Cisco881-sec-k9 i IPS
Cisco881-sec-k9 i IPS
Witam,
Jak wiadomo router jak w temacie ma feature set Advanced IP Services.
Co muszę kupić żeby obsługiwać na nim IPS? Czy wystarczy serwis np. CON-SU1-881SECK czy muszę kupować jeszcze licencję jakąś na IPS? Jeśli potrzebna licencja jaki mniej więcej to koszt?
Jak wiadomo router jak w temacie ma feature set Advanced IP Services.
Co muszę kupić żeby obsługiwać na nim IPS? Czy wystarczy serwis np. CON-SU1-881SECK czy muszę kupować jeszcze licencję jakąś na IPS? Jeśli potrzebna licencja jaki mniej więcej to koszt?
Odpowiem sam sobie. Podany Feature set obsługuje już IPS więc trzeba jedynie wykupić serwis.
Ale mam do Was nowe pytanie.
Co ustawię jakąś kategorię IPS na enable true to mam komunikat, że mało pamięci.
Ile tak naprawdę potrzebuję pamięci aby to jakoś sensownie działało?
IOS 15.3(3)M2 ma wymagania 256/128 i tyle mam ale mimo wszystko są problemy z brakiem pamięci.
Ale mam do Was nowe pytanie.
Co ustawię jakąś kategorię IPS na enable true to mam komunikat, że mało pamięci.
Ile tak naprawdę potrzebuję pamięci aby to jakoś sensownie działało?
IOS 15.3(3)M2 ma wymagania 256/128 i tyle mam ale mimo wszystko są problemy z brakiem pamięci.
Wymagania dla IOS to MINIMUM tego, co jest potrzebne, żeby funkcje IOS działały poprawnie. Wszystkie dodatkowe funkcjonalności, w szczególności tak pamięciożerne jak IPS, należy dołożyć więcej. Na IOS IPS warto mieć minimum dodatkowo 256-512MB. Na 800'kach to jednak problem i tam funkcje IPS były ograniczone.rebus pisze:Odpowiem sam sobie. Podany Feature set obsługuje już IPS więc trzeba jedynie wykupić serwis.
Ale mam do Was nowe pytanie.
Co ustawię jakąś kategorię IPS na enable true to mam komunikat, że mało pamięci.
Ile tak naprawdę potrzebuję pamięci aby to jakoś sensownie działało?
IOS 15.3(3)M2 ma wymagania 256/128 i tyle mam ale mimo wszystko są problemy z brakiem pamięci.
Powiem wiecej - na 2811 tez jest pare powaznych bugow zwiazanych z IPS, platforma starsza ale jeszcze wiele tych pudelek dziala u klientow. Generalnie z IPS na 800/1800/1900/2900 trzeba uwazac w zakresie uzywanego IOS oraz zainstalowanej pamieci. Zacznij wdrozenie od wylaczenia wszystkich zaawansowanych sygnatur.
Pozdruffka!
Pozdruffka!
Czyli co, pozostaje mi jeszcze zainwestowanie jakieś 700-800zł w pamięć MEM8XX-256U768D=. Nie wiem czy jest to tego warte.lbromirs pisze: Wymagania dla IOS to MINIMUM tego, co jest potrzebne, żeby funkcje IOS działały poprawnie. Wszystkie dodatkowe funkcjonalności, w szczególności tak pamięciożerne jak IPS, należy dołożyć więcej. Na IOS IPS warto mieć minimum dodatkowo 256-512MB. Na 800'kach to jednak problem i tam funkcje IPS były ograniczone.
Ale o czym my mówimy, przecież przy ustawieniu:drake pisze: Zacznij wdrozenie od wylaczenia wszystkich zaawansowanych sygnatur.
Kod: Zaznacz cały
ip ips signature-category
category all
retired true
category ios_ips basic
retired false
Pozdrawiam
Gdzie można poczytać o tych ograniczeniach?lbromirs pisze: Wymagania dla IOS to MINIMUM tego, co jest potrzebne, żeby funkcje IOS działały poprawnie. Wszystkie dodatkowe funkcjonalności, w szczególności tak pamięciożerne jak IPS, należy dołożyć więcej. Na IOS IPS warto mieć minimum dodatkowo 256-512MB. Na 800'kach to jednak problem i tam funkcje IPS były ograniczone.
Na stronach Cisco jest dokument "IOS_IPS_Best_Practices" i tam wyraźnie pisze:
"For routers with 128MB memory, start with the IOS IPS Basic category. For routers with 256MB or more memory, start with the IOS IPS Advanced category".
Więc jeśli są jakieś ograniczenia to powinno wyraźnie pisać ile tej pamięci trzeba tak jak to ma miejsce w przypadku wymagań IOS'a a nie ludzi robić w balona żeby kupowali serwisy z obsługą IPS a później jeszcze płacić za pamięć połowę wartości nowego routera.
Czy ja mogę przejść teraz na serwis bez obsługi IPS i żądać od Cisco zwrotu różnicy w serwisach SMARTnet? Serwis rozpoczął się od 19.02.2014.
Czy istnieje jakiś okres "buforowy", w czasie którego można zwrócić serwis SMARTnet?
Z poważaniem
Podsumujmy fakty. Najwyraźniej kupiłeś produkt o którym niewiele wiesz i który niestarannie dobrałeś do swoich potrzeb. Nie przeczytałeś wcześniej dokumentacji. Nie porozmawiałeś z nikim kto się na tym zna (partner Cisco). Nie do końca chyba rozumiesz jak działa IPS i jak się go używa (włącza się tylko te sygnatury które w Twoim środowisku mogą stanowić zagrożenie). I na koniec szukasz winnego na którego mógłbyś zwalić winę.
Ta, chyba ktoś tutaj nie przeczytał całego wątku.Kyniu pisze:Podsumujmy fakty. Najwyraźniej kupiłeś produkt o którym niewiele wiesz i który niestarannie dobrałeś do swoich potrzeb. Nie przeczytałeś wcześniej dokumentacji. Nie porozmawiałeś z nikim kto się na tym zna (partner Cisco). Nie do końca chyba rozumiesz jak działa IPS i jak się go używa (włącza się tylko te sygnatury które w Twoim środowisku mogą stanowić zagrożenie). I na koniec szukasz winnego na którego mógłbyś zwalić winę.
rebus,
musisz porozmawiać z osoba, która sprzedała ci ten kontrakt - im bardziej będziej ci na tym zależeć tym większe masz szanse, że coś się uda załatwić.
Problem z IPS na IOS jest taki, że nikt tego nie używa. IPS wymaga sporo zasobów sprzętowych, których rutery nie mają. Ta funkcjonalność istnieje sobie tylko dlatego, że czasem ktoś bardzo potrzebuje IPS na IOS, żeby spełnić określone wymagania.
musisz porozmawiać z osoba, która sprzedała ci ten kontrakt - im bardziej będziej ci na tym zależeć tym większe masz szanse, że coś się uda załatwić.
Problem z IPS na IOS jest taki, że nikt tego nie używa. IPS wymaga sporo zasobów sprzętowych, których rutery nie mają. Ta funkcjonalność istnieje sobie tylko dlatego, że czasem ktoś bardzo potrzebuje IPS na IOS, żeby spełnić określone wymagania.
Pozwolę się niezgodzić z koncepcją, że 'nikt nie używa IOS IPS'. Oczywiście, IPS na IOS ma swoje ograniczenia w różnych wymiarach tego co musi mieć IPS żeby działać efektywnie i na dużą skalę, ale Polska nie jest reprezentatywna jeśli chodzi o zastosowanie tego typu mechanizmów na routerach Cisco. Są kraje, w których usługi operatorskie działają z funkcjami IPS w IOSie, a w Polsce klienci (różnej wielkości), którzy też z tego nadal korzystają. Wszystko ma swoje wady i zalety i IOS IPS nie został stworzony dla przysłowiowego jednego klienta. Inna sprawa jest taka, że 800'ka jest pozycjonowana jako rozwiązanie dla "SOHO" a zatem i możliwości robienia wszystkiego ma ograniczone. Bezsygnaturowe (behawioralne) podejście do wykrywania włamań znalazło dopiero swoje rynkowe odzwierciedlenie w klientach, którzy chcieliby za nie zapłacić dopiero teraz. IPSa/IDSa w IOSie mamy od ponad 6 czy 7 lat.tomiabc pisze:rebus,
musisz porozmawiać z osoba, która sprzedała ci ten kontrakt - im bardziej będziej ci na tym zależeć tym większe masz szanse, że coś się uda załatwić.
Problem z IPS na IOS jest taki, że nikt tego nie używa. IPS wymaga sporo zasobów sprzętowych, których rutery nie mają. Ta funkcjonalność istnieje sobie tylko dlatego, że czasem ktoś bardzo potrzebuje IPS na IOS, żeby spełnić określone wymagania.