Маршрутизатор Cisco под цели (+)
 

Доброго времени суток, уважаемые форумчане!
Поделитесь опытом, пожалуйста!
Нужен маршрутизатор Cisco с поддержкой VPN. Максимум будут логиниться человек 15-20.
И еще подскажите можно ли к Cisco прикрутить не только логин/пароль, но и сертификаты/ключики, хранящиеся на смарт-картах юзверов.

Заранее спасибо!

DRadmin,
Наверное Вам лучше обратить внимание не на маршрутизаторы, а на фаерволы Серии ASA 55xx

Что касаемо возможности сертификатов со смарт-карт - я вопрошу об этой возможности. Ответ опубликую позже.

kim-aa, поддерживаю, Advanced Security Appliance для того и были разработаны. А маршрутизатор можно поставить отдельно, не обязательно Cisco

Ну реальной разницы сейчас нет, т. к. ASA стороятся на базе тех же маршрутизаторов.
Иное дело функционал и возможность расширения, в том числе и при помощи аппаратных акселераторов.

Опять же, выбрав маршрутизатор, когда тебе нужен фаервол, ты либо переплатишь за те функции которые тебе не нужны (маршрутизация EIGRP, OSPF, BGP4; VoIP сервисы, DSP-слоты), либо за те же деньги недосчитаешься того что нужно сейчас или понадобится в будущем (акселераторы VPN, криптографии, углубленный анализ трафика, антивирус)

DRadmin,
?

а разве в АСА он не входит?

В "нулевых" комплектациях - нет (Шифрация средствами CPU)
В advanced, либо в старших моделях - да.
-----------------------
Просто мы расматриваем младшие модели, а там часто выбор "либо - либо"

Ответ профессионалов:

http://www.aladdin.ru/catalog/etoken...cts/cisco_vpn/ - это смарт-карты, поддерживаемые цисками

Если говорить об ASA, то лучше смотреть в сторону
ASA5505-SEC-BUN-K8 ASA 5505 Sec Plus Appliance with SW, UL Users, HA, DES B $1 695
ASA5510-SEC-BUN-K9 ASA 5510 Security Plus Appl with SW, HA, 2GE+3FE, 3DES/AES B $4 495

Но наши инженеры говорят, что лучше использовать маршрутизатор
CISCO1841-SEC/K9 1841 Security Bundle,Adv.Security,64FL/256DR D $2 495
CISCO1841-HSEC/K9 1841 Bundle w/AIM-VPN/SSL-1,Adv. IP Svcs,10 SSL lic,64F/256D D $2 995

Хотя хотелось бы задачу уточнить - какая пропускная способность канала, какие еще функции будут нужны

На счет 1841 - пользовали. Приличное решение по мощности между 5505 и 5510 (по цене то же) ориентированное на каналы FastEthernet.
К сожалению ASA- серия в данном диапазоне имеет пробел

Если денег маловато можно использовать фиксированную конфигурацию 1811.
Однако в данной серии аппаратный акселератор шифрации отсутствует, за сим VPN соединений она держит только 50

Пропускная способность рассчитывается из возможностей, предоставленных обычным интернет-провайдером.
Основная задача состоит в том, чтобы пользователи могли удаленно коннектиться к серверу, проходя при этом через маршрутизатор/файрвол Cisco, в защищенном от лишних глаз и рук режиме. Хотя я могу и ошибаться, может и не нужны заморочки со смарт-картами конкретно на маршрутизаторе, а достаточно поставить на сервер необходимое ПО с поддержкой смарт-карт и соответствующим уровнем авторизации.
Насколько вообще целесообразно думать о серьезной железке - маршрутизаторе с возможностью подключения смарт-карт, если применять ПО типа Aladdin или Zserver?.. Может, достаточно поставить любой маршрутизатор с поддержкой VPN (20 каналов выше крыши), а все остальное реализовать на базе ОС?
У кого есть практика, поделитесь, пожалуйста!

Что мне нужно на это ответить? Что, да, у меня есть сей сертификат? Но Вы же сами прекрасно понимаете, что будучи CCNA, я могу говорить о том, что за плечами в лучшем случае 9 классов среднеобразовательной школы. Плюс это настолько широкое ознакомление с Cisco. Задача, которая стоит сейчас несколько не входит в рамки CCNA. Ибо, насколько я понимаю, VPN и т.д. являются вотчиной CCNS. А я сейчас двигаюсь маленькими шажочками в сторону CCNP, т.е. протоколы, свитчи и т.д. Никак не серьезные файрволы.

DRadmin, насколько мне известно, маршрутизаторы Cisco поддерживают авторизацию вкупе с серверами TACACAS+ и RADIUS. А вот им-то как раз и можно прикрутить авторизацию по смарт-картам и прочее. Кстати, а почему именно смарт-карты? Обычный логин чем не устраивает?

Эта возможность зашита не в железке. Точнее не только в железке. В железяках зашиты протоколы RADIUS и TACACS+ при помощи которых можно расширять возможности аутентификации.

Применяется следующая связка.

Маршрутизатор --> Сервер TACACS+ --> Сервер проверки аутентификации (третьего может и не быть)
Маршрутизатор --> Сервер RADIUS --> Сервер проверки аутентификации (Сервер сертификатов, паролей и т.п.)

Непосредственно с маршрутизатором данную конструкцию мы не применяли. Применяли в Wi-Fi.

2) Думаю вам за глаза хватит 1811. Там есть и VPN и встроенный proxy.
Из-за наличия 2х WAN и управляемого 8-портового коммутатора (спокойно делится на VLAN) легко реализуются конфигурации:
2 провайдера + внутренняя сеть
провайдер + корпоративная сеть + внутренняя сеть.

http://www.cisco.com/en/US/prod/coll...ata_Sheet.html

----------------------------------------------------------------------
Из собственного опыта:
В своей бывшей конторе (РАО ЕЭС Курское отделение)
мы использовали Cisco как фаервол и маршрутизатор
- PIX525 и 2801 (провайдеров было трое)
- в качестве прокси мы использовали SQUID на Unix (SUN Solaris)

------------------------------------------------------------------------

В принципе указанная вами задача решается при наличии знаний и рук на сервере FreeBSD (любом ином Unix).
Однако при наличии денег ф-и фаервола и VPN лучше решать "железными" способами.

Функции же кэш-сервера и прокси (эти понятия часто смешивают), напротив, выгоднее решать на Unix (если не стоит жутких требований по производительности, конечно)

Сейчас думаем различные варианты. Начальство зациклено на смарт-картах. А я все прикидываю... Ведь обычный логин тоже достаточно надежен, ибо если на сервере стоит ПО с поддержкой смарт-карт, то даже попав на маршрутизатор, посторонний человек будет не в силах двинуться дальше.
.
А это косвенно означает, что на Cisco можно и не зацикливаться, а посмотреть в сторону любых других маршрутизаторов с поддержкой VPN и двумя WAN'ами? Хотя, общепризнано, что Cisco надежнее...
Спасибо за ссылку, kim-aa!

Косвенно да.
Правда есть пара "НО"

1) Устройства одного функционала и качества стоят приблизительно одинаково. Например аналог 1841 от HP, стоит ну процентов на 20% дешевле.
2) Литература. Я всегда говорил "товарисчам" из HP и 3COM которые нас окучивали.
"Я с радостью начну покупать вашу сетевую технику как только ваши фирмы выпустят на русском языке хотя бы четверть того что выпустило Cisco Press"

имелось в виду, что поддержку авторизации можно провернуть сторонними серверами и не зацикливаться на железке с проверкой авторизации (а также аутентификации и доступа)

А Вы можете поделиться схемой реализации Вашего предложения? Если не затруднит...
.
А что, правда, Cisco Press на русском много литературы выпускает?? Мне и по-английски не проблематично читать и как-то даже более понятней. Но Cisco - признанный лидер, этого не отнять!
.
Еще такой вопрос. Если говорить о подъеме VPN туннелей, то так ли необходим 1811? Нельзя ли "отделаться" линейкой 8хх? Или настолько слабоват, что и думать о них нужно забыть?
Просто по сути за железкой будет только один сервер. И больше - ничего! Никаких сетей, vlan'ов, юзеров и т.д.

Пример настройки клиента
Настройка сервера Radius
есть еще пара книжек от cisco, если что :). Идея такова - ваш маршрутизатор получает информацию от клиента, не проверяя, передает на внешний сервер авторизации, получает оттуда ответ -либо клиент получает доступ, либо "отдыхает от форума" :biggrin: . Собственно, никто не мешает прикрутить к внешнему серверу авторизации хоть смарт-карты, хоть биометрические сенсоры (пропускать по отпечатку сетчатки или еще как)

Dmitryst , низкий поклон за примеры!
Книжки по Cisco найдем, если уж очень приспичит :) Спасибо!

DRadmin, есть у меня, есть на system-administrators.info, varlib.ru. В-общем, найти не проблема, есть кое-что и на русском.
ЗЫ. Сам не делал, даже рутера подопытного нет :biggrin:

8xx серия позиционировалась только как клиентское устройство.
(У вас же есть требование предоставлять и входящие - серверные соединения.)

Раньше ее производительность не превышала 512 kbit.
Так же нужно учитывать что с применением фильтрации, шифрации, NAT и прочих фенечек - производительность сильно падает.

Например 1811 обладает общей производительностью в 34 Мбит, однако при включении всех фенечек и набивки таблицы фильтрации до максимума скорость падает до 5 Мбит.

В результате, раз попробовав, мы 8xx серию не использовали