Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
qwery
Зарегистрирован: 14.11.2002 Сообщения: 394
|
Добавлено: Пт Фев 13 2009 11:46 Заголовок сообщения: помогите выбрать cisco |
|
|
приветствую всех! наконец первый раз покупаю циско. помогите выбрать. основные требования я напишу, если будут идеи, то пишите сюда, буду благодарен.
1. минимум 4 гигабитных лана (ими управлять не надо, просто 4-х портовый свич)
2. 1 выход в мир.
3. возможность настройки файрвола и портмапинга.
4. поддержка ipsec (необязательно).
благодарен за любые советы. |
|
Вернуться к началу |
|
|
qwery
Зарегистрирован: 14.11.2002 Сообщения: 394
|
Добавлено: Пт Фев 13 2009 14:17 Заголовок сообщения: |
|
|
сами цисковцы порекомендовали 3845 + модули. но чтото уж очень дорого..... |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Пт Фев 13 2009 23:41 Заголовок сообщения: |
|
|
Ну купи DSL-модем D-Link и управляемый свитч. Вот и вся песня.
На кой тебе 4 Гигабитных порта на роутере? 3845 один фиг больше 300 мегабит через себя не пропустит. |
|
Вернуться к началу |
|
|
qwery
Зарегистрирован: 14.11.2002 Сообщения: 394
|
Добавлено: Сб Фев 14 2009 02:34 Заголовок сообщения: |
|
|
сейчас примерно так и сделано. циска пикс + неуправляемый комутатор.
хочется вместо 2 девайсов поставить один. узел очень ответственный, на нем висят 4 сервера в стойке провайдера, и должен работать 24*7 |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Вс Фев 15 2009 01:32 Заголовок сообщения: |
|
|
Тогда вдвойне странно ваше желание. Надежность достигается избыточностью и по большому счету больше ничем.
Какая избыточность будет достигнута заменой двух устройств на одно? Ответ: НИКАКОЙ, потому что ничего по сути не изменилось. Да, вероятность отказа снизилась. Однако выросли риски общего отказа. В случае с дешевым железом вы пойдете в ближайший ларек и купите такое же, а в случае с большим и сложным устройством вам прийдется либо платить 10% его стоимости за тех.суппорт в год, либо молиться что вы не наступите на грабли софта или не дай боже, чтобы железо не взглюкнуло.
Вы находитесь в плену собственных заблуждений. Пересмотрите свои взгляды. Почитайте на сайте той же Циски дизайны сетей и какими элементами достигается надежность, безопасность и производительность.
Я не агитирую вас против Циски. У меня самого их много. Я прошу вас принять взвешенное решение, а не только опираться на мнение уважаемых вами людей. |
|
Вернуться к началу |
|
|
qwery
Зарегистрирован: 14.11.2002 Сообщения: 394
|
Добавлено: Пн Фев 16 2009 09:16 Заголовок сообщения: |
|
|
пересмотрел свои взгляды нажизнь. спасибо....
не скажу, что вопросов стало меньше, корее наоборот, больше.....
and3008 писал(а): | Тогда вдвойне странно ваше желание. Надежность достигается избыточностью и по большому счету больше ничем.
Какая избыточность будет достигнута заменой двух устройств на одно? Ответ: НИКАКОЙ, потому что ничего по сути не изменилось. Да, вероятность отказа снизилась. Однако выросли риски общего отказа. В случае с дешевым железом вы пойдете в ближайший ларек и купите такое же, а в случае с большим и сложным устройством вам прийдется либо платить 10% его стоимости за тех.суппорт в год, либо молиться что вы не наступите на грабли софта или не дай боже, чтобы железо не взглюкнуло.
Вы находитесь в плену собственных заблуждений. Пересмотрите свои взгляды. Почитайте на сайте той же Циски дизайны сетей и какими элементами достигается надежность, безопасность и производительность.
Я не агитирую вас против Циски. У меня самого их много. Я прошу вас принять взвешенное решение, а не только опираться на мнение уважаемых вами людей. |
|
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Пн Фев 16 2009 22:24 Заголовок сообщения: |
|
|
И что за вопросы? |
|
Вернуться к началу |
|
|
qwery
Зарегистрирован: 14.11.2002 Сообщения: 394
|
Добавлено: Вт Фев 17 2009 09:16 Заголовок сообщения: |
|
|
в общем по итогу решили сделать следующее. оставить то, что есть, плюс к этому паралельно поставить juniper SSG 320M. и настроить днс раунд робин (по моему так называется), NLB поднимать я смысла не вижу, хотя можно будет поэкспериметировать. и тем самым поднять надежность, собственно чего и хотелось.... |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Ср Фев 18 2009 03:20 Заголовок сообщения: |
|
|
А позвольте узнать, на кой вам DNS round-robbin? Чтобы повысить доступность ваших сетевых ресурсов из сети Internet? Ну вот упадет у вас один канал, а DNS будет продолжать отдавать IP от упавшего канала. И чего? Половина клиентов идет лесом.
Вы сделали round-robin для внутренних клиентов? А на фига? Разместите в своей сети два кэширующих DNS-сервера, чтобы они обращались к корневым DNS-серверам, NAT на пограничных роутерах и дело в шляпе.
В общем схемку бы и внятное описание хотений. Тогда был бы разговор. |
|
Вернуться к началу |
|
|
qwery
Зарегистрирован: 14.11.2002 Сообщения: 394
|
Добавлено: Ср Фев 18 2009 10:17 Заголовок сообщения: |
|
|
попытаюсь изобрадить схемку. на ней - то, что будет после установки опысываемого выше девайся.
интернет - pix - 2 сетевых интерфеса, работающих в NLB
интернет - juniper - 2 сетевых интерфеса, работающих в NLB (подсеть другая, так как в серверах по 2 сетевые платы)
между собой эти 2 сервера связи могут и не иметь, они обращаются к зазеркаленому скулю на 2-х машинах, а вот они в свою очередь должны видеть друг друга на максимальной скорости, чтобы заркалировалось быстро, собственно для этого и требудется минимум 4 гигабитных порта. 2 под сервера, которые непосредственно смотрят в мир, и 2 для скуля.
в общем очень сумбурно, но вроде бы понятно.
ЗЫ - сейчас сделано как в первой строчке, только после пикса ещё гигабитная циска свич стоит. |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Ср Фев 18 2009 21:11 Заголовок сообщения: |
|
|
PIX не умеет работать в NLB. NLB - это Микрософтовская технология.
На фаерволах вы доступность не сделаете. Роутеры вам нужны.
Два роутера на каждый Интернет-канал. Кабель между ними. Динамическая маршрутизация и GLBP внутрь сети и BGP наружу. Тем самым обеспечивается доступность сети из Интернет и доступность ядра маршрутизаторов для сетевых устройств твоей сети.
Дальше два PIX-а в режиме Load-Sharing с синхронизацией FIB и ARP. Тем самым вносится элемент защиты (FireWall) и обеспечивается его отказоустойчивость.
Вот что делать с внутренней сетью... Самое простое - два свича второго уровня. Каждый PIX подключается в свой свитч. На серваках две платы. Если сетевуха правильная, типа от Intel. То в драйверах есть приблуда, позволяющая сделать из двух сетевух отказоустойчивую группу (Teaming). Режим отказоустойчивости Active-Backup. Метод обнаружения отказа - ARP-запросы к шлюзу по умолчанию, коим является пара PIX.
Компы с СУБД могут включаться в тот же свитч, только не указывать шлюз по умолчанию. Тогда от хакеров их защищать не придется.
Ну вот и все. Отказ любого элемента не приводит к отказу всего решения. Каждая железяка сама понюхает соседа и перестроит свою конфигурацию. Тебе только озаботится мониторингом, дабы таки знать, что что-то отказало, а то расслабишься, пока не произойдет двойной отказ. |
|
Вернуться к началу |
|
|
qwery
Зарегистрирован: 14.11.2002 Сообщения: 394
|
Добавлено: Чт Фев 19 2009 13:06 Заголовок сообщения: |
|
|
исчерпывающая информация... и спасибо тут неуместно... только пиво.... )) |
|
Вернуться к началу |
|
|
|