Interconectando dois locais com o CISCO ASA 5505, fornecendo acesso VPN e também acesso público

Navegue suas respostas
1

Temos dois locais de redes geograficamente distantes e estamos pensando em introduzir uma nova arquitetura de rede utilizando dois CISCO ASA 5505s . Eu estou procurando uma revisão e confirmação se esta arquitetura é realizável com estes dois Firewalls CISCO ASA 5505. Eu quero ter certeza de que este equipamento corresponde aos nossos requisitos antes de efetuarmos a compra.

A rede deve ficar assim: 

Location 1                                      public servers (on vmware ESXi 4.x)
==========                                      |     (VLAN 1 — DMZ)
Public access  ----> +----------------+ --------+
Mobile worker  ----> | CISCO ASA 5505 |
Internet       <---- +----------------+ --------+
                       ^                        |
                       |                        private servers (on vmware ESXi 4.x)
                       |                              (VLAN 2)
                       | IPsec tunnel (VLAN 2)
                       |
Location 2             |
==========             v
                     +----------------+
Internet       <---- | CISCO ASA 5505 | --------+ 
                     +----------------+         |
                                                LAN workstations and servers
                                                      (VLAN 2)

Em Localização 1 , temos vários servidores virtualizados em execução em algumas máquinas físicas com o vmware ESXi 4.x. Várias VMs são acessíveis pela internet pelo público e, portanto, precisam ser colocadas em uma DMZ. Além disso, nossos funcionários que precisam de acesso remoto devem poder se conectar com o cliente VPN da CISCO ao ASA do Local 1. O método de autenticação necessário é com os certificados de usuário emitidos pela CA baseada no Windows.

O pacote para o Local 1 será ASA5505-UL-BUN-K9.

Em Local 2 , temos apenas estações de trabalho e alguns servidores locais. No entanto, os trabalhadores móveis que acessam o Local 1 via VPN precisam obter acesso a computadores em execução no Local 2, portanto, o roteamento de Loc. 1 para Loc. 2 deve ser configurado. O acesso VPN diretamente ao Local 2 não é obrigatório, mas é bom ter no futuro.

O pacote para o local 2 será ASA5505-50-BUN-K9.

Ambos os locais devem ser conectados por um túnel transparente seguro (por exemplo, IPsec, criptografia AES, chave pré-compartilhada mais provável).

Perguntas específicas:

  1. Existe um limite no número de conexões VPN licenciadas. Por padrão, o ASA 5505 possui 2 VPNs SSL e 10 VPNs de “acesso remoto”. Qual destes dois limites se aplica quando o cliente VPN CISCO é usado? Note que 10 é o suficiente para nós, no entanto, 2 não é.
  2. O limite de conexão VPN é flutuante (= usado atualmente) ou nomeado (por usuário atribuído)?
  3. É realmente possível utilizar a autenticação baseada em certificado para conexão VPN e ela funcionará com uma Autoridade de Certificação baseada no Windows?
  4. Existem alternativas viáveis e mais econômicas para o ASA 5505 para o Local 2, oferecendo a mesma segurança e recursos de roteamento semelhantes? O ponto de acesso Wi-Fi integrado é uma vantagem.

Ambiente:

  • A maioria dos servidores executa o Windows Server 2008 R2 x64.
  • As estações de trabalho executam o Windows 7 x64.
  • Existe um único domínio do Windows.
  • vmware server 4 ou vmware ESXi 4 para virtualização.
  • IPv4

Quaisquer outras sugestões ou recomendações são bem-vindas. Se achar apropriado, recomende também qualquer equipamento de rede de fornecedores alternativos.

Eu não sou um especialista em redes e não tenho trabalhado com o equipamento da CISCO por um tempo, então, por favor, peça quaisquer esclarecimentos conforme necessário.

    
por Ondrej Tucny 04.02.2011 / 18:32

1 resposta

4

There is a limit on the number of licensed VPN connections. By default, ASA 5505 has 2 SSL VPNs and 10 “remote access” VPNs. Which of these two limits applies when the CISCO VPN client is used? Note that 10 is enough for us, however 2 isn't.

O cliente Cisco VPN padrão é IPSEC e usa uma licença de VPN de "acesso remoto". O SSL VPN é uma VPN sem cliente e não vale muito a pena, a menos que você compre as licenças do AnyConnect SSL VPN

VPN connection limit is floating (=currently used) or named (per-assigned-user)?

As licenças VPN são por peer de VPN e, para uma configuração de acesso móvel, são "conexões simultâneas".

Is it really possible to utilize certificate-based authentication for VPN connection and will it work with a Windows-based Certification Authority?

Eu não sei a resposta para isso com certeza, mas meu instinto é "sim".

Sim, suporte da CA da Microsoft .

Are there any viable, more cost-effective alternatives to ASA 5505 for Location 2, providing same security, similar routing capabilities? Integrated WiFi access point is a plus.

Eu conecto Cisco ASAs a vários outros firewalls através de VPNs IPSEC de Site para Site com bastante frequência, então qualquer coisa que suporte o padrão IPSEC VPN seria uma alternativa para o site 2.

    
por 07.02.2011 / 17:39

Tags

Automatizar a criação de snapshots do Amazon EBS? O pfSense suporta AMD64?