Mudando para o Cisco VPN do Windows PPTP

1) Esta é uma VPN IPSEC, embora seja uma versão cisco ligeiramente proprietária. Eles podem ser de site para site ou de usuário para site.

2) Você pode usar o diretório ativo para autenticação, bem como muitas outras fontes.

3) Se por vários servidores você quer dizer vários servidores vpn como pontos finais diferentes, então sim.

4) Existem módulos vpn disponíveis para estas unidades, se você pode usá-los depende a carga que você espera, mas para menos de 50 usuários simultâneos você não terá muita dificuldade, e de fato a carga que eles podem rotear é provavelmente muito maior. Então VPN pode gerar muita carga, depende do que seus usuários estão fazendo. Eu não sei o que IOS versão que você precisa para executar, tente executar o mais recente possível.

5) Acredito que o licenciamento é feito por usuário simultâneo - além de custo adicional incorrido para módulos de hardware.

6) A Cisco pode suportar web vpn.

6) O Cisco vpn é uma boa solução padrão, especialmente para trabalhadores remotos baseados no Windows. No entanto, existem várias alternativas de baixo custo que implementam ipsec mais genéricas e podem ser apropriadas como o Sonicwall. Também Juniper faz algumas artes vpn decente. Se você quiser ir para a rota de código aberto, confira openvpn, provavelmente minha implementação vpn favorita em qualquer lugar, mas você precisa fazer algumas pesquisas para fazê-lo funcionar para funcionários remotos e pode não ser aplicável em sua situação.

Minha universidade está migrando para a VPN da Cisco a partir do PPTP, então posso dizer que ela não é tão boa quanto parece.

A Cisco está promovendo o SSL VPN, mas seu custo de licença por conexão. Isso é feito pelo cliente AnyConnect, que a Cisco desenvolve ativamente.

O IPsec VPN não tem licença por conexão, mas só pode ser feito usando o "Cisco VPN Client", que não suporta nenhum Windows de 64 bits. sistema. E no Windows 7 (32 bits), ele precisa de soluções alternativas para funcionar. Além disso, não há planos atuais para fornecer suporte de 64 bits para o "Cisco VPN Client".

E, se você estiver considerando dispositivos ASA, eles têm um gerenciamento inadequado e um tanto problemático.

O cliente ao qual você está se referindo é chamado de cliente AnyConnect (que requer licenciamento adicional para o ASA).

Você pode usar o IAS (incorporado no Windows Server) como um servidor radius e autenticar no AD. No entanto, você também deve procurar um TACACS + (controle de acesso) se tiver muitas pessoas gerenciando seus roteadores ou firewalls.

Não sei se existe um nome específico para a tecnologia VPN de acesso remoto da Cisco. Seu software cliente passa por vários nomes ("Cisco VPN Client", "AnyConnect", etc). As Cisco VPNs usaram o IPSEC historicamente, mas também estão começando a fazer VPNs baseadas em SSL nos últimos anos.

Você pode usar o RADIUS (e o servidor RADIUS interno do Windows, IAS) para fazer autenticação de back-end no Active Directory com bastante facilidade. Alguns dos hardwares da Cisco (em particular, sua série VPN Concentrator) também suportam autenticação back-end direta para domínios do Windows, mas ainda uso o RADIUS nesses dispositivos. Em uma VPN IPSEC tradicional, isso é feito usando o XAUTH. Não tenho certeza de qual recurso é chamado em uma VPN SSL, mas também está disponível.

"Posso executar vários servidores ...?" Vários endpoints de VPN para os clientes se conectarem? Certo. Você tem que coordenar os clientes para se conectar ao caminho certo, no entanto. (Eu já te preparei certo?)

A funcionalidade SSL VPN é licenciada por usuário. A funcionalidade VPN baseada em IPSEC é, acredito, limitada por um limite de conexão hard-set no IOS (então, efetivamente, ela é licenciada também - apenas de uma maneira menos flexível).

O desempenho dependerá da carga de tráfego. A série 2800 possui um módulo de descarregamento de criptografia embutido (consulte a seção "Segurança" de Roteadores de Serviços Integrados Cisco 2800 Series ), mas há também um módulo (AIM) disponível para descarregamento de criptografia que supostamente dobra o desempenho do módulo de transferência onboard. (Esse documento que eu vinculei mostra os números de rendimento de tráfego IPSEC para vários roteadores da série 2800.)

Termino a maioria das VPNs da Cisco em dispositivos ASA-5505 e PIX, por isso minha experiência em terminá-las em roteadores é limitada. Além disso, fiquei longe de sua oferta de VPN baseada em SSL, principalmente porque a VPN "tradicional" baseada em IPSEC funcionou bem para meus clientes. Como tal, tenho uma falta de familiaridade com ambos. Tendo dito isso, aqui estão alguns documentos que podem ser úteis:

• VPNs de Acesso Remoto: Produtividade Empresarial, Implantação e Considerações de Segurança - Mais do balbucio de vendas do que qualquer um, mas fala sobre as diferenças entre suas ofertas de VPN baseadas em SSL e IPSEC.

• Recursos de segurança de rede nos roteadores de serviços integrados da Cisco - Discuti as funcionalidades disponíveis nos IOS Routers re: security, incluindo as 2800-series

• Perguntas e respostas sobre o SSL do Cisco IOS Q & A - Inclui detalhes sobre o licenciamento da funcionalidade SSL VPN.

Aqui está outra alternativa ... ipUnplugged VPN móvel da Radio IP Software. Esta é uma VPN móvel IPSec baseada nos padrões IP móveis e está sempre ativa. O usuário não precisa iniciar / parar a VPN; É inteligente o suficiente para saber quando o usuário está no escritório e desativa a criptografia. www.ipunplugged.com