Хотелось бы увидеть мнения разбирающихся людей о сравнении этих агрегатов, PIX уже есть, DFL собираемся покупать, но вопрос в том какое место он займет: либо заменит PIX, либо встанет между провайдерами и PIX. Нынешняя конфигурация довольно замученная, к нам приходит канал от одного провайдера, который через самый дешевый D-Link делится между двумя PIX и в самом скором времени еще добавится TMG. За одной из PIX работают 2 сервера которые отвечают за работу специфического сайта и у нас грубо говоря только хостятся (правда работоспособность этого сайта от сторонней компании довольно критична для нас). За второй PIX находятся локальные VLAN'ы подключенные через 2 Cisco Catalyst 3750 объединенных с помощью HSRP. Есть несколько VLAN, которые относятся непосредственно к рабочей сети предприятия и 2 изолированных. PIX сидит во VLAN 3; рабочие VLAN 1,2,4,5; первый изолированный VLAN 106 - для подключения клиентов предприятия, оттуда разрешены только запросы DHCP к серверу в рабочем VLAN; второй изолированный VLAN 110, в нем есть только 2 хоста, на которые сделан статический NAT на 2 прямых IP. Соответственно хотелось бы увидеть варианты настройки всего этого хозяйства с использованием DFL 860E с подключением через 2-х провайдеров (failover) таким образом, чтобы при падении одного из каналов сохранялся не только доступ в интернет изнутри, но и доступ из интернета к определенным сервисам (http к первой PIX и VPN ко второй, в случае если она останется в схеме.) От DFL в принципе ничего не требуется кроме обеспечения бесперебойной работы существующей инфраструктуры, никаких фильтраций http/ftp, никаких антивирусов, этим занимается TMG. Соответственно отсюда еще вопрос про надежность и глючность DFL, раньше работал только с младшими DIR и DI - на опыте знаю, что у них не все гладко, другая ли ситуация со старшими? маршрутизация сейчас работает так: на ядре прописано route 0.0.0.0 0.0.0.0 192.168.3.250 (IP-адрес PIX) на PIX: route inside 192.168.0.0 255.255.0.0 192.168.3.254 (HSRP-IP Catalyst 3750 for VLAN 3) nat (inside) 1 192.168.0.0 255.255.0.0 static (inside,outside) 217.67.x.x 192.168.110.1 netmask 255.255.255.255 static (inside,outside) 217.67.y.y 192.168.110.2 netmask 255.255.255.255
|