Здравствуйте.
Нужно объединить в единую сеть 5 филиалов (ширина интернет-каналов в филиалах небольшая - 2-3 мегабита/с).
Нам предложили поставить 5 штук ASA5505-50-BUN-K8 в качестве шлюзов и на их основе поднять vpn, т.к. ничего другого сейчас фактически нереально поставить... почти весь k9 не пускают.У меня есть некоторые сомнения, помогите, пожалуйста, разобраться.
1. Вот у всех остальных продуктов из линейки ASA порты нормальные, а у 5505 в даташитсе написано, что все они "Fast Ethernet switch with dynamic port grouping". Чего еще за свичевые порты на железке, которая должна работать в качестве шлюза и чем будет отличаться настройка 5505 от 5510 например в этом плане?
2. Я так понимаю, что если идет K8, то от К9 она будет отличаться методами шифрования не в лучшую сторону? Т.е. возможен будет тот же IPSec, но только на DES? Ни о каком 3DES и AES речи быть не может? Какие вообще у нее есть возможности организации vpn между филиалами, кроме обыкновеновенного ipsec точка-точка?
Ответ
1. Порты свитчевые - т.е. делаем принадлежность к влану потом мешаем на влане ifname inside & outside соответственно.
2. По поводу шифрования не могу уточнить нет под рукой 5505. По поводу построения можно использовать ipsec точка-точка или же поднять в центре Easy VPN server.
Эти железки можно бесплатно проапгрейдить до K9
на 5505 ты всё разруливаешь через VLAN-ы , в зависимости от надобностей ты добавляешь в VLAN нужные порты.
Никаких проблем в настройке возникнуть не должно.
1.) Шифрование в К8 - только DES. Апгрейд до К9 незаконен в Росси!
2.) Учтите, что сеть строится по топологии hub&spoke. Т.е. бэкофися подключаются к 1 или нескольким центрам. И соответсвенно в центре железка круче должна быть.
3.) Подобную конфигурацию конечно намного удобнее на рутерах делать.... но с рутерами в россии нынче трудно((
>1.) Шифрование в К8 - только DES. Апгрейд до К9
>незаконен в Росси!
>3.) Подобную конфигурацию конечно намного удобнее на рутерах делать.... но с рутерами
>в россии нынче трудно((Народ ну и жесть у вас твориться.