Oracle Technology Network Developer License — лицензия под которой доступен для свобондого скачивания сейчас sol10 и sol11 express
www.oracle.com/technetwork/licenses/solaris-cluster-express-license-167852.html
…
«Programs» refers to Oracle Solaris, Oracle Solaris Cluster and/or Oracle Solaris Express that you download from this site (including, any updates and/or additional software packages that you may receive in the future from the product's package repository) and related program documentation. «License» refers to your right to use the Programs under the terms of this agreement.
…
If you want to use the Programs for any purpose other than as permitted under this agreement, including but not limited to distribution of the Programs or any use of the Programs for your internal business purposes (other than developing, testing, prototyping and demonstrating your applications) or for any commercial production purposes, you must obtain a valid license permitting such use.
…
We retain all ownership and intellectual property rights in the Programs. The Programs may be installed on one computer only, and used by one person in the hardware environment identified by us. You may make one copy of the Programs for backup purposes.
…
You may not:
— use the Programs for your own internal business purposes (other than developing, testing, prototyping and demonstrating your applications) or for any commercial or production purposes;
— remove or modify any program markings or any notice of our proprietary rights;
— make the Programs available in any manner to any third party;
— use the Programs to provide third-party training;
— assign this agreement or give or transfer the Programs or an interest in them to another individual or entity;
— cause or permit reverse engineering (unless required by law for interoperability), disassembly or decompilation of the Programs;
— disclose results of any benchmark test results related to the Programs without our prior consent.
…
3. Permitted Use.
As selected in your Entitlement, one or more of the following Permitted Uses will apply to your use of Software. Unless you have an Entitlement that expressly permits it, you may not use Software for any of the other Permitted Uses. If you don't have an Entitlement, or if y our Entitlement doesn't cover additional software delivered to you, then such software is for your Evaluation Use.
…
(d) Commercial Use. You may use Software internally for your own commercial purposes.
…
5. Restrictions.
(a) The copies of Software provided to you under this Agreement are licensed, not sold, to you by Sun. Sun reserves all rights not expressly granted.
…
какбэ я думаю разница очевидна и тыкать пальцем или выделять нужные строчки не нужно?
теперь, нарпимер, невозможно коммерческое использование solaris и solaris express без покупки саппорта на него. и те кто интересовались вопросом цен на саппорт наверняка остались не очень довольны. хотя, конечно, наверно нужно подождать когда все устаканится.
не знал про hyper-v server и про его доступность в standart. просвятили :)
> Еще остался вопрос а единую платформу, развертывания, мониторинга начиная от оборудования и до экземпляра приложения, резервного копирования и восстановления и резервирования чем делать собираетесь? Или опять контейнеры ваше все?
а чем контейнеры не угодили и что же оно там ограничивает? ну нельзя скажем в солярис контейнере запустить виндовс, ну и хрен с ним. зачем оно надо то? по мне так виртуализация всего целиком это признак неуверенного в своих желаниях и возможностях IT-отдела: «мы не знаем что нам может понадобится, поэтому будем виртуализировать все подряд». ну кому-то это может действительно аргумент.
> Ценовая политика Oracle мне тоже не нравится, но это уже им разбираться и решать что дальше делать.
я к тому что, может вообще никто не продаст сервис план на солярис в госте hyper-v и тогда плакали все мечты.
> Это позволяет нам сделать вывод, что на данный момент используя Solaris Express 11 под Hyper-V создать высокопроизводительные многопроцессорные системы не удастся.
совершенно не понятно зачем это. в лицензионном соглашении написано о невозможности бесплатного использования любого из solaris'а в коммерческих целях. а ценовая политика oracle вряд ли кому позволит невозбранно и беззаботно лепить клонов по виртуальным машинам. с практической точки зрения solaris уже всё умеет, в том числе контейнеры и распил ресурсов. ему не место в «виртуалках».
да и вообще мне не очень понятна эта модная тенденция виртуализировать все подряд. на деле-то от ОС нужны контейнеры и может быть способность склеиваться в HA кластер несколькими серверами. все эти «облака» вполне реализуемы в этих рамках.
windows server'у давно не хватает возможности изолированных контейнеров, вот и родили hyper-v. может быть из-за того что контейнеры было сложнее реализовать, может из-за того что решили убить второго зайца «виртуализации» и впаривать как хост-систему тем кому нужно «что-то» запускать на линуксе. но мне кажется, что все таки, главная соль hyper-v в том чтобы создавать изолированные окружения самого windows, для отделения например публичного IIS от внутрикорпоративного с шарепоинтом.
ну и да, hyper-v доступен только в enterprise редакции насколько я помню. и количество гостей там ограничено, смешная цифра как-то, то ли 3, то ли 4.
ps: опуская тонкости, solaris 11 express вышел не торт. :(
регулярно ковыряете cli в soho-коробчонке дома/на_роботе? это не повод считать себя профессионалом или надеятся что все делают так же.
разобравшись в неплохой такой горке cli разных именитых и не очень вендорах, скажу честно, нет ни малейшего желания изучать еще один под которым скрывается пошлый линукс.
эээ… вобще-то никто не говорил про офис из 60 компьютеров, да и речи про какой-то сценарий внедрения не шло вообще. речь была за cli vs gui. причем тут вообще какие-то циски и офисы? в своем примере про поднятие nat'а я не зря упомянул про freebsd, что какбэ намекаэ «не циской единой».
и уж не знаю кто в здравом уме пойдет покупать циско, да еще и новую, да еще и за GPL :) циско уже давно не торт везде кроме голоса, как по фичам, так и по цена/результат, особенно по цена/результат. есть такой миф «ЦИСКО ЭТО КРУТО», но мы тут не развенчивать мифы собирались. я не любитель cisco или какого еще вендора, я любитель комфортной и эффективной работы с оборудованием в этом вопросе. и в этом вопросе GUI никуда не уперлось, потому что сложных вещей на нем не сделать, а простые (как выше было показано) и в тексте выглядят просто.
>А может достаточно керио для цеха и вочгарда для офиса?
за керио надо бить по лицу ногами, его вечно непонятные безмозглые упыри-экономисты-дрочеры ссаного «ынтырпрайз» говна ставят, а потом ноют что ничего не работает. я считаю «не шаришь — не лезь» и пускай контора наймет того кто «шарит».
насчет вочгардов благо не в курсе и надеюсь и останусь не вкурсе.
по мне так на предложенные вами условия хватит и старого пня 200мгц с близжайшей свалки с цф флешкой и фряхой на борту. для любителей cisco можно понабрать б/у: цена cisco 3745 $390, цена коммутатора WS-C2950G-48 ~$220, итого $1050 за три свища и маршрутизатор вместе с доставкой и всеми делами. кстате, не думаю что выйдет дороже ваших вочгардов с управляемыми свищами делинк.
ps: тут про упырей, как и до про зайчиков, говорится не с целью вас обидеть и вообще не в ваш адрес. не нужно это принимать на свой счет. я же не знаю, может у вас все замечательно и четко работает на kerio и вы никому не поласкаете мозги. :)
некротик то в глаза видели? :) у него есть и вебморда, и гуи-тулза виндовая (http://wiki.mikrotik.com/wiki/Manual:Winbox) для конфигурирования. и наверно самый убогий кли в мире :)
нет, спасибо. очередное линукс-поделие мне не интересно. угадайте что общего у vyatta, mikrotik'а, ideco ics и т.п. с этим вашим fireware os? правильно, везде линукс в разной обертке, одинакого ущербный и унылый, и за бабло. :)
ненавижу зайчиков пользующих подобные решения. потому что эти зайчики как правило вообще не в курсе что хотят сделать. крайний раз одни товарищи купили себе ideco фаервол, который потом сами же и не смогли приготовить. не смотря на все эти красочные веб-интерфейсы и прочее. GUI снижает планку уровня вхождения, а вместе с этим снижается и уровень подготовки реципиента. нет, спасибо. с такими реципиентами невозможно работать. у них «GUI головного мозга» :D
с другой стороны, чем больше таких вот зайчиков, тем больше платят нормальным людям. так что продолжайте в том же духе :)
ps: вы наверно и windows server одмините кликаньем :D там же GUI Ж)))
лол :) таке не из ворда, а из нотпада. и копируются не комманды, а целые сценарии. ибо унылый ios изменения применяет на лету, возможности отката изменений нет. поэтому составляешь один сценарий для применения нужных изменений и другой сценарий для его отката, на коте пишешь релоад ин 10, и копипастишь, и молишься чтобы ничего не отломалось :) и да, наверно таких людей мало, толковых людей вообще мало, да. :(
и да, кто сказал что их, комманды, надо запоминать? есть же "?" который подскажет чо там дальше писать. в конце концов есть интернет, гугл и в частности для cisco есть cisco.com с горой документации и примеров. гораздо нужнее знание и понимание предмета того чего делаешь и чего хочешь, а без этого и знание «волшебных» комманд не поможет.
понятия не имею что такое «вочгард» и иметь не желаю. нат бывает разный. без затейства вывести локалку в интернет и в cisco cli «три клика»:
ip access-list standart nat
permit ip 10.0.0.0 0.255.255.255
ip nat source list nat interface fa1/0
int fa1/0
ip nat outside
int fa1/1
ip nat inside
где nat — ацл с указанием локалки, fa1/0 — внешний интерфейс с ойпи в который натить, fa1/1 — внутренний интерфейс. как-то так, мог где-нибудь соврать, писал на память.
и не в цисках дело. у той же freebsd для этого же надо добавить семь строчек в rc.conf:
firewall_enable=«YES» #включить фаервол
firewall_type=«SIMPLE» #имя режима из дефолтового сценария
firewall_simple_iif=«em1» #внутренний интерфейс
firewall_simple_oif=«em0» #внешний интерфейс
firewall_simple_inet=«10.0.0.0/8» #внутренняя сеть
firewall_nat_enable=«YES» #включить нат
firewall_nat_interface=«em0» #использовать ойпи внешнего интерфейса для ната
еще проще при спользовании pf:
rc.conf:
pf_enable=«YES»
pf.conf:
extif=em0
intif=em1
intnet=10/8
nat on $extif inet from $intnet to any -> $extif
pass all
таке чего сложного? :) как мне кажется все просто и понятно, особенно для тех кто посещал уроки английского в школе.
а вот GUI сложности начинаются ровно в тот момент когда нужно отойти от «простого» сценария. например пробросить гору портов, сделать фильтр-базед пбр и так далее. лично был свидетелем как доблестный одминчег с упорством, достойным лучшего применения, добавлял правило за правилом в вебинтерфейсе делинка… потратив на это около получаса он исчерпал лимит правил. результат — эпик фейл: и времени вагон убил, и задачу не выполнил. а в ненавистном вами cli эти вещи решаются «тремя строчками с копипастой» :D
безусловно все решает бабло. но еще хорошо бы чтобы пользователей за людей считали и не навязывали плясать под дудку саппорта, ога?
в моей деревне едва ли ни каждый маломальски подросший хоменет съезжает с впна в пользу управляемого доступа. не сразу, не быстро, но его профит очевиден. у голденов и сибирьтелекомов другое. особенно у последних: одни спроэктировали, другие купили, третьи ввели в эксплуатацию. проверить как оно работает и работает ли вообще некому. да, потому что большие, потому что на все срать, потому что много где банально монополисты, чаще всего из-за того что большие Ж) замкнутый круг, ага. чем больше телеком, тем более инертный. может быть они и рады выбросить свои впны и дсли, но размеры таки диктуют другое: дешевле костыли подставлять чем перестраивать всё и вся.
в моем доме штук пять, если не больше, провайдеров, среди них есть даже магистрал пришедший в народ, сионисты из перьми, даже сибирьтелеком с голдой любимой вами есть и скромный хоменет на управляемом доступе без тараконов в голове. угадайте чьим абонентом я стал и чьих абонентов я дразню результатами пирингового спидтеста? :)
>> Поставленная задача должна решаться, а профит должен быть максимальным — это же бизнес
поэтому я считаю что впн для небольших сетей без умного доступа, а привязка на порту — для больших сетей с умным доступом. потому что чем больше сеть, тем больше трафика вам нужно будет прожевать вашим брасом. в итоге вы все равно придете сначало к статикам на оборудовании пользователя, а потом к выбрасыванию впна. просто еще не пришли. =]
>> Наоборот, когда сеть маленькая, можно каждого пользователя по порту и mac'у контролировать без проблем, а с ростом абонентской базы это уже тяжело и слишком большой overhead.
автоматизация процесса управления вам незнакома? да и кто сказал что нужно смотреть что там на портах творится? от силы нужно только поднимать/опускать порт. остальное за нас сделает сам коммутатор. выше упомянутый DES3526 прекрасно умеет на основании ответов dhcp строить acl на порту.
>> Я уже приводил в пример московских Билайна и НетБайНет — крупнейших ethernet-провайдеров, у которых как раз используются туннели (в Билайне еще со времен Корбины — pptp, в НБН — pppoe; кстати, во многом именно благодаря Корбине/Билайну в массовых коммутаторах начала появляться функция dual access с созданием туннеля pptp поверх обычного линка) — думается, там не совсем уж дураки сидят.
они «крупнейшие», им срать как и что работает, лишь бы работало и пипл хавал. они до следующего тысячелетия успешно на своих дслях и пппое доживут если ничего не прижмет. а пипл и хавает. и да, вы таке хотели сказать «в массовых сохо-мыльницах-рутирах». спешу вас огорчить, асус двухгодичной давности умеет этот «дуалакцес», другое дело что откуда ему знать какие маршруты на какой линк вешать. будете модифицировать прошивки или всех заставлять покупать нужное оборудование доступа? а если обычный комп? гора скриптов и ебля вола? Ж) лолшто. техподдержка должна решать проблемы, а не полоскать мозги пользователю о том какой куда скрипт присунуть чтобы трафик «внутренний/пиринговый» поплыл по нужному линку.
>> Для того, чтобы качать торренты второй вариант обычно выгоднее несмотря на отсутствие прямого IP из-за того, что у Билайна здоровенная сеть и почти все торренты есть внутри нее — наружу зачастую вылезать и не надо, только за какими-то редкими вещами. Поэтому если вы не качаете ничего внутри вашей сети, то это значит лишь то, что она, скорее всего, слишком маленькая.
для того чтобы качать что-то торрентами нужна как минимум retracker.local запись в днсе того кому больше всего пользователей с серыми ойпи смотрят. какая бы ваша сеть большой не была, она всегда будет меньше всех участников городской пиринговой площадки.
перейдем к объяснению на пальцах:
у вас есть компьютер с windows xp в который воткнут провод. по dhcp получаете адрес 172.16.1.111 и шлюзом 172.16.1.1, и до 100мбе внутреннего/пирингого трафика. настраивая vpn вы получаете трубу в интернет в 2мбе и белый адрес и следующий дефолт гетвей на ппп0 интерфейс с меньшей метрикой, короче весь трафик идет теперь через ппп линк в 2мбе. что теперь делать пользователю, если он хочет одновременно и в аське трещать, и торрент с локалпиров качать на нормальной скорости? на рутсервере пиринга скажем пицот сетей которые надо смаршрутизировать через внутренний линк. список может меняться. с большим интересом прослушаю о том как техподдержка пользователю будет рассказывать о «скачать скрипт, добавить в шедулер заданий, радоваться жизни».
>> Опять же, я повторяю, что наличие vpn не отменяет требование нормального оборудования на доступе. Это вообще не связанные вещи. :-) Для пользователя vpn не особо сложен, как показывает практика.
для чего дорогой доступ? чтобы отрезать все фреймы кроме pppoe? ну скажем так, я не понимаю ваших доводов в пользу впнов не к месту.
>> Вон, у того же ADSL несмотря на то, что каждая линия — индивидуальная, все равно используется PPPoE и никто из абонентов на это не ропщет…
adsl2+ в вакууме дает 24мбе ассимметричного канала. на деле, учитывая плачевного состояния линий телефонной электросвязи имеем в лучшем случае пару-тройку мегабит на канале. а зачастую мегабит и меньше. adsl — это другой костыль, призванный сэкономить на использовании для шпд уже существующей сети электросвязи. опять же, экономия. это не заменяет соверменные вещи, а лишь дает отсрочку на внедрение. а ввиду всего этого глубоко срать pppoe там или нет. в абонентском комплекте адсл в нагрузку идет модем, настроенный мастером и о торрентах с пирингами в таком случае не приходится даже мечтать. если в этом же доме есть хоменет с езернетом, нормальный человек убежит к нему. :)
начнем с того что 802.1q vlan — это технология доступа. ни одного абонентсткого влана не должно быть в ядре. они все заканчиваются на районной L3 аггрегации. тем самым никто трафик между вланами не гонит в ядро сети, да и как мне кажется даже если и гонят, его в любом случае не больше чем интернета или чего еще что за пределами сети. ну а то что трафик между двумя пользователями на соседних портах одного свища течет через свищ аггрегации — не особо большое зло. спросите себя сами: «как часто вы качаете что-то у соседа?», да даже на вопрос «как часто вы качаете что-то в пределах своей (т.е. провайдера) сети?» ответ будет вида «где-то раз в году может быть». а лично я вообще отвечу «никогда». :-)
я не особо любитель vlan per user, но оно имеет свои преимущества. например, можно брать на доступ свищи за $150 способные лишь на вланы и не озадачиваться на ойпи сурс гварды и арп инспекшны :) но если брать свищи например за $300 то можно и без vlan per user жить. :)
однако, как мне кажется, vpn-based варианты все таки для небольших хоменетов только начавших свое развитие. оно имеет свои преимущества, позволяет «дешево» наращивать абонентскую базу не тратя бабла на управляемые коммутаторы. но когда-нибудь придет осознание что содержать vpn стало слишком дорого и накладно, и пользователи не довольны и вообще жуть что происходит. на моей деревне есть далеко не один пример хоменета отказывающегося от впн в пользу управляемого доступа.
www.oracle.com/technetwork/licenses/solaris-cluster-express-license-167852.html
…
«Programs» refers to Oracle Solaris, Oracle Solaris Cluster and/or Oracle Solaris Express that you download from this site (including, any updates and/or additional software packages that you may receive in the future from the product's package repository) and related program documentation. «License» refers to your right to use the Programs under the terms of this agreement.
…
If you want to use the Programs for any purpose other than as permitted under this agreement, including but not limited to distribution of the Programs or any use of the Programs for your internal business purposes (other than developing, testing, prototyping and demonstrating your applications) or for any commercial production purposes, you must obtain a valid license permitting such use.
…
We retain all ownership and intellectual property rights in the Programs. The Programs may be installed on one computer only, and used by one person in the hardware environment identified by us. You may make one copy of the Programs for backup purposes.
…
You may not:
— use the Programs for your own internal business purposes (other than developing, testing, prototyping and demonstrating your applications) or for any commercial or production purposes;
— remove or modify any program markings or any notice of our proprietary rights;
— make the Programs available in any manner to any third party;
— use the Programs to provide third-party training;
— assign this agreement or give or transfer the Programs or an interest in them to another individual or entity;
— cause or permit reverse engineering (unless required by law for interoperability), disassembly or decompilation of the Programs;
— disclose results of any benchmark test results related to the Programs without our prior consent.
…
sun'овское лицензионное соглашение: webcache.googleusercontent.com/search?q=cache:ssIQ0eWKwGQJ:https://cds.sun.com/is-bin/INTERSHOP.enfinity/WFS/CDS-CDS_SMI-Site/en_US/-/USD/ViewLicense-Start%3FLicenseUUID%3Du4hIBe.pZZkAAAEmwcJtTJuH%26ProductUUID%3Dh4FIBe.oNakAAAEke9EwoQ3G%26cnum%3D%26evsref%3D%26sln%3D+sun+solaris+10+license+agreement&cd=3&hl=ru&ct=clnk&client=opera
3. Permitted Use.
As selected in your Entitlement, one or more of the following Permitted Uses will apply to your use of Software. Unless you have an Entitlement that expressly permits it, you may not use Software for any of the other Permitted Uses. If you don't have an Entitlement, or if y our Entitlement doesn't cover additional software delivered to you, then such software is for your Evaluation Use.
…
(d) Commercial Use. You may use Software internally for your own commercial purposes.
…
5. Restrictions.
(a) The copies of Software provided to you under this Agreement are licensed, not sold, to you by Sun. Sun reserves all rights not expressly granted.
…
какбэ я думаю разница очевидна и тыкать пальцем или выделять нужные строчки не нужно?
«легко. Sun xVM Server мы, например, уже не дождемся.»
> Еще остался вопрос а единую платформу, развертывания, мониторинга начиная от оборудования и до экземпляра приложения, резервного копирования и восстановления и резервирования чем делать собираетесь? Или опять контейнеры ваше все?
а чем контейнеры не угодили и что же оно там ограничивает? ну нельзя скажем в солярис контейнере запустить виндовс, ну и хрен с ним. зачем оно надо то? по мне так виртуализация всего целиком это признак неуверенного в своих желаниях и возможностях IT-отдела: «мы не знаем что нам может понадобится, поэтому будем виртуализировать все подряд». ну кому-то это может действительно аргумент.
> Ценовая политика Oracle мне тоже не нравится, но это уже им разбираться и решать что дальше делать.
я к тому что, может вообще никто не продаст сервис план на солярис в госте hyper-v и тогда плакали все мечты.
совершенно не понятно зачем это. в лицензионном соглашении написано о невозможности бесплатного использования любого из solaris'а в коммерческих целях. а ценовая политика oracle вряд ли кому позволит невозбранно и беззаботно лепить клонов по виртуальным машинам. с практической точки зрения solaris уже всё умеет, в том числе контейнеры и распил ресурсов. ему не место в «виртуалках».
да и вообще мне не очень понятна эта модная тенденция виртуализировать все подряд. на деле-то от ОС нужны контейнеры и может быть способность склеиваться в HA кластер несколькими серверами. все эти «облака» вполне реализуемы в этих рамках.
windows server'у давно не хватает возможности изолированных контейнеров, вот и родили hyper-v. может быть из-за того что контейнеры было сложнее реализовать, может из-за того что решили убить второго зайца «виртуализации» и впаривать как хост-систему тем кому нужно «что-то» запускать на линуксе. но мне кажется, что все таки, главная соль hyper-v в том чтобы создавать изолированные окружения самого windows, для отделения например публичного IIS от внутрикорпоративного с шарепоинтом.
ну и да, hyper-v доступен только в enterprise редакции насколько я помню. и количество гостей там ограничено, смешная цифра как-то, то ли 3, то ли 4.
ps: опуская тонкости, solaris 11 express вышел не торт. :(
я бы наверно не постеснялся превосходных степеней и схватил еще подач в виде «минусов» :)
nginx прекрасно справляется и с отдачей статики, и с обработкой динамики на фастцги сервере. для чего нужен то апач?
да, junos решаэ :) и не только в откатах конфигов. .)
регулярно ковыряете cli в soho-коробчонке дома/на_роботе? это не повод считать себя профессионалом или надеятся что все делают так же.
разобравшись в неплохой такой горке cli разных именитых и не очень вендорах, скажу честно, нет ни малейшего желания изучать еще один под которым скрывается пошлый линукс.
у каждого своя правда, да.
и уж не знаю кто в здравом уме пойдет покупать циско, да еще и новую, да еще и за GPL :) циско уже давно не торт везде кроме голоса, как по фичам, так и по цена/результат, особенно по цена/результат. есть такой миф «ЦИСКО ЭТО КРУТО», но мы тут не развенчивать мифы собирались. я не любитель cisco или какого еще вендора, я любитель комфортной и эффективной работы с оборудованием в этом вопросе. и в этом вопросе GUI никуда не уперлось, потому что сложных вещей на нем не сделать, а простые (как выше было показано) и в тексте выглядят просто.
>А может достаточно керио для цеха и вочгарда для офиса?
за керио надо бить по лицу ногами, его вечно непонятные безмозглые упыри-экономисты-дрочеры ссаного «ынтырпрайз» говна ставят, а потом ноют что ничего не работает. я считаю «не шаришь — не лезь» и пускай контора наймет того кто «шарит».
насчет вочгардов благо не в курсе и надеюсь и останусь не вкурсе.
по мне так на предложенные вами условия хватит и старого пня 200мгц с близжайшей свалки с цф флешкой и фряхой на борту. для любителей cisco можно понабрать б/у: цена cisco 3745 $390, цена коммутатора WS-C2950G-48 ~$220, итого $1050 за три свища и маршрутизатор вместе с доставкой и всеми делами. кстате, не думаю что выйдет дороже ваших вочгардов с управляемыми свищами делинк.
ps: тут про упырей, как и до про зайчиков, говорится не с целью вас обидеть и вообще не в ваш адрес. не нужно это принимать на свой счет. я же не знаю, может у вас все замечательно и четко работает на kerio и вы никому не поласкаете мозги. :)
ненавижу зайчиков пользующих подобные решения. потому что эти зайчики как правило вообще не в курсе что хотят сделать. крайний раз одни товарищи купили себе ideco фаервол, который потом сами же и не смогли приготовить. не смотря на все эти красочные веб-интерфейсы и прочее. GUI снижает планку уровня вхождения, а вместе с этим снижается и уровень подготовки реципиента. нет, спасибо. с такими реципиентами невозможно работать. у них «GUI головного мозга» :D
с другой стороны, чем больше таких вот зайчиков, тем больше платят нормальным людям. так что продолжайте в том же духе :)
ps: вы наверно и windows server одмините кликаньем :D там же GUI Ж)))
и да, кто сказал что их, комманды, надо запоминать? есть же "?" который подскажет чо там дальше писать. в конце концов есть интернет, гугл и в частности для cisco есть cisco.com с горой документации и примеров. гораздо нужнее знание и понимание предмета того чего делаешь и чего хочешь, а без этого и знание «волшебных» комманд не поможет.
ip access-list standart nat
permit ip 10.0.0.0 0.255.255.255
ip nat source list nat interface fa1/0
int fa1/0
ip nat outside
int fa1/1
ip nat inside
где nat — ацл с указанием локалки, fa1/0 — внешний интерфейс с ойпи в который натить, fa1/1 — внутренний интерфейс. как-то так, мог где-нибудь соврать, писал на память.
и не в цисках дело. у той же freebsd для этого же надо добавить семь строчек в rc.conf:
firewall_enable=«YES» #включить фаервол
firewall_type=«SIMPLE» #имя режима из дефолтового сценария
firewall_simple_iif=«em1» #внутренний интерфейс
firewall_simple_oif=«em0» #внешний интерфейс
firewall_simple_inet=«10.0.0.0/8» #внутренняя сеть
firewall_nat_enable=«YES» #включить нат
firewall_nat_interface=«em0» #использовать ойпи внешнего интерфейса для ната
еще проще при спользовании pf:
rc.conf:
pf_enable=«YES»
pf.conf:
extif=em0
intif=em1
intnet=10/8
nat on $extif inet from $intnet to any -> $extif
pass all
таке чего сложного? :) как мне кажется все просто и понятно, особенно для тех кто посещал уроки английского в школе.
а вот GUI сложности начинаются ровно в тот момент когда нужно отойти от «простого» сценария. например пробросить гору портов, сделать фильтр-базед пбр и так далее. лично был свидетелем как доблестный одминчег с упорством, достойным лучшего применения, добавлял правило за правилом в вебинтерфейсе делинка… потратив на это около получаса он исчерпал лимит правил. результат — эпик фейл: и времени вагон убил, и задачу не выполнил. а в ненавистном вами cli эти вещи решаются «тремя строчками с копипастой» :D
в моей деревне едва ли ни каждый маломальски подросший хоменет съезжает с впна в пользу управляемого доступа. не сразу, не быстро, но его профит очевиден. у голденов и сибирьтелекомов другое. особенно у последних: одни спроэктировали, другие купили, третьи ввели в эксплуатацию. проверить как оно работает и работает ли вообще некому. да, потому что большие, потому что на все срать, потому что много где банально монополисты, чаще всего из-за того что большие Ж) замкнутый круг, ага. чем больше телеком, тем более инертный. может быть они и рады выбросить свои впны и дсли, но размеры таки диктуют другое: дешевле костыли подставлять чем перестраивать всё и вся.
в моем доме штук пять, если не больше, провайдеров, среди них есть даже магистрал пришедший в народ, сионисты из перьми, даже сибирьтелеком с голдой любимой вами есть и скромный хоменет на управляемом доступе без тараконов в голове. угадайте чьим абонентом я стал и чьих абонентов я дразню результатами пирингового спидтеста? :)
>> Поставленная задача должна решаться, а профит должен быть максимальным — это же бизнес
поэтому я считаю что впн для небольших сетей без умного доступа, а привязка на порту — для больших сетей с умным доступом. потому что чем больше сеть, тем больше трафика вам нужно будет прожевать вашим брасом. в итоге вы все равно придете сначало к статикам на оборудовании пользователя, а потом к выбрасыванию впна. просто еще не пришли. =]
автоматизация процесса управления вам незнакома? да и кто сказал что нужно смотреть что там на портах творится? от силы нужно только поднимать/опускать порт. остальное за нас сделает сам коммутатор. выше упомянутый DES3526 прекрасно умеет на основании ответов dhcp строить acl на порту.
>> Я уже приводил в пример московских Билайна и НетБайНет — крупнейших ethernet-провайдеров, у которых как раз используются туннели (в Билайне еще со времен Корбины — pptp, в НБН — pppoe; кстати, во многом именно благодаря Корбине/Билайну в массовых коммутаторах начала появляться функция dual access с созданием туннеля pptp поверх обычного линка) — думается, там не совсем уж дураки сидят.
они «крупнейшие», им срать как и что работает, лишь бы работало и пипл хавал. они до следующего тысячелетия успешно на своих дслях и пппое доживут если ничего не прижмет. а пипл и хавает. и да, вы таке хотели сказать «в массовых сохо-мыльницах-рутирах». спешу вас огорчить, асус двухгодичной давности умеет этот «дуалакцес», другое дело что откуда ему знать какие маршруты на какой линк вешать. будете модифицировать прошивки или всех заставлять покупать нужное оборудование доступа? а если обычный комп? гора скриптов и ебля вола? Ж) лолшто. техподдержка должна решать проблемы, а не полоскать мозги пользователю о том какой куда скрипт присунуть чтобы трафик «внутренний/пиринговый» поплыл по нужному линку.
>> Для того, чтобы качать торренты второй вариант обычно выгоднее несмотря на отсутствие прямого IP из-за того, что у Билайна здоровенная сеть и почти все торренты есть внутри нее — наружу зачастую вылезать и не надо, только за какими-то редкими вещами. Поэтому если вы не качаете ничего внутри вашей сети, то это значит лишь то, что она, скорее всего, слишком маленькая.
для того чтобы качать что-то торрентами нужна как минимум retracker.local запись в днсе того кому больше всего пользователей с серыми ойпи смотрят. какая бы ваша сеть большой не была, она всегда будет меньше всех участников городской пиринговой площадки.
перейдем к объяснению на пальцах:
у вас есть компьютер с windows xp в который воткнут провод. по dhcp получаете адрес 172.16.1.111 и шлюзом 172.16.1.1, и до 100мбе внутреннего/пирингого трафика. настраивая vpn вы получаете трубу в интернет в 2мбе и белый адрес и следующий дефолт гетвей на ппп0 интерфейс с меньшей метрикой, короче весь трафик идет теперь через ппп линк в 2мбе. что теперь делать пользователю, если он хочет одновременно и в аське трещать, и торрент с локалпиров качать на нормальной скорости? на рутсервере пиринга скажем пицот сетей которые надо смаршрутизировать через внутренний линк. список может меняться. с большим интересом прослушаю о том как техподдержка пользователю будет рассказывать о «скачать скрипт, добавить в шедулер заданий, радоваться жизни».
>> Опять же, я повторяю, что наличие vpn не отменяет требование нормального оборудования на доступе. Это вообще не связанные вещи. :-) Для пользователя vpn не особо сложен, как показывает практика.
для чего дорогой доступ? чтобы отрезать все фреймы кроме pppoe? ну скажем так, я не понимаю ваших доводов в пользу впнов не к месту.
>> Вон, у того же ADSL несмотря на то, что каждая линия — индивидуальная, все равно используется PPPoE и никто из абонентов на это не ропщет…
adsl2+ в вакууме дает 24мбе ассимметричного канала. на деле, учитывая плачевного состояния линий телефонной электросвязи имеем в лучшем случае пару-тройку мегабит на канале. а зачастую мегабит и меньше. adsl — это другой костыль, призванный сэкономить на использовании для шпд уже существующей сети электросвязи. опять же, экономия. это не заменяет соверменные вещи, а лишь дает отсрочку на внедрение. а ввиду всего этого глубоко срать pppoe там или нет. в абонентском комплекте адсл в нагрузку идет модем, настроенный мастером и о торрентах с пирингами в таком случае не приходится даже мечтать. если в этом же доме есть хоменет с езернетом, нормальный человек убежит к нему. :)
я не особо любитель vlan per user, но оно имеет свои преимущества. например, можно брать на доступ свищи за $150 способные лишь на вланы и не озадачиваться на ойпи сурс гварды и арп инспекшны :) но если брать свищи например за $300 то можно и без vlan per user жить. :)
однако, как мне кажется, vpn-based варианты все таки для небольших хоменетов только начавших свое развитие. оно имеет свои преимущества, позволяет «дешево» наращивать абонентскую базу не тратя бабла на управляемые коммутаторы. но когда-нибудь придет осознание что содержать vpn стало слишком дорого и накладно, и пользователи не довольны и вообще жуть что происходит. на моей деревне есть далеко не один пример хоменета отказывающегося от впн в пользу управляемого доступа.