Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 11:51



Ответить на тему  [ Сообщений: 20 ] 
Топология сети с роутером и межсетевым экраном 
Автор Сообщение

Зарегистрирован: 18 июн 2015, 08:26
Сообщения: 155
Есть некая контора с самой, видимо, распространенной сетевой топологией вида "интернет-маршрутизатор-коммутатор-клиенты". Есть несколько филиалов с такими же схемами, настроены dmvpn туннели на маршрутизаторах. Хочется внедрить для подключения удаленных клиентов anyconnect, для реализации чего понадобится cisco asa, DMVPN при этом должен остаться. Насколько я слышал, сама циска рекомендует схему "интернет-маршрутизатор-фаервол-коммутатор-клиенты", насколько этот вариант рабочий ? Возможно, есть иные способы ?


19 дек 2019, 11:16
Профиль

Зарегистрирован: 10 июл 2019, 18:21
Сообщения: 103
Можно просто настроить асу чисто для впн подключений. Обычно, так и делают.


30 дек 2019, 13:54
Профиль

Зарегистрирован: 14 май 2009, 12:57
Сообщения: 2067
Откуда: Волгоград
Maxische писал(а):
Есть некая контора с самой, видимо, распространенной сетевой топологией вида "интернет-маршрутизатор-коммутатор-клиенты". Есть несколько филиалов с такими же схемами, настроены dmvpn туннели на маршрутизаторах. Хочется внедрить для подключения удаленных клиентов anyconnect, для реализации чего понадобится cisco asa, DMVPN при этом должен остаться. Насколько я слышал, сама циска рекомендует схему "интернет-маршрутизатор-фаервол-коммутатор-клиенты", насколько этот вариант рабочий ? Возможно, есть иные способы ?


ASA это всегда праздник. Ставьте больше ас. Работайте с ними. Не давайте себе расслабона. =)


31 дек 2019, 07:59
Профиль ICQ

Зарегистрирован: 03 дек 2019, 09:17
Сообщения: 42
_2e_ писал(а):
ASA это всегда праздник. Ставьте больше ас. Работайте с ними. Не давайте себе расслабона. =)

:lol:


31 дек 2019, 09:21
Профиль

Зарегистрирован: 18 июн 2015, 08:26
Сообщения: 155
Благодарю за комментарии, сам улыбнулся ) По теме, однако, сделал вывод, что так почти никто не делает. А жаль, ибо маршрутизаторы более пригодны для построения туннелей site-to-site, а в асе anyconnect работает с наибольшей гибкостью. Совместить это в одном устройстве было бы интересно. Всех с Новым годом !


01 янв 2020, 23:58
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
Откройте для себя виртуальные девайсы рутер CSR1000v, для AnyConnect FirePOWER FTDv или старую добрую ASAv


02 янв 2020, 00:54
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 228
Maxische писал(а):
Есть некая контора с самой, видимо, распространенной сетевой топологией вида "интернет-маршрутизатор-коммутатор-клиенты". Есть несколько филиалов с такими же схемами, настроены dmvpn туннели на маршрутизаторах. Хочется внедрить для подключения удаленных клиентов anyconnect, для реализации чего понадобится cisco asa, DMVPN при этом должен остаться. Насколько я слышал, сама циска рекомендует схему "интернет-маршрутизатор-фаервол-коммутатор-клиенты", насколько этот вариант рабочий ? Возможно, есть иные способы ?


AnyConnect ведь можно развернуть на ISR, даже первого поколения. Почему не рассматриваете такой вариант?


02 янв 2020, 01:05
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
про ISR тем более первого поколения давно уже пора забыть т.к. низкая производительность, нет крипто стойких шифров, потенциально дырявая система и выставлять наружу не рекомендуется т.к. система по факту мертва и не обновляется - за это время вышло куча уязвимостей всё в том же SSL VPN и т.д.


02 янв 2020, 10:23
Профиль

Зарегистрирован: 18 июн 2015, 08:26
Сообщения: 155
siqueiros писал(а):

AnyConnect ведь можно развернуть на ISR, даже первого поколения. Почему не рассматриваете такой вариант?


Почему же не рассматриваю ? У меня в разных конторах как раз и работают 1800/2900 серии, и к ним я прикрутил anyconnect. Но его функционал урезан - все интересные фишки, как то интеграция в домен и иже с ними - на роутерах реализовать не получилось. Возможно, я криворучка )))


02 янв 2020, 12:57
Профиль

Зарегистрирован: 18 июн 2015, 08:26
Сообщения: 155
root99 писал(а):
Откройте для себя виртуальные девайсы рутер CSR1000v, для AnyConnect FirePOWER FTDv или старую добрую ASAv


Мысль интересная, спасибо. CSR1000v ни разу не щупал, тем более в связке с FirePOWER FTDv. А ASAv чем лучше железной ? Прошивки свежее ?


02 янв 2020, 13:00
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
да нет сейчас разницы между железными рутерами АСАми и виртуальными, софт один и тот же, тем более АСА потихоньку заменяется теми же FirePOWER, новых моделей АС уже не будет, остался только софт.....


02 янв 2020, 13:04
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 228
root99 писал(а):
да нет сейчас разницы между железными рутерамит.....


А какое железо будет равнозначно по производительности 4K ISR, к примеру 4351? Чтобы стабильно держал шифрованные туннели, шустро NATил, обрабатывал АЦЛ?
То есть какой процессор, материнку и память мне нужно использовать, чтобы собрать систему и поставить на нее CSR1000v и заиметь систему уровня 4351 по производительности ? Это по цене получится дешевле, чем железный 4351?
Вообще CSR1000v "голым" ставится ? ЭтоLinux+Router софт? Или это образ только для гипервизора?


02 янв 2020, 21:30
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
CSR1000v как и остальные виртуальные продукты запускаются на гипервизорах VMware, KVM

Кстати если собираетесь брать бушки смотрите не нарвитесь на Atom C2XX Clock Signal Issue - проверять нужно здесь https://www.cisco.com/c/en/us/support/d ... 64253.html

http://serialnumbervalidation.com/64253 ... /index.cgi


03 янв 2020, 00:39
Профиль
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1525
root99 писал(а):
нет крипто стойких шифров

Тут ты погорячился - даже тот же DES и сейчас вполне актуален, другое дело что уже нет того конского запаса.
Цитата:
А какое железо будет равнозначно по производительности 4K ISR, к примеру 4351? Чтобы стабильно держал шифрованные туннели, шустро NATил, обрабатывал АЦЛ?

Любой не совсем старый Xeon с AES-NI на котором взлетит ESXi подойдет. У меня есть X5650 который таскает гигабит вообще не напрягаясь и киловольтник там ни разу не единственная машина.


03 янв 2020, 13:39
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
с каких пор DES криптостойкий шифр - в нормальных продакшенах уже давно не используется....


03 янв 2020, 14:36
Профиль
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1525
А с каких пор он им быть перестал? Кроме длины ключа существенных уязвимостей нет, вернее они есть, но очень специфические. Для коммерческого применения вполне сойдет.


03 янв 2020, 18:09
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
DES на сегодняшнее время не считается действующим крипто протоколом который выполняет свои задачи - т.к. налету весь трафик можно расшифровать - это и есть основная уязвимость... и для продакшен сетей уважающие себя люди не будут использовать этот алгоритм....


03 янв 2020, 18:38
Профиль
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1525
Нет, DES как и все нормальные блочные шифры на лету в принципе не разбирается (я про нормальные, не ослабленные таблицы подстановки). Теоретически можно сбрутфорсить за короткий срок, но нужно некисло вложиться в железо. А не используют его в основном потому что есть более надежный и быстрый AES.


03 янв 2020, 18:52
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 228
root99 писал(а):
CSR1000v как и остальные виртуальные продукты запускаются на гипервизорах VMware, KVM

Кстати если собираетесь брать бушки смотрите не нарвитесь на Atom C2XX Clock Signal Issue - проверять нужно здесь https://www.cisco.com/c/en/us/support/d ... 64253.html

http://serialnumbervalidation.com/64253 ... /index.cgi


Да, собираюсь! Спасибо большое за ссылку!


03 янв 2020, 23:59
Профиль

Зарегистрирован: 02 ноя 2013, 08:12
Сообщения: 791
Bessmertniy писал(а):
Нет, DES как и все нормальные блочные шифры на лету в принципе не разбирается (я про нормальные, не ослабленные таблицы подстановки). Теоретически можно сбрутфорсить за короткий срок, но нужно некисло вложиться в железо. А не используют его в основном потому что есть более надежный и быстрый AES.

поэтому его и не используют, он слишком ресурсоемкий, а метод увеличения его криптостойкости сказывается на увеличение мощностей в 3 раза, не знаю кому в наше время это надо


04 янв 2020, 04:16
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 20 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 46


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB