catalyst + IPSec

Wiadomość

Radziel · #1

witam
Mam problemy z wyszukaniem tego na stronie Cisco. Czy dla switcha catalyst 3560 lub 3750 jest ios obslugujacy tunele VPN np. GREoverIPSec z 3DES?
Jesli nie, to jaki jest najnizszy model catalysta ktory posiada takie funkcje (+routing oczywiscie). Wiem, ze 6500 ma takie mozliwosci, ale to troche za drogi sprzet:)

#2

3750 ani 3560 nie obsługuje IPSec'a
Najniższy model to 4500

Nie wiem do czego to ale jesli tylko zaterminowanie IPSeca to polecam aske 5505 lub 5510

Radziel · #3

kierownictwo sobie wymyśliło, że w jednej z lokalizacji zamiast standardowego combo (router+switch) wstawią jeden switch L3 z obsługą szyfrowania.
Z tego, co sprawdziłem to ASA obsługuje tylko RIPv1,2 oraz OSPF. Mnie potrzebny jest EIGRP.

#4

I że niby łącze zakończysz na switchu ?:) Fajna firma

2800 + 2960 wyjdzie mniej niż taki switch L3

#5

Jak ma byc jeden box, to moze byc Router (zapewni szyfrowanie) z modulem switcha. Kwestia do przeanalizowania - ile bedzie potrzebnych portow. Majac te informacje, dobierze sie router i odpowiedni modul. Aha IOS Advanced Security.

Z tym, ze bedzie to dosc drogie rozwiazanie, lepiej wyjdzie (jak juz zasugerowali koledzy wczesniej) uzyc oddzielne, ale mniejsze router lub asa i switch.

drake · #6

Radziel pisze:kierownictwo sobie wymyśliło, że w jednej z lokalizacji zamiast standardowego combo (router+switch) wstawią jeden switch L3 z obsługą szyfrowania.
Z tego, co sprawdziłem to ASA obsługuje tylko RIPv1,2 oraz OSPF. Mnie potrzebny jest EIGRP.

czasami sprytne kierownictwo przehytrza samo siebie...

kktm · #7

Radziel pisze: Z tego, co sprawdziłem to ASA obsługuje tylko RIPv1,2 oraz OSPF. Mnie potrzebny jest EIGRP.

Jak ty sprawdzales? Eigrp od 8.0 jest wspierane

link

#8

No to ja dodam, ze przemila pani ASA nie obsluguje GRE

kktm · #9

Tak tylko dla scislosci gre nie jest wymagane aby dzialal routing dynamiczny w tunelu ipsec na asa. Ospf'a sam testowalem i dzialał, nowego softu 8.0 nie tykalem wiec sie o eigrp nie wypowiadam. Caly "trick" w konfiguracji w ospf polegał na wpisaniu komendy neighbor

Radziel · #10

dzieki wszystkim za odpowidzi.

garfield pisze:I że niby łącze zakończysz na switchu ?:) Fajna firma
2800 + 2960 wyjdzie mniej niż taki switch L3

Łącza są realizowane poprzez wewnętrzną infrastrukturę firmy. Gdyby nie szyfrowanie, switche L3 w zupelnosci by wystarczyly dla realizacji polaczen.

Co do twojej sugestii, to tez mialem taki pomysl, tyle tylko, ze wydawalo mi sie ze 1841 bedzie wystarczajace (~60 userow w tym VoIP). Ale jednak będę potrzebował 2821.
Wlasnie sie dowiedzialem, ze sygnal do LANu chca dostarczyc swiatelkiem 1Gb/s.
Wymyśliłem sobie, że zrobie to przez HWIC-1GE-SFP z GBIC GLC-SX-MM= (jak sie nie myle, to jest wielomód).

kktm pisze:Jak ty sprawdzales? Eigrp od 8.0 jest wspierane

Fakt, w linku ktory podajesz jest obsługa EIGRP. Ja sprawdzalem tylko w sklepie. Ładnie opisali możliwości, to już nie chciało mi się szukać na stronie cisco (ktora przynajmniej dla mnie, nie jest zbyt czytelna).

Skoro jestem już przy ASA, mam też małe pytanie nie związane z omawianym "projektem". Kończę właśnie przygotowania do ccna i myślę aby po egzaminie kupić sobie ASA 5505 dla własnego użytku. Aby zapoznać się ze sprzętem i konfiguracją. Da się na tym (+podręczniki) przygotować do egzaminu CCSP SNAF?

Sofcik · #11

Skoro rozważałeś 1841 do VoIP i ruchu to może zamiast 2821 kup 2811 albo 2801 choć myślę że i 1841 dałby radę spokojnie.
Jeśli zaś chodzi o dociągnięcie LAN po światełku - może zamiast modułu kup media converter?
Myślę, że to wyjdzie trochę taniej niż HWIC. A do 28xx zamiast modułu SFP możesz np włożyć moduł switcha z portami Gigabit albo jakiś moduł Voice.
No i tak jak Seba pisał - ważny jest soft.

A co do drugiej części pytania : pewnie z bólem 5505 wystarczy, ja bym dozbierał na 5510 i polował na ebay

--
Pozdrawiam
Piotrek