使用 CISCO ASA 5505 连接两个位置,提供 VPN 访问以及公共访问

使用 CISCO ASA 5505 连接两个位置,提供 VPN 访问以及公共访问

我们有两个地理位置相距甚远的网络位置,正在考虑引入一种利用两个网络的新网络架构思科 ASA 5505s。我希望通过审查和确认,这种架构是否可以通过这两个 CISCO ASA 5505 防火墙实现。在购买之前,我想确保该设备符合我们的要求。

网络看起来应该是这样的:

Location 1                                      public servers (on vmware ESXi 4.x)
==========                                      |     (VLAN 1 — DMZ)
Public access  ----> +----------------+ --------+
Mobile worker  ----> | CISCO ASA 5505 |
Internet       <---- +----------------+ --------+
                       ^                        |
                       |                        private servers (on vmware ESXi 4.x)
                       |                              (VLAN 2)
                       | IPsec tunnel (VLAN 2)
                       |
Location 2             |
==========             v
                     +----------------+
Internet       <---- | CISCO ASA 5505 | --------+ 
                     +----------------+         |
                                                LAN workstations and servers
                                                      (VLAN 2)

地点 1我们有一堆虚拟化服务器运行在几台物理机上,这些物理机装有 vmware ESXi 4.x。公众可以通过互联网访问多个虚拟机,因此需要将它们放置在 DMZ 中。此外,需要远程访问的员工应能够使用 CISCO VPN 客户端连接到位置 1 的 ASA。所需的身份验证方法是使用我们基于 Windows 的 CA 颁发的用户证书。

位置 1 的捆绑包将是 ASA5505-UL-BUN-K9。

地点 2我们只有工作站和一些本地服务器。但是,通过 VPN 访问位置 1 的移动工作人员需要访问在位置 2 中运行的机器,因此必须配置从位置 1 到位置 2 的路由。无需 VPN 直接访问位置 2,但将来最好有。

位置 2 的捆绑包将是 ASA5505-50-BUN-K9。

两个位置应通过安全透明隧道连接(例如 IPsec、AES 加密、最有可能的预共享密钥)。

具体问题:

  1. 许可的 VPN 连接数量存在限制。默认情况下,ASA 5505 有 2 个 SSL VPN 和 10 个“远程访问”VPN。当使用 CISCO VPN 客户端时,这两个限制中的哪一个适用?请注意,10 个对我们来说足够了,但 2 个不够。
  2. VPN 连接限制是浮动的(=当前使用)还是命名的(每个分配用户)?
  3. 是否真的可以利用基于证书的身份验证进行 VPN 连接并且它可以与基于 Windows 的证书颁发机构配合使用?
  4. 对于位置 2,是否有任何可行、更具成本效益的 ASA 5505 替代方案,可提供相同的安全性和类似的路由功能?集成 WiFi 接入点是一个优点。

环境:

  • 大多数服务器运行 Windows Server 2008 R2 x64。
  • 工作站运行 Windows 7 x64。
  • 有一个 Windows 域。
  • vmware server 4 或 vmware ESXi 4 用于虚拟化。
  • IPv4

任何其他提示或建议都值得赞赏。如果您认为合适,也可以推荐其他供应商的任何网络设备。

我不是网络专家,并且有一段时间没有使用过 CISCO 的设备,因此请根据需要询问任何澄清。

答案1

许可的 VPN 连接数量存在限制。默认情况下,ASA 5505 有 2 个 SSL VPN 和 10 个“远程访问”VPN。当使用 CISCO VPN 客户端时,这两个限制中的哪一个适用?请注意,10 个对我们来说足够了,但 2 个不够。

标准 Cisco VPN 客户端是 IPSEC,并使用“远程访问”VPN 许可证。SSL VPN 是一种无客户端 VPN,除非您购买 AnyConnect SSL VPN 许可证,否则价值不大

VPN 连接限制是浮动的(=当前使用)还是命名的(每个分配用户)?

VPN 许可证是针对每个 VPN 对等体的,对于移动访问设置,它是“并发连接”。

是否真的可以利用基于证书的身份验证进行 VPN 连接并且它可以与基于 Windows 的证书颁发机构配合使用?

我不确定这个问题的答案,但我的直觉是“是”。

是的,支持 Microsoft CA

对于位置 2,是否有任何可行、更具成本效益的 ASA 5505 替代方案,可提供相同的安全性和类似的路由功能?集成 WiFi 接入点是一个优点。

我经常通过站点到站点 IPSEC VPN 将 Cisco ASA 连接到各种其他防火墙,因此支持 IPSEC VPN 标准的任何设备都可以作为站点 2 的替代方案。

相关内容