Всем доброго времени суток!
Кто имел дело с PIX, подскажите плиз, что что за зверь?
Интересует, что он умеет в сравнении с роутером под IOS. И, особенно, что он не умеет, если его использовать в качестве маршрутизатора.
Вообще вопрос возник в связи со следующей задачей:
требуется соединить главный офис с удаленными (порядка 30-50 штук) через IPsec туннели.
Хочется понять на чем основываться при выборе между PIX и роутером под IOS с модулем AIM.
>Вообще вопрос возник в связи со следующей задачей:
>требуется соединить главный офис с удаленными (порядка 30-50 штук) через IPsec туннели.
>
>Хочется понять на чем основываться при выборе между PIX и роутером под
>IOS с модулем AIM.Честно скажу - сам руками не трогал. Моё мнение основано на мнении того что сам слышал от друзей и читал.
Нах не нужен PIX. Разве что охранять 1 Гбит поток. Умеет только езернет порты (2 или 3 штуки). Дорогой. В отличии, оно умеет "инспектировать" именно само содержание пакетов, анализировать трафик, а не просто заголовки пакетов. Может это и прикольно, что на нём можно построить "одной командой" "правильный" фаервол для H.323 трафика, но как по мне, это для обычных организаций нах не нужно. Для неё, обычной организации, хватит IOS с FW/IDS. Однако нужно учитывать возможность отката при покупке дорогой железяки, тут PIX подойдёт на "ура". ;-)
Спасибо! А в как маршрутизатор PIX удобно использовать? Есть там такие вещи как route map, например?
как маршрутизатор его лучше вообще никак не использовать, например только недавно в нем появилась возможность роутинга пакета в тот же интерфейс, откуда он пришел..
>как маршрутизатор его лучше вообще никак не использовать, например только недавно в
>нем появилась возможность роутинга пакета в тот же интерфейс, откуда он
>пришел..PIX - это файрволл, с этого и надо начинать.
Если сравнивать его с роутером под IOS-ом:
PIX не поддерживает физ.среды, кроме Ethernet-а, у роутеров есть куча разнообразных модулей;
PIX не поддерживает протоколы динамической маршрутизации;
PIX не поддерживает DDR (бэкапный канал через dial-up);
PIX не умеет считать NetFlow;
PIX не поддерживает расширенные функции роутинга, хотя в новом софте роут-мапы вроде есть;
PIX - это досточно своеобразный девайс, к нему и его особенностям надо привыкать;
при этом:
PIX хорошо делает трансляцию адресов;
PIX хорошо делает IPSec-туннели, роутеры делают это хуже;
PIX хорошо файрволлит;
PIX 501 стоит дешево, и подходит для маленьких офисов.
Резюмируя - в некоторых случаях это может быть хорошим решением. Ограничение с типами среды сейчас малоактуально, так как, как правило, провайдеры отдают клиентам именно ethernet, расширенный роутинг в доппофисах тоже нужен редко, как правило все ограничивается выставлением default route.В общем, решите брать pix-ы - пишите мне, продадим.. :-)
>>как маршрутизатор его лучше вообще никак не использовать, например только недавно в
>>нем появилась возможность роутинга пакета в тот же интерфейс, откуда он
>>пришел..
>
>PIX - это файрволл, с этого и надо начинать.
>
>Если сравнивать его с роутером под IOS-ом:
>
>PIX не поддерживает физ.среды, кроме Ethernet-а, у роутеров есть куча разнообразных модулей;
>
>PIX не поддерживает протоколы динамической маршрутизации;
>PIX не поддерживает DDR (бэкапный канал через dial-up);
>PIX не умеет считать NetFlow;
>PIX не поддерживает расширенные функции роутинга, хотя в новом софте роут-мапы вроде
>есть;
>PIX - это досточно своеобразный девайс, к нему и его особенностям надо
>привыкать;
>при этом:
>PIX хорошо делает трансляцию адресов;
>PIX хорошо делает IPSec-туннели, роутеры делают это хуже;
>PIX хорошо файрволлит;
>PIX 501 стоит дешево, и подходит для маленьких офисов.
>
>
>Резюмируя - в некоторых случаях это может быть хорошим решением. Ограничение с
>типами среды сейчас малоактуально, так как, как правило, провайдеры отдают клиентам
>именно ethernet, расширенный роутинг в доппофисах тоже нужен редко, как правило
>все ограничивается выставлением default route.
>
>В общем, решите брать pix-ы - пишите мне, продадим.. :-)CПАСИ60! В общем, скверный тип этот PIX, да еще и на платформе PC похоже сделан )