Comments 44
Мне нравиться!
Через месяц уже новый 2011 год, в течении которого закончатся адреса Ipv4 и миру придется начать миграцию в ipv6, который идеологически отрицает NAT на любом уровне.
А Cisco тут как тут — вовремя :)
Через месяц уже новый 2011 год, в течении которого закончатся адреса Ipv4 и миру придется начать миграцию в ipv6, который идеологически отрицает NAT на любом уровне.
А Cisco тут как тут — вовремя :)
думаю, нам еще долго понадобится NAT-PT, да и думаю, что многие просто не готовы к тому, что их адрес будет «белым» и нас ждет новая волна червей и троянов.
Кроме того, технологии не новые, просто я именно сейчас почему-то собрался их описать
Кроме того, технологии не новые, просто я именно сейчас почему-то собрался их описать
NAT будет жить ровно столько сколько ipv4, то есть недолго
Белые адреса — это очень хорошо и многие пользователи и провайдеры это подтвердят.
firewall не имеет никакого отношения к NAT
Белые адреса — это очень хорошо и многие пользователи и провайдеры это подтвердят.
firewall не имеет никакого отношения к NAT
белые адреса хорошо для тех, кто хотя бы отличает их от серых. А сколько домохозяек имеет старую пиратскую винду без единого обновления, на которой файерволл больше похож на решето? Раньше НАТ их хоть отчасти скрывал, а сейчас…
Файрволл с приходом ipv6 никуда не исчезнет
это понятно. просто раньше их скрывал NAT провайдера. а теперь нечему.
Идиотам ничего не поможет, даже если они назвали себя провайдерами
верно. Но я например буду со своей стороны не рад резкому увеличению мощности ботнетов.
Надеясь на firewall на уровне провайдера вы как раз способствуете их увеличению
я не надеюсь на него. Мне он не нужен, у меня и так белый адрес и не один :) справляюсь :) Вопрос в том, что многим пользователям он пока нужен
Я имел в виду что строя сеть в котором единственной защитой абонентов является NAT, выполняющий роль firewall на уровне uplink, вы открываете простор для разгула ботов внутри сети. Достаточно одному пользователю заразиться и вся сеть работает на мировой терроризм.
Ежели в сети есть другие механизмы защиты, то я не понимаю зачем этот пассаж про бедных домохозяек с пиратской виндой.
PS. рад за вас
Ежели в сети есть другие механизмы защиты, то я не понимаю зачем этот пассаж про бедных домохозяек с пиратской виндой.
PS. рад за вас
В задачи провайдера, входит только доставка трафика. И меня будет совершенно не радовать то, что фильтрует какие то пакеты, по правилам которые мне не известны и на которые я не могу повлиять.
Если уж так хочется, то можно для домохозяек ввести дополнительную опцию (можно даже на этом деньжат срубить). Но этот уже как дополнение. В примые обязанности провайдера, фильтровать «опасный трафик» не входит.
Если уж так хочется, то можно для домохозяек ввести дополнительную опцию (можно даже на этом деньжат срубить). Но этот уже как дополнение. В примые обязанности провайдера, фильтровать «опасный трафик» не входит.
Вы так радикальны, что прямо вживую ощущаю запах тролля. Будьте тоньше хотя б.
Я не троллю ( тролю? без понятия как правильно ) и мне нет нужды быть толще или тоньше. Честно.
Просто одни и те же темы, много раз обсужденные, вызывают не совсем адекватную реакцию. Прошу прощения если кому-то кажется это слишком радикальным.
NAT=firewall одна из них.
Просто одни и те же темы, много раз обсужденные, вызывают не совсем адекватную реакцию. Прошу прощения если кому-то кажется это слишком радикальным.
NAT=firewall одна из них.
никто о таком равенстве и не говорит. Но сейчас НАТ отчасти добавляет защиты. Что будет, когда его не будет — … боюсь, ничего хорошего. Конечно, это проблема пользователей. Но интернетом пользуются все, а вот знаний достаточно у немногих.
NAT можно настроить на статический mapping портов, но почему-то из коробки этого нет на типичном CPE.
Почему же Вы думаете что в отсутствие NAT в типичной коробке будет отсутствовать firewall?
Почему же Вы думаете что в отсутствие NAT в типичной коробке будет отсутствовать firewall?
ну не все ведь подключены через CPE. Многие подключены просто кабелем в комп. И я не говорю, что такие сети, где НАТ — единственная защита — правильные, но таких много, наверное даже большинство. Опять же, на текущий момент белый IP подразумевает отсутствие всякого контроля по доступу к нему со стороны провайдера (а иначе нафига он мне сдался?), а теперь провайдерам придется так или иначе брать на себя ограничение трафика
Я сейчас не владею статистикой, но пару лет назад NAT был уделом домовых сетей сделанных на коленке. А CPE использовали больше двух третей пользователей и их процент продолжал расти.
Белый адрес для провайдера это еще и устранение бутылочного горлышка на uplink-е, а контроль трафика со стороны провайдера быть должен, поскольку есть SLA, QoS, учет и тарификация. Опять же должна быть возможность логгирования.
Белый адрес для провайдера это еще и устранение бутылочного горлышка на uplink-е, а контроль трафика со стороны провайдера быть должен, поскольку есть SLA, QoS, учет и тарификация. Опять же должна быть возможность логгирования.
Белый адрес для провайдера это еще и устранение бутылочного горлышка на uplink-е, а контроль трафика со стороны провайдера быть должен, поскольку есть SLA, QoS, учет и тарификация. Опять же должна быть возможность логгирования.
А что мешает делать это BRASе для локальных IP (как сейчас все и работают)?
Я сейчас не владею статистикой, но пару лет назад NAT был уделом домовых сетей сделанных на коленке. А CPE использовали больше двух третей пользователей и их процент продолжал расти.
вы заблуждаетесь. довольно крупные провайдеры, тоже использовали нат и сейчас используют. т.е. не только домушники.
Начнем с того что двы действительно не владете статистикой. Думаю на этом можнои окончить.
Вы наверно дальше заголовка не читали? Этот NAT служит для балансировки внешнего (входящего) трафика между несколькими машинами внутри сети, а не для маскарадинга исходящего. Неужели у ipv6 балансировка есть сразу в протоколе?
Только что показал нашему админу. Он попробовал на стендовом оборудование. Очень интерестная и полезная вещь. Ждем продолжения. Автору цикла большое спасибо.
UFO just landed and posted this here
Более гибкий и удобный инструмент для распараллеливания, а также резервирования у Cisco — Server Load Balancing (SLB). Но встречается наверняка с той же периодичностью :)
SLB возможна только на более дорогом оборудование и только на определеных версий IOS на сколько я помню. В свое время мы пытались сделать SLB для жаббер кластера но наше оборудование это не поддержывало так что ограничились DNS round-robin.
Верно. Встречается тоже редко :) Но коль уж я взялся NAT описывать, пришлось и его :) тем более, что кому-то может показаться полезным.
Прошу прощения, но вся эта информация уже описана в куче документов и книжек, зачем её переписывать сюда?
так или иначе все описано в книжках и документах, Вы не находите?
Даже не знаю что Вам ответить.
Если бы всё было описано в книгах, то не было бы новых продуктов и решений. Всё было бы заранее известно.
Думаю что делиться нужно новым и необычным, а то что можно найти в любой уже даже книжной библиотеке — это не интересно — это для лентяев, которые не хотят искать.
Если бы всё было описано в книгах, то не было бы новых продуктов и решений. Всё было бы заранее известно.
Думаю что делиться нужно новым и необычным, а то что можно найти в любой уже даже книжной библиотеке — это не интересно — это для лентяев, которые не хотят искать.
Спасибо, статья пришлась очень кстати!
Только возник вопрос — а как будет вести себя циска, если один из серверов станет недоступен? Т.е. подходит ли такая конфигурация для полноценного резервирования и балансировки нагрузки?
Только возник вопрос — а как будет вести себя циска, если один из серверов станет недоступен? Т.е. подходит ли такая конфигурация для полноценного резервирования и балансировки нагрузки?
пожалуйста :) в том-то и дело, что она только форвардит, к сожалению. Для полноценного резервирования нужен SLB, но он мало какой железкой поддерживается.
UFO just landed and posted this here
Спасибо! Доступно и понятно.
Sign up to leave a comment.
NAT на Cisco. Часть 2