Одна сетевая карта - возможно ли ?
-
Т.е. LAN и WAN на одной физической карте без vlan'ов?
Взлетит то он взлетит, но… по мне так нонсенс, зачем вообще тогда firewall?Да , именно так, без ВЛАНов и на одной(!) физической сетевой. Мы-то pf не будем говорить, что она одна, а ;)? А так он считает, что у него столько интерфейсов, сколько мы ему "даем". И самое главное, это РАБОТАЕТ! Все остальное - не важно. А на счет второго, я описал конкретно свой случай и решил, с помощью сообщества и конкретных личностей (за что им низкий поклон) , поставленную задачу.
P.s. На гипервизоре XenServer,установленном Вашим покорным слугой, работает уже далеко ни одна серъёзная государственная контора и пара троек крупных коммерческих организаций. Второй год.
P.s.s Извините за оффтоп, вот две ссылки по поводу лицензирования ПО M$ в виртуальных средах - http://www.vmgu.ru/articles/windows-server-sql-licensing-virtulization и http://blogs.technet.com/b/vm/archive/2008/05/04/vm-licensing-introduction.aspx . И ссылка на один интересный документ - http://download.microsoft.com/documents/rus/licensing/licenzirovanie_servernih_produktovmicrosoft_pri_ispolzovanii_v_virtualnoy_srede.docx . Там на 10-й странице очень доходчиво написано как и сколько можно запускать экземпляров ОС в виртуальных средах и , самое главное, потом самому посчитать, во сколько раз это экономнее и в железе и в приобретение лицензий на устанавливаемые ОС. Таким способом сэкономил очень много "тэньге" для подшевных организаций.За сим разрешите откланяться. Еще раз извиняюсь за оффтоп ;D
-
Всё это классно за исключением одного - большая дырка в безопасности (безотносительно виртуализации).
-
Для госкомпании покупка железного firewall является непозволительной роскошью. Гораздо эффективнее поставить в виртуалку фаерволл, ведь тогда можно будет сказать что у нас типа защищенная сеть и мы жутко экономим.
И про такие штуки мы ничего не знаем.
-
Для госкомпании покупка железного firewall является непозволительной роскошью. Гораздо эффективнее поставить в виртуалку фаерволл, ведь тогда можно будет сказать что у нас типа защищенная сеть и мы жутко экономим.
И про такие штуки мы ничего не знаем.
Не в тему сарказм-то. Мы то знаем. Только вот денег подкиньте на это. Как-то не охота на свои покупать, а с "выбиванием" я еще в конце 90-х завязал ;D
-
300р стоит
-
В общем случае пофиг. Тут Вы правы, если знаете поведение конкретного "железа" при обработке нетегированного трафика на тегированном порту. Замените Allied Telesys на Cisco и ситуация измениться.
Если Вы не являетесь заложником ситуации, например, провайдер дает интернет нетегированным, а трафик IPTV в определенном VLAN, зачем создавать неоднозначности :)
У меня как раз такой вариант с Telesys не прокатил. Толи в этом виноваты мои кривые руки, толи то что свич был из восстановленных …...кхм.. пожалуй пересмотрю свое мнение.. действительно, использование untagged default vlan наряду с tagged vlans на одном порту - зло.. ушел все переделывать.. хотя default vlan != vlan all (4095), порой выглядит все именно так(( в частности на telesys в логах pfsense можно видеть траляля is on em0 but got reply from vlan1 (при этом все работает, но ведь некоторый перфекционизм нам не чужд?)
основное объяснение - неизвестно что накручено на default vlan в конкретной реализации свитча(( -
Поймите меня правильно - я не против виртуализации, во многих случаях она может сохранить кучу денег. Но:
- хост виртуальных машин с одной сетевой, подключенной к свичу, который не понимает vlan
и - хост с хотя бы двумя сетевыми, подключенными к разным свичам (тупым) (то же самое есть одна сетевая с умным свичом)
- это очень большая разница. И дело не в государственности контор.
- хост виртуальных машин с одной сетевой, подключенной к свичу, который не понимает vlan
-
я не против виртуализации, во многих случаях она может сохранить кучу денег.
Off: Это еще и очень гибкое решение. Просто не представляю тот кавардак из свитчей, проводов и серверов, который пришлось бы накрутить в моей тесной серверной, если бы не она)) В остальном подерживаю. Решение выбранное ТС - полумера. Все равно все подсети, насколько я понял, находятся в одном broadcast domain. И ничего не стоит получить доступ в другую подсеть с клиентской машины, просто прописав дополнительный IP на интефейсе. Не секъюрно это.
-
Так наше начальстов не увидит кавардак в сети, а вот кавардак видимый еще как. Сделать все красиво не умеем.
-
Так наше начальстов не увидит кавардак в сети, а вот кавардак видимый еще как. Сделать все красиво не умеем.
Off: В моем случае это только если я слишком много "бычков" в серверной по полу раскидаю)) Барьба с курением идет. Типа, кто кого заборет. Как там провода висят и где какие лампочки мигают - никто старается на вдаваться от греха. Для себя только стараюсь)) Все подвязано и прострочено. Иначе это оскорбляло бы мое эстетическое чувство, а я так не могу((
