---

Jeg har fire servere der skal ud og stå i et hostingcenter.

Det er mail-, web-, og fjernbackupservere.

Trafikmængden er ca. 10GB i døgnet, jævnt fordelt.

Der er ikke behov for DMZ, idet der kun er de nævnte servere bag firewallen.

Mine overvejelser går nu på om en PIX501 vil klare opgaven eller måske en
506E kan det, begge er jo væsentligt billigere end de 515E vi har stående på
et par lokationer i dag.

Er der nogen der har erfaringer med ovenstående?

/Brian

---

On Wed, 4 Jan 2006 16:22:46 +0100, "Brian R. Jensen" <news@dueslag.dk>
wrote:

> Trafikmængden er ca. 10GB i døgnet, jævnt fordelt.

Det er meget, meget atypisk. Det er stort set altid med væsentlig
variation over døgnet.

> Mine overvejelser går nu på om en PIX501 vil klare opgaven eller
> måske en 506E kan det, begge er jo væsentligt billigere end de
> 515E vi har stående på et par lokationer i dag.

Det interessante er, hvor meget trafik, der er i peak -- og både
båndbredden og antallet af sessioner kan være dimensionerende. Både
501 og 506 lyder for småt til applikationer, man kunne finde på at
sætte i et hosting-center.

I stedet for PIX-515 bør du se på ASA5510, der er både bedre,
hurtigere og billigere end PIX'en.

> Er der nogen der har erfaringer med ovenstående?

Har du en idé om antal samtidige sessioner og peak båndbredde?

-A

---

"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> skrev i en meddelelse
news:3d4or1pafvg0rbuam4q6nb5vbevebptb4o@4ax.com...
> Det er meget, meget atypisk. Det er stort set altid med væsentlig
> variation over døgnet.

Korrekt, jeg simplificerede det lidt for meget.

Jeg har et test-setup kørende på en 2.3 Mbit SHDSL, og den største mængde er
helt klart om natten hvor fjernbackuppen kører.

> Det interessante er, hvor meget trafik, der er i peak -- og både
> båndbredden og antallet af sessioner kan være dimensionerende. Både

I test fyldes de 2.3 Mbit næsten op (ca. 2.1 Mbit unøjagtigt målt) i tre
timer med indgående trafik om natten. Primært ftp, idet fjernbackup pt.
foregår med ftp-overførsler. Ahsay er inde i billedet til brug i
produktionen, jeg ved ikke hvordan den kommunikere eller om det er relevant.

Trafikken til backup forventes at blive ca. 10 gange større i produktion.

> I stedet for PIX-515 bør du se på ASA5510, der er både bedre,
> hurtigere og billigere end PIX'en.

Hvordan positioneres de? I de prislister jeg har adgang til, starter ASA5510
lige over PIX515 rent prismæssigt.

> Har du en idé om antal samtidige sessioner og peak båndbredde?

Samtidige sessioner - nej.

Peak båndbredde er om natten og forventes at blive max. 20 Mbit, men vi vil
forsøge at jævne trafikken mere ud end over de tre timer den er i testen.

Den øvrige trafik er primært fra 8.00 til 16.00 og er en blanding af http,
smtp, imap m.m.

/Brian

---

On Wed, 4 Jan 2006 21:27:41 +0100, "Brian R. Jensen" <news@dueslag.dk>
wrote:

>> I stedet for PIX-515 bør du se på ASA5510, der er både bedre,
>> hurtigere og billigere end PIX'en.

> Hvordan positioneres de?

ASA er simpelthen afløseren for PIX-515E og PIX-525. (Der er derimod
ikke en naturlig ASA-afløser for de små PIX'er eller PIX-535, endnu).

> I de prislister jeg har adgang til, starter ASA5510 lige over PIX515
> rent prismæssigt.

Listepriser:
PIX-515E-R-BUN = $3,495
ASA5510-BUN-K9 = $3,495

Hvis det skal være redundant, bliver ASA billigere.


Det burde i øvrigt også i et hosting-center tælle en del, at udstyret
kan rack-monteres.

-A

---

Asbjorn Hojmark wrote:
> On Wed, 4 Jan 2006 21:27:41 +0100, "Brian R. Jensen" <news@dueslag.dk>
> wrote:
>
> Listepriser:
> PIX-515E-R-BUN = $3,495
> ASA5510-BUN-K9 = $3,495
>

Hvis man skal have en lan og en dmz zone, kan den så stadig bruges eller
er det en anden option man skal have fat i ?

--
Svend

---

On Thu, 05 Jan 2006 09:44:03 +0100, Svend <2@lazy.dk> wrote:

>> ASA5510-BUN-K9 = $3,495

> Hvis man skal have en lan og en dmz zone, kan den så stadig bruges eller
> er det en anden option man skal have fat i ?

En 5510 har tre interfaces fra fødslen, så den kan stadig bruges.

-A

---

Asbjorn Hojmark wrote:
> On Thu, 05 Jan 2006 09:44:03 +0100, Svend <2@lazy.dk> wrote:
>
>>> ASA5510-BUN-K9 = $3,495
>
>> Hvis man skal have en lan og en dmz zone, kan den så stadig bruges eller
>> er det en anden option man skal have fat i ?
>
> En 5510 har tre interfaces fra fødslen, så den kan stadig bruges.
>
> -A

Er ASA5510-SEC-BUN-K9 god nok til en 100 mbit forbindelse, eller skal
man have en med mere headroom ? Jeg ved ikke hvordan man skal læse deres
througput specs, er det klartekst uden regler i firewallen eller hvad ?

--
Svend

---

On Thu, 05 Jan 2006 14:35:28 +0100, Svend <2@lazy.dk> wrote:

>>>> ASA5510-BUN-K9 = $3,495

> Er ASA5510-SEC-BUN-K9 god nok til en 100 mbit forbindelse, eller skal
> man have en med mere headroom ?

Ja. Nej.

Forskellen på ASA5510-BUN-K9 og ASA5510-SEC-BUN-K9 er primært at
sidstnævnte kan køre failover, men derudover er der lidt forskelle på
antal VPN peers og samtidige sessioner. Du kan se mere i data sheet på
www.cisco.com/go/asa

> Jeg ved ikke hvordan man skal læse deres througput specs, er det
> klartekst uden regler i firewallen eller hvad ?

Throughput specs for firewalls er typisk opgivet som en enkelt strøm
af store UDP-pakker i én retning, uden NAT, regler, VPN eller
lignende, og uanset om det er Cisco, Juniper, Nokia eller andre der
opgiver det.

Der er forskel på, hvor hårdt forskellige platforme rammes af, når man
så tænder for features (NAT, regler, etc), så faktisk performance er
som altid 'it depends'.

En ASA5510 kan dog lave 300 Mbps firewalling, 170 Mbps IPSec, 150 Mbps
'threat mitigation' (firewall + anti-x) og burde ikke få problemer med
100 Mbps trafik.

Men hvis man faktisk har 100 Mbps ægte trafik, at sende gennem en
firewall, så er prisen på firewall'en selv formentlig ikke noget stort
problem. (Prisen for linier, servere, vedligehold, drift etc. vil være
langt, langt højere).

-A

---

Asbjorn Hojmark wrote:
> On Thu, 05 Jan 2006 14:35:28 +0100, Svend <2@lazy.dk> wrote:
>
>
> www.cisco.com/go/asa

Spændende læsning, især
<http://www.cisco.com/application/pdf/en/us/guest/products/ps6120/c1244/cdccont_0900aecd80350d4e.pdf>
virker overbevisende, men det er vel også meningen.

> Throughput specs for firewalls er typisk opgivet som en enkelt strøm
> af store UDP-pakker i én retning, uden NAT, regler, VPN eller
> lignende, og uanset om det er Cisco, Juniper, Nokia eller andre der
> opgiver det.
>
> Der er forskel på, hvor hårdt forskellige platforme rammes af, når man
> så tænder for features (NAT, regler, etc), så faktisk performance er
> som altid 'it depends'.

Jep, det er forstået.

>
> En ASA5510 kan dog lave 300 Mbps firewalling, 170 Mbps IPSec, 150 Mbps
> 'threat mitigation' (firewall + anti-x) og burde ikke få problemer med
> 100 Mbps trafik.
>

Ved du om deres threat mitigation også understøtter smtp ? (diverse
attachments osv.)

> Men hvis man faktisk har 100 Mbps ægte trafik, at sende gennem en
> firewall, så er prisen på firewall'en selv formentlig ikke noget stort
> problem. (Prisen for linier, servere, vedligehold, drift etc. vil være
> langt, langt højere).

For os er det en luksus i vores arbejde, vi har faktisk ikke noget i
produktion der kan suge den båndbredde.

>
> -A

--
Svend

---

On Fri, 06 Jan 2006 11:02:48 +0100, Svend Erik Høst <2@lazy.dk> wrote:

>> www.cisco.com/go/asa

> Spændende læsning, især
> <http://www.cisco.com/application/pdf/en/us/guest/products/ps6120/c1244/cdccont_0900aecd80350d4e.pdf>
> virker overbevisende, men det er vel også meningen.

Altså, nu kan man jo designe en test på mange måder, og man skal ikke
lægge alt for meget i de der 'leverandør-udafhængige' tests, der er
bestilt af leverandørerne. Der fuskes selvfølgelig ikke med tallene,
men man kunne nok have fundet på andre test-scenarier, der ville vise
et andet billede.

Når det er sagt, synes jeg nu også, Cisco ASA er en furnuftig box, og
min vurdering er, at lige nu er et skridt foran. (Indtil den næste box
fra Juniper eller Nokia/Check Point kommer og så måske er foran et
stykke tid).

En mulig caveat er, at softwaren er ret ny, reelt release 1.0, omend
den naturligvis bygger på noget andet.

>> En ASA5510 kan dog lave 300 Mbps firewalling, 170 Mbps IPSec, 150 Mbps
>> 'threat mitigation' (firewall + anti-x) og burde ikke få problemer med
>> 100 Mbps trafik.

> Ved du om deres threat mitigation også understøtter smtp ? (diverse
> attachments osv.)

AIP-SSM er (i dag) primært til IPS. ASA kan godt lave ESMTP inspection
på Lag 5 (altså forholde sig kritisk til ESMTP kommandoer), men det
har nu ikke noget med SSM-modulet at gøre, mens der muligvis ikke er
support for anti-virus / incident control delen (endnu). Se evt. under
www.cisco.com/go/ics

-A

---

Asbjorn Hojmark wrote:
> On Fri, 06 Jan 2006 11:02:48 +0100, Svend Erik Høst <2@lazy.dk> wrote:
>
>> Ved du om deres threat mitigation også understøtter smtp ? (diverse
>> attachments osv.)
>
> AIP-SSM er (i dag) primært til IPS. ASA kan godt lave ESMTP inspection
> på Lag 5 (altså forholde sig kritisk til ESMTP kommandoer), men det
> har nu ikke noget med SSM-modulet at gøre, mens der muligvis ikke er
> support for anti-virus / incident control delen (endnu). Se evt. under
> www.cisco.com/go/ics
>
> -A

Jeg går udfra at man så også skal have deres ics server og at asa5510
ikke kan stå alene hvis man vil have den yderligere IPS beskyttelse ?

--
Svend

---

On Fri, 06 Jan 2006 11:02:48 +0100, Svend Erik Høst <2@lazy.dk> wrote:

> Ved du om deres threat mitigation også understøtter smtp ? (diverse
> attachments osv.)

Der er i dag annonceret lidt nyheder på anti-X området:
http://newsroom.cisco.com/dlls/2006/prod_021306b.html?sid=BAC-NewsWire

-A

---

Asbjorn Hojmark wrote:
> On Fri, 06 Jan 2006 11:02:48 +0100, Svend Erik Høst <2@lazy.dk> wrote:
>
>> Ved du om deres threat mitigation også understøtter smtp ? (diverse
>> attachments osv.)
>
> Der er i dag annonceret lidt nyheder på anti-X området:
> http://newsroom.cisco.com/dlls/2006/prod_021306b.html?sid=BAC-NewsWire
>
> -A

Det ligner noget nu, og det ser ud til at deres anti-x kan køre uden
seperat server. Men jeg gad vide hvordan real life performance er. Jeg
ville dog gerne have haft et produkt med både idp og anti-x.

Det ser dog ud til at det er en omfattende liste af protokoller som den
scanner.

--
Svend

---

"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> skrev i en meddelelse
news:rmdpr19s5a4u3ag9187k08u0ag17hivaes@4ax.com...

> ASA er simpelthen afløseren for PIX-515E og PIX-525. (Der er derimod
> ikke en naturlig ASA-afløser for de små PIX'er eller PIX-535, endnu).

Tak for info

> Listepriser:
> PIX-515E-R-BUN = $3,495
> ASA5510-BUN-K9 = $3,495

Jeg ved egentlig ikke hvorfor jeg checkede, men du har (selvfølgelig) ret,
jeg må havde overset den PIX-variant.

> Hvis det skal være redundant, bliver ASA billigere.

Tak igen

> Det burde i øvrigt også i et hosting-center tælle en del, at udstyret
> kan rack-monteres.

Det gør det også, men jeg ville kunne leve med en hylde hvis der var mange
tusinde kr. at spare ;)

Tak for hjælpen.

/Brian

---

"Brian R. Jensen" <news@dueslag.dk> wrote in message
news:43bc2fa8$0$15790$14726298@news.sunsite.dk...
[...]
> Jeg har et test-setup kørende på en 2.3 Mbit SHDSL, og den største
> mængde er helt klart om natten hvor fjernbackuppen kører.
[...]
> I test fyldes de 2.3 Mbit næsten op (ca. 2.1 Mbit unøjagtigt målt) i tre
> timer med indgående trafik om natten. Primært ftp, idet fjernbackup pt.

3 timer (3*60*60) = 10800 sekunder
10800 * 2,1 Mbit = 22680 Mbit ialt overført
22680 / 8 = 2835 MByte
2835 - 10% overhead? = 2551 MByte

Dvs. I overfører ca. 2,5 GByte hver nat til backup... produceres der
virkelig så meget ny data hver dag i jeres virksomhed eller kunne I
overveje en anderledes backupstrategi?

/Jens Ulrik

---

"Jens U. K." <1jk2@3bsopatent4.dk> skrev i en meddelelse
news:0Fvwf.101$jI3.71@news.get2net.dk...

> Dvs. I overfører ca. 2,5 GByte hver nat til backup... produceres der

Ja

> virkelig så meget ny data hver dag i jeres virksomhed eller kunne I
> overveje en anderledes backupstrategi?

Nej, der er ikke tale om backup i almindelig forstand, ligesom der ikke er
tale om en enkelt virksomhed ;)

/Brian

---

"Brian R. Jensen" <news@dueslag.dk> wrote in message
news:43c35d59$0$15781$14726298@news.sunsite.dk...
> "Jens U. K." <1jk2@3bsopatent4.dk> skrev i en meddelelse
> news:0Fvwf.101$jI3.71@news.get2net.dk...
>
>> Dvs. I overfører ca. 2,5 GByte hver nat til backup... produceres der
>
> Ja
>
>> virkelig så meget ny data hver dag i jeres virksomhed eller kunne I
>> overveje en anderledes backupstrategi?
>
> Nej, der er ikke tale om backup i almindelig forstand, ligesom der ikke
> er tale om en enkelt virksomhed ;)

Godt så

/Jens Ulrik

---

"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> skrev i en meddelelse
news:3d4or1pafvg0rbuam4q6nb5vbevebptb4o@4ax.com...

> I stedet for PIX-515 bør du se på ASA5510, der er både bedre,
> hurtigere og billigere end PIX'en.

Det blev en ASA5510

Er der noget specielt man skal være obs på, udover hvad der kan hentes/læses
på www.cisco.com?

/Brian

---

"Brian R. Jensen" <news@dueslag.dk> wrote in message
news:43bbe831$0$15791$14726298@news.sunsite.dk...
> Jeg har fire servere der skal ud og stå i et hostingcenter.
>
> Det er mail-, web-, og fjernbackupservere.
>
> Trafikmængden er ca. 10GB i døgnet, jævnt fordelt.
>

> Er der nogen der har erfaringer med ovenstående?

En 506E er nok minimum. Sådan en har jeg kørende mangesteder.
Hvorstår link skal den tilsluttes ?

Jeg gætter, men din problemstilling er nok at en evt backup-job kan tage
meget båndbrede, så måske kan de andre applikationer lide nød herunder,
afhænig af model og båndbreden.

vh
Martin

---

"Martin Bilgrav" <bilgravCUTTHISOUT@image.dk> skrev i en meddelelse
news:oKVuf.3940$Cl2.98194@news000.worldonline.dk...

> En 506E er nok minimum. Sådan en har jeg kørende mangesteder.
> Hvorstår link skal den tilsluttes ?

Hvor den står eller hvor stor den er

Den er "stor nok", der er ført Gigabit ind i skabet, og fiber til DIXEN.

> Jeg gætter, men din problemstilling er nok at en evt backup-job kan tage
> meget båndbrede, så måske kan de andre applikationer lide nød herunder,
> afhænig af model og båndbreden.

Backup kører typisk om natten hvor de andre applikationer ligger næsten
døde, ellers har du helt ret i at det er fjernbackuppen der fylder på
båndet.

/Brian

---

"Brian R. Jensen" <news@dueslag.dk> wrote in message
news:43bc305c$0$15795$14726298@news.sunsite.dk...
> "Martin Bilgrav" <bilgravCUTTHISOUT@image.dk> skrev i en meddelelse
> news:oKVuf.3940$Cl2.98194@news000.worldonline.dk...
>
> > En 506E er nok minimum. Sådan en har jeg kørende mangesteder.
> > Hvorstår link skal den tilsluttes ?
>
> Hvor den står eller hvor stor den er
>
> Den er "stor nok", der er ført Gigabit ind i skabet, og fiber til DIXEN.
>

tyrk fejl igen ... darn
Efter hvad jeg læser i de andre tråde, så ville jeg vælge en failover
løsning, og tage springet til an ASA


> > Jeg gætter, men din problemstilling er nok at en evt backup-job kan tage
> > meget båndbrede, så måske kan de andre applikationer lide nød herunder,
> > afhænig af model og båndbreden.
>
> Backup kører typisk om natten hvor de andre applikationer ligger næsten
> døde, ellers har du helt ret i at det er fjernbackuppen der fylder på
> båndet.
>
> /Brian
>
>

---

"Martin Bilgrav" <bilgravCUTTHISOUT@image.dk> skrev i en meddelelse
news:GQbvf.3992$Cl2.98265@news000.worldonline.dk...

> Efter hvad jeg læser i de andre tråde, så ville jeg vælge en failover
> løsning, og tage springet til an ASA

Det trækker meget i den retning :)

Tak for inputs.

/Brian