LINUX vs CISCO
LINUX vs CISCO
Tak z ciekawosci , jaki jest 'down side' uzywania linuxa w sredniej firmia zamiast CISCO oprocz oczywistego supportu z CISCO i 'darmowosci' linuxa ?
U mnie w firmie uzywane sa oba, ale mamy pare brzegowych firewalli z postawionym Linuxem i wg mnie uzytecznoscia i konfiguralnoscia bija na glowe CISCO.
Serwer Dell z 10gigabtiowymi interfejsami ,postawiona Quagga do BGP i OSPF i netfillerem do l3 ,l4 firewall oraz tc do QoS . Elastycznosc i uptime jest lepszy od CISCO no i hardware nieporywnalnie lepszy. Dodatkowo potrafi robic rzeczy ktorych asa nie potrafi (np NAT bazujacy na source address ) czy chociazby natywny tcpdump . Jeden serwer ma uptime juz chybaz z 7 lat i zdazyly juz pasc 3 Cisco za jego kadencji...
Teoretycznie brak ruchomych czesci i zamknieta infrastruktura dedykowanego firewalla powinna wziac gore ale w praktyce okazuje sie chyba inaczej ?
U mnie w firmie uzywane sa oba, ale mamy pare brzegowych firewalli z postawionym Linuxem i wg mnie uzytecznoscia i konfiguralnoscia bija na glowe CISCO.
Serwer Dell z 10gigabtiowymi interfejsami ,postawiona Quagga do BGP i OSPF i netfillerem do l3 ,l4 firewall oraz tc do QoS . Elastycznosc i uptime jest lepszy od CISCO no i hardware nieporywnalnie lepszy. Dodatkowo potrafi robic rzeczy ktorych asa nie potrafi (np NAT bazujacy na source address ) czy chociazby natywny tcpdump . Jeden serwer ma uptime juz chybaz z 7 lat i zdazyly juz pasc 3 Cisco za jego kadencji...
Teoretycznie brak ruchomych czesci i zamknieta infrastruktura dedykowanego firewalla powinna wziac gore ale w praktyce okazuje sie chyba inaczej ?
Re: LINUX vs CISCO
Rozumiem, że po prostu szukasz zaczepki i chcesz wszcząć flame war. Up-time linuxa 7 lat i bezpieczeństwo? Ile w tym czasie znaleziono poważnych błędów?
CCNA: R&S, Security, Wireless, Collaboration. MCSE: Cloud Platform and Infrastructure, Server Infrastructure. ITIL: Foundation. PPL(A)
https://www.facebook.com/itserviceskielce/ :: https://www.linkedin.com/company/itservicespoland :: https://www.linkedin.com/in/krzysztofkania/
https://www.facebook.com/itserviceskielce/ :: https://www.linkedin.com/company/itservicespoland :: https://www.linkedin.com/in/krzysztofkania/
Re: LINUX vs CISCO
nie zaczepki ,po prostu ciekawosc , bo latwiej mi sie pracuje na linuxie niz na ios
Re: LINUX vs CISCO
Tak z ciekawości jak taki NAT wygląda?qligowski pisze:Dodatkowo potrafi robic rzeczy ktorych asa nie potrafi (np NAT bazujacy na source address ) ..
Dłubię trochę w ASAch ale nie trafilem jeszcze na NAT ktorego nie da sie zrobić.
Pzdr
mHuba
Re: LINUX vs CISCO
Quagga się niestety nie skaluje dobrze - jest jednowątkowa i ma problemy z blokowaniem przy BGP. Ale dla małej skali pewnie nawet nie zauważysz problemu. Dla większych rozwiązań, w szczególności jeśli pojawi się BGP Route Reflector - sugeruje BIRDa.qligowski pisze:Serwer Dell z 10gigabtiowymi interfejsami ,postawiona Quagga do BGP i OSPF i netfillerem do l3 ,l4 firewall oraz tc do QoS .
Elastyczność to oczywiście siła Linuxa, co do hardware - to jakiś żart, tak?qligowski pisze:Elastycznosc i uptime jest lepszy od CISCO no i hardware nieporywnalnie lepszy.
Szokujące, ale jednak chybione. ASA potrafi robić NAT bazując na adresie źródłowym. Nie ma 'natywnego' tcpdumpa ale zapisuje dumpy ruchu do formatu pcap. Hm... no tak. Nie ma też natywnego grepa (choć można grepować), awka, seda, lsofa, mkfs, fdiska, basha, vima, sendmaila i jakże istotnego polecenia quota. Zdecydowanie, jak na firewall sieciowy, rozwiązanie do....dupy? :)qligowski pisze:Dodatkowo potrafi robic rzeczy ktorych asa nie potrafi (np NAT bazujacy na source address ) czy chociazby natywny tcpdump .
Pogratulować. Statystyki zwykle jednak są odwrotne. Raczej historie opowiada się o legendarnych uptime'ach sprzętu Cisco niż serwerach, chociażby właśnie z powodu raczej konkretnego zastosowania danego pudełka vs jego 'elastyczności'. Terminal Server czy router 1Gbit/s może pożyć 5-8 lat, serwer zwykle żyje 3-4 i leci po amortyzacji do kosza, bo nowszy jest zarówno szybszy jak i dużo bardziej efektywniejszy. Nie mówiąc już o np. zużyciu energii.qligowski pisze:Jeden serwer ma uptime juz chybaz z 7 lat i zdazyly juz pasc 3 Cisco za jego kadencji...
Flame wars odsyłamy na najbliższe drzewo, z możliwie dużą prędkością i uśmiechem na ustach. Proponuje skupić się na konkretnych uwagach merytorycznych - wtedy zawsze chętnie wysłuchamy i porozmawiamy.qligowski pisze:Teoretycznie brak ruchomych czesci i zamknieta infrastruktura dedykowanego firewalla powinna wziac gore ale w praktyce okazuje sie chyba inaczej ?
Re: LINUX vs CISCO
Co do ASA ,przewertowalem caly internet i z tego to wiem nie da sie zrobic takiej reguly:
mam LAN z serwerami po jednej stronie i zewnetrzynm interface z wieloma IP w tej samej sieci (odpowiednik aliasow z linuxa). Chce przekierowac port z hosta z publicznym ip xxx do mojego serwera w lanie na port 80. Czyli jeden IP moglbym uzyc wiele razy w zaleznosci od publicznego IP. W ASA jedynie moglbym przekierowac na inny wewnetrzny port a cche ten sam .Chyba ze sie myle to pokazcie jak
W netfilterze robie po prostu taka regule
iptables -A PREROUTING -p tcp -s 8.8.8.8 -d 4.4.4.4 --dport 80 --to-destination 192.168.1.1 -j ACCEPT
Oczywiscie nie chcialem tematem wywolac zadnej fanboyskiej wojny ,tylko chcialem posluchac dosiwadczonych kolegow
mam LAN z serwerami po jednej stronie i zewnetrzynm interface z wieloma IP w tej samej sieci (odpowiednik aliasow z linuxa). Chce przekierowac port z hosta z publicznym ip xxx do mojego serwera w lanie na port 80. Czyli jeden IP moglbym uzyc wiele razy w zaleznosci od publicznego IP. W ASA jedynie moglbym przekierowac na inny wewnetrzny port a cche ten sam .Chyba ze sie myle to pokazcie jak
W netfilterze robie po prostu taka regule
iptables -A PREROUTING -p tcp -s 8.8.8.8 -d 4.4.4.4 --dport 80 --to-destination 192.168.1.1 -j ACCEPT
Oczywiscie nie chcialem tematem wywolac zadnej fanboyskiej wojny ,tylko chcialem posluchac dosiwadczonych kolegow
Re: LINUX vs CISCO
Bo security zaczyna sie od L4
Re: LINUX vs CISCO
nat (outside,inside) source static 8.8.8.8 8.8.8.8 destination static 4.4.4.4 192.168.1.1 service TCP80 TCP80qligowski pisze:Co do ASA ,przewertowalem caly internet i z tego to wiem nie da sie zrobic takiej reguly:
mam LAN z serwerami po jednej stronie i zewnetrzynm interface z wieloma IP w tej samej sieci (odpowiednik aliasow z linuxa). Chce przekierowac port z hosta z publicznym ip xxx do mojego serwera w lanie na port 80. Czyli jeden IP moglbym uzyc wiele razy w zaleznosci od publicznego IP. W ASA jedynie moglbym przekierowac na inny wewnetrzny port a cche ten sam .Chyba ze sie myle to pokazcie jak
W netfilterze robie po prostu taka regule
iptables -A PREROUTING -p tcp -s 8.8.8.8 -d 4.4.4.4 --dport 80 --to-destination 192.168.1.1 -j ACCEPT
Oczywiscie nie chcialem tematem wywolac zadnej fanboyskiej wojny ,tylko chcialem posluchac dosiwadczonych kolegow
Re: LINUX vs CISCO
Doświadczeni koledzy powiedzą Ci, że takie rozumienie funkcji firewalla było dobre 10 lat temu, znakomite 15 lat temu, a rewolucyjne 20 lat temu.qligowski pisze: iptables -A PREROUTING -p tcp -s 8.8.8.8 -d 4.4.4.4 --dport 80 --to-destination 192.168.1.1 -j ACCEPT
Oczywiscie nie chcialem tematem wywolac zadnej fanboyskiej wojny ,tylko chcialem posluchac dosiwadczonych kolegow