[LatinaLUG] Documentazione

[Stefano Tagliaferri]

On Mon, 10 Dec 2001 23:44:29 +0100 (CET), Fabrizio Cuseo wrote:

|> Sto realizzando un progetto molto importante e ho la necessita' di frazionare la rete 
|> con un gateway che vorrei funzionasse interamente sotto Linux. 
|Purtroppo qui ci sarebbe da parlare per ore...
|Aziendalmente, la nostra scelta e' sempre stata verso apparati dedicati
|al routing e al firewalling (abbiamo come border gateway un Cisco 7204

Nella fattiscecie le macchine dedicate al routing sono 2 e devono frazionare la LAN dei server da 
quella degli utenti, stiamo parlando di un traffico che raggiunge dei picchi di 200k su dorsale in 
fibra realizzata con 3 Cisco Catalyst 29xx.
Le macchine montano 2 Sk di rete e gestiscono l'appliance di cache per portare le risorse 
internet sulla WAN e nella fattispecie dovranno effettuare transparent proxy e packet filtering per 
proteggere la server farm che e' principalmente composta da server wk2y con l'impianto di office 
automation.

|access server... per il firewalling e' in arrivo un Netscreen serie 100 da
|128.000 sessioni tcp con 19.000 nuove sessioni/secondo) pur
|essendo in grado di fare le stesse cose con economicissime macchine Linux 
|(a suo tempo facevamo routing con 5 schede di rete in una macchina che
|oltre a fare da gateway faceva anche traffic-shaping, firewalling e

Come firewall sono intenzionato ad acquisire delle appliance della intrusion.com con FW-1 e una 
appliance Linux RH ottimizzata allo scopo.

|1) Una macchina con un HD ha sicuramente piu' possibilita' di
|rompersi/danneggiarsi/incasinarsi di un cisco che non ha parti in
|movimento, non ha un sistema operativo (Se non IOS), e' difficilmente
|gestibile per cui e' altrettanto difficile che personale non esperto metta
|le mani sulla configurazione

Nella fattispecie le macchine sono due e sul router centro stella 2621 e' gia' stata impostata una 
doppia route statica, se non va una va l'altra

|2) Non escono bug cosi' importanti da costringere ad un riavvio/mese a
|causa di aggiornamenti di kernel/librerie/ecc.

Obiettivamente l'unica volta che eseguo un reboot dei proxy e' se aggiorno il Kernel anzi a dire il 
vero con RH 7.2 non serve nemmeno +...

|3) L'hardware di un cisco2600 e' sicuramente piu' affidabile di macchine
|compatibili (ho ancora dei vecchi 2501 che sono accesi da oltre 5 anni
|senza un blocco al sistema)

Le macchine sono state reigegnerizzate in chassis con alimentarore ridontado e efficente sistema 
di ventilazione.

|4) E' possibile interfacciare switch/router per gestire come si deve le
|vlan (in particolare le tagged)

Ok qui mi sembra che Cisco sia migliore ;-)

|E' pur vero che se stiamo parlando di un gateway tra varie lan, c'e'
|bisogno di una macchina che abbia piu' schede di rete, e a parte i 2611
|oppure i 2621 che hanno 2 ethernet ( o fast ethernet), le ethernet per i
|cisco modulari (es: 3600 o 7200) costano un occhio della testa, per cui se
|non stiamo parlando di una rete particolarmente delicata e il budget non
|e' cosi' ampio, la scelta di Linux e' inevitabile (si rischia di parlare
|di differenze di 15/20 milioni).

200 utenti massimi sulla rete dietro al FW-Gateway......

|In ogni caso, con un processore discreto (PentiumIII 833 o anche Celeron
|1000) e soprattutto delle OTTIME schede di rete (3com o Intel), con un

Si tratta di 2 macchine PIII 500 con piu' di 256 Mb di RAM

|(se necessario), un gateway linux fara' sentire le sue pecche con qualche
|decina di megabit/secondo e forse piu', per cui tutto sara' fuorche' un
|collo di bottiglia.
|
|Tirando le somme, la risposta alla domanda "E' meglio cisco o linux ?" e',
|come spesso cisco spesso dice, "It depends..." ;-)

Credo che Linux, nel mio caso sia una buona soluzione e con le tue osservazioni posso forse 
meglio argomentare......


|BUon lavoro, Fabrizio

Tnks


Ciao
s.t.
-----------------
Mr. Ballmer says that Linux is Communist!
Communism means that the government owns everything.....
Which government owns Linux Mr. Ballmer?