[kim-aa]

DRadmin,
Наверное Вам лучше обратить внимание не на маршрутизаторы, а на фаерволы Серии ASA 55xx

Что касаемо возможности сертификатов со смарт-карт - я вопрошу об этой возможности. Ответ опубликую позже.

[dmitryst]

kim-aa, поддерживаю, Advanced Security Appliance для того и были разработаны. А маршрутизатор можно поставить отдельно, не обязательно Cisco

[kim-aa]

Ну реальной разницы сейчас нет, т. к. ASA стороятся на базе тех же маршрутизаторов.
Иное дело функционал и возможность расширения, в том числе и при помощи аппаратных акселераторов.

Опять же, выбрав маршрутизатор, когда тебе нужен фаервол, ты либо переплатишь за те функции которые тебе не нужны (маршрутизация EIGRP, OSPF, BGP4; VoIP сервисы, DSP-слоты), либо за те же деньги недосчитаешься того что нужно сейчас или понадобится в будущем (акселераторы VPN, криптографии, углубленный анализ трафика, антивирус)

DRadmin,

Цитата DRadmin:

CCNA certified »

?

[dmitryst]

Цитата kim-aa:

акселераторы VPN, »

а разве в АСА он не входит?

[kim-aa]

Цитата dmitryst:

а разве в АСА он не входит »

В "нулевых" комплектациях - нет (Шифрация средствами CPU)
В advanced, либо в старших моделях - да.
-----------------------
Просто мы расматриваем младшие модели, а там часто выбор "либо - либо"

Ответ профессионалов:

http://www.aladdin.ru/catalog/etoken...cts/cisco_vpn/ - это смарт-карты, поддерживаемые цисками

Если говорить об ASA, то лучше смотреть в сторону
ASA5505-SEC-BUN-K8 ASA 5505 Sec Plus Appliance with SW, UL Users, HA, DES B $1 695
ASA5510-SEC-BUN-K9 ASA 5510 Security Plus Appl with SW, HA, 2GE+3FE, 3DES/AES B $4 495

Но наши инженеры говорят, что лучше использовать маршрутизатор
CISCO1841-SEC/K9 1841 Security Bundle,Adv.Security,64FL/256DR D $2 495
CISCO1841-HSEC/K9 1841 Bundle w/AIM-VPN/SSL-1,Adv. IP Svcs,10 SSL lic,64F/256D D $2 995

Хотя хотелось бы задачу уточнить - какая пропускная способность канала, какие еще функции будут нужны

На счет 1841 - пользовали. Приличное решение по мощности между 5505 и 5510 (по цене то же) ориентированное на каналы FastEthernet.
К сожалению ASA- серия в данном диапазоне имеет пробел

[kim-aa]

Если денег маловато можно использовать фиксированную конфигурацию 1811.
Однако в данной серии аппаратный акселератор шифрации отсутствует, за сим VPN соединений она держит только 50

[DRadmin]

Цитата kim-aa:

Хотя хотелось бы задачу уточнить - какая пропускная способность канала, какие еще функции будут нужны »

Пропускная способность рассчитывается из возможностей, предоставленных обычным интернет-провайдером.
Основная задача состоит в том, чтобы пользователи могли удаленно коннектиться к серверу, проходя при этом через маршрутизатор/файрвол Cisco, в защищенном от лишних глаз и рук режиме. Хотя я могу и ошибаться, может и не нужны заморочки со смарт-картами конкретно на маршрутизаторе, а достаточно поставить на сервер необходимое ПО с поддержкой смарт-карт и соответствующим уровнем авторизации.
Насколько вообще целесообразно думать о серьезной железке - маршрутизаторе с возможностью подключения смарт-карт, если применять ПО типа Aladdin или Zserver?.. Может, достаточно поставить любой маршрутизатор с поддержкой VPN (20 каналов выше крыши), а все остальное реализовать на базе ОС?
У кого есть практика, поделитесь, пожалуйста!

Цитата kim-aa:

CCNA certified »

Что мне нужно на это ответить? Что, да, у меня есть сей сертификат? Но Вы же сами прекрасно понимаете, что будучи CCNA, я могу говорить о том, что за плечами в лучшем случае 9 классов среднеобразовательной школы. Плюс это настолько широкое ознакомление с Cisco. Задача, которая стоит сейчас несколько не входит в рамки CCNA. Ибо, насколько я понимаю, VPN и т.д. являются вотчиной CCNS. А я сейчас двигаюсь маленькими шажочками в сторону CCNP, т.е. протоколы, свитчи и т.д. Никак не серьезные файрволы.

[dmitryst]

DRadmin, насколько мне известно, маршрутизаторы Cisco поддерживают авторизацию вкупе с серверами TACACAS+ и RADIUS. А вот им-то как раз и можно прикрутить авторизацию по смарт-картам и прочее. Кстати, а почему именно смарт-карты? Обычный логин чем не устраивает?

[kim-aa]

Цитата DRadmin:

Насколько вообще целесообразно думать о серьезной железке - маршрутизаторе с возможностью подключения смарт-карт »

Эта возможность зашита не в железке. Точнее не только в железке. В железяках зашиты протоколы RADIUS и TACACS+ при помощи которых можно расширять возможности аутентификации.

Применяется следующая связка.

Маршрутизатор --> Сервер TACACS+ --> Сервер проверки аутентификации (третьего может и не быть)
Маршрутизатор --> Сервер RADIUS --> Сервер проверки аутентификации (Сервер сертификатов, паролей и т.п.)

Непосредственно с маршрутизатором данную конструкцию мы не применяли. Применяли в Wi-Fi.

2) Думаю вам за глаза хватит 1811. Там есть и VPN и встроенный proxy.
Из-за наличия 2х WAN и управляемого 8-портового коммутатора (спокойно делится на VLAN) легко реализуются конфигурации:
2 провайдера + внутренняя сеть
провайдер + корпоративная сеть + внутренняя сеть.

http://www.cisco.com/en/US/prod/coll...ata_Sheet.html

----------------------------------------------------------------------
Из собственного опыта:
В своей бывшей конторе (РАО ЕЭС Курское отделение)
мы использовали Cisco как фаервол и маршрутизатор
- PIX525 и 2801 (провайдеров было трое)
- в качестве прокси мы использовали SQUID на Unix (SUN Solaris)

------------------------------------------------------------------------

В принципе указанная вами задача решается при наличии знаний и рук на сервере FreeBSD (любом ином Unix).
Однако при наличии денег ф-и фаервола и VPN лучше решать "железными" способами.

Функции же кэш-сервера и прокси (эти понятия часто смешивают), напротив, выгоднее решать на Unix (если не стоит жутких требований по производительности, конечно)