Прошу извинить за делитантский вопрос.Не могу выбрать PIX.
Есть канал 2Mbit в ближайшем будующем будет 10Mbit. За PIX 100-150(максимум) машин.
От PIX не нужно ни VPN (ну может быть в качестве обучения и эксперимента, попробую) ни шифрования, только NAT и собственно сам firewall.
Можно конечно на unix'е реализовать, но хочется опыта с PIX.Помогите определиьтся с моделью, 501 или 506E, думаю 515 для таких задач не нужен.
Я бы взял 515, если есть деньги и нужна DMZ. Новая прошивка к кучей приятных фич доступна также начиная с 515.501 - не брать однозначно. Там есть ограничение кол-ва внутренних клиентов и туннелей, хотя может быть эти значения можно увеличить до unlimited путем покупки правильной лицензии.
А ipsec-based VPN на ciscopix работает весьма недурно.
Почти уверен, что dialup vpn через cisco secure vpn client Вы точно поднимете :)
Только помните, что PIX роутить не умеет... Канал резать тоже :) Ну и много чего другого тоже :)
>Я бы взял 515, если есть деньги и нужна DMZ. Новая прошивка
>к кучей приятных фич доступна также начиная с 515.
>
>501 - не брать однозначно. Там есть ограничение кол-ва внутренних клиентов и
>туннелей, хотя может быть эти значения можно увеличить до unlimited путем
>покупки правильной лицензии.
>
>А ipsec-based VPN на ciscopix работает весьма недурно.
>
>Почти уверен, что dialup vpn через cisco secure vpn client Вы точно
>поднимете :)
>
>Только помните, что PIX роутить не умеет... Канал резать тоже :) Ну
>и много чего другого тоже :)Ну роутить он, положим, умеет, а вот траффик считать через netflow нет..
Тогда надо определиться, что понимать под "роутить" ;)
>Тогда надо определиться, что понимать под "роутить" ;)Перенаправлять пакеты, базируясь на адресной информации третьего уровня ;-))) Это вообще-то классическое определение роутинга..
Умеет также route-map в новом софте
Умеет Rip и OSPFBGP и EIGRP не умеет. IS-IS тоже, блин ;-)))
насколько я понял то пиксы даже научились роутить пакеты в тот же интерфейс, откуда они пришли...