы получили лояльного клиента.
Zelenyikot Виталий, где такую замечательную рубашку купить? И жаль что фото с сусликом в видео не попало.
pdf
Учитывая архитектуру форвардинга ASA, pbr не долже ни как повлиять на производительность. Но можнно спросить у того же Олега на русском cisco support community. https://supportforums.cisco.com/ru/community/5686/bezopasnost-security
Интересно сколько сессий на сервер, вдруг придется вспоминать молодость? Я несколькими сессиями с сервера и 80гигабит выжимал. Сейчас конечно многое поменялось. Но тогда 10-гб серваки не умели, либо стоили как круизные лайнеры. А в 2006 уже далеко не одну 10-ку утилизировал. Сервера в лучшем случае 800 мбит прокачивали и умириали от прерываний даже при настроенном пулинге, т.е. один сервер на одну задачу. Про остальные задачи я уже молчу.
А сколько надо парится чтобы получить полноценный BRAS на таком решении? На сколько все сильно станет хуже, если добавить фаервол, инспецию трафика, шейперы/полисеры/маркирование? Решение уже не кажется таким уж дешевым. Сейчас и с отказоусточивостью получше конечно на серверах, а тогда в лучшем случае кривой CARP с кучей ограничений. Так что тут не до сказок. В статье восновном старье кроме ISR4k. Вот я и сравниваю с тем что было тогда.
В свое время заменил большущий кластер на фре из 20 машин делавших нат, на два маршрутизатора, которые заняли в разы меньше места и по потрблению электричества сильно выигрывали. Так что это всего лишь вопрос денег, задач и квалификации.
А на счет ISR, до сих пор нет конкуретнов по количеству фич в одной коробке. У cisco один из самых лучших радиотрактов для wifi в мире. AC есть уже очень давно. Почитайте например про CleanAir. Или про то, что делает Мираки. Ну тут я сильно спорить не буду, знаю как минимум еще двух хороших производителей. Да и я больше про датацентры, чем про радио.
Обе представленные 800-е совсем древние. 871 — умерла больше года назад. Была актуальна на конец 2000-x. 881 доживает последние денечки. Разработчиками уже года два не поддерживается. И говорить про эти две модели практически прошлого века нет ни какого смысла. Посмотрите на NITRO, будете приятно удивлены. VPN до амса спидтест показал больше 100Мбит/с. Показал бы еще больше, но на хабе шейпер.
Ну и если пошло сравнение. Покажите мне домашнюю мыльницу с ospf/bgp/mpls/sip/h323/snmp/trunk/sub interfaces и прочим.