Ограничение доступа VPN клиентов друг к другу., Андрей, 30-Май-12, 12:09 [смотреть все]Добрый день, Стоит задача объединить в одну VPN сеть около 2000 клиентов. В этой сети будет 3 группы клиентов: 1. Просто клиенты - не должны видеть друг друга по-умолчанию. Но должны видеть определенных клиентов. 2. Клиент сервер - должен видеть определенный список клиентов. 3. Клиент администратор - должен видеть всех клиентов.Помогите, пожалуйста, в решении следующих вопросов: Если в роли сервера VPN (L2TP, IPSec) будет выступать ASA 5540, сможет ли она обеспечить требуемые ограничения доступа. С помощью чего это будет реализовываться, какие команды, функционал, примерная схема. Недавно была похожая тема, но там рассматривается физическая сеть и там клиенты в своей сети общаются напрямую, в моему они не могут общаться напрямую, все пакеты пойдут через Cisco.
|
- Ограничение доступа VPN клиентов друг к другу., Николай_kv, 12:38 , 30-Май-12 (1)
>[оверквотинг удален] > видеть определенных клиентов. > 2. Клиент сервер - должен видеть определенный список клиентов. > 3. Клиент администратор - должен видеть всех клиентов. > Помогите, пожалуйста, в решении следующих вопросов: > Если в роли сервера VPN (L2TP, IPSec) будет выступать ASA 5540, сможет > ли она обеспечить требуемые ограничения доступа. > С помощью чего это будет реализовываться, какие команды, функционал, примерная схема. > Недавно была похожая тема, но там рассматривается физическая сеть и там клиенты > в своей сети общаются напрямую, в моему они не могут общаться > напрямую, все пакеты пойдут через Cisco.Технически не нарисую - делают связку ASA <=radius=> ACS который нарезает по username определенный набор acl. Как вариант без ACS (если нет специфических требований по каждому клиенту из 2000) создать несколько профилей на профили накинуть ацл и раздать народу. Но данная фишка применима к Easy VPN конектам. В L2TP на самом маршрутизаторе (роутер в роли концентратора ВПН) можно привязать username к ИП и исходя из этого что-то творить. Как реализовать сие на АСА без посторонних инструментов я не знаю.
- Ограничение доступа VPN клиентов друг к другу., Aleks305, 13:40 , 30-Май-12 (2)
>[оверквотинг удален] >> в своей сети общаются напрямую, в моему они не могут общаться >> напрямую, все пакеты пойдут через Cisco. > Технически не нарисую - делают связку ASA <=radius=> ACS который нарезает по > username определенный набор acl. > Как вариант без ACS (если нет специфических требований по каждому клиенту из > 2000) создать несколько профилей на профили накинуть ацл и раздать народу. > Но данная фишка применима к Easy VPN конектам. > В L2TP на самом маршрутизаторе (роутер в роли концентратора ВПН) можно привязать > username к ИП и исходя из этого что-то творить. Как реализовать > сие на АСА без посторонних инструментов я не знаю.сделать можно.2000 клиентов...мне кажется одной ASA будут маловато, даже 5540, лучше кластер собрать хотя бы из двух. В этом случае без ACS cisco сложновато будет выполнить требования по ACL.
- Ограничение доступа VPN клиентов друг к другу., Андрей, 14:45 , 30-Май-12 (4)
> сделать можно.2000 клиентов...мне кажется одной ASA будут маловато, даже 5540, лучше кластер > собрать хотя бы из двух. В этом случае без ACS cisco > сложновато будет выполнить требования по ACL.Да вроде не планируем сильно большой нагрузки. У нее в характеристиках 5000 сессий L2TP IPSec и 325 Mbit. У нас будет максимум 2000 сессий и 50-100 Mbit в рабочем режиме. Большинство из VPN сессий будет просто висеть. Одновременно работать планируется примерно со 100 сессиями.
- Ограничение доступа VPN клиентов друг к другу., Андрей, 14:35 , 30-Май-12 (3)
> В L2TP на самом маршрутизаторе (роутер в роли концентратора ВПН) можно привязать > username к ИП и исходя из этого что-то творить. Как реализовать > сие на АСА без посторонних инструментов я не знаю.Да мне как раз хотелось бы обойтись без лишних устройств и серверов. Аутентификация из локальной БД, а не с Radius. Привязывать Имя и IP, а дальше access листами по ip ограничивать доступ. Проблема как раз в том, что в основном мы имели дело с маршрутизаторами и не знаем, что будет в случае ASA. Easy vpn не подходит, потому что на клиентской стороне ожидается тот еще огород и требуется автоматическое подключение.
- Ограничение доступа VPN клиентов друг к другу., Aleks305, 23:11 , 30-Май-12 (5)
>> В L2TP на самом маршрутизаторе (роутер в роли концентратора ВПН) можно привязать >> username к ИП и исходя из этого что-то творить. Как реализовать >> сие на АСА без посторонних инструментов я не знаю. > Да мне как раз хотелось бы обойтись без лишних устройств и серверов. > Аутентификация из локальной БД, а не с Radius. Привязывать Имя и > IP, а дальше access листами по ip ограничивать доступ. Проблема как > раз в том, что в основном мы имели дело с маршрутизаторами > и не знаем, что будет в случае ASA. > Easy vpn не подходит, потому что на клиентской стороне ожидается тот еще > огород и требуется автоматическое подключение.Есть такое свойство у ASA можно привязать к логину пользователя и ip и ACL и много много чего еще)так что не переживайте.
|