Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 24 replies
  • Subscribers 3 subscribers
  • Views 6466 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Astaro Vs. Cisco Opinions

Drew.McIntire
The medical office I work for is massively overhauling their network in preparation for EMR. A security appliance will be purchased but nothing specific has been chosen yet. I have limited experience with Astaro and None with the Cisco PIX. I have heard other members of the team mention the PIX in passing so it is a possibility. I would like to lobby for the Astaro Security Gateway but I have no good way to compare. Does anyone one here have any insight to the differences in price and ease of use between Gateway and PIX? From my limited research I feel like Astaro is a more complete solution, but just saying that without something to back it up isn't terribly convincing. The office I work for is a max of 30 users and security is of great concern now that the majority of our data will be electronic. Any info would be greatly appreciated.


This thread was automatically locked due to age.
  • 0
    I hope this thread is interesting to others.  It's clear that paokg4 is very knowledgable about Cisco and networking, but hasn't had that much time to play with Astaro.  We should forgive him his preference for the tool he knows, and welcome an insight into what someone from the "Cisco-world" sees when examining Astaro.

    In the spirit of helping to inform others as I learn, I want to move a PM he was kind enough to send me back over here.  In order to avoid confusion with the numbered lists earlier in this thread, I've taken the liberty of changing the list format below from 123 to ABC.


    3 points
    A. routing 

    i definitely see a problem with a firewall not being able to run bgp. i have seen it all to frequently when a company has multiple upstream providers. and you want to be able to assist your traffic to take the correct path.

    also when it comes to ripv2 vs ospf we are talking about these two very different routing protocols being used in different circumstances. if you have a particular network that simply needs to be advertised out over one link then of course you would run rip2 instead of ospf. ospf is a link state and multipath protocol used in determining the best routing path to a particular network, it's not used simply for advertising an ip range like rip2.


    B. 802.1q trunking.

    when you have a firewall with a set amount of interfaces you dont want to use up all the interfaces for each particular network or zone. An example of this would be when creating multiple DMZ networks. Theres no use in using 2 or 3 interfaces if you can group these into 1. what the 802.1q will allow you to do is basically use 1 physical interface on the firewall, create multiple logical sub interfaces, each with their own ip ranges and each with their own security levels.
    more specifically, if you have a logical area where a whole bunch of third parties connect into, you may not want to terminate them on the outside interface, and you wont want to terminate them within the internal network, so what you do is create a separate interface through which these networks connect into your own. so you might have 5 or 6 different companies or networks being pumped down one link out of the firewall and into a switch (to which these third parties connect. each company or third party will have its own security level and its own set of rules.
    now you wont want to use mutiple interfaces on the firewall, so you use 1 and with 802.1q vlan trunking you create your multiple (what you could call sub zones) sub interfaces.

    C. cost.
    you dont need to be a million dollar corporation to afford an ASA. if you want basic functionality, its great. yes there are limitations (ie with the amount of modules you can run) and that sucks.

    bottom line is, im not saying that ASA are the be all and end all when it comes to security, but ASA has basic functions that an astaro doesnt.
    one thing in particular that i like on the astaro is the policy based routing.

    now i can also go into further features which are needed on the astaro when it comes to UTM, but thats another topic.
  • 0
    A. It makes sense that Cisco devices continue to offer BGP for legacy systems, but I'm not sure it makes marketing sense for a newer company to attempt to compete for those customers.  I think the Astaro capabilites of "Uplink balancing with automatic failover" with traffic selectors and multipath rules answers the needs of those with multiple ISPs.  Interface persistence can be based on: Connection, Source, Destnation, Source/Destination or interface.

    I understand that it's easier to do basic things with RIP than OSPF, but, again, it's a marketing call whether to support legacy approaches.  Advertising a particular network is done easily by asking the ISP to provide a transfer network.

    B. This is exactly what many organizations do with their Astaros.

    C. No real disagreement.  I just think there are a lot more places where Astaro is a better (and cheaper) solution than Cisco.  Cisco is great stuff, and no consultant ever was second-guessed for giving it the top recommendation.

    now i can also go into further features which are needed on the astaro when it comes to UTM, but thats another topic.


    I'm willing to keep responding as long as you have specifics I can either confirm or explain how Astaro does the same thing in a different way or using difffernt marketing terms.

    Cheers - Bob
  • 0
    re #3: iirc, cisco's 'translation' is equivalent to NAT

    #6: Astaro's VLANs ARE standard 802.1q AND DO TRUNK. I'm doing it at home with a Netgear VLAN switch. I only have 2 NICs in Astaro, but have 4 networks!

    Barry
  • 0
    sorry ι stand corrected on the trunking. i did some further research and saw that u can attach multiple vlans to a physical interface and route between them (also inspect packets going from 1 vlan to another)....

    they should just do the config menu up a bit better with vlan trunking specified.

    also with the specification of ethernet settings (duplex, speed) astaro should put those under the setting up of an interface, rather than clicking on hardware and then editing the interface.