| Author |
Message |
|
|
Post subject: RE: FortiGate 800 FG-800-BDL
 Posted: 14.10.2010 - 18:34 #85553
|
|
Guru
Joined: Jan 30, 2003
Posts: 1572
|
|
no nechcel som sa do tohoto miesat, ale neda mi to
"routovanie na jednu ip"
gyro, mas energotel, takze urcite medzi tebou a engt je /30 subnet na ktory ti je naroutovany celu tvoj subnet verejnych ipeciek
riesenie cisco3550, ktore ma na uplinku /30 ipecku zvysok je na inej vlane (riesenie ze 300-600 eur)
"nat a ine veci"
s tym natkom ma uz seriete, nekupim si za 3k eur /19 subnet ipeciek, lebo je to drahe, ale kupim si forti-nieco-co-nepoznam-a-nikto-mi-s-tym-nepomoze-ked-sa-to-zjebe-lebo-je-to-obskurna-volovina-netG-800-mil za este viac penazi
opat sme pri vzorcoch
zaplatim raz tie ipecky, zmizne problem s natkom (mozes ho mat pre wifistov), vsetci useri maju ostru na sietovke:
1. nezaujima ma kto ma kolko konekcii
2. nezaujima kto robi bordel a zabanovali ho, lebo to postihne len jeho
3. medzi userom a svetom nemusi byt ziaden linux
4. nemusim nic logovat, lebo pride policia a presne vies kto to bol, kedze tu ostru ma stale
5. mozes mat dva konekty a pri vypadku primarneho bezis cez svoje ipecky
toto riesenie stoji 300e za cisco + 3000 za ipecky plus 1400e rocne dalsie roky
neni to pre suflikantov, to viem, ale ked uz vyhadzujes miliony za krabice, vykopy a idiotiny, tak 3300e mozes dat na toto (kym ipecky este su )
co sa tyka ostatnych veci co si tam pisal, nejaky shape pre garantovanych, presmerovanie webu pre neplaticov asi, blokovanie ip (firewall) a shaping fup, zavolas kiwimu, on uz zaplatil real programmers, ktory mu nieco napisali, kedze ma 4500 userkov, tak toto asi uz riesil a k tej flaske taliskera pribudne este niekolko dalsich a vsetko vybavene 
P.S. budem mat v kratkom case taku ufoncinu na skusku, ze poslem vam krabicu, ktora ma dve sietovky, do jednej sa zapoji uplink od providera, do druhej kabel do portu kde bol predtym uplink, netreba nic konfigurovat, len mi poviete ake dlhe konekcie vam uz vadia a su vhodne na pribrzdenie a kolko im chcete dat, a potom mi poviete ze kolko vam to usetrilo konektu, oki? |
|
|
| |
|
|
|
 |
|
|
|
Post subject: RE: FortiGate 800 FG-800-BDL
Posted: 14.10.2010 - 20:15 #85554
|
|
Majster
Joined: Feb 25, 2003
Posts: 2606
Location: BA,BB
|
|
kiwi wrote: ›
kupim si forti-nieco-co-nepoznam-a-nikto-mi-s-tym-nepomoze-ked-sa-to-zjebe-lebo-je-to-obskurna-volovina-netG-800-mil za este viac penazi
so vsetkym co si napisal vyssie uplne suhlasim, az na jeden fakt - este som nevidel posraty FortiGate (to iste plati o Juniperi) a nainstaloval som ich hodne, zato som uz videl dost hardwarovo odidenych ciciek (dodanych ako novy kus) a nenainstaloval som ich az tak vela. Pozri sa kolko dierociek je v IOSe a ich criticality a potom to iste pozri u FortiOSu.
Samozrejme pri rieseni s verejnymi IP je pouzit akykolvek firewall v roli routra blbost. No a reagoval som preto ze gyro to chcel riesit touto cestou, navyse pise ze ho vie zohnat za dobru cenu a ak vyuzije aj ostatne featurky tak cena nie je zla. Ale pokial platis za nieco co nevyuzivas tak je to zbytocne drahe...
gyro wrote: ›No hej, a ako to mam rozdelit ked primarny poskytovatel mi konektivitu routuje na jednu verejnu IP ? V konecnom dosledku sa tie masinky musia stratnut v jednom zariadeni. Alebo nieco nechapem ?
gyro: rozumies zakladnym principom routingu ?  ved verejne IP co ti dava EGT si mozes ako verejne routovat aj dalej dovnutra siete, o nejake IPcky prides tym ze z nich budu adresy siete a broadcasty ale asi to nebude az tak kriticke. NATovat/shapovat userkov potom mozes priamo v roznych segmentoch, do backbone ti vlezu uz oshapovani a onatovani (cely backbone by bol na verejnych IP). Centralny router kam routuje EGT by nebol firewall, ziadna connection tracking tabulka, robil by iba "lopatovanie" paketov z vnutorneho na vonkajsi interface (a naopak). |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: FortiGate 800 FG-800-BDL
Posted: 14.10.2010 - 20:33 #85555
|
|
Majster
Joined: Okt 22, 2003
Posts: 3321
Location: Banská Bystrica - Rudlová
|
|
[quote="eXplorer"]kiwi wrote: ›
gyro wrote: ›No hej, a ako to mam rozdelit ked primarny poskytovatel mi konektivitu routuje na jednu verejnu IP ? V konecnom dosledku sa tie masinky musia stratnut v jednom zariadeni. Alebo nieco nechapem ?
gyro: rozumies zakladnym principom routingu ? ved verejne IP co ti dava EGT si mozes ako verejne routovat aj dalej dovnutra siete, o nejake IPcky prides tym ze z nich budu adresy siete a broadcasty ale asi to nebude az tak kriticke. NATovat/shapovat userkov potom mozes priamo v roznych segmentoch, do backbone ti vlezu uz oshapovani a onatovani (cely backbone by bol na verejnych IP). Centralny router kam routuje EGT by nebol firewall, ziadna connection tracking tabulka, robil by iba "lopatovanie" paketov z vnutorneho na vonkajsi interface (a naopak).
No ved o tom hovorim, ze aj tak tam musim strcit nejaku dalsi masinku vo funkcii "koncetratora", napriklad Cisco 3550 ako pisal Kiwi. |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: FortiGate 800 FG-800-BDL
Posted: 14.10.2010 - 21:02 #85556
|
|
Majster
Joined: Feb 25, 2003
Posts: 2606
Location: BA,BB
|
|
| gyro: lenze pri distribuovanom natovani/shapovani tato masinka moze byt velmi lacna pretoze nemusi byt ani zdaleka tak vykonna - o ziadny koncentrator nejde |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: FortiGate 800 FG-800-BDL
Posted: 14.10.2010 - 21:17 #85557
|
|
Majster
Joined: Jún 12, 2005
Posts: 2739
Location: zilina
|
|
| tento krat ma kiwi zo svojimi vzorcami uplnu pravdu....nechapem naozaj gyro co spekulujes, ak mas tie love chod so zelmarom na barbados, urcite osoh z vyletu bude vacsi ako z kupi nefunkcneho zeleza bez licencie .... ale za dobru cenu:-). A ak nexces pozriet karibik ale naozaj si rozhodnuty zadrbat peniaze do zeleza, tak si kup riadny L3 switch / najlepsie dva / do jadra siete az mas konecne porieseny naporiadok routing a dokup si verejne IP adresy a prestan spievat o natovani...... |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: FortiGate 800 FG-800-BDL
Posted: 14.10.2010 - 21:34 #85559
|
|
Majster
Joined: Okt 22, 2003
Posts: 3321
Location: Banská Bystrica - Rudlová
|
|
| ja mam 8 Ceciek a niekolko L3 cisco switchov, stale mi to neriesi moj primarny problem. |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: FortiGate 800 FG-800-BDL
Posted: 15.10.2010 - 01:09 #85561
|
|
Majster
Joined: Okt 21, 2003
Posts: 4247
|
|
a ktory bol ten primarny problem? potrebujes utratit peniaze?
zaroven ma tesi ze sa tu zislo konecne niekolko rozumnych nazorov na jednej kope si dovolim vyjadrit podporu tymto ideam ako vhodnym pre siete dajme tomu nad 1000 userov
- NATka/firewally/ine boxy ktore nieco mangluju, skrtia, atd, riesit ako distribuovane, po mensom trafficu
- routovana backbone na verejnych IPckach, hlavny router iba prehazduje pakety ale neriesi ziadny shaping atd, cisco 3550 - 12T stoji par supov a je na to uplne dobre
- idealne je drbnut kazdemu (u)serkovi verejne IPcky a neriesit ziadne NATko vobec total ani trochu... best way..
a na to ze kiwi uz dosiel na 4500 userov, sa da povedat len tolko, ze ak nas raz setkych niekto kupi, tak je jasne kto to bude
a este snad k flamewar forti-a-ine-obskurne-picoviny vs cisco - chybovost a poruchovost je u setkeho, bugy detto. cim znamejsi produkt, tym viac reportovanych bugov, to uz je proste tak... ale jedno je fakt, ze cisco ovlada kazdy alebo minimalne kazdy druhy admin, takze ked nieco nevies, najdes len na slovensku tisice ludi ktorych mozes volat na pomoc. je fakt ze cisco je tu od internetoveho praveku, rastli spolu, ono nie nahodou sa prave cisco-like ovladanie kopiruje do switchov a routrov vsetkych moznych znaciek aby tomu ludia rozumeli... a je tiez fakt ze ked si clovek kupi nejaku obskurnu picovinu (sem mozeme kludne zaradit aj rozne extra vyhodne OC3 radia a podobne jojoviny ktore sa tu semtam vynaraju) tak v pripade problemov bude tazke zohnat na slovensku co len jedneho cloveka ktory by sa v tom aspon ako tak vyznal... a co sa tyka otazky "kokso chlapi zhorel mi stroj, potrebujem okamzite taky isty ako nahradu" tak kym c3550 alebo ekvivalent (3560, 3750, ..) ti poskytne z skfree na pockanie minimalne 10 ludi, tak forti ani oc3 radio ti neposkytne asi nikto. nehovorim ze exotika nemoze fungovat, ale ked je clovek bytostne zavisly napriklad na funkcnosti auta, tak je lepsie mat beznu skodovku na ktoru ma kazdy servis setky diely skladom, jak nejaku brutal namakanu vychytavku na ktoru sa diely objednavaju 30 dni a nikto s tym nikdy nerobil. |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: FortiGate 800 FG-800-BDL
Posted: 15.10.2010 - 11:57 #85563
|
|
Majster
Joined: Feb 25, 2003
Posts: 2606
Location: BA,BB
|
|
pixall: nemam dovod nesuhlasit Ale aj napriek tomu trochu zareagujem
V USA Cicko ani zdaleka nema v oblasti routrov taku prevahu - trh sharuje s Juniperom (tusim 60:40), napriek tomu v JunOSe nie je ani zdaleka tolko objavenych security dier (bugy su cca narovnako:P), to iste sa tyka FortiGate-u trufam si tvrdit ze vo svete je nasadenych rovnaky pocet Cisco ASA fw ako Fortinet FortiGate, samozrejme Cisco ma drvivu prevahu v oblasti switchingu, napriek tomu FortiGate nema takmer ziadne security diery (zase nehovorim ze je bez bugov...).
Ano s Ciscom robi "kazdy", lenze nie kazdy ti poradi pretoze hodne z tych firiem je cisty box moving a technici nevedia ani co je IP adresa ... ale suhlasim s tym ze zadas problem do googlu a rovno ti vysype konfig, to je fakt. No pokial narazis na velmi specificky problem tak sa tiez potrapis. Na druhu stranu Fortinet ma velmi dobre spracovanu dokumentaciu aj s prikladmi ktora je uplne free, mas kontakt priamo na ludi z Fortinetu (ceska pobocka) ktori su ochotni pomoct a samozrejme existuje uz niekolko certifikovanych FortiPartnerov vramci Slovenska. Cisco sa bere ako etalon, ale to zdaleka neznamena ze je najlepsie a najdokonalejsie - ja ked do niecoho investujem tak si v danej cene vyberiem spicku a nie priemer. Co sa tyka filozofie najdalej je asi Juniper a jeho JunOS - commit funkcia kde si nastavis ze ak konfig nepotvrdis do XX sekund tak sa vrati povodny (neodrezes sa), automaticke skripty na dopisovanie konfigu, automaticke skripty na debugovanie (router ti sam povie v com je problem ked nieco nejde), hlasenie hw problemov do juniperu online - technik z Juniperu bude stat s novym routrom pred tvojimi dverami skor ako ty zistis ze mas nejaky problem 
Je uplny mytus tvrdit ze si nemozem kupit nic ine ako Cisco lebo v pripade problemu som strateny, nikto to nepozna a pod. Fortinet vela ludi nepozna, pretoze ta firma jednoducho nema ziadne marketingove oddelenie, ver ci never kolko miliard $$ nalieva cicko do marketingu ? Tym chcem ale povedat ze hoci tuto znacku bezne ludia nepoznaju neznamena to ze ju nikto na Slovensku nepouziva a ze nikto ti neporadi. Ja si radsej kupim produkt ktory REALNE funguje ako ma ako nieco co ma extrahypersuper marketing je v tom kopa dier a bugov + navyse hodnoty z datasheetov to nedosahuje ani omylom. To sa neda porovnavat s nejakymi exotickymi OC3 radiami a pod.
No a vzhladom k tomu ze vramci Slovenska pouziva Fortinet firma Slovanet, Orange a Tcom (samozrejme kopec dalsich malych), Fortinet nema problem riesit aj nahradenie nefunkcnych boxov. Velkou vyhodou je ze pokazeny box dokazes nahradit akymkolvek inym (s rovnakym vykonom a interfacmi), vobec to nemusi byt rovnaky model, nemusis pozerat verzie IOSu, podporovane funkcie, licencie - funkcie na vsetkych Fortinet boxoch od najmensieho po najvacsi su rovnake. U Cisca to neplati ...
PS: v roli centralneho routra by som Fortinet FortiGate urcite nepouzil, nie preto ze je zly, ale preto ze to jednoducho nie je router. Dal by som tam Cisco alebo Juniper. |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: FortiGate 800 FG-800-BDL
Posted: 15.10.2010 - 18:31 #85565
|
|
Majster
Joined: Okt 22, 2003
Posts: 3321
Location: Banská Bystrica - Rudlová
|
|
| Ok takze cisco L3 + niekolko Neptunov (Linux NAT a FUP) |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: FortiGate 800 FG-800-BDL
Posted: 15.10.2010 - 19:57 #85566
|
|
Guru
Joined: Júl 14, 2005
Posts: 1591
|
|
presne tak to robime my... jeden router zvlada v pohode 600Mbit full duplex
NAT a shape...
niake core quad... |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: FortiGate 800 FG-800-BDL
Posted: 15.10.2010 - 20:09 #85568
|
|
Majster
Joined: Okt 22, 2003
Posts: 3321
Location: Banská Bystrica - Rudlová
|
|
| Kotol, pokial viem tak na shaper je uplne zbytocne viacjadro, nakolko HTB vie pracovat len na jednom jadre a ostatne vobec nevyuziva. |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: FortiGate 800 FG-800-BDL
Posted: 15.10.2010 - 20:52 #85569
|
|
Guru
Joined: Júl 14, 2005
Posts: 1591
|
|
routing a natko to pekne distribuje.. nie som do toho expert, skor prisediaci student...
v kazdom pripade po vymene z dual coru pokleslo zatazenie procesoru.. |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: FortiGate 800 FG-800-BDL
Posted: 16.10.2010 - 20:56 #85574
|
|
Guru
Joined: Jan 24, 2004
Posts: 1685
|
|
kotol wrote: ›...
v kazdom pripade po vymene z dual coru pokleslo zatazenie procesoru..
a si si isty ze pokleslo, lebo poniektore systemy ti prepocitavau vytazenie podla jadier.
napriklad vytazenie jadier je 80,0,0,0 tak ti napise ze mas vytazenie 20%, ak by si mal dual s 80,0, tak ti vypisovalo 40%....
pozor na toto |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: FortiGate 800 FG-800-BDL
Posted: 19.10.2010 - 06:53 #85644
|
|
Majster
Joined: Jún 12, 2005
Posts: 2739
Location: zilina
|
|
| ....no vsetko je OK ale stale som sa nedostal k rozuzleniu veci, naco treba ten fortigate ci ako sa to vola? Lebo ak ide iba o vyhodenie penazi mam tu jednu 1U krabicu dam do nej ethernetovu spojku az mas vstup a vystup, nastriekam ti na nu trebars aj fortineptunciscojuniperedgesignamaxmaipudellsafcomaenegotelheroin a mozes si to strcit do racku a poslat mi na ucet love....kedze ide u vyssiu triedu zariadenia je to L38 switch a ethernetova spojka robi priamu funkciu QinQ, inak podporuje to IPTV a packet do širky 4mm, vyšky 3mm a neobmedzenej dlzky /preto mozes poskytovat neobedzeny internet /. Dalsie funkcie doprogramujeme do noveho firmware podla poziadaviek. |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: FortiGate 800 FG-800-BDL
Posted: 19.10.2010 - 12:27 #85661
|
|
Majster
Joined: Okt 22, 2003
Posts: 3321
Location: Banská Bystrica - Rudlová
|
|
| chcel som to ako vykonnu branu, ale uz dnes o druhej rano ideme nasadit nieco extra |
|
|
| |
|
|
|
|
|
|
