|
|
 | asa 5505
Fra : Svend |
Dato : 29-08-07 13:07 |
|
Hej
Jeg overvejer en af de billigeste 5505 som hjemmerouter.
Mit setup består af
1 medieplayer,
1 Nas, måske 1 på vej
1 Printer
1 HP 1800 8G switch
4 pc'ere
Min motivation/behov er
En router der kan route min 25 mbit med spi firewall.
Ipsec Vpn performance på min 25 mbit (3DES)
Et stort antal åbne forbindelser til p2p.
DMZ port
Og muligheden for at dykke ned i en Cisco.
Så vidt jeg kan se skulle den dække mit behov, men hvad er jeres efaring
med dette produkt.
Hvordan er det med Cisco, skal jeg betale for opdateringer til den ?
Ellers andet jeg skal tænke på når jeg bevæger mig fra ZyXEL/Netgear
land til Cisco ditto ?
Jeg har iøvrigt svært ved at se noget der kan hamle op med den, til den
pris <3k kr.
Mvh.
Svend
| |
 Asbjorn Hojmark (29-08-2007)
| Kommentar
Fra : Asbjorn Hojmark |
Dato : 29-08-07 23:14 |
|
On Wed, 29 Aug 2007 14:06:55 +0200, Svend <2@lazy.dk> wrote:
> Så vidt jeg kan se skulle den dække mit behov, men hvad er jeres efaring
> med [Cisco ASA 5505].
Jeg synes, det er en fin box. Jeg valgte dog en IOS-router (Cisco
870), da jeg blev tilbudt en 5505'er til min hjemmeforbindelse. Jeg
foretrækker det fulde routing feature-set.
> Hvordan er det med Cisco, skal jeg betale for opdateringer til den ?
Nja... Det afhænger faktisk af, hvordan du køber den. Spørg din
foretrukne forhandler (og måske en mere), hvad han kan tilbyde.
-A
--
Hvis du bruger et anti-spam program, der spammer os andre i hvert
eneste indlæg, ser jeg ikke dine indlæg. Jeg filtrerer dem bort.
| |
Svend (01-09-2007)
| Kommentar
Fra : Svend |
Dato : 01-09-07 07:00 |
|
Asbjorn Hojmark wrote:
> On Wed, 29 Aug 2007 14:06:55 +0200, Svend <2@lazy.dk> wrote:
>
>> Så vidt jeg kan se skulle den dække mit behov, men hvad er jeres efaring
>> med [Cisco ASA 5505].
>
> Jeg synes, det er en fin box. Jeg valgte dog en IOS-router (Cisco
> 870), da jeg blev tilbudt en 5505'er til min hjemmeforbindelse. Jeg
> foretrækker det fulde routing feature-set.
Hvad ligger der i "det fulde routing feature-set", Jeg har på
fornemmelsen at det ikke er noget jeg som dødelig bruger har brug for.
Det bekymre mig mere at dmz porten er handicappet på den billigeste
udgave. Men jeg har svært ved at finde ud af hvad det konkret betyder.
Dit valg af router hænger vel også sammen med at det er en del af dit
arbejde at kunne programmere sådan et bæst.
>
>> Hvordan er det med Cisco, skal jeg betale for opdateringer til den ?
>
> Nja... Det afhænger faktisk af, hvordan du køber den. Spørg din
> foretrukne forhandler (og måske en mere), hvad han kan tilbyde.
>
> -A
Hvordan er det hos det firma du arbejder for ?
--
Med venlig hilsen
Svend
| |
 Asbjorn Hojmark (01-09-2007)
| Kommentar
Fra : Asbjorn Hojmark |
Dato : 01-09-07 18:24 |
|
On Sat, 01 Sep 2007 07:59:31 +0200, Svend <2@lazy.dk> wrote:
> Hvad ligger der i "det fulde routing feature-set" [på en IOS-router],
> Jeg har på fornemmelsen at det ikke er noget jeg som dødelig bruger
> har brug for.
Jeg er fx glad for at jeg kan have to routere sat op som redundant for
hinanden, inkl. redundant default gateway og automatisk skift af
forbindelse.
I modsætning hertil har ASA er rigere VPN (og især WebVPN) feature set
end routerne, ligesom Lag 5-intelligens for en del protokoller er
bedre.
> Dit valg af router hænger vel også sammen med at det er en del af dit
> arbejde at kunne programmere sådan et bæst.
Jeg arbejder skam også med PIX, ASA og firewallmoduler... Men i øvrigt
er det ikke programmering. Man konfigurerer udstyret. Programmeringen
er der nogle indere og asiater i Silicon Valley, der tager sig af.
>>> Hvordan er det med Cisco, skal jeg betale for opdateringer til den ?
>> Nja... Det afhænger faktisk af, hvordan du køber den. Spørg din
>> foretrukne forhandler (og måske en mere), hvad han kan tilbyde.
> Hvordan er det hos det firma du arbejder for ?
I Conscia betaler man for en årlig service, og det inkluderer skift af
udstyret, hvis det går i stykker, adgang til alle softwareopdateringer
og mulighed for TAC-sager, hvis der er noget, der ikke virker. Det er
klart orienteret mod firmaer.
-A
--
Hvis du bruger et anti-spam program, der spammer os andre i hvert
eneste indlæg, ser jeg ikke dine indlæg. Jeg filtrerer dem bort.
| |
Svend (04-09-2007)
| Kommentar
Fra : Svend |
Dato : 04-09-07 22:17 |
|
Asbjorn Hojmark wrote:
> On Sat, 01 Sep 2007 07:59:31 +0200, Svend <2@lazy.dk> wrote:
>
>> Hvad ligger der i "det fulde routing feature-set" [på en IOS-router],
>> Jeg har på fornemmelsen at det ikke er noget jeg som dødelig bruger
>> har brug for.
>
> Jeg er fx glad for at jeg kan have to routere sat op som redundant for
> hinanden, inkl. redundant default gateway og automatisk skift af
> forbindelse.
>
> I modsætning hertil har ASA er rigere VPN (og især WebVPN) feature set
> end routerne, ligesom Lag 5-intelligens for en del protokoller er
> bedre.
Ok. Ved du hvad der ligger i at dmz porten skulle være begrænset i
funktionalitet ? Er vlan understøttelsen også begrænset i den billigeste
version ?
>
>> Dit valg af router hænger vel også sammen med at det er en del af dit
>> arbejde at kunne programmere sådan et bæst.
>
> Jeg arbejder skam også med PIX, ASA og firewallmoduler... Men i øvrigt
> er det ikke programmering. Man konfigurerer udstyret. Programmeringen
> er der nogle indere og asiater i Silicon Valley, der tager sig af.
>
Ja, ok, konfiguration så.
>>>> Hvordan er det med Cisco, skal jeg betale for opdateringer til den ?
>
>>> Nja... Det afhænger faktisk af, hvordan du køber den. Spørg din
>>> foretrukne forhandler (og måske en mere), hvad han kan tilbyde.
>
>> Hvordan er det hos det firma du arbejder for ?
>
> I Conscia betaler man for en årlig service, og det inkluderer skift af
> udstyret, hvis det går i stykker, adgang til alle softwareopdateringer
> og mulighed for TAC-sager, hvis der er noget, der ikke virker. Det er
> klart orienteret mod firmaer.
>
> -A
Ja, og koster derefter 
--
Svend
| |
Asbjorn Hojmark (05-09-2007)
| Kommentar
Fra : Asbjorn Hojmark |
Dato : 05-09-07 06:36 |
|
On Tue, 04 Sep 2007 23:17:23 +0200, Svend <2@lazy.dk> wrote:
> Ok. Ved du hvad der ligger i at dmz porten skulle være begrænset i
> funktionalitet ?
En 5505 er jo med indbygget switch, og begrænsningen ligger i antallet
af logiske interfaces og hvad de kan bruges til. I Base-licensen kan
det tredje interface ikke bruges til DMZ. Se http://tinyurl.com/ytx7y8
-A
--
Hvis du bruger et anti-spam program, der spammer os andre i hvert
eneste indlæg, ser jeg ikke dine indlæg. Jeg filtrerer dem bort.
| |
Svend (05-09-2007)
| Kommentar
Fra : Svend |
Dato : 05-09-07 10:07 |
|
Asbjorn Hojmark wrote:
> On Tue, 04 Sep 2007 23:17:23 +0200, Svend <2@lazy.dk> wrote:
>
>> Ok. Ved du hvad der ligger i at dmz porten skulle være begrænset i
>> funktionalitet ?
>
> En 5505 er jo med indbygget switch, og begrænsningen ligger i antallet
> af logiske interfaces og hvad de kan bruges til. I Base-licensen kan
> det tredje interface ikke bruges til DMZ. Se http://tinyurl.com/ytx7y8
>
> -A
Ja undskyld, mine begreber skal lige på plads.
Faktisk synes jeg det ser ok ud på
< http://www.cisco.com/en/US/docs/security/asa/asa80/configuration/guide/int5505.html#wp1057971>
Hvis home er min dmz og business er min lan zone, så opfylder det da mit
behov, at jeg så ikke kan initiere trafik fra dmz til lan er en mindre
ting. Men spørgsmålet er om man kan initiere trafik fra internet til
home/dmz samtidigt med at man kan initiere trafik fra home/dmz til internet.
dvs jeg har 2 zoner der kan initiere forbindelser til internet.
internet kan kun initiere forbindelse til den ene zone.
internet -> dmz
dmz -> internet
lan -> internet
lan -> dmz
Men det er lidt svært at se ud fra dokumentationen.
--
Svend
| |
Asbjorn Hojmark (05-09-2007)
| Kommentar
Fra : Asbjorn Hojmark |
Dato : 05-09-07 11:52 |
|
On Wed, 05 Sep 2007 11:07:19 +0200, Svend <2@lazy.dk> wrote:
> Hvis home er min dmz og business er min lan zone, så opfylder det da mit
> behov, at jeg så ikke kan initiere trafik fra dmz til lan er en mindre
> ting.
Så er det bare ikke et DMZ...
-A
--
Hvis du bruger et anti-spam program, der spammer os andre i hvert
eneste indlæg, ser jeg ikke dine indlæg. Jeg filtrerer dem bort.
| |
Svend (05-09-2007)
| Kommentar
Fra : Svend |
Dato : 05-09-07 13:47 |
|
Asbjorn Hojmark wrote:
> On Wed, 05 Sep 2007 11:07:19 +0200, Svend <2@lazy.dk> wrote:
>
>> Hvis home er min dmz og business er min lan zone, så opfylder det da mit
>> behov, at jeg så ikke kan initiere trafik fra dmz til lan er en mindre
>> ting.
>
> Så er det bare ikke et DMZ...
>
> -A
Ok, så bare en seperat zone. da. Men jeg ønsker ikke at enheder i min
dmz kan tilgå enheder på mit lan.
--
Svend
| |
Asbjorn Hojmark (05-09-2007)
| Kommentar
Fra : Asbjorn Hojmark |
Dato : 05-09-07 14:00 |
|
On Wed, 05 Sep 2007 14:46:39 +0200, Svend <2@lazy.dk> wrote:
>> Så er det bare ikke et DMZ...
> Ok, så bare en seperat zone. da. Men jeg ønsker ikke at enheder i
> min dmz kan tilgå enheder på mit lan.
Hvis du ikke har brug for DMZ, behøver du heller ikke købe det...
Fint ik'?
-A
--
Hvis du bruger et anti-spam program, der spammer os andre i hvert
eneste indlæg, ser jeg ikke dine indlæg. Jeg filtrerer dem bort.
| |
Svend (06-09-2007)
| Kommentar
Fra : Svend |
Dato : 06-09-07 04:24 |
|
Asbjorn Hojmark wrote:
> On Wed, 05 Sep 2007 14:46:39 +0200, Svend <2@lazy.dk> wrote:
>
>>> Så er det bare ikke et DMZ...
>
>> Ok, så bare en seperat zone. da. Men jeg ønsker ikke at enheder i
>> min dmz kan tilgå enheder på mit lan.
>
> Hvis du ikke har brug for DMZ, behøver du heller ikke købe det...
> Fint ik'?
>
> -A
Snakker vi forbi hinanden Asbjørn ? Jeg har på fornemmelsen at du godt
forstår men ikke vil
Som jeg skrev før har jeg brug for det her :
internet -> dmz
dmz -> internet
lan -> internet
lan -> dmz
Men jeg er i tvivl om jeg kan det med base licensen.
--
Med venlig hilsen
Svend
| |
Asbjorn Hojmark (06-09-2007)
| Kommentar
Fra : Asbjorn Hojmark |
Dato : 06-09-07 11:07 |
|
On Thu, 06 Sep 2007 05:23:52 +0200, Svend <2@lazy.dk> wrote:
> Som jeg skrev før har jeg brug for det her :
>
> internet -> dmz
> dmz -> internet
>
> lan -> internet
> lan -> dmz
>
> Men jeg er i tvivl om jeg kan det med base licensen.
Du kan have to forskellige netværk på LAN-siden, der ikke kan snakke
med hinanden, men begge godt kan snakke med Internet. Du kan ikke lave
et DMZ.
-A
--
Hvis du bruger et anti-spam program, der spammer os andre i hvert
eneste indlæg, ser jeg ikke dine indlæg. Jeg filtrerer dem bort.
| |
Svend (06-09-2007)
| Kommentar
Fra : Svend |
Dato : 06-09-07 22:43 |
|
Asbjorn Hojmark wrote:
> On Thu, 06 Sep 2007 05:23:52 +0200, Svend <2@lazy.dk> wrote:
>
>> Som jeg skrev før har jeg brug for det her :
>>
>> internet -> dmz
>> dmz -> internet
>>
>> lan -> internet
>> lan -> dmz
>>
>> Men jeg er i tvivl om jeg kan det med base licensen.
>
> Du kan have to forskellige netværk på LAN-siden, der ikke kan snakke
> med hinanden, men begge godt kan snakke med Internet. Du kan ikke lave
> et DMZ.
>
> -A
Ok,Så misforstod jeg tegningen på figur 4-1. For der ser det ud som at
den ene zone (business) godt kan initiere forbindelser til den anden zone.
< http://www.cisco.com/en/US/docs/security/asa/asa80/configuration/guide/int5505.html#wp1057971>
--
Svend
| |
Uffe S. Callesen (30-08-2007)
| Kommentar
Fra : Uffe S. Callesen |
Dato : 30-08-07 23:08 |
|
> Så vidt jeg kan se skulle den dække mit behov, men hvad er jeres efaring
> med dette produkt.
Jeg er _ikke_ imponeret over den - for det første er den grafiske
konfiguration rodet og ulogisk - ikke det bedste udgangspunkt for et
sikkerhedsprodukt - for det andet har jeg fysisk måttet hive strømmen til
mit testeksemplar én gang i døgnet hvor den simpelt hen stopper med at route
trafik - den svarer fortsat på ping men flytter ingen pakker.
> Jeg har iøvrigt svært ved at se noget der kan hamle op med den, til den
> pris <3k kr.
Som Asbjørn også skriver så er en IOS baseret router nok lige så interessant
med mindre du skal bruge POE portene.
Ellers vil jeg lige endnu engang lufte min kærlighed for Junipers Netscreen
produkter - Kig efter en SSG5 - eller en brugt 5GT (som der godt nok ikke
kommer nye features til længere).
Jeg ved at www.eze.dk ligger inde med brugte 5GT'ere som du måske kan købe
til en fornuftig pris - jeg har selv lige lånt én derfra til test.
/Uffe
| |
|
|