Anticisco
http://www.anticisco.ru/forum/

Топология сети с роутером и межсетевым экраном
http://www.anticisco.ru/forum/viewtopic.php?f=2&t=11211
Страница 1 из 1

Автор:  Maxische [ 19 дек 2019, 11:16 ]
Заголовок сообщения:  Топология сети с роутером и межсетевым экраном

Есть некая контора с самой, видимо, распространенной сетевой топологией вида "интернет-маршрутизатор-коммутатор-клиенты". Есть несколько филиалов с такими же схемами, настроены dmvpn туннели на маршрутизаторах. Хочется внедрить для подключения удаленных клиентов anyconnect, для реализации чего понадобится cisco asa, DMVPN при этом должен остаться. Насколько я слышал, сама циска рекомендует схему "интернет-маршрутизатор-фаервол-коммутатор-клиенты", насколько этот вариант рабочий ? Возможно, есть иные способы ?

Автор:  Praporwik [ 30 дек 2019, 13:54 ]
Заголовок сообщения:  Re: Топология сети с роутером и межсетевым экраном

Можно просто настроить асу чисто для впн подключений. Обычно, так и делают.

Автор:  _2e_ [ 31 дек 2019, 07:59 ]
Заголовок сообщения:  Re: Топология сети с роутером и межсетевым экраном

Maxische писал(а):
Есть некая контора с самой, видимо, распространенной сетевой топологией вида "интернет-маршрутизатор-коммутатор-клиенты". Есть несколько филиалов с такими же схемами, настроены dmvpn туннели на маршрутизаторах. Хочется внедрить для подключения удаленных клиентов anyconnect, для реализации чего понадобится cisco asa, DMVPN при этом должен остаться. Насколько я слышал, сама циска рекомендует схему "интернет-маршрутизатор-фаервол-коммутатор-клиенты", насколько этот вариант рабочий ? Возможно, есть иные способы ?


ASA это всегда праздник. Ставьте больше ас. Работайте с ними. Не давайте себе расслабона. =)

Автор:  mihalich [ 31 дек 2019, 09:21 ]
Заголовок сообщения:  Re: Топология сети с роутером и межсетевым экраном

_2e_ писал(а):
ASA это всегда праздник. Ставьте больше ас. Работайте с ними. Не давайте себе расслабона. =)

:lol:

Автор:  Maxische [ 01 янв 2020, 23:58 ]
Заголовок сообщения:  Re: Топология сети с роутером и межсетевым экраном

Благодарю за комментарии, сам улыбнулся ) По теме, однако, сделал вывод, что так почти никто не делает. А жаль, ибо маршрутизаторы более пригодны для построения туннелей site-to-site, а в асе anyconnect работает с наибольшей гибкостью. Совместить это в одном устройстве было бы интересно. Всех с Новым годом !

Автор:  root99 [ 02 янв 2020, 00:54 ]
Заголовок сообщения:  Re: Топология сети с роутером и межсетевым экраном

Откройте для себя виртуальные девайсы рутер CSR1000v, для AnyConnect FirePOWER FTDv или старую добрую ASAv

Автор:  siqueiros [ 02 янв 2020, 01:05 ]
Заголовок сообщения:  Re: Топология сети с роутером и межсетевым экраном

Maxische писал(а):
Есть некая контора с самой, видимо, распространенной сетевой топологией вида "интернет-маршрутизатор-коммутатор-клиенты". Есть несколько филиалов с такими же схемами, настроены dmvpn туннели на маршрутизаторах. Хочется внедрить для подключения удаленных клиентов anyconnect, для реализации чего понадобится cisco asa, DMVPN при этом должен остаться. Насколько я слышал, сама циска рекомендует схему "интернет-маршрутизатор-фаервол-коммутатор-клиенты", насколько этот вариант рабочий ? Возможно, есть иные способы ?


AnyConnect ведь можно развернуть на ISR, даже первого поколения. Почему не рассматриваете такой вариант?

Автор:  root99 [ 02 янв 2020, 10:23 ]
Заголовок сообщения:  Re: Топология сети с роутером и межсетевым экраном

про ISR тем более первого поколения давно уже пора забыть т.к. низкая производительность, нет крипто стойких шифров, потенциально дырявая система и выставлять наружу не рекомендуется т.к. система по факту мертва и не обновляется - за это время вышло куча уязвимостей всё в том же SSL VPN и т.д.

Автор:  Maxische [ 02 янв 2020, 12:57 ]
Заголовок сообщения:  Re: Топология сети с роутером и межсетевым экраном

siqueiros писал(а):

AnyConnect ведь можно развернуть на ISR, даже первого поколения. Почему не рассматриваете такой вариант?


Почему же не рассматриваю ? У меня в разных конторах как раз и работают 1800/2900 серии, и к ним я прикрутил anyconnect. Но его функционал урезан - все интересные фишки, как то интеграция в домен и иже с ними - на роутерах реализовать не получилось. Возможно, я криворучка )))

Автор:  Maxische [ 02 янв 2020, 13:00 ]
Заголовок сообщения:  Re: Топология сети с роутером и межсетевым экраном

root99 писал(а):
Откройте для себя виртуальные девайсы рутер CSR1000v, для AnyConnect FirePOWER FTDv или старую добрую ASAv


Мысль интересная, спасибо. CSR1000v ни разу не щупал, тем более в связке с FirePOWER FTDv. А ASAv чем лучше железной ? Прошивки свежее ?

Автор:  root99 [ 02 янв 2020, 13:04 ]
Заголовок сообщения:  Re: Топология сети с роутером и межсетевым экраном

да нет сейчас разницы между железными рутерами АСАми и виртуальными, софт один и тот же, тем более АСА потихоньку заменяется теми же FirePOWER, новых моделей АС уже не будет, остался только софт.....

Автор:  siqueiros [ 02 янв 2020, 21:30 ]
Заголовок сообщения:  Re: Топология сети с роутером и межсетевым экраном

root99 писал(а):
да нет сейчас разницы между железными рутерамит.....


А какое железо будет равнозначно по производительности 4K ISR, к примеру 4351? Чтобы стабильно держал шифрованные туннели, шустро NATил, обрабатывал АЦЛ?
То есть какой процессор, материнку и память мне нужно использовать, чтобы собрать систему и поставить на нее CSR1000v и заиметь систему уровня 4351 по производительности ? Это по цене получится дешевле, чем железный 4351?
Вообще CSR1000v "голым" ставится ? ЭтоLinux+Router софт? Или это образ только для гипервизора?

Автор:  root99 [ 03 янв 2020, 00:39 ]
Заголовок сообщения:  Re: Топология сети с роутером и межсетевым экраном

CSR1000v как и остальные виртуальные продукты запускаются на гипервизорах VMware, KVM

Кстати если собираетесь брать бушки смотрите не нарвитесь на Atom C2XX Clock Signal Issue - проверять нужно здесь https://www.cisco.com/c/en/us/support/d ... 64253.html

http://serialnumbervalidation.com/64253 ... /index.cgi

Автор:  Bessmertniy [ 03 янв 2020, 13:39 ]
Заголовок сообщения:  Re: Топология сети с роутером и межсетевым экраном

root99 писал(а):
нет крипто стойких шифров

Тут ты погорячился - даже тот же DES и сейчас вполне актуален, другое дело что уже нет того конского запаса.
Цитата:
А какое железо будет равнозначно по производительности 4K ISR, к примеру 4351? Чтобы стабильно держал шифрованные туннели, шустро NATил, обрабатывал АЦЛ?

Любой не совсем старый Xeon с AES-NI на котором взлетит ESXi подойдет. У меня есть X5650 который таскает гигабит вообще не напрягаясь и киловольтник там ни разу не единственная машина.

Автор:  root99 [ 03 янв 2020, 14:36 ]
Заголовок сообщения:  Re: Топология сети с роутером и межсетевым экраном

с каких пор DES криптостойкий шифр - в нормальных продакшенах уже давно не используется....

Автор:  Bessmertniy [ 03 янв 2020, 18:09 ]
Заголовок сообщения:  Re: Топология сети с роутером и межсетевым экраном

А с каких пор он им быть перестал? Кроме длины ключа существенных уязвимостей нет, вернее они есть, но очень специфические. Для коммерческого применения вполне сойдет.

Автор:  root99 [ 03 янв 2020, 18:38 ]
Заголовок сообщения:  Re: Топология сети с роутером и межсетевым экраном

DES на сегодняшнее время не считается действующим крипто протоколом который выполняет свои задачи - т.к. налету весь трафик можно расшифровать - это и есть основная уязвимость... и для продакшен сетей уважающие себя люди не будут использовать этот алгоритм....

Автор:  Bessmertniy [ 03 янв 2020, 18:52 ]
Заголовок сообщения:  Re: Топология сети с роутером и межсетевым экраном

Нет, DES как и все нормальные блочные шифры на лету в принципе не разбирается (я про нормальные, не ослабленные таблицы подстановки). Теоретически можно сбрутфорсить за короткий срок, но нужно некисло вложиться в железо. А не используют его в основном потому что есть более надежный и быстрый AES.

Автор:  siqueiros [ 03 янв 2020, 23:59 ]
Заголовок сообщения:  Re: Топология сети с роутером и межсетевым экраном

root99 писал(а):
CSR1000v как и остальные виртуальные продукты запускаются на гипервизорах VMware, KVM

Кстати если собираетесь брать бушки смотрите не нарвитесь на Atom C2XX Clock Signal Issue - проверять нужно здесь https://www.cisco.com/c/en/us/support/d ... 64253.html

http://serialnumbervalidation.com/64253 ... /index.cgi


Да, собираюсь! Спасибо большое за ссылку!

Автор:  dijix [ 04 янв 2020, 04:16 ]
Заголовок сообщения:  Re: Топология сети с роутером и межсетевым экраном

Bessmertniy писал(а):
Нет, DES как и все нормальные блочные шифры на лету в принципе не разбирается (я про нормальные, не ослабленные таблицы подстановки). Теоретически можно сбрутфорсить за короткий срок, но нужно некисло вложиться в железо. А не используют его в основном потому что есть более надежный и быстрый AES.

поэтому его и не используют, он слишком ресурсоемкий, а метод увеличения его криптостойкости сказывается на увеличение мощностей в 3 раза, не знаю кому в наше время это надо

Страница 1 из 1 Часовой пояс: UTC + 3 часа
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/