[patrikweb]

Du får en sämmre lösning att köra massa mindre brandväggar som inte har redundans som standard i sig eller andra produkter. Även i prestanda.

Sedan är det ju modulära saker, alltså är det ju flera hårdvaror som sitter på ett passivt bakplan. Även dom olika modulerna köra en egen kopia av IOS. Så är inte en single point någon stans där om du kör dubbelt av allt i den.

Sedan med en tid på 1-3s avbrott vid hårdvaru eller mjukvaru fel går att leva med, visst kan man ha riktigt otur med men den risken kan vara rätt liten. Man får max räkna avbrott på 1h på 1-5 års tid vid rätt uppsatt N+1 redundans i utrusstningen.

Skulle säga att kostnaden och nertiden blir mycket högre med massa mindre utrusstning och alla kopplingar av kablar mellan dom och olika konfiguering och dokumentation.

Och inte minst någon skalbar lösning, en 6500 plattform är skalbar till 720Gbit och från 40GBit per modulplats. Sedan finns det moduler för alla behov i stort sätt från E1 till 10Gbit Ethernet/SDH. Och FW/IDS och liknande.

Samt man behöver inte extra FW/IDS moduler för IOS kan köra det i mjukvaran, saker som inte är i L7 körs i hårdvaran.

L7 filter/qos körs i mjukvara, men så länge du inte behöver kapacitet i Gbit i L7 filter så behöver man inte extra FW moduler. L7 filter använder man bara normalt i specifika fall som en kund får DDoS på sin webbserver så man kan sätta upp ett specefik filter för matcha på en viss byte på i ett paket och bygga filter efter.

Dom större hosting/isp kör sådana här saker, och jag tror att mycket beror på att många halvstora/mindre leverantörer inte har kunskapen om Cisco på större nivå.

Samt tror att dom vill maxa vinsten så mycket som möjligt och kör massa små saker som kan gå sönder.

Men det är en med viktig sak vid val av en leverantör, att få se hur man blir kopplad och vad för redundans det är man får.

Och jag sover mycket bättre med saker på 10U där PSU motsvarar lika många Unit som några små switchar/fw