我正在使用思科 ASA 5505共置设施中的 50 个用户防火墙。此位置的系统正在监控其他远程站点(也运行 Pix 或 ASA 设备)我已经建立了站点到站点隧道,但已达到设备当前许可方案下的硬限制。ASA 5505 型号限制为 10 个同时 IPsec 隧道。
我很好奇我在这里的选择。理想情况下,我希望能够处理 15-20 个连接。根据研究,我似乎可以添加一个额外的安全加分许可证扩展到 25 个 VPN 隧道。另一个选择似乎是转向 Cisco ASA 5510。
鉴于我在托管服务器上只有少量系统,迁移到 ASA 5510 只是为了获得额外的 VPN 功能,这是否有些过度?将 ASA 5505 升级到 25-VPN 选项是否存在任何缺点(硬件/性能/等)?我是否错过了其他选项?
答案1
如果您能想象可能需要超过 25 条隧道的情况,请选择 5510;如果它不能满足您的长期需求,那么在 5505 安全加许可证上投入额外的资金是没有意义的。
也就是说,如果您所需要的只是 15-20,那么升级许可证会更具成本效益。
Cisco 对设备的限制相当随意;它们与 ASA 的性能限制关系不大,而与设置大量虚假障碍以迫使您使用更昂贵的设备有关。我认为 5505 不会出现任何性能问题,除非您已用尽这些 100mb 接口。
答案2
是的,仅为了 VPN 隧道而升级到 5510 是过度的。
不过,您将来可能会希望拥有一些选项,只有 ASA5510 及更高版本可以支持:
- 状态故障转移(主动/主动或主动/被动,后者变得极为流行)
- 5510 上有 125,000 个连接,而 5505 上有 25,000 个连接
- 网络吞吐量增加 3 倍。也许有一天您想在 ASA 上添加另一个网络/VLAN,而 VLAN 内速度需要比 100mbit/s 快一点?我遇到过几次这种情况。
- 内容安全、反恶意软件、反病毒等(SSM 模块)
- 以太网通道支持——如果你使用堆叠交换机(如 3750)作为主干网,则非常有用
- 双风扇带来的冷却效果好多了。这对你来说可能非常重要,具体取决于运行的环境。
我希望这对你有帮助,尽管我知道价格差别很大。
答案3
如果您不介意更换设备的麻烦,那么我会说 5510。但是如果您因为拆卸任何东西而受到批评,那么进行许可证升级也会对您有所帮助。并不是要破坏这个想法,但是如果您正在寻找另一种故障转移的可能性,那么您可以使用一些 cisco 2800 路由器并进行 DMVPN。动态路由,针对每个站点到站点(如果需要),但只是提出我的 2 便士
答案4
我很想把钱投入到 5510 中。请在此处查看型号比较: http://www.cisco.com/en/US/products/ps6120/prod_models_comparison.html#~中档
请注意,不同型号之间存在实际的硬件差异。我的 5505 配有 Geode 500 MHz CPU,而我的 5510 配有 Pentium 4 Celeron 1600 MHz CPU。
20 个活跃 VPN 隧道将对 CPU 造成很大的压力,在 100Mb 接口本身满载之前,5505 很可能就会达到最大值。这在很大程度上取决于您通过隧道发送的数据量,以及它们是 3DES 还是 AES(AES 更节省 CPU)。