ASA do site to site

Wszystkie rozmowy związane z problemem z hardwarem, supportowanymi funkcjonalnościami, wydajnością urządzeń itp.
Wiadomość
Autor
Awatar użytkownika
frontier
wannabe
wannabe
Posty: 1861
Rejestracja: 16 lis 2004, 13:55
Lokalizacja: Edinburgh

#1

#1 Post autor: frontier »

A jaki router obecnie masz? I jaka przepustowosc lacza? Byc moze wystarczy Ci 5512X, ma do 250 peerów oraz 200Mbps przepustowosci VPN

Tutaj zobacz sobie datasheet
Jeden konfig wart więcej niż tysiąc słów

Awatar użytkownika
frontier
wannabe
wannabe
Posty: 1861
Rejestracja: 16 lis 2004, 13:55
Lokalizacja: Edinburgh

#2

#2 Post autor: frontier »

Jak masz takiego antyka to przesiadka na 5512-X wbije Cię w fotel :) Pisząc HA masz na myśli parę firewalli?
Jeden konfig wart więcej niż tysiąc słów

Awatar użytkownika
frontier
wannabe
wannabe
Posty: 1861
Rejestracja: 16 lis 2004, 13:55
Lokalizacja: Edinburgh

#3

#3 Post autor: frontier »

Nie ma innych jak ilość tuneli oraz przepustowość. Pamiętaj tylko że do failovera potrzebujesz licencji Security Plus, najtańsza Base nie wystarczy.
Jeden konfig wart więcej niż tysiąc słów

Seba
CCIE/CCDE Site Admin
CCIE/CCDE Site Admin
Posty: 6223
Rejestracja: 15 lip 2004, 20:35
Lokalizacja: Warsaw, PL

#4

#4 Post autor: Seba »

Jeszcze raz temat skalowania, bo nie jestem pewien co miałeś na myśli.
Z jednej strony piszesz, że masz 40 tuneli, może podskoczyć do 60-70, ale dalej napisałeś, że ilość peerów IKE ma być minimum 1000.

Zakładam, że ta część o 60-70 tunelach jest elementem do uwzględnienia, więc najmniejszy modelem ASA spełniającym to wymaganie jest ASA5508, która wspiera do 100 równoczesnych tuneli site2site "z pudełka", bez żadnej dodatkowej licencji.

Ilość równoczesnych tuneli na poziomie do 100 nie oznacza, że nie można skonfigurować więcej, natomiast aktywnych może być tylko do 100.
"Two things are infinite: the universe and human stupidity; and I'm not sure about the universe."
A. Einstein

Seba
CCIE/CCDE Site Admin
CCIE/CCDE Site Admin
Posty: 6223
Rejestracja: 15 lip 2004, 20:35
Lokalizacja: Warsaw, PL

#5

#5 Post autor: Seba »

Roger that!

No to masz minimum dwie opcje 5508/5512. Nie mam cen pod ręką, ale z tego co kojarzę 5508 będzie wyraźnie tańsza, a do tego ma już dysk np. jeśli w przyszłości chciałbyś uruchomić Firepower Services for ASA.
"Two things are infinite: the universe and human stupidity; and I'm not sure about the universe."
A. Einstein

Kyniu
wannabe
wannabe
Posty: 3595
Rejestracja: 04 lis 2006, 16:23
Kontakt:

#6

#6 Post autor: Kyniu »

seba766 pisze:HA active-standby.
Jeśli chcesz zapewnić bardzo wysoką dostępność tuneli VPN to możesz też zastosować inny scenariusz - po dwa urządzenia brzegowe, do tego najlepiej po dwóch operatorów w każdej lokalizacji, tunele S2S pomiędzy tymi urządzeniami i znowu najlepiej "każdy z każdym" (czyli razem 4 tunele) i na tak zbudowanej sieci VPN uruchomiony protokół routingu. Tak "uzbrojony" jesteś gotowy na wojnę ;) Nie martwisz się awarią żadnego z urządzeń ani awarią operatora.
CCNA: R&S, Security, Wireless, Collaboration. MCSE: Cloud Platform and Infrastructure, Server Infrastructure. ITIL: Foundation. PPL(A)
https://www.facebook.com/itserviceskielce/ :: https://www.linkedin.com/company/itservicespoland :: https://www.linkedin.com/in/krzysztofkania/

mihu
wannabe
wannabe
Posty: 762
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

#7

#7 Post autor: mihu »

seba766 pisze:Dokładnie mam to na myśli.
HA active-standby.

Ewentualnie jakieś inne restrykcje jeżeli Cisco ma co do tuneli STS.
nie znam szczegolow apropo 5508, ale jesli mnie pamiec nie myli i chcesz HA A/P to w 5515 masz na to licencje w 5512 musisz ja dokupic, co wychodzi drozej o niz "gole 5515".
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

Seba
CCIE/CCDE Site Admin
CCIE/CCDE Site Admin
Posty: 6223
Rejestracja: 15 lip 2004, 20:35
Lokalizacja: Warsaw, PL

#8

#8 Post autor: Seba »

Nie wiem jak na eBay, ale w cenniku GPL ASA5508 to jest około 2/3 ceny ASA5512 z SEC+.

Na eBay różnica z pewnością wynika z faktu, że 5508 są stosunkowo nowym modelem, no i zapewne 5512 są bez SEC+. Nie byłbym zdziwiony jeśli 5515 byłyby tańsze na eBay niż 5508.

Pomijam kwestie braku wsparcia serwisowego, legalnego dostępu do softu, etc, których przy zakupie na Ebay nie uświadczysz. Wybór należy oczywiście do Ciebie.

PS. ASA 5508 wspiera Failover by default, bez dodatkowych licencji.
"Two things are infinite: the universe and human stupidity; and I'm not sure about the universe."
A. Einstein

mihu
wannabe
wannabe
Posty: 762
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

#9

#9 Post autor: mihu »

ostatni raz sprawdzalem to 0.5/1 rok temu i bardziej sie oplacalo kupic 2x5515 niz 2x5512 z pozniejszym ewentualnym zakupem Sec Plus. Roznica byla oklo 1k GBP lub USD, nie pamietam. wiem ze mam gdzies w notatkach ale nie moge ich znalezc.

5506 i 5508 to nowe pudelka i moga miec lepsze warunki licencji. Pamietaj jeszcze o kwestii portow, w X-ach nie mozesz uzyc mgmt jako extra portu, wspominam bo klient chcial zaoszczedzic kupujac 5515 zamiast 5525 i sie delikatnie mowiac przeliczyl.
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

Kyniu
wannabe
wannabe
Posty: 3595
Rejestracja: 04 lis 2006, 16:23
Kontakt:

#10

#10 Post autor: Kyniu »

Bo mieszasz pojęcia. Po prostu nie licz ile masz klientów za tunelem S2S - zapomnij o tej liczbie. Czy ich tam jest 10, 20 czy 100 jest to jeden tunel S2S. I to wszystko.

Jak zaczynasz pisać o klientach to inżynier który analizuje Twoje zapytania zakłada "bezpieczny" scenariusz i zakłada, że Ty tych ludzi chcesz terminować na ASA i przyjmuje założenie "1000 userów - a to musi terminować 1000 sesji VPN".
CCNA: R&S, Security, Wireless, Collaboration. MCSE: Cloud Platform and Infrastructure, Server Infrastructure. ITIL: Foundation. PPL(A)
https://www.facebook.com/itserviceskielce/ :: https://www.linkedin.com/company/itservicespoland :: https://www.linkedin.com/in/krzysztofkania/

mihu
wannabe
wannabe
Posty: 762
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

#11

#11 Post autor: mihu »

seba766 pisze:Ok to co by znaczyło "Maximum site-to-site and IPsec IKEv1 client VPN user sessions" to nie jest SA?

Przez Palo mi już się to samo zaczęło mieszać.
Max tunnels to maximum tunneli (RVPN or L2L peer) jakie mozesz zestawic.

na przykladzie ASA5515 - max tunneli 250 - przykladowa kombinacja 200 peerow L2L i 50 RVPN sesji, albo inny mix 251-tunnel sie nie zestawi ale mozesz na sztywno zablokowac ile moze byc max RVPN zeby przez przypadek nie zablokowac L2L.

ograniczenie jest na peer/RVPN nie na ilosc SA
Ostatnio zmieniony 10 lut 2016, 12:48 przez mihu, łącznie zmieniany 2 razy.
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

Kyniu
wannabe
wannabe
Posty: 3595
Rejestracja: 04 lis 2006, 16:23
Kontakt:

#12

#12 Post autor: Kyniu »

Co rozumiesz przez SA?
CCNA: R&S, Security, Wireless, Collaboration. MCSE: Cloud Platform and Infrastructure, Server Infrastructure. ITIL: Foundation. PPL(A)
https://www.facebook.com/itserviceskielce/ :: https://www.linkedin.com/company/itservicespoland :: https://www.linkedin.com/in/krzysztofkania/

Kyniu
wannabe
wannabe
Posty: 3595
Rejestracja: 04 lis 2006, 16:23
Kontakt:

#13

#13 Post autor: Kyniu »

seba766 pisze:Przez SA mam na myśli security associations.
To zdecyduj się bo raz piszesz o ludziach za tunelem S2S a teraz chcesz tych ludzi terminować na ASA.
CCNA: R&S, Security, Wireless, Collaboration. MCSE: Cloud Platform and Infrastructure, Server Infrastructure. ITIL: Foundation. PPL(A)
https://www.facebook.com/itserviceskielce/ :: https://www.linkedin.com/company/itservicespoland :: https://www.linkedin.com/in/krzysztofkania/

mihu
wannabe
wannabe
Posty: 762
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

#14

#14 Post autor: mihu »

seba766 pisze:Tak jak napisałem Sebie
"Może zaplątałem trochę ale to przez to dziadowskie Palo.

Tuneli sts ma być ok 40 i może urosnąć do 60-70. Przez to mam na myśli tunel moja firm-druga firma.

A co do peerów to mam na myśli połączenia SA między hostami"

Nie jestem specem w Sec dlatego może najprościej za pomocą configu coś uda mi się dokładnie wytłumaczyć :)

Tuneli mam 40(sh crypto isakmp sa)

Połączeń mam w tym momencie 250(sh crypto ipsec sa )
nie wiem czy widziales, ale zrobilem pare edit-ow na moim poscie:

- tak jak pisalem na przykladzie 5515 - max 250 tuneli, czyli jesli ograniczymy sie tylko do L2L znaczy to ze mozesz zestawic maximum 250 tuneli (iskmp), SAi (ipsec) teoretycznie tysiace. jesli bedziesz chcial tez zestawic RVPN do siebie , np zdalna administracja bedziesz mial dla L2L 250-1 > 249

ja w 5512 bym sie nie ladowal przy potencjalnym HA A/P.

Tu masz linka do aktualnego data sheet dla ASA
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

ODPOWIEDZ