一根线带多个外网IP,iptables能代替cisco路由器吗(虚心求教大大)

JohnBull

原帖由 skylove 于 2006-7-21 22:08 发表
1.pc机器的体积一般比较大，2系的体积很小，放楼道里，非专门的机房里，或者是一个人拿来拿去这些都是很方便的；（当然，用个1u的机器就一样了，呵呵。。。不过1u机器的价格也差2x系列的route不太远了。这个就如同台式机和笔记本比较一样，笔记本能做的台式机器都可以做到，但是有时候还真得就是笔记本方便）

请注意，2xxx的router不可能用在网络的中心部位，只能是网络的出入口处，这里的设备根本没有“便携”的需求。而一台4xxx已经与PC无异。

原帖由 skylove 于 2006-7-21 22:08 发表
2.2x的这类低端的route调试好了后，插上电就能用，不用了直接关电就是了，中途断电也没有损失；用linux的话。。。大概也只有软盘版的敢保证不怕断电影响到数据了（我就是linux 的fsck的受害者之一。。。汗，有过2次断电后重新启动要求检查硬盘，硬盘一检查后就启动不起来了）；
3.接上面的问题2，如果用软盘版本，rip这些自动更新route的时候恐怕就没办法写回软盘，下次重新开又没有了；

这是因为你对通用系统没有任何定制造成的，对于网关应用而言，很多目录根本不需要rw挂接，ro挂接的文件系统绝对不怕断电，只留下/var为rw即可。
另，很同情使用ext3的人们，快点换成reiserfs吧。

原帖由 skylove 于 2006-7-21 22:08 发表
4.本地调试上route接到串口上用笔记本就可以调试了，而linux-box在最开始调试的时候，起码还得需要一台显示器（我笔记本也用得不多，只知道笔记本有办法接到pc显示器上，不晓得linux-box的pc有没办法显示到笔记本显示器上？？？当然linux也是可以串口连接显示的，不过又得设置一下了），很多场合身边不一定有台式显示器可用的。

设置的方法简单得要死！
echo 'S0:12345:respawn:/sbin/agetty /dev/ttyS0 38400' >> /etc/inittab
init q
OK，扔掉CRT吧，用不了一分钟。
而且有的发行版（如Slackware）缺省就写着呢，只不过注解掉了。

原帖由 skylove 于 2006-7-21 22:08 发表
5.cisco的帮助教程和官方教程太多了，而且找一个cisco的工程师也相当容易，网络上现成的资料也非常多（这点深有体会的是——同样是做 switch和route的，用google一搜索，cisco出来的方案/步骤/问题解决比quidway华为都要多上n多）。。。呵~~~有问题很方便地可以问到人。而且比如pix，好像是有个图形客户端的？（这个不肯定，我手上没有pix，我们学校图书馆有用它），而那位图书馆管理员的主要工作是管理数据库及光盘塔还有几个数据库的镜象。如果就是为了一个firewall，让他从头学linux，学习成本的确是有点太高了。

由一个“图书管理员”兼任网络安全人员，我只能说，这很......
这就好像说：我们村的妇联主任工作本来清闲，就是上传下达，时不时讲讲话，难道就为了给村里的妇女们接生，就要进行2年的产科医学和护理学培训？

原帖由 skylove 于 2006-7-21 22:08 发表
谁有敢保证，自己就一定把当前使用的资源发挥到了100%呢？或者说是自己需要榨干它100%的潜力呢？。。。还是有许多管理员，他们从事着多样性的工作，维护网络/服务器的安全只是他们工作中的一环。对于他们来说，一个独立于操作系统的pix就是方便实用的firewall了。

我的观点恰恰就是说不要片面迷信专用系统的效率，效率不够我们可以在更低的成本上用基数补上！
我的另一个观点就是：“维护网络/服务器的安全”是非常专业的事情，即使只是“一环”也不能糊弄。谁都知道“麻醉”只是外科手术中的“一环”，可是哪个医院敢让没有麻醉执照的外科大夫自己执行麻醉？“麻醉”这一环必须由专业的麻醉师来做。

原帖由 skylove 于 2006-7-21 22:08 发表
顺带一提，网络规模越大的时候，iptables的很多很有用的周边模块功能也就不敢用了。比如string模块，layer7模块这些，我曾经有想过在nat上使用，结果一搞上去那台pc的cpu占用就飚升满了。而cisco的那个p2p的模块倒还是可以用的。。。呵呵

恕我愚钝，使用所谓的p2p模块封锁p2p软件是非常令我难以理解的。
我认为真正有用的是QoS控制和流量限额控制。欢迎赐教！

skylove

原帖由 JohnBull 于 2006-7-23 13:53 发表


这是搅混水，“能”自然指的是能“取代”。

PC+Linux体系能够取代一切诸如2xxx/4xxx之类的软路由器。

取代分为3方面：
1.性能上的相当；
2.可维护性方面的相当；
3.学习时间的相当；

1.性能上，这点不用提了，x86上很多时候的效率表现是相当好的；
  但是
  a.如果提供V.35 这类的特殊连接上，pc上的接口设备未必合适；
  b.radius支持上linux得单独设置，而且netfilter默认是不支持radius的，需要装第三方控制；
  c.snmp等服务，linux非kernel支持，而是用第三方设置，也是需要单独安装设置的；

2.维护性方面：
  a.突然断电情形，专用的route重新启动即可用，linux-box得检查硬盘，甚至会修复到挂不上root（不方便使用软盘版本的介绍下附）
  b.kernel或者ios更新，route可以直接下载新版后用tftp进行，linux下呢？而且升级后route的基本可以保证100%无故障运行，而自行编译的kernel呢？
  c.对route的设置修改，可以直接进行；而对linux的修改，还得找一个文本编辑软件（这就是前面提到不方便用软盘版本的linux的缘故，tftp/ftp支持，telnet支持，vi支持，且netfilter/iptables，多种网络协议结构的支持等等，放软盘不方便；迷你光盘倒还不错；当然现在也有新的做法就是放到u盘上）
  d.用route，我可以一条命令输出当前的所有设置信息，包括主机名，ip分配，route，acl，snmp设置，密码设置等所有信息，方便直接保存；而用linux以上信息是零碎地分配到各个文件中的（需要保存多个文件，而且未必能一次替换，比如更改用户密码）。在进行backup和恢复工作的时候，route方便多。

3.培训学习时间：
  a.route每条命令的格式基本上可以说是固定的，按tab有提示功能?可以看当前命令的剩余段参数，方便新手学习；而iptables的5大链，3大表就够新用户忙上理解一阵了；
  b.同样是更新，是直接tftp更新ios快；还是下载新kernel后，再同期下载编译iptables然后针对自己的机器设置进行网卡程序编译（如果正好倒霉到不支持你的网卡的话，当然为了启动快，还得裁剪kernel中不要的部分，小版本bug的kernel升级可以直接复制.config文件，万一变动有一些大呢？） tftp上传更新和kernel的编译学习成本呢？两者在此过程中消耗的时间和cpu占用方面的比较呢？
  c.如果是此route安装在非本地，比如另外一幢的大楼某狭小交换机房里。坏掉了，需要换一个。我是直接抱一个route+笔记本过去，还是带个pc外带一台显示器方便？


取代是多方面的，以上谈到的正是我在用linux-box和route做网络维护的时候的差别对比。当面对多台route的时候，优劣就更大了。比如5台route，我用5条命令就可以显示出它们的各自设置，并且backup下来了； 换成linux-box我得敲多少次键盘呢？ 我这里节点的小route大概有8个，分布在单位里的各个位置中。性能上，我相信linux-box负担没问题，但是对于我管理维护的方便等原因考虑呢？ 因此，对于我来说，linux-box是可以胜任，但是如果让我选择，我选cisco route。

JohnBull

原帖由 skylove 于 2006-7-23 15:00 发表
取代分为3方面：
1.性能上的相当；
2.可维护性方面的相当；
3.学习时间的相当；

自己先定下规则然后自己玩？这不好吧。

原帖由 skylove 于 2006-7-23 15:00 发表
1.性能上，这点不用提了，x86上很多时候的效率表现是相当好的；
  但是
  a.如果提供V.35 这类的特殊连接上，pc上的接口设备未必合适；
  b.radius支持上linux得单独设置，而且netfilter默认是不支持radius的，需要装第三方控制；
  c.snmp等服务，linux非kernel支持，而是用第三方设置，也是需要单独安装设置的；

a V.35、G.703什么的都不算什么“特殊连接”，去google上面查查“PCI广域网卡”。
b CISCO支持radius也是得“单独设置”的吧？
c 内核是什么？CISCO也不见得是“内核支持SNMP”的吧？

原帖由 skylove 于 2006-7-23 15:00 发表
2.维护性方面：
  a.突然断电情形，专用的route重新启动即可用，linux-box得检查硬盘，甚至会修复到挂不上root（不方便使用软盘版本的介绍下附）
  b.kernel或者ios更新，route可以直接下载新版后用tftp进行，linux下呢？而且升级后route的基本可以保证100%无故障运行，而自行编译的kernel呢？
  c.对route的设置修改，可以直接进行；而对linux的修改，还得找一个文本编辑软件（这就是前面提到不方便用软盘版本的linux的缘故， tftp/ftp支持，telnet支持，vi支持，且netfilter/iptables，多种网络协议结构的支持等等，放软盘不方便；迷你光盘倒还不错；当然现在也有新的做法就是放到u盘上）
  d.用route，我可以一条命令输出当前的所有设置信息，包括主机名，ip分配，route，acl，snmp设置，密码设置等所有信息，方便直接保存；而用linux以上信息是零碎地分配到各个文件中的（需要保存多个文件，而且未必能一次替换，比如更改用户密码）。在进行backup和恢复工作的时候，route方便多。

强调：这些都不是“Linux的问题”，有几个月的时间，都能开发出来 :em11:

原帖由 skylove 于 2006-7-23 15:00 发表
3.培训学习时间：
  a.route每条命令的格式基本上可以说是固定的，按tab有提示功能?可以看当前命令的剩余段参数，方便新手学习；而iptables的5大链，3大表就够新用户忙上理解一阵了；
  b.同样是更新，是直接tftp更新ios快；还是下载新kernel后，再同期下载编译iptables然后针对自己的机器设置进行网卡程序编译（如果正好倒霉到不支持你的网卡的话，当然为了启动快，还得裁剪kernel中不要的部分，小版本bug的kernel升级可以直接复制.config文件，万一变动有一些大呢？） tftp上传更新和kernel的编译学习成本呢？两者在此过程中消耗的时间和cpu占用方面的比较呢？
  c.如果是此route安装在非本地，比如另外一幢的大楼某狭小交换机房里。坏掉了，需要换一个。我是直接抱一个route+笔记本过去，还是带个pc外带一台显示器方便？

a 没用过--help／man吗？用个tab是显示出来了，可那是什么意思呢？初学者不一样不明白吗？
b 一个gateway没事升什么kernel？你又不开服务怕得啥？你一年升级几次？反正我们的网关自从搭好后从来没更新过。
c 见前帖
再说开发一个基于WEB的界面你觉得怎么样？

原帖由 skylove 于 2006-7-23 15:00 发表
当面对多台route的时候，优劣就更大了。比如5台 route，我用5条命令就可以显示出它们的各自设置，并且backup下来了； 换成linux-box我得敲多少次键盘呢？我这里节点的小route大概有8个，分布在单位里的各个位置中。性能上，我相信linux-box负担没问题，但是对于我管理维护的方便等原因考虑呢？因此，对于我来说，linux-box是可以胜任，但是如果让我选择，我选cisco route。

写一个不到十行的脚本，一条命令就把5个Linux-Box的网络配置全都备份出来...希望你能够赶快明白Linux究竟是什么。

比如：需要按时间段安排不同的教室上互联网，经常还有某些教室临时安排上网考试，有n条不稳定的PPPOE链路自适应负载均衡，对流量进行基于业务的优先级控制，断电更是家常便饭......
用Linux全都是configure and forget，我就从来没见过什么fsck问题 ，你说的导出配置不方便的问题可能存在。我们PC机的主板确实坏过，换了台机器，硬盘拔过去插上，什么也没设置，接着跑。只要克隆一块硬盘锁起来，地震了也不怕啊！ 哦，对了，您那铁盒子拆不开的是吧?
偶尔有故障也多是出在DNS等等应用软件方面，路由与firewall方面没见过，你能让我开开眼吗？

skylove

自己先定下规则然后自己玩？这不好吧。

首先，这个不是自己定规则，而是在用一种方案取代另一方案的时候，必须要考虑的几个方面的问题。规则是我type出来，但不是我制定。

a V.35、G.703什么的都不算什么“特殊连接”，去google上面查查“PCI广域网卡”。
b CISCO支持radius也是得“单独设置”的吧？
c 内核是什么？CISCO也不见得是“内核支持SNMP”的吧？

首先，选用linux-box的时候，您得指定一个linux发行版吧？ 当然，你可以说，自己进行lfs，但是这样一来所构建的时间就多用了多少？？
如果是选用某个linux的发行版本，那么接着下面的问题就来了：
v.35，g.703类的协议，似乎不是每个版本的kernel就是默认都支持的了；
而且cisco下，支持一台radius服务器，输入radius的地址再设置规则就够了；而一个默认的linux发行版本您想用radius控制用户需要设置多少呢？
至于kernel是什么的问题这个不用反问，问题是snmp是在linux下的一个单独工具包，而这个工具包是否就是默认在您选定的版本上安装了呢？ 至少在cisco route里，它是系统自带的；

强调：这些都不是“Linux的问题”，有几个月的时间，都能开发出来

问题是，目前没有这些功能。而且，也没有几个月的时间可以供使用。网络管理员 不等于 系统管理员。网络管理员很可能熟悉网络协议，但未必会对某个操作系统有很深的认识与了解（包括这个平台下的配制文件位置，shell乃至编程等）

关于命令补全的问题，用过bash的都该知道命令自动补充完整有多么方便；是啊，可以man/help，但是的确命令补全就是方便一些啊。 试想，我输入 /sbin/iptables -t n 后，按一下，tab，自动补充为 nat ，输入 POSTR 自动补充为POSTROUTING 难道不好么？

写一个不到十行的脚本，一条命令就把5个Linux-Box的网络配置全都备份出来...希望你能够赶快明白Linux究竟是什么。

ok，那就看您的演示了，我需要backup以下的内容：
1.系统的进入密码
2.网卡的地址和配置
3.telnet的设置密码
4.radius 服务器的连接设置
5.开机启动项目的设置（哪些项目需要启动）
6.ppp的拨号连接（这个做网关需要，内部route的时候不需要）
7.iptables的设置
8.当前路由的设置
9.主机名
10.时间服务器设置
11.DNS的设置
12.arp匹配记录（硬性设置的ip/mac匹配）
13.编译后的kernel（为了提高启动速度以及执行效率，相信都会用自己所编译的kernel吧）
===================================
由于我们的目的是将这个配置倒入到一个才安装好的linux-box，它就能和原来的机器“完全一样”地运行，backup以上内容不算过分吧？
ok，把以上配置backup（当然，以上只是我想到的，肯定还有很多遗漏到地而必须修改的backup项目的）异地backup，您觉得10条以内的命令足够么？（当然，您可能说我可以异地定时backup到xx ftp服务器，这样一来不是需要多一台ftp服务器么？而且这台服务器连接失败的时候呢？） 而且，linux遇到2块网卡的时候，只能检测到一块，或者是2块网卡的eth0，eth1被系统默认识别顺序相反了（比如用cisco route，我就能保证从左到右，机器上哪个口该是什么名字，而用linux-box，敢保证自动识别出来的2块网卡一定顺序是自上而下是eth0，eth1么？如果顺序不一，复制过去的配制文件就没办法让系统正常地工作了）

用Linux全都是configure and forget，我就从来没见过什么fsck问题 ，你说的导出配置不方便的问题可能存在。
[quote]
fsck的问题，我用linux-box做网关是的确遇到过几次的，用来作流媒体服务的时候也遇到过。这当然不是linux一个操作系统的问题，凡是操作系统都有可能遇到此问题，但是对做route这么一个应用时候理论上只读取配制，不写入新设置什么到硬盘里的route作用来说——软盘版linux-box功能可能不够用，硬盘版的确又存在断电时候硬盘第2次启动需要自检，而不fsck还好（当然可能日志之类的损坏了，但是不影响使用），一fsck后反而挂root都挂不上的情形。是不是有点麻烦呢？

[quote]
我们PC机的主板确实坏过，换了台机器，硬盘拔过去插上，什么也没设置，接着跑。只要克隆一块硬盘锁起来，地震了也不怕啊！ 哦，对了，您那铁盒子拆不开的是吧?

现在硬盘的确是便宜了，但是多backup一块，谁敢保证在存放着的时候，它不会损坏呢？而且您两台机器的硬件环境大概相似性比较高吧，如果遇到差异比较大一些的情形呢？比如intel系列换到amd系列上呢？ （默认的kernel似乎是设置为p2，为了提高效率，我一般都是手工设置为p4的）而我一台route坏了，换一台新route的时候，我现在新买一台，至少可以保证2者的硬件是一致的吧？ 而谁能保证，4年以前配制的一台linux-box，目前能买到完全一致或者完全兼容的配件呢？ 同样是以转移而论，是backup一块硬盘的方式（而且iptables等的策略有可能是按需要每隔一段时间或许会调整的），是每次调整规则以后都backup一次硬盘？还是每隔一个月backup一次呢？？如果是用我提到的上面的只backup 相关文件到ftp的做法，那么不是需要一台ftp服务器么？

偶尔有故障也多是出在DNS等等应用软件方面，路由与firewall方面没见过，你能让我开开眼吗？

路由与firewall上自然不会时常出现故障，但是由于内网情形的变化，firewall的策略等等往往是随时有所变化的。 比如在大规模的sql蠕虫王病毒的时期，自然需要将内部网络内的目的端口udp 1434这些封锁掉，以防止恶意地感染情形发生，而或许一周以后恢复平静后，又会开放的。 这就存在了上面提到的随时可能需要backup一段时间设置/策略的问题，您谈到每次backup一块硬盘的方式，或者将必要的设置文件ftp到远程机器的做法，都相对route来说更为繁复一些吧？

另外提几点：
route未必是网关，而网关必定是route；事实上，gateway这个称呼，大多是指边界route；一个比较大一些局网内，可能是一个多个子网，也就存在着多个内部的route，而出口的边界route——gateway则只有一个。
比如以下一个图吧：

                                     |-----新校区
              |--------校园教师宿舍网--|-----旧校区
              |
电信出口--gateway---校园内部办公网
              |
              |--------学生网络--|----旧校区
                                               |----新校区

这样一个示意图，内部用户总共大概是4000个用户，20000多个节点。为了防止病毒，广播风暴等，自然是不可以划在一个子网里的，那么就需要分为很多的小子网，这些小网络彼此之间的通信问题====，全部负担到出口的gateway上显然是不合适的，所以就会内部有一个核心的route，以及一些下级的route服务了。

这时候，任何一个route坏掉，最需要的是在尽量短的时间内让它恢复工作。

1.是随时准备几台机器（因为不晓得可能出问题的是在哪个部件，所以只有准备整机了，这个没有疑问吧？），然后这些机器还是得硬件配制相同的，然后从软盘/光盘里ghost硬盘，还是从网络上的ftp里copy backup回来，复制到相应位置。然后把这台主机+临时找的显示器带到安装位置，替换下来，看看是否工作正常。
2.随时准备几个route，从笔记本/ftp等的backup里（就是一个文本文件+最新的ios吧），如果需要升级ios，那么就tftp到route里，然后把配制文件在超级终端里ctrl+v过去就好。接着带着这台route+笔记本到问题位置替换，并检查是否工作正常。

第一种方案，我用10-15分钟完成工作（ghost一块硬盘数据，或者ftp下载配置好的文件+一个恢复脚本（这个事先还得临时设置个ip，netmask等等给机器用着才能连到ftp）然后回来复制；之后重新启动一次保证linux-box能正常进到系统，这个过程用10-15分钟不算多吧？），接着运输到实际位置（主机+显示器。。。大概得找个汽车才能一次运过去了。当然如果是在楼宇内不同楼层，就指望有电梯而且搬运2次）对了，还得有键盘。。。

第二种方案，我用5分钟完成工作（把计算机和route连接，然后超级终端把配制复制过去，当然中途是有可能需要升一次ios的），然后运输到实际位置（route+笔记本，步行，自行车，摩托，汽车交通任意选。是否楼宇内也只需要一次就ok了）

linux-box是个gateway的好选择——因为再大的局网，一般都只有一/两个最终的出口处（gateway），用linux还能设置一些route做不到的特殊过滤，如果光以做nat的效率而论，2x系列的route的确是没有办法和x86比的（做nat，大致的效率是linux-box>bsd>windows 2k > cisco 2x），而且此类gateway通常是在固定位置（核心机房内），所以是个好的选择；但是在内部的route方面，pc-box的不方便携带，现场调试需要外接显示器，临时更换的不方便，突然故障处理的不及时性，导致了专业route设备的更为适合。

这样一来，结论就很容易出来了：
1.对于本身熟悉linux操作系统的系统管理员而言，在小型企业/网吧网络中以linux-box构建出口nat方便高效，节约成本；
2.对于本身身为专业的网络管理人员（事实上大多都是路由器，交换机乃至其他网络设备一起管理的）来说使用专门的route设备更为得心应手；
3.对于比较大一些的网络，内部的网络间的路由用专门的route设备来做（即使有3层交换机，大多还是会用route来做的），出口可以根据需要进行选择；

===========================================================
再提一个额外的因素：
作为个人而言，当然希望自己在公司里的地位最好能有所重要性，“缺君不可”的感觉有时候的确美妙；
作为公司管理层，更多的是考虑到人员交替等变化后，是否可以顺利地交接。

同样以上面提到的2个作为对比，一个系统管理员兼职网络管理员的时候： 当前管理员辞职后，新管理员会面临什么样的情形呢？
1.使用linux-box的：
  a.这个家伙使用linux-box的版本和我喜欢的版本不一样，我是gentoo fans，以前的家伙是red hat 簇拥，看来我得去问问redhat下网卡的脚本是在哪个文件里设置的了，默认的snmpd又是把培植丢在什么地方。。。
  b.那个“不到10行”的脚本我很喜欢，功能很强大，但是原来的管理员是用ksh写的，我是用csh的也，有点看不懂，也不敢修改了；
  ...
2.使用route的：
  a.我把各个backup下来的配置都收藏了好了，恩，没有什么好担心了。其中每一行都是标准的cisco命令，我先仔细看看吧。
  b.恩。。。看来ios该升级了，我tftp升级ios，然后把配置复制过去吧。。。

虽然是一个小例子。。。不过各个版本的linux之间设置文件不一造成的矛盾也不是第一次被人所提起了。

==============================================================


顺带一提，去年我的做nat的linux-box，总共编译了4次kernel，升级iptables和给加模块的时候顺带进行的；

关于是否先自己假设条件，再来分析的问题么？ 不假设实际的环境，怎么能说明理论上的可替代性与现实中实际得到运用的时候不适合替代性呢？  比如，网吧里鼠标全部放左边也是不影响任何操作功能的，但是会影响到大部分的用户使用习惯； 我提到的 性能上的可取代；维护性方便的取代；学习/培训上的可取代。。。小到我们更换手机这类事情上不是也有所考虑到么？ 我们在考虑换手机的时候，也不光会考虑到 手机的性能/功能，也会考虑到操作习惯，操作方便性，操作易学习性 这些“软特性”的吧。。。

仅仅是探讨而已， johnbull先生也无需就“你那个铁盒子打不开吧？”这类问题调侃。就如 电脑上用电视卡也可以看电视，普通电视机对我个人来说也是个“也是打不开的铁盒子”。。。但是呢，我还是喜欢用电视机看电视。。。 呵呵。。。是否能打得开，不是选用一个东西的关键。

JohnBull

发行版，对，应用Linux首要就是选对发行版！要明白自己需要什么，不要看什么发行版热门就上什么。
作为网关应用，如果你选择redhat，那么你就错了，如果你只知道RedHat/Slackware/Debian这种巨头的话，那就是你的问题了。其实人家明明已经做出来了，你自己视而不见，连google都不愿意，这能怪谁？
我真懒得教你：在google上查询 Linux Router Distrbution
你至少可以得到：
http://lr101.linux-it-solutions.de/
http://www.coyotelinux.com/
...
...
很多发行版（包括zebra软件包）是完全按照CISCO的习惯开发的，你一模就知道你以前的需求就是他们实现的目标，而且已经实现。你没模过是你的问题。而我下面的话不考虑他们，我还说“原味”的Linux发行版。

另，不要混淆基本概念：v.35、g.703都属于物理层协议，kernel不会有驱动的，就如同不会有RJ45水晶头的驱动一样。在kernel看来他们都属于“同步串口”。

至于脚本么，实话告诉你，“不到10行”已经是保守的了。
如果是在Redhat系统上的话，只要把/etc打包即可！再计较一点的话，/etc/sysconfig就够了。明白了？再用上CVS，你甚至可以在配置错误之后恢复到之前任意修改点。

你别整天拿不会Linux的人说事，试想想，一个既不会Linux又不会CISCO的人，看到铁盒子和PC机两个设备，他会觉得哪个亲切一些？

至于硬盘锁在柜子里会不会坏，我当然不能打保票，可是究竟有没有人遇到一块只用过一次的硬盘在自家的柜子里面坏掉的？:wink: 抬杠也没有这么抬的吧？那我也可以说，你的conf导出来放在哪里呢？问问大家，一块正在跑的硬盘和一块只用过一次锁在柜子里的硬盘，那快坏掉的几率更大？？再说也不必整块盘都克隆啊！你还可以刻CDROM啊！ ...你开始无聊了　

至于网关和router，你不用撞我的枪口。:em11:
RFC对于gateway的定义非常简单而明确：

Gateways implement internet protocol to forward datagrams between networks. Gateways also implement the Gateway to Gateway Protocol(GGP) [7] to coordinate routing and other internet control information.

别的想法都是“民科”们的杜撰，在网络技术版这种民科很多。
而router，事实上根本没有这个技术概念，router只是一类商品的总称。

所以说：router是gateway这个技术概念的产品实现。
gateway就如同802.1d bridge，而router就如同switch hub

至于PC机坏掉的后备问题，既然你是学校的，就不必装糊涂了，学校里的机器都是成批买的，临时找到一台相同配置的替代机器如同探囊取物。

至于调侃你的铁盒子打不开，是想点醒你：你有你的配置习惯，而PC用户自有PC用户的管理习惯。看似有点土，其实非常有效！

skylove

原帖由 JohnBull 于 2006-7-24 18:01 发表
发行版，对，应用Linux首要就是选对发行版！要明白自己需要什么，不要看什么发行版热门就上什么。
作为网关应用，如果你选择redhat，那么你就错了，如果你只知道RedHat/Slackware/Debian这种巨头的话，那就是你的 ...

那几个专门为route设计的精装版本，我是在用linux-box的时候涉及过的，但是默认上面没有radius支持的，而且iptables里默认编译的模块以外，有几个我需要的模块是没有编译的，相应的有的模块是我不需要的，因此最终没有选用那几个版本。 由于一直是用的linux做nat，所以对于linux-box做route部分的关注，并不太生疏，zebra也是用过的。但同样地，它不是上面几个专业的route版本linux自带的。您在第一段话里，把单独route版本的精简小巧，与redhat等商业版本里第三方工具的齐全并说，等于是把2套方案的优点综合起来阐述，而对精简版某些不便，完整版本的庞大臃肿就不加以谈论了。就以您johnbull先生自己而论——我想您自己实际的管理环境中也没有选用那几个route版本linux直接作为的出口nat吧？

关于配置文件的保存，route一个文本的保存比/etc整个目录的backup方面虽然比压缩整个/etc快不了多少，但是也有所优势吧？ 再算上编译后的kernl的保存呢？（ios就一个文件，编译后的kernl，以及/boot/grub呢？），另外只保存/etc/sysconfig是不行的，因为某些不需要的service是关闭的，所以还得把/etc/rcX.d这样的目录backup了吧？）

关于是否总拿会不会linux/cisco来说事，是因为的确学习起来的成本要高一些。 如同您说的，同样是2个新手，那么分别想利用linux，cisco route 搞定分别要克服哪些困难呢？（我们假设用户都会用windows，也会识别硬件，会输入中英文资料，这个不算过分吧？）学习过程中两者相同/类似要克服的问题就不谈了。

独特的：
1.linux：
  1.编辑器的使用，有vim还好些，直接用vi的话。。。够学上一会了；
  2.脚本命令的编写，包括tar 命令的用法；
  3.需要知道相应的网卡等文件的配置位置（这个并不是乱说，我用过几种linux，其中就有几个把网卡配置文件放置的目录，文件名都丢到了不同位置用不同的名字）

2.cisco route：
  1.远程终端的使用；

这个学习的成本，绝对是不可以不考虑的。

ok，我们抛弃开backup 介质而谈，有过backup资料的同志应该都知道： 保存的资料越小，越集中于尽量少的文件内，就越方便阅读与管理，这个您没有意见吧？同样您用硬盘，cdrom等backup的方式route backup也可以使用。但是—— route 需要backup的数据比linux-box小和时间也需要的少。

关于route与gateway的关系，无疑问地，我也上面说到了，是通俗地说法。 因为用官方地说法，我就无法简单表示出“网络出口的路由管理设备”，“网络内部各子网间通信的路由管理设备”这样两个名词了。 这样钻字眼的空子没有什么意思。 比如您上面谈到用脚本备份，用tar压缩等等，我也没有特别地指出“linux”与“GNU软件+linux”间的区别，因为我能领会您的linux就是指GNU/linux。

非常遗憾地是——在我所在的高校里，的确很少有pc机能被保证放置2，3年一直待命着替换，总会被挪作他用，但route/switch/sun服务器这些则是一直被放着（原因是——pc能够用在很多地方，甚至是被上级部门领导/员工借口救急借去而归还无期；但route设备不会——因为pc对其他个人来说有用，而route对他们来说无什么用。你可以评价这个是我们管理/行政混乱等等等等理由，我不会反驳，但这的确是客观存在的事实。）

另关于铁盒子的事么： 我也用pc，我的工作平台就是pc；我也用linux，内网的流媒体，曾经的web服务器，ftp服务器，以及出口到电信的nat都是用的linux；我也用cisco/华为的route，在内部各个子网间进行路由的时候。由于都在使用，也尝试过某些彼此有交集的时候的能否替换，所以也有所理解。 我也用linux，所以不会做端着筷子吃肉，放下筷子骂娘的事情。我认为谈到操作系统的长项与不足也是很正常的事情，希望有机会继续跟johnbull先生学习。

platinum

google "RouterOS"
search "RouterOS crack" in eDonkey