Комментарии 41
Не плохо увидеть пару слов о том, что за железка и какой у нее функционал и конкретно для чего вы ее планируйте использовать.
Это аппаратный файрволл нижнего уровня.
Ближайший, на мой взгляд аналог — Cisco ASA 5505.
www.juniper.net/ru/ru/products-services/security/srx-series/srx100/
Ближайший, на мой взгляд аналог — Cisco ASA 5505.
www.juniper.net/ru/ru/products-services/security/srx-series/srx100/
По производительности — возможно, но вот по функционалу… в общем он одинаков что на srx100 что на srx650 :)
И еще: asa — чисто файрвол (сами знаете как там с роутингом), srx-ы — умеют и bgp и даже mpls (правда последний настраивать имеет смысл только для изучения, для реальной работы — совсем не та производительность железки). А еще умеет собираться в кластеры (что-то на подобие фейловера у asa) актив/актив (притом и ipsec умеет в этом режиме) и актив/пасив и все это без докупки advanced лицензий.
======
Думаю что еще как 2 основополагающих момента — стоит рассказать про обновление junos и восстановление рутового пароля без сброса конфига.
И еще: asa — чисто файрвол (сами знаете как там с роутингом), srx-ы — умеют и bgp и даже mpls (правда последний настраивать имеет смысл только для изучения, для реальной работы — совсем не та производительность железки). А еще умеет собираться в кластеры (что-то на подобие фейловера у asa) актив/актив (притом и ipsec умеет в этом режиме) и актив/пасив и все это без докупки advanced лицензий.
======
Думаю что еще как 2 основополагающих момента — стоит рассказать про обновление junos и восстановление рутового пароля без сброса конфига.
Cisco, на сколько я понял на месте не стоит. Где-то встречал статью тут на хабре что появляются у ASA подвижки в сторону PBR.
Насчет выгребания денег — тут не поспоришь. На srx пришлось купить лишь 25 Dynamic-vpn. Не более того. На асу — шифрование, расширение количества пользователей. Страшно подумать, она в базовой версии dhcp больше 10 IP мне отказалась выдвать.
HA — аса вроде как тоже умеет, правда не настраивал, только читал. Но на неделе вторую привезут. Попробую, если интересно!
Еще аса, правда не 5505, к сожалению, умеет контексты, ну и еще куча плюшек по шифрованию.
Насчет выгребания денег — тут не поспоришь. На srx пришлось купить лишь 25 Dynamic-vpn. Не более того. На асу — шифрование, расширение количества пользователей. Страшно подумать, она в базовой версии dhcp больше 10 IP мне отказалась выдвать.
HA — аса вроде как тоже умеет, правда не настраивал, только читал. Но на неделе вторую привезут. Попробую, если интересно!
Еще аса, правда не 5505, к сожалению, умеет контексты, ну и еще куча плюшек по шифрованию.
актив/актив (притом и ipsec умеет в этом режиме)
ASA то ли уже умеют, то ли вскоре научатся делать A/A failover без ограничения функциональности.
А что, жуниперы из коробки дают рутовый доступ к шеллу ОС?
Ну и если производительность сабжевой коробки 650мб/с, то 5505 ей в подметки не годится :)
ASA то ли уже умеют, то ли вскоре научатся делать A/A failover без ограничения функциональности.
А что, жуниперы из коробки дают рутовый доступ к шеллу ОС?
Ну и если производительность сабжевой коробки 650мб/с, то 5505 ей в подметки не годится :)
не верю я в 650Mbps, да и интерфейсы FE таки.
да, логин ротом дает шелл. В руководстве по этому и написано создать пользователя, который будет админ но без рут шелла
да, логин ротом дает шелл. В руководстве по этому и написано создать пользователя, который будет админ но без рут шелла
650 мбит — это IMIX трафик без доп сервисов, с ними вроде как должно просесть не больше чем на 20%
Ну интерфейсов FE там вроде как 8 штук, так что если железка поддерживает агрегацию или балансировку на L3 — нет препятствий крайне скупым патриотам…
И что, жунипер не ругает криворуких администраторов, которые норовят поставить левые сервисы на железку? Помнится, циска в свое время делала Callmanager в виде программы под винду. Потом TACу надоело расхлебывать последствия работы шаловливых ручек, и они сделали анально огороженные апплайансы на RHEL, где для хоть какого-то доступа к шеллу требуется бубен диаметром не менее 10" (а шелл в нормальной жизни и не требуется).
И что, жунипер не ругает криворуких администраторов, которые норовят поставить левые сервисы на железку? Помнится, циска в свое время делала Callmanager в виде программы под винду. Потом TACу надоело расхлебывать последствия работы шаловливых ручек, и они сделали анально огороженные апплайансы на RHEL, где для хоть какого-то доступа к шеллу требуется бубен диаметром не менее 10" (а шелл в нормальной жизни и не требуется).
Клас суперюзер имеет доступ к шелу тоже, только он вначале попадает в cli, а потом уже можно попасть в шел при необходимости.
Производительно коробки SRX240h, c VPN IpSec порядка 120 Мбит шифрованного трафика.
С SRX100 (кстати индекс h или b), вы получите естественно меньшую производительность.
С SRX100 (кстати индекс h или b), вы получите естественно меньшую производительность.
Забыл про минус (для кого-то может быть он и существенный) — srx-ы не умеют ssl vpn :( Хотя есть кое-какой его аналог под названием Dynamic VPN (принцип работы со стороны пользователя похож на принцип работы SSL-VPN)
Принцип работы, насколько я понял, обычный IPSec. Уже поимел дело с настройкой. Причем хотел немного извратиться и прописал туда еще и маршрут по умолчанию. 4 часа войны и в 3 часа ночи у меня таки заработал нат. За то получил хорошее понимание flow based рутинга, зон и политик. В голове как-то сложилось правильно.
IPSec использует CISCO EasyVPN, а вот SSL VPN (clientless и client oriented) использует в качестве протокола передачи именно SSL. Вся идея в том, что используя SSL, мы сможет осуществить удаленное подключение с вероятность 99% (SSL открыт практически везде). А вот с использованием IPSec могут быть проблемы. Тут стоит отметить не только фильтрацию фаерволом, но и возможные проблемы с MTU.
Использование clientless SSL VPN предоставляет большую гибкость: возможность подключиться к корпоративным ресурсам и/или ресурсам Интернет используя корпоративный портал + шифрование. Доступно с любого устройства с браузером.
Использование clientless SSL VPN предоставляет большую гибкость: возможность подключиться к корпоративным ресурсам и/или ресурсам Интернет используя корпоративный портал + шифрование. Доступно с любого устройства с браузером.
Еще там нет аналога DMVPN насколько я помню. (если сравниваем с рутерами сиски).
С рутерами я бы и не сравнивал. Речь о файрволлах.
Есть, притом основанный на открытых стандартах. И при определенной сноровке вроде как даже можно «скрестить» в dmvpn cisco и juniper. (Со слов иструктора, который читал мне курс по джунос-у).
Согласен с stavinsky, не стоит сравнивать маршрутизаторы с сетевыми экранами. DMVPN на ASA не будет из-за отсутствия туннельных интерфейсов, также нет GET VPN и еще много чего.
BGP, PBR… — удел маршрутизаторов. Если Вы хотите в одной коробке коробке получить все и еще за небольшие деньги, то конечно SRX выглядят понапичканее чем ASA. Но я не вижу особого рвения у CISCO что-то менять в ASA именно в этом направлении.
А если бы этот функционал был. Вы бы активнее покупали ASA и использовали бы эти функции?
Если рассматривать младшие модели, то это SOHO/Brach Office/Central Site. Какой тут BGP?
Если рассматривать старшие модели, то деньги не только на маршрутизатор найдутся, но и дизайн сети будет не школьный.
BGP, PBR… — удел маршрутизаторов. Если Вы хотите в одной коробке коробке получить все и еще за небольшие деньги, то конечно SRX выглядят понапичканее чем ASA. Но я не вижу особого рвения у CISCO что-то менять в ASA именно в этом направлении.
А если бы этот функционал был. Вы бы активнее покупали ASA и использовали бы эти функции?
Если рассматривать младшие модели, то это SOHO/Brach Office/Central Site. Какой тут BGP?
Если рассматривать старшие модели, то деньги не только на маршрутизатор найдутся, но и дизайн сети будет не школьный.
PBR в малом оффисе очень востребован, кластеры (учитывая их стоимость в решениях от джунипера) тоже очень заманчиво выглядят.
BGP нужен не только ISP, так что во многих случаях можнг обойтись старшими бранчевыми srx-ами. Тот же Олимпийский поставил у себя кластер из двух 650-х в рамках построения сетевой инфраструктуры к Евро2012.
BGP нужен не только ISP, так что во многих случаях можнг обойтись старшими бранчевыми srx-ами. Тот же Олимпийский поставил у себя кластер из двух 650-х в рамках построения сетевой инфраструктуры к Евро2012.
commit confirmed
Ещё по мелочи — не нравится внешний БП на моделях младше SRX240 и стоимость железных опций (сильно дороже цискиных).
Как Вам нас тройка NAT и правил фильтрации после CISCO CLI?
Если честно, на данный момент мне больше всего понравилось работать с vyatta. Это конечно опять роутер в большей степени. Хотя там вроде snort даже включен.
По поводу cisco cli против junos — по мне так очень похоже, если понимать концепцию устройства.
Есть один нюанс который я так и не понял как в JunOS реализовать. В cisco я когда админю удаленную железяку, я могу запланировать перезагрузку, если вдруг ошибусь с access list'ом на ssh снаружи.
Вот с этой концепцией я пока не знаю как мириться. Но думаю надо просто почитать Juniper tips&triks
По поводу cisco cli против junos — по мне так очень похоже, если понимать концепцию устройства.
Есть один нюанс который я так и не понял как в JunOS реализовать. В cisco я когда админю удаленную железяку, я могу запланировать перезагрузку, если вдруг ошибусь с access list'ом на ssh снаружи.
Вот с этой концепцией я пока не знаю как мириться. Но думаю надо просто почитать Juniper tips&triks
На днях мне привезли долгожданный Juniper SRX100.
Сразу видно, что Вы раньше не сталкивались с этим говном. У нашей компании большая филиальная сеть и огромное количество банкоматов. Раньше стояли везде только маршрутизаторы cisco. За 10 лет работы с ними было 3 горелых маршрутизатора из-за молнии, 1-2 вышедших из строя wic-порта на маршрутизаторе по причине постоянного сильнейшего перегрева. В банкомате летом температура такая, что до железок не дотронешься. cisco работали как часы. Тут какой то недоумок в «голове», решил разбавить оборудование всякой фигней типа huawei, juniper, nortel и т.д. Было на нашу область куплено штук 200-300 джуниперов, процентов 20 из которых подохло в первый же год. Очень большой процент, когда маршрутизатор просто «теряет» конфиг или начинает «загребать» без видимых причин. Перенастройка и установка в другое место иногда помогает. Еще у cisco инженеры (дай Бог им долгой жизни и крепкого здоровья!!!) продумали такой очень важный момент: все изменения настроек активируются сразу после ввода команды, а не после сохранения конфигурации. Еесли маршрутизатор за 200-300 км от тебя и не уверен, что все заработает после настройки, то достаточно ввести команду
Сразу видно, что Вы раньше не сталкивались с этим говном. У нашей компании большая филиальная сеть и огромное количество банкоматов. Раньше стояли везде только маршрутизаторы cisco. За 10 лет работы с ними было 3 горелых маршрутизатора из-за молнии, 1-2 вышедших из строя wic-порта на маршрутизаторе по причине постоянного сильнейшего перегрева. В банкомате летом температура такая, что до железок не дотронешься. cisco работали как часы. Тут какой то недоумок в «голове», решил разбавить оборудование всякой фигней типа huawei, juniper, nortel и т.д. Было на нашу область куплено штук 200-300 джуниперов, процентов 20 из которых подохло в первый же год. Очень большой процент, когда маршрутизатор просто «теряет» конфиг или начинает «загребать» без видимых причин. Перенастройка и установка в другое место иногда помогает. Еще у cisco инженеры (дай Бог им долгой жизни и крепкого здоровья!!!) продумали такой очень важный момент: все изменения настроек активируются сразу после ввода команды, а не после сохранения конфигурации. Еесли маршрутизатор за 200-300 км от тебя и не уверен, что все заработает после настройки, то достаточно ввести команду
reload in 10. Если после настройки что то не заработало, то маршрутизатор автоматически перезагрузится на старой, рабочей конфигурации. В подлом джунипере конфигурация активируется после сохранения. Поэтому иногда после фразы «ой» или «упс» приходится брать машину и ехать к черту на кулички. Чем больше с этой железкой общаюсь, тем чаще желаю ее разработчикам гореть в аду. По поводу качества железа — хз, лично долго с ним не работал, а вот по-поводу применения конфига — мне больше по душе вариант джунипера, да и функционал reload in у ждунипера тоже реализован, несколькими комментариями выше я уже писал: commit confirmed
А вот за
commit confirmed спасибо. Сильно в доки с ушами не залазили, но поверхностное чтение не позволило обнаружить заветную команду.Скажу честно, управление srx'ом мне понравилось больше чем cisco. Более грамотно организован дебаг. Более грамотно вывод конфигов. Да даже просто вывод нужного модуля вместо вывода всего конфига — очень полезно. У кошек такое тоже есть но только по некоторым модулям конфига. Например sh run int fa 0/1.1. Но вот посмотреть блок про бгп уже нельзя так.
По поводу качества говорить конечно тоже не решусь. Но думаю на таком количестве оборудования стоило сделать централизованное распространение конфигов по, например, tftp. И не было бы проблем со сдохшим оборудованием. Переписываешь новый мак на сервере и просишь передернуть железяку или установить новую.
По поводу качества говорить конечно тоже не решусь. Но думаю на таком количестве оборудования стоило сделать централизованное распространение конфигов по, например, tftp. И не было бы проблем со сдохшим оборудованием. Переписываешь новый мак на сервере и просишь передернуть железяку или установить новую.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Juniper SRX100, знакомство