VPN

Модераторы: Trinity admin`s, Free-lance moderator`s

Ответить
ZyU
Advanced member
Сообщения: 83
Зарегистрирован: 22 янв 2007, 22:36
Откуда: Ростов-на-Дону
Контактная информация:

VPN

Сообщение ZyU » 11 июл 2007, 16:40

Правильно ли я думаю?
Есть задача настроить VPN между головным офисом и 5 филиалами. Есть желание под эту задачу использовать Cisco ASA 5505. В головной офис поставить ASA5505-SSL10-K9 ASA 5505 VPN Edition w/ 10 SSL Users, 50 FW Users, 3DES/AES, а в филиалы ASA5505-50-BUN-K9 ASA 5505 Appliance with SW, 50 Users, 8 ports, 3DES/AES. Будут ли между ними работать VPN соединения без дополнительных манипуляций с установкой VPN клиентов на компьютеры?

and3008
Заслуженный сетевик
Сообщения: 1109
Зарегистрирован: 03 янв 2004, 23:30
Откуда: Н.Новгород

Сообщение and3008 » 12 июл 2007, 01:10

Все зависит от уровня параноидальности защиты.
Если нужно шифровать трафик из "конца в конец" или host-to-host, то прийдется ставить клиента на компы, если чем-то стандартный виндузовый IPSec вам чем-то не понравится.

Если вы доверяете локальным сетям филиалов и головного офиса, то достаточно зашифровывать трафик при выходе трафика из локальной сети и дешифровывать при входе из внешней сети. Внутри локальных сетей трафик будет идти незашифрованный. VPN-клиентов на компы ставить не прийдется.

ZyU
Advanced member
Сообщения: 83
Зарегистрирован: 22 янв 2007, 22:36
Откуда: Ростов-на-Дону
Контактная информация:

Сообщение ZyU » 12 июл 2007, 09:49

Дело не в параноидальности защиты :)  Вопрос будет ли работать VPN между двумя ASAми без посторонней помощи, т.е. сможет ли простая ASA 5505 Firewall Edition без VPN лицензий, работать VPN клиентом ASA VPN Edition с 10 или 25 этими самыми лицензиями.

and3008
Заслуженный сетевик
Сообщения: 1109
Зарегистрирован: 03 янв 2004, 23:30
Откуда: Н.Новгород

Сообщение and3008 » 12 июл 2007, 14:55

А почему бы вам этот вопрос не задать продавцу? Например я скажу "Да!", а реально будет наоборот. Тогда что?

ZyU
Advanced member
Сообщения: 83
Зарегистрирован: 22 янв 2007, 22:36
Откуда: Ростов-на-Дону
Контактная информация:

Сообщение ZyU » 12 июл 2007, 16:08

Ну насколько я понимаю, вопрос я задал на форуме продавца, плюс на котором высказывают мнение специалисты, если вы скажете "Да" просто чтоб что-то сказать то лучше ненадо, если это "Да" основывается на собственом опыте, то это очень важное "Да". А большеснство местных продавцов занимаются исключительно привозом железа, как его потом запускать их слабо колышет :)

Oleg2
Заслуженный сетевик
Сообщения: 494
Зарегистрирован: 15 окт 2004, 17:47
Откуда: Москва

Сообщение Oleg2 » 14 июл 2007, 20:09

ZyU писал(а):Ну насколько я понимаю, вопрос я задал на форуме продавца, плюс на котором высказывают мнение специалисты, если вы скажете "Да" просто чтоб что-то сказать то лучше ненадо, если это "Да" основывается на собственом опыте, то это очень важное "Да". А большеснство местных продавцов занимаются исключительно привозом железа, как его потом запускать их слабо колышет :)
Давайте договариваться о терминологии:
1) Если Вам нужно связать друг с другом сети филиалов и центрального офиса, то Вам нужно делать site-to-site VPN.
2) Если Вы хотите, чтобы клиентские машины могли цепляться безопасно к центральному серверу через VPN каналы организуемые самостоятельно, то это называется host-to-host VPN.
3) Если Вы хотите, чтобы удалённые машины могли цепляться к некой железке, через которую они смогут входить в сеть и видеть через VPN все внутренние хосты, то это называется host-to-site VPN.

Какой из Вариантов наиболее точно описывает Вашу ситуацию?

Касательно Вашего вопроса о совместимости. Естественно они должны уметь делать конннект друг к другу. Иначе это не железки а помойка.
Нюанс. железки ASA поддерживают не только IPsec но и SSL (правда за отдельные деньги) VPN.
И ещё. Оцените Вашу потребность в объёме трафика, прокачиваемого через VPN . Если у Вас будет очень большой объём трафика, то Вам может просто не хватить счётных возможностей центральной железки, особенно если не ней будет одновременно будет висеть несколько коннектов.

Сравнение моделей Cisco ASA можно посмотреть здесь:
http://www.cisco.com/en/US/products/ps6 ... rison.html

ZyU
Advanced member
Сообщения: 83
Зарегистрирован: 22 янв 2007, 22:36
Откуда: Ростов-на-Дону
Контактная информация:

Сообщение ZyU » 16 июл 2007, 09:31

Нужен site-to-site VPN. Объем траффика не очень большой, исключительно терминальная работа с базами 1С, возможно иногда переброс файлов.

Oleg2
Заслуженный сетевик
Сообщения: 494
Зарегистрирован: 15 окт 2004, 17:47
Откуда: Москва

Сообщение Oleg2 » 16 июл 2007, 14:44

ZyU писал(а):Нужен site-to-site VPN. Объем траффика не очень большой, исключительно терминальная работа с базами 1С, возможно иногда переброс файлов.
Тогда читайте документ по ссылке, которую я привёл в предыдущем посте и определяйтесь с железкой, которая подойдёт под Ваши задачи.

Будут вопросы - пишите сюда.

Ответить

Вернуться в «Сети - Вопросы конфигурирования сети»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 9 гостей