Ahoj.
No, a to je prave to, co budes na FreeBSD s existujicimi nastroji
dosahovat jen tezko. Tohler bysis musel napsat ...
A nevim o tom, ze by to nekdo nabizel jako open source.
Open WRT myslim podporuje multivlaknovou ipsku zalozenou na suricate,
pokud se nemylim. A pokud vim to je FreeBSD based :)
Zde si dle mého názoru můžeš urychlit rozhodovací procesy skrze
binary match tables
'tables' v IPFW jsou implementovany jako b-strom (tim se 'table'
vyznamne lisi od seznamu IP adres oddelenych carkami).
Tak tohle jde trochu mimo me :)
Jako další příklad si můžeš vzít hloupyho mikrotika
No prave - na ty jsem pri tomhle hodne myslel ;-)
Jsou typickym zastupcem zarizeni, ktere 'wirespeed' casto nezvlada.
Zminena RB600 mela tri gigabitove fullduplexni porty, ale pokud vim,
tak plny tok ze dvou portu do tretiho tedy 1Gbps (prakticky priklad
dve stanice + uplink) to uswitchovat nedokazalo ani nahodou. Jako
border-router asi prijatelny (a tak jsi to taky pouzival), ale jako
gigabitovy intra-switch nic moc.
Na RB600 nebyl HW switch, od rb1200 nahoru uz hw switche jsou (napriklad
moje 2011 doma ho ma), tam je to reseny na hw ktery je ovladany z routerosu.
Myslim totiz na Wokna v domene pri prihlasovani nebo odhlasovani
uzivatele (kdyz se synchronizuje uzivatelsky profil). U toho je
"rozdil, ktery citite" jestli mas pul gigabitu, nebo jen petinu.
Proto mi nedela problem mit neco "zpomalujiciho" jako border-router,
ale na switch mi to nezni lakave. A bojim se, ze FreeBSD bude v
naznacene roli vykazovat prave tuhle neprijemnou "Mikrotikovost".
O tom zadna.
Me takovehle zadani vede na samostatne LAN s privatnimi IP v
jednotlivych lokalitach, ty vzajemne routovane (propojene nejakou
formou VPN) a smerem ven prekladane.
Konkretni verejne adresy, ktere jsou k dispozici jen v HQ, se podle
potreby 1:1 mapuji na adresy vnitrni, kde uz do "spravne pobocky"
doputuji po te vnitrni routovane siti.
Tohle vsechno je relativne "normalni topologie" a zvladne ji "bezne"
nabusene FreeBSD (samozrejme zalezi take na celkovych datovych tocich).
Tady si dovolim prudce souhlasit s Danem, bud routovane VPN, nebo jak
jsem psal z mobilu, ipsec policy VPNky vicemene delaji to same :)
Celkove, to co popisujes bych (ja) zacal zvazovat teprve pote co bych
vyloucil vsechna "normalnejsi" reseni.
Pripoustim, ze muj odpor nejspis dost souvisi s tim, ze skoda
souvisejici s nefunkcni vnitrofiremni komunikaci se uz tehdy blizila
dost stovkam tisic za pulden vypadku. Pokud jsi ve vyrazne jine
hladine, pak te "velmi specialni topologie site" samozrejme nemusi
strasit zdaleka tak jako me ...
Jen sdilim zkusenosti. Vyber si z toho co je ti mile ;-)
Dan
Vilem
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
