Назад | Перейти на главную страницу

Cisco ASA 5505 - требуется больше сетей VPN типа "сеть-сеть"

Я использую Cisco ASA 5505 Межсетевой экран на 50 пользователей в объекте совместного размещения. Системы в этом месте выполняют мониторинг дополнительных удаленных сайтов (также работающих на устройствах Pix или ASA). Я установил туннели между сайтами, но достиг жесткого предела устройства в соответствии с его текущей схемой лицензирования. Модель ASA 5505 ограничена 10 одновременными туннелями IPsec.

Мне интересно узнать о моих возможностях здесь. В идеале я бы хотел иметь возможность обрабатывать 15-20 подключений. Из исследований выяснилось, что я могу добавить дополнительный Безопасность Плюс лицензия на расширение до 25 туннелей VPN. Другой вариант, похоже, переходит на Cisco ASA 5510.

Учитывая, что у меня небольшое количество систем в офисе, будет ли переход на ASA 5510 только для того, чтобы получить дополнительную функциональность VPN? Есть ли недостатки (оборудование, производительность и т. Д.) У обновления ASA 5505 до 25-VPN? Есть ли другие варианты, которые я пропустил?

Да, обновление до 5510 только для туннелей VPN - это излишне.

Однако есть несколько вариантов, которые вы, возможно, захотите иметь в будущем, которые могут поддерживать только ASA5510 и выше:

  • Отработка отказа с отслеживанием состояния (активный / активный или активный / пассивный, последний становится чрезвычайно популярным)
  • 125000 подключений на 5510 по сравнению с 25000 подключений на 5505
  • В 3 раза больше пропускной способности сети. Возможно, вы захотите однажды добавить еще одну сеть / vlan на ASA, а скорость внутри VLAN должна быть немного выше 100 Мбит / с? Я был в такой ситуации несколько раз ..
  • Безопасность содержимого, защита от вредоносных программ, антивирус и т. Д. (Модули SSM)
  • Поддержка Etherchannel - ОЧЕНЬ полезно, если вы используете стековые коммутаторы (например, 3750) в качестве магистрали.
  • Намного, намного лучшее охлаждение с двумя вентиляторами. Это может быть очень важно для вас в зависимости от среды, в которой они работают.

Я надеюсь, что это поможет вам, хотя я знаю, что есть большая разница в ценах.

Если вы можете представить себе ситуацию, когда вам может понадобиться более 25 туннелей, выберите 5510; Нет смысла тратить лишние деньги на лицензию 5505 security plus, если она не удовлетворит ваши потребности в долгосрочной перспективе.

Тем не менее, если 15-20 - это все, что вам когда-либо понадобится, тогда получить обновление лицензии будет намного экономичнее.

Ограничения Cisco на устройства довольно произвольны; они очень мало связаны с ограничениями производительности ASA, а все связаны с наличием множества ложных барьеров, заставляющих вас переходить на более дорогое устройство. Я бы не ожидал каких-либо проблем с производительностью с 5505, пока вы не заполните эти 100-мегабайтные интерфейсы.

У меня возникнет соблазн вложить деньги в 5510. Посмотрите сравнение моделей здесь: http://www.cisco.com/en/US/products/ps6120/prod_models_comparison.html#~mid-range

Обратите внимание, что между моделями есть фактические аппаратные различия. Мой 5505 имеет процессор Geode 500 МГц, а мой 5510 - процессор Pentium 4 Celeron 1600 МГц.

20 активных VPN-туннелей сильно нагружают процессор, и, вероятно, он достигнет максимума на 5505 до того, как будут заполнены сами интерфейсы 100 МБ. Многое зависит от того, сколько данных вы отправляете через туннели, и от того, являются ли они 3DES или AES (AES более эффективен для ЦП).

Если вы не возражаете против торга по замене оборудования, то я бы сказал, что это 5510. но если вам не понравится что-то отключать, то обновление лицензии тоже подойдет вам. не для того, чтобы вмешиваться в эту идею, но если вы ищете другую возможность аварийного переключения, вы можете использовать некоторые маршрутизаторы cisco 2800 и использовать DMVPN. динамическая маршрутизация, для каждого сайта на сайт (при необходимости), но я просто теряю 2 гроша