Anticisco http://www.anticisco.ru/forum/ |
|
Топология сети с роутером и межсетевым экраном http://www.anticisco.ru/forum/viewtopic.php?f=2&t=11211 |
Страница 1 из 1 |
Автор: | Maxische [ 19 дек 2019, 11:16 ] |
Заголовок сообщения: | Топология сети с роутером и межсетевым экраном |
Есть некая контора с самой, видимо, распространенной сетевой топологией вида "интернет-маршрутизатор-коммутатор-клиенты". Есть несколько филиалов с такими же схемами, настроены dmvpn туннели на маршрутизаторах. Хочется внедрить для подключения удаленных клиентов anyconnect, для реализации чего понадобится cisco asa, DMVPN при этом должен остаться. Насколько я слышал, сама циска рекомендует схему "интернет-маршрутизатор-фаервол-коммутатор-клиенты", насколько этот вариант рабочий ? Возможно, есть иные способы ? |
Автор: | Praporwik [ 30 дек 2019, 13:54 ] |
Заголовок сообщения: | Re: Топология сети с роутером и межсетевым экраном |
Можно просто настроить асу чисто для впн подключений. Обычно, так и делают. |
Автор: | _2e_ [ 31 дек 2019, 07:59 ] |
Заголовок сообщения: | Re: Топология сети с роутером и межсетевым экраном |
Maxische писал(а): Есть некая контора с самой, видимо, распространенной сетевой топологией вида "интернет-маршрутизатор-коммутатор-клиенты". Есть несколько филиалов с такими же схемами, настроены dmvpn туннели на маршрутизаторах. Хочется внедрить для подключения удаленных клиентов anyconnect, для реализации чего понадобится cisco asa, DMVPN при этом должен остаться. Насколько я слышал, сама циска рекомендует схему "интернет-маршрутизатор-фаервол-коммутатор-клиенты", насколько этот вариант рабочий ? Возможно, есть иные способы ? ASA это всегда праздник. Ставьте больше ас. Работайте с ними. Не давайте себе расслабона. =) |
Автор: | mihalich [ 31 дек 2019, 09:21 ] |
Заголовок сообщения: | Re: Топология сети с роутером и межсетевым экраном |
_2e_ писал(а): ASA это всегда праздник. Ставьте больше ас. Работайте с ними. Не давайте себе расслабона. =) |
Автор: | Maxische [ 01 янв 2020, 23:58 ] |
Заголовок сообщения: | Re: Топология сети с роутером и межсетевым экраном |
Благодарю за комментарии, сам улыбнулся ) По теме, однако, сделал вывод, что так почти никто не делает. А жаль, ибо маршрутизаторы более пригодны для построения туннелей site-to-site, а в асе anyconnect работает с наибольшей гибкостью. Совместить это в одном устройстве было бы интересно. Всех с Новым годом ! |
Автор: | root99 [ 02 янв 2020, 00:54 ] |
Заголовок сообщения: | Re: Топология сети с роутером и межсетевым экраном |
Откройте для себя виртуальные девайсы рутер CSR1000v, для AnyConnect FirePOWER FTDv или старую добрую ASAv |
Автор: | siqueiros [ 02 янв 2020, 01:05 ] |
Заголовок сообщения: | Re: Топология сети с роутером и межсетевым экраном |
Maxische писал(а): Есть некая контора с самой, видимо, распространенной сетевой топологией вида "интернет-маршрутизатор-коммутатор-клиенты". Есть несколько филиалов с такими же схемами, настроены dmvpn туннели на маршрутизаторах. Хочется внедрить для подключения удаленных клиентов anyconnect, для реализации чего понадобится cisco asa, DMVPN при этом должен остаться. Насколько я слышал, сама циска рекомендует схему "интернет-маршрутизатор-фаервол-коммутатор-клиенты", насколько этот вариант рабочий ? Возможно, есть иные способы ? AnyConnect ведь можно развернуть на ISR, даже первого поколения. Почему не рассматриваете такой вариант? |
Автор: | root99 [ 02 янв 2020, 10:23 ] |
Заголовок сообщения: | Re: Топология сети с роутером и межсетевым экраном |
про ISR тем более первого поколения давно уже пора забыть т.к. низкая производительность, нет крипто стойких шифров, потенциально дырявая система и выставлять наружу не рекомендуется т.к. система по факту мертва и не обновляется - за это время вышло куча уязвимостей всё в том же SSL VPN и т.д. |
Автор: | Maxische [ 02 янв 2020, 12:57 ] |
Заголовок сообщения: | Re: Топология сети с роутером и межсетевым экраном |
siqueiros писал(а): AnyConnect ведь можно развернуть на ISR, даже первого поколения. Почему не рассматриваете такой вариант? Почему же не рассматриваю ? У меня в разных конторах как раз и работают 1800/2900 серии, и к ним я прикрутил anyconnect. Но его функционал урезан - все интересные фишки, как то интеграция в домен и иже с ними - на роутерах реализовать не получилось. Возможно, я криворучка ))) |
Автор: | Maxische [ 02 янв 2020, 13:00 ] |
Заголовок сообщения: | Re: Топология сети с роутером и межсетевым экраном |
root99 писал(а): Откройте для себя виртуальные девайсы рутер CSR1000v, для AnyConnect FirePOWER FTDv или старую добрую ASAv Мысль интересная, спасибо. CSR1000v ни разу не щупал, тем более в связке с FirePOWER FTDv. А ASAv чем лучше железной ? Прошивки свежее ? |
Автор: | root99 [ 02 янв 2020, 13:04 ] |
Заголовок сообщения: | Re: Топология сети с роутером и межсетевым экраном |
да нет сейчас разницы между железными рутерами АСАми и виртуальными, софт один и тот же, тем более АСА потихоньку заменяется теми же FirePOWER, новых моделей АС уже не будет, остался только софт..... |
Автор: | siqueiros [ 02 янв 2020, 21:30 ] |
Заголовок сообщения: | Re: Топология сети с роутером и межсетевым экраном |
root99 писал(а): да нет сейчас разницы между железными рутерамит..... А какое железо будет равнозначно по производительности 4K ISR, к примеру 4351? Чтобы стабильно держал шифрованные туннели, шустро NATил, обрабатывал АЦЛ? То есть какой процессор, материнку и память мне нужно использовать, чтобы собрать систему и поставить на нее CSR1000v и заиметь систему уровня 4351 по производительности ? Это по цене получится дешевле, чем железный 4351? Вообще CSR1000v "голым" ставится ? ЭтоLinux+Router софт? Или это образ только для гипервизора? |
Автор: | root99 [ 03 янв 2020, 00:39 ] |
Заголовок сообщения: | Re: Топология сети с роутером и межсетевым экраном |
CSR1000v как и остальные виртуальные продукты запускаются на гипервизорах VMware, KVM Кстати если собираетесь брать бушки смотрите не нарвитесь на Atom C2XX Clock Signal Issue - проверять нужно здесь https://www.cisco.com/c/en/us/support/d ... 64253.html http://serialnumbervalidation.com/64253 ... /index.cgi |
Автор: | Bessmertniy [ 03 янв 2020, 13:39 ] |
Заголовок сообщения: | Re: Топология сети с роутером и межсетевым экраном |
root99 писал(а): нет крипто стойких шифров Тут ты погорячился - даже тот же DES и сейчас вполне актуален, другое дело что уже нет того конского запаса. Цитата: А какое железо будет равнозначно по производительности 4K ISR, к примеру 4351? Чтобы стабильно держал шифрованные туннели, шустро NATил, обрабатывал АЦЛ? Любой не совсем старый Xeon с AES-NI на котором взлетит ESXi подойдет. У меня есть X5650 который таскает гигабит вообще не напрягаясь и киловольтник там ни разу не единственная машина. |
Автор: | root99 [ 03 янв 2020, 14:36 ] |
Заголовок сообщения: | Re: Топология сети с роутером и межсетевым экраном |
с каких пор DES криптостойкий шифр - в нормальных продакшенах уже давно не используется.... |
Автор: | Bessmertniy [ 03 янв 2020, 18:09 ] |
Заголовок сообщения: | Re: Топология сети с роутером и межсетевым экраном |
А с каких пор он им быть перестал? Кроме длины ключа существенных уязвимостей нет, вернее они есть, но очень специфические. Для коммерческого применения вполне сойдет. |
Автор: | root99 [ 03 янв 2020, 18:38 ] |
Заголовок сообщения: | Re: Топология сети с роутером и межсетевым экраном |
DES на сегодняшнее время не считается действующим крипто протоколом который выполняет свои задачи - т.к. налету весь трафик можно расшифровать - это и есть основная уязвимость... и для продакшен сетей уважающие себя люди не будут использовать этот алгоритм.... |
Автор: | Bessmertniy [ 03 янв 2020, 18:52 ] |
Заголовок сообщения: | Re: Топология сети с роутером и межсетевым экраном |
Нет, DES как и все нормальные блочные шифры на лету в принципе не разбирается (я про нормальные, не ослабленные таблицы подстановки). Теоретически можно сбрутфорсить за короткий срок, но нужно некисло вложиться в железо. А не используют его в основном потому что есть более надежный и быстрый AES. |
Автор: | siqueiros [ 03 янв 2020, 23:59 ] |
Заголовок сообщения: | Re: Топология сети с роутером и межсетевым экраном |
root99 писал(а): CSR1000v как и остальные виртуальные продукты запускаются на гипервизорах VMware, KVM Кстати если собираетесь брать бушки смотрите не нарвитесь на Atom C2XX Clock Signal Issue - проверять нужно здесь https://www.cisco.com/c/en/us/support/d ... 64253.html http://serialnumbervalidation.com/64253 ... /index.cgi Да, собираюсь! Спасибо большое за ссылку! |
Автор: | dijix [ 04 янв 2020, 04:16 ] |
Заголовок сообщения: | Re: Топология сети с роутером и межсетевым экраном |
Bessmertniy писал(а): Нет, DES как и все нормальные блочные шифры на лету в принципе не разбирается (я про нормальные, не ослабленные таблицы подстановки). Теоретически можно сбрутфорсить за короткий срок, но нужно некисло вложиться в железо. А не используют его в основном потому что есть более надежный и быстрый AES. поэтому его и не используют, он слишком ресурсоемкий, а метод увеличения его криптостойкости сказывается на увеличение мощностей в 3 раза, не знаю кому в наше время это надо |
Страница 1 из 1 | Часовой пояс: UTC + 3 часа |
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |