Комментарии 32
5cents
" route {interface} 0.0.0.0 0.0.0.0 {next-hop}"
чего не хватает в IOS, и что есть в АСЕ можно: дефолт через route 0 0 instead of 0.0.0.0 0.0.0.0
" route {interface} 0.0.0.0 0.0.0.0 {next-hop}"
чего не хватает в IOS, и что есть в АСЕ можно: дефолт через route 0 0 instead of 0.0.0.0 0.0.0.0
По поводу SLA монитора — еще надо было бы описать каким образом будут меняться правила NAT и файрвола при переключении на другой линк. Насколько я помню на роутерах надо было париться с роут-мапами. Как это реализовно на ASA?
Вопрос к компетентным товарищам: АСА, насколько я понял, не умеет делать заворот HTTP траффика на прокси-сервер? Я читал про WCCP, но его у меня прокси не поддерживает.
А меня больше stateful firewall интересует ;)
Что там такого stateful. Пока я вижу аналог рефлексивных acl на ios-ах.
В любом случае спасибо автору. Будем ждать продолжения!
Что там такого stateful. Пока я вижу аналог рефлексивных acl на ios-ах.
В любом случае спасибо автору. Будем ждать продолжения!
...: продолжаем про ASA
А можно ссылку на начало или серию?
А можно ссылку на начало или серию?
Лол, а что такое по-вашему «Аппаратный межсетевой экран»? и чем он отличается от ПК с флешкой?
судя по табличке в википедии, начинка Cisco ASA НИЧЕМ не отличается en.wikipedia.org/wiki/Cisco_ASA
судя по табличке в википедии, начинка Cisco ASA НИЧЕМ не отличается en.wikipedia.org/wiki/Cisco_ASA
С каким оборудованием сетевым вам довелось поработать?
Аппаратный от программного отличается количеством операций, выполняемых процессором. На АСА реализовано несколько механизмов эффективной обработки именно сессий с разбивкой по зонам безопасности. И алгоритмы оптимизированы именно под эти задачи: межсетевое экранирование.
А так да, АСА — писюк с линуксом, этого никто не скрывает. Жду примеров оригинального сетевого железа :)
Аппаратный от программного отличается количеством операций, выполняемых процессором. На АСА реализовано несколько механизмов эффективной обработки именно сессий с разбивкой по зонам безопасности. И алгоритмы оптимизированы именно под эти задачи: межсетевое экранирование.
А так да, АСА — писюк с линуксом, этого никто не скрывает. Жду примеров оригинального сетевого железа :)
А что сразу на личности?
Просто хотел уточнить, что именно вы (да и многие другие) вкладывают в термин «аппаратный маршрутизатор». Чем он отличается от программного, если никаких особенных железок в нем нет.
Ну вот, допустим, разбирая некоторые маршутизаторы, я заметил, что в сетевых платах используются микросхемы ПЛИС Xlinix. Точно не могу гарантировать, но учитывая, что процессор 100Mhz без напряга прокачивал 100 мбит между vlan-ами в один tcp-поток, очевидно бОльшую часть перетасовки пакетов эти микросхемы выполняют сами без участия процессора. Думаю, такого типа модулей у циски очень много. Пожалуй, это пооригинальнее ПК и такой маршрутизатор можно назвать аппаратным.
Но как можно обзывать ASA аппаратным, заранее зная, что внутри просто линукс на целероне?
Просто хотел уточнить, что именно вы (да и многие другие) вкладывают в термин «аппаратный маршрутизатор». Чем он отличается от программного, если никаких особенных железок в нем нет.
Ну вот, допустим, разбирая некоторые маршутизаторы, я заметил, что в сетевых платах используются микросхемы ПЛИС Xlinix. Точно не могу гарантировать, но учитывая, что процессор 100Mhz без напряга прокачивал 100 мбит между vlan-ами в один tcp-поток, очевидно бОльшую часть перетасовки пакетов эти микросхемы выполняют сами без участия процессора. Думаю, такого типа модулей у циски очень много. Пожалуй, это пооригинальнее ПК и такой маршрутизатор можно назвать аппаратным.
Но как можно обзывать ASA аппаратным, заранее зная, что внутри просто линукс на целероне?
А где вы усмотрели переход на личности?
Я хотел уточнить ваш опыт, чтобы привести адекватные примеры. Ведь заранее я не знаю собеседника.
Так что прошу не принимать близко к сердцу.
В данном случае, под «аппаратным» подразумевается спец.выделенная железяка с софтом, специально заточенным под выполнение неких узкоспециализированных задач. Использующая дополнительные пулы и очереди в памяти для ускорения обработки проходящих сессий.
Я хотел уточнить ваш опыт, чтобы привести адекватные примеры. Ведь заранее я не знаю собеседника.
Так что прошу не принимать близко к сердцу.
В данном случае, под «аппаратным» подразумевается спец.выделенная железяка с софтом, специально заточенным под выполнение неких узкоспециализированных задач. Использующая дополнительные пулы и очереди в памяти для ускорения обработки проходящих сессий.
Какое-то неправильное абсурдное определение, не находите?
Очевидно «аппаратный» противопоставляется «программному».
Давайте сойдемся на том, что на самом деле «вот то, что в синей коробочке — аппаратный, а то, что покупается на CD для установки на ПК — программный».
Говорите так на курсах и вас будут любить за честность :)
Забавно то, что с подачи таких инструкторов, люди даже наделяют синие коробочки какими-то волшебными качествами, хотя совершенно очевидно, что ПК с бОльшей тактовой частотой и хорошими сетевыми адаптерами, потенциально производительнее.
Очевидно «аппаратный» противопоставляется «программному».
Давайте сойдемся на том, что на самом деле «вот то, что в синей коробочке — аппаратный, а то, что покупается на CD для установки на ПК — программный».
Говорите так на курсах и вас будут любить за честность :)
Забавно то, что с подачи таких инструкторов, люди даже наделяют синие коробочки какими-то волшебными качествами, хотя совершенно очевидно, что ПК с бОльшей тактовой частотой и хорошими сетевыми адаптерами, потенциально производительнее.
Проблема в том, что ПК с большей тактовой частотой и хорошими сетевыми адаптерами всего лишь ПК. А ASA — это программно-аппаратная платформа со всеми вытекающими.
То есть уже настроенная совокупность железа и софта для достижения необходимой цели.
ASA5505 — вероятно да, насквозь софтовый firewall. (хотя маршрутизаторы тоже насквозь софтовые, на мой взгляд. Dynamips это неплохо подтверждает)
Но на более старших ASA есть криптоускоритель (а может еще что-то что ставится в плату расширения). Так что не все так плохо.
То есть уже настроенная совокупность железа и софта для достижения необходимой цели.
ASA5505 — вероятно да, насквозь софтовый firewall. (хотя маршрутизаторы тоже насквозь софтовые, на мой взгляд. Dynamips это неплохо подтверждает)
Но на более старших ASA есть криптоускоритель (а может еще что-то что ставится в плату расширения). Так что не все так плохо.
Cнова здорово :)
А какой же part-number у этого криптоускорителя для cisco asa? Я не нашел ничего. Думаю, его просто не существует.
А какой же part-number у этого криптоускорителя для cisco asa? Я не нашел ничего. Думаю, его просто не существует.
А почему Вы не ищете парт-намберов на конденсаторы на материнской плате?
Парт-намбер означает лишь возможность купить отдельно эту запчасть.
Парт-намбер означает лишь возможность купить отдельно эту запчасть.
На самом деле я даже нечто нашел www.cisco.com/en/US/prod/collateral/vpndevc/ps6032/ps6094/ps6120/ps6825/product_data_sheet0900aecd80404916.html
Вот только по-настоящему старшеньким ASA 5550 эти «карты» уже не нужны и слота для них нет, поскольку процессоры общего назначения все равно мощнее.
Вот только по-настоящему старшеньким ASA 5550 эти «карты» уже не нужны и слота для них нет, поскольку процессоры общего назначения все равно мощнее.
Кто то кажется ратовл за непереход на личности? :)
___________________________________
Говорите так на курсах и вас будут любить за честность :)
Забавно то, что с подачи таких инструкторов…
___________________________________
Наверно вы у меня учились и невзлюбили за ложь :) Тогда давайте в личке побеседуем :)
Если же нет, то странны такие заявления. Даже на хабре есть люди, которые у меня учились: можно их спросить про честность :) и вообще про любовь :) Вы ведь не знаете заранее, любят меня, презирают, или вовсе снисходительно игнорируют, верно?
Про холивар: софт-хард… Я высказал свою точку зрения. Для меня многократно важнее, насколько устойчиво и качественно работает устройство (не комп, обученный, а специально сделанное устройство), насколько выполняет заявленные функции и насколько заявленные физические характеристики соответствуют реальности.
Приведу пример: берем комп, устанавливаем на него QEMU (линукс). Запускаем на нем OC ASA 8.0.2. Комп многократно производительнее самой АСЫ. Однако выполнить тоже количество операций не может. Спрашивается, почему?
ЗЫ Если вас устроит такое определение: софтварное решение, это решение, не зависящее от платформы и выполняющее ряд операций, где озвучен только функционал, но не производительность. И никто не гарантирует увеличение производительности при улучшении платформы (например, потому что софт… скажем, не поддерживает многоядерность или многопотоковость). Хардварное решение: это симбиоз конкретной железки (сервера), ОС, и софта, написанного специально для выполнения некоторых операций ЭТИМ сервером. При этом на платформе сервера могут быть какие то специальные улучшайзеры хардварные (или возможность их установки) и софт умеет с ними работать для увеличения производительности.
Чудес от железа ждать не стоит. А что реально надо ждать — это заявленное производителем. Впрочем, об этом я уже говорил. Циска, за исключением некоторых моментов, удовлетворяет требованиям по отказам и глюкам даже самому высокому уровню требований.
___________________________________
Говорите так на курсах и вас будут любить за честность :)
Забавно то, что с подачи таких инструкторов…
___________________________________
Наверно вы у меня учились и невзлюбили за ложь :) Тогда давайте в личке побеседуем :)
Если же нет, то странны такие заявления. Даже на хабре есть люди, которые у меня учились: можно их спросить про честность :) и вообще про любовь :) Вы ведь не знаете заранее, любят меня, презирают, или вовсе снисходительно игнорируют, верно?
Про холивар: софт-хард… Я высказал свою точку зрения. Для меня многократно важнее, насколько устойчиво и качественно работает устройство (не комп, обученный, а специально сделанное устройство), насколько выполняет заявленные функции и насколько заявленные физические характеристики соответствуют реальности.
Приведу пример: берем комп, устанавливаем на него QEMU (линукс). Запускаем на нем OC ASA 8.0.2. Комп многократно производительнее самой АСЫ. Однако выполнить тоже количество операций не может. Спрашивается, почему?
ЗЫ Если вас устроит такое определение: софтварное решение, это решение, не зависящее от платформы и выполняющее ряд операций, где озвучен только функционал, но не производительность. И никто не гарантирует увеличение производительности при улучшении платформы (например, потому что софт… скажем, не поддерживает многоядерность или многопотоковость). Хардварное решение: это симбиоз конкретной железки (сервера), ОС, и софта, написанного специально для выполнения некоторых операций ЭТИМ сервером. При этом на платформе сервера могут быть какие то специальные улучшайзеры хардварные (или возможность их установки) и софт умеет с ними работать для увеличения производительности.
Чудес от железа ждать не стоит. А что реально надо ждать — это заявленное производителем. Впрочем, об этом я уже говорил. Циска, за исключением некоторых моментов, удовлетворяет требованиям по отказам и глюкам даже самому высокому уровню требований.
Определение ОК.
А эксперимент, по-моему, нечестный: нельзя же эмуляцию сравнивать со специальной программой.
Тот, кто пытался это делать, оставил ссылки на результаты?
Скорее всего, qemu не в состоянии эмулировать специальное поведение сетевых интерфейсов — в линуксе они называют это NAPI.
А эксперимент, по-моему, нечестный: нельзя же эмуляцию сравнивать со специальной программой.
Тот, кто пытался это делать, оставил ссылки на результаты?
Скорее всего, qemu не в состоянии эмулировать специальное поведение сетевых интерфейсов — в линуксе они называют это NAPI.
Понятно, что нечестный :)
Но если бы все было так просто: бери другую платформу, лей софт и вуа-ля! Так нет же.
QEMU загружает прямо ОС АСЫ и её основной модуль. Но не работает так же.
ЗЫ Рад, что определение понравилось. Глядишь, и слушатели начнут любить ;)
Но если бы все было так просто: бери другую платформу, лей софт и вуа-ля! Так нет же.
QEMU загружает прямо ОС АСЫ и её основной модуль. Но не работает так же.
ЗЫ Рад, что определение понравилось. Глядишь, и слушатели начнут любить ;)
Ну с pix-ом так и делали. Погуглите «frankenpix». Интересная штука.
Ну с пиксом было все совсем просто :)
Тут и гуглить не надо: сами делали для лабы. И все равно, пикс как железка с софтом (при его смешных физических данных) работал лучше, чем его же софт, запущенный на компе.
Тут и гуглить не надо: сами делали для лабы. И все равно, пикс как железка с софтом (при его смешных физических данных) работал лучше, чем его же софт, запущенный на компе.
За счет чего лучше? Cовершенно непонятно.
Сетевые карты были идентичные? Производительность VPN, надеюсь, не сравнивали?
Сетевые карты были идентичные? Производительность VPN, надеюсь, не сравнивали?
Не подвисал при большом количестве одновременно открывающихся сессий, корректно отрабатывал SYN Cookie. Это то, что сразу вспомнилось. Я пиксы уже давно не мучал — есть другие точки приложения сил :)
Да и вообще, я больше по настройкам стараюсь специализироваться. Криворукий админ может убить любую самую шоколадную железку :)
Да и вообще, я больше по настройкам стараюсь специализироваться. Криворукий админ может убить любую самую шоколадную железку :)
НЛО прилетело и опубликовало эту надпись здесь
Почему не очевидный и не документированный?
Как раз способ очевидный. ПРосто по умолчанию на АСА поднят логин сервер на вход в enable (то, что на рутерах надо явно описывать)
Мало того, есть… эээ… мягко говоря, дырка конфигурационная:
если вы создаете юзера по умолчанию, то ему задается 2 уровень привилегий.
Если вы под ним зайдете тем же способом (login вместо enable) сможете пронаблюдать много интересного, если не принять мер :)
Я поэтому либо пользователю ( не админу) говорю no-exec в атрибутах, либо privilege 0
Как раз способ очевидный. ПРосто по умолчанию на АСА поднят логин сервер на вход в enable (то, что на рутерах надо явно описывать)
Мало того, есть… эээ… мягко говоря, дырка конфигурационная:
если вы создаете юзера по умолчанию, то ему задается 2 уровень привилегий.
Если вы под ним зайдете тем же способом (login вместо enable) сможете пронаблюдать много интересного, если не принять мер :)
Я поэтому либо пользователю ( не админу) говорю no-exec в атрибутах, либо privilege 0
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Руки дошли: продолжаем про ASA