Logo Море(!) аналитической информации!
IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware
Архив форумов ЦИТФорума
Море(!) вопросов - Море(!) ответов
 
 FAQFAQ   ПоискПоиск   ПользователиПользователи   ГруппыГруппы   РегистрацияРегистрация 
 ПрофильПрофиль   Войти и проверить личные сообщенияВойти и проверить личные сообщения   ВходВход 
Как правильно задавать вопросы

помогите выбрать cisco

 
Перейти:  
Этот форум закрыт, вы не можете писать новые сообщения и редактировать старые.   Эта тема закрыта, вы не можете писать ответы и редактировать сообщения.    Список форумов Архив форумов ЦИТФорума -> Сети
Предыдущая тема :: Следующая тема  
Автор Сообщение
qwery



Зарегистрирован: 14.11.2002
Сообщения: 394

СообщениеДобавлено: Пт Фев 13 2009 11:46    Заголовок сообщения: помогите выбрать cisco Ответить с цитатой

приветствую всех! наконец первый раз покупаю циско. помогите выбрать. основные требования я напишу, если будут идеи, то пишите сюда, буду благодарен.

1. минимум 4 гигабитных лана (ими управлять не надо, просто 4-х портовый свич)
2. 1 выход в мир.
3. возможность настройки файрвола и портмапинга.
4. поддержка ipsec (необязательно).

благодарен за любые советы.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
qwery



Зарегистрирован: 14.11.2002
Сообщения: 394

СообщениеДобавлено: Пт Фев 13 2009 14:17    Заголовок сообщения: Ответить с цитатой

сами цисковцы порекомендовали 3845 + модули. но чтото уж очень дорого.....
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
and3008



Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород

СообщениеДобавлено: Пт Фев 13 2009 23:41    Заголовок сообщения: Ответить с цитатой

Ну купи DSL-модем D-Link и управляемый свитч. Вот и вся песня.

На кой тебе 4 Гигабитных порта на роутере? 3845 один фиг больше 300 мегабит через себя не пропустит.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
qwery



Зарегистрирован: 14.11.2002
Сообщения: 394

СообщениеДобавлено: Сб Фев 14 2009 02:34    Заголовок сообщения: Ответить с цитатой

сейчас примерно так и сделано. циска пикс + неуправляемый комутатор.
хочется вместо 2 девайсов поставить один. узел очень ответственный, на нем висят 4 сервера в стойке провайдера, и должен работать 24*7
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
and3008



Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород

СообщениеДобавлено: Вс Фев 15 2009 01:32    Заголовок сообщения: Ответить с цитатой

Тогда вдвойне странно ваше желание. Надежность достигается избыточностью и по большому счету больше ничем.
Какая избыточность будет достигнута заменой двух устройств на одно? Ответ: НИКАКОЙ, потому что ничего по сути не изменилось. Да, вероятность отказа снизилась. Однако выросли риски общего отказа. В случае с дешевым железом вы пойдете в ближайший ларек и купите такое же, а в случае с большим и сложным устройством вам прийдется либо платить 10% его стоимости за тех.суппорт в год, либо молиться что вы не наступите на грабли софта или не дай боже, чтобы железо не взглюкнуло.

Вы находитесь в плену собственных заблуждений. Пересмотрите свои взгляды. Почитайте на сайте той же Циски дизайны сетей и какими элементами достигается надежность, безопасность и производительность.

Я не агитирую вас против Циски. У меня самого их много. Я прошу вас принять взвешенное решение, а не только опираться на мнение уважаемых вами людей.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
qwery



Зарегистрирован: 14.11.2002
Сообщения: 394

СообщениеДобавлено: Пн Фев 16 2009 09:16    Заголовок сообщения: Ответить с цитатой

пересмотрел свои взгляды нажизнь. спасибо....
не скажу, что вопросов стало меньше, корее наоборот, больше..... Smile


and3008 писал(а):
Тогда вдвойне странно ваше желание. Надежность достигается избыточностью и по большому счету больше ничем.
Какая избыточность будет достигнута заменой двух устройств на одно? Ответ: НИКАКОЙ, потому что ничего по сути не изменилось. Да, вероятность отказа снизилась. Однако выросли риски общего отказа. В случае с дешевым железом вы пойдете в ближайший ларек и купите такое же, а в случае с большим и сложным устройством вам прийдется либо платить 10% его стоимости за тех.суппорт в год, либо молиться что вы не наступите на грабли софта или не дай боже, чтобы железо не взглюкнуло.

Вы находитесь в плену собственных заблуждений. Пересмотрите свои взгляды. Почитайте на сайте той же Циски дизайны сетей и какими элементами достигается надежность, безопасность и производительность.

Я не агитирую вас против Циски. У меня самого их много. Я прошу вас принять взвешенное решение, а не только опираться на мнение уважаемых вами людей.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
and3008



Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород

СообщениеДобавлено: Пн Фев 16 2009 22:24    Заголовок сообщения: Ответить с цитатой

И что за вопросы?
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
qwery



Зарегистрирован: 14.11.2002
Сообщения: 394

СообщениеДобавлено: Вт Фев 17 2009 09:16    Заголовок сообщения: Ответить с цитатой

в общем по итогу решили сделать следующее. оставить то, что есть, плюс к этому паралельно поставить juniper SSG 320M. и настроить днс раунд робин (по моему так называется), NLB поднимать я смысла не вижу, хотя можно будет поэкспериметировать. и тем самым поднять надежность, собственно чего и хотелось....
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
and3008



Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород

СообщениеДобавлено: Ср Фев 18 2009 03:20    Заголовок сообщения: Ответить с цитатой

А позвольте узнать, на кой вам DNS round-robbin? Чтобы повысить доступность ваших сетевых ресурсов из сети Internet? Ну вот упадет у вас один канал, а DNS будет продолжать отдавать IP от упавшего канала. И чего? Половина клиентов идет лесом.

Вы сделали round-robin для внутренних клиентов? А на фига? Разместите в своей сети два кэширующих DNS-сервера, чтобы они обращались к корневым DNS-серверам, NAT на пограничных роутерах и дело в шляпе.

В общем схемку бы и внятное описание хотений. Тогда был бы разговор.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
qwery



Зарегистрирован: 14.11.2002
Сообщения: 394

СообщениеДобавлено: Ср Фев 18 2009 10:17    Заголовок сообщения: Ответить с цитатой

попытаюсь изобрадить схемку. на ней - то, что будет после установки опысываемого выше девайся.

интернет - pix - 2 сетевых интерфеса, работающих в NLB
интернет - juniper - 2 сетевых интерфеса, работающих в NLB (подсеть другая, так как в серверах по 2 сетевые платы)

между собой эти 2 сервера связи могут и не иметь, они обращаются к зазеркаленому скулю на 2-х машинах, а вот они в свою очередь должны видеть друг друга на максимальной скорости, чтобы заркалировалось быстро, собственно для этого и требудется минимум 4 гигабитных порта. 2 под сервера, которые непосредственно смотрят в мир, и 2 для скуля.

в общем очень сумбурно, но вроде бы понятно.
ЗЫ - сейчас сделано как в первой строчке, только после пикса ещё гигабитная циска свич стоит.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
and3008



Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород

СообщениеДобавлено: Ср Фев 18 2009 21:11    Заголовок сообщения: Ответить с цитатой

PIX не умеет работать в NLB. NLB - это Микрософтовская технология.

На фаерволах вы доступность не сделаете. Роутеры вам нужны.

Два роутера на каждый Интернет-канал. Кабель между ними. Динамическая маршрутизация и GLBP внутрь сети и BGP наружу. Тем самым обеспечивается доступность сети из Интернет и доступность ядра маршрутизаторов для сетевых устройств твоей сети.

Дальше два PIX-а в режиме Load-Sharing с синхронизацией FIB и ARP. Тем самым вносится элемент защиты (FireWall) и обеспечивается его отказоустойчивость.

Вот что делать с внутренней сетью... Самое простое - два свича второго уровня. Каждый PIX подключается в свой свитч. На серваках две платы. Если сетевуха правильная, типа от Intel. То в драйверах есть приблуда, позволяющая сделать из двух сетевух отказоустойчивую группу (Teaming). Режим отказоустойчивости Active-Backup. Метод обнаружения отказа - ARP-запросы к шлюзу по умолчанию, коим является пара PIX.

Компы с СУБД могут включаться в тот же свитч, только не указывать шлюз по умолчанию. Тогда от хакеров их защищать не придется.

Ну вот и все. Отказ любого элемента не приводит к отказу всего решения. Каждая железяка сама понюхает соседа и перестроит свою конфигурацию. Тебе только озаботится мониторингом, дабы таки знать, что что-то отказало, а то расслабишься, пока не произойдет двойной отказ. Wink
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
qwery



Зарегистрирован: 14.11.2002
Сообщения: 394

СообщениеДобавлено: Чт Фев 19 2009 13:06    Заголовок сообщения: Ответить с цитатой

исчерпывающая информация... и спасибо тут неуместно... только пиво.... Smile))
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Показать сообщения:   
Этот форум закрыт, вы не можете писать новые сообщения и редактировать старые.   Эта тема закрыта, вы не можете писать ответы и редактировать сообщения.    Список форумов Архив форумов ЦИТФорума -> Сети Часовой пояс: GMT + 3
Страница 1 из 1

 
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах


Powered by phpBB © 2001, 2002 phpBB Group
Русская поддержка phpBB

 

IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

Информация для рекламодателей PR-акции, размещение рекламы — adv@citforum.ru,
тел. +7 495 6608306, ICQ 232284597
Пресс-релизы — pr@citforum.ru
Послать комментарий
Информация для авторов
This Web server launched on February 24, 1997
Copyright © 1997-2000 CIT, © 2001-2006 CIT Forum
Внимание! Любой из материалов, опубликованных на этом сервере, не может быть воспроизведен в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав. Подробнее...