مساعده لشراء فايروول سيسكو و راوتر فيه Load Balance

[ahmedrami]

يا أخى العزيز

لقد قلت لك سابقاً نحن اصحاب خبرة وتجربة فى ASA5550 و fortigate

ولو رجعت لبداية الوضوع تجد ان أخونا بسأل عن Load Balance وهذا بيت القصيد

سيسكو بدعم ال Active/Active ل (High Availability) فقط , أى تشغيل جهازين مع بعضهما البعض Two ASA وليس Two ISPs,ودا موضوع مختلف يتعلق بRedundancy

أما لو عايز تشغل Two ISPs فى نفس الوقت أى Active/Active فهذا مستحيل ,عارف ليه؟

لانة عند توصيلك ل Two ISPs فهذا يعنى اننا نستخدم ال Default Route لكل واحد و فى هذه الحالة لا بد أن تكون ال (Metric ( Distance متساوية وهذا ما لا يسمح به ال ASA .

وبهذا نرجع للنقطة الاولى حيث يكون واحد Active والاخر Backup لان قيمة ال Metricمختلفة أى ان واحدة أكبر من الاخرى.

و شكراً

[MCSE2009]

طب فى حاله انى جبت راوتر فيه Load Balance مش ده هايغنى عن ان الخاصيه دى مش موجود فى سيسكو A5505 ?

ثانيا انا مش مستريح لل Fortigate اريد حصر الاختيار ما بين سيسكو وجونيبر

فاى موديل مناسب لي ؟؟

[ahmedrami]

أحى العزيز

فى حاله انك جبت راوتر فيه خاصية Load Balance طبعا مافى أى مشكلة .

أما بالنسبة ل Fortigate فهم و Juniper كانوا شركة واحدة بعد ذلك أنفصلوا , فأنا فى رأى انه لايوجد فرق كبير بينهم , لذلك انا اثق بهم تماما أعتمادا على تاريخهم القديم مع Juniper وكذلك تاريخهم الحديث و الذى هو محل تجربتنا الان.

بالنسبة للجزء الاخير اذا أنت غير مقتنع ب Fortigate فأنا أنصحك ب Juniper لكن للاسف الشديد ليس لدى خبرة عن هم.

وشكراً

[hussam.sp]

أخى الكريم أول مشكلة فى ال Cisco ASA لايدعم الTow ISPs أى انه لا يمكننى تشغيل الاثنين فى ان واحد,على العموم نحن لدينا تجربة وخبرة واسعة فى الاثنين ,أخى لدى عن هذا الموضوع Power point Presentation تم اعدادة بواسطة شخصى الضعيف , وهو عبارة عرض (nontechnical Power point Presentation )وذلك لاقناع الادارة بفائدة ,واهمية ال UTMs لكن فى الحقيقة لا أعرف كيفية عملUploading لهذا العرض.

اخي أين ال Presentation nontechnical Power point

[رومانسيات]

أخي الخبير

احنا كان كلامنا على موضوع ال Active/Active انت بردك الأول ذكرت التالي

أخى الكريم رومانسيات

لاحظ ان الموديل ASA5550 و ذلك كما قلت سابقاً نحن شركة كبيرة(مؤسسة صناعية) وهو من الموديلات الحديثة ولا يدعم Active/Active

بأختصار ASA لاتدعم Active/Active

أما بالنسبة لسؤالك اين المشكة ؟

المشكلة لماذا يكون عندى راوترين لماذا ؟ لماذا هذا العدد من الاجهزة؟

أخيراً نحن لانستخدم ASA5550 من أجل الانترنت فقط

نحن نسخدم ASA5550 و متأكد من ذلك

بالمناسبة fortigate بشتغل

1- Firewall
2-Router
3-Proxy
4-Anti-virus Gateway
5-Web Filter
6-IPs
ودول كلهم فى جهاز واحد.

وكان واضحا من شركتكم الكبيرةان هذا الموديل الحديث لا يدعم ال Active/Active

وبعدين رديت وقلت الاتي:

سيسكو بدعم ال Active/Active ل (High Availability) فقط , أى تشغيل جهازين مع بعضهما البعض Two ASA وليس Two ISPs,ودا موضوع مختلف يتعلق بRedundancy

بغض النظر عن ISP أو غيره احنا كان نقاشنا عن ال Active/Active

عموما أخي العزيز أرجو كان النقاش فيه فائدة للكل وموضوع ال default route ما أتوقع انه مشكلة بوجود ال multiple context

بصراحة الفرق بين ال Two Products اللي هم سيسكو و فورتنت موضوع السهولة

تحياتي وشكرا للمعلومات

[ahmedrami]

الاخ العزيز رومانسيات

أشكرك على هذا التفاعل الثر ,الذى يجسد بحق ال Knowledge Sharing بعكس ال Information Sharingوالتى للاسف يركز عليها الكيثير من الاخوة الافاضل ,حيث يركزون جل جهدهم فى نقل المواد التعليمة والامتحانات والحصول الشهادات ,بحيث لو أن هنالك شخص واجتهة مشكلة ولو كانت بسيطة ,تجد عدد محدود ,هم الذين يستطيعون مد يد العون والمساعدة فى حل تلك المشكلة ,بالرغم أننا نعلم أن هنالك عدد ضخم لديهم شهادات على مستوى ال Professional

أخى العزيز أنا لست خبيراً ولا أملك أى شهادة فى مجال ال Security ,أتمنى من الله ان أصل تلك المرحلة فى القريب العاجل.

أخى ذكرت لى أن نقاشنا كان عن ال Active/Active ويبدو أن هذة هى نقطة اختلافى معك ,لأنى كنت أناقش الموضوع من وجهة نظر صاحب الموضوع الأصلى الأخ MCSE2009 والذى كان بسال عن Firewall و Router بدعم ال Load Balance و كما قلت لك سابقاً هذا بين القصيد, لأن ال Active/Active هى عبارة عن Concept
ليس مقصور على Cisco ففى Cisco ASA ال Active/Active يعنى ال Redundancy)High Availability ) أى Two Devices أما فى الشركات الاخرى مثل Fortigate فيعنى الRedundancy) High Availability )وكذلك يعنى ال Load Balance ل Two ISPs

أما موضوع ال :default route

Cisco support only Policy-based NAT not Policy-based Route which is required to manage multiple WAN link

و ال multiple context فرأينا فية كالأتى:

Multiple context is a feature means that you can add multiple virtual firewalls on the same physical firewall, but within the same context you can’t do active/active load balance for multiple WAN link.

أخى سأحاول أن ارفع لك ال Presentation وقد تم تصميمة قبل عامين ونصف وحقق الغرض المطلوب ,ارجو منك أن تعطينى رأيك فيه.

https://www.4shared.com/file/lkJ3VM-M/Ahmedrami-IT.html

[رومانسيات]

السلام عليكم

شكرا جدا على المعلومات الروعة والبرزنتيشن الأروع

بس أنا بصراحة مش حابب نسكر الموضوع لأنه أكيد كل واحد بيدخل على الموضوع حابب يكمله ويقرأ فيه أكتر وأكتر عشان نستفيد كلنا

لكن أنا عندي بعض التعليقات:

1- أول شي سيسكو فايرول تستطيع ان تدعم موضع ال Anti-Spam+Ant--Virus+URLfiltering وشغلات كتيرة ولكن عن طريق ما يسمى CSC module اللي بيتركب في الفايرول او ممكن يكون IPS مع ملاحظة أن بعض المميزات غير موجودة زي موضوع ال proxy

2- بالنسبة لموضوع ال policy based routing أنا كنت من الناس اللي أطالب وبشدة الموضوع هاد يكون على ال ASA firewall وان شاء الله انه راح يكون قريبا هناك حسب ما حكولي سيسكو. ولكن برأي المتواضع انه الموضوع راح يبقى مشكلة وما راح يكون عبارة عن load balancing solution لأنه احنا هنا بنتكلم عن توزيع الtraffic بناء على criteria معينة وهو ما يتحقق اما عن طريق ال PBR او حتى عن طريق ال multiplecontext وليست automatically

3- انا برأيي انه سيسكو حلها الوحيد عشان تطبق ال load balancing هو انها تجيب external load balancer عشان يحقق المطلوب ويوزع الحمل ولكن سؤالي كيف بيكون موضوع ال default route وهل راح تنحل مشكلته ؟

4- انت ذكرت اخي انه الفايرول ما بيسمح انه يكون ال default routes فيها ال metric متساوية , طيب لو كانوا متساوية كيف راح يتوزع ال traffic بينهم ؟

عموما الموضوع جميل والنقاش معك أخي العزيز أجمل وشكرا على صاحب الموضوع

تحياتي

[ahmedrami]

Regarding to your question, If the metric is equal how can the firewall distribute traffic ? let us demonstrate this by example:

here we have two default route

For ISP1 0.0.0.0 0.0.0.0 192.168.20.1
For ISP2 0.0.0.0 0.0.0.0 192.168.10.1

and i have two networks 10.10.10.0 & 11.11.11.0

according to Policy-based route:

Network 10.10.10.0/24 go through ---> 192.168.20.1
if fail 10.10.10.0/24 go through ---> 192.168.10.1

And vice versa for network 11.11.11.0
11.11.11.0/24 ---> 192.168.10.1
11.11.11.0/24 ---> 192.168.20.1

[BENDAOUD7]

لقد لمست أن في أروبا منتوج مستعمل بكثرة و ذلك بعد التكلم مع بعض الأصدقاء
فيما يخص قضية ال load balancing ألا وهو ال F5 فأرجو من الإخوة إلقاء نظرة عليه و إعطاء رأيهم
https://www.f5.com/products/

[رومانسيات]

لقد لمست أن في أروبا منتوج مستعمل بكثرة و ذلك بعد التكلم مع بعض الأصدقاء

فيما يخص قضية ال load balancing ألا وهو ال F5 فأرجو من الإخوة إلقاء نظرة عليه و إعطاء رأيهم
https://www.f5.com/products/

أخي العزيز

F5 من أفضل المنتجات وأقواها في موضوع ال LB وغيرها من ال Application devices

منتج قوي جدا وبصراحة أنا أخدت أكتر من مشروع بسبب وجوده

تحياتي

[mikeal2020]

يا شباب انا مش عارف اقول اية غير بجد براقو عليكم على المجهود الرائع دة
وهى دية الموضوعات المفيدة فعلا
وانا اشتغلت على Fortigate بس هو فعلا كويس جدا
بس انا مجربتش Juniper فنا عندى اقترح لو حد يقدر يعمل لينا قيديو يشرح الشغل
على Juniper ولو با ختصار
وكمان اللى اشتغل على F5

وشكرا على المجهود الرائع بجد

[BENDAOUD7]

إذا أردت أشياء عن الجونيبر فأرجو أن تلقي نظرة عن مدونة الأخ أيمن
https://www.networkset.net/category/juniper/

أو قسم الجونيبر
https://www.arabhardware.net/forum/f...play.php?f=170

و إلا فموقع جونيبر يمدك بفلاشات سريعة عن ال Junos
https://www.juniper.net/us/en/traini...rse_start.html
https://www.juniper.net/us/en/traini...cal_education/

أما ال F5 فالله أعلم
المواد المتعلقة به ناقصة كثيرا
و الله ولي التوفيق

[zolcom]

الاخوه الاكارم اريد توصيل فورتقيت fortigate مع isa server
الرجاء المساعده

[engelsamoly]

ال user , pass ال demo مش بيدخلوا معاي ....