отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 

Вопросы и ответы: FlexVPN

Введение

 

Read the bio

Во время презентации инженер Cisco TAC Ирина Ильина-Сидорова рассмотрит основные настройки FlexVPN, а также пути миграции на технологию FlexVPN для таких решений, как межсайтовый VPN, VPN удалённого доступа, динамический многоузловой VPN.

 

Ссылки:

 

Вопросы и ответы

 

Q: ­ИКЕ2 может работать с DES?­                                                 

A: ­Нет, DES входят в Suite B.  

 

Q: ­Добрый день! Раскажите, пожалуйста, поподробнее, как cookie защищает от DoS-атак?­                           

A: Cookies защищают от пассивных атак, то есть таких, в которых атакующий хост заранее подготовил свои сообщения и не может их оперативно модифицировать. В сообщении №2 приёмник посылает в сторону источника cookie, которое источник использует в своих сообщениях. В случае отсутствия cookie в сообщениях от источника, соединение сбрасывается.

В настоящее время ведётся разработка более прогрессивных методов, которые позволят применять cookie в том числе и для защиты от активных атак.

                                     

Q: ­Я правильно понимаю, что железо с IKEv2 запрещено к ввозу без разрешения?­            

A: ­Любое сильное шифрование запрещено к ввозу без разрешения, но можно ввезти устройство в версии без шифрования, а затем шифрование активировать­.   Напоминаем, что в этом случае Вам придётся самостоятельно решать вопрос его лицензирования.                                   

 

Q: ­Для ИКЕ2 на АСА и Роутер нужно ставить полноценные Секьюрити лицензии на шифрование AES/3DES? ­               

A: Да, именно так­.    

 

Q: ­Нужны ли сейчас какие-либо дополнительные согласования ФСБ для активации крипто лицензий?­                                                  

A: ­Формально - да­.                                           

                                                  

Q: ­После ввоза устройства и активирования шифрования, ресертификацию устройства по категории не нужно будет делать?­                                      

A: ­Если вы про документы на ввоз - то их переделывать не надо­.                           

                                                  

Q: ­Если сравнивать скорость шифрования и иного overhead, сравнивая ИКЕ1 и ИКЕ2 при идентичных параметрах шифрования и хеширования, то в скорости разница есть?                                        

A: ­При одинаковом шифровании по скорости разницы нет­.                                 

 

Q: ­Можно ли отключить настройки по умолчанию?­

A: ­Да, конечно - их можно не использовать, а можно переопределить. И можно вернуться к default в любой момент­.                                                  

 

Q: ­А без туннеля можно (как с IKEv1, когда crypto-map применялся прямо к интерфейсу)?­     

A: ­Можно, на IOS есть legacy настройка IKEv2 с крипто мапом без туннельного интерфейса­.                                                                       

 

Q: ­Какие требования к аппаратному и програмному обеспечению для Router и ASA? ­

A: ­Аппаратное - то же самое, софт должен быть достаточно новым, чтобы поддерживать IKEv2, лицензии те же, что и на обычный Ipsec­                             

 

Q: ­Я правильно понимаю, что это возможность использовать FQDN в качестве пиров?­                         

Да, в качестве peer identity Вы можете использовать fqdn. Хочу обратить внимание, что DNS в Вашей сети в таком случае должен работать безупречно, поскольку его работоспособность будет влиять на установление туннелей.

 

Q: ­Ну все равно по DMVPN G1 c G2 c разными ИКЕ1/2 не свяжутся? Или как?  

A: ­DMVPN может работать и с IKEv1 и с IKEv2 - для более старых роутеров первой, для более новых второе.

 

Q: ­С какой версии IOS поддерживается функционал?­                      

A: ­Разные фичи - начиная с разных версий.  Можно посмотреть вот в этом документе в конце: http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_conn_ike2vpn/configuration/15-mt/sec-flex-vpn-15-mt-book/sec-cfg-ikev2-flex.html­‑                                         

­В любом случае это IOS 15.x

                                        

Q: ­При настройках remote access flex vpn нужны ли лицензии на ssl vpn?­                                                 

A: ­Если на ASA - то да­.

                                      

Q: Напишите, пожалуйста, название клиента, который можно использовать на мобильных устройствах вместо AnyConnect­.

A: ­Если к ASA, то к ASA по IKEv2 можно подключаться только по AnyConnect­.           Если мы говорим о маршрутизаторах, то будет работать стандартный Windows клиент, также на нашем сайте Вы можете найти пример настройки со StrongSwan.    

                                                                 

Q: ­Правильно ли я понимаю, что основным отличием технологии FlexVPN является использование протокола IKEv2?­

A: Да­, но не только. Настройки очень сильно отличаются – они более унифицированы.  

 

Q: ­Не разобрал: к ASA только AnyConnect, а к маршрутизатору?­

A: ­Для IKEv2 на IOS поддерживаются - AnyCоnnect и Windows 7 IKEv2 Client­.            Также есть примеры настройки со StrongSwan.

 

Q: ­В случае FlexVPN и IKEv2 какой протокол использует AnyConnect http-ssl или IPSec?­ 

A: АnyConnect использует оба протокола - управляющая сессия - всегда только SSL, а для передачи данных можно либо SSL либо IKEv2 (настраивается).  

          

Q: Т.е. преимущества FlexVPN - есть преимущества IKEv2 перед IKEv1?                                      

A: ­Да, FlexVPN - это IKEv2­. Плюс преимущества в более унифицированной настройке.                           

                 

Q: ­Для DMVPN использование mGRE и NHRP сохраняется?        

A: FlexVPN – это не DMVPN, совершенно другая технология, просто со схожими задачами. Поэтому указанные протоколы Вам не понадобятся при использовании FlexVPN.    

 

Q: Есть какой-то гайд по миграции?­

A: Есть некоторые документы на нашем сайте, в основном посвящённые конкретной схеме. Общего гайда нет.     

DMVPN: http://www.cisco.com/c/en/us/support/docs/security/flexvpn/116678-configure-product-00.html
EzVPN: http://www.cisco.com/c/en/us/support/docs/security/flexvpn/115950-ezvpn-nem-to-flexvpn.html
Другие гайды см, также: http://www.cisco.com/c/en/us/support/security/flexvpn/products-configuration-examples-list.html
 

                        

Q: ­Возможна ли настройка смешаной конфигурации обратносовместимой со старыми статическими IPSEC c crypto-map?­

A: Да, возможна.                 

        

Q: ­Планирует ли Cisco далее развивать Cisco AnyConnect, либо скоро мы увидим какое-либо новое ПО для RemoteAccess?­             

A: Мне неизвестно о каких-либо планах по появлению нового клиента. Но Cisco всегда найдёт, чем удивить и порадовать своих заказчиков.

    

Q: ­Gри использовании IKEv2 Site-to-Site всегда используется 2 ключа: pre-shared-key local KEY1 и pre-shared-key remote KEY2? Или можно обходится одним ключом?­                                       

A: Вы можете использовать один и тот же ключ, если Вам так удобнее, но его придётся прописать в двух местах – как локальный и как удалённый.        

 

Q: ­Возможно ли строить динамические Spoke-Spoke тунели с использованием IKEv2?­

A: Да, можно. Этот вариант называется mesh tunnels   

                                      

Q: ­DMVPN позволяет прямой обмен трафиком между SPOKE.­    

A: FlexVPN тоже, но эта тема не поместилась в презентацию. 

        

Q: В примерах тунели были только хаб-ту-спок, возможны ли тунели хаб-ту-хаб как в дмвпн?­            

A: Возможна организация mesh туннелей. Это аналог hub to hub.  

 

Q: ­hub dmvpn с ikev2 не примет соединение от старых маршрутизаторов (ikev1)?­

A: Нет, не примет. DMVPN и FlexVPN – разные технологии с разными настройками. Вы можете настроить одновременно и то, и другое – но это будут две раздельные туннельные схемы.     

                                                           

Q: Можно ли одновременно использовать dmvpn и отдельные ike2  туннели site-to-site?­       

A: Да, можно.       

 

Q: ­Поддержка оборудования НЕ от Cisco на другой стороне?­

A: Наше оборудование работает согласно стандартам, поэтому, если peer им также соответствует – должно работать.

История версий
Редакция №
1 из 1
Последнее обновление:
‎09-24-2014 11:00 PM
Автор обновления:
 
Метки (1)
Комментарии
New Member

Существует ли возможность настройки Fvrf и Ivrf для ikev2 и FlexVPN?