Порт Linux на Cisco 7600 / Catalyst 6509

А было же в свое время решение переводить кошек на QNX, кто нибудь слышал что с этим сталось? Как по мне так решение то очень правильное, вот тока кхм-кхм цены на QNX... Мастдай отдыхает

"И с информацией будет то, что заслужено - нефиг провода выдергивать. Тебе ведь не прийдет в голову мысль выдернуть на лету из сервера винчестер, особенно если он не hot swap."

Дело даже не в этом. Если поставить Linux вместо IOS на циску, он тоже потеряет инфу при выключении питания. Не на винт он же ее кидать будет, да? :)
Так что в этом плане никаких преимуществ нет.

2poison_rev&Irsi:

Спасибо что просветили, что из всего множества курсов по cisco
есть и стоящий. Только вот сколько он стоит, ради интереса :-).
500$ ? 1000$? 1500$ ? 2000$ ? Кода у кого то из мои работодателей появится лишняя 1000$ я ег ос радостью раскручу на курс для меня :-) .Нет я понимаю что для простого американца или
зажравшегося Ирси это мелочи. И я понимаю что труд должен достойно
оплачиватся... И для поганой :-) московской фирмы в поганой :-) москве
где живут одни "черные" :-) и не осталось Русских людей :-) это
мелочи. Ну да, оскорбления - а что вы хотели услышать когда вы
совершенно не поняли о чем постинг, и при этом начинаете высказывать
стандартные комментарии жирных котов :-) А ?

Еще раз для, тех кто не понял: Я очень рад что среди курсов по цискам
есть стоящие и с радостью его пройду если представится такая возможность.
И циску с его IOS я уважаю. Но обьективная реальность в том
месте где я живу такова что возможность иметь cisco с linux,
при чем нормальная возможность, это решение очень остро стоящего
кадрового вопроса. Реального вопроса. Специально для идиотов:
нет я не призываю вот сейчас бежать и ставить на cisco linux,
как почему-то подумал Ирси и еще некоторые товариши.
И насчет курсов - а с чего вы взяли что в моих условиях, подчеркиваю,
в моих услових КОГО-ТО ВООБЩЕ пошлют на родные цисковые курсы?
В моей "системе координат" высказываение ""все курсы по циске туфта"
является верным с гарантией 3 девятки :-)

To: kernel

да понятно что есть проблемы с финансами и все такое...
Но тебя на курсы по Unix посылали ? Нет ? Сам научился ?
Ну и замечательно... Кто тебе мешает освоить IOS ? Литературы - валом,
вот недавно .iso-шку стянул с доками и tutorial'ами по cisco, а сам www.cisco.com,
а Universe CD ? Да просто заходищь telnet'ом на кошку и пишешь -> ? и
видишь какие команды и т.д. Есть fido7.ru.cisco. Есть книжки на русском
по подготовке к тому же CCNA, CCNP. Короче, было бы желание...
И IMHO больщинство наших cisco-admin'ов - самоучки, потом уже
посдавали экзамены...

И вообще, насколько я понял, AYR Networks симитировала CLI IOS,
не bash же они туда засунули... %)

2Arn: да слухи ходили... но я не в курсе чем все закончилось. Кстати во-первых на цены таких вещей как QNX ты не смотри, да они огромны, но и принятые в этом секторе скидки не меньше...:) Особенно для таких людей как кошководы...:)

2kernel: во-первых практически ВСЕ курсы кошководов стояшие. Просто некоторые нужны исключительно тем, кто с кошками работает, но многие полезны всем, кто работает с сетями. На твой вопрос отвечаю - экзамен на CCNA стоит 200$, на CCNP тоже вроде, сейчас уже не помню. Дико дорогой это CCIE, но прости - если ты работаешь там где он нужен и являешся специалистом такого уровня, что реально можешь сдать CCIE, то поверь - работодатель носится с тобой как с писаной торбой и отстегнет тебе денег и на экзамен и на поездку (его в exUSSR не сдашь - это 2х или 3х дневная лаба, которую сдают на спецстенде, стоимостью в несколько лимонов чтоль), и на курсы...:)
Да, книжка для подготовки на CCNA & CCNP можно купить например в академкниге на ленинском или заказать в инте с доставкой. Стоимость одной штуки - около 10-20$ с доставкой по России... Очень толковая литература, экзамены после нее сдать раз плюнуть... Ну разумеется если практический опыт хоть небольшой есть...:)

2Arn&Irsi

sluhi polozhitelno zakonchilis. noviy ios imeet microkernel architecture

2Irsi Спасибо за информацию.Это сам акт сдачи экзамена ?
А курсы вместе с комплектом литературы ?
2ShaD0w Ну совсем уж очевидных вещей мне можно не обьяснять :-)
Если бы я учил циску я бы так и поступил, но см ниже.
2 all
Судя по ответам вы все таки не совсем поняли на что я намекаю.
Для организации курсов/лаб по линуху и сетям на его базе
нужно оборудование которое есть в практически любом вузе
- компьютерный класс персоналок с процессором >=386. И много
много кабелей для имитации удаленных соединений :-) Если
совсем прижмет кабеля делают из старых мышек. А сетевуха
стоит сейчас у нас 300р. Модемы выделенных линий найти тоже
гораздо проще. Ну а где я найду циску , ась ? На живом
железе мне учится никто не даст - это будет актом
обмана с моей стороны. Да, большинство админов цисок самоучки.
Но они ГОЛИМО ОБМАНЫВАЛИ своих работодателей. И то пока это
было возможно. То есть пока их было настолько мало что брали
красноглазых и давали им учится на живом железе. И кстати
всякие крики местных "профессионалов" о том что "гнать
красноглазых с работы поганой метлой" , и похвальбы
Ирси о том как он выгнал какихто криворуких линуксоидов
напоминают мне историю о пирате Моргане, ставшем губернатором
Порт Рояйла. Аж книжку, гад, написал, как вредны пираты
для торговли :-). Вот и Ирси сотовариши как Морган(ты уж извини что я тебя
постоянно поминаю :-) , твой ник становится нарицательным
в некоторых дискуссиях :-)), только вместо книжки "О вредности
красноглазых для бизнеса" флеймит на ЛОР. А у самого
только краснота с глаз спала, только БСДевая. Так сказать
я не красноглазый пират :-) я честный капер :-)

2kernel: ага, это только сдача экзамена. Сами курсы сикоко - не знаю, обычно наши люди сами готовятся и удут сдаваться... Собственно на крсы ходять обычно только те, кто уже на CCIE здаваться собрался... Там говорять что эти курсы действительно нужны и без них сдать гораздо сложней... А CCNA, CCNP и самостоятельно выучить не проблема, особливо первый...:)
На счет голимо обманывали - да нет, обычно поподают люди в контору где есть не только винды и юниксы, но и кошки... Там уже есть минимум CCNP обычно, у него и учаться...:)
К слову - 806я стоит <600$ и вполне себе полноценная кошка на которой учиться можно... Набор интерфейсов правда ненужный практически в обычной жизни - 2 Eth, но для обучения имхо самое оно...:)

2kernel: еще вариант, на совсем бедного - поставь себе зебру, www.zebra.org Система команд сдиралась с кошачего EXEC... Вообщем разобраться с общем принципом построения команд EXEC тебе это поможет, значительная часть того что относится к RIP, OSPF & BGP там есть. Остаются за бортом правда ACL, DHCP, VPN, всяческие служебные типа обгейда IOS и т.д... Но имхо понимая общие принципы постоения дерева команд EXEC и _хорошее_ понимание принципов организации того протокола, который ты настраиваешь, разобраться с нужными командами проблем нет _вообще_. Все элементрно! :)
Свичи - отдельный вопрос если честно. Но тоже разберешся имхо, если с роутерами разобрался уже...:) Ну и далше пошли уже другие их железки... Но все же самое главное и востребованое их железо это роутеры и свичи...:)
Удачи! :)

>>все когда то было интересным, но нежизнеспособным.
>Не все.
>К примеру, FreeBSD и linux после того, как появился в интернете, были и >интересными и жизнеспособными.
вы за них пятак давали? если бы не свободные лицензии - лежать бы им в помойке..

>>три модема adsl стояло. сейчас вот моторолла мигает. проблем ноль.

>И сколько моторола (кстати, какая моторола, vanguard?)стоит?
не знаю. ее сейчас ставят за 400 баксов на круг. вместе с каналом.
однако есть и другие решения. pci платы. просто провайдер отделил свою ответственность именно на интерфейсе модема, а не провода. а по pci не отрежешь...

еще раз. сервер все равно нужен. у меня на нем и статистика, и www и pops и imaps и pdc и rsyncd и ftp.
денежки он мне приносит...

>>все когда то было интересным, но нежизнеспособным.
>Не все.
>К примеру, FreeBSD и linux после того, как появился в интернете, были и >интересными и жизнеспособными.
вы за них пятак давали? если бы не свободные лицензии - лежать бы им в помойке..

>>три модема adsl стояло. сейчас вот моторолла мигает. проблем ноль.

>И сколько моторола (кстати, какая моторола, vanguard?)стоит?
не знаю. ее сейчас ставят за 400 баксов на круг. вместе с каналом.
однако есть и другие решения. pci платы. просто провайдер отделил свою ответственность именно на интерфейсе модема, а не провода. а по pci не отрежешь...

еще раз. сервер все равно нужен. у меня на нем и статистика, и www и pops и imaps и pdc и rsyncd и ftp.
денежки он мне приносит...

>Ты пойми, что некоторый задачи _дешево_ (по меркам России) не решаются.
охотно верю.

>Например, _дешего_ преобразуй E1 в V.35 или IP?

забыл нашу конторку, которая делает pci платы с таким преобразованием. на сайте написано было "linux compatible". Настаивать не буду, бо не покупал и не пробовал. однако факт...

>А ты хочешь за медяк купить сложное решение...
я _никогда_ не гнался за дешевизной. не тот поп. была высказана мысль, что есть ряд "спецов", которрые просто бездарны. и свою бездарность они маскируют изначально неграмотными дорогими решениями. все.

>2Avel: понятно... ADSL, считай тот же ETh... на ADSL-модеме ведь с
>другой строны Eth торчит? Модем нормальный три сотни, комп на раутер
>три сотни... какраз цена 827й кошки и выходит...:)

вот только что говорил о бездарях, даже арифметики не знающих и вот приплыл очередной кадр...

учимся складывать.
1) модем - его ставит провайдер. это все равно зашито в установку.
2) сервер - он тянет все сервисы и потому в любом случае нужен.
3) циска на 6 мбит и пятерку подсеток вряд ли будет стоить меньше той же штуки
4) обслуга циски за чей счет?
итог:
ирси в очередной раз показал себя профаном.
причем я тут в соседнем треде зашел на приписываемое ирси прежнее место работы. Оказалось, что это вшивый провайдеришко с 3 мегабитами аплинка. и сисадмин такой помойки тут дерьмом исходит про циски!!!
ирси, ты просто мыльный пузырь. мне стыдно за тех, чьим именем ты прикрываешься...
Другой пример: провайдер newtech. тоже профаны не могущие десяток сервисов содержать. а все туда же - циски-киски...

2Avel:
1. Практически любой ISP с удовольствием ставит заместо модема 827ю кошку...:) Доплата по сравнению с модемом - две-три сотни. К слову - 806я и 827я стоят одинакого...:)
2. Какие все простите? Почту, веб? Их дешевле и лучше держать у ISP... Впрочем не спорю - зачастую сервер все же нужен.
3. См. Cisco 827, я не помню сколько она прокачивает.
4. ISP обычно обслуживает сиську баксов за 20$ в месяц...:)
Итог - линуксоид опять продемонстрировал полное незнание вопроса :)
Так, про Тор Инфо я уже все сказал...:) Там более 3Мбит, но это не важно...:) Пяток кошек, самая крутая 3640, правда сейчас вроде 7200 поставили...:) Впрочем контора помоешьная, я не спорю...:) Нужен мне был полигон вообщем... Ну я его и поимел с кучкой говна впридачу...:)

Да, про карточку v.35 pci лучше не поминай - дешевая затыкается на 128Кбит, а та что модет прокачать 2Мбит стоит как 26я кошка почти...:) Не забывый что v.35 это более низкоуровневая вешь чем Eth...:) И еще не забывай про кучу стандартных реализаций HDSL, наглухо не совместимых друг с другом... :-/

>Irsi, тебе кошки таких серий не купить ни когда >Мне почему-то думается, что ты такие киски в глаза не видел.

У Ирси на прошлой работе стояла только 3640 :о)

> Если есть ADSL/ISDN/V.35/G.703, то альтернатив кошкам просто нету... Ну-ну! :о) > Хотя и для чистого Eth вопрос спорный - есть 806я.. ДА? А ты тактовую частоту у нее знаешь? Как такой проц может переварить пусть даже 10Мбит?

2anonymous (*) (2002-03-16 01:20:46.0): эээ, дарагой... 10Мбит по Eth это гораздо легче чем 2Мбит v.35...:) Сам догадаешся почему или объяснить? :)
Да и вообще - забудь ты про тактовую, в специализированных железках... И про объем ОЗУ тоже... Ну по крайней мере не делай прикидок, опираясь на железо общего назначения...:)

>2. Какие все простите? Почту, веб? Их дешевле и лучше держать у ISP... >Впрочем не спорю - зачастую сервер все же нужен.

1) сервисы я уже перечислял. Их много. По цедому ряду причин я держу их именно у себя.
2) из за этих isp мне приходится даже свой smtp с авторизацией держать, чтоб иметь отовсюду рабочий smtp сервис!

2Avel: да ну тебя...:) smtp тебе приходится держать не "из-за этих isp", а из-за rfc2505...;) К слову - а что твой isp не поддерживает smtp с авторизацией???? Чудеса блин...

2Avel : Не подкинешь ссылки на доки/название HOWTO где описывается как сделать эту самую SMTP авторизацию ? И кстати на чем у тебя она(какой smtp сервер) ?

>2Avel: да ну тебя...:) smtp тебе приходится держать не "из-за этих >isp", а из-за rfc2505...;)

именно из за этих isp. у них он работает так, что почта хуже факса на сотовом пашет...


>К слову - а что твой isp не поддерживает smtp с авторизацией????
>Чудеса блин...

да не нужен мне smtp с авторизацией от isp! был бы простой но рабочий smtp. а авторизацию мне приходится включать, потому как открытый релей - это только тебе норма, а для меня недопустимо. заодно ssl там же.

>2Avel : Не подкинешь ссылки на доки/название HOWTO где описывается как >сделать эту самую SMTP авторизацию ? И кстати на чем у тебя она(какой >smtp сервер) ?
у меня postfix. доки и хавту на www.postfix.org
в рассылке mandrake-russian@altlinux.ru обсуждалось и объяснялось, как добавить в конфиг пару строк и поднять авторизацию для всех и свободный доступ для своей сетки. так и работает.

Забавно, похоже больше всего про циски в этом треде усераются именно те, которые их никогда не использовали.

Почему ставят циску? Да просто потому, что профессионалу на порядки, подчеркиваю на ПОРЯДКИ требуется меньше времени, чтобы настроить все что может потребоваться для самой извращенной работы!

Какие у цисок аптаймы? - Годы! Юниксам такое не снилось, у них в ядрах эксплойты чаще выходят.

Хотите сделать policy роутинг? Как два пальца... А вы в курсе, что нормальный pполиси роутинг в Линуксе появился только начиная с 2.4 ядра.

Тоже самое с трафик-шейпером, но даже сейчас чтобы настроить CBQ в Линуксе требуется недюженные прышки с бубном.

NAT ничем не хуже, но в циске делается проще.

Про всякие фичи наподобие mac-accounting я даже не говорю, нет в юниксах ничего подобного...

Ну а самое главное - это BGP! Релизация BGP - это основа интернет, и циско дает эту основу. Всякие Zebra и Gated пока еще рядом не сидели с циской.

Кстати можно ли себе представить админа, который обслуживает 100-200 цисок? Да легко. Когда знаешь что делать и все автоматизированно, замониторенно, забекаплено то это не вызывает никаких проблем.

Поэтому легко определить уровень провайдера. Если он требует для подключения установки циски, значит ставит надежность сети во главу и кдиент с ним никогда не влетит на незапланированные расходы.

Ну а насчет цены... Что вы хотели. Добавление надежности всегда сопровождается увеличением стоимости. Вот только когда фирма действительно делает деньги, она считает не только затраты на оборудование, но и стоимость потерь, которые возникнут при простоях дешевого оборудования.

Конечно для какой нибудь конторы, в которой недоучки торгуют памперсами и сеть администрит красноглазый линуксоид совершенно противопоказанно покупть циску за 1000$. Не дай бог разорится контора от такого платежа. А нормальную контору не сильно напряжет купить циску и заплатить один раз 100$ спецу за ее настройку. Все равно дешевле выйдет чем годовое содержание студента, обслуживающего рассыпающийся 100 баксовый писюк.

>2. Какие все простите? Почту, веб? Их дешевле и лучше держать у ISP... >Впрочем не спорю - зачастую сервер все же нужен.

Почту у ISP? Это как? Этот ISP берется нести финансовую ответственность за неразглашение содержимого моего почтового ящика?

Пойдите на www.libertarium.ru/libertarium/sorm и почитайте там, тогда поймете, насколько велики у вас шансы включить такой пункт в договор.

Этот ISP берется предоставить мне защищенный доступ по IMAP оттуда откуда мне надо? А сертификаты SSL-ные кто подписывал?

Этот ISP берется дать мне доступ к файлу алиасов и procmail-овским конфигам, чтобы почта на корпоративные алиасы типа info и support рутилась туда куда мне сейчас надо?

А корпоративную адресную книгу в LDAP тоже у ISP держать?

Про Web я как разработчик корпоративных inter/intra/extra-net решений еще более интересные вопросы могу позадавать.

Хотя в случае веба полезно держать один сервер в конторе, где внутренняя информация и редакторский процесс, а другой на collocation, и организовывать репликацию. Это решение у нас работает даже через диалапные линки.

Нет ну я все понимаю - но тема то у нас Линукс на cisco а не Линукс на PC или IOS на Cisco. И при этом все прямо ОТКАЗЫВАЮТСЯ ее со мной обсуждать :-). Начинают рассказывать как выучить IOS и что линукс на PC это ненадежно :-). . И кстати насчет циски за 600$, я бы из личного кармана ее не купил . Ну нафиг она мне сдалась - пресс папье у меня и так есть. А насчет конторы где тебя будет ciscoвый админ учить - так он скорее будет посылать куда подальше. Я по другое - практику то неоткуда взять. В той гипотетической конторе явно все циски уже настроены, и красноглазых к ней не подпускают и на пушечный выстрел.

2Avel: ага, я понял - rfc2505 ты не читал и не знаешь о чем он, но пальцы на тему open relay раскинул широко...:) Я плякал...:))))

2vitus: на все вопросы ответ - да. Тайна переписки у нас гарантируется законом, так что пункт в договоре не нужен...:) А на счет сорма - свой почтовый сервер от него не спасает...:(
Про веб - если тебе нужно что-то не сильно отличающееся от стандартного набора, то ISP скорей всего пойдет тебе на встречу, если сильно - коллакейшен все равно дешевле чем приличный канал до конторы...:)

2kernel: ну кошководы обычно люди незлобные, это тебе не линуксоиды...:) и к кошкам подпускают, не сразу, но подпускают... Типа кошку у клиента настроить (это обычно ISP - те у кого кошководы работают...), новую кошечку сконфигурить...
А линукс на IOS... Ну представь что к тебе приходит въюноша бледный со взором горящим и предлагает весь твой линукс на роутерах/серверах заменить на win98... Именно на 98й, а не хотя бы на нтю...:) Будешь ты с ним беседовать? :))) Ну как ты ему объяснишь неразумность этого решения??? Попробуй для практики объяснить мне...;) Лучше мылом, а то онанимосы не поймут и начнут пургу гнать...:)

Профи сначала пробуют, я потом пиздят,
на этом сайте наоборот .....

Сначала поробуйте, а потом высказывайте мнения

> anonymous (*) (2002-03-16 18:53:36.0)

Ой это почему это полиси рутинг заработал вот только с 2.4?
с 2.4 появились дополнительные возможности это да.

Кстати по заверениям Кузнецова полиси рутинг в линуксе сделан более
грамотно чем в IOS 12.0 - источник можете найти в документации
на iproute2 пакет - там же ссылку на сайт www.cisco.com

аккаунтинг по mac адресам делается
(правда без писательства только в 2.4)

трафик шейпер - хых - ну да, то что он опять же получился очень
гибким "виноваты" линуксоиды - в частности тотже Кузнецов 8-))
Это серьезное обвинение - хых

2Irsi: Так я ему буду обьяснять неконстрктивно а в порядке религиозного флейма :-) Типа линукс рулез win98 мастдай. Вот я и подозреваю что эти кошководы тоже религиозные флеймеры будут вместо аргументов говорить cisco рулез линукс мастдай. При чем судя по тебе - так и будет. Но ладно, ты некорректную аналогию привел. Дело в том, что на тех серверах где может win98 УЖЕ стоит. Чуешь разницу? Главная некорректность - приходит упомянутый юноша не ко мне, а к моему манагеру. Так как в той ситуации о которой я говорю меня как бы нет. А манагеру это куда проще будет обьяснить, согласись. Так что корректная аналогия такая: приходит юноша с горяшими глазами в контору, где давно поставлены линукс сервера и виндовые клиенты. Админов нет. Вообще. И предлагает юноша в порядке эксперимента поставить на новые сервера, которых много, win98. И утверждает при этом, наглядно демонстрируя, что типа может. А при этом этот вышеупомянутый манагер уже год линуксового админа ищет, и не находит. При чем в корректной аналогии NT например, ВООБЩЕ нет. Типа выбор либо линюкс либо w98. Согласен с поправками?

2kernel: ээээ... роль 98х здесь выполняет линукс...:) и сравнение гораздо более корректное и адекватное, чем ты думаешь...:)
Линукс тоже более распостранен чем кошки в определенном секторе...:)
Знания кошководов в области сетей приблиительно настолько же превосходять знания среднего линуксоида, насколько знания линуксоида превосходят знания эникейщика-масдайщика... Просто кошка очень активно требует чтоб человек ей управляющий досконально знал тот протокол/сервис, который он настраивает... Если ты его знаешь - синтаксис конкретной команды тебе знать вообщем не обязательно, знаю общие принципы построения дерева команд exec допрешь, в крайнем случае - посмотрищь на www.cisco.com примерчики/доки... Но если ты смутно и/или не совсем верно представляешь себе как работает оный протокол/сервис, то знание синтаксиса тебе никак не поможет...
Вообщем сложность работы с кошками несколько преувеличина... Нету никаких проблем если хорошо разбираешся с сетью... Ну а если плохо, то какой ты к черту админ? :)

cef - на 3620? не смеши.

а netflow очень хорошо загружал принимающую машину.

диски у неё на самом деле есть - только flash, что сути дела не меняет. ибо у нас куча линуксов живёт тоже на flash в принципе, туда апач влезет. памяти в тех машинах - тоже не гигазы. не помню, какой проц в 25xx а 16xx стоит motorola68xxx - примерно как 486DX2-66. в нашей 3620 вообще стоит MIPS4700.

а ACL мне не нравится своей убогостью в сравнении даже с ipfwadm (сам приницип как они прикрепляются к интерфейсам и всякие "features" типа номера acl который прямо влияет на то, как acl работает и на какой интерфейс можно поставить).

> cef - на 3620? не смеши.

Кто говорил о 3620?
Речь шла о netflow. А про то, что netlow есть на 36xx мне не известно.

>а ACL мне не нравится своей убогостью в сравнении даже с ipfwadm
>(сам приницип как они прикрепляются к интерфейсам и

То, что фильтр пакетов рассматривается с точки зрения интерфейса - это убогость? Вот рассматривать все пакеты с одной точки входа/выхода - вот это убогость так убогость.

>всякие "features" типа номера acl который прямо влияет на то, как
>acl работает и на какой интерфейс можно поставить).

А, вот вы о чем. А что, по вашему, можно прицепить фильтр для ipx туда, где этого самого ipx никогда не было и не будет?

Кроме того, к сведению, стандартный акцесс-лист работает _быстрее_.

poison_reverse

> А про то, что netlow есть на 36xx мне не известно.

Ошибся. Не известно мне, _как_ работает.

poison_reverse

>Кстати по заверениям Кузнецова полиси рутинг в линуксе сделан более
>грамотно чем в IOS 12.0

По его словам, полиси роутинг на линуксе более гибок.
Формально - да, гибче.
Только я не могу себе представить ситуацию, в которой next-hop должен
определяться динамически. Точнее, представляю, но это случай "сферического коня в вакууме".

Опять же, если уж такое нужно, то это можно через сделать и в ios. Через rsh.

poison_reverse

Акксесс листы и ipfwadm ? Ну простите меня намешили!

Ппробуйте залить неважно какой и куда конфиг состоящий из нескольких тысяч фаироволльных правил. Чтобы вы не делали это займет ВРЕМЯ. Поэтому самый простой способ очистить фаирвол, нафтыкать новые правила в таком случае не подходит.

То ли дело циска там можно неспеша хоть в течении часа сформиоровать лист а потом одним дввижением руки мгновено подключить его к интерфейсу. Сколько независимых листв имет iptables? Может быть там достигли прогресса, но с ipfwadm,ipchains было все плохо...

И то что в Линуксе фаировол по умолчанию применяется ко всем интерфейсам - тоже глупость облегчающаая жизнь ламеров. Когда начинаешь серьезно что то делать приходится это все равно самостоятельно контролировать.

И вобще, всякие такие вещи которые ламерам кажутся идиотизмом на самом деле сделаны для ускорения работы профессионалов. За примерами ходить далеко не надо ->

Инверсные маски в IOS вроде такой: 0.0.0.255 или обратный порядок записи зон в ДНС: 1.168.192.in-addr.arpa

Такие хитрые фишки есть в любой отрасли у каждого мастера и их изучение - это ступени движения к профессионализму.

Так о чем мы? Проект AYR несомнено хорош хотя бы тем, что Linux обогатится за счет фич CISCO. Конкуренция - всегда хорошо для потребителя, особенно когда занозы вставляют в задницу монополистов.

я в принципе сказал "в нашем случае" - то бишь с 3620. мне в ответ сказали "включи cef", предполагая что это будет работать везде, включая упоянутую здесь 827.;)

netflow есть везде, где есть нормальный ios. вопрос в том, вытянет ли его как сама cisco так и куда она его льёт (flow этот в смысле =).

фильтр на интерфейс - не убогость, а требование. Но требование иметь 2 разных acl хотя в них всё одинаково исключая 1 правило - это убогость. для справки - в ipchains уже точно можно было веточки делать для правил - именно так обратная совместимость с ipfwadm поддерживалась при переезде.точка входа у них всё равно в любом случае одна (исключая cef) - программа, перекидывающая пакеты.

по поводу номеров acl - если Вы не поняли про что я, тогда ладно, значит у Вас просто не было таких ситуаций с Cisco когда всё вроде делаешь по описаниям, faqам, а оно всё равно не работает, а просто есть 1 малэнкий нюанс.;)

что такое "стандартный acl"? поясните, в чём конкретно acl cisco отличается по функциям от понятия "firewall", более общеупотребимого в остальном мире?8-) если Вы говорите, что этот "стандартный acl" быстрее чем кто, btw? значит Вы располагаете результатми каких-то измерений? результаты в студию вместе с начальными условиями!

мне просто стало интересно - где такую траву берут файрволы из нескольких тысяч строк правил писать?8)

что до ~1000 строк правил - у меня на P-233 ipfw применял их примерно за 2 секунды (если с -q). Когда я доставшееся мне наследство подсократил до 300 - на 486 куда переехал ipfw оно занимало порядка теж же 2 сек. если Вы конкретно про ipchains/iptables - там есть понятие ветвления - спокойненько пишете свои правила в нужной ветке, в необходимый момент прописываете 1 (!) правило чтобы делать разбор части пакетов по этой ветке. что означает "firewall по умолчанию применяется ко всем интерфейсам"? Вы имеете в виду что fw (если он был указан при сборке) будет вызван при обработке пакета в любом случае? да, пожалуй, это место неудачно, было бы лучше если для каждого iface был бы свой набор (тем более что можно его легко менять при подаче команды fw). гм, пожалуй бы я бы скрестил acl + iptables.

смысла в инверсных масках особого не вижу - с двоичной арифметикой я в ладах и легко перевожу числа с одной системы счисления в другую. А что такого особенного в том как обратные зоны делаются? IMHO это всё как раз чистый воды изврат с целью минизировать свои усилия - мне нравится.=) неопнятно только как это к Cisco относятся? не они же это придумали.

2 Irsi А я о чем ? В рассматриваемом примере роль линукса играет win98. Когда я говорил что "win98 уже стоит" я имел в виду... блин, короче не буду пытатся сформулировать. Все равно непонятно получится. Наверное из-за того что и в твоей аналогии и в рейльной ситуации присутствует одно и тоже слово. Это путает. Короче выкинь фразу про "win98 уже стоит" и перечитай еще раз - остальные аргументы ты не поколебал. Рассматривается то случай когда такие знания о которых ты говоришь (тот высокий уровень) не совсем нужен.

2kernel: понял о чем ты...:) Я вообщем несогласен - человек должен хорошо разбираться в TCP/IP чтоб вообще админить современную сеть имхо. А изучение кошек в базовом объеме имхо именно и дает небходимые знания, точнее облегчает их систематизировать... Я не говорю, что каждый админ должен уметь настраивать BGP :)

poison_reverse:

Я вот про что - в линуксе таблиц маршрутизации может быть больше
одной причем в каждой из них больше одного маршрута

ip rule в качестве action получает таблицу по которой надо
маршрутизировать данный пакет
(в случае с киской в качестве экшена - интерфейс, т е аналог таблицы в
которой всего одна запись о дефолтовом маршруте)
причем у меня например это используется 8-)

anonymous (*) (2002-03-18 13:59:22.0)

все что вы пишите справидиливо только для ipfwadm
для ipchains/iptables все делается тоже одним легким движением руки
и очень быстро

а насчет изучения - да я согласен - вы все таки посомтрите на линуксовый стек он не так уж плох 8-) как его малюют

2 villain
>Я вот про что - в линуксе таблиц маршрутизации может быть больше
>одной причем в каждой из них больше одного маршрута

И что будет с пакетом на сеть X.X.X.X если в дополнительной RT
будет, скажем, 3 маршрута? Трафик будет распределяться per-packet на три разных next-hop? Если да, то чем это отличается от
"set ip next-hop ip1 ip2 ip3"

В предыдущем постинге я говорил о большей гибкости в введении дополнительных RT. Полагаю, что это дает возможность, не трогая сами rule, изменять маршруты в second RT. То есть можно сделать динамическое изменение next-hop (ну или интерфейса). Если есть еще какой-то смысл, прошу объяснить.

Но гибкость только в введении /etc/iproute2/rt_tables. В остальном ios гибче. Как будет выглядеть в ir2 такое "трафик www из сети 10.0.0.0/24, трафик ftp из cети 12.0.1.0/24 отправить в интерфейс eth 0"?

И еще: полиси-роутинг на cisco fast-switching.

poison_reverse

2 villain
>Я вот про что - в линуксе таблиц маршрутизации может быть больше
>одной причем в каждой из них больше одного маршрута

И что будет с пакетом на сеть X.X.X.X если в дополнительной RT
будет, скажем, 3 маршрута? Трафик будет распределяться per-packet на три разных next-hop? Если да, то чем это отличается от
"set ip next-hop ip1 ip2 ip3"

В предыдущем постинге я говорил о большей гибкости в введении дополнительных RT. Полагаю, что это дает возможность, не трогая сами rule, изменять маршруты в second RT. То есть можно сделать динамическое изменение next-hop (ну или интерфейса). Если есть еще какой-то смысл, прошу объяснить.

Но гибкость только в введении /etc/iproute2/rt_tables. В остальном ios гибче. Как будет выглядеть в ir2 такое "трафик www из сети 10.0.0.0/24, трафик ftp из cети 12.0.1.0/24 отправить в интерфейс eth 0"?

И еще: полиси-роутинг на cisco fast-switching.

poison_reverse

>я в принципе сказал "в нашем случае" - то бишь с 3620. мне в ответ >сказали "включи cef", предполагая что это будет работать везде,

Ну раз я сказал, придется ответить :-)
Лично у меня на 4700 работал cef на FR интерфейсах,
translate ip в x.25, ospf и bgp.

>Но требование иметь 2 разных acl хотя в них всё одинаково
>исключая 1 правило - это убогость.

Ну-ка описание ситуации, когда это нужно? Кроме того, разные acl - более легче для понимания.

>точка входа у них всё равно в любом случае одна (исключая cef) - >программа, перекидывающая пакеты.

Вот-вот, а в ios - точки входа/выхода - интерфейсы, поэтому в acl номера интерфейсов не используются. Где гибче и наглядней?

>по поводу номеров acl - если Вы не поняли про что я, тогда ладно,
>значит у Вас просто не было таких ситуаций с Cisco когда всё вроде
>делаешь по описаниям, faqам, а оно всё равно не работает,
>а просто есть 1 малэнкий нюанс.;)

Номера acl различают типы acl. Какие могут с этим ньюансы, не понимаю.

>что такое "стандартный acl"? поясните, в чём конкретно acl cisco >отличается по функциям от понятия "firewall", более общеупотребимого
>в остальном мире?8-)

Да пожалуйста. Фильтр пакетов только _одна_ из функций firewall.

>если Вы говорите, что этот "стандартный acl" быстрее чем кто, btw?

стандартный acl быстрее расширенного.

>значит Вы располагаете результатми каких-то измерений?
>результаты в студию вместе с начальными условиями

http://www.cisco.com

4700 - это Cisco или проц в cisco? если первое - не мудрено - это классом выше 3620. пожалуйста - входной маршрутизатор конторы с 4 интерфейсами - 1 внутрь, 1 наружу с кусочком своей сетки (eth до провайдера) 2 - G703 по одному шлангу. хочется почти всё объединить (%%80 правил) а 20% - разные - понятно, надеюсь, почему? так вот, приходится на каждый ифейс заводить по своему acl с "тясячими правил" вместо того чтобы просто натыкать нужные acl на ифейс.;) не видя исходников IOS, утверждать что в ios - точки входа-выхлода интерфейсы ?;) между тем: в конечныом итоге на 1-процессорной машине типа 3620/25xx/16xx всю обработку ведёт всё равно ios => есть какой-то один общий вход - обработчик прерываний. возможно, из него вызывается сразу разборщик acl для конкретного iface...

на самом деле идея навесить разбор правил на iface в iptables - хорошая и решаемая.

о номерах acl - они иногда очень важны - одно и тоже правило, записанное под разным номером acl, существенно меняет свою логику. простите, я не вижу разницы между: deny udp any host myhosts eq snmp deny udp from any to myhosts 161-162 -j DENY -p udp -s 0/0 -d myhosts 161:162

суть - одна.

poison_reverse

отличие таблицы маршуртизации от одного дефолтового маршрута отличаешь?
тем что с таблицами рутинга чаще работа более эффективна чем с рулесами
опять же атомарность. А распределяться на 3 - это ты не о том 8-)
это ты что-то про equalize вспомнил?

/etc/iproute2/* - это к слову практически тупые псеводнимы а-ля
/etc/hosts
это как раз не гибкость - а удобство для просмотра глазками 8-))

ну и еще раз (хотя тут я чуть-чуть лукавлю - в чем поймешь
если захочешь) 8-)))
...
Fast switching (read help!)                                                           CONFIG_NET_FASTROUTE                                                                     Saying Y here enables direct NIC-to-NIC (NIC = Network Interface
...

poison_reverse (*) (2002-03-19 07:20:49.0)

8-))
а на www.microsoft.com написано что windows xp самая крутая os в мире
8-))

2 villain
>а на www.microsoft.com написано что windows xp самая крутая os в мире

Может, так и есть. Ибо для американцев - мир синоним USA.

cisco.com можно верить, они ведь сравнивают свое собственное барахло со своим же. :-)

PS. Насчет ios / ip route давай в e-mail. Почтовый ящик на ems?

poison_reverse

Я почему-то считал, что процессоры у 3620 и у 4700 отличаются только тактовой частотой, 133 vs 80.

2 villain
>CONFIG_NET_FASTROUTE

это _не_ cisco fast switching.