Назад | Перейти на главную страницу

Соединение двух мест с помощью CISCO ASA 5505, обеспечивая доступ к VPN, а также общий доступ

У нас есть две географически удаленные сети, и мы думаем о внедрении новой сетевой архитектуры с использованием двух CISCO ASA 5505s. Я ищу обзор и подтверждение, достижима ли эта архитектура с этими двумя межсетевыми экранами CISCO ASA 5505. Я хочу убедиться, что это оборудование соответствует нашим требованиям, прежде чем мы совершим покупку.

Сеть должна выглядеть так:

Location 1                                      public servers (on vmware ESXi 4.x)
==========                                      |     (VLAN 1 — DMZ)
Public access  ----> +----------------+ --------+
Mobile worker  ----> | CISCO ASA 5505 |
Internet       <---- +----------------+ --------+
                       ^                        |
                       |                        private servers (on vmware ESXi 4.x)
                       |                              (VLAN 2)
                       | IPsec tunnel (VLAN 2)
                       |
Location 2             |
==========             v
                     +----------------+
Internet       <---- | CISCO ASA 5505 | --------+ 
                     +----------------+         |
                                                LAN workstations and servers
                                                      (VLAN 2)

В Расположение 1 у нас есть несколько виртуализированных серверов, работающих на паре физических машин с vmware ESXi 4.x. Некоторые виртуальные машины доступны из Интернета для всех, поэтому их необходимо разместить в DMZ. Кроме того, наши сотрудники, которым требуется удаленный доступ, должны иметь возможность подключаться с помощью клиента CISCO VPN к ASA местоположения 1. Требуемый метод аутентификации - это сертификаты пользователей, выпущенные нашим центром сертификации на базе Windows.

Комплект для Location 1 будет ASA5505-UL-BUN-K9.

В Расположение 2 у нас есть только рабочие станции и несколько локальных серверов. Однако мобильные сотрудники, которые получают доступ к Location 1 через VPN, должны получить доступ к машинам, работающим в Location 2, поэтому маршрутизация из Loc. 1 в Loc. 2 необходимо настроить. VPN-доступ непосредственно к Location 2 не требуется, но он будет полезен в будущем.

Комплект для местоположения 2 будет ASA5505-50-BUN-K9.

Оба местоположения должны быть соединены безопасным прозрачным туннелем (например, IPsec, шифрование AES, скорее всего, предварительный общий ключ).

Частные вопросы:

  1. Существует ограничение на количество лицензированных VPN-подключений. По умолчанию ASA 5505 имеет 2 SSL VPN и 10 VPN с «удаленным доступом». Какой из этих двух ограничений применяется при использовании клиента CISCO VPN? Обратите внимание, что 10 нам достаточно, а 2 - нет.
  2. Лимит VPN-подключения является плавающим (= используется в настоящее время) или именованным (для каждого назначенного пользователя)?
  3. Действительно ли возможно использовать аутентификацию на основе сертификатов для VPN-соединения и будет ли это работать с центром сертификации на базе Windows?
  4. Существуют ли какие-либо жизнеспособные, более экономичные альтернативы ASA 5505 для Location 2, обеспечивающие такую ​​же безопасность и аналогичные возможности маршрутизации? Встроенная точка доступа Wi-Fi - плюс.

Окружающая среда:


Любые другие подсказки или рекомендации приветствуются. Если вы сочтете это целесообразным, порекомендуйте также любое сетевое оборудование от альтернативных поставщиков.

Я не специалист по сетевым технологиям и какое-то время не работал с оборудованием CISCO, поэтому при необходимости обращайтесь за разъяснениями.

Существует ограничение на количество лицензированных VPN-подключений. По умолчанию ASA 5505 имеет 2 SSL VPN и 10 VPN с «удаленным доступом». Какой из этих двух ограничений применяется при использовании клиента CISCO VPN? Обратите внимание, что 10 нам достаточно, а 2 - нет.

Стандартный клиент Cisco VPN - IPSEC и использует лицензию VPN для «удаленного доступа». SSL VPN - это бесклиентский VPN, который не стоит многого, если вы не приобретете лицензии AnyConnect SSL VPN.

Лимит VPN-подключения является плавающим (= используется в настоящее время) или именованным (для каждого назначенного пользователя)?

Лицензии VPN предоставляются на одноранговое соединение VPN, а для настройки мобильного доступа это «одновременные соединения».

Действительно ли возможно использовать аутентификацию на основе сертификатов для VPN-соединения и будет ли это работать с центром сертификации на базе Windows?

Я не знаю ответа на этот вопрос наверняка, но интуитивно чувствую «да».

Да, Поддерживается Microsoft CA.

Существуют ли какие-либо жизнеспособные, более экономичные альтернативы ASA 5505 для Location 2, обеспечивающие такую ​​же безопасность и аналогичные возможности маршрутизации? Встроенная точка доступа Wi-Fi - плюс.

Я довольно часто подключаю Cisco ASA к различным другим межсетевым экранам через VPN IPSEC между сайтами, поэтому все, что поддерживает стандарт IPSEC VPN, будет альтернативой для сайта 2.