forum.opennet.ru - "Аналог Iptables в 'железе'" (3)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Аналог Iptables в 'железе'"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Аналог Iptables в 'железе'"
Сообщение от Susanin_ (ok) on 19-Фев-07, 11:53
Собственно проблема состоит с поиске технологий и оборудования для: 1. Установка в центр ядра сети. 2. Поддержка 150 VLAN. 3. Маршрутизация между 150 VLAN. 4. Средняя суммарная скорость 120 Mbits, в пиках - 300. 5. Возможность создания bridge из влан-интерфейсов. 6. Настройка доступа между VLAN на основе VLAN ID источника/назначения. Дело в том, что вланы имеют сильно разбросанные диапазоны ip-адресов (наши серые, реальные инетовские, серые наших выделенных юр. абонентов, имеющих филиалы в разных частях нашей сетки и т.д.), поэтому создание правил можно/нельзя на основе ip нам не подходит. Или-же их число будет запредельным для этой ценовой категории.. 7. Интерфейсы и их количество - большой роли не имеют.. 8. Цена - хотелось бы уложиться в 1500 $. (может б/у). ------ Под все это дело очень хорошо подходит современный комп с linux на борту. Там как раз разрулить вланы легко, из-за того, что они интерфейсами представлены. Но хотелось бы в центр поставить железку, а не комп, вот и ищем замену по функционалу.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Аналог Iptables в 'железе', Ярослав Росомахо, 12:44 , 19-Фев-07, (1)

Аналог Iptables в 'железе', Susanin_, 17:20 , 19-Фев-07, (2)

Аналог Iptables в 'железе', Саня, 22:24 , 20-Фев-07, (3)

Сообщения по теме [Сортировка по времени, UBB]

1. "Аналог Iptables в 'железе'"

Сообщение от Ярослав Росомахо on 19-Фев-07, 12:44

>Собственно проблема состоит с поиске технологий и оборудования для:
>1. Установка в центр ядра сети.
>2. Поддержка 150 VLAN.
>3. Маршрутизация между 150 VLAN.
>4. Средняя суммарная скорость 120 Mbits, в пиках - 300.
>5. Возможность создания bridge из влан-интерфейсов.
>6. Настройка доступа между VLAN на основе VLAN ID источника/назначения. Дело в
>том, что вланы имеют сильно разбросанные диапазоны ip-адресов (наши серые, реальные
>инетовские, серые  наших выделенных юр. абонентов, имеющих филиалы в разных
>частях нашей сетки и т.д.), поэтому создание правил можно/нельзя на основе
>ip нам не подходит. Или-же их число будет запредельным для этой
>ценовой категории..
>7. Интерфейсы и их количество - большой роли не имеют..
>8. Цена - хотелось бы уложиться в 1500 $. (может б/у).
>------
>Под все это дело очень хорошо подходит современный комп с linux на
>борту. Там как раз разрулить вланы легко, из-за того, что они
>интерфейсами представлены. Но хотелось бы в центр поставить железку, а не
>комп, вот и ищем замену по функционалу.
Смотрите в сторону WS-C3560-8PC
http://www.cisco.com/en/US/products/hw/switches/ps5528/products_data_sheet09186a00801f3d7d.html

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Аналог Iptables в 'железе'"

Сообщение от Susanin_ (ok) on 19-Фев-07, 17:20

>Смотрите в сторону WS-C3560-8PC
>http://www.cisco.com/en/US/products/hw/switches/ps5528/products_data_sheet09186a00801f3d7d.html
Смотрели. Но не нашли (не увидели) самого главного - каким механизмом осуществляться фильтрация трафика между VLAN на основе VALN ID:
>>ACLs can be used to restrict access to sensitive portions of the network by denying packets based on source and destination MAC addresses, IP addresses, or TCP/UDP ports.
VLAN ID нет
>>Cisco security VLAN ACLs (VACLs) on all VLANs prevent unauthorized data flows from being bridged within VLANs.
а нам необходимо фильтровать routed поток.
В этом-то и основная проблема - мы не можем выбрать правильную технологию фильтрации, а потом уже искать железо...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Аналог Iptables в 'железе'"

Сообщение от Саня on 20-Фев-07, 22:24

>>Смотрите в сторону WS-C3560-8PC
>>http://www.cisco.com/en/US/products/hw/switches/ps5528/products_data_sheet09186a00801f3d7d.html
>
>Смотрели. Но не нашли (не увидели) самого главного - каким механизмом осуществляться
>фильтрация трафика между VLAN на основе VALN ID:
>
>>>ACLs can be used to restrict access to sensitive portions of the network by denying packets based on source and destination MAC addresses, IP addresses, or TCP/UDP ports.
>VLAN ID нет
>>>Cisco security VLAN ACLs (VACLs) on all VLANs prevent unauthorized data flows from being bridged within VLANs.
>а нам необходимо фильтровать routed поток.
>
>В этом-то и основная проблема - мы не можем выбрать правильную технологию
>фильтрации, а потом уже искать железо...
3560G может роутить на скорости канала, как только он упрется в "потолок", то ему хана.
а так гигабиты для него ерунда.
Видел примеры когда на 3750 терминирвали около 70 VLAN.
А если хотите как взрослые возмите 6509 и будет вам все вичи в одном холодильнике.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Аналог Iptables в 'железе'"
Сообщение от Ярослав Росомахо on 19-Фев-07, 12:44
>Собственно проблема состоит с поиске технологий и оборудования для: >1. Установка в центр ядра сети. >2. Поддержка 150 VLAN. >3. Маршрутизация между 150 VLAN. >4. Средняя суммарная скорость 120 Mbits, в пиках - 300. >5. Возможность создания bridge из влан-интерфейсов. >6. Настройка доступа между VLAN на основе VLAN ID источника/назначения. Дело в >том, что вланы имеют сильно разбросанные диапазоны ip-адресов (наши серые, реальные >инетовские, серые наших выделенных юр. абонентов, имеющих филиалы в разных >частях нашей сетки и т.д.), поэтому создание правил можно/нельзя на основе >ip нам не подходит. Или-же их число будет запредельным для этой >ценовой категории.. >7. Интерфейсы и их количество - большой роли не имеют.. >8. Цена - хотелось бы уложиться в 1500 $. (может б/у). >------ >Под все это дело очень хорошо подходит современный комп с linux на >борту. Там как раз разрулить вланы легко, из-за того, что они >интерфейсами представлены. Но хотелось бы в центр поставить железку, а не >комп, вот и ищем замену по функционалу. Смотрите в сторону WS-C3560-8PC http://www.cisco.com/en/US/products/hw/switches/ps5528/products_data_sheet09186a00801f3d7d.html
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Аналог Iptables в 'железе'"
	Сообщение от Susanin_ (ok) on 19-Фев-07, 17:20
	>Смотрите в сторону WS-C3560-8PC >http://www.cisco.com/en/US/products/hw/switches/ps5528/products_data_sheet09186a00801f3d7d.html Смотрели. Но не нашли (не увидели) самого главного - каким механизмом осуществляться фильтрация трафика между VLAN на основе VALN ID: >>ACLs can be used to restrict access to sensitive portions of the network by denying packets based on source and destination MAC addresses, IP addresses, or TCP/UDP ports. VLAN ID нет >>Cisco security VLAN ACLs (VACLs) on all VLANs prevent unauthorized data flows from being bridged within VLANs. а нам необходимо фильтровать routed поток. В этом-то и основная проблема - мы не можем выбрать правильную технологию фильтрации, а потом уже искать железо...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Аналог Iptables в 'железе'"
	Сообщение от Саня on 20-Фев-07, 22:24
	>>Смотрите в сторону WS-C3560-8PC >>http://www.cisco.com/en/US/products/hw/switches/ps5528/products_data_sheet09186a00801f3d7d.html > >Смотрели. Но не нашли (не увидели) самого главного - каким механизмом осуществляться >фильтрация трафика между VLAN на основе VALN ID: > >>>ACLs can be used to restrict access to sensitive portions of the network by denying packets based on source and destination MAC addresses, IP addresses, or TCP/UDP ports. >VLAN ID нет >>>Cisco security VLAN ACLs (VACLs) on all VLANs prevent unauthorized data flows from being bridged within VLANs. >а нам необходимо фильтровать routed поток. > >В этом-то и основная проблема - мы не можем выбрать правильную технологию >фильтрации, а потом уже искать железо... 3560G может роутить на скорости канала, как только он упрется в "потолок", то ему хана. а так гигабиты для него ерунда. Видел примеры когда на 3750 терминирвали около 70 VLAN. А если хотите как взрослые возмите 6509 и будет вам все вичи в одном холодильнике.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]