форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Изначальное сообщение		[ Отслеживать ]

"Ограничение доступа VPN клиентов друг к другу."	+/–
Сообщение от Андрей (??) on 30-Май-12, 12:09
Добрый день, Стоит задача объединить в одну VPN сеть около 2000 клиентов. В этой сети будет 3 группы клиентов: 1. Просто клиенты - не должны видеть друг друга по-умолчанию. Но должны видеть определенных клиентов. 2. Клиент сервер - должен видеть определенный список клиентов. 3. Клиент администратор - должен видеть всех клиентов. Помогите, пожалуйста, в решении следующих вопросов: Если в роли сервера VPN (L2TP, IPSec) будет выступать ASA 5540, сможет ли она обеспечить требуемые ограничения доступа. С помощью чего это будет реализовываться, какие команды, функционал, примерная схема. Недавно была похожая тема, но там рассматривается физическая сеть и там клиенты в своей сети общаются напрямую, в моему они не могут общаться напрямую, все пакеты пойдут через Cisco.
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Ограничение доступа VPN клиентов друг к другу."	+/–
Сообщение от Николай_kv (ok) on 30-Май-12, 12:38
>[оверквотинг удален] > видеть определенных клиентов. > 2. Клиент сервер - должен видеть определенный список клиентов. > 3. Клиент администратор - должен видеть всех клиентов. > Помогите, пожалуйста, в решении следующих вопросов: > Если в роли сервера VPN (L2TP, IPSec) будет выступать ASA 5540, сможет > ли она обеспечить требуемые ограничения доступа. > С помощью чего это будет реализовываться, какие команды, функционал, примерная схема. > Недавно была похожая тема, но там рассматривается физическая сеть и там клиенты > в своей сети общаются напрямую, в моему они не могут общаться > напрямую, все пакеты пойдут через Cisco. Технически не нарисую - делают связку ASA <=radius=> ACS который нарезает по username определенный набор acl. Как вариант без ACS (если нет специфических требований по каждому клиенту из 2000) создать несколько профилей на профили накинуть ацл и раздать народу. Но данная фишка применима к Easy VPN конектам. В L2TP на самом маршрутизаторе (роутер в роли концентратора ВПН) можно привязать username к ИП и исходя из этого что-то творить. Как реализовать сие на АСА без посторонних инструментов я не знаю.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Ограничение доступа VPN клиентов друг к другу."	+/–
	Сообщение от Aleks305 (ok) on 30-Май-12, 13:40
	>[оверквотинг удален] >> в своей сети общаются напрямую, в моему они не могут общаться >> напрямую, все пакеты пойдут через Cisco. > Технически не нарисую - делают связку ASA <=radius=> ACS который нарезает по > username определенный набор acl. > Как вариант без ACS (если нет специфических требований по каждому клиенту из > 2000) создать несколько профилей на профили накинуть ацл и раздать народу. > Но данная фишка применима к Easy VPN конектам. > В L2TP на самом маршрутизаторе (роутер в роли концентратора ВПН) можно привязать > username к ИП и исходя из этого что-то творить. Как реализовать > сие на АСА без посторонних инструментов я не знаю. сделать можно.2000 клиентов...мне кажется одной ASA будут маловато, даже 5540, лучше кластер собрать хотя бы из двух. В этом случае без ACS cisco сложновато будет выполнить требования по ACL.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	4. "Ограничение доступа VPN клиентов друг к другу."	+/–
	Сообщение от Андрей (??) on 30-Май-12, 14:45
	> сделать можно.2000 клиентов...мне кажется одной ASA будут маловато, даже 5540, лучше кластер > собрать хотя бы из двух. В этом случае без ACS cisco > сложновато будет выполнить требования по ACL. Да вроде не планируем сильно большой нагрузки. У нее в характеристиках 5000 сессий L2TP IPSec и 325 Mbit. У нас будет максимум 2000 сессий и 50-100 Mbit в рабочем режиме. Большинство из VPN сессий будет просто висеть. Одновременно работать планируется примерно со 100 сессиями.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	3. "Ограничение доступа VPN клиентов друг к другу."	+/–
	Сообщение от Андрей (??) on 30-Май-12, 14:35
	> В L2TP на самом маршрутизаторе (роутер в роли концентратора ВПН) можно привязать > username к ИП и исходя из этого что-то творить. Как реализовать > сие на АСА без посторонних инструментов я не знаю. Да мне как раз хотелось бы обойтись без лишних устройств и серверов. Аутентификация из локальной БД, а не с Radius. Привязывать Имя и IP, а дальше access листами по ip ограничивать доступ. Проблема как раз в том, что в основном мы имели дело с маршрутизаторами и не знаем, что будет в случае ASA. Easy vpn не подходит, потому что на клиентской стороне ожидается тот еще огород и требуется автоматическое подключение.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	5. "Ограничение доступа VPN клиентов друг к другу."	+/–
	Сообщение от Aleks305 (ok) on 30-Май-12, 23:11
	>> В L2TP на самом маршрутизаторе (роутер в роли концентратора ВПН) можно привязать >> username к ИП и исходя из этого что-то творить. Как реализовать >> сие на АСА без посторонних инструментов я не знаю. > Да мне как раз хотелось бы обойтись без лишних устройств и серверов. > Аутентификация из локальной БД, а не с Radius. Привязывать Имя и > IP, а дальше access листами по ip ограничивать доступ. Проблема как > раз в том, что в основном мы имели дело с маршрутизаторами > и не знаем, что будет в случае ASA. > Easy vpn не подходит, потому что на клиентской стороне ожидается тот еще > огород и требуется автоматическое подключение. Есть такое свойство у ASA можно привязать к логину пользователя и ip и ACL и много много чего еще)так что не переживайте.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема