The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
Ограничение доступа VPN клиентов друг к другу., !*! Андрей, 30-Май-12, 12:09  [смотреть все]
Добрый день,
Стоит задача объединить в одну VPN сеть около 2000 клиентов. В этой сети будет 3 группы клиентов:
1. Просто клиенты - не должны видеть друг друга по-умолчанию. Но должны видеть определенных клиентов.
2. Клиент сервер - должен видеть определенный список клиентов.
3. Клиент администратор - должен видеть всех клиентов.

Помогите, пожалуйста, в решении следующих вопросов:
Если в роли сервера VPN (L2TP, IPSec) будет выступать ASA 5540, сможет ли она обеспечить требуемые ограничения доступа.
С помощью чего это будет реализовываться, какие команды, функционал, примерная схема.

Недавно была похожая тема, но там рассматривается физическая сеть и там клиенты в своей сети общаются напрямую, в моему они не могут общаться напрямую, все пакеты пойдут через Cisco.

Ответить | Сообщить модератору
  • Ограничение доступа VPN клиентов друг к другу., !*! Николай_kv, 12:38 , 30-Май-12 (1)
    >[оверквотинг удален]
    > видеть определенных клиентов.
    > 2. Клиент сервер - должен видеть определенный список клиентов.
    > 3. Клиент администратор - должен видеть всех клиентов.
    > Помогите, пожалуйста, в решении следующих вопросов:
    > Если в роли сервера VPN (L2TP, IPSec) будет выступать ASA 5540, сможет
    > ли она обеспечить требуемые ограничения доступа.
    > С помощью чего это будет реализовываться, какие команды, функционал, примерная схема.
    > Недавно была похожая тема, но там рассматривается физическая сеть и там клиенты
    > в своей сети общаются напрямую, в моему они не могут общаться
    > напрямую, все пакеты пойдут через Cisco.

    Технически не нарисую - делают связку ASA <=radius=> ACS который нарезает по username определенный набор acl.

    Как вариант без ACS (если нет специфических требований по каждому клиенту из 2000) создать несколько профилей на профили накинуть ацл и раздать народу. Но данная фишка применима к Easy VPN конектам.

    В L2TP на самом маршрутизаторе (роутер в роли концентратора ВПН) можно привязать username к ИП и исходя из этого что-то творить. Как реализовать сие на АСА без посторонних инструментов я не знаю.

    Ответить | Сообщить модератору
    • Ограничение доступа VPN клиентов друг к другу., !*! Aleks305, 13:40 , 30-Май-12 (2)
      >[оверквотинг удален]
      >> в своей сети общаются напрямую, в моему они не могут общаться
      >> напрямую, все пакеты пойдут через Cisco.
      > Технически не нарисую - делают связку ASA <=radius=> ACS который нарезает по
      > username определенный набор acl.
      > Как вариант без ACS (если нет специфических требований по каждому клиенту из
      > 2000) создать несколько профилей на профили накинуть ацл и раздать народу.
      > Но данная фишка применима к Easy VPN конектам.
      > В L2TP на самом маршрутизаторе (роутер в роли концентратора ВПН) можно привязать
      > username к ИП и исходя из этого что-то творить. Как реализовать
      > сие на АСА без посторонних инструментов я не знаю.

      сделать можно.2000 клиентов...мне кажется одной ASA будут маловато, даже 5540, лучше кластер собрать хотя бы из двух. В этом случае без ACS cisco сложновато будет выполнить требования по ACL.

      Ответить | Сообщить модератору
      • Ограничение доступа VPN клиентов друг к другу., !*! Андрей, 14:45 , 30-Май-12 (4)
        > сделать можно.2000 клиентов...мне кажется одной ASA будут маловато, даже 5540, лучше кластер
        > собрать хотя бы из двух. В этом случае без ACS cisco
        > сложновато будет выполнить требования по ACL.

        Да вроде не планируем сильно большой нагрузки. У нее в характеристиках 5000 сессий L2TP IPSec и 325 Mbit. У нас будет максимум 2000 сессий и 50-100 Mbit в рабочем режиме. Большинство из VPN сессий будет просто висеть. Одновременно работать планируется примерно со 100 сессиями.

        Ответить | Сообщить модератору
    • Ограничение доступа VPN клиентов друг к другу., !*! Андрей, 14:35 , 30-Май-12 (3)
      > В L2TP на самом маршрутизаторе (роутер в роли концентратора ВПН) можно привязать
      > username к ИП и исходя из этого что-то творить. Как реализовать
      > сие на АСА без посторонних инструментов я не знаю.

      Да мне как раз хотелось бы обойтись без лишних устройств и серверов. Аутентификация из локальной БД, а не с Radius. Привязывать Имя и IP, а дальше access листами по ip ограничивать доступ. Проблема как раз в том, что в основном мы имели дело с маршрутизаторами и не знаем, что будет в случае ASA.
      Easy vpn не подходит, потому что на клиентской стороне ожидается тот еще огород и требуется автоматическое подключение.

      Ответить | Сообщить модератору
      • Ограничение доступа VPN клиентов друг к другу., !*! Aleks305, 23:11 , 30-Май-12 (5)
        >> В L2TP на самом маршрутизаторе (роутер в роли концентратора ВПН) можно привязать
        >> username к ИП и исходя из этого что-то творить. Как реализовать
        >> сие на АСА без посторонних инструментов я не знаю.
        > Да мне как раз хотелось бы обойтись без лишних устройств и серверов.
        > Аутентификация из локальной БД, а не с Radius. Привязывать Имя и
        > IP, а дальше access листами по ip ограничивать доступ. Проблема как
        > раз в том, что в основном мы имели дело с маршрутизаторами
        > и не знаем, что будет в случае ASA.
        > Easy vpn не подходит, потому что на клиентской стороне ожидается тот еще
        > огород и требуется автоматическое подключение.

        Есть такое свойство у ASA можно привязать к логину пользователя и ip и ACL и много много чего еще)так что не переживайте.

        Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру