![]() |
Маршрутизатор Cisco под цели (+)
Доброго времени суток, уважаемые форумчане!
Поделитесь опытом, пожалуйста! Нужен маршрутизатор Cisco с поддержкой VPN. Максимум будут логиниться человек 15-20. И еще подскажите можно ли к Cisco прикрутить не только логин/пароль, но и сертификаты/ключики, хранящиеся на смарт-картах юзверов. Заранее спасибо! |
DRadmin,
Наверное Вам лучше обратить внимание не на маршрутизаторы, а на фаерволы Серии ASA 55xx Что касаемо возможности сертификатов со смарт-карт - я вопрошу об этой возможности. Ответ опубликую позже. |
kim-aa, поддерживаю, Advanced Security Appliance для того и были разработаны. А маршрутизатор можно поставить отдельно, не обязательно Cisco
|
Ну реальной разницы сейчас нет, т. к. ASA стороятся на базе тех же маршрутизаторов.
Иное дело функционал и возможность расширения, в том числе и при помощи аппаратных акселераторов. Опять же, выбрав маршрутизатор, когда тебе нужен фаервол, ты либо переплатишь за те функции которые тебе не нужны (маршрутизация EIGRP, OSPF, BGP4; VoIP сервисы, DSP-слоты), либо за те же деньги недосчитаешься того что нужно сейчас или понадобится в будущем (акселераторы VPN, криптографии, углубленный анализ трафика, антивирус) DRadmin, Цитата:
|
Цитата:
|
Цитата:
В advanced, либо в старших моделях - да. ----------------------- Просто мы расматриваем младшие модели, а там часто выбор "либо - либо" Ответ профессионалов: http://www.aladdin.ru/catalog/etoken...cts/cisco_vpn/ - это смарт-карты, поддерживаемые цисками Если говорить об ASA, то лучше смотреть в сторону ASA5505-SEC-BUN-K8 ASA 5505 Sec Plus Appliance with SW, UL Users, HA, DES B $1 695 ASA5510-SEC-BUN-K9 ASA 5510 Security Plus Appl with SW, HA, 2GE+3FE, 3DES/AES B $4 495 Но наши инженеры говорят, что лучше использовать маршрутизатор CISCO1841-SEC/K9 1841 Security Bundle,Adv.Security,64FL/256DR D $2 495 CISCO1841-HSEC/K9 1841 Bundle w/AIM-VPN/SSL-1,Adv. IP Svcs,10 SSL lic,64F/256D D $2 995 Хотя хотелось бы задачу уточнить - какая пропускная способность канала, какие еще функции будут нужны На счет 1841 - пользовали. Приличное решение по мощности между 5505 и 5510 (по цене то же) ориентированное на каналы FastEthernet. К сожалению ASA- серия в данном диапазоне имеет пробел |
Если денег маловато можно использовать фиксированную конфигурацию 1811.
Однако в данной серии аппаратный акселератор шифрации отсутствует, за сим VPN соединений она держит только 50 |
Цитата:
Основная задача состоит в том, чтобы пользователи могли удаленно коннектиться к серверу, проходя при этом через маршрутизатор/файрвол Cisco, в защищенном от лишних глаз и рук режиме. Хотя я могу и ошибаться, может и не нужны заморочки со смарт-картами конкретно на маршрутизаторе, а достаточно поставить на сервер необходимое ПО с поддержкой смарт-карт и соответствующим уровнем авторизации. Насколько вообще целесообразно думать о серьезной железке - маршрутизаторе с возможностью подключения смарт-карт, если применять ПО типа Aladdin или Zserver?.. Может, достаточно поставить любой маршрутизатор с поддержкой VPN (20 каналов выше крыши), а все остальное реализовать на базе ОС? У кого есть практика, поделитесь, пожалуйста! Цитата:
|
DRadmin, насколько мне известно, маршрутизаторы Cisco поддерживают авторизацию вкупе с серверами TACACAS+ и RADIUS. А вот им-то как раз и можно прикрутить авторизацию по смарт-картам и прочее. Кстати, а почему именно смарт-карты? Обычный логин чем не устраивает?
|
Цитата:
Применяется следующая связка. Маршрутизатор --> Сервер TACACS+ --> Сервер проверки аутентификации (третьего может и не быть) Маршрутизатор --> Сервер RADIUS --> Сервер проверки аутентификации (Сервер сертификатов, паролей и т.п.) Непосредственно с маршрутизатором данную конструкцию мы не применяли. Применяли в Wi-Fi. 2) Думаю вам за глаза хватит 1811. Там есть и VPN и встроенный proxy. Из-за наличия 2х WAN и управляемого 8-портового коммутатора (спокойно делится на VLAN) легко реализуются конфигурации: 2 провайдера + внутренняя сеть провайдер + корпоративная сеть + внутренняя сеть. http://www.cisco.com/en/US/prod/coll...ata_Sheet.html ---------------------------------------------------------------------- Из собственного опыта: В своей бывшей конторе (РАО ЕЭС Курское отделение) мы использовали Cisco как фаервол и маршрутизатор - PIX525 и 2801 (провайдеров было трое) - в качестве прокси мы использовали SQUID на Unix (SUN Solaris) ------------------------------------------------------------------------ В принципе указанная вами задача решается при наличии знаний и рук на сервере FreeBSD (любом ином Unix). Однако при наличии денег ф-и фаервола и VPN лучше решать "железными" способами. Функции же кэш-сервера и прокси (эти понятия часто смешивают), напротив, выгоднее решать на Unix (если не стоит жутких требований по производительности, конечно) |
Цитата:
. Цитата:
Спасибо за ссылку, kim-aa! |
Цитата:
Правда есть пара "НО" 1) Устройства одного функционала и качества стоят приблизительно одинаково. Например аналог 1841 от HP, стоит ну процентов на 20% дешевле. 2) Литература. Я всегда говорил "товарисчам" из HP и 3COM которые нас окучивали. "Я с радостью начну покупать вашу сетевую технику как только ваши фирмы выпустят на русском языке хотя бы четверть того что выпустило Cisco Press" |
Цитата:
|
Цитата:
. Цитата:
. Еще такой вопрос. Если говорить о подъеме VPN туннелей, то так ли необходим 1811? Нельзя ли "отделаться" линейкой 8хх? Или настолько слабоват, что и думать о них нужно забыть? Просто по сути за железкой будет только один сервер. И больше - ничего! Никаких сетей, vlan'ов, юзеров и т.д. |
Пример настройки клиента
Настройка сервера Radius есть еще пара книжек от cisco, если что :). Идея такова - ваш маршрутизатор получает информацию от клиента, не проверяя, передает на внешний сервер авторизации, получает оттуда ответ -либо клиент получает доступ, либо "отдыхает от форума" :biggrin: . Собственно, никто не мешает прикрутить к внешнему серверу авторизации хоть смарт-карты, хоть биометрические сенсоры (пропускать по отпечатку сетчатки или еще как) |
Dmitryst , низкий поклон за примеры!
Книжки по Cisco найдем, если уж очень приспичит :) Спасибо! |
DRadmin, есть у меня, есть на system-administrators.info, varlib.ru. В-общем, найти не проблема, есть кое-что и на русском.
ЗЫ. Сам не делал, даже рутера подопытного нет :biggrin: |
Цитата:
(У вас же есть требование предоставлять и входящие - серверные соединения.) Раньше ее производительность не превышала 512 kbit. Так же нужно учитывать что с применением фильтрации, шифрации, NAT и прочих фенечек - производительность сильно падает. Например 1811 обладает общей производительностью в 34 Мбит, однако при включении всех фенечек и набивки таблицы фильтрации до максимума скорость падает до 5 Мбит. В результате, раз попробовав, мы 8xx серию не использовали |
Время: 17:41. |
Время: 17:41.
© OSzone.net 2001-