|
Компьютерный форум OSzone.net » Железо » Сетевое оборудование » Cisco - [решено] Маршрутизатор Cisco под цели (+) |
|
|
Cisco - [решено] Маршрутизатор Cisco под цели (+)
|
Пользователь Сообщения: 79 |
Профиль | Отправить PM | Цитировать Доброго времени суток, уважаемые форумчане!
Поделитесь опытом, пожалуйста! Нужен маршрутизатор Cisco с поддержкой VPN. Максимум будут логиниться человек 15-20. И еще подскажите можно ли к Cisco прикрутить не только логин/пароль, но и сертификаты/ключики, хранящиеся на смарт-картах юзверов. Заранее спасибо! |
|
------- Отправлено: 23:25, 31-08-2008 |
Назгул Сообщения: 2633
|
Профиль | Отправить PM | Цитировать DRadmin,
Наверное Вам лучше обратить внимание не на маршрутизаторы, а на фаерволы Серии ASA 55xx Что касаемо возможности сертификатов со смарт-карт - я вопрошу об этой возможности. Ответ опубликую позже. |
------- Отправлено: 11:04, 01-09-2008 | #2 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Ветеран Сообщения: 7116
|
Профиль | Отправить PM | Цитировать kim-aa, поддерживаю, Advanced Security Appliance для того и были разработаны. А маршрутизатор можно поставить отдельно, не обязательно Cisco
|
------- Отправлено: 12:03, 01-09-2008 | #3 |
Назгул Сообщения: 2633
|
Профиль | Отправить PM | Цитировать Ну реальной разницы сейчас нет, т. к. ASA стороятся на базе тех же маршрутизаторов.
Иное дело функционал и возможность расширения, в том числе и при помощи аппаратных акселераторов. Опять же, выбрав маршрутизатор, когда тебе нужен фаервол, ты либо переплатишь за те функции которые тебе не нужны (маршрутизация EIGRP, OSPF, BGP4; VoIP сервисы, DSP-слоты), либо за те же деньги недосчитаешься того что нужно сейчас или понадобится в будущем (акселераторы VPN, криптографии, углубленный анализ трафика, антивирус) DRadmin, Цитата DRadmin:
|
|
------- Отправлено: 12:09, 01-09-2008 | #4 |
Ветеран Сообщения: 7116
|
Профиль | Отправить PM | Цитировать Цитата kim-aa:
|
||
------- Отправлено: 12:18, 01-09-2008 | #5 |
Назгул Сообщения: 2633
|
Профиль | Отправить PM | Цитировать Цитата dmitryst:
В advanced, либо в старших моделях - да. ----------------------- Просто мы расматриваем младшие модели, а там часто выбор "либо - либо" Ответ профессионалов: http://www.aladdin.ru/catalog/etoken...cts/cisco_vpn/ - это смарт-карты, поддерживаемые цисками Если говорить об ASA, то лучше смотреть в сторону ASA5505-SEC-BUN-K8 ASA 5505 Sec Plus Appliance with SW, UL Users, HA, DES B $1 695 ASA5510-SEC-BUN-K9 ASA 5510 Security Plus Appl with SW, HA, 2GE+3FE, 3DES/AES B $4 495 Но наши инженеры говорят, что лучше использовать маршрутизатор CISCO1841-SEC/K9 1841 Security Bundle,Adv.Security,64FL/256DR D $2 495 CISCO1841-HSEC/K9 1841 Bundle w/AIM-VPN/SSL-1,Adv. IP Svcs,10 SSL lic,64F/256D D $2 995 Хотя хотелось бы задачу уточнить - какая пропускная способность канала, какие еще функции будут нужны На счет 1841 - пользовали. Приличное решение по мощности между 5505 и 5510 (по цене то же) ориентированное на каналы FastEthernet. К сожалению ASA- серия в данном диапазоне имеет пробел |
|
------- Отправлено: 12:22, 01-09-2008 | #6 |
Назгул Сообщения: 2633
|
Профиль | Отправить PM | Цитировать Если денег маловато можно использовать фиксированную конфигурацию 1811.
Однако в данной серии аппаратный акселератор шифрации отсутствует, за сим VPN соединений она держит только 50 |
------- Отправлено: 12:43, 01-09-2008 | #7 |
Пользователь Сообщения: 79
|
Профиль | Отправить PM | Цитировать Цитата kim-aa:
Основная задача состоит в том, чтобы пользователи могли удаленно коннектиться к серверу, проходя при этом через маршрутизатор/файрвол Cisco, в защищенном от лишних глаз и рук режиме. Хотя я могу и ошибаться, может и не нужны заморочки со смарт-картами конкретно на маршрутизаторе, а достаточно поставить на сервер необходимое ПО с поддержкой смарт-карт и соответствующим уровнем авторизации. Насколько вообще целесообразно думать о серьезной железке - маршрутизаторе с возможностью подключения смарт-карт, если применять ПО типа Aladdin или Zserver?.. Может, достаточно поставить любой маршрутизатор с поддержкой VPN (20 каналов выше крыши), а все остальное реализовать на базе ОС? У кого есть практика, поделитесь, пожалуйста! Цитата kim-aa:
|
||
------- Отправлено: 13:43, 01-09-2008 | #8 |
Ветеран Сообщения: 7116
|
Профиль | Отправить PM | Цитировать DRadmin, насколько мне известно, маршрутизаторы Cisco поддерживают авторизацию вкупе с серверами TACACAS+ и RADIUS. А вот им-то как раз и можно прикрутить авторизацию по смарт-картам и прочее. Кстати, а почему именно смарт-карты? Обычный логин чем не устраивает?
|
------- Отправлено: 14:01, 01-09-2008 | #9 |
Назгул Сообщения: 2633
|
Профиль | Отправить PM | Цитировать Цитата DRadmin:
Применяется следующая связка. Маршрутизатор --> Сервер TACACS+ --> Сервер проверки аутентификации (третьего может и не быть) Маршрутизатор --> Сервер RADIUS --> Сервер проверки аутентификации (Сервер сертификатов, паролей и т.п.) Непосредственно с маршрутизатором данную конструкцию мы не применяли. Применяли в Wi-Fi. 2) Думаю вам за глаза хватит 1811. Там есть и VPN и встроенный proxy. Из-за наличия 2х WAN и управляемого 8-портового коммутатора (спокойно делится на VLAN) легко реализуются конфигурации: 2 провайдера + внутренняя сеть провайдер + корпоративная сеть + внутренняя сеть. http://www.cisco.com/en/US/prod/coll...ata_Sheet.html ---------------------------------------------------------------------- Из собственного опыта: В своей бывшей конторе (РАО ЕЭС Курское отделение) мы использовали Cisco как фаервол и маршрутизатор - PIX525 и 2801 (провайдеров было трое) - в качестве прокси мы использовали SQUID на Unix (SUN Solaris) ------------------------------------------------------------------------ В принципе указанная вами задача решается при наличии знаний и рук на сервере FreeBSD (любом ином Unix). Однако при наличии денег ф-и фаервола и VPN лучше решать "железными" способами. Функции же кэш-сервера и прокси (эти понятия часто смешивают), напротив, выгоднее решать на Unix (если не стоит жутких требований по производительности, конечно) |
|
------- Последний раз редактировалось kim-aa, 01-09-2008 в 15:17. Отправлено: 14:30, 01-09-2008 | #10 |
|
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
3COM/Huawei - [решено] Маршрутизатор 3Com 3CRWER200-75-ME, сеть с PPPoE и привязкой к IP | Morpheus | Сетевое оборудование | 8 | 31-08-2009 14:32 | |
VPN - Cisco PIX - Internet - ISA Server - Cisco PIX VPN | rrew | Сетевое оборудование | 0 | 26-09-2008 09:31 | |
Управление Cisco PIX и Cisco IDS | Bugs | Сетевые технологии | 4 | 25-05-2005 10:41 | |
LAN и Cisco через добавочный маршрутизатор | BOXP | Сетевые технологии | 10 | 08-12-2003 13:53 |
|