ISR G2, liczba tuneli IPSec

Wszystkie rozmowy związane z problemem z hardwarem, supportowanymi funkcjonalnościami, wydajnością urządzeń itp.
Wiadomość
Autor
Awatar użytkownika
pogrom
wannabe
wannabe
Posty: 154
Rejestracja: 24 lip 2007, 15:25
Lokalizacja: Warszawa

ISR G2, liczba tuneli IPSec

#1

#1 Post autor: pogrom »

Cześć,
Stoję przed zadaniem zaterminowania około 600 tuneli IPSec. Kupno spełniającej te wymagania ASY raczej nie wchodzi w rachubę. Nie mogę/ nie potrafię natomiast znaleźć informacji ile tuneli mogę zaterminować na routerach z serii ISRach G2.
Czy mają one takie ograniczenie, czy jedynie ogranicza nas ilość szyfrowanych danych?
W moim przypadku ilość danych będzie raczej symboliczna, więc może taki 1941 albo 2901 dałby radę...


Z góry dzięki za pomoc.

piotro
wannabe
wannabe
Posty: 402
Rejestracja: 07 paź 2005, 12:50

#2

#2 Post autor: piotro »

Te nowe ISRy to smieszne sa z licencjonowaniem

http://www.cisco.com/en/US/prod/collate ... 56985.html

"The HSEC-K9 license removes the curtailment enforced by the U.S. government export restrictions on the encrypted tunnel count and encrypted throughput. HSEC-K9 is available only on the Cisco 2921, Cisco 2951, Cisco 3925, Cisco 3945, Cisco 3925E, and Cisco 3945E. With the HSEC-K9 license, the ISR G2 router can go over the curtailment limit of 225 tunnels maximum for IP Security (IPsec) and encrypted throughput of 85-Mbps unidirectional traffic in or out of the ISR G2 router, with a bidirectional total of 170 Mbps.
The Cisco 1941, 2901, and 2911 already have maximum encryption capacities within export limits. The HSEC license requires the universalk9 image and the SEC license pre-installed."

Oraz troche wiecej info tutaj:
https://supportforums.cisco.com/thread/2053033

Dla samej ilosci tuneli to moze lepiej cos ze starszej serii...

Co mi przypomnialo, ze chcialem to potestowac i przetrenowac - bo akurat podobne pytania mialem i potrzebuje wybrac kilka platform w zaleznosci od ilosci tuneli do terminacji i akurat kupilem te licencje pod 2900 i 3900, tylko nie mialem czasu sprawdzic... (pomimo, ze sprzet nie przylecial do mnie z US, software to nie wiem, ale ciagle niby licencja taka potrzebna...

Awatar użytkownika
pogrom
wannabe
wannabe
Posty: 154
Rejestracja: 24 lip 2007, 15:25
Lokalizacja: Warszawa

#3

#3 Post autor: pogrom »

Niestety starsze modele są już end-of-life i od 1 marca end-of-sale a ja potrzebuję rozwiązania na co najmniej kilka lat. Chyba więc muszę się zaprzyjaźnić z "gie dwójkami".

Dzięki za linki!

Kyniu
wannabe
wannabe
Posty: 3595
Rejestracja: 04 lis 2006, 16:23
Kontakt:

Re: ISR G2, liczba tuneli IPSec

#4

#4 Post autor: Kyniu »

pogrom pisze: Stoję przed zadaniem zaterminowania około 600 tuneli IPSec. Kupno spełniającej te wymagania ASY raczej nie wchodzi w rachubę. Nie mogę/ nie potrafię natomiast znaleźć informacji ile tuneli mogę zaterminować na routerach z serii ISRach G2.
Weź pod uwagę również inne aspekty - np. elastyczność w kontroli dostępu użytkowników VPN. W routerze masz dość marną granulację bo co najwyżej per grupa VPN i terminowanie w innych zonach ZBF'a a do tego przy większej ilości stref zaczyna się to komplikować. W przypadku VPN'a na Cisco ASA masz atrybuty które możesz przypinać per grupa ale też per user (jak też je łączyć czyli per grupa plus per user) a zatem uzyskujesz granulację w kontroli dostępu per pojedynczy user. I tak dalej.

Router to router i to że może być serwerem VPN nie znaczy że być nim powinien. Maluchem też można okazjonalnie przewieźć dobytek jak się raz przeprowadzasz co nie znaczy że jest to słuszny wybór dla firmy świadczącej usługi przeprowadzkowe. Wejdź w szczegóły i poznaj dokładniej możliwości obu platform zanim definitywnie odrzucisz ASE.

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1593
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

#5

#5 Post autor: drake »

Skoro kupno ASA nie wchodzi w rachube, to nie chcialbym byc odpowiedzialny za takie rozwiazanie. Brama VPN an 600 uzytkownikow/tuneli to juz porzadne wymaganie, wg mnie w miare dobra opcja bylby klaster 2x ASA 5520 w trybie active/standby. Do wszystkiego co sie robi porzadnie potrzeba funduszy, inaczej to "zabawa ze sznurowka i kartonikiem od serka homogenizowanego" :)

Pozdruffka!
Never stop exploring :)

https://iverion.de

piotro
wannabe
wannabe
Posty: 402
Rejestracja: 07 paź 2005, 12:50

#6

#6 Post autor: piotro »

Przesadzacie.
Polemizujac, w zaleznosci od szczegolowych wymagan takie rozwizanie moze byc ok.
Tak jak kolega naipsal, samego ruchu tez jest niewiele.

Ja mam pewna liczbe roznego typu ruterow od Cisco, ktorych uzywam do terminowania l2tp/ipsec, od kilkudziesieciu do ponad 3500 tuneli na jednym pudle (7301 + vam2+), i dziala ok (ciezkiego ruchu przez to nie puszczam), a do tego moge je sobie terminowac w roznych VRFach (dwa parametry w radiusie), da sie i failover (choc nie natychmiastowy) zrobic do innego pudla jak sie dobrze zakombinuje.
Przy niektorych wymaganiach to wrecz ruter moze byc wygodniejszy niz ASA, z ciekawosci dlaczego wedlug was ASA jest cacy a na ruterze to juz sznurek i drucik ?
Oczzyie pomijajac dosyc oczywiste - NAT i kombinacje (policy nat) tu ASA, wspomniany przeze mnie l2tp/ipsec to transport mode, wie najczesciej NATa mu nie trzeba (szczerze mowiac to srednio widze zarzadzanie np. 600 site-site VPNami + NATy na ASA), ale co poza tym.

Awatar użytkownika
mx_krzak
CCIE
CCIE
Posty: 798
Rejestracja: 18 lis 2005, 00:19
Lokalizacja: Wrocław

#7

#7 Post autor: mx_krzak »

Ja do s2S IPSec tez wolę routery niż ASA bo na routerze jest VTI, który pozwala mi traktować tunel jak każdy inny interfejs i robić na nim wszystko co się da na interfejsie IP począwszy od routingu.
Z każdym upadkiem nabieramy większego doświadczenia.......to nie upadek czyni nas przegranymi, lecz brak chęci do powstania....

ODPOWIEDZ