Cisco ASA 5505 - precisa de mais VPNs site-to-site

Navegue suas respostas
4

Estou usando um firewall de 50 usuários da Cisco Cisco ASA 5505 facilidade de localização. Os sistemas neste local estão realizando o monitoramento de sites remotos adicionais (também executando dispositivos Pix ou ASA). Eu estabeleci túneis site-a-site, mas atingi o limite rígido do dispositivo sob seu atual esquema de licenciamento. O modelo ASA 5505 é limitado a 10 túneis IPsec simultâneos.

Estou curioso sobre minhas opções aqui. Idealmente, gostaria de poder lidar com 15 a 20 conexões. Da pesquisa, parece que posso adicionar uma licença adicional do Security Plus para expandir para 25 túneis VPN. A outra opção parece estar se movendo para um Cisco ASA 5510.

Dado que eu tenho um pequeno número de sistemas no colo, está mudando para um ASA 5510 apenas para ganhar um excesso de funcionalidade de VPN? Há alguma desvantagem (hardware / performance / etc) para atualizar o ASA 5505 para a opção 25-VPN? Existem outras opções que eu perdi?

    
por ewwhite 05.07.2011 / 15:43

4 respostas

5

Se você puder imaginar uma situação em que possa precisar de mais de 25 túneis, vá para o 5510; Não há sentido em jogar o dinheiro extra em uma licença de 5505 de segurança mais se não sustentar suas necessidades a longo prazo.

Dito isto, se 15-20 é tudo o que você precisa, é muito mais rentável obter a atualização da licença.

Os limites da Cisco nos dispositivos são bastante arbitrários; Eles têm muito pouco a ver com as restrições de desempenho no ASA, e tudo a ver com muitas barreiras falsas para forçá-lo a usar um dispositivo mais caro. Eu não esperaria nenhum problema de desempenho com o 5505, até que você esteja saturando essas interfaces de 100MB.

    
por 05.07.2011 / 16:52
5

Atualizar para o 5510 apenas para os túneis VPN é um exagero, sim.

Existem, no entanto, algumas opções que você gostaria de ter no futuro, que somente o ASA5510 e acima podem suportar:

  • Failover com estado (ativo / ativo ou ativo / passivo, este último se tornando extremamente popular)
  • 125.000 conexões no 5510 em comparação com 25.000 conexões no 5505
  • 3 vezes a taxa de transferência da rede. Talvez você queira adicionar outra rede / vlan no ASA um dia, e as velocidades intra-VLAN precisam ser um pouco mais rápidas do que 100mbit / s? Eu já estive nessa situação várias vezes ..
  • Content Security, Anti-malware, Antivírus, etc. (os módulos SSM)
  • Suporte a Etherchannel - MUITO útil se você estiver usando switches empilhados (como 3750) como backbone
  • Resfriamento muito melhor com ventiladores duplos. Isso pode ser muito importante para você, dependendo do ambiente em que eles estão sendo executados.

Espero que isso ajude você, embora eu saiba que há uma grande diferença no preço.

    
por 05.07.2011 / 17:10
1

se você não se importar com o pechinchar de trocar o equipamento, então eu diria o 5510. mas se você receber o flack para derrubar qualquer coisa, então fazer a atualização de licença também faria bem. não para jogar uma chave de macaco na ideia, mas se você está procurando outra possibilidade de failover, você poderia usar alguns roteadores Cisco 2800 e fazer DMVPN. roteamento dinâmico, para cada site para site (se necessário), mas apenas caindo em meus 2 centavos

    
por 28.07.2011 / 19:13
1

Eu ficaria tentado a colocar o dinheiro em um 5510. Confira a comparação do modelo aqui: link

Observe que existem diferenças reais de hardware entre os modelos. Meu 5505 tem um CPU Geode 500 MHz, enquanto meu 5510 tem um processador Pentium 4 Celeron 1600 MHz.

20 túneis VPN ativos pressionam bastante a CPU, e provavelmente chegarão ao máximo no 5505 antes que as interfaces de 100Mb estejam cheias. Depende muito de quantos dados você está enviando através dos túneis, e se eles são 3DES ou AES (AES é mais eficiente em termos de CPU).

    
por 28.07.2011 / 20:10

Tags

Como bloquear um Windows 2008 Server antes de conectá-lo à internet SSH reinicia e mata instâncias?