我们有两个地理位置相距甚远的网络位置,正在考虑引入一种利用两个网络的新网络架构思科 ASA 5505s。我希望通过审查和确认,这种架构是否可以通过这两个 CISCO ASA 5505 防火墙实现。在购买之前,我想确保该设备符合我们的要求。
网络看起来应该是这样的:
Location 1 public servers (on vmware ESXi 4.x)
========== | (VLAN 1 — DMZ)
Public access ----> +----------------+ --------+
Mobile worker ----> | CISCO ASA 5505 |
Internet <---- +----------------+ --------+
^ |
| private servers (on vmware ESXi 4.x)
| (VLAN 2)
| IPsec tunnel (VLAN 2)
|
Location 2 |
========== v
+----------------+
Internet <---- | CISCO ASA 5505 | --------+
+----------------+ |
LAN workstations and servers
(VLAN 2)
在地点 1我们有一堆虚拟化服务器运行在几台物理机上,这些物理机装有 vmware ESXi 4.x。公众可以通过互联网访问多个虚拟机,因此需要将它们放置在 DMZ 中。此外,需要远程访问的员工应能够使用 CISCO VPN 客户端连接到位置 1 的 ASA。所需的身份验证方法是使用我们基于 Windows 的 CA 颁发的用户证书。
位置 1 的捆绑包将是 ASA5505-UL-BUN-K9。
在地点 2我们只有工作站和一些本地服务器。但是,通过 VPN 访问位置 1 的移动工作人员需要访问在位置 2 中运行的机器,因此必须配置从位置 1 到位置 2 的路由。无需 VPN 直接访问位置 2,但将来最好有。
位置 2 的捆绑包将是 ASA5505-50-BUN-K9。
两个位置应通过安全透明隧道连接(例如 IPsec、AES 加密、最有可能的预共享密钥)。
具体问题:
- 许可的 VPN 连接数量存在限制。默认情况下,ASA 5505 有 2 个 SSL VPN 和 10 个“远程访问”VPN。当使用 CISCO VPN 客户端时,这两个限制中的哪一个适用?请注意,10 个对我们来说足够了,但 2 个不够。
- VPN 连接限制是浮动的(=当前使用)还是命名的(每个分配用户)?
- 是否真的可以利用基于证书的身份验证进行 VPN 连接并且它可以与基于 Windows 的证书颁发机构配合使用?
- 对于位置 2,是否有任何可行、更具成本效益的 ASA 5505 替代方案,可提供相同的安全性和类似的路由功能?集成 WiFi 接入点是一个优点。
环境:
- 大多数服务器运行 Windows Server 2008 R2 x64。
- 工作站运行 Windows 7 x64。
- 有一个 Windows 域。
- vmware server 4 或 vmware ESXi 4 用于虚拟化。
- IPv4
任何其他提示或建议都值得赞赏。如果您认为合适,也可以推荐其他供应商的任何网络设备。
我不是网络专家,并且有一段时间没有使用过 CISCO 的设备,因此请根据需要询问任何澄清。
答案1
许可的 VPN 连接数量存在限制。默认情况下,ASA 5505 有 2 个 SSL VPN 和 10 个“远程访问”VPN。当使用 CISCO VPN 客户端时,这两个限制中的哪一个适用?请注意,10 个对我们来说足够了,但 2 个不够。
标准 Cisco VPN 客户端是 IPSEC,并使用“远程访问”VPN 许可证。SSL VPN 是一种无客户端 VPN,除非您购买 AnyConnect SSL VPN 许可证,否则价值不大
VPN 连接限制是浮动的(=当前使用)还是命名的(每个分配用户)?
VPN 许可证是针对每个 VPN 对等体的,对于移动访问设置,它是“并发连接”。
是否真的可以利用基于证书的身份验证进行 VPN 连接并且它可以与基于 Windows 的证书颁发机构配合使用?
我不确定这个问题的答案,但我的直觉是“是”。
是的,支持 Microsoft CA。
对于位置 2,是否有任何可行、更具成本效益的 ASA 5505 替代方案,可提供相同的安全性和类似的路由功能?集成 WiFi 接入点是一个优点。
我经常通过站点到站点 IPSEC VPN 将 Cisco ASA 连接到各种其他防火墙,因此支持 IPSEC VPN 标准的任何设备都可以作为站点 2 的替代方案。