classic.ISPforum.cz

Pouziva to niekto zda sa to byt pecka.

tu je demo: https://www.fortigate.com
Login: demo
Pass: fortigate

netko píše:Pouziva to niekto zda sa to byt pecka.

tu je demo: https://www.fortigate.com
Login: demo
Pass: fortigate

FortiGate-310B Features
Maximum Firewall Throughput 8 Gbps (base)
12 Gbps w/AMC
Maximum IPSec VPN Throughput 6 Gbps (base)
9 Gbps w/AMC
Maximum Antivirus Throughput 160 Mbps
Maximum IPS Throughput 800 Mbps
Maximum Concurrent Sessions 600,000
Network Interfaces 10 Copper GigE 10/100/1000 Base-T
4 GigE SFP w/AMC
AMC expansion bays 1 single-width


doplnam dalsie info tato masina stoji v zaklade asi 4000 eur a vie pracovat s tokom 5 Gbit/s co vy na to.
http://www.gity.sk/files/3/GiTy___produ ... tiGate.pdf



http://www.skfree.net/index.php?name=PN ... c&start=15

bakula: preco je to problem alebo ty chces cistit svojim zakaznikom virusy ? Ako si potom stiahnu nejake tie cracky na windowsy Laughing Ktory ISP na Slovensku cisti virusy v HTTP trafficu ? Jednoducho antivirus nezapnes alebo zapnes len na vybrany traffic - antivirus na Fortigate sa zapina "per rule" vo firewalle, nie "per box", takze skenovat mozes len velmi malu cast trafficu (pre vybrane IP, pre vybranych userkov). Len este male doplnenie - ziadna UTM funkcia na Fortigate nie je licencovana "per user" alebo "per IP", vsetky funkcie su bez obmedzeni poctu IP a uzivatelov.

Apropo ASA 5550 nepodporuje antivirovu kontrolu vobec pretoze pocet SSM/SSC slotov pre AntiX modul je 0 (alebo sa mylim?). Nizsie rady ASA firewallov sice podporuju AntiX (UTM) teda aj antivir, ale su licencovane "per user" takze siet s 2000 userkami vyjde doooost draho Very Happy
http://www.cisco.com/en/US/prod/collate ... 930c5.html

Ovela dolezitejsia featurka je podla mna IPS, Fortigate200B zvlada 500Mbit traffic cez IPS (opat sa nemusi skenovat vsetko, IPS sa aktivuje tiez per rule), pricom ASA 5550 nema podporu pre IPS vobec. IPSkom mozes chranit vlastne servery aj uzivatelov. Navyse ako na ASA 5550 zablokujes SKYPE a P2P bez IPSka ? mozno sa mylim a da sa to aj bez IPS - Ciscaci opravte ma, rad sa poucim. Fortigate podporuje L7 filter (vola sa to Application Control) a s nim dokaze robit pravidla vo firewalle nielen "per tcp/udp port" ale aj "per application", tato funkcia vyuziva IPS.

netko píše:

netko píše:Pouziva to niekto zda sa to byt pecka.

tu je demo: https://www.fortigate.com
Login: demo
Pass: fortigate

FortiGate-310B Features
Maximum Firewall Throughput 8 Gbps (base)
12 Gbps w/AMC
Maximum IPSec VPN Throughput 6 Gbps (base)
9 Gbps w/AMC
Maximum Antivirus Throughput 160 Mbps
Maximum IPS Throughput 800 Mbps
Maximum Concurrent Sessions 600,000
Network Interfaces 10 Copper GigE 10/100/1000 Base-T
4 GigE SFP w/AMC
AMC expansion bays 1 single-width


doplnam dalsie info tato masina stoji v zaklade asi 4000 eur a vie pracovat s tokom 5 Gbit/s co vy na to.
http://www.gity.sk/files/3/GiTy___produ ... tiGate.pdf



http://www.skfree.net/index.php?name=PN ... c&start=15

bakula: preco je to problem alebo ty chces cistit svojim zakaznikom virusy ? Ako si potom stiahnu nejake tie cracky na windowsy Laughing Ktory ISP na Slovensku cisti virusy v HTTP trafficu ? Jednoducho antivirus nezapnes alebo zapnes len na vybrany traffic - antivirus na Fortigate sa zapina "per rule" vo firewalle, nie "per box", takze skenovat mozes len velmi malu cast trafficu (pre vybrane IP, pre vybranych userkov). Len este male doplnenie - ziadna UTM funkcia na Fortigate nie je licencovana "per user" alebo "per IP", vsetky funkcie su bez obmedzeni poctu IP a uzivatelov.

Apropo ASA 5550 nepodporuje antivirovu kontrolu vobec pretoze pocet SSM/SSC slotov pre AntiX modul je 0 (alebo sa mylim?). Nizsie rady ASA firewallov sice podporuju AntiX (UTM) teda aj antivir, ale su licencovane "per user" takze siet s 2000 userkami vyjde doooost draho Very Happy
http://www.cisco.com/en/US/prod/collate ... 930c5.html

Ovela dolezitejsia featurka je podla mna IPS, Fortigate200B zvlada 500Mbit traffic cez IPS (opat sa nemusi skenovat vsetko, IPS sa aktivuje tiez per rule), pricom ASA 5550 nema podporu pre IPS vobec. IPSkom mozes chranit vlastne servery aj uzivatelov. Navyse ako na ASA 5550 zablokujes SKYPE a P2P bez IPSka ? mozno sa mylim a da sa to aj bez IPS - Ciscaci opravte ma, rad sa poucim. Fortigate podporuje L7 filter (vola sa to Application Control) a s nim dokaze robit pravidla vo firewalle nielen "per tcp/udp port" ale aj "per application", tato funkcia vyuziva IPS.

nikdo to nepouzivate mna skor zaujima ci to moze nahradit firewal a shaping na mikrotiku vie to queue tree alebo simple que

Ahoj, kolega je prodejce techto zarizeni a ma s nimi celkem zkusenosti. Pro případné dotazy ho zkus oslovit, kontakt najdeš na stránce http://www.indigonet.cz/ (Petr Vajner).

nějak postrádám smysl tohoto řešení. To se hodí leda tak pro firmu jako hraniční router. Na hranici pro ISPíka by to asi lehlo a neumí to ani polovinu potřebných funkcí pro potřeby ISPíka.

hapi píše:nějak postrádám smysl tohoto řešení. To se hodí leda tak pro firmu jako hraniční router. Na hranici pro ISPíka by to asi lehlo a neumí to ani polovinu potřebných funkcí pro potřeby ISPíka.

mas to velmi ale velmi slabo nastudovane... je to neskutocne silna masina, na ktoru sa MK zdaleka nechyta... vsetko pracuje HW a nie SW. proste jedna zo spiciek na trhu.

no nevim ale jasně se už v tom pdfku píše že to je bezpečnostní system. A pokud jsem rozlouskal dobře slovenštinu, tak sem se dočet fakt "užasný" ceny za licence. Jen do toho.

hapi píše:no nevim ale jasně se už v tom pdfku píše že to je bezpečnostní system. A pokud jsem rozlouskal dobře slovenštinu, tak sem se dočet fakt "užasný" ceny za licence. Jen do toho.

online antivirus, firewall, router, l7 qos, shaping, logger, proste co chces... vsetko. a veris ci nie, vsetko aj funguje - nie ako v MK polovica veci ma bugy a kazdou novou verziou ich paradoxne pribuda
ked to beries podla klasickeho cennika, tak je to drahe. ale aj cisco ja drahe a da sa kupit oproti beznemu cenniku za 1/3 ceny. to iste plati aj tu... a kvalita je niekde uplne inde.
MK skape pri troska narocnejsom shapingu a priemernom mnozstve pravidiel. tam je ten rozdiel... MK je low-end a toto je profi. je to ako keby porovnavas v radiach motorolu s ovislinkom

když myslíš, já koukal na to jejich demo a nic tak sofistikovaný jako je HTB v mikrotiku nebo linuxu jsem neviděl.

Pokud bych někam migroval kvůli rychlosti tak to nebude tohle ale linuxová mašina s vanila kernelem který zvládne daleko víc a bude se i líp konfigurovat.

Ono to neni jenom o tý licenci ale sítovka s procesorem bude stát sakra hodně a potřebuješ dvě atd... bez nich to bude na houby. No a ještě bych se vsadil že to poběží pouze na jejich HW dodaným od nich.

Jo a neviděl jsem nikoho kdo by používal cisco jako hraniční router typu HTB/NAT kde by shapoval a natoval 5000 userů. Všude vidim většinou omezení rychlosti na portech (SQ).

nevim kde si řišel na to že MK skape, znám několik lidí co na tom shapujou síť s 2000 usery bez problemu. Ti chytřejší rozdělí zátěž na dva routery. Sám tu mám v3.30 se 150 dny uptime.


No a v neposlední řadě... ty používáš fortigate že můžeš říct že všechno funguje? Já bych řek že tobě většinou na mikrotikách nic nefunguje a všechno ti padá... sakra čim to asi bude. Jo bude to mikrotikem fakt že jo.

Měly by jsme totiž taky odlišovat kecání o SW a HW. Píšeš tady cisco ale to je většinou zásluha HW kdy ten procesor nic jinýho ani neumí než to co má v datasheetu. Mk je naproti tomu plně SW záležitost s uplně jinými možnostmi. No a taky poslední dobu vycházeji samí RC verze takže proč by tam nemohly bej bugy. Nám tu choději i RC verze bez zaváhání a to se zase dostáváme k tomu že tobě nic nefunguje.

no co k tomu dodat... pouzivam MK vsade ako routery. na moje potreby to staci, ale problem je v tom, ze pri vacsej zatazi to proste nezvladne. zbytocne hovoris hocico. kym si to nezazil, tak nevies o com hovoris. mas linku do 100 mbit, takze si este vysmiaty a naivne zijes v domnienke, ze MK je kral kralov a vsetko zvladne len ostatny su debily, ktory to nevedia nakonfigurovat.
proste len smiesny traffic do 250 mbit a shaping 1000 uzivatelov v stromovej strukture v QT nezvlada. je to proste bieda. a to tam je jeden z fakt nadupanych strojov. zbytocne ukazuje zataz cpu do 40 percent, aj tak to kape a natahuje odozvy.

a co sa tyka toho, ze ty poznas ludi, ktory shapuju viac mbit a maju na tom viac ludi...
ano, mas pravdu. takych borcov som videl aj ja na skoleniach a pod. a ked som kukol do demo uctov, tak som sa rehotal az som sa chytal za brucho. no jednoducho kazdeho cloveka mali pridaneho SQ bez toho, aby mali nejaky hlavny parrent. proste len surovo nasypane pravidla v SQ. to znamena, ze server nevedel kde ma strop a len rezal rychlosti ludom, ale NEAGREGOVAL. ked ma ten stroj agregovat, vyratavat pomery, priority, agregaciu a podla toho delit rychlost (tebou spominane HTB), tak je to vprdeli. spominane demo, ktore som videl, obsluhovalo viac ako 2500 ludi a linka bola 300 mbit. stroj tam bol obycajny C2D, asi rok stare a ani to nebola serverova masina. CPU slo do 20-30 percent.
takze takto sa shapuje s MK... ten, kto ozaj shapuje (napriklad ako aj ty - tvoje demo je pekne), tak tomu to stihat nebude tak ako ma. od urcitej hranici to proste nestiha a dokonca to zahadzuje pakety a zhadzuje rychlost...

Neda se to resit rozhozenim na vice stroju, treba podle subnetu ? Nez resit router, kterej utahne 500mbit ?

Maxik píše:Neda se to resit rozhozenim na vice stroju, treba podle subnetu ? Nez resit router, kterej utahne 500mbit ?

tak som to musel riesit... inak to proste neslo. ale je to viac strojov, viac penazi na elektriku, viac penazi do hw a vacsia moznost poruchy - a tiez stracas vyhodu centralneho shapingu

ale inak jedine rozumne riesenie...

mato1 píše:tak som to musel riesit... inak to proste neslo. ale je to viac strojov, viac penazi na elektriku, viac penazi do hw a vacsia moznost poruchy - a tiez stracas vyhodu centralneho shapingu

ale inak jedine rozumne riesenie...

Mě se toto téma zatím až tak moc netýká, protože těch mých cca 600 QT položek zvládá stařičkej P4 1,5GHz při 50Mbitech s vytížením 65%. Jen bych to shapování na více strojích neviděl jako nevýhodu. Víc peněz za elektriku?? Kolik takovej routerPC sežere, když v něm nejsou HDD ani nadupaná grafárna?? Myslím, že víc jak za 400,- Kč/měsíc to nebude a to si myslím ISP s 2000 klienty dovolit může. Větší možnost poruchy?? Ani bych neřekl. Při použití dobrých komponent a minima pohybujících se prvků vydrží routerPC několik let (samozřejmě pokud přímo do něj nepráskne blesk-ale od toho jsou různé druhy ochrany). Například mě na síti jedou AP na platformě PC a jsou to Slot1 desky s datem výroby někdy před 12-15ti lety. Navíc když to jede na více strojích a jeden se podělá, tak máš možnost to operativně převést na funkční mašinu (třebas s dočasným omezením rychlosti klientům), takže ti nelehne celá síť. Takže z nevýhod zůstává snad jen ta cena za "železo", která je z části vyvážená redundancí celýho systému.

Toť čistě můj momentální názor, jak bych to řešil já, kdybych byl v takové situaci.

mato1 píše:no co k tomu dodat... pouzivam MK vsade ako routery. na moje potreby to staci, ale problem je v tom, ze pri vacsej zatazi to proste nezvladne. zbytocne hovoris hocico. kym si to nezazil, tak nevies o com hovoris. mas linku do 100 mbit, takze si este vysmiaty a naivne zijes v domnienke, ze MK je kral kralov a vsetko zvladne len ostatny su debily, ktory to nevedia nakonfigurovat.
proste len smiesny traffic do 250 mbit a shaping 1000 uzivatelov v stromovej strukture v QT nezvlada. je to proste bieda. a to tam je jeden z fakt nadupanych strojov. zbytocne ukazuje zataz cpu do 40 percent, aj tak to kape a natahuje odozvy.

a co sa tyka toho, ze ty poznas ludi, ktory shapuju viac mbit a maju na tom viac ludi...
ano, mas pravdu. takych borcov som videl aj ja na skoleniach a pod. a ked som kukol do demo uctov, tak som sa rehotal az som sa chytal za brucho. no jednoducho kazdeho cloveka mali pridaneho SQ bez toho, aby mali nejaky hlavny parrent. proste len surovo nasypane pravidla v SQ. to znamena, ze server nevedel kde ma strop a len rezal rychlosti ludom, ale NEAGREGOVAL. ked ma ten stroj agregovat, vyratavat pomery, priority, agregaciu a podla toho delit rychlost (tebou spominane HTB), tak je to vprdeli. spominane demo, ktore som videl, obsluhovalo viac ako 2500 ludi a linka bola 300 mbit. stroj tam bol obycajny C2D, asi rok stare a ani to nebola serverova masina. CPU slo do 20-30 percent.
takze takto sa shapuje s MK... ten, kto ozaj shapuje (napriklad ako aj ty - tvoje demo je pekne), tak tomu to stihat nebude tak ako ma. od urcitej hranici to proste nestiha a dokonca to zahadzuje pakety a zhadzuje rychlost...

co se tyce shapingu, layer7 filtru a rychlosti nad 200mbit. Existuje tu jeste firma allot s jejich produkty. Vim, ze to kdysi pouzival dial telecom, za dob net4net. Mozna vhodnejsi reseni nez fortigate:) To uz ale necham na nazorech jinych... Ja mam 50Mbit, takze tyhle problemy zatim resit nemusim.

pthv píše:

mato1 píše:co se tyce shapingu, layer7 filtru a rychlosti nad 200mbit. Existuje tu jeste firma allot s jejich produkty. Vim, ze to kdysi pouzival dial telecom, za dob net4net. Mozna vhodnejsi reseni nez fortigate:) To uz ale necham na nazorech jinych... Ja mam 50Mbit, takze tyhle problemy zatim resit nemusim.

ako je jasne ze allot je jedna z najvyssich tried, ale nebudeme sa hadam bavit o niecom, co je cenovo nerealne pre kazdeho z nas. ceny, za ktore predavaju svoje produkty su neskutocne... to si hadam nedovoli ziadny lokalny isp.