URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 20191
[ Назад ]

Исходное сообщение
"juniper-альтернатива cisco asa5510"
Отправлено bda , 08-Дек-09 10:31

Уважаемые коллеги, помогите сделать выбор...
дело в том, что моя контора, сейчас не может покупать МЭ Cisco, причем, вероятно, никогда уже не сможет...
Соответственно, были предложен в качестве альтернативы коробки от juniper, а именно ssg320/350 и srx240...
Сроки сжатые, непонятно что лучше...
Основная задача аппарата: защита двух блоков серверов с низкой нагрузкой, т.е. snat и рутинг порядка 10 сетей управления, т.е. несколько dot1q-интерфейсов нужно... Естетственно, аппарат берем на небольшой вырост...

Содержание

juniper-альтернатива cisco asa5510,Cyrill Malevanov, 15:07 , 08-Дек-09
- juniper-альтернатива cisco asa5510,bda, 15:16 , 08-Дек-09
  - juniper-альтернатива cisco asa5510,Cyrill Malevanov, 15:21 , 08-Дек-09
    - juniper-альтернатива cisco asa5510,bda, 15:59 , 08-Дек-09
      - juniper-альтернатива  cisco asa5510,Cyrill Malevanov, 18:55 , 08-Дек-09
        
        juniper-альтернатива  cisco asa5510,zaikini, 12:11 , 09-Дек-09
        
        juniper-альтернатива  cisco asa5510,bda, 21:34 , 09-Дек-09
        
        juniper-альтернатива  cisco asa5510,Orion55, 06:33 , 10-Дек-09
        
        juniper-альтернатива  cisco asa5510,bda, 20:31 , 15-Дек-09
        
        juniper-альтернатива  cisco asa5510,Alexander, 17:12 , 24-Дек-09
        
        juniper-альтернатива  cisco asa5510,bda, 23:38 , 24-Дек-09
        
        juniper-альтернатива  cisco asa5510,Alexander, 00:00 , 25-Дек-09
        
        juniper-альтернатива  cisco asa5510,bda, 14:44 , 26-Дек-09

Сообщения в этом обсуждении

"juniper-альтернатива cisco asa5510"
Отправлено Cyrill Malevanov , 08-Дек-09 15:07

>[оверквотинг удален]
>причем, вероятно, никогда уже не сможет...
>
>Соответственно, были предложен в качестве альтернативы коробки от juniper, а именно ssg320/350
>и srx240...
>
>Сроки сжатые, непонятно что лучше...
>
>Основная задача аппарата: защита двух блоков серверов с низкой нагрузкой, т.е. snat
>и рутинг порядка 10 сетей управления, т.е. несколько dot1q-интерфейсов нужно... Естетственно,
>аппарат берем на небольшой вырост...
ssg550, это до 700 мбит/100кппс

"juniper-альтернатива cisco asa5510"
Отправлено bda , 08-Дек-09 15:16

>[оверквотинг удален]
>>Соответственно, были предложен в качестве альтернативы коробки от juniper, а именно ssg320/350
>>и srx240...
>>
>>Сроки сжатые, непонятно что лучше...
>>
>>Основная задача аппарата: защита двух блоков серверов с низкой нагрузкой, т.е. snat
>>и рутинг порядка 10 сетей управления, т.е. несколько dot1q-интерфейсов нужно... Естетственно,
>>аппарат берем на небольшой вырост...
>
>ssg550, это до 700 мбит/100кппс
Понятно, спасибо, но тут больше интересует скорость развертывания, удобство, так сказать... Мне четко не ясны различия между девайсами SGG и SRX... Кроме того что на одной скринОС а на другой ДЖУНОС

"juniper-альтернатива cisco asa5510"
Отправлено Cyrill Malevanov , 08-Дек-09 15:21

>[оверквотинг удален]
>>>
>>>Основная задача аппарата: защита двух блоков серверов с низкой нагрузкой, т.е. snat
>>>и рутинг порядка 10 сетей управления, т.е. несколько dot1q-интерфейсов нужно... Естетственно,
>>>аппарат берем на небольшой вырост...
>>
>>ssg550, это до 700 мбит/100кппс
>
>Понятно, спасибо, но тут больше интересует скорость развертывания, удобство, так сказать... Мне
>четко не ясны различия между девайсами SGG и SRX... Кроме того
>что на одной скринОС а на другой ДЖУНОС
Различия в архитектуре, как правило. ScreenOS для целей DPI/SPI используется очень давно, JunOS - недавно. Удобство и скорость развертывания... неделя на обкуривание доки по скриносу, потом все становится понятно. Читать надо с самого начала, с понятий зоны-трасты-полиси-объекты.

"juniper-альтернатива cisco asa5510"
Отправлено bda , 08-Дек-09 15:59

>[оверквотинг удален]
>>>ssg550, это до 700 мбит/100кппс
>>
>>Понятно, спасибо, но тут больше интересует скорость развертывания, удобство, так сказать... Мне
>>четко не ясны различия между девайсами SGG и SRX... Кроме того
>>что на одной скринОС а на другой ДЖУНОС
>
>Различия в архитектуре, как правило. ScreenOS для целей DPI/SPI используется очень давно,
>JunOS - недавно. Удобство и скорость развертывания... неделя на обкуривание доки
>по скриносу, потом все становится понятно. Читать надо с самого начала,
>с понятий зоны-трасты-полиси-объекты.
Да.... верно... только вот что лучше предпочесть, SSG или SRX, учитывая, что мигрирую с Cisco ASA/PIX?

"juniper-альтернатива cisco asa5510"
Отправлено Cyrill Malevanov , 08-Дек-09 18:55

>Да.... верно... только вот что лучше предпочесть, SSG или SRX, учитывая, что
>мигрирую с Cisco ASA/PIX?
после скриноса я спокойно АСА настраивал

"juniper-альтернатива cisco asa5510"
Отправлено zaikini , 09-Дек-09 12:11

>
>>Да.... верно... только вот что лучше предпочесть, SSG или SRX, учитывая, что
>>мигрирую с Cisco ASA/PIX?
>
>после скриноса я спокойно АСА настраивал
juniper рекомендует SRX, так как все разработки ScreenOS будут прекращаться

"juniper-альтернатива cisco asa5510"
Отправлено bda , 09-Дек-09 21:34

>>
>>>Да.... верно... только вот что лучше предпочесть, SSG или SRX, учитывая, что
>>>мигрирую с Cisco ASA/PIX?
>>
>>после скриноса я спокойно АСА настраивал
>
>juniper рекомендует SRX, так как все разработки ScreenOS будут прекращаться
Понятно, но вот сейчас ковыряюсь с srx240 - очень как-то все коряво, имхо... Наверное непривык, т.к. asa ios кажется более лаконичным

"juniper-альтернатива cisco asa5510"
Отправлено Orion55 , 10-Дек-09 06:33

>>>
>>>>Да.... верно... только вот что лучше предпочесть, SSG или SRX, учитывая, что
>>>>мигрирую с Cisco ASA/PIX?
>>>
>>>после скриноса я спокойно АСА настраивал
>>
>>juniper рекомендует SRX, так как все разработки ScreenOS будут прекращаться
>
>Понятно, но вот сейчас ковыряюсь с srx240 - очень как-то все коряво,
>имхо... Наверное непривык, т.к. asa ios кажется более лаконичным
Я работал с juniper хороший маршрутеризатор, но без разбора документации делать нечего. Но реальных специалистов мало... Спасла только брошюра по какому-то семинару, где коротко объяснены основные принципы работы, типовые задачи и их решения. А в официальной документации можно утонуть.

"juniper-альтернатива cisco asa5510"
Отправлено bda , 15-Дек-09 20:31

>[оверквотинг удален]
>>>
>>>juniper рекомендует SRX, так как все разработки ScreenOS будут прекращаться
>>
>>Понятно, но вот сейчас ковыряюсь с srx240 - очень как-то все коряво,
>>имхо... Наверное непривык, т.к. asa ios кажется более лаконичным
>
>Я работал с juniper хороший маршрутеризатор, но без разбора документации делать нечего.
>Но реальных специалистов мало... Спасла только брошюра по какому-то семинару, где
>коротко объяснены основные принципы работы, типовые задачи и их решения. А
>в официальной документации можно утонуть.
Да вот что-то в официальной документации по SRX-девайсам много и нет (например, даже не описан способ конфигурации L3-интерфейсов во вланах, когда реальный GE-интерфейс переведен в 802.1q-транковый режим)... Собственно тонуть-то и не в чем. Был бы благодарен за хорошие ссылки по примерам конфигов.

"juniper-альтернатива cisco asa5510"
Отправлено Alexander , 24-Дек-09 17:12

>Да вот что-то в официальной документации по SRX-девайсам много и нет (например,
>даже не описан способ конфигурации L3-интерфейсов во вланах, когда реальный GE-интерфейс
>переведен в 802.1q-транковый режим)... Собственно тонуть-то и не в чем. Был
>бы благодарен за хорошие ссылки по примерам конфигов.
Документация по SRX-девайсам нипричем. Читайте документацию по JunOS той версии, которая у Вас в SRXе сейчас.
Пример предельно прост:
> show configuration interfaces ge-0/0/3
vlan-tagging;
unit 6 {
    description "cr1-gdr: Gi0/0.6";
    vlan-id 6;
    family inet {
        address 91.200.192.98/30;
    }
}
unit 700 {
    description Management;
    vlan-id 700;
    family inet {
        filter {
            input flt-Monitor;
        }
        address 10.10.1.65/26;
    }
}
unit 701 {
    description "Subdivision: Torgoviy Dom";
    vlan-id 701;
    family inet {
        filter {
            input flt-Monitor;
        }
        address 10.3.1.1/26;
    }
}
Ну и т.д.

"juniper-альтернатива cisco asa5510"
Отправлено bda , 24-Дек-09 23:38

>[оверквотинг удален]
>    family inet {
>        filter {
>
>input flt-Monitor;
>        }
>        address 10.3.1.1/26;
>    }
>}
>
>Ну и т.д.
Это я уже понял, но вот почему нет толкового описания по 10-ому жуносу... Даже создание вланов, которые вы привели, не описано там.... :(

"juniper-альтернатива cisco asa5510"
Отправлено Alexander , 25-Дек-09 00:00

>[оверквотинг удален]
>>        }
>>        address 10.3.1.1/26;
>>    }
>>}
>>
>>Ну и т.д.
>
>Это я уже понял, но вот почему нет толкового описания по 10-ому
>жуносу... Даже создание вланов, которые вы привели, не описано там.... :(
>
Может, Вы не там смотрели?
http://www.juniper.net/techpubs/en_US/junos10.0/information-...
Не обязательно смотреть документацию именно по JunOS для SRX. Можно посмотреть JunOS для M/MX серии. Начальные настройки - очень похожи.

"juniper-альтернатива cisco asa5510"
Отправлено bda , 26-Дек-09 14:44

>[оверквотинг удален]
>>
>>Это я уже понял, но вот почему нет толкового описания по 10-ому
>>жуносу... Даже создание вланов, которые вы привели, не описано там.... :(
>>
>
>Может, Вы не там смотрели?
>http://www.juniper.net/techpubs/en_US/junos10.0/information-...
>
>Не обязательно смотреть документацию именно по JunOS для SRX. Можно посмотреть JunOS
>для M/MX серии. Начальные настройки - очень похожи.
Да, наверное не там смотрел... странно что документация по 10му жуносу для srx выделена в отдельный раздел, но там почти ничего нет.