Cześć,
Stoję przed zadaniem zaterminowania około 600 tuneli IPSec. Kupno spełniającej te wymagania ASY raczej nie wchodzi w rachubę. Nie mogę/ nie potrafię natomiast znaleźć informacji ile tuneli mogę zaterminować na routerach z serii ISRach G2.
Czy mają one takie ograniczenie, czy jedynie ogranicza nas ilość szyfrowanych danych?
W moim przypadku ilość danych będzie raczej symboliczna, więc może taki 1941 albo 2901 dałby radę...
Z góry dzięki za pomoc.
ISR G2, liczba tuneli IPSec
Te nowe ISRy to smieszne sa z licencjonowaniem
http://www.cisco.com/en/US/prod/collate ... 56985.html
"The HSEC-K9 license removes the curtailment enforced by the U.S. government export restrictions on the encrypted tunnel count and encrypted throughput. HSEC-K9 is available only on the Cisco 2921, Cisco 2951, Cisco 3925, Cisco 3945, Cisco 3925E, and Cisco 3945E. With the HSEC-K9 license, the ISR G2 router can go over the curtailment limit of 225 tunnels maximum for IP Security (IPsec) and encrypted throughput of 85-Mbps unidirectional traffic in or out of the ISR G2 router, with a bidirectional total of 170 Mbps.
The Cisco 1941, 2901, and 2911 already have maximum encryption capacities within export limits. The HSEC license requires the universalk9 image and the SEC license pre-installed."
Oraz troche wiecej info tutaj:
https://supportforums.cisco.com/thread/2053033
Dla samej ilosci tuneli to moze lepiej cos ze starszej serii...
Co mi przypomnialo, ze chcialem to potestowac i przetrenowac - bo akurat podobne pytania mialem i potrzebuje wybrac kilka platform w zaleznosci od ilosci tuneli do terminacji i akurat kupilem te licencje pod 2900 i 3900, tylko nie mialem czasu sprawdzic... (pomimo, ze sprzet nie przylecial do mnie z US, software to nie wiem, ale ciagle niby licencja taka potrzebna...
http://www.cisco.com/en/US/prod/collate ... 56985.html
"The HSEC-K9 license removes the curtailment enforced by the U.S. government export restrictions on the encrypted tunnel count and encrypted throughput. HSEC-K9 is available only on the Cisco 2921, Cisco 2951, Cisco 3925, Cisco 3945, Cisco 3925E, and Cisco 3945E. With the HSEC-K9 license, the ISR G2 router can go over the curtailment limit of 225 tunnels maximum for IP Security (IPsec) and encrypted throughput of 85-Mbps unidirectional traffic in or out of the ISR G2 router, with a bidirectional total of 170 Mbps.
The Cisco 1941, 2901, and 2911 already have maximum encryption capacities within export limits. The HSEC license requires the universalk9 image and the SEC license pre-installed."
Oraz troche wiecej info tutaj:
https://supportforums.cisco.com/thread/2053033
Dla samej ilosci tuneli to moze lepiej cos ze starszej serii...
Co mi przypomnialo, ze chcialem to potestowac i przetrenowac - bo akurat podobne pytania mialem i potrzebuje wybrac kilka platform w zaleznosci od ilosci tuneli do terminacji i akurat kupilem te licencje pod 2900 i 3900, tylko nie mialem czasu sprawdzic... (pomimo, ze sprzet nie przylecial do mnie z US, software to nie wiem, ale ciagle niby licencja taka potrzebna...
Re: ISR G2, liczba tuneli IPSec
Weź pod uwagę również inne aspekty - np. elastyczność w kontroli dostępu użytkowników VPN. W routerze masz dość marną granulację bo co najwyżej per grupa VPN i terminowanie w innych zonach ZBF'a a do tego przy większej ilości stref zaczyna się to komplikować. W przypadku VPN'a na Cisco ASA masz atrybuty które możesz przypinać per grupa ale też per user (jak też je łączyć czyli per grupa plus per user) a zatem uzyskujesz granulację w kontroli dostępu per pojedynczy user. I tak dalej.pogrom pisze: Stoję przed zadaniem zaterminowania około 600 tuneli IPSec. Kupno spełniającej te wymagania ASY raczej nie wchodzi w rachubę. Nie mogę/ nie potrafię natomiast znaleźć informacji ile tuneli mogę zaterminować na routerach z serii ISRach G2.
Router to router i to że może być serwerem VPN nie znaczy że być nim powinien. Maluchem też można okazjonalnie przewieźć dobytek jak się raz przeprowadzasz co nie znaczy że jest to słuszny wybór dla firmy świadczącej usługi przeprowadzkowe. Wejdź w szczegóły i poznaj dokładniej możliwości obu platform zanim definitywnie odrzucisz ASE.
Skoro kupno ASA nie wchodzi w rachube, to nie chcialbym byc odpowiedzialny za takie rozwiazanie. Brama VPN an 600 uzytkownikow/tuneli to juz porzadne wymaganie, wg mnie w miare dobra opcja bylby klaster 2x ASA 5520 w trybie active/standby. Do wszystkiego co sie robi porzadnie potrzeba funduszy, inaczej to "zabawa ze sznurowka i kartonikiem od serka homogenizowanego"
Pozdruffka!
Pozdruffka!
Przesadzacie.
Polemizujac, w zaleznosci od szczegolowych wymagan takie rozwizanie moze byc ok.
Tak jak kolega naipsal, samego ruchu tez jest niewiele.
Ja mam pewna liczbe roznego typu ruterow od Cisco, ktorych uzywam do terminowania l2tp/ipsec, od kilkudziesieciu do ponad 3500 tuneli na jednym pudle (7301 + vam2+), i dziala ok (ciezkiego ruchu przez to nie puszczam), a do tego moge je sobie terminowac w roznych VRFach (dwa parametry w radiusie), da sie i failover (choc nie natychmiastowy) zrobic do innego pudla jak sie dobrze zakombinuje.
Przy niektorych wymaganiach to wrecz ruter moze byc wygodniejszy niz ASA, z ciekawosci dlaczego wedlug was ASA jest cacy a na ruterze to juz sznurek i drucik ?
Oczzyie pomijajac dosyc oczywiste - NAT i kombinacje (policy nat) tu ASA, wspomniany przeze mnie l2tp/ipsec to transport mode, wie najczesciej NATa mu nie trzeba (szczerze mowiac to srednio widze zarzadzanie np. 600 site-site VPNami + NATy na ASA), ale co poza tym.
Polemizujac, w zaleznosci od szczegolowych wymagan takie rozwizanie moze byc ok.
Tak jak kolega naipsal, samego ruchu tez jest niewiele.
Ja mam pewna liczbe roznego typu ruterow od Cisco, ktorych uzywam do terminowania l2tp/ipsec, od kilkudziesieciu do ponad 3500 tuneli na jednym pudle (7301 + vam2+), i dziala ok (ciezkiego ruchu przez to nie puszczam), a do tego moge je sobie terminowac w roznych VRFach (dwa parametry w radiusie), da sie i failover (choc nie natychmiastowy) zrobic do innego pudla jak sie dobrze zakombinuje.
Przy niektorych wymaganiach to wrecz ruter moze byc wygodniejszy niz ASA, z ciekawosci dlaczego wedlug was ASA jest cacy a na ruterze to juz sznurek i drucik ?
Oczzyie pomijajac dosyc oczywiste - NAT i kombinacje (policy nat) tu ASA, wspomniany przeze mnie l2tp/ipsec to transport mode, wie najczesciej NATa mu nie trzeba (szczerze mowiac to srednio widze zarzadzanie np. 600 site-site VPNami + NATy na ASA), ale co poza tym.
Ja do s2S IPSec tez wolę routery niż ASA bo na routerze jest VTI, który pozwala mi traktować tunel jak każdy inny interfejs i robić na nim wszystko co się da na interfejsie IP począwszy od routingu.
Z każdym upadkiem nabieramy większego doświadczenia.......to nie upadek czyni nas przegranymi, lecz brak chęci do powstania....