отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .

ASA vs ISR G2

Добрый день коллеги. Подскажите пожалуйста в каком случае можно предпочесть ISR G2 вместо ISRG2 + ASA?

Допутим мы используем только одно устройство (т.е. один ISR+ASA либо один ISR) в силу бюджетных ограничений, в этом случае мы не имеем такого преимущества ASA как Failover и мультиконтектный режим нам не нужен. Необходимая производительность порядка 50Mbps. Необходимый функционал Site-to-Site VPN, NAT, Firewall, IPS.

ISR G2 умеет многое из того что умеет ASA:

IOS firewall, IPSec VPN, SSL VPN, IPS services (нужен соответствующий модуль), ZBFW, по моему есть даже модуль антивируса от Касперсокого.

Что еще умеет ASA чего не умеет роутер?

Теги (7)
4 ОТВЕТ.
Cisco Employee

ASA vs ISR G2

Для обозначенной функциональности ISR не нужен. Все перечисленное ASA делает лучше (качественней, с меньшим числом багов и быстрее), кроме как, в определенном смысле, L2L IPSec VPN. Хотя я видел конфигурации с несколькими сотнями туннелей на ASA, но, с т.зр. управляемости этим хозяйством, без динамической маршрутизации на туннелях тяжело. IPS - это отдельный случай. Если действительно есть желание использовать эту технологию (а не просто что-то настроить и думать, что твоя сеть теперь со страшной силой защищена), то без отдельного "модуля" со своей операционной системой, CLI и config не обойтись. (Новые ASA'ы умеют этот "модуль" "эмулировать" программно, но сути это не меняет).

Если уже есть ISR, то можно конечно и на нем... Но безопасность - это не набор фич. Это в первую очередь управляемость, предсказуемость в работе и возможность разбора инцидентов. В этой связи ASA умеет слать в syslog сообщения о событиях безопасности, может быть отдиагностирована сама и позволяет выявлять инциденты безопасности с помощью простых средств CLI. Например, с помощью какого средства или команды можно в IOS выявить заражение внутренней машины вирусом? Как быстро посмотреть информацию о конкретной сессии firewall между определенным отправителем и получателем, чтобы потом принудительно завершить ее?

BSNS-3945-3#show policy-firewall session zone-pair z1-z2 ?

  ha  show ha sessions

  |   Output modifiers

 

Как конфигурацию ZBFW привести к удобочитаемому виду, если система сортирует записи по своему усмотрению? Как в ZBFW редактировать конфигурацию, если class-map невозможно вставить в определенное место policy-map? Много вопросов.

ASA vs ISR G2

Ну если сильно не придираться, то баги и производительность отметаем (производительность я указал).

По поводу модуля IPS если я все правильно понял - то на ISR на модуле используется Cisco IPS Software. Во вставляемом в ASA модуле то же самое. Или я что-то путаю?

За эти наводки большое спасибо

1) ASA умеет слать в syslog сообщения о событиях безопасности

2) Может быть отдиагностирована сама и позволяет выявлять инциденты безопасности с помощью простых средств CLI

3) Быстро посмотреть информацию о конкретной сессии firewall между определенным отправителем и получателем, чтобы потом принудительно завершить ее

В этом и есть мой основной вопрос - что умеет ASA в плане безопасности такого чего не умеет ISR. Я понимаю что очень много, хотелось бы услышать основное.

Cisco Employee

ASA vs ISR G2

50Mbps это немало на самом деле учитывая то, что активация некоторых комбинаций секьюрити-фич на роутере может уменьшить пропускную способность устройства на порядок.

Да, IPS software одно и то же, только на модулях для роутеров AIM-IPS и NME-IPS не поддерживается последняя версия - 7.1, AIM-IPS не поддерживается в шасси ISR G2, а для установки NME-IPS в ISR G2 надо еще докупить jacket card (adapter card).

На последний вопрос не знаю как ответить. Базовая функциональность похожа, но бес - он в деталях. Исходить надо из конкретных задач, под них подбирать конкретные фичи, а под конкретные фичи - устройство.

ASA vs ISR G2

Спасибо за ответы. Самая проблема в том, что никогда не знаешь что будет завтра. Купишь ISR без ASA, а потом понадобится функция которой в нем нет. И придется докупать ASA и переносить все настройки с роутера на нее. Врагу не пожелаешь если конфиг весит немало и все надо делать наживую. С другой стороны как всегда деньги.

694
Просмотры
10
Полезный материал
4
Ответы