Прямо сейчас в моей компании мы используем PPTP Windows VPN для людей, которые могут подключаться удаленно (dial-in), и мы думаем о том, чтобы вместо этого использовать решение Cisco (такое, когда вы загружаете этот клиент cisco с этим желтым замком на панели задач похоже, хорошо работал в тех местах, где я был). Так что я ищу помощь в моем первоначальном исследовании этого, особенно ключевых слов, если вы не можете сказать :-)
Мой университет переходит на Cisco VPN с PPTP, поэтому могу сказать, что это не так хорошо, как может показаться.
Cisco продвигает SSL VPN, но стоимость ее лицензии на соединение. Это делает клиент AnyConnect, который Cisco активно развивает.
IPsec VPN не имеет лицензии на соединение, но может быть выполнено только с помощью «Cisco VPN Client», который не поддерживает 64-разрядную версию Windows. система. А в Windows 7 (32-разрядной версии) для работы требуются обходные пути. Кроме того, в настоящее время нет планов по обеспечению 64-разрядной поддержки «Cisco VPN Client».
И, если вы рассматриваете устройства ASA, у них неудобное и несколько ошибочное управление.
1) Это IPSEC VPN, хотя и слегка проприетарная версия cisco. Они могут быть от сайта к сайту или от пользователя к сайту.
2) Вы можете использовать активный каталог для аутентификации, а также многие другие источники.
3) Если под несколькими серверами вы подразумеваете несколько серверов VPN как разные конечные точки, тогда да.
4) Для этих устройств доступны vpn-модули, возможность их использования зависит от ожидаемой нагрузки, но для менее чем 50 одновременных пользователей у вас не возникнет особых проблем, и фактически нагрузка, которую они могут направить, равна наверное намного выше. Таким образом, VPN может создавать большую нагрузку в зависимости от того, что делают ваши пользователи. Я не знаю, какую версию IOS вам нужно запустить, попробуйте запустить самую последнюю версию.
5) Я считаю, что лицензирование осуществляется одновременным пользователем - плюс дополнительные затраты на аппаратные модули.
6) Cisco может поддерживать веб-vpn.
6) Cisco vpn - хорошее стандартное решение, особенно для удаленных сотрудников на базе Windows. Однако есть ряд более дешевых альтернатив, которые реализуют более общий ipsec и могут быть подходящими, например Sonicwall. Также Juniper производит приличное оборудование для VPN. Если вы хотите пойти по пути с открытым исходным кодом, проверьте openvpn, возможно, мою любимую реализацию vpn где угодно, но вам нужно немного покопаться, чтобы заставить ее работать для удаленных сотрудников, и это может быть неприменимо в вашей ситуации.
Клиент, о котором вы говорите, называется клиентом AnyConnect (который требует дополнительного лицензирования для ASA).
Вы можете использовать IAS (встроенный в Windows Server) в качестве сервера RADIUS и аутентифицироваться в AD. Однако вам также следует изучить TACACS + (контроль доступа), если у вас будет очень много людей, управляющих вашими маршрутизаторами или межсетевыми экранами.
Я не знаю, есть ли конкретное «название» для технологии Cisco Remote Access VPN. Их клиентское программное обеспечение носит различные названия («Cisco VPN Client», «AnyConnect» и т. Д.). Cisco VPN исторически использовали IPSEC, но в последние несколько лет они также начали использовать VPN на основе SSL.
Вы можете довольно легко использовать RADIUS (и встроенный сервер Windows RADIUS, IAS) для внутренней аутентификации в Active Directory. Некоторое оборудование Cisco (в частности, их серия VPN Concentrator) также поддерживает прямую внутреннюю аутентификацию для доменов Windows, но я по-прежнему склонен использовать RADIUS на этих устройствах. В традиционной IPSEC VPN это делается с помощью XAUTH. Я не уверен, что эта функция называется в SSL VPN, но она также доступна.
"Могу ли я запустить несколько серверов ...?" Несколько конечных точек VPN для подключения клиентов? Конечно. Тем не менее, вы должны координировать, чтобы клиенты подключались к нужному. (Я тебя к этому готов?)
Функциональность SSL VPN лицензируется для каждого пользователя. Функциональность VPN на основе IPSEC, как я полагаю, ограничена жестко установленным лимитом подключения в IOS (так что, по сути, он тоже лицензируется - только менее гибким образом).
Производительность будет зависеть от загруженности трафика. Серия 2800 имеет встроенный модуль криптографической разгрузки (см. Раздел «Безопасность» Маршрутизаторы с интегрированными сервисами Cisco серии 2800), но также доступен модуль (AIM) для криптографической разгрузки, который предположительно удваивает производительность встроенного модуля разгрузки. (В этом документе, на который я ссылаюсь, показаны значения пропускной способности трафика IPSEC для различных маршрутизаторов серии 2800.)
Я завершаю большинство сетей Cisco VPN на устройствах ASA-5505 и PIX, поэтому мой опыт их завершения на маршрутизаторах ограничен. Кроме того, я отказался от их предложения VPN на основе SSL, прежде всего потому, что «традиционный» VPN на основе IPSEC хорошо зарекомендовал себя для моих клиентов. Таким образом, я мало знаком с обоими. Сказав это, вот несколько документов, которые могут быть полезны:
VPN с удаленным доступом: производительность, развертывание и безопасность бизнеса - Больше болтовни о продажах, чем чего-либо, но они говорят о различиях между их предложениями SSL и VPN на основе IPSEC.
Функции сетевой безопасности на маршрутизаторах Cisco с интегрированными сервисами - Обсудили функции, доступные на маршрутизаторах IOS re: security, включая серию 2800
Cisco IOS SSL VPN - вопросы и ответы - Включает подробную информацию о лицензировании функции SSL VPN.
Вот еще одна альтернатива ... ipUnplugged Mobile VPN от Radio IP Software. Это мобильная VPN с IPSec, основанная на стандартах Mobile IP, и она всегда включена. Пользователю не нужно запускать / останавливать VPN; он достаточно умен, чтобы знать, когда пользователь находится в офисе и отключает шифрование. www.ipunplugged.com