Nowal Я не великий специалист в CISCO но по моему её программное обеспечение и составляет UNIX подобная ось.

Nowal
Главный приоритет это защита от внешних угроз.
Что вы собрались защищать от внешних угроз? Если у вас есть ресурсы (сервера, службы) которые вы собираетесь выставлять наружу, то это одно.
Если же у вас просто куча пользователей будет тупо лазат ьв интернет это другое.
От закачки троянов фаерволы не помогают.

насколько он там удачно реализован
Приведите пример, с Вашей точки зрения, удачно реализованного фаервола и тогда я смогу ответить.
Кому-то и XP-шный фаервол счастье. а кого-то и firewall-1 не устраивает.
Какие функции по Вашему должен реализовать фаервол?

Вот вам, почитайте http://www.cisco.com/global/RU/news/releases/0716.shtml , как раз на одной странице описываетсяи ASA и IOS

Ment69
Ну она конечно Unix-подобна, только UNIX этот от силы семидесятых годов. (это по системе команд).
По архитектуре она больше походит на Windows 3.11

Кстати при покупке CISCO очень рекомендую смотреть что содержит прошивка, а именно содержит она firewall, а то ведь прошивки к каждой модели свои и стоят денег!

Что вы собрались защищать от внешних угроз?

Базу sql 1с, траффик через https, доступ к машинам локальной сети. Вот то что нужно защитить. Потому как высока вероятность что будут попытки взломать сервер(получить доступ к базам к документообороту) либо вывести его из строя. Планируется сильно ограничить доступ в интернет с целью уменьшить вероятность получения троянов. Доступ будет только к определённым доменам. А вот с оборудованием ни как определиться не можем. Нужен нам сетевой экран, маршрутизатор как отдельные устройства или можно взять сплит систему.

Nowal
1) пока вы не определитесь с архитектурой и топологией системы которую Вы хотите построить - с оборудованием Вы не определитесь тем паче.
2) Рисуйте схему подключения серверов, рабочих станций.
3) Базу sql 1с
Что вы имели в виду?
- Порты MS SQL?
- SMB порты?
- RDP/ICA порты?
- вобще стоит задача доступа к базе извне? Или такой задачи нет?
- https? какое приложение будет работать по данному протоколу? Оно должно быть доступно извне?
- вобще перечислите сервисы и машины которые должны быть доступны извне.
- 1С - какая версия? 7.7 или 8.0?
4) Ваша задача является задачей сегментации сети по уровням безопасности/производительности
для нее у нас существует отдельная ветка http://forum.oszone.net/thread-69237.html
Ознакомтесь. Может что-либо Вам пригодится.

Схема построения сети в приложении.

К Серверу SERVER 1C+SQL хотелось что бы вообще доступа с интернета не было. С 1С будут работать только пользователи локальной сети.
А вот на HTTPS сервер будет лазить много народу с глобальной сети закидывать через него на компьютер USER1 данные которые он будет перенаправлять на SERVER 1c+SQL. Все остальные компьютеры должны работать в интернете по определённым адресам, тоесть полного доступа не будет.
Небольшой вопрос: Коммутатор может являться роутером или обязательно необходимо выделять отдельную машину?

Коммутатор может являться роутером
Коммутатор 3-го уровня (http://wiki.oszone.net/index.php/Коммутация_третьего_уровня_(Layer_3_Switch)) (и выше) eстественно подерживает маршрутизацию.

Встроенные фаерволы там весьма простые (ACL - фильтрующие).
Типов Интерфесов не много однако все это окупается скоростью.

Маршрутизаторы - это полная противоположность вышеописанному.
Богатая функциональность и небольшие скорости.
http://wiki.oszone.net/index.php/Маршрутизатор

Схемку вы нарисовали не правильно. По ней выходит что HTTPS имеет свой собственный доступ в интернет минуя маршрутизатор.

Мои рекомендации:
- Подбор оборудования - как в этой теме http://forum.oszone.net/thread-79670.html
- Все на Cisco целиком вы не потянете - не уложитесь в бюджет.
- HTTPS сервер должен располагаться в отдельном сегменте или между интернет-фаерволом и основным фаерволом.
- При таких требованиях к защищенности 1С-сервер должен жить так же в отдельном сегменте, т. е. должна быть возможность отфильтровать любой трафик направленный к нему, в том числе и от локальных машин.
- Так же должен быть изолирован прокси-сервер.
- Роль основного фаервола должен играть или коммутатор 3-го уровня или устройство типа
http://zyxel.ru/content/catalogue/7/23/368

- Роль интернет-шлюза устройство типа http://zyxel.ru/content/catalogue/7/23/245/
оно уже обладает аппаратной возможностью резервирования интернет-каналов.

- Общая архитектура будет состоять из 3х сегментов:
-- LAN (Сервера общего назначения + станции)
-- 1С
-- HTTPS, PROXY, MAIL

(В принципе можно вообще все построить на одном таком устройстве (Zywall 1050) - числа выводов как раз пять - 2xWAN + 1С+https+LAN
однако если оно сдохнет, вам нечем будет востановить сеть, в случае же наличия 2х железяк можно как-нибудь перекантоваться на время ремонта)

- Рисовать у меня нет времени, но если Вы потерпите, я попытаюсь чего-либо изобразить в понедельник.

Да уже наверное 2500$ не потолок можно и больше главное что бы надежность была высокой. А HTTPS SERVER на схеме просто как машина на которой развёрнут WEB узел с которым будут работать клиенты нашей компании. Время пока не поджимает буду рад любой помощи.

А нельзя ли попонятнее про Коммутацию третьего уровня (Layer 3 Switch). Т.е. с Коммутирующими маршрутизаторами (switching routers) всё ясно, а вот с Маршрутизирующими коммутаторами (routing switches) - ?. Если несложно очень хочется получить 'ликбез'.

sergey1234567
Это очень долгая "бодяга". Основные отличия указаны в ссылке которую я привел.
Более подробно можно прочесть например в "Принципы коммутации в локальных сетях Cisco" Кеннеди Кларк, Кевин Гамильтон.
Данную книгу можно нарыть в электронном виде в инете.
Если хотите я могу выслать Вамм почтой.

Что касается практики, то эпоха "чистых" маршрутизирующих коммутаторов в ethernet ушла (Бесспорно в АTM или SDH вы их встретите.).
(Наиболее типичными представителями что я знаю были cisco Catalyst 4000, 5000)
Почти все имеющиеся коммутаторы 3-го уровня поддерживают протоколы маршрутизации.
Т. е. даже если с точки зрения структуры он является Маршрутизирующим коммутатором, то к нему внутри прикручен маршрутизатор.
А что там внутри - бог его знает, можно только догадываться.

Я думаю что указанная классификация уже в чистом виде не встречается и используется для моделирования мли расчета схем ЛВС.
На практике можно считать наличие устройства 2х типов (режимов работы):
- если у устройства по умолчанию режим работы 3-го уровня - это маршрутизатор (коммутирующий или нет это уже не важно)
- если устройство по умолчанию имеет режим работы как коммутатор 2-го уровня, но вы можете включить интерфейсы или VLAN с адресацией 3-го ( cisco Catalyst 35xx, 36xx, 37xx) - то скорее всего основой устройства является маршрутизирующий коммутатор (хотя во включенном режиме 3-го уровня данные устройства поддерживают протоколы маршрутизации ,т.е ведут себя как Коммутирующие маршрутизаторы).

Nowal
Вот ваш проектик.


чего-то странное, вот еще

Купили оборудование Router Cisco 1811, FireWall ASA5505 и Switch Cisco 2960 теперь вопрос новичка кто ни разу не имел опыта общения с Cisco. Как Cisco 1811 подключить к компьютеру что бы начать конфигурировать. Прочитал что можно посредством плат WAN, сетевыми модулями NMs или AIM. А без этого ни как. Сейчас в наличии имеется только Cisco 1811, кабель RG-45->COM ну и компьютер. С таким набором у меня получиться что то сделать или нет? Если да то как?

Подскажите пожалусто основные отличия интерфейсов Ethernet и Vlan и для чего применяется Vlan?

sergey1234567

VLAN, это по сути группа интерфейсов. Применялось в коммутаторах. Основано на средствах канального уровня к разделению трафика.
Вот прочтите http://wiki.oszone.net/index.php/Коммутатор

Я к чему задал этот вопрос - у нас стоит cisco2811 в два интерфейса воткнуты 10.75.20.0 255.255.255.0 и 10.75.1.0 255.255.255.0 также в cisco воткнуты две дополнительные сетевые карты на 4 разьёма каждая к одной из сетевых карт подклёчено ещё две сети 10.75.18.0 255.255.255.0 и 10.75.19.0 255.255.255.0 так вот я просматриая конфигурацию (не я её конфигурировал) я обнаружил два интерфейса VLAN1 и VLAN2. VLAN1 провязан к интерфейсу Ethernet c адресом 10.75.19.1 а VLAN2 к 10.75.18.16 (т.е. кразьёмам одной из дополнительных сетевых карточек). Так вот я хотел спросить можноли обойтись без этих VLAN - ов бо они меня очень запутывают? И ещё такой вопрос - переодически гдето раз в неделю в интерфейсы седящие не сёмной сетевой карте слетают первый раз они какимто образом попали в down а второй раз вобще непойму вроде все интерфейсы UP а 10.75.19.1 и 10.75.18.16 не пингуются не снутри не снаружи, всё удалил по новому сконфигурировал всё заработало, подскажите где копать?

Здравствуйте. Имеется Cisco 1605 r. Два Интерфейса: 10base t & ethernet 1 10 base t. Нужно подключиться к нему для настройки, перечитал кучу информации, все ясно, не ясно только как к нему подключиться? ( я только учусь). Там также есть db-9, но на него нет шнура. Подключаться к консоли по обычной витой паре (комп-хаб)? Комп не видит никаких подключений, знаю ip этого роутера, не пингуется и не заходится.... Помогите, что делать?

Maf1a
подключение осуществляется специальным кабельком. Стандартным, по крайней мере он подходит для оборудования Sun и Cisco.
Существует в двух вариантах исполнения:
старый - кабель+переходник = Обыкновенный кабель RJ45 + переходник DB9-мама<->RJ-45 гнездо
новый - единый кабель = RJ45 <-> DB9 мама
Кабель обычно голубого цвета.
RJ-45 гнездо, на cisco, должно быть то же голубого цвета и иметь маркировку console

С точки зрения логики это обыкновенный нуль-модемный кабель для RS-232C.
подключаете к COM-порту и по Гипертерминалу работаетете.

Я, конечно не знаю какую кучу вы перерыли, но распайка дается в любом Hardware Installation Gude

Вот она:

RJ45----DB9-----Console Device (PC)
1--------8---------CTS
2--------6---------DSR
3--------2---------RxD
4--------5---------GND
5--------5---------GND
6--------3---------TxD
7--------4---------DTR
8--------7---------RTS

Кабель rj45\db-9 нашел. Подключил в консольный порт. Пробую установить подключение через HyperTerminal, выдает вот что:

*Mar 1 00:36:56.342: %QUICC_ETHER-1-LOSTCARR: Unit 0, lost carrier. Transceiver
problem?

Через командную строку командой telnet тоже не удается подключиться, независимо от указываемых портов.

Маршрутизатор по идее был настроен ранее не мною...

Help noob pls...

стандартные настройки консоли по умолчанию:
9600 baud
8 data bits
1 stop bits
No parity
None (flow control)


Если непойдет, попробуйте менять настройки скорости в сторону увеличения.
В некоторых случаях( если аварийно обновляли IOS через XModem) скорость консоли задирается до максимума 115 с чем-то по моему.

Абалдеть, все наконец то заработало! :tease: