Cisco Support Community
отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
cancel
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
Community Member

VPN-маршрутизатор с failover-отказоустойчивостью каналов

Здравствуйте! Помогите, пожалуйста, подобрать оборудование и лицензии!

Имеется организация с сотней пользователей, к которой подключено два интернет-канала от разных провайдеров. Один из провайдеров работает как основной, при пропадании пингов через него подключается второй провайдер. При появлении интернета у основного провайдера подключение переходит на него.

Скорость основного канала - 30 мбит/с. Высокая доступность интернета критична для работы организации. Маршрутизатор должен уметь NAT, само собой, и публикацию портов внутри сети с любого интерфейса (имеется ввиду Exchange и Web-сервер, которые смотрят изнутри организации наружу. Так же он должен предоставлять доступ к корпоративной сети пользователям, работающим из дома через VPN (20 человек). Желательно, чтобы при этом настройка VPN со стороны пользователя не требовала особенных усилий (инструкцию я напишу, и если цискин VPN-клиент поддерживает кастомизацию - сделаю все в один клик).

Так же необходима на всякий случай поддержка Site-to-Site VPN (сейчас это не требуется, но в будущем может понадобиться) и соответствие требованиям законодательства в части средств защиты персональных данных (иными словами, криптография устройства должна быть разрешена к использованию на территории Российской Федерации).

Помогите, пожалуйста, определиться с выбором оборудования! Сам я склоняюсь либо к ASA 5510 / Security Plus + лицензия Security Plus, либо ASA5512-IPS-K9 + лицензия L-ASA5512-IPS-SSP=.

При этом меня мучает вопрос: IPS вообще нужен? На него ведь отдельная лицензия нужна? Если взять SmartNet контракт - войдет ли в него лицензия на подписку IPS, или там гибко конфигурируются условия контракта? Разрешена ли К9 в России (3DES-шифрование)? И получится ли на этом железе реализовать необходимый функционал?

Теги (1)
1 ОТВЕТ

ASA технически под все

ASA технически под все требования подходит. Но учтите, что если у вас нет своей AS и BGP пиринга с провайдерами, то при падении одного канала связь изнутри сети наружу восстановится, а вот снаружи внутрь - IP адрес на упавшем канале перестанет быть доступным. Протестируйте, как отработает переключение по DNS. Возможно, потребуется GSLB (более умный вариант DNS сервера, который будет отдавать только доступные адреса). Можно развернуть внутри, можно подписаться на Amazon, там вроде это есть. И в любом случае речь идет о как минимум минутах простоя (браузеры любят игнорировать TTL, про Outlook не знаю), дальше как повезет.

 

IPS - вы готовы его сопровождать и изредка вылавливать вызванные им ложные тревоги? Если вы не уверены, нужен ли он, то скорее всего не нужен.

 

По легальности использования К9 не проконсультирую. Скажу лишь что я не слышал, чтобы кого-то наказывали за использование сильной криптографии. Основные проблемы на этапе ввоза оборудования.

 

3DES, кстати, хуже, чем AES.

70
Просмотры
0
Полезный материал
1
Ответы
СоздатьДля создания публикации, пожалуйста в систему