Free Software Foundation подаёт в суд на Cisco

>2. на ISA сервере нельзя перенаправить порт 25432 на 3389 какой-то машины в сети, после этого ISA сервер как бы не конкурент и предлагаю его не рассматривать

dimon555, вы бы таки не лезли с таким бредом, да? Ж;-) Это можно сделать, а не конкурент ISA по другим совсем причинам. Про которые вы не знаете, как выясняется. Ж;-)

>3. циско и ип телефония.

Хе-хе... У вас есть НОРМАЛЬНОЕ решение на UNIX-like? Поделитесь, плиз... Ж;-)

>p.s.

Вот это недалеко от истины. Но и не близко.

>и опять проигнорировали прокси-сервер, как на циско его поднять???

А он там должен быть? Встречный вопрос, по логике, должен быть "а как поднять на Linux EIGRP и IS-IS?"...

> на ISA сервере нельзя перенаправить порт 25432 на 3389 какой-то машины в сети

Интересный момент. Никогда не работал с ISA Server (даже за деньги). Но если это правда и он действительно этого не может, то скажите - зачем он вообще нужен?

>Интересный момент. Никогда не работал с ISA Server (даже за деньги). Но если это правда и он действительно этого не может, то скажите - зачем он вообще нужен?

он может прокинуть 3389 на 3389 другой машины в сети, поэтому придётся в винде в реестре поменять порт на котором rdp слушает... он нужен чтобы денег изъять у населения

dimon555, бред хорош нести - видно же, что плаваешь, а туда же. Мух от котлет научись отделять сначала - прокси ему на маршрутизаторе подавай... На котором это и не заявлялось.

Сооруди мне что-нибудь типа 1861 на UNIX-like быстро и без проблем - и с тем же уровнем наработки на отказ, кстати, ибо админов в филиалах может и не быть - тогда выступать будешь.

>он может прокинуть 3389 на 3389 другой машины в сети, поэтому придётся в винде в реестре поменять порт на котором rdp слушает... он нужен чтобы денег изъять у населения

Anonymous'у совет - занести dimon555 в фильтр. Ибо он мелет чушь, в которой не разбирается. Ж;-)

>Хе-хе... У вас есть НОРМАЛЬНОЕ решение на UNIX-like? Поделитесь, плиз... Ж;-)
asterisk + прямые руки(хотя там гуй есть и они на самом деле не нужны)

есть скажем офис на 10 человек, один сервак с линукс вполне совместит в себе гейт+ип-телефония+впн+почтовый сервер на отпраку и раздачу писем(приём будет в центральном офисе)+прокси+ssh(для удалённого управления)+вебморда(чтобы самый смышлёный сотрудник мог что-то быстро подправить)+возможно jabber(с гейтами на всё остальное)

подобного решения только на циско не собрать ни за кикие деньги

p.s. при желании покупается второй компьютер и организуется failover без дополнительных затрат

>IS-IS

кроме псих больниц где-то ещё используется?

>Ибо он мелет чушь, в которой не разбирается. Ж;-)

ссылку давай как порт 33333 перекинуть на 3389 другого компа

Ага. Подобного - да. Но это только одна область, и ограниченная - о чём раньше уже говорилось. А вот прикрутить к этой лабуде кучу точек беспроводного доступа с центральным управлением - сможешь?

Посмотри на то, как настраиваются публикации. Там всё прозрачно. Или скриншот нужен?

>кроме псих больниц где-то ещё используется?

Будешь смеяться - да.

>Посмотри на то, как настраиваются публикации. Там всё прозрачно. Или скриншот нужен?

мне негде... поверю, что не умею готовить ISA(мне как бы всё-равно, я всех кто захочет, чтобы я имел дело с exchange и isa просто посылать буду, мне за других обидно)

>>кроме псих больниц где-то ещё используется?

>Будешь смеяться - да.

ну тогда был там демон, он умел

>мне негде... поверю, что не умею готовить ISA(мне как бы всё-равно, я всех кто захочет, чтобы я имел дело с exchange и isa просто посылать буду, мне за других обидно)

Ща скрин выложу - там видно. Ж;-)

>типа 1861
там их несколько, кстати. я не знаю есть ли карты для писюка с POE
но fxs и fxo не проблема, то ли дело, что fxs не надо, можно и софтфонами обойтись или переходниками c 1(2) fxs

там ещё про какой-то HWIC serial, ну этого не видел

p.s. так и не понял умеет ли оно все 8 портов роутить или там свитч, а роутерных интерфейсов всего 2?

>Сооруди мне что-нибудь типа 1861 на UNIX-like быстро и без проблем

не раньше, чем вы покажете МСЭ от cisco, умеющий матчить p2p-трафик, skype, sip, и вообще лазать в поле данных пакета и по его содержимому
классифицировать трафик.

>p.s. так и не понял умеет ли оно все 8 портов роутить или там свитч, а роутерных интерфейсов всего 2?

В лоб - не умеет, не для того оно. Но можно исхиртиться и заставить - через VLAN.

>не раньше, чем вы покажете МСЭ от cisco, умеющий матчить p2p-трафик, skype, sip, и вообще лазать в поле данных пакета и по его содержимому классифицировать трафик.

И что это будет значить? Кроме того, что anonymous слил, пытаясь прикрыться якобы невозможностью решения задач, часть из которых точно решаема (SIP и некоторые виды p2p - про Skype и остальные p2p не скажу, задачи не стояло пока)?

>В лоб - не умеет, не для того оно. Но можно исхиртиться и заставить - через VLAN.
тогда dlink c 8xPOE + писюк + карта от digium на 4fxs 4fxo
или dlink c 8xPOE + dlink c 4fxs 4fxo(там ещё свитч и wan порт) + писюк

на pc поднимаем asterisk и получаем в нагрузку и очереди и ivr и биллинг и веб морду для звонков и что-нибудь ещё ;)

Придираться - так придираться... Что с NAC? Ж;-)

>не раньше, чем вы покажете МСЭ от cisco, умеющий матчить p2p-трафик, skype, sip, и вообще лазать в поле данных пакета и по его содержимому классифицировать трафик.

ASA - самый натуральный MСЭ, а теперь покажите мне на линуксе нормальное инспектирование трафика сложных протоколов когда открывается множество дополнительных соединений в обе стороны (ms-rpc,oracle,....)

Теперь любителям проксей на оборудовании Cisco - протокол WCCP, хранилища которые по нему работают тоже есть у сей конторры, при этом если хранилище отваливается - wccp выключается...

И вообще последние 2-3 страницы - разговор не особо разбирающихся граждан, да ещё и не пытающихся слушать других.

Вообще я подозреваю что лет через 5 эта тема кончится тем, что: для циски свой собственный софт писать нельзя по этому оно маст-дай... ей богу последние две страницы лучше читать вместо bash.org.ru .

>Придираться - так придираться... Что с NAC? Ж;-)

это как бы про то или не совсем?
http://www.linux.com/base/ldp/howto/8021X-HOWTO/index.html

а так аутентифицируй хоть через AD при желании

Нет - это только часть, касающаяся аутентификации. Сам NAC несколько шире - там контроль соответствия политикам ещё ведётся, и только после проверки, в зависимости от результатов, даётся доступ.

Хотя, на самом деле, текущая реализация этого дела у Cisco - полный отстой (работает по SNMP и тоолько с оборудованием Cisco). Ж;-) Не зря я сказал "придираться".

>Теперь любителям проксей на оборудовании Cisco - протокол WCCP, хранилища которые по нему работают тоже есть у сей конторры, при этом если хранилище отваливается - wccp выключается...

и сколько за эту радость нужно заплатить? чувствую тысяч 10 зелени

>Теперь любителям проксей на оборудовании Cisco - протокол WCCP

Справедливости ради должен отметить, что WCCP на 6500 (год назад он был только на этой серии - сейчас не знаю, давно не интересовался) работал несколько... ну, неустойчиво, что ли... Ж;-) Были глюки.

>Вообще я подозреваю что лет через 5 эта тема кончится тем, что: для циски свой собственный софт писать нельзя по этому оно маст-дай... ей богу последние две страницы лучше читать вместо bash.org.ru .
нет старшии модели, те что размером с тумбочку, вполне себе ничего, а нижние модели - разводилово

хотя если вы используете верхние модели, то нужно для мелких нужд закупать и младшие модели, но только в этом случае, чтобы всё было унифицировано

> А он там должен быть? Встречный вопрос, по логике, должен быть "а как поднять на Linux EIGRP и IS-IS?"...

тузег болван (С) для циско есть фирменный "акселиратор"

>тузег болван (С) для циско есть фирменный "акселиратор"

Ну он таки отдельная железка... Посему приводить его в качестве примера в холиваре на тему "да Linux всех Цисок порвёт, если у манагера Целерон отобрать!" как-то не комильфо. Ж;-)

> Инвариантность способов решения задачи в рамках продуктов Cisco намного ниже - следовательно, решение стабильнее.

правда что ли? (С)

мда, такой уйни навороченной в конфигах циски где каждый недоумок "через бридж" строит имея физические интерфейсы на железке я в линуксах просто не встречал...

вот на бзде идиотов "красящих трафик" видел :) а на линуксе нет :)

>Справедливости ради должен отметить, что WCCP на 6500 (год назад он был только на этой серии - сейчас не знаю, давно не интересовался) работал несколько... ну, неустойчиво, что ли... Ж;-) Были глюки.

Ради такой же справедливости хочу сказать что у меня есть 7206, которой уже 3 года и 3года я wccp на ней и использую правда в качестве хранилища SQUID.

>Ради такой же справедливости хочу сказать что у меня есть 7206, которой уже 3 года и 3года я wccp на ней и использую правда в качестве хранилища SQUID.

Значит, я сей момент пропустил. Впрочем, и не углублялся - меня это вскользь задело.

> на pc поднимаем asterisk и получаем в нагрузку и очереди и ivr и биллинг и веб морду для звонков и что-нибудь ещё ;)

ну ты чЁ мужик?! сказано НОРМАЛЬНОЕ решение :-Е это такое решение которое сказали, а все остальные решения повигу....

а еще что бы сделать калцентер надо купить какого симинса сгнившего на сладах в ойропы иначе решение тоже НЕ нормальное...

>правда что ли? (С)

Правда. Представляете, какой разрушительной силой будет обладать человек, исхитрившийся извратиться в конфиге какой-либо кошки, если ему ещё и дать выбор ПО, с помощью которого он будет извращаться? Ж;-)

>не раньше, чем вы покажете МСЭ от cisco, умеющий матчить p2p-трафик, skype, sip, и вообще лазать в поле данных пакета и по его содержимому классифицировать трафик.

Есть NBAR - Network Based Application Recognition

conf t int fa 0/0 ip nbar protocol-discovery

Удивительно, но даже работает.. Насколько помню, нужен IOS Adv Ent или Adv. IP Services.

А вот кому жареной тролльчатинки?

Уважаемые анонимаусы, постеснялись бы так пальцАми своими веерить. Сделанные здесь Вами заявления показывают что Вы больше админы, причём довольно средних по размерам сеток.

Учавствовали бы Вы хоть раз в проектировании большой сети, с ответственностью за результат в виде получения по шапке лично Вами, а потмо смотрели как это развиваеится у Вас не было бы ни вопросов про то где линукс хорошо ни про то где цыска хорошо.

Кроме того, так как проекты имеют свойство появляться регулярно у Вас бы не осталось времни на то чтобы ездить по деревням и весям отыскивая умельца, положившего ветвь сетки, "потомушта kewl zyzop" чтобы дать ему в репу.

Для особо одарнных: не надо здесь в капусту разбиваться, говоря что фряха, линюкс и прочие ОС иже с ними хорошо работают - мы Вам верим... но иногда так строить сетевую инфраструктуру не просто бестолку, но и опасно... неужели этот факт столь труден для осознания?

>Есть NBAR - Network Based Application Recognition

Ну он, на самом деле, не всё может - я его именно поэтому не стал упоминать в контексте вопроса. Нестандартные порты p2p он вполне может запихать в общую графу TCP Application, куда валится нераспознанное.

в том и дело что на *nix это надо всё изобретать, делать, проверять, тестировать не раз и не день и не одну сотню человеко-часов. В циске же всё есть сразу скомпилено, сработано со своим же оборудованием и ПО. Собственно за дебаг и деньги платятся - за обсосанность ПО и гарантированность того что заявлено.

А сколько они за это берут - тема другого разговора и поливания грязью :)

> Правда. Представляете, какой разрушительной силой будет обладать человек, исхитрившийся извратиться в конфиге какой-либо кошки, если ему ещё и дать выбор ПО, с помощью которого он будет извращаться? Ж;-)

тут вопрос в том что в любая система должна быть поделена как по слоям, так и на конкретные "чёрные ящики" с четкой спецификацией что в оный ящик попадает и что имеем на выходе в идеале.

В идеале слои и ящики не зависят от работоспособности друг друга. Между собой чем нибудь открытым общаются. Вам ведь наплевать какой конретно tftp сервер обслуживает оборудование? В каком радиусе авторизуются клиенты и из какого лдапа оный радиус берёт учетную запись?

Следует избегать "мегахитрой муйни" которая завязав на себя все уровни сетевой среды "делает вам хорошо".

относится эти принципы к любой системе построенной на любом оборудовании.

у той же циски куча заявленных фич просто не работает в нужном сочетании. Все конечно "чесно и благородно" и никто никого не обманывал... ложечки короче нашлись, но вот осадок все равно у многих поверьте остался (С)

> Я вот пока нашёл задачу которую нельзя на циско реализовать, это прокси сервер аля squid.

Есть такая жылезка, Cisco Cache Engine. Работает как standalone прокси, так и через WCCP - Web Caching Control Protocol. Кстати, Цыська с этим протоколом чуток подосрала opensource проектам - 2-я версия этого протокола защищена патентами, посему и не реализована :(

Говорят внутрях обычный писюк, может даже с тем же squid-ом, х.з. я с этим девайсом дела не имел. Зато имел дело с IPS и PIX - там Linux ;)

>тут вопрос в том что в любая система должна быть поделена как по слоям

Да я не к таким тривиальным вещам. Я к тому, что наличие выбора методов реализации приводит к тому, что на разных концах сети могут оказаться по-разному реализованными одни и те же функции. Это не есть хорошо.

>но вот осадок все равно у многих поверьте остался

Это про всех сказать можно.

>2-я версия этого протокола защищена патентами, посему и не реализована это из конфига сквида:

wccp_version 4

это так - к слову а не к subj :)

> Уважаемые анонимаусы, постеснялись бы так пальцАми своими веерить. Сделанные здесь Вами заявления показывают что Вы больше админы, причём довольно средних по размерам сеток.

> Учавствовали бы Вы хоть раз в проектировании большой сети, с ответственностью за результат в виде получения по шапке лично Вами, а потмо смотрели как это развиваеится у Вас не было бы ни вопросов про то где линукс хорошо ни про то где цыска хорошо.

и целого мира мало (С)

> Кроме того, так как проекты имеют свойство появляться регулярно у Вас бы не осталось времни на то чтобы ездить по деревням и весям отыскивая умельца, положившего ветвь сетки, "потомушта kewl zyzop" чтобы дать ему в репу.

это есть в любой бюджетной железке от HP, зачем рутер с гигабитными интерфейсами?! вот что наболело, ну не суте хуйню всякую, продайте то что нужно заказчику, что бы он жирел и мог у вас покупать еще.

> Для особо одарнных: не надо здесь в капусту разбиваться, говоря что фряха, линюкс и прочие ОС иже с ними хорошо работают - мы Вам верим... но иногда так строить сетевую инфраструктуру не просто бестолку, но и опасно... неужели этот факт столь труден для осознания?

а вот пирожки с зайчатиной (С) Толстой по моему? Алесашка Менишиков торгует гнилой зайчатиной :)

вот и встретились продавцы и покупатели, вот и поговорили...

больше всего аргументы про покупку кисок (маршрутизаторов) с гигабитными интерфейсами мне встречались в самых нищих конторых персонал которых тупо пилил бабло :(

в результате там где надо было купить пучок линксисов этой же циски или пачку 24х портовых свичей от HP ... ну это же хлопотно их все потом надо осваивать... ану как эта вся фигня заработает? беда будет и нам сирым работать придется... а тут такие милые люди, предлагают сразу купить херню стоящую как 30*24+ по 2 ГБит порта свичей.

>это есть в любой бюджетной железке от HP, зачем рутер с гигабитными интерфейсами?! вот что наболело, ну не суте хуйню всякую, продайте то что нужно заказчику, что бы он жирел и мог у вас покупать еще.

Это идеализм. Если вас можно убедить, что "рутер с гигабитными интерфейсами" вам нужен - вас убедят. Работа у продажников такая, на проценте они сидят. Так что клиент тоже зевать не должен (ну, если он на откате не сидит, разумеется - но это уже трудно лечить).

> 1) Вторая работает месяцами, выключается только если отключают свет больше 2х часов (на ней даже софт для ups не стоит, она просто грубо выключается во время отключения питания, а когда питание дается - загружается).

Жесть!! А ну сделай sudo grep SWAPFAIL_MISS /var/log/squid/access.log | wc -l

> Ну он, на самом деле, не всё может - я его именно поэтому не стал упоминать в контексте вопроса. Нестандартные порты p2p он вполне может запихать в общую графу TCP Application, куда валится нераспознанное.

На курсах уверяли что он смотрит как по портам, так и по контенту пакетов. Хотя, понятное дело, netfilter, а особенно с patch-o-matic прибамбасами навороченней гораздо.

> Есть NBAR - Network Based Application Recognition

> conf t int fa 0/0 ip nbar protocol-discovery

> Удивительно, но даже работает.. Насколько помню, нужен IOS Adv Ent или Adv. IP Services.

а оно что лазает куда то ? по моему тупо порт смотрит отжирая процентов 10 цпу.

Циску опять поломали? Они получили то, что заслужили! Нечего было лезть в интернет со своим брендом и понтами, считали бы траф в своих локалках для правительственных сетей, отгребали бы бабло и помалкивали. А теперь пускай откребают!

> а оно что лазает куда то ? по моему тупо порт смотрит отжирая процентов 10 цпу.

Не догнал, а куда "оно" должно лазать? Смотрит проходяший трафик по порту, отжирая x% CPU, где x - прямо пропорционально трафику и обратно мощности проца. В дальнейшем пакеты можно промаркировать по протоколу и зашейпить как душе угодно.

цискокапец :)

>а оно что лазает куда то ? по моему тупо порт смотрит отжирая процентов 10 цпу.

принимает пакет, разбирает его, применяет правила фильтрации, собирает и засылает на назначенный интерфейс