Хотелось бы увидеть мнения разбирающихся людей о сравнении этих агрегатов, PIX уже есть, DFL собираемся покупать, но вопрос в том какое место он займет: либо заменит PIX, либо встанет между провайдерами и PIX.
Нынешняя конфигурация довольно замученная, к нам приходит канал от одного провайдера, который через самый дешевый D-Link делится между двумя PIX и в самом скором времени еще добавится TMG. За одной из PIX работают 2 сервера которые отвечают за работу специфического сайта и у нас грубо говоря только хостятся (правда работоспособность этого сайта от сторонней компании довольно критична для нас). За второй PIX находятся локальные VLAN'ы подключенные через 2 Cisco Catalyst 3750 объединенных с помощью HSRP. Есть несколько VLAN, которые относятся непосредственно к рабочей сети предприятия и 2 изолированных. PIX сидит во VLAN 3; рабочие VLAN 1,2,4,5; первый изолированный VLAN 106 - для подключения клиентов предприятия, оттуда разрешены только запросы DHCP к серверу в рабочем VLAN; второй изолированный VLAN 110, в нем есть только 2 хоста, на которые сделан статический NAT на 2 прямых IP.
Соответственно хотелось бы увидеть варианты настройки всего этого хозяйства с использованием DFL 860E с подключением через 2-х провайдеров (failover) таким образом, чтобы при падении одного из каналов сохранялся не только доступ в интернет изнутри, но и доступ из интернета к определенным сервисам (http к первой PIX и VPN ко второй, в случае если она останется в схеме.) От DFL в принципе ничего не требуется кроме обеспечения бесперебойной работы существующей инфраструктуры, никаких фильтраций http/ftp, никаких антивирусов, этим занимается TMG. Соответственно отсюда еще вопрос про надежность и глючность DFL, раньше работал только с младшими DIR и DI - на опыте знаю, что у них не все гладко, другая ли ситуация со старшими?
маршрутизация сейчас работает так:
на ядре прописано route 0.0.0.0 0.0.0.0 192.168.3.250 (IP-адрес PIX)
на PIX: route inside 192.168.0.0 255.255.0.0 192.168.3.254 (HSRP-IP Catalyst 3750 for VLAN 3)
nat (inside) 1 192.168.0.0 255.255.0.0
static (inside,outside) 217.67.x.x 192.168.110.1 netmask 255.255.255.255
static (inside,outside) 217.67.y.y 192.168.110.2 netmask 255.255.255.255

На первый взгляд, все вполне заведется на 860Е

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

я так понимаю, что для правильной работы BGP двум пиксам и tmg надо будет дать серые ip? и уже на них пробрасывать трафик, который идет на белые?

Да, так, если каналами до двух провайдеров будет рулить DFL-860E.

и со стабильностью и безглючностью на DFL дело обстоит на порядок лучше чем на DI/DIR/DSR на данный момент. Так что рекомендую.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.