Помогите определиться с моделью ASA, а главное с ТИПОМ ЛИЦЕНЗИЙ на нее.
Требуется следующий функционал:
1) интерфейсы outside,inside,dmz1,dmz2
2) NAT: inside-dmz1,inside-dmz2,outside-dmz1. NAT 0(не НАТить по аксесс листу)
3) файрвол фильтрации портов, контента. Защита от атак.
4) два ISP и переключение между Internet каналами по sla monitor
5) VPN Ipsec сервер, терминирование до 20 туннелей. в том числе с динамическим хвостом на той стороне (как вариант туннель nhrp, сейчас сделано без nhrp)
6) поддержка транков 802.1q (? даже не знаю умеют ли такое файрволы)Поиск по форуму только внес сумбур http://www.opennet.me/openforum/vsluhforumID6/13118.html
Сейчас этот функционал обеспечивают c2821 и pix515, из-за того, что железяки две постоянно вылезают-решаются какие-то проблемы.
Спасибо за советы!
>Помогите определиться с моделью ASA, а главное с ТИПОМ ЛИЦЕНЗИЙ на нее.
>
>Требуется следующий функционал:
>1) интерфейсы outside,inside,dmz1,dmz2зависит от лицензии в базовой помоему 1 dmz
>2) NAT: inside-dmz1,inside-dmz2,outside-dmz1. NAT 0(не НАТить по аксесс листу)не понял.
>3) файрвол фильтрации портов, контента. Защита от атак.по контенут не знаю но остальное есть
>4) два ISP и переключение между Internet каналами по sla monitor....
>5) VPN Ipsec сервер, терминирование до 20 туннелей. в том числе с
>динамическим хвостом на той стороне (как вариант туннель nhrp, сейчас сделано
>без nhrp)лицензия расширенная
>6) поддержка транков 802.1q (? даже не знаю умеют ли такое файрволы)умеют конечно
>в общем asa 5505 (это я про неее говорил )
>
>Поиск по форуму только внес сумбур http://www.opennet.me/openforum/vsluhforumID6/13118.html
>
>Сейчас этот функционал обеспечивают c2821 и pix515, из-за того, что железяки две
>постоянно вылезают-решаются какие-то проблемы.
>Спасибо за советы!
>>2) NAT: inside-dmz1,inside-dmz2,outside-dmz1. NAT 0(не НАТить по аксесс листу)
>не понял.весь НАТ в разные стороны делать на этой железяке.
трафик терминированных на ней туннелей не НАТить, они и так уже с локальными адресами.
nat (inside) 0 access-list 110 (цитата с pix 515)>>4) два ISP и переключение между Internet каналами по sla monitor
>....теперь я не понимаю
>в общем asa 5505 (это я про неее говорил )
лицензия Enetrprise Edition?
а как у 5505 с маршрутизацией по сравнению с рутером 28хх?
>[оверквотинг удален]
>
>>>4) два ISP и переключение между Internet каналами по sla monitor
>>....
>
>теперь я не понимаю
>
>>в общем asa 5505 (это я про неее говорил )
>
>лицензия Enetrprise Edition?
>а как у 5505 с маршрутизацией по сравнению с рутером 28хх?5505 - коробка начального уровня для малых офисов. 25 IPsec VPN peers для нее максимум.
берите ASA5510-AIP10SP-K9 ASA 5510 Appliance with AIP-SSM-10, 5FE, 3DES/AES, SEC PLUSс SEC PLUS лицензией, там есть все, что вам надо, включая IPS
>[оверквотинг удален]
>>
>>>>4) два ISP и переключение между Internet каналами по sla monitor
>>>....
>>
>>теперь я не понимаю
>>
>>>в общем asa 5505 (это я про неее говорил )
>>
>>лицензия Enetrprise Edition?
>>а как у 5505 с маршрутизацией по сравнению с рутером 28хх?C маршрутизацией все плохо. PBR нет. Netflow нет.
>
>5505 - коробка начального уровня для малых офисов. 25 IPsec VPN peers
>для нее максимум.
>берите ASA5510-AIP10SP-K9 ASA 5510 Appliance with AIP-SSM-10, 5FE, 3DES/AES, SEC PLUS
>
>с SEC PLUS лицензией, там есть все, что вам надо, включая IPS
>
спасибо за советы!
>>берите ASA5510-AIP10SP-K9 ASA 5510 Appliance with AIP-SSM-10, 5FE, 3DES/AES, SEC PLUSциска.ком тоже советует 5510 или 5520 с четырьмя интерфейсами (для DMZ-2)
>>netflow нету - плохо! как же проверять провайдера, что он там насчитал?
PBR нет - вообще погано....
Нету в ASA переключения по SLA monitor.
>Нету в ASA переключения по SLA monitor.схуяли?
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/produc...
>Помогите определиться с моделью ASA, а главное с ТИПОМ ЛИЦЕНЗИЙ на нее.
>
>Требуется следующий функционал:
>1) интерфейсы outside,inside,dmz1,dmz2
>2) NAT: inside-dmz1,inside-dmz2,outside-dmz1. NAT 0(не НАТить по аксесс листу)
>3) файрвол фильтрации портов, контента. Защита от атак.Модуль есть отдельный для этого. От атак один, если проверять почту и хттп, то уже другой.
>4) два ISP и переключение между Internet каналами по sla monitorSLA у ASA есть, конфигов в инете полно.
>5) VPN Ipsec сервер, терминирование до 20 туннелей. в том числе с
>динамическим хвостом на той стороне (как вариант туннель nhrp, сейчас сделано
>без nhrp)5505 не потянет однозначно.
>6) поддержка транков 802.1q (? даже не знаю умеют ли такое файрволы)
>
>
>Поиск по форуму только внес сумбур http://www.opennet.me/openforum/vsluhforumID6/13118.html
>
>Сейчас этот функционал обеспечивают c2821 и pix515, из-за того, что железяки две
>постоянно вылезают-решаются какие-то проблемы.
>Спасибо за советы!А вообще не стоит ставить на эти задачи оду ASA, потому как если чего-нибудь понадобится, типа PBR, потом пожалеете что так сделали. Берите роутер покруче и будет вам счастье да и дешевле получится.
>
>А вообще не стоит ставить на эти задачи оду ASA, потому как
>если чего-нибудь понадобится, типа PBR, потом пожалеете что так сделали. Берите
>роутер покруче и будет вам счастье да и дешевле получится.Топикмэйкеру:
Связка ASA + Router для такой ситуации однозначно более подходящая. Оно видимо не зря у вас сделано сейчас именно так. Просто разберитесь в чем текущие проблемы (при необходимости upgrade железа).
Возможности АСА по роутингу минимальны. SLA monitor типа есть, да, но функциональность с роутерами пока не сравнить. Раз вы multihomed - можете захотеть bgp - хотя бы дефолты. PBR как уже сказали нет, ospf поддержка ограниченная. Вообщем ASA - это 100% не border.
И собственно никогда как бордер и не задумывалась....
P.S. Netflow (v9) на АСА будет... вот только не думаю что скоро...
>Связка ASA + Router для такой ситуации однозначно более подходящая. Оно видимо
>не зря у вас сделано сейчас именно так.сделано еще без меня. а вот мне уже приходилось кучу проблем решать из-за того, что стоят два устройства, где логичнее быть одному
>Возможности АСА по роутингу минимальны. SLA monitor типа есть, да, но функциональность
>с роутерами пока не сравнить. Раз вы multihomed - можете захотеть
>bgp - хотя бы дефолты. PBR как уже сказали нет, ospf
>поддержка ограниченная. Вообщем ASA - это 100% не border.
>И собственно никогда как бордер и не задумывалась....BGP и даже ospf мы никогда не сможем. у нас деревня и провайдеры соответствующие.
сейчас рулят SLA, NATы(по аксесс листам), PBR.
>
>P.S. Netflow (v9) на АСА будет... вот только не думаю что скоро...хорошо бы...
кстати, умеет ли ASA NAT по аксесс-листу делать? вот Pix515 умеет только NAT(0)
nat (inside) 0 access-list 110. nat (inside) 1 access-list 110 - уже не съест
>[оверквотинг удален]
>
>Требуется следующий функционал:
>1) интерфейсы outside,inside,dmz1,dmz2
>2) NAT: inside-dmz1,inside-dmz2,outside-dmz1. NAT 0(не НАТить по аксесс листу)
>3) файрвол фильтрации портов, контента. Защита от атак.
>4) два ISP и переключение между Internet каналами по sla monitor
>5) VPN Ipsec сервер, терминирование до 20 туннелей. в том числе с
>динамическим хвостом на той стороне (как вариант туннель nhrp, сейчас сделано
>без nhrp)
>6) поддержка транков 802.1q (? даже не знаю умеют ли такое файрволы)А сколько суммарно трафика у вас?
Если грамотно настроить вашу 2821 она справится с этими задачами самостоятельно без дополнительного устройства PIX/ASA.
Для "защиты от атак" имеет смысл добавить AIM-IPS
asa не умеет gre тунели, не умеет dmvpn или nhrpbest practice как я думаю
это роутер наружу, который держит gre+ipsec, а за ним directly connected ASA которая натит, ДМЗит, IPSит.
>asa не умеет gre тунели, не умеет dmvpn или nhrp
>
>best practice как я думаю
>это роутер наружу, который держит gre+ipsec, а за ним directly connected ASA
>которая натит, ДМЗит, IPSит.Если трафика не очень много (в пределах 20 мбит), то и 2821 должна справится с задачами NAT и Stateful Firewall.
В роли IPS на ASA выступает модуль AIP-SSM, который по функционалу абсолютно аналогичен AIM-IPS (та же прошивка), но имеет избыточную производительность и гораздо более высокую стоимость.
>asa не умеет gre тунели, не умеет dmvpn или nhrp
>
>best practice как я думаю
>это роутер наружу, который держит gre+ipsec, а за ним directly connected ASA
>которая натит, ДМЗит, IPSит.плюс роутера наружу это еще
IP SLA - icmp jitter чтобы пингал не одним пакетиком а кучей
на ASA нету LLQ
gre+ipsec
ну и еще PBR и serial интерфейсы может если придёт frame relay или модем какой нить...