Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Сетевое оборудование (http://forum.oszone.net/forumdisplay.php?f=55)
-   -   [решено] Маршрутизатор Cisco под цели (+) (http://forum.oszone.net/showthread.php?t=115854)

DRadmin 31-08-2008 23:25 888083

Маршрутизатор Cisco под цели (+)
 
Доброго времени суток, уважаемые форумчане!
Поделитесь опытом, пожалуйста!
Нужен маршрутизатор Cisco с поддержкой VPN. Максимум будут логиниться человек 15-20.
И еще подскажите можно ли к Cisco прикрутить не только логин/пароль, но и сертификаты/ключики, хранящиеся на смарт-картах юзверов.

Заранее спасибо!

kim-aa 01-09-2008 11:04 888266

DRadmin,
Наверное Вам лучше обратить внимание не на маршрутизаторы, а на фаерволы Серии ASA 55xx

Что касаемо возможности сертификатов со смарт-карт - я вопрошу об этой возможности. Ответ опубликую позже.

dmitryst 01-09-2008 12:03 888299

kim-aa, поддерживаю, Advanced Security Appliance для того и были разработаны. А маршрутизатор можно поставить отдельно, не обязательно Cisco

kim-aa 01-09-2008 12:09 888303

Ну реальной разницы сейчас нет, т. к. ASA стороятся на базе тех же маршрутизаторов.
Иное дело функционал и возможность расширения, в том числе и при помощи аппаратных акселераторов.

Опять же, выбрав маршрутизатор, когда тебе нужен фаервол, ты либо переплатишь за те функции которые тебе не нужны (маршрутизация EIGRP, OSPF, BGP4; VoIP сервисы, DSP-слоты), либо за те же деньги недосчитаешься того что нужно сейчас или понадобится в будущем (акселераторы VPN, криптографии, углубленный анализ трафика, антивирус)

DRadmin,
Цитата:

Цитата DRadmin
CCNA certified »

?

dmitryst 01-09-2008 12:18 888317

Цитата:

Цитата kim-aa
акселераторы VPN, »

а разве в АСА он не входит?

kim-aa 01-09-2008 12:22 888321

Цитата:

Цитата dmitryst
а разве в АСА он не входит »

В "нулевых" комплектациях - нет (Шифрация средствами CPU)
В advanced, либо в старших моделях - да.
-----------------------
Просто мы расматриваем младшие модели, а там часто выбор "либо - либо"

Ответ профессионалов:

http://www.aladdin.ru/catalog/etoken...cts/cisco_vpn/ - это смарт-карты, поддерживаемые цисками

Если говорить об ASA, то лучше смотреть в сторону
ASA5505-SEC-BUN-K8 ASA 5505 Sec Plus Appliance with SW, UL Users, HA, DES B $1 695
ASA5510-SEC-BUN-K9 ASA 5510 Security Plus Appl with SW, HA, 2GE+3FE, 3DES/AES B $4 495

Но наши инженеры говорят, что лучше использовать маршрутизатор
CISCO1841-SEC/K9 1841 Security Bundle,Adv.Security,64FL/256DR D $2 495
CISCO1841-HSEC/K9 1841 Bundle w/AIM-VPN/SSL-1,Adv. IP Svcs,10 SSL lic,64F/256D D $2 995

Хотя хотелось бы задачу уточнить - какая пропускная способность канала, какие еще функции будут нужны

На счет 1841 - пользовали. Приличное решение по мощности между 5505 и 5510 (по цене то же) ориентированное на каналы FastEthernet.
К сожалению ASA- серия в данном диапазоне имеет пробел

kim-aa 01-09-2008 12:43 888348

Если денег маловато можно использовать фиксированную конфигурацию 1811.
Однако в данной серии аппаратный акселератор шифрации отсутствует, за сим VPN соединений она держит только 50

DRadmin 01-09-2008 13:43 888392

Цитата:

Цитата kim-aa
Хотя хотелось бы задачу уточнить - какая пропускная способность канала, какие еще функции будут нужны »

Пропускная способность рассчитывается из возможностей, предоставленных обычным интернет-провайдером.
Основная задача состоит в том, чтобы пользователи могли удаленно коннектиться к серверу, проходя при этом через маршрутизатор/файрвол Cisco, в защищенном от лишних глаз и рук режиме. Хотя я могу и ошибаться, может и не нужны заморочки со смарт-картами конкретно на маршрутизаторе, а достаточно поставить на сервер необходимое ПО с поддержкой смарт-карт и соответствующим уровнем авторизации.
Насколько вообще целесообразно думать о серьезной железке - маршрутизаторе с возможностью подключения смарт-карт, если применять ПО типа Aladdin или Zserver?.. Может, достаточно поставить любой маршрутизатор с поддержкой VPN (20 каналов выше крыши), а все остальное реализовать на базе ОС?
У кого есть практика, поделитесь, пожалуйста!

Цитата:

Цитата kim-aa
CCNA certified »

Что мне нужно на это ответить? Что, да, у меня есть сей сертификат? Но Вы же сами прекрасно понимаете, что будучи CCNA, я могу говорить о том, что за плечами в лучшем случае 9 классов среднеобразовательной школы. Плюс это настолько широкое ознакомление с Cisco. Задача, которая стоит сейчас несколько не входит в рамки CCNA. Ибо, насколько я понимаю, VPN и т.д. являются вотчиной CCNS. А я сейчас двигаюсь маленькими шажочками в сторону CCNP, т.е. протоколы, свитчи и т.д. Никак не серьезные файрволы.

dmitryst 01-09-2008 14:01 888409

DRadmin, насколько мне известно, маршрутизаторы Cisco поддерживают авторизацию вкупе с серверами TACACAS+ и RADIUS. А вот им-то как раз и можно прикрутить авторизацию по смарт-картам и прочее. Кстати, а почему именно смарт-карты? Обычный логин чем не устраивает?

kim-aa 01-09-2008 14:30 888454

Цитата:

Цитата DRadmin
Насколько вообще целесообразно думать о серьезной железке - маршрутизаторе с возможностью подключения смарт-карт »

Эта возможность зашита не в железке. Точнее не только в железке. В железяках зашиты протоколы RADIUS и TACACS+ при помощи которых можно расширять возможности аутентификации.

Применяется следующая связка.

Маршрутизатор --> Сервер TACACS+ --> Сервер проверки аутентификации (третьего может и не быть)
Маршрутизатор --> Сервер RADIUS --> Сервер проверки аутентификации (Сервер сертификатов, паролей и т.п.)

Непосредственно с маршрутизатором данную конструкцию мы не применяли. Применяли в Wi-Fi.

2) Думаю вам за глаза хватит 1811. Там есть и VPN и встроенный proxy.
Из-за наличия 2х WAN и управляемого 8-портового коммутатора (спокойно делится на VLAN) легко реализуются конфигурации:
2 провайдера + внутренняя сеть
провайдер + корпоративная сеть + внутренняя сеть.

http://www.cisco.com/en/US/prod/coll...ata_Sheet.html

----------------------------------------------------------------------
Из собственного опыта:
В своей бывшей конторе (РАО ЕЭС Курское отделение)
мы использовали Cisco как фаервол и маршрутизатор
- PIX525 и 2801 (провайдеров было трое)
- в качестве прокси мы использовали SQUID на Unix (SUN Solaris)

------------------------------------------------------------------------

В принципе указанная вами задача решается при наличии знаний и рук на сервере FreeBSD (любом ином Unix).
Однако при наличии денег ф-и фаервола и VPN лучше решать "железными" способами.

Функции же кэш-сервера и прокси (эти понятия часто смешивают), напротив, выгоднее решать на Unix (если не стоит жутких требований по производительности, конечно)

DRadmin 01-09-2008 15:14 888491

Цитата:

Цитата dmitryst
DRadmin, насколько мне известно, маршрутизаторы Cisco поддерживают авторизацию вкупе с серверами TACACAS+ и RADIUS. А вот им-то как раз и можно прикрутить авторизацию по смарт-картам и прочее. Кстати, а почему
именно смарт-карты? Обычный логин чем не устраивает? »

Сейчас думаем различные варианты. Начальство зациклено на смарт-картах. А я все прикидываю... Ведь обычный логин тоже достаточно надежен, ибо если на сервере стоит ПО с поддержкой смарт-карт, то даже попав на маршрутизатор, посторонний человек будет не в силах двинуться дальше.
.
Цитата:

Цитата kim-aa
Эта возможность зашита не в железке. Точнее не только в железке. В железяках зашиты протоколы RADIUS и TACACS+ при помощи которых можно расширять возможности аутентификации. »

А это косвенно означает, что на Cisco можно и не зацикливаться, а посмотреть в сторону любых других маршрутизаторов с поддержкой VPN и двумя WAN'ами? Хотя, общепризнано, что Cisco надежнее...
Спасибо за ссылку, kim-aa!

kim-aa 01-09-2008 15:22 888496

Цитата:

Цитата DRadmin
А это косвенно означает, что на Cisco можно и не зацикливаться, а посмотреть в сторону любых других маршрутизаторов с поддержкой VPN и двумя WAN'ами? »

Косвенно да.
Правда есть пара "НО"

1) Устройства одного функционала и качества стоят приблизительно одинаково. Например аналог 1841 от HP, стоит ну процентов на 20% дешевле.
2) Литература. Я всегда говорил "товарисчам" из HP и 3COM которые нас окучивали.
"Я с радостью начну покупать вашу сетевую технику как только ваши фирмы выпустят на русском языке хотя бы четверть того что выпустило Cisco Press"

dmitryst 01-09-2008 15:22 888498

Цитата:

Цитата DRadmin
посмотреть в сторону любых других маршрутизаторов »

имелось в виду, что поддержку авторизации можно провернуть сторонними серверами и не зацикливаться на железке с проверкой авторизации (а также аутентификации и доступа)

DRadmin 01-09-2008 16:09 888542

Цитата:

Цитата dmitryst
имелось в виду, что поддержку авторизации можно провернуть сторонними серверами и не зацикливаться на железке с проверкой авторизации (а также аутентификации и доступа »

А Вы можете поделиться схемой реализации Вашего предложения? Если не затруднит...
.
Цитата:

Цитата kim-aa
"Я с радостью начну покупать вашу сетевую технику как только ваши фирмы выпустят на русском языке хотя бы четверть того что выпустило Cisco Press" »

А что, правда, Cisco Press на русском много литературы выпускает?? Мне и по-английски не проблематично читать и как-то даже более понятней. Но Cisco - признанный лидер, этого не отнять!
.
Еще такой вопрос. Если говорить о подъеме VPN туннелей, то так ли необходим 1811? Нельзя ли "отделаться" линейкой 8хх? Или настолько слабоват, что и думать о них нужно забыть?
Просто по сути за железкой будет только один сервер. И больше - ничего! Никаких сетей, vlan'ов, юзеров и т.д.

dmitryst 01-09-2008 16:32 888555

Пример настройки клиента
Настройка сервера Radius
есть еще пара книжек от cisco, если что :). Идея такова - ваш маршрутизатор получает информацию от клиента, не проверяя, передает на внешний сервер авторизации, получает оттуда ответ -либо клиент получает доступ, либо "отдыхает от форума" :biggrin: . Собственно, никто не мешает прикрутить к внешнему серверу авторизации хоть смарт-карты, хоть биометрические сенсоры (пропускать по отпечатку сетчатки или еще как)

DRadmin 01-09-2008 16:53 888575

Dmitryst , низкий поклон за примеры!
Книжки по Cisco найдем, если уж очень приспичит :) Спасибо!

dmitryst 01-09-2008 16:59 888581

DRadmin, есть у меня, есть на system-administrators.info, varlib.ru. В-общем, найти не проблема, есть кое-что и на русском.
ЗЫ. Сам не делал, даже рутера подопытного нет :biggrin:

kim-aa 01-09-2008 18:41 888644

Цитата:

Цитата DRadmin
Или настолько слабоват, что и думать о них нужно забыть? »

8xx серия позиционировалась только как клиентское устройство.
(У вас же есть требование предоставлять и входящие - серверные соединения.)

Раньше ее производительность не превышала 512 kbit.
Так же нужно учитывать что с применением фильтрации, шифрации, NAT и прочих фенечек - производительность сильно падает.

Например 1811 обладает общей производительностью в 34 Мбит, однако при включении всех фенечек и набивки таблицы фильтрации до максимума скорость падает до 5 Мбит.

В результате, раз попробовав, мы 8xx серию не использовали


Время: 17:41.

Время: 17:41.
© OSzone.net 2001-