Zamiennik dla 5510

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
mmoryto
wannabe
wannabe
Posty: 194
Rejestracja: 18 lut 2011, 12:28
Lokalizacja: Kanada

Zamiennik dla 5510

#1

#1 Post autor: mmoryto »

Hej,

Staram się dobrać zamiennik dla 5510 i wychodzi mi na to, że najlepsza będzie 5508-X, w bundle'u FTD, niezależnie od tego, czy będzie używany FDM czy FMC.

Wiem, jak dobrać licencje do subskrypcji dla protection, IPS, AMP, etc ale jednym z wymogów jest to, aby można było łączyć się przez VPN używając natywnego klienta w windows/mac tak jak działa to obecnie pod 5510.

Kod: Zaznacz cały

Licensed features for this platform:
Maximum Physical Interfaces    : Unlimited
Maximum VLANs                  : 50
Inside Hosts                   : Unlimited
Failover                       : Disabled
VPN-DES                        : Enabled
VPN-3DES-AES                   : Enabled
Security Contexts              : 0
GTP/GPRS                       : Disabled
SSL VPN Peers                  : 2
Total VPN Peers                : 250
Shared License                 : Disabled
AnyConnect for Mobile          : Disabled
AnyConnect for Cisco VPN Phone : Disabled
AnyConnect Essentials          : Disabled
Advanced Endpoint Assessment   : Disabled
UC Phone Proxy Sessions        : 2
Total UC Proxy Sessions        : 2
Botnet Traffic Filter          : Disabled
 
This platform has a Base license.
Nie jestem w stanie znaleźć czy na 5508-X, do łączenia się przez VPN używając natywnego klienta jest wymagana licencja AnyConnect Plus/Apex?

Awatar użytkownika
PatrykW
wannabe
wannabe
Posty: 1742
Rejestracja: 31 paź 2008, 16:05
Lokalizacja: UI.PL / Ubiquiti Polska.pl
Kontakt:

Re: Zamiennik dla 5510

#2

#2 Post autor: PatrykW »

Co ta ASA ma robic? tylko VPN? ilu userow ?
.ılı..ılı.

http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call :)

Integrujemy i wspieramy IT :)
https://www.ui.pl | https://facebook.com/UIPolska

Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1593
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

Re: Zamiennik dla 5510

#3

#3 Post autor: drake »

Jesli wezmiesz jako bundle FTD, to RAVPN jedynie z anyconnect, potrzebne dodatkowe licencje. Z poziomu FDM naprawde za wiele nie zrobisz, wiec albo wkalkuluj FMCv i wez FTD, albo zwykla ASA z Firepower (SFR) ktora ciagle jest najbardziej elastyczna jesli chodzi o RAVPN. Dzis ja bym szedl w kierunku FTD+FMCv i klienta AnyConnect.

Pozdruffka!
Never stop exploring :)

https://iverion.de

mmoryto
wannabe
wannabe
Posty: 194
Rejestracja: 18 lut 2011, 12:28
Lokalizacja: Kanada

Re: Zamiennik dla 5510

#4

#4 Post autor: mmoryto »

Dzięki!

Co do AnyConnect, to właśnie znalazłem, że przy FTD użycie native OS VPN client nie jest wspierane:

The full tunnel client, AnyConnect Secure Mobility Client, provides secure SSL and IKEv2 IPsec connections to the security gateway for remote users. It is the only client supported on endpoint devices for remote VPN connectivity to Firepower Threat Defense devices.

Rozumiem, że idąc w bundle'a ASA5500-X-FPWR + FMC zamiast FTD, jest to możliwe i licencje AnyConnect nie są wymagane?

EDIT:
Chodzi mi o zestawienie dostępu jak w tym scenariuszu:
https://www.cisco.com/c/en/us/support/d ... indow.html

Z tego co widzę, to używając klienta z OS używa on:

Kod: Zaznacz cały

License      : Other VPN
Skłaniam się teraz ku ASA + FPWR svcs., zestawieniu VPN'a w takim wydaniu jak na obecnej 5510, a później dołożeniu subskrypcji to IPS/AMP/URL i FMC.

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1593
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

Re: Zamiennik dla 5510

#5

#5 Post autor: drake »

Hej,
tak, jesli chcesz obecnie tylko L2TP over IPSec dla RAVPN. Jesli w przyszlosci bedziesz chcial zmigrowac koncowki do uzycia klienta AnyConnect, beda potrzebne licencje AnyConnect. Jesli to SMB, to wystarczy zarzadzanie ASA przez ASDM/CLI, zaleznie od skillset twoich/teamu zarzadzajacego tym pudelkiem. Polecam dolozyc licencje do IPS/AMP od poczatku, zeby chronic siec przed obecnymi zagrozeniami. URL filtering mozesz nie potrzebowac, jesli ta ASA glownie terminuje VPN.

Pozdruffka!
Never stop exploring :)

https://iverion.de

mmoryto
wannabe
wannabe
Posty: 194
Rejestracja: 18 lut 2011, 12:28
Lokalizacja: Kanada

Re: Zamiennik dla 5510

#6

#6 Post autor: mmoryto »

Dziękuję!

ODPOWIEDZ