praegune kellaaeg 16.06.2025 18:31:59 |
|
Hinnavaatlus
:: Foorum
:: Uudised
:: Ärifoorumid
:: HV F1 ennustusvõistlus
:: Pangalink
:: Telekavad
:: HV toote otsing
|
|
| autor |
|
jaaguar
HV vaatleja
liitunud: 21.02.2007
|
30.11.2010 12:53:20
Ruuter/tulemüür serveritele |
|
|
Oleks serverite ette vaja paigutada mingit seadet, mis oskaks ruutida/tulemüürida, ja mille kaudu saaks remote accessi (nii tavaLAN-i ja management porti). Eriti vinge kui VPN serveeriks. Kui vaatan selliseid 5-10000 eek hinnaklassis ruutereid ja security appliance (näiteks Cisco omi), siis need tunduvad olevat kontori ja neti vahele mõeldud olevaks, mitte serveri ja neti vahele? Võrgu konf oleks: 2 serverit (live ja dev), eraldi IP-dega, kummagil 2 LAN otsa ja 1 management LAN. Üks füüsiline välisvõrguühendus, 2 avalikku IP-d. Konkreetselt kaalun kas kõlbaks näiteks
http://www.markit.eu/ee/et/dual-ethernet-security-router-with-v-92-modem/ või http://www.markit.eu/ee/et/cisco-sa-540-security-appliance/v2p724535c453
|
|
| tagasi üles |
|
 |
Angrist
HV kasutaja
liitunud: 23.09.2004
|
|
30.11.2010 14:18:24
Re: Ruuter/tulemüür serveritele |
|
|
| jaaguar kirjutas: |
Oleks serverite ette vaja paigutada mingit seadet, mis oskaks ruutida/tulemüürida, ja mille kaudu saaks remote accessi (nii tavaLAN-i ja management porti). Eriti vinge kui VPN serveeriks. Kui vaatan selliseid 5-10000 eek hinnaklassis ruutereid ja security appliance (näiteks Cisco omi), siis need tunduvad olevat kontori ja neti vahele mõeldud olevaks, mitte serveri ja neti vahele? Võrgu konf oleks: 2 serverit (live ja dev), eraldi IP-dega, kummagil 2 LAN otsa ja 1 management LAN. Üks füüsiline välisvõrguühendus, 2 avalikku IP-d. Konkreetselt kaalun kas kõlbaks näiteks
http://www.markit.eu/ee/et/dual-ethernet-security-router-with-v-92-modem/ või http://www.markit.eu/ee/et/cisco-sa-540-security-appliance/v2p724535c453 |
Mida sa mõtled kontori ja neti vahele ja serveri ja neti vahele, ehk siis mis nagu ideeline vahe peaks olema ?
(Aaa nüüd jõudis kohale, sa tahad tulemüüri mis ei teeks NAT-i ?)
Muidugi soovitan ka Juniper-i netscreene vaadata.
|
|
| tagasi üles |
|
|
jaaguar
HV vaatleja
liitunud: 21.02.2007
|
|
30.11.2010 17:14:12
Re: Ruuter/tulemüür serveritele |
|
|
| Angrist kirjutas: |
| jaaguar kirjutas: |
Oleks serverite ette vaja paigutada mingit seadet, mis oskaks ruutida/tulemüürida, ja mille kaudu saaks remote accessi (nii tavaLAN-i ja management porti). Eriti vinge kui VPN serveeriks. Kui vaatan selliseid 5-10000 eek hinnaklassis ruutereid ja security appliance (näiteks Cisco omi), siis need tunduvad olevat kontori ja neti vahele mõeldud olevaks, mitte serveri ja neti vahele? Võrgu konf oleks: 2 serverit (live ja dev), eraldi IP-dega, kummagil 2 LAN otsa ja 1 management LAN. Üks füüsiline välisvõrguühendus, 2 avalikku IP-d. Konkreetselt kaalun kas kõlbaks näiteks
http://www.markit.eu/ee/et/dual-ethernet-security-router-with-v-92-modem/ või http://www.markit.eu/ee/et/cisco-sa-540-security-appliance/v2p724535c453 |
(Aaa nüüd jõudis kohale, sa tahad tulemüüri mis ei teeks NAT-i ?)
Muidugi soovitan ka Juniper-i netscreene vaadata. |
Vist tulemüüri tahan jah, ei taha hoida servereid otse metsikus internetis, kuidagi ebaturvaline "kummita" tunne on. Ja oleks ka vaja jagada ühte välist IP-d mitme masina vahel, ehk siis eraldi subnette/dmz/sisevõrgu swichi tekitada. Netscreene vaatasin, toredad asjad ja vist isegi selleks mõeldud mida vaja. aga ei ole taskukohased (10.000+ EUR hakkavad). Overkill ka ilmselt. Maaletooja poolt soovitati Juniperi SRX-100, mida jõuaks juba osta ja mis on vähemalt 10x odavam. Eks ka 10x nõrgem: gigabittide asemel on heal juhul 100Mbps, aga ega mul suuremat netitoru olegi seal. Selle kohta arvab keegi midagi? Kõik paistavad muidu Ciscosid kasutavat siin Eestis.
|
|
| tagasi üles |
|
|
Pailaps
HV Guru
liitunud: 13.05.2004
|
|
01.12.2010 13:00:09
|
|
|
Mul on edukalt kasutuses Cisco ASA5505 w Security Appliance. 380 euri eest töölooma.
Pärast Juniperi tarkvara bugi, mis kogu võrgu halvas , ei julge enam panustada.
Samas, kas kontorivõrk puhsib 100 Mbps koguaeg? Siis on isegi minu pakutud suht overkill. 85000 pps läbiv seade ei ole just kontori jaoks mõeldud.
_________________
Ma trollin 50% oma postitustest. |
|
| tagasi üles |
|
|
Spezz
HV veteran
liitunud: 21.08.2005
|
|
01.12.2010 14:48:34
|
|
|
Cisco ASA5505 küll sellest bugist mõjutatud polnud ja reaalselt polnud tegemist ka bugiga vaid sellega, et adminid olid default konfi jätnud kastidele 
|
|
| tagasi üles |
|
|
Pailaps
HV Guru
liitunud: 13.05.2004
|
|
01.12.2010 14:52:17
|
|
|
| Spezz kirjutas: |
| Cisco ASA5505 küll sellest bugist mõjutatud polnud ja reaalselt polnud tegemist ka bugiga vaid sellega, et adminid olid default konfi jätnud kastidele |
Eiei Spezz, ASA mul katki ei läinudki Juniper MX 960 läks. Seetõttu kirjutasin, et väga ei julge promoda enam. Tegelikult omad vitsad peksavad suht.
_________________
Ma trollin 50% oma postitustest. |
|
| tagasi üles |
|
|
hashi
Kreisi kasutaja
liitunud: 21.06.2004
|
|
01.12.2010 14:54:01
Re: Ruuter/tulemüür serveritele |
|
|
| jaaguar kirjutas: |
Oleks serverite ette vaja paigutada mingit seadet, mis oskaks ruutida/tulemüürida [kärtz...]
Võrgu konf oleks: 2 serverit (live ja dev), eraldi IP-dega, kummagil 2 LAN otsa ja 1 management LAN.
Üks füüsiline välisvõrguühendus, 2 avalikku IP-d.
Ja oleks ka vaja jagada ühte välist IP-d mitme masina vahel, ehk siis eraldi subnette/dmz/sisevõrgu switchi tekitada. |
Heips!
Eee... natsa oleks vaja täpsustusi 
1. Kas mõlemal serveril peab olema välisvõrgu aadress(WAN IP)?
2. Mida tähendab väljend "live ja dev"?
3. Mis otstarbeks on serveritel 2 LAN-i ja lisaks veel managment LAN? Milleks neid kasutatakse ja/või kasutada plaanitakse?
4. Mil moel on plaanitud 2 WAN IP aadressi kasutamine?
Cisco SA540 võimaldab ka traditsioonilist ruutimist(not NAT), kuid mis seade sul sel juhul lokaalvõrku(LAN) tekitaks? Üks väline IP aadress kasutatakse ju automaatselt ära sinu ruuter-müüri identifitseerimiseks, teine läheks sisevõrgu(LAN) liidese kasutusse... aga mida ülejäänud LAN-i masinad teeksid? SA540 oleks küll serveri(te)le müüriks ees, kuid sisevõrgu jaoks oleks ka vaja mingit aadress-ruumi. Seda aga poleks kahe välise aadressi baasil ja NAT-timiseta võimalik teostada. Vist...
Võin ka eksida, kuna pa pole aadresside haldamises just kõikse "teravam pliiats" ja ehk oskab mõni kogenum täpsustada. Vähemaste minu teadmiste kohaselt saad sa oma väliseid aadresse nii jagada, et ruuter-müürile määrad ühe neist ja maskiks paned 255.255.255.252. NAT-timise võtad maha. Siis peaks teine aadress olema valmis sisevõrgu(LAN) liidesele omistamiseks ning ongi kogu lugu - aadressid otsas 
Minuteada SA540 silla(Bridge) reshiimis ei tööta. DMZ ja VPN aga on täiesti kasutatavad.
Samas on SA540 ruutimise haldamises võimalik kasutada ka staatilist ja/või dünaamilist ruutimist(RIP 1, 2 B/M) ning määrata nende erinevaid parameetreid(suund, RIP versioon, port jne). Kahjuks puuduvad mul sellekohased kogemused, et midagi arukat sulle soovitada 
Aga kindlasti leidub foorumis selle ala eksperte, kes sulle sobiliku ja taskukohase lahenduse välja pakuvad 
P.S. Ise kasutan küll SA520 ja see on vaid WAN ja LAN vaheliseks müüriks(ühtlasi LAN-i jaoks Gateway) ja välisvõrku ruudib ADSL modem. Server asub nii sisevõrgus, kui välisvõrgus ning serveril on olemas veel oma müür.
_________________
Seniks...
---
Hashi |
|
| tagasi üles |
|
|
kpihus
Kreisi kasutaja
liitunud: 14.04.2003
|
|
02.12.2010 01:02:45
Re: Ruuter/tulemüür serveritele |
|
|
| jaaguar kirjutas: |
Oleks serverite ette vaja paigutada mingit seadet, mis oskaks ruutida/tulemüürida, ja mille kaudu saaks remote accessi (nii tavaLAN-i ja management porti). Eriti vinge kui VPN serveeriks. Kui vaatan selliseid 5-10000 eek hinnaklassis ruutereid ja security appliance (näiteks Cisco omi), siis need tunduvad olevat kontori ja neti vahele mõeldud olevaks, mitte serveri ja neti vahele? Võrgu konf oleks: 2 serverit (live ja dev), eraldi IP-dega, kummagil 2 LAN otsa ja 1 management LAN. Üks füüsiline välisvõrguühendus, 2 avalikku IP-d. Konkreetselt kaalun kas kõlbaks näiteks
http://www.markit.eu/ee/et/dual-ethernet-security-router-with-v-92-modem/ või http://www.markit.eu/ee/et/cisco-sa-540-security-appliance/v2p724535c453 |
Kui sul on 2 avaliku IP aadressi, aga kaks serverit kummalgi 2 LAN'i (+management) siis ilma NAT'imata välja ei vea kahjuks
Aga omaltpoolt soovitan WatchGuardi tooteid. Mõistliku hinna eest mõistlik funktsionaalsus. Näiteks XTM21 tuleb kätte 7000.- +km ja selle raha eest tuleb kätte 110 Mbps läbilaskevõimega kast. See hind oli muidugi ilma Layer7 filtreerimis teenusteta (AV,IPS,Spam). Serveri ette oleks muidugi vahva pista see kast bridged modes. St kõik liiklus lastakse läbi nagu Switchil, aga samas tehakse filtreerimist ja lastakse läbi ainule see liiklus, mis on mõeldud läbi minema, mõttetu saast blokeeritakse ära. See eeldaks muidugi, et iga servreri igal liidesel oleks avalik IP aadress.
|
|
| tagasi üles |
|
|
undo
Kreisi kasutaja
liitunud: 23.12.2001
|
|
02.12.2010 01:08:54
|
|
|
Ise kasutan Mikrotiki selliseks asjaks, ei saa väga kurta. Võrreldes CISCO-ga ja Juniperiga teeb asja ahvatlevaks selle hind, mis on kordades odavam. Samas funktsionaalsuse poolest nendele milleski alla ei jää, OK graafilist ilusat liidest ei ole, aga CISCO-l GUI-ga ka suurt midagi ära ei tee. Lisaks tugevalt keerulisem halduse ülesehitus nii CISCO-l, kui ka Juniperil. + loomuliklt litsenseerimispoliitika, mis nende kasuks üldse ei räägi.
Eestis saab soetada Kernelist.
|
|
| tagasi üles |
|
|
jj666
Kreisi kasutaja
liitunud: 31.05.2004
|
|
02.12.2010 10:50:59
Re: Ruuter/tulemüür serveritele |
|
|
| jaaguar kirjutas: |
Vist tulemüüri tahan jah, ei taha hoida servereid otse metsikus internetis, kuidagi ebaturvaline "kummita" tunne on. Ja oleks ka vaja jagada ühte välist IP-d mitme masina vahel, ehk siis eraldi subnette/dmz/sisevõrgu swichi tekitada. Netscreene vaatasin, toredad asjad ja vist isegi selleks mõeldud mida vaja. aga ei ole taskukohased (10.000+ EUR hakkavad). Overkill ka ilmselt. Maaletooja poolt soovitati Juniperi SRX-100, mida jõuaks juba osta ja mis on vähemalt 10x odavam. Eks ka 10x nõrgem: gigabittide asemel on heal juhul 100Mbps, aga ega mul suuremat netitoru olegi seal. Selle kohta arvab keegi midagi? Kõik paistavad muidu Ciscosid kasutavat siin Eestis. |
Kui sa vaatad 10000 eeguseid ciscosid, miks sa siis 10000 euriseid junipere võrdluseks vaatad? SSG5 teeks kõik mis sul vaja.
|
|
| tagasi üles |
|
|
kris28
HV kasutaja
liitunud: 30.03.2004
|
|
11.12.2010 22:38:39
|
|
|
| kui vähegi koormus peal on, ma mõtlen et yhendus netiga on 100mbit ja teinekord traffic võiks minna suuremaks ning sesioonide arv ka laes siis vähemalt asa5505 sureb koheselt. 5510 peaks väheke paremini vastu. kui minna hinna peale siis aitaks 7206 ruuter NPE-300 prosega milliseid saab kätte juba alla 10k eeku
|
|
| tagasi üles |
|
|
Betamax
HV Guru
liitunud: 29.05.2003
|
|
13.12.2010 18:13:34
|
|
|
| kris28 kirjutas: |
| kui vähegi koormus peal on, ma mõtlen et yhendus netiga on 100mbit ja teinekord traffic võiks minna suuremaks ning sesioonide arv ka laes siis vähemalt asa5505 sureb koheselt. 5510 peaks väheke paremini vastu. kui minna hinna peale siis aitaks 7206 ruuter NPE-300 prosega milliseid saab kätte juba alla 10k eeku |
Räägi lähemalt. Meil on ka ASA5505 mõnda aega olnud ja suht korralikult piiri peale viidud ressursside tarbimisel, aga sinu kirjeldatud surmasid pole täheldanud
|
|
| tagasi üles |
|
|
Pailaps
HV Guru
liitunud: 13.05.2004
|
|
13.12.2010 19:16:52
|
|
|
| Betamax kirjutas: |
| kris28 kirjutas: |
| kui vähegi koormus peal on, ma mõtlen et yhendus netiga on 100mbit ja teinekord traffic võiks minna suuremaks ning sesioonide arv ka laes siis vähemalt asa5505 sureb koheselt. 5510 peaks väheke paremini vastu. kui minna hinna peale siis aitaks 7206 ruuter NPE-300 prosega milliseid saab kätte juba alla 10k eeku |
Räägi lähemalt. Meil on ka ASA5505 mõnda aega olnud ja suht korralikult piiri peale viidud ressursside tarbimisel, aga sinu kirjeldatud surmasid pole täheldanud |
võtaks samuti loosi, äkki midagi vigast seadmel?
tean, et see ei ole üübertehnika, aga ta teeb, mida vaja ja suht odava hinna eest.
okei ühe korra on tõesti põlvili olnud 300 Mbps rünnaku puhul.
_________________
Ma trollin 50% oma postitustest. |
|
| tagasi üles |
|
|
kris28
HV kasutaja
liitunud: 30.03.2004
|
|
13.12.2010 21:37:58
|
|
|
| oleneb mis laadi traffikuga tegu on. yhe ettevõtte vajaduse rahuldab 5505 kindlasti. aga katsu panna sinna kõva traffikuga weebiserverid. või jumal hoia millegi eest mis tekitab palju ja väikseid pakette. ja kui sinna veel lisada mingid vähegi acl´id siis üle 60-70mbps välja ei vea. lihtsalt poole odavama raha eest saab kasutatud 7206 või 7204vxri npe-300 ga mis peab palju rohkem vastu ja on palju töökindlam. pealegi kui asale tahta mingeid lisafeatuure siis maksad lolliks. kui näiteks 72xx osta koos mõistliku ios´iga on kogu funktionaalsus olemas sest EU reeglite järgi cisco refurbished tootele ei saa tarkvara uuesti soetamist nõuda.
|
|
| tagasi üles |
|
|
Betamax
HV Guru
liitunud: 29.05.2003
|
|
14.12.2010 00:13:05
|
|
|
| Läheb veidi OT-ks, aga kas ise on võimalik kuidagi testida, millisele koormusele ruuter vastu peab? Et nagu togid ta välisvõrgust/sisevõrgust oimetuks?
|
|
| tagasi üles |
|
|
kpihus
Kreisi kasutaja
liitunud: 14.04.2003
|
|
14.12.2010 01:00:34
|
|
|
| Betamax kirjutas: |
| Läheb veidi OT-ks, aga kas ise on võimalik kuidagi testida, millisele koormusele ruuter vastu peab? Et nagu togid ta välisvõrgust/sisevõrgust oimetuks? |
Teed Näiteks Jmetriga koormustesti, kasutad mõnd lihtsat protokolli, mis su serverit umbe ei sikuta ja mille konnektsionite arvu on võimalik litsasti jälgida. Näiteks mõni staatiline html ilma muude objektideta. Hakkad Jmetris järjest virtuaalseid usereid juurde keerama ja vaatad, kus maha sureb. Seda muidugi eeldisel, et sinu teenuse server suurema jaksuga on, kui ruuter.
|
|
| tagasi üles |
|
|
Deathmerch
HV vaatleja
liitunud: 15.03.2011
|
|
24.03.2011 16:13:30
Re: Ruuter/tulemüür serveritele |
|
|
| tsitaat: |
Kui sul on 2 avaliku IP aadressi, aga kaks serverit kummalgi 2 LAN'i (+management) siis ilma NAT'imata välja ei vea kahjuks
Aga omaltpoolt soovitan WatchGuardi tooteid. Mõistliku hinna eest mõistlik funktsionaalsus.
|
Ei ole see maailm midagi nii kitsas, et ainult Cisco, Netscreen ja siis odavamatest Juniper ja WatchGuard. Näiteks mul on müür mis on sutsu odavam kui Cisco, ei ole ükski sellest loetelust, kuid näiteks suudab erinevalt Ciscost ilma natimiseta ja ka ilma ruutimiseta seda nimetatud operatsiooni teha, reegel lubab lihtsalt, ilma mingi keemiata valida interface mille kaudu liiklus hakkab toimuma.
Cisco ajad on lihtsalt möödas, midagi pole teha, ei ole enam nii et kõik teised on lollid ja Cisco tark. Aga tõsine soovitus on mitte hakata midagi ise aretama, võite rahulikud olla, kõik on juba tehtud ja ei ole tarvis hakata leiutama jalgratast.
|
|
| tagasi üles |
|
|
|
| lisa lemmikuks |
|
 |
sa ei või postitada uusi teemasid siia foorumisse
sa ei või vastata selle foorumi teemadele
sa ei või muuta oma postitusi selles foorumis
sa ei või kustutada oma postitusi selles foorumis
sa ei või vastata küsitlustele selles foorumis
sa ei saa lisada manuseid selles foorumis
sa võid manuseid alla laadida selles foorumis
|
|
Hinnavaatlus ei vastuta foorumis tehtud postituste eest.
|
:: KKK
:: otsing 
:: statistika
:: kasutajate nimekiri
:: kasutajate grupid
:: registreeri
teata moderaatorile
