отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

Постановка HUB маршрутизатора для терминации DMVPN в корпоративной сети

Уважаемые эксперты,

Существует задача постановки DMVPN HUB маршрутизатора в сети заказчика, но закзчик просит установить маршрутизатор так, чтобы он прямиком смотрел паблик интерфейсом в интернет и внутренним интерфейсом во внутреннюю, минуя файрволл(чтобы не загружать офисный интернет канал да и файрволл транзитным трафиком, которого планиурется достаточно большой объем - около 500 бранчей), и также выделяя специальный интернет канала именно только для VPN траффика не покупая дополнительного файрволла только для данного маршрутизатора. Т.к. никакого другого трафика кроме DMVPN не планируется, я думаю обойтись обычным аксесс-листом на интернет интерфейсе, который разрешит только входящий ESP/ISAKMP/Non-500 ISAKMP трафик на внешний  IP адрес маршрутизатора и завершить его deny ip any any. Для фильтрования трафика приходящего с тунельных интерфейсов использовать ZBF, т.к. там нужно будет использовать  стейтфул файрволл для фильтрования трафика ходящего с инсайда на сети в споках и наоборот. Могут ли быть какие либо проблемы с безопасностью в данной конфигурации, в плане испоьзования обычного аксесс-листа на интернет интерфейсе HUB маршрутизатора?

Спасибо!

5 ОТВЕТ.

Постановка HUB маршрутизатора для т

Добрый день!

Вопрос безопасности при такой схеме подключения упирается в методы аутентификации споуков в перфой фазе IKE. Рекомендовано использовать сертификаты RSA, что в принципе является достаточно безопасным.

Как альтернативный вариант можно использовать PSK, но указать в ACL строгий список всех IP с которых будут подключаться споуки, а всё остальное в deny. Но это разумеется допустимо только в том случае, если ВСЕ споуки имеют статический IP в интернете.

New Member

Постановка HUB маршрутизатора для т

Спасибо за ответ! Будем использовать PKI, т.к. IP адреса споков - DHCP.

Просто раньше всегда клал HUB позади файрволла, там и создавал аксесс-листы(на файрволле), а теперь все на роутере.

Как и писал, сделал простым екстендед аксесс-листом пропускающим траффик только на внешний IP адрес роутера на ESP/ISAKMP/Non-500 и в конце deny ip any any. Думаю для простоты решения нет смысла включать ZBF также и на интернет интерфейсе и писать класс-мапы на self трафик, т.к. тоже самое сделает вышеописанный аксесс-лист,


Постановка HUB маршрутизатора для т

Судя по сообщению, которое вы потёрли (но мне в почту продублировалось)  я так понимаю Cisco Technical Support iPhone App  не очень дружит с великим и могучим ? 

 нет смысла включать ZBF также и на интернет интерфейсе

Я бы не был так категоричен. Всё зависит от ТЗ.

У вас на данном роутере получается три логических интерфейса:

  • internet
  • DMVPN-tunnel
  • LAN

С первым решение однозначно, закрыли всё, кроме isakmp\ipsec и точка.

А вот с туннелем и локалкой не однозначно. А может вы не хотите пускать всех подряд из бранчей на определённые ресурсы в своей сети, ну или в локалке присутствует какой-нибудь сегмент, например гостевой Wi-fi, которому нечего шастать по корпоративной сети  - где вы будете вводить данное ограничение ?

Ответ на этот вопрос будет зависит исключительно от внешних факторов и требований, которых вы на данный момент не озвучивали.

Если ничего подобного нет и всем (из 500 офисов) можно хоть-куда и туда, и обратно....ну тогда да, тогда ZBF совсем тут ни к чему.

А можно поинтересоваться, какой роутер вы выбрали под 500 бранчей DMVPN ?

И какой протокол динамической маршрутизации планируете использовать over DMVPN ?

New Member

Re: Постановка HUB маршрутизатора для

Я так и думаю сделать.

Т.е.

Интернет интерфейс - закрываю всё, кроме isakmp\ipsec и точка (здесь ZBF делать не буду, т.к. нет межзонного траффика для которого нужно будет делать пинхолы, весь трафик будет только isakmp\ipsec который будет приниматься/инициироваться самим маршрутизатором).

ZBF делаю только на трафик между туннелями и локалкой, чтобы фильтровать траффик из сетей на споках в сторону центральной локалки и наоборот.

Маршрутизатор выбрал ASR 1001, протокол - EIGRP.

Спасибо


Message was edited by: Ruterford

Re: Постановка HUB маршрутизатора для

Т.е. ZBF у вас будет под IOS XE !

Ясно. Спаисбо за ответ. Удачи Вам!

314
Просмотры
0
Полезный материал
5
Ответы