jaki router do VPN. jakie kupic lacze ??
jaki router do VPN. jakie kupic lacze ??
Witam serdecznie mam pytanie. Mam za zadanie kupić router (najlepiej Cisco ) z możliwością VPN, do zabezpieczeń najlepiej żeby miął Pixy. Router będzie obsługiwał cos 70 komputerów
Przy okazji chciałem sie dowiedzieć jakie musze mięć łączę żeby efektywnie obsłużyć 20 połączeń VPN ( z call center do bazy ARP ).
Z gory dziekuje
Przy okazji chciałem sie dowiedzieć jakie musze mięć łączę żeby efektywnie obsłużyć 20 połączeń VPN ( z call center do bazy ARP ).
Z gory dziekuje
W SMB to raczej ASA5505. Akurat wpasowuje się z założenia bo z licencją Security Plus obsłuży 25 tuneli VPN, a przepustowość na poziomie 150 Mbps oraz 25000 równoczesnych połączeń powinny wystarczyć na 70 komputerów. No i ASA 5505 będzie tańsza niż 1841 Advanced Security.Isam pisze:W zaleznosci od potrzeb beda to rozne zabawki na przyklad para ASA 5510, chyba najczesciej spotykana w SMB.
Kyniu
nie wiem jak wyglada to cenowo (powinno podobnie) i nie wiem jak jest ze wsparciem w Polsce , ale moze Juniper SSG 5 , jesli ASA5505 sobie poradzi to na pewno tez SSG.maksiu.m pisze:A moze proponujes cos innego??Isam pisze:Jezeli to ma byc Cisco to:
Chyba ze potrzebujesz cos innego niz ethernet na swiat , wtedy SSG20. Zwroc tylko uwage na ilosc jednoczesnych polaczen : 8k/16k w zaleznosci od licencji
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
Seria ASA zastapiła PIXy. PIX to w zasadzie był firewall, ale ASA to coś więcej, możesz do niej dołożyć (w wersjach od 5510 w górę) moduły z portami gigabit, IDS/IPS i content filtering.
ASA 5505 to malutkie pudełeczko z 8 portami ethernet które w małej firmie się całkiem nieźle może sprawdzić.
Więcej masz
tu
lub tu
--
Pozdrawiam
Piotrek
ASA 5505 to malutkie pudełeczko z 8 portami ethernet które w małej firmie się całkiem nieźle może sprawdzić.
Więcej masz
tu
lub tu
--
Pozdrawiam
Piotrek
To zależy co jest routerem Serio to po prostu ciężko dzisiaj o jasną granicę. Większość routerów nie robi żadnej z czynności do których były stworzone czyli:maksiu.m pisze:ASA 5505 jest firewall-em, czy routerem z wbudowanym firewollem. Jest tyle rodzajów tego sprzętu ze zaczynam sie gubić.
- ani nie wykonuje operacji związanych z wyborem trasy na podstawie informacji z protokołów routingu (bo jaki procent firm ma więcej niż jedno łącze i korzysta z BGP, nawet jak firmy mają dwa to często na zasadzie jedno szybkie + coś ala neostrada jako backup)
- ani tez nie dokonuje konwersji protokołów bo rządzi TCP/IP
Co robią współczesne routery? Najczęściej realizowaną funkcją jest NAT, potem różne mechanizmy bezpieczeństwa nie wiedzieć czemu wszystkie znane jako firewall, od prostych list kontroli dostępu w L3/4 do zaawansowanej inspekcji pakietów (nie mam na myśli IPS'a, proszę mi nie imputować jakby co). Do tego koncentrator VPN, coraz częściej również SSL VPN, serwer DHCP, serwer DNS, serwer czasu, i tak dalejm i tak dalej.
No i pojawia się ASA i zagadka - co to jest. Ano też potrafi realizować NAT, jest koncentratorem VPN, tez obsługuje SSL VPN, etc. etc. a na dokładkę obsługuje nie tylko statyczny routing ale nawet takiego RIP''a. Jedyne chyba co wyróżnia ASE (acz głowy sobie uciąć nie dam) to że jedyne co rozumie to TCP/IP.
Kyniu
Właśnie ciekawą kwestie poruszyłeś. Ostatnio przeglądam bajery 12.4(2-20)T i się zastanawiam czym sie różni firewall od routera.. i czy aby ten drugi nie jest już dziś bardziej fajerwolowy + masa innych rzeczy który ASA czy PIX nie poradzi. Czy mogłby ktoś kokretnie napisać czego ISR z nowym IOS nie poradzi jeśli chodzi o sec?Kyniu pisze: To zależy co jest routerem
Maksiu:
9k szkoda, 1841 styknie, jak pomyślisz to wyjdzie jeszcze taniej
Pozdrawiam
glowy nie dam, bo ostatnio nie siedze w routerach, ale wydaje mi sie ze na ISR , nie zrobisz klastra ze stateful firewall, poza tym konfiguracje na zonach i inspectach, zeby otrzymac podobny rezultat jak na ASA nie sa tak "przyjemne", ale pownie to zalezy kto co lubiMisiekm pisze: Czy mogłby ktoś kokretnie napisać czego ISR z nowym IOS nie poradzi jeśli chodzi o sec?
pzdr
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
mihu, rownierz głowy nie dam ale za jakiś tam stateful można by uznać stateful NAT + kilka grup hsrp z bfd na kilku routerach. Co do active/active Asy jest jeden myk:
"When the security appliance is configured for Active/Active stateful failover, you cannot enable IPSec or SSL VPN. Therefore, these features are unavailable. VPN failover is available for Active/Standby failover configurations only."
Pozdrawiam[/code]
"When the security appliance is configured for Active/Active stateful failover, you cannot enable IPSec or SSL VPN. Therefore, these features are unavailable. VPN failover is available for Active/Standby failover configurations only."
Pozdrawiam[/code]
Musielibyśmy zejść na poziom sprzętu i porozmawiać o architekturze tych rozwiązań - CPU Intela vs. Motorola, i tak dalej. Generalnie to ASA bije ISR'y wydajnością firewall'a. Taka najmniejsza ASA 5505 ma, piszę z głowy więc nie bijcie, wydajność filtrowania na poziomie 150 Mbps. Tymczasem droższego od niej 1841 zabije ruch powyżej 35-40 Mbps bo taka jest wydajność tego routera. Więc nie postawimy np. ISR'a do filtrowania ruchu do/od farmy serwerów w DMZ.Misiekm pisze:Czy mogłby ktoś kokretnie napisać czego ISR z nowym IOS nie poradzi jeśli chodzi o sec?
Kyniu