разделение портов на ВАН ЛАН и ДМЗ происходит условно же? »
А фиг его знает. Говорю же - прочти UserGude выбранного устройства.

Вот у ZyWall 1050 явно заявлено что все порты настраиваемые.

Что касаемо а значит, zywall не подходит по кол-ву портов. »
У них у всех 4 порта третьего уровня:
- WAN 1
- WAN 2
- DMZ
- LAN

а то что в LAN часть 7-портовый свич встроен, так с этого какая тебе корысть?

Хошь d-link?
Бери DFL-1600 = 6 настраиваемых портов - как хошь - так и извращайся.

мда-а, затянулся наш разговор, я явно чего-то недопонимаю. мне уже неловко...

1.если явно указано всего 2 ВАН порта, это значит он один, но встроен 2-х портовый свич? или это 2 отдельных независимых порта, у которых свои настройки?

а то что в LAN часть 7-портовый свич встроен, так с этого какая тебе корысть »
балансировка нагрузки :) а если всего 1 порт, и к нему идет свич, то такого не сделаешь

2.Вощем, если к нам идут 4 разные сети (кроме нашей ЛВС), и мне надо закрыть для них все порты кроме разрешенных, мне надо
а) либо для каждого соединения, один Ethernet интерфейс;
б) либо 1 интерфейс на firewall, и разбить его внешним свичом и использовать сабинтерфейсы(VLAN), при этом firewall должен поддерживать сабинтерфейсы(VLAN'ы). я все правильно понимаю? если да, то какой порт использовать в данном случае: DMZ или LAN?

если явно указано всего 2 ВАН порта, это значит он один, но встроен 2-х портовый свич? или это 2 отдельных независимых порта, у которых свои настройки? »
Нет.
WAN порты являются интерфейсами третьего уровня, т.е. каждый может обладать своим IP

LAN порты являются одним интерфейсом третьего уровня.
Т.е возьми маршрутизатор, подключи его интерфейс к 8-портовому свичу и будет, то же самое что тебе и предлагают.

балансировка нагрузки »
Причем тут балансировка нагрузки?

Балансировка нагрузки выполняется маршрутизатором, уже после того как пакеты проникли внутрь через LAN-интерфейс и скорость работы маршрутизатора обычно меньше скорости работы порта коммутатора.
Т. е. если ты надеешься получить суммарную полосу в 700 мбит, то ".. Ах! Оставь свои девичьи фантазии, Сидорова!"

ибо 1 интерфейс на firewall, и разбить его внешним свичом и использовать сабинтерфейсы(VLAN), при этом firewall должен поддерживать сабинтерфейсы(VLAN'ы). я все правильно понимаю? если да, то какой порт использовать в данном случае: DMZ или LAN? »

Да правильно. Но можно просто присвоить Wan порту два IP адреса. Wan трафик, то у тебя не сравним с LAN, и маршрутизатор с ним явно справится.

--------------------------------
Еще раз повторяю. У тебя ничего не ясно. Бери железяку у которой все порты конфигурируются .т.е. захочешь 3 WAN порта сделаешь, захочешь 3 DMZ.

Если же тебе импонируют маленькие железки, то бери их хотя бы две, дабы в случае чего было из чего фантазии реализовывать

LAN порты являются одним интерфейсом третьего уровня »
поэтому тут балансировка не будет работать. я то думал, что каждый ЛАН порт третьего уровня... ну здесь все ясно

У тебя ничего не ясно »
у меня все ясно:
требуеются 1 ЛАН порт, 2 ВАН порта + 4 порта для удаленных точек. у меня пока не укладывается в какие порты я засуну эти 4 линка от удаленных точек. в принципе там скорости не более 2 мбит/сек (adsl), а значит, если я дам двум ВАН интерфейсам по 2 адреса, то производительности должно хватит. или можно в четыре разных, но в ДМЗ. тогда значит мне надо найти что-б все порты настраивались, чтобы сделать 4 ДМЗ порта

Бери железяку у которой все порты конфигурируются »
если скажем у устройства всего 8 портов и все настраиваются, получается у него 8 независимых интерфейсов 3-го уровня. т.е. я могу настроить 2 ВАН, 4 ДМЗ и скажем 2 ЛАН порта. Тогда у меня на ЛАН и балансировка будет работать...

если скажем у устройства всего 8 портов и все настраиваются, получается у него 8 независимых интерфейсов 3-го уровня. т.е. я могу настроить 2 ВАН, 4 ДМЗ и скажем 2 ЛАН порта. Тогда у меня на ЛАН и балансировка будет работать... »

Да, именно.

Правда непонятно чего-ты будешь рассовывать в 4 ДМЗ зоны. Если индивидуальный порт для каждого филиала, то это жирно.

Тем более у тебя же все адреса удаленных офисов, и портов Главного офиса находятся у одного оператора и одной сети (199.168.11.0/24), так?

у одного оператора и одной сети (199.168.11.0/24) »
не совсем.
всего 3 оператора:
каждый дал по 1 dsl модему:
1-модем: 10.30.48.0/24
2-модем: 199.168.11.0/24
10.1.2.2/30
3-модем: 199.169.11.0/24

итого 4 ip адреса на удаленные пункты.


интересно, какое ограничение для 1 порта 3-го уровня по назначению разных ip адресов: 5, 10... сколько можно дать одновременно?

сколько можно дать одновременно? »
читайте мат-часть конкретног офаервола.

В win по-моему 3, в cisco - пока не опухнешь.

kim-aa
ясно!
ну и последнее что меня беспокоит:
как часто ломаются эти железяки? стоит ли держать замену, именно такой конфигурации, именно этого устройства?

вот у нас стоит маршрутизатор cisco 1700, так он уже скока лет работает на "+5" его даже не трогают. часто ли сгорают, ломаются, выходят из строя и т.д. аппаратные межсетевые экраны.
(вопрос насчет перебоев с электричеством - сразу отсеивается, все идет через UPS)

rivera,

Зависит от фирмы, естественно.
cisco это пожизненно
HP тоже хорошо, устаревает раньше чем сломается
Alied Telesyn на четверку, т.е. лет пять-шесть оборудованеи работает без проблем.
Zyxel - практически не горит, глючить - глючит иногда, а ломается редко.

Что же касаемо D-Link....
Крупнее 24 портового Гигабитного свича я не эксплуатировал и сказать ничего не могу.
Дешевое оборудование D-Link работает ровно гарантийный срок и один день, не знаю как они этого добиваются.


Но резервную конфигурацию, хотя бы компутер с 6 сетевыми платами держать надо в любом случае

что-ж спасибо!
далее - только смотреть конкретные экземпляры аппаратных межсетевых экранов, под нужды определенной сети.
:)
будем стараться
еще раз спасибо