https://www.opennet.me/openforum/vsluhforumID6/17538.html Помогите определиться с моделью ASA, а главное с ТИПОМ ЛИЦЕНЗИЙ на нее.<br>Требуется следующий функционал:<br>1) интерфейсы outside,inside,dmz1,dmz2<br>2) NAT: inside-dmz1,inside-dmz2,outside-dmz1. NAT 0(не НАТить по аксесс листу)<br>3) файрвол фильтрации портов, контента. Защита от атак.<br>4) два ISP и переключение между Internet каналами по sla monitor<br>5) VPN Ipsec сервер, терминирование до 20 туннелей. в том числе с динамическим хвостом на той стороне (как вариант туннель nhrp, сейчас сделано без nhrp)<br>6) поддержка транков 802.1q (? даже не знаю умеют ли такое файрволы)<br><br>Поиск по форуму только внес сумбур http://www.opennet.ru/openforum/vsluhforumID6/13118.html<br><br>Сейчас этот функционал обеспечивают c2821 и pix515, из-за того, что железяки две постоянно вылезают-решаются какие-то проблемы.<br>Спасибо за советы!<br> https://www.opennet.me/openforum/vsluhforumID6/17538.html#15 Mon, 22 Dec 2008 15:25:10 GMT ну и еще PBR и serial интерфейсы может если придёт frame relay или модем какой нить...<br><br> https://www.opennet.me/openforum/vsluhforumID6/17538.html#14 Mon, 22 Dec 2008 15:21:02 GMT &gt;asa не умеет gre тунели, не умеет dmvpn или nhrp <br>&gt;<br>&gt;best practice как я думаю <br>&gt;это роутер наружу, который держит gre+ipsec, а за ним directly connected ASA <br>&gt;которая натит, ДМЗит, IPSит. <br><br>плюс роутера наружу это еще<br>IP SLA - icmp jitter чтобы пингал не одним пакетиком а кучей<br>на ASA нету LLQ<br>gre+ipsec<br> https://www.opennet.me/openforum/vsluhforumID6/17538.html#13 Mon, 22 Dec 2008 15:19:58 GMT &gt;asa не умеет gre тунели, не умеет dmvpn или nhrp <br>&gt;<br>&gt;best practice как я думаю <br>&gt;это роутер наружу, который держит gre+ipsec, а за ним directly connected ASA <br>&gt;которая натит, ДМЗит, IPSит. <br><br>Если трафика не очень много (в пределах 20 мбит), то и 2821 должна справится с задачами NAT и Stateful Firewall.<br><br>В роли IPS на ASA выступает модуль AIP-SSM, который по функционалу абсолютно аналогичен AIM-IPS (та же прошивка), но имеет избыточную производительность и гораздо более высокую стоимость.<br> https://www.opennet.me/openforum/vsluhforumID6/17538.html#12 Mon, 22 Dec 2008 15:18:16 GMT asa не умеет gre тунели, не умеет dmvpn или nhrp<br><br>best practice как я думаю<br>это роутер наружу, который держит gre+ipsec, а за ним directly connected ASA которая натит, ДМЗит, IPSит.<br><br><br> https://www.opennet.me/openforum/vsluhforumID6/17538.html#11 Mon, 22 Dec 2008 13:48:00 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;Требуется следующий функционал: <br>&gt;1) интерфейсы outside,inside,dmz1,dmz2 <br>&gt;2) NAT: inside-dmz1,inside-dmz2,outside-dmz1. NAT 0(не НАТить по аксесс листу) <br>&gt;3) файрвол фильтрации портов, контента. Защита от атак. <br>&gt;4) два ISP и переключение между Internet каналами по sla monitor <br>&gt;5) VPN Ipsec сервер, терминирование до 20 туннелей. в том числе с <br>&gt;динамическим хвостом на той стороне (как вариант туннель nhrp, сейчас сделано <br>&gt;без nhrp) <br>&gt;6) поддержка транков 802.1q (? даже не знаю умеют ли такое файрволы) <br><br>А сколько суммарно трафика у вас?<br><br>Если грамотно настроить вашу 2821 она справится с этими задачами самостоятельно без дополнительного устройства PIX/ASA.<br><br>Для "защиты от атак" имеет смысл добавить AIM-IPS<br> https://www.opennet.me/openforum/vsluhforumID6/17538.html#10 Mon, 22 Dec 2008 06:32:41 GMT &gt;Связка ASA + Router для такой ситуации однозначно более подходящая. Оно видимо <br>&gt;не зря у вас сделано сейчас именно так.<br><br>сделано еще без меня. а вот мне уже приходилось кучу проблем решать из-за того, что стоят два устройства, где логичнее быть одному<br><br>&gt;Возможности АСА по роутингу минимальны. SLA monitor типа есть, да, но функциональность <br>&gt;с роутерами пока не сравнить. Раз вы multihomed - можете захотеть <br>&gt;bgp - хотя бы дефолты. PBR как уже сказали нет, ospf <br>&gt;поддержка ограниченная. Вообщем ASA - это 100% не border. <br>&gt;И собственно никогда как бордер и не задумывалась.... <br><br>BGP и даже ospf мы никогда не сможем. у нас деревня и провайдеры соответствующие.<br>сейчас рулят SLA, NATы(по аксесс листам), PBR.<br>&gt;<br>&gt;P.S. Netflow (v9) на АСА будет... вот только не думаю что скоро... <br><br>хорошо бы...<br><br>кстати, умеет ли ASA NAT по аксесс-листу делать? вот Pix515 умеет только NAT(0) <br>nat (inside) 0 access-list 110. nat (inside) 1 access-list 110 - уже не съест<br> https://www.opennet.me/openforum/vsluhforumID6/17538.html#9 Fri, 14 Nov 2008 07:38:32 GMT &gt;<br>&gt;А вообще не стоит ставить на эти задачи оду ASA, потому как <br>&gt;если чего-нибудь понадобится, типа PBR, потом пожалеете что так сделали. Берите <br>&gt;роутер покруче и будет вам счастье да и дешевле получится. <br><br>Топикмэйкеру:<br><br>Связка ASA + Router для такой ситуации однозначно более подходящая. Оно видимо не зря у вас сделано сейчас именно так. Просто разберитесь в чем текущие проблемы (при необходимости upgrade железа). <br><br>Возможности АСА по роутингу минимальны. SLA monitor типа есть, да, но функциональность с роутерами пока не сравнить. Раз вы multihomed - можете захотеть bgp - хотя бы дефолты. PBR как уже сказали нет, ospf поддержка ограниченная. Вообщем ASA - это 100% не border.<br>И собственно никогда как бордер и не задумывалась....<br><br><br>P.S. Netflow (v9) на АСА будет... вот только не думаю что скоро...<br> https://www.opennet.me/openforum/vsluhforumID6/17538.html#8 Thu, 13 Nov 2008 19:53:05 GMT &gt;Помогите определиться с моделью ASA, а главное с ТИПОМ ЛИЦЕНЗИЙ на нее. <br>&gt;<br>&gt;Требуется следующий функционал: <br>&gt;1) интерфейсы outside,inside,dmz1,dmz2 <br>&gt;2) NAT: inside-dmz1,inside-dmz2,outside-dmz1. NAT 0(не НАТить по аксесс листу) <br>&gt;3) файрвол фильтрации портов, контента. Защита от атак. <br><br>Модуль есть отдельный для этого. От атак один, если проверять почту и хттп, то уже другой.<br>&gt;4) два ISP и переключение между Internet каналами по sla monitor <br><br>SLA у ASA есть, конфигов в инете полно.<br>&gt;5) VPN Ipsec сервер, терминирование до 20 туннелей. в том числе с <br>&gt;динамическим хвостом на той стороне (как вариант туннель nhrp, сейчас сделано <br>&gt;без nhrp) <br><br>5505 не потянет однозначно.<br>&gt;6) поддержка транков 802.1q (? даже не знаю умеют ли такое файрволы) <br>&gt;<br>&gt;<br>&gt;Поиск по форуму только внес сумбур http://www.opennet.ru/openforum/vsluhforumID6/13118.html <br>&gt;<br>&gt;Сейчас этот функционал обеспечивают c2821 и pix515, из-за того, что железяки две <br>&gt;постоянно вылезают-решаются какие-то проблемы. <br>&gt;Спасибо за советы! https://www.opennet.me/openforum/vsluhforumID6/17538.html#7 Thu, 13 Nov 2008 12:08:30 GMT &gt;Нету в ASA переключения по SLA monitor. <br><br>схуяли?<br>http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configuration_example09186a00806e880b.shtml#confcli<br>