dato che do per scontato che chi mi risponderà ha un nome che inizia per W e finisce per olfhwk, se collegassi quindi un nas a una delle 8 porte del cisco e un pc, l'analisi del traffico avviene solo per i dati lan to wan e viceversa o anche lan to lan, perchè se fosse così il flusso dati sarebbe limitato a 150 mbps (velocità massima alla quale il router può ispezionare il traffico)
se si come potrei aggirare il problema

Eccomi. :D

E' anche LAN to LAN. Se le porte sono fastethernet hai la banda di 100Mbps per porta.

Però attenzione ad un dettaglio.

Stateful Inspection throughput up to 150Mbps

Dice stateful inspection, ovvero tiene in memoria le informazioni di stato delle connessioni UDP e dei flussi TCP quando richiesto e permette nuove connessioni solo se legate (related) contestualmente a quella origine.
Dunque nella maggior parte dei casi un tale controllo per il NAS non è richiesto e dunque verrà utilizzato il classico firewall stateless con la piena capacità di throughput.
150Mbps dunque sono richiesti per la WAN maggiormente e per le reti non sicure (potrebbe applicarsi alla DMZ ad esempio o ad una creata da te Ad Hoc). Il NAS di norma si trova nella rete sicura, inside, e dunque non necessita di controlli così severi.

Su wiki trovi una bella spiegazione a riguardo.

https://en.wikipedia.org/wiki/Stateful_firewall

Peraltro lo stateful inspection va configurato dove richiesto, logicamente sarà tra le Security Zones. Di norma con ASA c'è una metafora carina, la cascata. La rete inside ha livello di sicurezza 100, la DMZ di 50 e la WAN di 0. Il traffico può fluire tranquillamente dal 100 al 50 allo 0, ma non torna indietro, appunto come l'acqua di una cascata. Questo di default. Sta al tecnico poi impostare le access lists e lo stateful inspection per far tornare indietro l'acqua, e lì poi si applicano quei 150Mbps.
Comprendo comunque che quel valore è fuorviante se non si conosce un poco il prodotto.
Ti confesso anche che sto studiando anche io per capirci qualcosa degli ASA. ;)

praticamente prima di procedere con l'analisi determina se i pacchetti sono:
se sono wan to lan o viceversa: SI
in casi lan to lan analizza i pacchetti solo per capire se sono di provenienza garantita, in caso negativo li analizza al 100% applicando i limiti di througput a 150 mbps per un lavoro ottimale
fin ora ho sempre dato per scontato che le porte fossero gigabit, e spero che sia così
un altra valanga di domande:
la funzione vpn è a pagamento, intendo dire che per attivarla bisogna pagare una licenza o qualcosa di simile
sarebbe una cosa interessante perchè mi piacerebbe estendere le capacità del nas dal livello locale lan a uno wan
allora non penso che basti attivare la funzione sul router, bisogna predisporre un infrastruttura in modo che sia accessibile ovunque, questo implica che o i dati si trovano in un server dedicato in affitto( impraticabile perchè la quantità di dati supera i 2tb) oppure si usa lo stesso nas come web server
vorrei capirci qualcosa in più

La VPN è disponibile anche con la licenza base. Varia il numero di connessioni simultanee per tipo di licenza.
Uhmmm, credo che le porte siano a 100Mbps. I modelli che usciranno verso dicembre (credo) saranno ovviamente gigabit e potenziati dal nuovo hardware.

lo spero , e spero che questo non faccia aumentare più di tanto il prezzo

perchè 284€ è già alto, il mio massimo è 300€ o giu di li, oltre quel limite mi darebbero del pazzo

praticamente prima di procedere con l'analisi determina se i pacchetti sono:
se sono wan to lan o viceversa: SI
in casi lan to lan analizza i pacchetti solo per capire se sono di provenienza garantita, in caso negativo li analizza al 100% applicando i limiti di througput a 150 mbps per un lavoro ottimale


Ricordati che di default fa solo la cascata. Il resto è personalizzabile.
Inoltre è risaputo che ASA è costantemente verificato e testato dalla NSA perché rispetti tutti i requisiti e standard di sicurezza. Una garanzia in più.

lo spero , e spero che questo non faccia aumentare più di tanto il prezzo

perchè 284€ è già alto, il mio massimo è 300€ o giu di li, oltre quel limite mi darebbero del pazzo

Il mercato dell' usato o semi-nuovo è un' altra ottima risorsa.

ah un esperto cisco, proprio quello che mi serviva! :D

è da tempo che medito l'acquisto di un Cisco SG 300-10 per unire un po l'utile al dilettevole, nel senso che vorrei fare un po di esperienza su uno switch managed ma non riesco a capire se sarebbe una cagata o cosa..

in casa ho un serverino con 2 ethernet su cui gira Proxmox con 3-4 VM e poi vari PC / HTPC.

Vorrei mettere su un po di VLAN, fare qualche test/monitor di performance/traffico ecc.

cosa ne dici? puoi anche risp in pvt (nel senso, se hai voglia di rispondere prima di tutto :fagiano: )

di solito compro roba nuova ma se dovesse costare una mazzata dovrò prenderlo usato, tanto basta resettarlo e via!
poi avendo uno chassis metallico dovrebbe non danneggiarsi, l'unico elemento variabile è se il contenuto originale della scatola è completo
o se è un pezzo difettoso principalmente è la mia principale preoccupazione

cosa ne dici? puoi anche risp in pvt (nel senso, se hai voglia di rispondere prima di tutto :fagiano: )

Ti dirò sinceramente, è un modello che non conosco. Dalla carta sembra molto buono e si configura tutto tramite la web interface. Poi non costa nemmeno più di tanto.

-

k55mdts, puoi comperare usato l' ASA 5505 full licensed con il modulo AIP-SSC-5.
A quel punto il macchinario davvero pialla le montagne :sofico:

me ne sono accorto solo ora che nel sito c'è scritto FE che sta per fast ethernet
come faccio a capire se è full licesed o meno il router?
sarebbe importante perchè non vorrei in futuro avere problemi, intendo dire che una volta che l'ho comprato, non dovrò più sborsare soldi
questo elemento aggiuntivo come funziona e dove lo compro?

In genere chi lo vende lo specifica anche.

Per il modello 5505 si chiama Security Plus license.
E prevede più connessioni -> da 10000 a 25000
Più VLAN -> da 3 vlan a 20
Massimo numero di sessioni VPN IpSec -> da 10 a 25.

La security plus è solo per i modelli 5505 e 5510.
Poi c'è tutto un insieme di feature e virtualization licenses, ma che sono valide per i modelli superiori.

Il 5505 può anche montare un modulo hardware aggiuntivo che ha la funzione di IPS.

quelli con il security plus costano il doppio di uno normale
resterei sulla versione base
CISCO-ASA-5505-APPLIANCE-WITH-SW-10-USER-ASA5505-BUN-K9-

Attenziò, che quel modello è per massimo 10 macchine in LAN.

ASA 5505 APPLIANCE WITH SW 10 USER

C'è anche 50 user e Unlimited.

Sì, lo so che Cisco è logorroica con tutte ste licenze, ma non è stata pensata per uso domestico. Generalmente le grandi aziende usano i 5505 per i branch office e i teleworker e quelle che hanno la partnership con Cisco (dipende dal livello poi) li prendono quasi gratis.

non ho capito, cosa dovrei comprare
ovvero il 5505 ha certe prestazioni e ciao, lo compro ed è finita lì
o sbaglio
una volta compro, lo configuro e basta, non ho più problemi
dovrei comprare qualcos'altro, a dire il vero una volta che ho speso 284€ più spedizione, non vorrei altre grane
ho già ampliato il budget sul futuro router del 40%, e sono stato generoso
dovrei aumentarlo?

scusa ma se io lo prendo e in lan ci collego tramite switch più di 10 macchine, tipo 12, quelle 2 in più cosa ca..zo fanno
perchè dovrei acquistare una licenza per far funzionare più macchine?
non basterebbe fare vari modelli, uno che gestisce 10 macchine, uno da 50, un altro da 100 etc etc

Spendi quella cifra lì se riesci a limitarti a 10 computer. Altrimenti credo aumenti di 50 euro per averne Illimitati.

Praticamente se compri l'ASA con 10 utenti, sei limitato a quelli, se non fai un upgrade della licenza.
Eh sì, una volta comperato ti dura 20 anni :sofico:

scusa ma se io lo prendo e in lan ci collego tramite switch più di 10 macchine, tipo 12, quelle 2 in più cosa ca..zo fanno
perchè dovrei acquistare una licenza per far funzionare più macchine?
non basterebbe fare vari modelli, uno che gestisce 10 macchine, uno da 50, un altro da 100 etc etc

Quelle due non possono fare del traffico. Le prime 10 che arrivano e poi non si collega più nessuno. Capito? E' tutta questione di licenza, di un codice da inserire...
La miglior cosa sarebbe prenderli usati questi macchinari. Tanto sono molto robusti.
Io ho comprato per un cliente un 5510 con licenza Plus a 800 euro, usato certo, ma va alla grande. Nuovo costa più di 2000 euro.

intendi che dura 20 anni il router o l'eventuale licenza

poi dove si comprano le licenze?


poi dovrei rilasciare nome / cognome o cose simili ?
non mi piace questa cosa

La licenza è eterna una volta attivata. Il macchinario è molto robusto sia come chassis che come codice, dunque hai voglia a farlo durare. Gli ASA, a differenza di Juniper, sono estremamente stabili e più idonei per ambienti mission critical.

La licenza è un numero, che inserisci tramite il software di configurazione. Praticamente in linea di massima, compri un dispositivo potenzialmente capace di fare tanto, ma Cisco lo castra per il solito dannato profitto e fame di danari. Basta inserire qualche numero che compri online o da Cisco e via, hai le funzionalità attivate. Il codice si lega al seriale della macchina visibile tramite show version e non necessariamente uguale alla matricola sullo chassis.
No, non rilasci nulla. La registrazione non è assolutamente richiesta.

non necessariemente non significa che non è così
conosci un sito dove si comprano queste licenze
è insolito il modo con cui ti inducono a spillarti 50€

La matricola esterna può essere diversa da quella legata al bios della macchina.

Il numero di user è identificato come il numero di indirizzi ip che accedono ad internet contemporaneamente da quello che credo io. Non ho mai verificato di persona. Dunque se ho 40 stampanti senza gateway, le posso tranquillamente connettere.

Prova a fare una ricerca sul web.

è insolito il modo con cui ti inducono a spillarti 50€

Insolito? Sono dei l@dr1. E' cosa risaputa. :asd:
Pensa che dagli ASA 5510 (escluso) in sù non esiste nulla di simile. I limiti di licenza si applicano solo a 5505 e 5510.

quelli con il security plus costano il doppio di uno normale
resterei sulla versione base
CISCO-ASA-5505-APPLIANCE-WITH-SW-10-USER-ASA5505-BUN-K9-
I link a siti di aste online e singoli eshop sono vietati.
Leggiamo cortesemente il regolamento.
Post editato.
La licenza è eterna una volta attivata. Il macchinario è molto robusto sia come chassis che come codice, dunque hai voglia a farlo durare. Gli ASA, a differenza di Juniper, sono estremamente stabili e più idonei per ambienti mission critical. :mbe: Beh io ho uno Juniper ed è stabilissimo :mbe:
:D :D :D

Nice :asd:

mi scusi signor pegasolabs,
per concludere non lo comprerò con la tua ultima affermazione che ha ridotto a zero ogni possibilità d'acquisto
piuttosto, ma scusa, per non avere grane, prendo il net gear utm10 che è uguale ma almeno non sono dei ladri e non mi danno problemi

Allora se vuoi qualcosa di altrettanto efficiente puoi provare o Juniper o una routerboard Mikrotik o PFSense. C'è l'imbarazzo della scelta e io le uso tutte e tre le soluzioni proposte. :cool:

Con Mikrotik e PFSense non hai problemi di licenza e magheggi di Cisco Disco.
Purtroppo se Cisco non la smette di prendere in giro noi tecnici e la clientela, beh, fallirà presto miseramente. :nono:

non è accettabile

Se vuoi ci sono due utenti del forum che ti possono illuminare con le routerboard e pfsense.

Uno è malatodihardware -> sezione Guide ufficiali pfsense.
L' altro è trottolino1970 della sezione wireless sulle routerboard.
Questi due prodotti sono sufficienti per sistemare i cosi della Netgear. :O

Ecco, ti ho trovato un altro degno sostituto. I SonicWall

http://www.sonicwall.com/it/it/products/NSA_240.html#tab=specifications

Guarda le prestazioni. Non li ho mai provati, quindi non ti so raccontare nulla.