Kishikitika Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Начальство дало задание найти ДЕШЕВЫЙ (cisco 7200 не предлагать) одноюнитовый фаервол/роутер (в стойку).   Требование такие: 1. Он должен уметь подключаться к WAN по туннельным протоколам (L2TP, PPPOE, PPTP), так и просто напрямую без таковых. 2. Он должен быть не только роутером, но и фаерволом - те уметь закрывать любые порты. 3. Он должен уметь делать роутинг на основе хост-хеадеров (примерно как это делает цискарь или программный роутер от MS - ISA).   Я нашла только Trendnet 304 и похожие. Но то что нужно, они не делают. Этот тренднет умеет  на один Wan только один LAN смапировать. И судя по их размерам - у них производительность задней панели просто смехотворная.   Нужно на один WAN - много-много LAN - по результатам анализа хост-хеадера сайта - то есть сайт www.woman.ru в результате разбора хост-хеадера роутится на адрес в DMZ 192.168.0.1, а сайт www.man.ru роутится на адрес 192.168.0.2   На такое тренднет за тысячу рублей не способен, но cisco за десятки тысяч долларов тоже нам не нужен. И программый роутер тоже не нужен.     Есть тут на форуме кто-нибудь грамотный - посоветуйте что нибудь. Всего записей: 17 | Зарегистр. 28-08-2009 | Отправлено: 21:29 11-09-2009

Kishikitika Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Вероятно, чтобы увидеть в этом тексте не только набор букавак, а ТЗ - надо быть в теме. Всего записей: 17 | Зарегистр. 28-08-2009 | Отправлено: 00:28 12-09-2009

Kishikitika Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору в количестве обслуживания в DMZ хотя бы 50 виртуальных маших (на четырех физических компьютерах) - конкретный бандвич назвать затрудняюсь   что с того что я скажу что нужна производительность задней панели 30 ГБ/сек? - и меня тыкнут в cisco guard за сто тысяч баксов (которых нет и все останется пустым беспелезным трепом)   давайте вообще начнем со стоечных одноюнитовых моделей, которые достаточно интеллектуальны, чтобы делать роутинг по хост-хеадерам Всего записей: 17 | Зарегистр. 28-08-2009 | Отправлено: 01:10 12-09-2009

Kishikitika Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Вот поэтому я не назвала производительность - чтобы про лимоны не возникало разговора. А насчет компетентности - вот поэтому был и задан вопрос - чтобы КОМПЕТЕНТНЫЕ ответили.   А простой домашний роутер/фаервол  trendnet brv 114 (без разбора хост-хеадеров)- стоит тысячу рублей. Такой же, но бандвичем побольше (опять же без разбра хост-хеадеров) - brv 324 - которые вполне потянет 30 виртуалок на 4-х компьютерах - стоит шесть тысяч рублей. Только интеллекта у них маловато (нету в прошивке нужного функционала), а интеллект всегда в дефиците - не только в прошивках, но и в семейных отношениях , и на форумах. Поэтому ни о каких миллионах тут речи не идет. Скорее всего это будет стоить тысяч 30 рублей.     А насчет компетентности своих начальников - я в ней не сомневаюсь.   Так мы перейдем к обсуждению функциональности конкретных моделей или так и будем толочь воду в ступе? Всего записей: 17 | Зарегистр. 28-08-2009 | Отправлено: 12:30 12-09-2009

Kishikitika Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору To tankistua. На всякий случай для вас - 22 порта по 1 гб плюс 2  SPF порта например по 10 гб - дают в сумме - 22+20 = 42гб/c. Но задняя панель имеет бандвич например только 10. Это вполне обычное соотношение для дешевых моделей. Даже может быть 5 гб/c - это у самого низкого класса маршрутизаторов. У самого высокго (на тех же 24 портах - которые подкидывают те же 42 гб/c) - может быть бандвич задней панели например 35 или даже 40 гб/c. Такой маршрутизатор будет раз в пять дороже первого - хотя количество портов у них совершенно одинаковое - 22 дырочки для UTP5 и две дырочки для SFP   To lovec123. Все что продекларировано в первом посте и есть ИСЧЕРПЫВАЮЩИЕ требования. Основное требование к нужному маршрутизатору/фаерволу - интеллект. Бандвич, кличество портов и бренд - вторичны. Ну и не соплями все это должно висеть - стоять в стойке.   И давайте все-таки перейдем к делу. Начальство разъехалось на выходные. Очень просили меня помочь. Было бы замечательно если бы я понедельник имела список УМНЫХ маршрутизаторов.   Всего записей: 17 | Зарегистр. 28-08-2009 | Отправлено: 19:23 12-09-2009 | Исправлено: Kishikitika, 19:23 12-09-2009

lovec123 Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: To lovec123. Все что продекларировано в первом посте и есть ИСЧЕРПЫВАЮЩИЕ требования. Основное требование к нужному маршрутизатору/фаерволу - интеллект. Бандвич, кличество портов и бренд - вторичны. Ну и не соплями все это должно висеть - стоять в стойке.   что вы подразумеваете под интелектом?   что вы нашли уже из умных маршрутизаторов? те до понедельника нужно найти аналог циски за 10% стоймость её же?     Добавлено: у вас ТЗ плавает то   Цитата: давайте вообще начнем со стоечных одноюнитовых моделей, которые достаточно интеллектуальны, чтобы делать роутинг по хост-хеадерам управляемые свитчи 2 3 уровня то Цитата: в количестве обслуживания в DMZ хотя бы 50 виртуальных маших (на четырех физических компьютерах) - конкретный бандвич назвать затрудняюсь например хороший межсетевой экран - http://zyxel.ru/content/catalogue/classifier/7/23/244   всётаки хорошо бы конкретику а то чем дальше в лес тем толще партизаны, в примере (TW100-BRV324) 4 порта по 100 + 2 wan по 100, гигабитами и не пахнет       Добавлено: а я только и понял что нужно найти устройство по функционалу под которое может подойти маршрутизатор, управляемый коммутатор, межсетевой экран Всего записей: 2734 | Зарегистр. 26-02-2007 | Отправлено: 01:21 13-09-2009 | Исправлено: lovec123, 01:52 13-09-2009

Kishikitika Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору To lovec123. Никаких гигабитов по условиям задачи не требуется. Бандвич может быть и небольшой (ну не такой конечно как у приведенных тренднетов за одну тысячу рублей).     Важен функционал-прошивка-интеллект: умение роутить не один WAN на один LAN - а один WAN на 1000 LAN. Если есть тысяча хост-хеадеров есть в правилах роутинга конечно. Это можно реазизовать (1)дорогоми цискарями, (2) одноюнитовым программным фаерволом с ISA - который обойдется в интервале $500-$1000. Но это стандартные най-простейшие решения. Мы хотели аппаратный фаервол.   К сожалению конкретные принципы роутинга (интеллектуальность прошивки) в коротеньких рекламных листиках стараются не упоминать. Поэтому по рекламным постерам не получается подобрать нужную модель вообще. Ведь брендов может быть просто миллион.     Но за ссылку на Zyxel в принципе спасибо. Кстати он стоит как раз 30 тыс рублей. Примерно за суммы такого порядка и собирались в понедельник купить фаервол (ну не более чем втрое дороже, скажем так) - но никак не за сто тысяч долларов, как циско гуард.   Документашку пока читаю - не могу понять позволяет ли он на один Wan повесить много-много Lan. Но при беглом просмотре картинок - они внушают оптимизм. Например я сморю на 206-ю страничку руководства http://zyxel.ru/content/support/download/guid/lg53bff0000fpijfauu81x3vg00/244 (аналогичных страничек много) - там везде в DMZ по многу компьютеров нарисовано ( а у тренднетов за тысячу рублей изначально везде на картинках один кампутер в DMZ)   Я уже нашла на странице 186 что может быть many WAN IP address, а на странице стр 344 - что он умеет хранить списки сайтов -  - вот только осталось понять по каким принципам выполняется роутинг с одного Wan на эти несколько компьютеров в DMZ - если там где-то в правилах есть роутинг по хост-хеадерам сайтов c Wan на конкретный коппьютер в DMZ - то задача решена.   Если такой глубокой разборки IP-пакетов этот фаервол-роутер делать не умеет, то надо искать с более умной прошивкой. У того же бренда Zyxel - таких роутеров аж 14 моделей - http://zyxel.ru/content/support/download/23 А брендов - десятки.   Поэтому эта задачка отбора ОДНОГО из сотен и тысяч моделей - ее есть смысл решать на форуме - по ОПЫТУ другие людей, УЖЕ решивших эту совершенно обычную и стандартную задачку. Всего записей: 17 | Зарегистр. 28-08-2009 | Отправлено: 13:09 13-09-2009 | Исправлено: Kishikitika, 13:42 13-09-2009

lovec123 Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Kishikitika попробуйте сегодня запостить в ветку в помощь сисадминам - флейм для сисадминов, там по больше разбирающихся будет и возможно уже решивших аналогичные задачи, это профильная ветка для вашей задачи, а здесь больше железных волков Всего записей: 2734 | Зарегистр. 26-02-2007 | Отправлено: 13:43 13-09-2009 | Исправлено: lovec123, 13:45 13-09-2009

Kishikitika Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Я уже нашла, кстати, что он умеет разводить на разные кампы в LAN в зависимости от входящего порта - это страничка 444 Но вот не могу найти самого главного для решения задачки - может ли он не просто тупо номер порта обработать (он всегда 80) - а разобрать входящий пакет чуть-чуть глубже- чуть чуть умнее - определить хост-хеадер сайта - и пробросить www.woman.ru на один камп, а www.man.ru на другой.   Может это можно вывести как-то фильтрами. Не пойму что он умеет ИМЕННО этот фаервол. Так внешне - по размеру, цене - это то что нужно.   Но достаточно ли он умен - вот в чем вопрос. Не могу этого понять из описания.   Да, действительно щас схожу еще в ветку к админам Всего записей: 17 | Зарегистр. 28-08-2009 | Отправлено: 14:14 13-09-2009

lovec123 Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору lovec123 вы кстати заметили что и в межсетевых экранах и в управляемых коммутаторах схожий функционал и выбирают между ними в основном от конкретной задачи   Добавлено: Цитата: Так внешне - по размеру, цене - это то что нужно. улыбнуло Всего записей: 2734 | Зарегистр. 26-02-2007 | Отправлено: 14:19 13-09-2009

Kishikitika Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ну нет, управляемый коммпутатор - это другая вещь совсем у нас их куча - что они умеют я понимаю очень хорошо они того что нужно - не сделают - это точно грубо говоря (отбрасывая детали) - они создают маршруты из одной дырочки в другую и убивают широковещательые рассылки. Но никак не NAT. То что делает NAT - это уже не уровень коммутатора - это уже уровень роутера   и принципы NAT могут быть совсем простые, могут быть более крученые ( как например в том юните, что вы мне дали - NAT делается например принимая в расчет ПОРТ - а могут быть ЕЩЕ БОЛЕЕ крученые - полностью распотрошить входящий IP-пакет, выделить в нем хост-хеадеры и сроутить этот пакет на нужный кампутер в зависимости от правил роутинге - грубо говоря нам нужен аппаратный аналог ISA-сервера, только не вся ISA - а именно та часть которая ПУБЛИКУЕТ внутренние кампы во внешнюю сеть   при этом внутри (в DMZ) кампов много, на каждом их них стоит свой сайт - а WAN адрес либо один либо один (это просто чтобы логику публикации понять) - а на практике это конечно небольшая подсеть, скажем из 16 адресов - но кампов внутри с сайтами много, значительно больше чем 16 кстати принять на один Wan-адерс несколько айпишников тоже может далеко не всякий фаервол, но вот этот - что вы мне дали ссылку - он может только непонятно по каким принципам эта модель умеет роутить во внутренню сеть Всего записей: 17 | Зарегистр. 28-08-2009 | Отправлено: 14:27 13-09-2009 | Исправлено: Kishikitika, 15:02 13-09-2009

lovec123 Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Kishikitika созвонитесь в понедельник с тех подддержкой зукселя они функционал и принципы должны на 5 знать Всего записей: 2734 | Зарегистр. 26-02-2007 | Отправлено: 14:59 13-09-2009 | Исправлено: lovec123, 15:07 13-09-2009

Kishikitika Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору да, это точно есть смысл сделать в понедельник   если бы я могла дать скажем десяток моделей - это было бы еще лучше   но в этом деле есть одна проблема этот функционал (возможно) можно вывести только какой-то коомбинацией правил   ну например все пакеты пробрасываем на все кампутры внутри DMZ, а потом уже в какой-то совершенно ИНОЙ вкладке (не напрямую при настройке NAT) - уже выводим, что адрес 192.168.0.1 принимате ТОЛЬКО www.woman.ru, а адрес 192.168.0.2 только www.man.ru   те одно дело - когда нужный функционал выводится напрямую прямо на мастере (на вкладке, на правиле) настройки NAT - тогда конечно такое знают в Zyxel, а вот если вдруг - такое выводится сложно (комбинацией правил - и этой комбинации в примерах НЕТ) - тогда не исключено, что в Zyxel просто не ответят - можно ли вывести такой функцонал   поэтому я и пошла на форум, а не обзванивать dlink, linksys, zyxel и так далее   Добавлено: Поскольку вот этот мой топик http://forum.ru-board.com/topic.cgi?forum=8&topic=34069#1 просто закрыли - и я понимаю почему - ни vlary ни urodliv не хотят чтобы я им ответила там - и чтобы этот ответ видели все, кто попал в ту ветку - мне придется отвечать этим товарисчам здесь   потрудитесь, почтенные, обьяснить мне как ИМЕННО апач выполнит NAT адреса 62.112.106.130 (это адрес этого форума) на другую виртуальную машину с адресом 192.168.0.1 для размещенного там сайта www.man.ru, и того же адреса 62.112.106.130 на виртуальную машину 192.168.0.2 для размешенного там сайта www.woman,ru и каким образом SMTP, приходящие на 62.112.106.130 с адресом mail.man.ru будут передаваться для обработки на адрес 192.168.0.3, а SMTP, приходящие туда же для mail.woman.ru будут передеваться на обработку почтовику, находящемуся на 192.168.0.4   если я (и все остальные) не увидим httpd.conf с такими пораметрами? то что? куда записываем вот этот мужской снобизм "Учи матчасть"? на чей счет?   Что тогда? - если такой конфиг тут не будет опубликован?     можно ли тогда считать, что товарисчи, имеющие по крайней мере права на закрытие топиков в разделе "в помощь системному администратору" на форуме http://forum.ru-board.com - не только заносчивы донельзя -"Учи матчасть",  но и не в состоянии отличить NAT от PAT, а маршрутизатора от WEB-сервера   так получается? или как? Всего записей: 17 | Зарегистр. 28-08-2009 | Отправлено: 15:09 13-09-2009 | Исправлено: Kishikitika, 15:10 13-09-2009

Kishikitika Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Все.Тема исчерпана. Уже вернулся с дачи босс. Я ему показала зтот Zyxel - он сказал, что я тупая и в этом фаерволе все можно вывести фильтрами IP-пакетов - те каждый реквест пробрасывается на все кампы в DMZ и на каждый IP просто фильтруется на вкладке IP-пакетов Я уже заказала срочную доставку этой игрушки в интернет-магазине. И он сказал, чтоб я завтра до трех ее успела настроить. Все. Всем спасибо. Пока. Всего записей: 17 | Зарегистр. 28-08-2009 | Отправлено: 22:15 13-09-2009

Страницы: 1 2

Компьютерный форум Ru.Board » Hardware » Общие вопросы » Прсоветуйте дешевый и умный одноюнитовый фаервол/роутер

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование