> >У нас Зебра работает почему-то... Конечно, в самые "горячие" точки ее не ставили (как и PC вообще),
> >но на небольших шлюзах она проблем пока не создает. Уже с год.

> А у нас Windows работает почему-то. Конечно, в самые "горячие" точки его не ставим.
> Но в ворде печатать можно, проблем не создает.

> Windows сдесь не причем, можете подставить что угодно по желанию, я думаю аналогия ясна.

Аналогия ясна. Но она несколько неадекватна все равно. Как раз-таки "не особо горячая" точка - это уровень, на который рассчитано что-нибудь уровня Cisco 26xx. Про 17xx - это, вообще, не разговор. 17xx - это офисный роутер. ТАкое на PC Linux/BSD/e.t.c. меняется на раз. Единственный минус от такой замены - меньшее время наработки на отказ у PC. В остальном - только плюсы.

Хотя, это уже отклонение от темы - и нафига 17xx ospf ?... ;-)

Вот смотрю я и смотрю как народ зажрался (дома Cisco soho. ХЕ!!!!)... А мне например денег жалко на USB шину для роутера на чердаке... У меня он из сетки грузиться... Так что хотелось бы вам напонить старую РУССКУЮ поговорку (мы от "них" этим и отличаемся) "Голь на выдомку богата"...

Router

> меньшее время наработки на отказ у PC.
это почему? выкиньте НМЖД и замените БП на нормальный (Delta, Sparks etc. а лучше сразу нормальный писюк возьмите) - и кучи проблем избежите.
btw, у нас продаются копуса от вектры - 35 usd и дельтовский БП и 2 офигительных FAN. правда microATX зато супер-мелкий корпус.
> В остальном - только плюсы.
нет, ещё минус писи - отсутствие решений out-of-box a-la cisco - типа воткнул, включил, ответил на пару-тройку вопросов, wr mem - и всё работай!
собсно проект и пытается закрыть эту проблему.

Router

> через rommon - это гораздо дольше
совершенно правильно. cразу видно знающего человека.:)

>> Я понимаю, что старая и что flash simm :) Зачем надо было лезть
>> внутрь маршрутизатора? Через rommon залить нельзя было?
> Затем, что через rommon - это гораздо дольше. :-)

Бред. Если интерфейсы 100 мбит.. да даже если 10 мбит - и то быстрее залить с tftp, чем выкручивать роутер из стойки, а потом его разбирать. :) Единственное, что приходит в голову - это если езернетов нет вообще - тогда simm вставить быстрее, чем лить по xmodem'у.

Router

> мы про суть говорили
короче, по теме сказать нечего?
ладно, я на работу выйду, я Вам из цискиной книжки процитирую как "оно" в cef-таблицу попадает.
> рутят они быстрее, глюков там меньше, чем в линуксе
рутят, простите, быстрее в каком режиме? глюков меньше в каокм режиме?
у нас вот без cef cpu load на 3620 была почти предельная, а с cef - некоторые маршруты упорно не хотели правильно прописываться (3 входных канала, policy-routing).
про джюпер - не понял, к чему это?
на p200 pix вроде уже не делают?
ПЛИС отношения не имеет к filtering.
более того, если порыться в инете - можно найти ссыллку как самому изготовить PIX на ZX ("только добавь вод...эээ...IOS")
это достаточно проблематично (пока).
про flash simm - AS попал в точку.:)

Router

> Cat 4000 > 10000 всего, но траханья меньше... Ты свои цены скинь мне. ничгео не понял - это ж свичи? и какие цены? я не торгую ни киской не pc.

Router

> что-нибудь уровня Cisco 26xx.
btw, у меня знакомые ставят что-ниубдь типа младших 26xx торлько потмоу что out-of-box 1/2U мелкие (400 мм), E1, IP и Ether. так что не только в офисах 26 применяются но и всерьзёных системах по которым теелметрия идёт и вед-ая связь.
услышав про мой удачный эксперимент с BGP-router на PC с PCI E1 в 1U, они очень сильно заинтересовались где, что и как я брал.
ещё бы! экономия только на одном мальенокм этапе 1 проекта может составить 20-30 kUSD!
плюс может быть можно будет отказаться от недешёвых RS-232 конверторов от Motorola так акак в пс нет проблем с доп. ком-портами и т.п.

>> мы про суть говорили
> короче, по теме сказать нечего?
> ладно, я на работу выйду, я Вам из цискиной книжки процитирую
> как "оно" в cef-таблицу попадает.

Я чёто не пойму, что Вам неясно конкретно. И что Вы под "cef-таблицей" подразумеваете? FIB или adjacecny table?

>> рутят они быстрее, глюков там меньше, чем в линуксе
> рутят, простите, быстрее в каком режиме? глюков меньше в каокм режиме?
> у нас вот без cef cpu load на 3620 была почти предельная, а с cef -
> некоторые маршруты упорно не хотели правильно прописываться
> (3 входных канала, policy-routing).

IOS меняйте, case открывайте в TAC'е - да и 3620 самый слабый из 36xx линейки.. И что подразумевается под "в каком режиме"? OSPF в линуксе коряв - Вам тут писали уже об этом не раз..

> про джюпер - не понял, к чему это?

Во-первых, Джунипер :)
А во-вторых - к вопросу о железном роутинге - невозможно рутить 10 Гбит софтом.

> ПЛИС отношения не имеет к filtering

Ну а к чему он там тогда отношение имеет? Сильно подозреваю-таки, что к разбору пакетов.
И не надо путать ASIC с "CPU вроде piii" - разные они, раз-ны-е.

> про flash simm - AS попал в точку.:)

Про это я уже написал выше.

> услышав про мой удачный эксперимент с BGP-router на PC с PCI E1 в 1U,
> они очень сильно заинтересовались где, что и как я брал.

Возможно, это неплохой вариант, где надёжность не сильно критична..
По опыту, чаще всего дохнут блоки питания и харды.
Если, как тут уже писалось, заменить хард на флеш и подобрать блок питания.. в ограниченном кругу задач это работать будет.

Move to Linux

>> BGP-router на PC с PCI E1 в 1U
> неплохой вариант, где надёжность не сильно критична
скажите, почему Вы считаете, что фирменный сервер заведомо хуже чем Cisco, зачастую собранная из ТЕХ ЖЕ САМЫХ комплектующих (по крайней мере раньше и киска и бимеры ставили одну и ту же AMD PCnet).;-)
> чаще всего дохнут блоки питания и харды
а то ж - о том и речь - ставятся заведомо беспроигрышные варианты типа IDE Flash и Delta PSU.
> в ограниченном кругу задач это работать будет
гм - так вообще универсальных вещей не бывает. и что? вывод непонятен.
по крайней мере писи - более универсальная в ЭТОМ смысле платформа.

Move to Linux

> не пойму, что Вам неясно конкретно. И что Вы под "cef-таблицей"
> подразумеваете? FIB или adjacecny table?
мне неясно как это у Вас в таблицу рутинга без процессора путь попадает - Вы это вопрос явно обходите стороной.:)
под cef-table я подразумеваю способ перекидки пакетов с минимальным (lim->0) участием процессора: CEF, dCEF, etc.
> IOS меняйте, case открывайте в TAC'е - да и 3620 самый слабый из 36xx
> линейки
ага, типа TAC бесплатен.;)
я согласен - ну уж какой был (для 97 года - было нормально). просто я считаю в современных условиях он вообще не имеет права на жизнь.
под режимом подраземевается cef/ne cef и тд
> OSPF в линуксе коряв - Вам тут писали уже об этом не раз
мало ли кто и что тут пишет - вот ирся пишет что никакого PCI не хватит чтобы 1 E1 продуть.;-)
спорить не буду - не используем пока ospf.
> невозможно рутить 10 Гбит софтом
и? ПЛИС? самый важный вопрос - как пути в эти самые ПЛИС попадают?
вот тут-то и выяснется - что этим реально занимается CPU.
> Ну а к чему он таНу а к чему он там тогда отношение имеет? Сильно
> подозреваю-таки, что к разбору пакетов.
http://www.packetattack.com/frankenpix.html
http://www.packetattack.com/img/pics/images/pix_motherboard1_JPG.jpg
и где там ваши плис?
обычная интеловская мать.

>Хотя, это уже отклонение от темы - и нафига 17xx ospf ?... ;-)

Вы будете смеяться, но как минимум на 3-х 1751, до которых у меня руки дотянулись, именно ospf. Могу пояснить зачем :-) Только лень ;-)

> чаще всего дохнут блоки питания и харды
>а то ж - о том и речь - ставятся заведомо беспроигрышные варианты типа IDE Flash и Delta PSU.
К сожалению, беспроигрышных вариантов не бывает. Брак, причем массовый, блоков питания
встречался и на HP-серверах, да и cisco этим грешна. Это общая болезнь.

>Хотя, это уже отклонение от темы - и нафига 17xx ospf ?... ;-)
;-) Это тоже отклонение от темы. Не вопрос, нужен ли ospf.
Ospf нужен потому, что.... нужен. Я его использую и пока не доволен стабильностью quagga/zebra.

> скажите, почему Вы считаете, что фирменный сервер заведомо хуже чем
> Cisco, зачастую собранная из ТЕХ ЖЕ САМЫХ комплектующих (по крайней
> мере раньше и киска и бимеры ставили одну и ту же AMD PCnet).;-)

Потому что у нас в ведении 89 субъектов педерации, в каждом из которых стоит кошак (26/36, реже 16) и по 5 тех самых "фирменных" серверов. Это не считая филиалов этих субъектов. Так вот, за 3 года эксплуатации отказов цисок не было ни разу, а серверов передохло процентов 40.

> гм - так вообще универсальных вещей не бывает. и что? вывод непонятен.
> по крайней мере писи - более универсальная в ЭТОМ смысле платформа.

Специализированные задачи легче решать специализированными железками. Помимо стоимости железки ещё есть стоимость внедрения и поддержки. Никто в здравом уме не будет поднимать V35 на писюке.

> мне неясно как это у Вас в таблицу рутинга без процессора путь
> попадает - Вы это вопрос явно обходите стороной.:)
> под cef-table я подразумеваю способ перекидки пакетов с минимальным
> (lim->0) участием процессора: CEF, dCEF, etc.
...
>> невозможно рутить 10 Гбит софтом
> и? ПЛИС? самый важный вопрос - как пути в эти самые ПЛИС попадают?
> вот тут-то и выяснется - что этим реально занимается CPU.

Естественно, роутинговую таблицу ведёт CPU. Только он не занимается роутингом *каждого* пакета - это делают ПЛИСы. CPU туда только загружает информацию о том, что куда пихать.

>> Ну а к чему он таНу а к чему он там тогда отношение имеет? Сильно
>> подозреваю-таки, что к разбору пакетов.
> http://www.packetattack.com/frankenpix.html
> http://www.packetattack.com/img/pics/images/pix_motherboard1_JPG.jpg
> и где там ваши плис?
> обычная интеловская мать.

И что это доказывает, кроме того, что такое решение наверняка теряет в производительности?
Я разбирал 515 PIX. Там стоят 2 ПЛИСа. Если есть сомнения - 12го выйду на работу, сфотографирую.

Move to Linux

> Хотя, это уже отклонение от темы - и нафига 17xx ospf ?... ;-)

Чтобы сообщить соседу, в какую именно сеть он смотрит. А иначе зачем вообще нужен ospf?

2 anonymous (*) (31.12.2003 13:32:52): слушай а на какой версии иоса она падает в панику?А то может 3550-12Т с этого бывает раз в полгода подвисает.

Move to Linux

> Естественно, роутинговую таблицу ведёт CPU.
ну вот, теория полностью "железного" рутинга уже повержена -оказывается всё-таки CPU нужен.;-)
btw, как Вы в ASIC собрались CBAC и NBAR делать?8)
не к тому что это совсем невозможно в ASIC но...
> И что это доказывает, кроме того, что такое решение наверняка теряет в
> производительности?
блин, ради приличя хотя бы сходили и внимательно прочитали о чём там говорится.;-)
там говорится что любой желающий может собрать себе клон PIX.
замечу, что я специально дал ссылку на фотку мамы - обычная интеловская мать без выкрутасов. alter и xylinx могут стоять и на обычных маетрях. по крайней мере у нас в ибмовских сервкаках стоят. но они не рутеры.;)

Move to Linux

> Потому что у нас в ведении 89 субъектов...серверов передохло процентов
> 40
а, понятно - госконтора в которой лучше жопу прикрыть бумажкой с сертификатами. плюс те же серваки - наверняка какие-нибудь говёнские компаки (с них откаты больше обычно). кстати, неужели у них БП дохнут?8)
я сколько брандовых серваков видел - дохнет всё кроме БП.
> Никто в здравом уме не будет поднимать V35 на писюке.
а, понял, типа наезд, что я - дебил?;-)
нет, это не так.:-)
просто не вижу смысла ставить киску там где достаточно было просто платы RISCom ISA (было до меня)которую мы потом на кроникс (PCI) заменили.
киска повлекла бы за собой достаточно существенное и безосновательное повышение расходов по смете.
и что такого удивительного в V35 на писюке?
если Вы не в курсе, то сообщаю что V35 наряду с BiSync появился в писюках ещё в 1982 году. jfyi.

3550

> может 3550-12Т с этого бывает ... подвисает
эта, поищи в inet-admins - там что такое обсуждали.

>> Естественно, роутинговую таблицу ведёт CPU.
> ну вот, теория полностью "железного" рутинга уже повержена
> -оказывается всё-таки CPU нужен.;-)

И что из этого следует? Где я утверждал, что он не нужен?

> btw, как Вы в ASIC собрались CBAC и NBAR делать?8)
> не к тому что это совсем невозможно в ASIC но...

Послушайте, Вы нарочно прикидываетесь или где? Причём здесь NBAR и зачем его делать на ASIC'ах? Вам про роутинг говорят - чёрт с ним, на 100 мбит с 2мя интерфейсами пецюк справится, а когда у вас 10 Гбит и бэкбон что делать?

>> И что это доказывает, кроме того, что такое решение наверняка
>> теряет в производительности?
> блин, ради приличя хотя бы сходили и внимательно прочитали о чём
> там говорится.;-)
> там говорится что любой желающий может собрать себе клон PIX.
> замечу, что я специально дал ссылку на фотку мамы - обычная
> интеловская мать без выкрутасов. alter и xylinx могут стоять и на
> обычных маетрях. по крайней мере у нас в ибмовских сервкаках стоят.
> но они не рутеры.;)

А я ходил и читал. Вы точно знаете, какую функцию выполняют ПЛИСы в PIX'е? Я - нет, но думаю, что их не зря туда ввинтили. И если PIX 515 - тьфу, то фильтрацию at wire speed на гигабите, как это делает PIX 535 на одном CPU никакой пецюк не сделает.

> а, понятно - госконтора в которой лучше жопу прикрыть бумажкой

Я работаю не в госконторе, госконтора - заказчик

>> Никто в здравом уме не будет поднимать V35 на писюке.
> а, понял, типа наезд, что я - дебил?;-)
> нет, это не так.:-)
> просто не вижу смысла ставить киску там где достаточно было
> просто платы RISCom ISA

Циска 2611XM вместе с WIC-1T стоит около $2500.
Причём, её может настроить любой дурак через тот же v35 чтоб я отсюда её мог увидеть. Если дурак не может - я могу тётке по телефону объяснить, какие кнопки в терминале нажать, чтоб интерфейс поднялся.
А теперь представь: в усть-урюпинск приезжает хреновина - пецюк в 1U формате и с USB флешом и хорошим БП, которая сама по себе стоит не менее $2k, и представь как ты её удалённо настраиваешь, матерясь и объясняя людям впервые ЭТО видящим.

> А теперь представь: в усть-урюпинск приезжает хреновина - пецюк в 1U формате и с USB флешом и хорошим БП, которая > сама по себе стоит не менее $2k, и представь как ты её удалённо настраиваешь, матерясь и объясняя людям впервые > ЭТО видящим.

Я так делал. :-) Правда, человек впервые не писюк, а только Linux видел. Ничего, поставил, интерфейс поднял. Не V.35, а Ethernet, правда. Оно проще несколько... Но в целом - да.

А вообще, если это единая сеть, а не вклюение подразделения в Урюпинске к местному провайдеру, есть более простой путь: берешь железку, втыкаешь, а она уже и грузится, и работает... Причем, это именно "из коробки" ;-)

> А вообще, если это единая сеть, а не вклюение подразделения в
> Урюпинске к местному провайдеру, есть более простой путь: берешь
> железку, втыкаешь, а она уже и грузится, и работает... Причем, это
> именно "из коробки" ;-)

Ага, только сначала эту единую сеть надо построить на чём-то. Например, на VPN через инет, с помощью того же местного провайдера.

Нет VPN не годится. :-) нужны прямые соединения через V.35...

V35

> госконтора - заказчик
тогда всё понятно. крок или что-то в этом роде.:-)
ничего личного, просто я наслышан как выигрываются подобные тендеры
и много раз наблюдал последствия.
тогда конечно, киска лучше - больше премия.:)
> Циска 2611XM вместе с WIC-1T стоит около $2500.
ещё раз для тех кто в танке:
1) мне лично вот нужен был FV-BGP - НУ НЕ ТЯНУТ УЖЕ Ваши 26xx ЭТО!
А 37xx - тика в тику - совершенно без запаса.
2) Далее, плата V35 для пиюска стоит <500 usd.
фирменный сервак от HP можно взять сейчас за ~400 usd.
ну пусть туда надо ещё память добавить - ~1500 usd.
мин. IBM x305 стоит сейчас ~1500 usd+v35 = 2000 USD.
все цены - розничные Новосибирск, при Ваших возможностях всё можно взять значительно дещевле.
Настроить циску любой дурак не сможет - точнее он её так настроит!
в реальности дело обстоит наоборот - есть гуру, который в лабе разарбатывает конфиг, тиражируемый в развозимые по местам киски.
это ключевой момент (в данном слчуа - это Вы).
вот и приехали - всё равно оказывается спец нужен.
далее,
> в усть-урюпинск приезжает хреновина - пецюк в 1U формате и с USB
> флешом и хорошим БП
а чего это USB flash? у киски - не так, у нас тоже flash - унутри.
ибо нефиг. только не говорите что такого не бывает.:)
иецб людей, впервые видящих писюк осталось гораздо меньше чем впервые видящих киску.:-)
и к тому же, мы лично уже проделывали такое - отправляли заранее отконфигурённый писюк в мухосранск, там дяденька менеджер из всех юниксов знакомый только со словом login ловко управился с неожиданно возникшей проблемой в лице метсногопровайдера и его (мать) схемой авториазции доступа в инет.
"А Вы ноктюрн сыгарть могли бы на флейтах водосточных труб"?

V35

> Причём здесь NBAR и зачем его делать на ASIC'ах?
при том что Вы уверяли что "всё в кисках делается железным образом"
я Вам пытаюсь доказать что это не так.
если Вы говорите что NBAR и CBAC не относится к функции рутера - Вам надо RTFM на киске.
> Вам про роутинг говорят - чёрт с ним, на 100 мбит с 2мя интерфейсами
> пецюк справится, а когда у вас 10 Гбит и бэкбон что делать?
вешаться:)
я даже что скажу - с 4 гигабитами он тоже справится.
с 10 - нет, в шину упрётся.
а типа мы вообще изначально говорили про 26xx, 37xx, 72xx - я довольно ясно очертил нишу решения на линухе (вернитесь на стр.1, посмотрите plz). GSR вне моего рассмотрения.
> Я - нет, но думаю
выдайте обещанные картинки plz
> фильтрацию at wire speed на гигабите, как это делает PIX 535 на одном
> CPU никакой пецюк не сделает
гы - несколько самонадеянно. для фильтрации 100-мбитного эзернета вполне достаточно pentium-II. чтобы оценить гигабит у меня лично нет праткических данных. чтобы делать 100-мбитные туннели - надо в любом случае либо очень мощную железку либо cryptoaccel.

V35

> сначала эту единую сеть надо построить на чём-то. Например, на VPN
> через инет, с помощью того же местного провайдера.
легко! причём в отличие от киски всегда есть выбор.
а вот как Вы будете на кисках строить VPN из всяких Мухосрансков где и маскарад чудесатый бывает и авторизацию требуют и т.п. - это будет загадка.;)
E1, V35 - это хорошо если есть.

Уже в десятках контор ( даже в солидном банке) установили эту штуку:

http://www.intranator.com/

.... теперь невыходя из своей конторы упрвляемся со всеми!

intra

> установили эту штуку
блин, там всё по-немецки и не написано что в основе - расскажи хоть вкратце.

Кстати, раз уж такие разговоры пошли... А COPS-сервер под Linux никто не видел ?

> 1) мне лично вот нужен был FV-BGP - НУ НЕ ТЯНУТ УЖЕ Ваши 26xx ЭТО!

Ну, по моему мнению, если у Вас есть BGP и какой-либо IGP, значит должна быть своя AS. Само по себе поддержание AS дело недешёвое. И какой смысл экономить тогда $1000 на железке?

> 2) Далее, плата V35 для пиюска стоит <500 usd.
> фирменный сервак от HP можно взять сейчас за ~400 usd.
> ну пусть туда надо ещё память добавить - ~1500 usd.
> мин. IBM x305 стоит сейчас ~1500 usd+v35 = 2000 USD.
> все цены - розничные Новосибирск, при Ваших возможностях всё можно
> взять значительно дещевле.

Вы как-то никак в толк не возьмёте, что все эти решения типа "сделал на коленке" - это можно протолкнуть от бедности в какую-нить контору, торгующую алкоголем, или начинающему провайдеру, в домашние сети вон. Таким образом, кроме Вас это всё поддерживать никто не будет, а когда крупные решения делаются, заказчику в том числе интересно "а что будет, если завтра мы вырастем и будем рулить сами".

> Настроить циску любой дурак не сможет - точнее он её так настроит!

нда?
1. включить роутер
2. сказать "no" на вопрос о начальной конфигурации
3. далее,
en
conf t
in s0/0
ip addr 1.2.3.4 255.255.255.255
enc ppp
no sh
ip rou 0.0.0.0 0.0.0.0 s0/0
en sec 123
lin vt 0 4
pass 123

Это по телефону говорится за 5 минут. После этого маршрутизатор видно по инету и остальная настройка делается удалённо.

> вот и приехали - всё равно оказывается спец нужен

конечно - а у Вас клиенты сами оборудование настраивают?

> и к тому же, мы лично уже проделывали такое - отправляли заранее
> отконфигурённый писюк в мухосранск, там дяденька менеджер из всех
> юниксов знакомый только со словом login ловко управился с неожиданно
> возникшей проблемой в лице метсногопровайдера и его (мать) схемой
> авториазции доступа в инет.

авторизация настраивается на кошке аналогично
местный провайдер в случае особо идиотичных схем посылается нах - сеть должна быть надёжной и не зависеть от всяких м$%^ков, вздумавших раздавать инет через "роутер" на виндах в своей конторе, имеющих к провайдерству весьма отдалённое отношение.
благо транстелеком есть везде.
потом - Ваша схема предполагает наличие производства, ну или места сборки этих ваших нестандартных "роутеров", а также заливку туда софта и настройку "под каждый регион", а потом доставку нужного "роутера" в нужное место - что сводит на нет всю экономию от такого решения.

> "А Вы ноктюрн сыгарть могли бы на флейтах водосточных труб"?

да можно и гвозди микроскопом забивать - а нужно ли?

>> Причём здесь NBAR и зачем его делать на ASIC'ах?
> при том что Вы уверяли что "всё в кисках делается железным образом"

В киске далеко не всё делается железным образом.
А большая часть того, что делается - содрано с Juniper.

> я Вам пытаюсь доказать что это не так.
> если Вы говорите что NBAR и CBAC не относится к функции рутера - Вам
> надо RTFM на киске.

RTFM, всё же, надо Вам :) NBAR скорее относится к QoS'у, нежели к роутингу. CBAC и вовсе к разбору пакетов. IMHO, у Вас каша в голове :)

> выдайте обещанные картинки plz

12-го, когда на работу выйду.

>> фильтрацию at wire speed на гигабите, как это делает PIX 535 на
>> одном CPU никакой пецюк не сделает
> гы - несколько самонадеянно. для фильтрации 100-мбитного эзернета
> вполне достаточно pentium-II. чтобы оценить гигабит у меня лично нет
> праткических данных. чтобы делать 100-мбитные туннели - надо в любом
> случае либо очень мощную железку либо cryptoaccel.

Где-то были обзоры - навороченный пецюк с iptables упирается с фильтрацией на простых правилах где-то в полгигабита.

>> сначала эту единую сеть надо построить на чём-то. Например, на VPN
>> через инет, с помощью того же местного провайдера.
> легко! причём в отличие от киски всегда есть выбор.
> а вот как Вы будете на кисках строить VPN из всяких Мухосрансков где
> и маскарад чудесатый бывает и авторизацию требуют и т.п. - это будет
> загадка.;)

Провайдер - на то и провайдер, чтоб нормальное подключение делать, а не чёрт знает что с маскарадом.
В любой точке России любой провайдер (если это провайдер, конечно, а не дядя вася хитрожопый) легко даёт /30 сетку. Ну в крайнем случае острой нехватки адресов - один реальник дают точно. А многие, так вообще сеть класса C - им адреса, видите ли, девать некуда.

> E1, V35 - это хорошо если есть.

тривиальный ethernet есть практически везде.
оконечное оборудование - проблема провайдера.

>блин, там всё по-немецки и не написано что в основе - расскажи хоть вкратце.

OS linux RedHat Internet Access Работает как рутер. Подключение интернета через ISDN, DSL или выделенку

Firewall Многоступенчатый iptables-Firewall позволяющий создавать идивидуальные Profile на каждый локальный PC

VPN und Remote Access Удалённое управление из интернета через SSH или webbrowser SSL, даёт возможность соединения локальных сетей различных филиалов фирмы ( находящихся в разных городах) в одну локальную сеть при помощи VPN и туннеля.

Antivirus F-Secure Antivirus с потоянным автоматическим Update'ом

Mail-Server eMail для каждого юзера со Spam-Фильтром и встроенным Webmail или как relay (со Spam-Фильтром) на локальный Mail-Server ( напр. Domino)

Updates Срочный патч - при появлении сообщений о возможных дырах в безопасности

Fax-Server Посылать и принимать факсы для каждого локального PC

Kontrolle Контроль лог-файлов, статистики и автоматический Reports

Proxy-Server Логин-контроль каждого юзера или локального PC

Backup Интегрированный Backup всех юзеров- и системных файлов, опциональное кодирование

PC: И вот когда приходишь к заказчику с рассчётом и сметой будущей сети ( обычно это несколько вариантов ), как правило cisco вылетает.

Немцы, даже ворочая миллионами, не отдадут и цента за то что не принесёт ощутимой пользы.

Я закончил годичные курсы администратора cisco.

Можно долго рассуждать о преимуществах и недостатках cisco и, раздирая на груди рубаху, кричать - "а Linux всё-равно лучше/хуже", решит этот спор толстый немец, почесавши лысину и ткнув пальцем, скажет:" Я это хочу".

nbar cbac

> содрано с Juniper.
неправда - GSR был сделан ещё до того как Juniper появился.
> > если Вы говорите что NBAR и CBAC не относится к функции рутера - Вам
> > надо RTFM на киске.
> NBAR скорее относится к QoS'у, нежели к роутингу. CBAC и вовсе к
> разбору пакетов
гм...не вижу причин, почему QoS не относится к функции рутера?
цитата: " NBAR is a component of Cisco IOS... It is available on the Cisco 7100 and 7200 platforms ... and the Cisco 2600 and 3600"
или 26x, 36x - уже не рутеры?8)
тем более что одно из возможных назначений рутера - быть FW.
Далее, NBAR позволяет управлять рутингом, например, может влиять на выбор канала. Или попросту блокировать нежелательный траффик (пример - default.ida).
Про CBAC: "Cisco has enhanced the ability of its perimeter routers to perform a basic firewall function with the introduction of the Firewall feature set.Based on the Context-Based Access Control (CBAC) feature, which delivers stateful inspection of TCP and UDP packets and dynamic modification of Access Control Lists (ACL&#8217;s), [it] provides a middle ground between a fully functional firewall solution, such as the PIX and Checkpoint solutions, and a hardened Cisco IOS based router with ACL&#8217;s. Although limited, CBAC and other features of the Cisco IOS Firewall feature set allow significant flexibility in managing a perimeter Cisco router when compared to a router running the standard version of the Cisco IOS". Всё - мне просто нечего добавить. Всё и так сказано.
> были обзоры - навороченный пецюк с iptables упирается с фильтрацией > на простых правилах где-то в полгигабита.
давайте конктретные примеры. там многоот чего зависит.
я знаю точно что для фильтрации 10base-t достаточно p-200mmx.
для 100-ки - PII-350.
по интерполяции для 1GE получается PIV-2G так что
думаю что дело не процессоре а в шине.

cops

> А COPS-сервер под Linux никто не видел ?
CERE/CNR (http://www.cere.pa.cnr.it) =====================================

Product: RSVP for Linux

Platform type: Router, Host
Updated: 8 May 1998

Contact: Vincenzo Virgilio (virgilio@cere.pa.cnr.it)
Alessandro Genco (genco@cere.pa.cnr.it)
CERE/CNR
Viale delle Scienze - 90128 Palermo (Italy)
Phone: +39-91-238245, +39-091238264 Fax: +39-0916529124

-- Brief description
A functional porting of ISI RSVP code for the Linux Platform. Scheduling
inside the kernel. The OS is not a Real-time OS. The product is available
for download and free.

-- General information
Machine family: Intel
Operating system: Linux 2.1.34 or higher
Network technology: ATM
Ethernet (switched)
Status: Product
Availability: Public and free
QoS capabilities: RSVP compliant

/30

> сеть класса C - им адреса, видите ли, девать некуда
подскажите, кто это? я в RIPE напишу.;-)
на пассаж про провайдеров ответил в другом сообщении.
> > E1, V35 - это хорошо если есть.
> тривиальный ethernet есть практически везде. оконечное оборудование - > проблема провайдера.
Вы всё время уприрали на то, что под PC нет-де V35 etc.
когда Вам показали что это не так - Вы отмазки начали лепить что "эзер всегда есть"
если оконечка - проблема провайдера - ещё проще, в линух - не проблема воткнуть 2 и более эзера - а вот с киской6 вот незадача - не всегда это возможно (это я на 16/17 намекаю ;)

немец

> решит этот спор толстый немец, почесавши лысину и ткнув пальцем
точно. и не обязательно толстый и не обязательно немец и не обязательно киска вылетает. зависит от.:)
пожелаем витаминычу успехов в бизнесе.:)

3550

> должна быть своя AS. Само по себе поддержание AS дело недешёвое.
> И какой смысл экономить тогда $1000 на железке?
А Вы не путаете AS с LIR? Получение ASN - дело конечно недешёвое в плане рабочего времени - надо дня 3-4 потратить на изучение документов и написание заявок, но RIPE не взимает платы за это.:-)
и почему именно 1000? я разве говорил что 1000? Может быть 8000?
Согласитесь, это несколько разные цифры.;)
> все эти решения типа "сделал на коленке"
ну вообще-то я так сразу и сказал что кесарю-кесареву, но в определённых случаях линух вполне может соперничать с киской, на что Вы начали спорить что линукс-де никуда не годится в сравнении с киской.
> Это по телефону говорится за 5 минут.
а это? (предполагаем что v35 через cronyx и флэш с образом рутера вставлен при поставке, альтернативы в виде ethernet, granch или HDLC в скобках)
включить комп
после старта и появления login ввести учётные данные
[может потребоваться cxconfig с параметрами - аналог in s0/0]
ifconfig cx0 inet 1.2.3.4 pointopoint 1.2.3.3
[
ifconfig eth0 inet 1.2.3.4 netmask 255.255.255.252
ifconfig sbni0 inet 1.2.3.4 netmask 255.255.255.252
ifconfig hdlc0 inet 1.2.3.4 pointopoint 1.2.3.3
]
route add default gw 1.2.3.3
Это по телефону говорится за 5 минут. После этого маршрутизатор видно по инету и остальная настройка делается удалённо. Проверено неоднократно.;-)
> конечно - а у Вас клиенты сами оборудование настраивают?
а с чего Вы взяли что у нас обязательно есть клиенты?8)
мы как бы сами - конечные потребители.
> авторизация настраивается на кошке аналогично
дык что и требовалось доказать - что с технологической точки зрения особой разницы между киской и рутером на линухе - нет.:-)
> местный провайдер ... посылается нах...транстелеком есть везде.
ну-ну. отучаемся говорить за всех. нет, всё-таки сразу видно что Вы работаете в какой-то компании - т.н. системном интеграторе и местынх пролем, как правило, не видите и не знаете. хорошо, вот Вам точка на карте - там нет ТТК: Колывань, НСО.
или вот есть филиал - он неубыточен, но и не очнеь прибылен - но связт там нужна. только вот проблемка - сидят они в бывшем НИИ где НЕТ свободных пар, а денег на свою оптику или RE - естесно, тоже нет. а дешёвый инет (тем не менее устраивающий и по цене и по качеству) есть -через местного провайдера-подснежника со своими заскоками.
или вот ёще реальный пример: склад на территории в/ч, есть только 1 ТЧ. свою линию туда никто в здравом уме не поведёт - в любой момеyт могут попросить.
> схема предполагает наличие производства или сборки этих
> нестандартных "роутеров", а также заливку туда софта и настройку
> "под каждый регион", а потом доставку нужного "роутера" в нужное
> место - что сводит на нет всю экономию от такого решения.
частично верно, но:
0) термин "роутер" - спорен, я лично говорю "рутер"=D
1) мы лично НЕ ЗАНИМАЕМСЯ сборкой компов - приобретаем в любои случае готовые, будь это бранд или "самопал", так что проблемы пр-ва - не наши.
2) единственная вещь которую мы часто делаем - вставляем сетевые платы и всегда вставляем ide флэш сами.
3) софт - стандартен (для данной задачи) - технология сборки типового образа диска отрабатывается 1 раз, потом рпи необходимости (например, при смене версий базового ПО) процесс проходит в полуавтоматическом режиме по уже отработанной методике. то есть процесс заливки софта сводится к заливке на флеш соотв-го образа диска и вставления флэша в рутер. похоже на киску?8)
4) настройка "под регион" вможет выполняться как сразу, при заливке софта, так и по месту - способ я уже написал. в первом случае от человека на месте даже не требуется давать команды - он лишь должне проверить что линк поднялся.
5) типа киски на местах по мановению волшебной палочки появляются и их не надо "доставлять в нужное место"?;-) так вот, наш способ даже лучше - он гибче, потому что иногда даже можно взять "местное сырьё", например, врмеменно, пока на таможне там разбираются с.;)
и заменить (хотя бы и временно) запчасть в писюке, вышедшую из строя, намного проще чем для киски.

Как это всё сложно... Не лучше ли Linux установить?

>> А COPS-сервер под Linux никто не видел ?

>CERE/CNR (http://www.cere.pa.cnr.it)
>Product: RSVP for Linux
>Platform type: Router, Host
>Updated: 8 May 1998

Что-то я не понял... Я про сервер, который роутерам правила
раздавать может по RFC2748. А он только от 2000г...
:-)

>Те лузеры у которых нет денег на нормальное железо пусть и ставят это говно.

http://www.sun.com/servers/entry/checkpoint/

Sun for loosers ..

> Я про сервер, который роутерам правила
> раздавать может по RFC2748. А он только от 2000г
Official RFC was in 2000, right. But drafts were circulated long time ago. Frankly, I don't see much avail from it anyway.

2 vitamin (*) (02.01.2004 11:38:00)

Относительно Alter-ы в младших PIX-ах: Там альтеры были слабые, и применялись вовсе не для аппаратного ускорения обработки трафика. Это были просто довески к чипсету, ну там флэшкой на шине рулить и прочими подобными мелочами.

А вот карточки на том экземпляре, который я разбирал, были просто Intel-овские, такие же точно, как и в наших настольных машинах :) Только вот стоили по прайсу что-то чуть за $200, а в магазине они стоили такие же точно $38 :)))

2 All:

Честно говоря, читая доку, я в то время сильно недоумевал - и это настоящий файрволл на базе NAT??? Линукс тогда еще мало кому был известен и в газетах для домохозяек про него не писали, но ядро 2.2.16 уже было и в нем файрволл по возможностям был как минимум на том же уровне. А если еще добавить гибкость настройки - так и выше. И все возможности типа 802.1q, шифрованных туннелей (хоть ipsec, хоть что попроще для совсем уж дубовых случаев) и прочего уже давно были и дополнительных денег не стоили (ну, кроме зарплаты админа).

Кстати, машинка, поставленная в качестве FW+NAT+mail года 3 назад, прожила после моего увольнения еще полтора года в полностью автономном режиме (админ там _не занимался_ ее администрированием и даже не знал, как консоль ее получить). Это к вопросу сравнения надежности цисок и линукса, в обоснование довода о том, что и то и другое по надежности примерно одинаково.

Опять же, в линуксе VPN был в разных ипостасях, а в PIX-е - только отдельно, за немалые деньги. Значит, либо еще денег, либо еще одна железка.

Если же принять во внимание тот факт, что для циски нужно еще и зип держать, а обычный писюк можно изъять у кого помладше и воткнуть туда заранее сделанную флэшку из админовского стола, то для мелких предприятий циска вообще нафиг не нужна.

Вывод: для непровайдерских применений (и для тех провайдеров, у которых магистраль меньше полудюжины загруженных стомегабитных линков) линукс - вполне разумная альтернатива за в разы меньшие деньги.

Да, специально для тех, кто сейчас наедет по поводу "нормальные конторы покупают все самое лучшее и дорогое": то место, куда ставился упоминавшийся PIX, было оборудовано на $48K только по цене сетевого оборудования, и это не считая работы. И сетка там была вообще 10-мегабитная, на 2 десятка портов. И _никакие_ даже имеющиеся возможности PIX-а, каталиста и 3640 там _не использовались_ - 3640 с двумя 8-портовыми V35 вообще по недомыслию тех, кто проектированием занимался, занималась исключительно прокидкой двух 256-_кило_битных потоков между двумя модемами и ethernet-ом. Ну, были еще две штуки VIC - но в моем присутствии VoIP там никто так и не занялся :)

Отсюда еще один вывод, мной у кого-то умного позаимствованный: необоснованная затрата лишних денег говорит только о недостаточной квалицикации того, кто эти деньги потратил.

/ vap

2 vitamin (*) (04.01.2004 23:39:59)

На гигабите на wire speed _только фильтрацию_ сделать на писюке вполне можно. И NAT тоже. Карты закачивают пакеты в память по PCI (который 66 МГц/64 бит) и иногда дергают прерывание, драйвер просыпается и дергает ip_recv для каждого пакета _никуда ничего не копируя_, и тд и тп, потом _из этого же места в памяти_ драйвер командует сетевухе забрать по PCI пакет - и все. То есть, опять же, для полнодуплексного гигабита со средним размером пакета байт 500 получаем примерно 400 тысяч приемов и отправок пакетов в секунду, что для обычного (почти офисного) писюка хотя уже и много, но все еще подъемно. Тут даже не процессор является узким местом, а шина, память и интеллектуальность чипа сетевухи, который не должен на каждый пакет прерывание дергать.

/ vap

PS. Вышесказанное - очень имхо, просто замечания по теме. Я файрволлов для гигабита не писал ;)