发个网络图，探讨一下~~

夜游神

原帖由 lingyang 于 2011-5-11 22:41 发表
LZ的网络流量肯定不小, 如果FW/Router/IPS 3合一的话可能会影响网络的性能.  

据我们测ASA5585-x除了有高性能与节省空间（只有2U高度）与能源（最大功耗只有370W, SRX5600最大功耗：2800 W)外. 其低延时也是是一大亮点. ASA ...

在这个部署里所有的防火墙都是J的SRX~~~不过果真便宜没好货，Junos的bug超多；
最近的一个version 10的某个版本，会因为MGCP traffic而引发系统崩溃；弄出一个Major Incident来，弄得大家都没有网上~
不过JTAC效率算是高的，没多久给搞定了~~~~

gogogol

原帖由 夜游神 于 2011-5-12 07:28 发表


在这个部署里所有的防火墙都是J的SRX~~~不过果真便宜没好货，Junos的bug超多；
最近的一个version 10的某个版本，会因为MGCP traffic而引发系统崩溃；弄出一个Major Incident来，弄得大家都没有网上~
不过JTAC效率算是高的，没多久给搞定了~~~~

目前SRX的Bug的确不少，新产品不成熟。SSG 或者 ISG系列就稳定很多。不是便宜没好货，ASA不便宜，BUG也是一大堆。

lingyang

原帖由 gogogol 于 2011-5-12 09:51 发表


目前SRX的Bug的确不少，新产品不成熟。SSG 或者 ISG系列就稳定很多。不是便宜没好货，ASA不便宜，BUG也是一大堆。

ASA的bug主要是因为提供太多的feature了,这个问题也体现在很多其他的产品线上. 有些feature可能一辈子用一会,

有个流传的话说cisco的bug is manageable, juniper的bug 很难manage. 不知各位在部署的时候有没有真实的体会. 还是说我们account team自己娱乐自己而已, 呵呵

lingyang

LZ的IPS集成弄的怎么样了?

superblue

夜游你们公司用UCS 吗？

夜游神

一个DMZ计划上，不过有些反对的声音说什么，用VMWare组建的虚拟集群，不是the best practise for buliding DMZ,说什么有安全风险~~~~

我对这个不是涉水很深，但我是支持者，可是因为心里没有什么底，也不敢太强势~~

superblue

为什么不是best practice？ DMZ无非就是一帮server，VMware绝对是潮流，server坏了可以VMotion，资源分配DRS，晚上还可以把不用的VM vMotion走省电，如果用Nexus1000v，那么基本上NX－OS上有的security feature都可以有。

idog8818

道行不够,看不懂..

白菜没给钱

看图这个网络比较集中化，应该算是个大的分支甚至HQ，看了你的附言，这好几条MPLS/VPN接入而且做eBGP的设备都列在Access区域，看了有点晕。夜游你是不是把BGP的拓扑和自治系统画几个圈出来？