У нас есть две географически удаленные сети, и мы думаем о внедрении новой сетевой архитектуры с использованием двух CISCO ASA 5505s. Я ищу обзор и подтверждение, достижима ли эта архитектура с этими двумя межсетевыми экранами CISCO ASA 5505. Я хочу убедиться, что это оборудование соответствует нашим требованиям, прежде чем мы совершим покупку.
Сеть должна выглядеть так:
Location 1 public servers (on vmware ESXi 4.x)
========== | (VLAN 1 — DMZ)
Public access ----> +----------------+ --------+
Mobile worker ----> | CISCO ASA 5505 |
Internet <---- +----------------+ --------+
^ |
| private servers (on vmware ESXi 4.x)
| (VLAN 2)
| IPsec tunnel (VLAN 2)
|
Location 2 |
========== v
+----------------+
Internet <---- | CISCO ASA 5505 | --------+
+----------------+ |
LAN workstations and servers
(VLAN 2)
В Расположение 1 у нас есть несколько виртуализированных серверов, работающих на паре физических машин с vmware ESXi 4.x. Некоторые виртуальные машины доступны из Интернета для всех, поэтому их необходимо разместить в DMZ. Кроме того, наши сотрудники, которым требуется удаленный доступ, должны иметь возможность подключаться с помощью клиента CISCO VPN к ASA местоположения 1. Требуемый метод аутентификации - это сертификаты пользователей, выпущенные нашим центром сертификации на базе Windows.
Комплект для Location 1 будет ASA5505-UL-BUN-K9.
В Расположение 2 у нас есть только рабочие станции и несколько локальных серверов. Однако мобильные сотрудники, которые получают доступ к Location 1 через VPN, должны получить доступ к машинам, работающим в Location 2, поэтому маршрутизация из Loc. 1 в Loc. 2 необходимо настроить. VPN-доступ непосредственно к Location 2 не требуется, но он будет полезен в будущем.
Комплект для местоположения 2 будет ASA5505-50-BUN-K9.
Оба местоположения должны быть соединены безопасным прозрачным туннелем (например, IPsec, шифрование AES, скорее всего, предварительный общий ключ).
Частные вопросы:
Окружающая среда:
Любые другие подсказки или рекомендации приветствуются. Если вы сочтете это целесообразным, порекомендуйте также любое сетевое оборудование от альтернативных поставщиков.
Я не специалист по сетевым технологиям и какое-то время не работал с оборудованием CISCO, поэтому при необходимости обращайтесь за разъяснениями.
Существует ограничение на количество лицензированных VPN-подключений. По умолчанию ASA 5505 имеет 2 SSL VPN и 10 VPN с «удаленным доступом». Какой из этих двух ограничений применяется при использовании клиента CISCO VPN? Обратите внимание, что 10 нам достаточно, а 2 - нет.
Стандартный клиент Cisco VPN - IPSEC и использует лицензию VPN для «удаленного доступа». SSL VPN - это бесклиентский VPN, который не стоит многого, если вы не приобретете лицензии AnyConnect SSL VPN.
Лимит VPN-подключения является плавающим (= используется в настоящее время) или именованным (для каждого назначенного пользователя)?
Лицензии VPN предоставляются на одноранговое соединение VPN, а для настройки мобильного доступа это «одновременные соединения».
Действительно ли возможно использовать аутентификацию на основе сертификатов для VPN-соединения и будет ли это работать с центром сертификации на базе Windows?
Я не знаю ответа на этот вопрос наверняка, но интуитивно чувствую «да».
Да, Поддерживается Microsoft CA.
Существуют ли какие-либо жизнеспособные, более экономичные альтернативы ASA 5505 для Location 2, обеспечивающие такую же безопасность и аналогичные возможности маршрутизации? Встроенная точка доступа Wi-Fi - плюс.
Я довольно часто подключаю Cisco ASA к различным другим межсетевым экранам через VPN IPSEC между сайтами, поэтому все, что поддерживает стандарт IPSEC VPN, будет альтернативой для сайта 2.