Newcomposers.ru

IT Мир
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Dmvpn cisco asa

ИТ База знаний

Полезно

— Узнать IP — адрес компьютера в интернете

— Онлайн генератор устойчивых паролей

— Онлайн калькулятор подсетей

— Калькулятор инсталляции IP — АТС Asterisk

— Руководство администратора FreePBX на русском языке

— Руководство администратора Cisco UCM/CME на русском языке

— Руководство администратора по Linux/Unix

Навигация

Серверные решения

Телефония

FreePBX и Asterisk

Настройка программных телефонов

Корпоративные сети

Протоколы и стандарты

Популярное и похожее

Настройка Site-To-Site IPSec VPN на Cisco

Настройка GRE туннеля на Cisco

Настройка voice vlan на Cisco

Настройка Cisco Port-Security

Настройка DMVPN на оборудовании Cisco

В сегодняшней статье покажем пример настройки DMVPN – Dynamic Multipoint VPN, что является VPN решением компании Cisco. Данное решение используется, когда требуется высокая масштабируемость и легкость настройки при подключении филиалов к головному офису.

DMPVN одно из самых масштабируемых и эффективных решений VPN поддерживаемых компанией Cisco. В основном оно используется при топологии Hub-and-Spoke, где вы хотели бы видеть прямые VPN туннели Spoke-to-Spoke в дополнение к обычным Spoke-to-Hub туннелям. Это означает, что филиалы смогут общаться с друг другом напрямую, без необходимости прохождение трафика через HQ. Как уже упоминали, эта технология является проприетарной технологией Cisco.

Если вам необходимо подключить более десяти сайтов к головному офису, то DMPVN будет идеальным выбором. Кроме того, DMPVN поддерживает не только Hub-and-Spoke, но и Full-Mesh топологию, так как все сайты имеют между собой связность без необходимости настройки статических VPN туннелей между сайтами.

Некоторые характеристики DMVPN

Для начала перечислим важные характеристики данного способа организации Site-to-Site VPN для лучшего понимания:

  • Центральный маршрутизатор (HUB) — данный роутер работает как DMVPN сервер, и Spoke маршрутизаторы работают как DMVPN клиенты;
  • У данного маршрутизатора есть публичный статический IP-адрес на WAN интерфейсе;
  • У Spoke маршрутизаторов на WAN интерфейсах может как статический, так и динамический публичный IP-адрес;
  • У каждого филиала (Spoke) есть IPSEC туннель к головному офису (Hub);
  • Spoke-to-Spoke — туннели устанавливаются при возникновении необходимости, когда есть движение трафика между филиалами. Таким образом, трафик может не ходить через головной офис, а использовать прямые туннели между филиалами;
  • Все туннели используют Multipoint GRE c IPSEC;
  • NHRP (Next Hop Resolution Protocol) — данный протокол используется для установления соответствий между приватными IP туннельных интерфейсов с публичными WAN адресами
  • Описанные выше NHRP соответствия будут храниться на NHRP сервере, чем в нашем случае является HUB роутер. Каждый филиал устанавливает соединение с головным офисом и регистрирует свой публичный IP-адрес и его приватный IP-адрес тунеля;
  • Когда филиалу необходимо отправить пакеты в подсеть другого филиала, он запрашивает NHRP сервер для получения информации о внешнем публичном адресе целевого филиала;
  • Для лучшей масштабируемости советуем использовать один из протоколов динамический маршрутизации между всеми роутерами – например, EIGRP;

Еще раз кратко о технологиях, которые использует DMVPN:

  • Multipoint GRE;
  • IPSEC;
  • NHRP – Next Hop Resolution Protocol;
  • Статическая или динамическая маршрутизация;

Настройка маршрутизатора

Конкретно в нашем примере у нас будет HUB маршрутизатор и два филиала. И, как было описано ранее, HUB – это DMVPN cервер, а филиалы – DMPVN клиенты.

В нашем примере в качестве маршрутизатора используется CISCO1921/K9

Сначала настраиваем HUB маршрутизатор – ему необходимо присвоить статический IP – адрес на внешнем WAN-интерфейсе:

Затем настраиваем маршрутизаторы в филиалах (Spoke роутеры) — у одного маршрутизатора статический айпишник на WAN интерфейсе, и у другого динамический, получаемый по DHCP. Первый маршрутизатор в филиале, с динамическим IP:

Второй филиальный маршрутизатор, со статическим IP:

Переходим к тестированию:

В нашем примере использовалась статическая маршрутизация, но при большом количестве филиалов необходимо использовать протоколы динамический маршрутизации для уменьшения ручного труда и риска ошибки.

  • DMVPN
  • Cisco Dynamic Multipoint VPN
  • 540

Полезна ли Вам эта статья?

Пожалуйста, расскажите почему?

Нам жаль, что статья не была полезна для вас 🙁 Пожалуйста, если не затруднит, укажите по какой причине? Мы будем очень благодарны за подробный ответ. Спасибо, что помогаете нам стать лучше!

Подпишитесь на нашу еженедельную рассылку, и мы будем присылать самые интересные публикации 🙂 Просто оставьте свои данные в форме ниже.

Understanding Cisco DMVPN

In an old post, dated 2011, I explained various types of VPN technologies. In seven years several things have changed: SHA1 is deprecated, des and 3des are no more used for security issues, but some VPN technologies are still used with protocols more secure (SHA256, AES, …). In this article, I explain how DMVPN works and what are the key components of it.

Cisco DMVPN uses a centralized architecture to provide easier implementation and management for deployments that require granular access controls for diverse user communities, including mobile workers, telecommuters, and extranet users. Key components are:

  • Multipoint GRE (mGRE) tunnel interface: allows a single GRE interface to support multiple IPsec tunnels, simplifying the size and complexity of the configuration.
  • Dynamic discovery of IPsec tunnel endpoints and crypto profiles: eliminates the need to configure static crypto maps defining every pair of IPsec peers, further simplifying the configuration.
  • Routing Protocol: used to learn network between hub and spokes.
  • NHRP: Allows spokes to be deployed with dynamically assigned publicIP addresses (i.e., behind an ISP’s router). The hub maintains an NHRP database of the public interface addresses of the each spoke. Each spoke registers its real address when it boots; when it needs to build direct tunnels with other spokes (only on phase2 and phase3), it queries the NHRP database for real addresses of the destination spokes.

There are three different types of DMVPN design:

    Phase1: Provides hub-and-spoke tunnel deployment. This means GRE tunnels are only built between the hub and the spokes. Traffic destined to networks behind spokes is forced to first traverse the hub.
    For instance, to reach 192.168.3.0/24 network from 192.168.2.0/24 network (ethernet0/0) the HUB router is always traversed:

Note: Because all spoke-to-spoke traffic in DMVPN Phase1 always traverses the hub, it is actually inefficient to even send the entire routing table from the hub to the spokes.

Phase2: Allow spokes to build a spoke-to-spoke tunnel on demand with these restrictions: the spokesmust receive specific routes for all remote spoke subnets.
For instance, to reach 192.168.3.0/24 network from 192.168.2.0/24 network (ethernet0/0), the first packet reaches the HUB, then the Spoke3 router:

This is due to the incomplete next-hop (10.0.1.3) adjacency:

This causes Spoke2 to send a NHRP resolution request to HUB for Spoke-3 NBMA address. The request gets forwarded from HUB to Spoke3. Spoke3 replies directly to Spoke2 with its mapping information.

After the NHRP resolution is complete, Spoke2 can build a dynamic tunnel to Spoke3, and traffic will not pass through HUB anymore:

Phase3: Allow spokes to build a spoke-to-spoke tunnel and overcomes the phase2 restriction using NHRP traffic indication messages from the hub to signal to the spokes that a better path exists to reach the target network. This functionality is enabled by configuring ip nhrp redirect on the hub and ip nhrp shortcut on the spokes.
For instance, to reach 192.168.3.0/24 network from 192.168.2.0/24 network (ethernet0/0), the first packet reaches the HUB, then the Spoke3 router:

Читать еще:  Nubic ru photoshoponline html

Then HUB “link” this traffic back onto the DMVPN network, triggering the NHRP process on HUB to generate the traffic indication to Spoke2 to resolve a better next hop for the remote network 192.168.3.0 (Spoke3).

At this point, the spokes can now modify their routing table entries to reflect the NHRP shortcut route and use it to reach the remote spoke.

As you can notice, the network 192.168.3.0/24 is learned by the NHRP protocol with administrative distance 250.

Cisco DMVPN Configuration Example

Dynamic Multipoint VPN (DMVPN) is a Cisco VPN solution used when high scalability and minimal configuration complexity is required in connecting branch offices to a central HQ Hub site.

DMVPN is one of the most scalable and most efficient VPN types supported by Cisco. It is used almost exclusively with Hub-and-Spoke topologies where you want to have direct Spoke-to-Spoke VPN tunnels in addition to the Spoke-to-Hub tunnels. This means that Spoke sites can communicate between them directly without having to go through the Hub. DMVPN is supported only on Cisco Routers.

If you want to design a VPN solution to connect numerous sites between them (I would say more than 10 sites), then DMVPN using Cisco routers is an ideal choice. Although the most common topology is Hub-and-spoke setup, DMVPN supports full mesh connectivity since all sites can communicate between them without having to configure static VPN tunnels between each other.

Some characteristics of DMVPN are the following:

  • The HUB central router acts as the DMVPN server and the Spoke routers (in branch offices) act as the DMVPN clients.
  • The HUB router must have static public IP address on its WAN interface.
  • The spoke branch routers can have either static or dynamic public IP on the WAN.
  • Each branch site (Spoke) has a permanent IPSECTunnel with the Central site (Hub).
  • The Spoke-to-Spoke tunnels are established on demand whenever there is traffic between the Spoke sites. Thereafter, packets are able to bypass the Hub site and use the spoke-to-spoke tunnel directly.
  • All tunnels are using Multipoint GREwith IPSEC
  • NHRP(Next Hop Resolution Protocol) is used to map the private IPs of Tunnel Interfaces with their corresponding WAN Public IPs.
  • The above NHRPmappings will be kept on the NHRP Server router (HUB). Each Spoke communicates with the NHRP Server (Hub) and registers its public IP address and its private Tunnel Interface IP to the Hub router. Thus, the Hub router will store all mappings for “Tunnel Interface IP / Public WAN IP” of all the Spoke sites.
  • When a spoke needs to send a packet to a destination (private) subnet on another spoke, it queries the NHRPserver in order to learn the public (outside WAN) address of the destination (target) spoke.
  • For better scalability, it is recommended to run a dynamic routing protocols (such as EIGRP) between all the routers.

DMVPN uses the following group of networking technologies

  • Multipoint GRE
  • IPSEC
  • Next-Hop Resolution Protocol – NHRP
  • Static or dynamic routing

Configuration example

In this Cisco DMVPN configuration example we present a Hub and Spoke topology with a central HUB router that acts as a DMVPN server and 2 spoke routers that act as DMVPN clients.

All the routers involved in this tutorial are CISCO1921/K9

Step 1. Configure the HUB router

The hub router requires a static IP configured on the WAN interface facing the internet.

! Interface Configuration
interface GigabitEthernet0/0
description to Internet-WAN
ip address 10.10.10.1 255.255.255.252
!
interface GigabitEthernet0/1
description to LAN
ip address 192.168.160.1 255.255.255.0
duplex auto

! Configure the tunnel interface , which basically is an enhanced GRE tunnel (Multipoint GRE)
interface Tunnel1
description DMVPN Tunnel
ip address 172.16.1.1 255.255.255.0 accept connection from any source to accommodate also dynamic spokes
!
!
crypto ipsec transform-set TS esp-3des esp-md5-hmac
mode tunnel
!
!
crypto ipsec profile protect-gre ——– > profile added to the mGRE tunnel for encryption
set security-association lifetime seconds 86400
set transform-set TS

! Configure static routing on HUB (dynamic routing is recommended for larger networks)
ip route 192.168.164.0 255.255.255.0 172.16.1.2 maps the tunnel IP address of the HUB to the WAN IP of the HUB that has to be static
ip nhrp network-id 1
ip nhrp nhs 172.16.1.1 —— > configures NHRP client with the IP address of its NHRP server
ip nhrp registration no-unique —– > if a NHRP map is done for this IP another one will not be allowed
ip nhrp map multicast 10.10.10.1 maps the tunnel IP address of the HUB to the WAN IP of the HUB that has to be static
ip nhrp network-id 1
ip nhrp nhs 172.16.1.1 —— > configures NHRP client with the IP address of its NHRP server
ip nhrp registration no-unique —– > if a NHRP map is done for this IP another one will not be allowed
ip nhrp map multicast 10.10.10.1 S – Static, D – Dynamic, I – Incomplete
N – NATed, L – Local, X – No Socket
T1 – Route Installed, T2 – Nexthop-override
C – CTS Capable
# Ent –> Number of NHRP entries with same NBMA peer
NHS Status: E –> Expecting Replies, R –> Responding, W –> Waiting
UpDn Time –> Up or Down Time for a Tunnel

Interface: Tunnel1, IPv4 NHRP Details
Type:Hub, NHRP Peers:2,

# Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb
—– ————— ————— —– ——– —–
1 10.10.10.5 (peer public IP) 172.16.1.2 (peer tunnel IP ) UP 07:51:19 D
2 10.10.10.9 172.16.1.3 UP 09:41:33 D

show crypto isakmp sa

IPv4 Crypto ISAKMP SA
dst src state conn-id status
10.10.10.5 10.10.10.1 QM_IDLE 1011 ACTIVE —— > IPsec connectivity between routers
10.10.10.9 10.10.10.1 QM_IDLE 1012 ACTIVE

HUB# ping 192.168.164.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.164.1, timeout is 2 seconds:
.
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms

HUB# ping 192.168.161.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.161.1, timeout is 2 seconds:
.
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms

Note : You can use either static routing or a dynamic routing protocol for enabling communication in the DMVPN cloud. In this tutorial we have used static routing but for larger networks you should enable dynamic routing such as EIGRP

UZLEC.ru — Узлец блог

Полезные заметки из личного опыта

IPSec VPN между Cisco ASA и IOS с резервированием

Исходная задача выглядит следующим образом: имеется центральный офис (CO) и набор дополнительных офисов (DO). Каждый из них подключен к Internet, а также между CO и DO арендованы каналы MPLS VPN L3 типа «точка-точка». Канал Internet в CO подключен к Cisco ASA v8.4 (CO-ASA), MPLS VPN L3 – к Cisco IOS (CO-R). В DO все каналы сводятся в Cisco ASA v8.4 (DO-ASA).

Необходимо обеспечить маршрутизацию трафика между офисными сетями CO (192.168.2.0/24, 192.168.7.0/24) и DO (192.168.1.0/24) посредством IPSec VPN с обеспечением резервирования. Т.е. IPSec VPN, идущий через Internet является основным, в случае его неработоспособности происходит автоматическое переключение на резервный IPSec VPN поверх MPLS VPN L3. Ситуация усложняется тем, что шлюзом по умолчанию в офисной сети CO является CO-ASA, а сеть 192.168.7.0/24 включена напрямую в CO-R. В виду ряда организационных и технических проблем переключение всех каналов на одно устройство CO-ASA или CO-R в центральном офисе невозможно.

Начнем с настроек IPSec VPN. И тут же сталкиваемся с первым ограничением: Cisco ASA не поддерживает IPSec VPN GRE (в сети есть упоминания о том, что IPSec VPN GRE все-таки можно заставить работать на ASA, но для этого на внешних интерфейсах необходимо прописать access-list размещающий любой трафик «permit ip any any», естественно такие настройки допустимы только на тестовом стенде). Поэтому придется довольствоваться тем, что в терминологии ASA называется IPSec VPN LAT-to-LAN (l2l).

!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key YtPCnXYKiL94sgLvqXdfYTO93ByIx7V8 address 172.17.1.1
!
crypto ipsec transform-set vpn-set esp-3des esp-md5-hmac
!
crypto map do-vpn-map 1 ipsec-isakmp
set peer 172.17.1.1
set transform-set vpn-set
match address 100
!
interface FastEthernet4
ip address 172.17.1.2 255.255.255.0
duplex auto
speed auto
crypto map do-vpn-map
!
access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 100 permit ip 192.168.7.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 100 deny ip any any
!

!
object network obj-do-lan
subnet 192.168.1.0 255.255.255.0
object-group network obj-local-lan
network-object 192.168.2.0 255.255.255.0
network-object 192.168.7.0 255.255.255.0
!
access-list vpn_access extended permit ip object-group obj-local-lan object obj-do-lan
!
nat (lan,wan) source static obj-local-lan obj-local-lan destination static obj-do-lan obj-do-lan
!
crypto ipsec ikev1 transform-set vpn-set esp-3des esp-md5-hmac
crypto map co-vpn 1 match address vpn_access
crypto map co-vpn 1 set pfs
crypto map co-vpn 1 set peer 198.18.131.1
crypto map co-vpn 1 set ikev1 transform-set vpn-set
crypto map co-vpn interface wan
crypto ikev1 enable wan
crypto ikev1 policy 1
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 86400
!
tunnel-group 198.18.131.1 type ipsec-l2l
tunnel-group 198.18.131.1 ipsec-attributes
ikev1 pre-shared-key INo8YKu4xrYDwk1TWpKuHBiB023PC1LP
!

!
object network obj-local-lan
subnet 192.168.1.0 255.255.255.0
object-group network obj-co-lan
network-object 192.168.2.0 255.255.255.0
network-object 192.168.7.0 255.255.255.0
!
access-list vpn_access extended permit ip object obj-local-lan object-group obj-co-lan
!
nat (lan,wan) source static obj-local-lan obj-local-lan destination static obj-co-lan obj-co-lan
!
crypto ipsec ikev1 transform-set vpn-set esp-3des esp-md5-hmac
crypto map co-vpn 1 match address vpn_access
crypto map co-vpn 1 set pfs
crypto map co-vpn 1 set peer 198.18.131.2 172.17.1.2
crypto map co-vpn 1 set ikev1 transform-set vpn-set
crypto map co-vpn interface wan
crypto map co-vpn interface man
crypto ikev1 enable wan
crypto ikev1 enable man
crypto ikev1 policy 1
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 86400
!
tunnel-group 172.17.1.2 type ipsec-l2l
tunnel-group 172.17.1.2 ipsec-attributes
ikev1 pre-shared-key YtPCnXYKiL94sgLvqXdfYTO93ByIx7V8
tunnel-group 198.18.131.2 type ipsec-l2l
tunnel-group 198.18.131.2 ipsec-attributes
ikev1 pre-shared-key INo8YKu4xrYDwk1TWpKuHBiB023PC1LP
!

Обратите внимание на особенность настройки DO-ASA: мы прописываем IPSec VPN сразу к двум хостам: «crypto map co-vpn 1 set peer 198.18.131.2 172.17.1.2». Это значит, что первоначально будет предпринята попытка поднять IPSec VPN с peer’ом 198.18.131.2. Если она потерпит неудачу, то будет совершена вторая попытка с peer’ом 172.17.1.2.

Однако сейчас этот механизм работать не будет. Для этого необходимо обеспечить динамическую перенастройку таблицы маршрутизации на DO-ASA. Для этих целей используется функционал «sla monitor»:

!
route wan 0.0.0.0 0.0.0.0 198.18.131.2 1 track 1
route man 0.0.0.0 0.0.0.0 172.17.1.2 2
!
sla monitor 1
type echo protocol ipIcmpEcho 198.18.131.2 interface wan
num-packets 3
request-data-size 100
threshold 2500
sla monitor schedule 1 life forever start-time now
!
track 1 rtr 1 reachability
!

Таким образом DO-ASA посредством пакетов ICMP Echo request постоянно контролирует доступность CO-ASA. Если последняя пингуется, то весь трафик направляется в Internet:

Если же нет, то шлюзом по умолчанию прописывается канал MPLS VPN L3:

Таким образом, обеспечивается переключение IPSec VPN peer’а с основного 198.18.131.2 на резервный 172.17.1.2.

Следующая проблема – это обеспечение маршрутизации трафика в локальной сети центрального офиса: 192.168.2.0/24. Напомню, что в ней маршрутом по умолчанию является CO-ASA (192.168.2.6), поэтому пока работает основной канал IPSec VPN, никаких проблем не возникает. Однако, как только он отваливается, необходимо перенаправлять весь трафик, адресованный в сеть DO (192.168.1.0/24), на CO-R (192.168.2.7). Правильным решением в подобной ситуации является использование динамической маршрутизации на базе протокола OSPF. Но тут нас ждет очередное разочарование в Cisco ASA. Из отсутствия поддержки IPSec VPN GRE следует необходимость использования на внешнем интерфейсе ASA тип сети «ospf network point-to-point non-broadcast». Поддержки чего-либо наподобие «ip ospf network point-to-multipoint non-broadcast» в ASA нет. А когда интерфейс настроен как point-to-point, на нем не может быть более одного соседа OSPF. Поэтому эта схема может использоваться только для связи двух точек. Напомню, что по исходному заданию дополнительный офис у нас не один, а их множество. Исходя из этого запустить OSPF на CO-ASA не представляется возможным

Поэтому придется обходиться уже известным нам методом манипулирования статическими маршрутами посредством sla monitor.

!
route wan 192.168.1.0 255.255.255.0 198.18.131.1 1 track 1
route lan 192.168.1.0 255.255.255.0 192.168.2.7 2
!
sla monitor 1
type echo protocol ipIcmpEcho 198.18.131.1 interface wan
num-packets 3
request-data-size 100
threshold 2500
sla monitor schedule 1 life forever start-time now
!
track 1 rtr 1 reachability
!

Т.е. CO-ASA пингует DO-ASA (198.18.131.1) и в случае недоступности оного весь трафик перенаправляется на CO-R (192.168.2.7). Соответственно получается, что в случае сбоя хосты локальной сети CO (192.168.2.0/24) будут направлять весь трафик на CO-ASA (192.168.2.6), а та в свою очередь перенаправлять его на CO-R (192.168.2.7). Для того, что бы такое перенаправление работало, необходимо на CO-ASA добавить следующую опцию:

!
same-security-traffic permit intra-interface
!

Поскольку оба маршрутизатора и CO-ASA, и CO-R находятся в одной общей сети 192.168.2.0/24, то есть вероятность, что CO-ASA будет бомбардировать хосты локальной сети 192.168.2.0/24 пакетами ICMP Redirect, что может приводить к глюкам маршрутизации у рабочих станций.

Следующая проблема: при переключении на резервный канал трафик ICMP и UDP будет ходить без проблем, а вот TCP – нет. Виной тому асимметрия в маршрутизации:

Т.е. трафик, идущий из сети DO (192.168.1.0/24) в CO (192.168.2.0/24), не будет попадать на CO-ASA, т.е. она не будет видеть инициирующих пакетов TCP SYN. Проблема в том, что у Cisco ASA существует механизм носящий название Adaptive Security Algorithm. Он призван обеспечить безопасность всех сессий TCP путем ведения их учета. Поэтому если соответствующий пакет TCP SYN через Cisco ASA не проходил, то последняя считает, что TCP-сессия не устанавливалась и весь трафик принадлежащий ей отбрасывается. Для решения данной проблемы задействуем на CO-ASA функционал «TCP State Bypass»:

!
access-list vpn_tcp_bypass_access extended permit ip object-group obj-local-lan object obj-do-lan
!
class-map vpn_tcp_bypass
match access-list vpn_tcp_bypass_access
!
policy-map vpn_tcp_bypass_policy
class vpn_tcp_bypass
set connection advanced-options tcp-state-bypass
!
service-policy vpn_tcp_bypass_policy interface lan
!

Теперь весь трафик, идущий из сетей CO (192.168.2.0/24, 192.168.7.0/24) в DO (192.168.1.0/24) не будет попадать под действие Adaptive Security Algorithm на CO-ASA.

До сих пор в тени оставалась сеть 192.168.7.0/24. С ней тоже существует проблема, поскольку включена он напрямую в CO-R, а на последнем весь исходящий трафик будет отправляться через канал MPLS VPN L3 независимо от того активен ли в настоящее время резервный канал IPSec VPN или нет. Происходить это будет просто в виду настроек статической маршрутизации:

!
ip route 0.0.0.0 0.0.0.0 172.17.1.1
!

Тут нам на помощь приходит Policy-based Routing (PBR), который настраивается на CO-R:

!
interface Vlan2
ip address 192.168.7.1 255.255.255.0
ip policy route-map pcs-vpn
!
access-list 101 permit ip 192.168.7.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 101 deny ip any any
!
route-map pcs-vpn permit 10
match ip address 101
set ip next-hop 192.168.2.6
!

Т.е. весь трафик из CO (192.168.7.0/24) будет в принудительном порядке отправлять на CO-ASA (192.168.2.6), а уже она либо отправит его через основной канал IPSec VPN, либо в случае сбоя отправит обратно на CO-R (192.168.2.7), а уже тот в свою очередь задействует резервный канал IPSec VPN. Вот такая получается загогулина в маршрутизации трафика 🙂

Конечно, схема получилась крайне запутанная и сложная в понимании. Однако поверьте мне, я был поставлен в жесткие рамки и вынужден придумать такой вот ребус. На будущее хочу пожелать вам хорошенько продумывать и проектировать топологию своих сетей. Известному советскому авиаконструктору Андрей Николаевичу Туполеву принадлежит фраза: «Хорошо летать могут только красивые самолеты». Так вот правильно и хорошо спроектированная сеть смотрится красиво и легко администрируется. И тогда нет нужды придумывать и внедрять сложные решения.

В чем отличия между Cisco ASA и Cisco ISR и как выбрать устройство для вашей сети

На смену решению Cisco ASA пришли устройства Cisco Firepower. Более подробно о решениях Firepower можно почитать у нас в FAQ или посетить Демо-стенд.

В целом, большинство используемых заказчиками протоколов и технологий представлены как на устройствах безопасности Cisco ASA, так и на маршрутизаторах, например:

  1. NAT
  2. Межсетевой экран
  3. IPS
  4. Site-to-site VPN
  5. Remote Access VPN

Однако, Cisco ASA позиционируется как устройство безопасности. Поэтому основные ее функции – межсетевой экран, IPS и VPN концентратор для удаленных пользователей в деталях превосходят аналогичный функционал на маршрутизаторе. Многие функции безопасности работают уже “из коробки”. По умолчанию в Cisco ASA “завинчены все гайки”, в то время как на маршрутизаторе функции безопасности требуется принудительно включать. Рассмотрим, что она умеет очень хорошо, а где имеются ограничения:

  1. NAT. Во всех возможных вариациях, в том числе двойной (twice NAT).
  2. Межсетевой экран, с глубоким анализом содержимого протоколов.
    Как межсетевой экран ASA способна работать в двух режимах: маршрутизируемом и прозрачном (Transparent Firewall). Также ASA может работать в режиме множественных контекстов (виртуальные межсетевые экраны, multiple context), либо в режиме единственного контекста. В режиме множественных контекстов и/или прозрачном режиме накладываются свои ограничения на доступный функционал в зависимости от версии операционной системы. Например, в режиме множественных контекстов невозможна работа remote access VPN.
  3. Identity Firewall (IDFW), TrustSec. Разрешение доступа к ресурсам на основании меток пользовательских групп из LDAP.
  4. IPS – система предотвращения вторжений. В новой линейке ASA 5500-X нет необходимости устанавливать аппаратный модуль, требуется лишь приобрести лицензию.
  5. ASA CX – безопасность с учетом контекста, контроль использования приложений для пользователей и групп, WEB фильтр с проверкой репутации. Для старшей модели в линейке ASA 5585-X нужно докупить блейд-модуль SSP-10/20, для других моделей серии ASA 5500-X — SSD диск.
  6. Remote Access VPN – существует 3 вида.
    • Туннели SSL/IPSec IKEv2 с использованием AnyConnect Secure Mobility Client. Поддерживается большинство современных платформ ПК и мобильных устройств. Опционально интегрируется с сервисами и услугами Cisco Secure Desktop, Cisco Cloud Web Security (бывший ScanSafe), 802.1x.
    • Бесклиентский (Clientless) SSL VPN — необходимые приложения работают в web-портале.
    • Тонкий клиент в web-браузере для проброса портов к установленным приложениям. В качестве тонкого клиента выступает MS Active-X скрипт, либо Java-плагин, устанавливаемый в веб-браузере.
  7. Site-to-site IPSec VPN.
  8. Маршрутизация – статическая, EIGRP, OSPF. Поскольку в ASA нет аналога VTI интерфейсов, как в Cisco ISR, имеется ограничение в количестве соседей на IPSec туннелях. Для каждого внешнего интерфейса может быть не более одного соседа по динамической маршрутизации, если связь между ними идет через IPSec.
  9. Отказоустойчивость и кластеризация Резервирование Failover работает в режиме standby/active с единственным контекстом и в режиме active/active в режиме множественных контекстов. Возможна работа в режиме stateful – с сохранением состояния текущих подключений при переключении на резервную ASA. Также можно настроить failover между двумя линками на одном устройстве. В сетях с высокими требованиями к производительности МСЭ можно объединять до 8ми устройств Cisco ASA 5580 or 5585-X в кластер для балансировки нагрузки с реальной производительностью 128 Гбит/с (320 Гбит/с максимум). Отказоустойчивость при этом также обеспечивается.
  10. QoS, Нет поддержки классификации QoS с помощью NBAR. Шейпинг только для default class.

Часто этого функционала оказывается достаточно и необходимости устанавливать маршрутизатор нет. Однако есть ряд функций, доступных только для маршрутизаторов:

  1. Интеллектуальная маршрутизация и любая балансировка трафика: PBR, round-robin, OER (PfR)
  2. DMVPN
  3. GRE туннели
  4. VRF
  5. BGP
  6. MPLS
  7. GETVPN
  8. Различные сервисы: IVR, WAAS, Gatekeeper, CUBE, WLAN Controller

Ниже приведено сравнение по цене к производительности. За опорные приняты максимальные значения производительности межсетевого экрана и IPSec.

График цены/производительности для межсетевого экрана:

Для ASA на оси стоимости – базовая стоимость платформы. Для маршрутизатора – стоимость SEC bundle, без интерфейсных модулей.

Сравнение по цене к производительности IPSec VPN:

Для маршрутизаторов с лицензией SEC производительность IPSec ограничена 85 Мбит/с в одну сторону (170 двунаправленая). Покупка лицензии HSEC в дополнение к SEC снимает это ограничение. На диаграмме модели начиная с 2951 имеют модуль аппаратного шифрования(VPN ISM), а также лицензию HSEC.

Производительность шифрования IPSec на маршрутизаторе складывается из производительности модуля аппаратного шифрования и программного, исполняемого на CPU маршрутизатора. В то время как на Cisco ASA производительность IPSec не зависит от нагрузки на CPU, т.к. выполняется целиком на ASIC схемах.

Вывод.

Выбор между маршрутизаторами Cisco ISR и устройствами безопасности Cisco ASA в некоторых ситуациях не так прост, как может показаться на первый взгляд. Если требования можно сформулировать так: требуется защитить выход в интернет для пользователей и предоставить удаленный доступ, чтобы сотрудники могли работать из любой точки, тогда можно рекомендовать Cisco ASA. Если же данное устройство должно быть установлено в филиале, тогда маршрутизатор может оказаться более выгодным и гибким решением, поскольку в нем можно совместить большее число сервисов. Если установка планируется в главном офисе компании на границе сети, тогда можно установив в одной сети оба устройства и разделить между ними сервисы: Cisco ASA использовать для МСЭ, фильтрация контента, IPS, VPN для удаленных пользователей, а маршрутизатор – для протоколов динамической маршрутизации (OSPF, EIGRP, BGP), CUBE, site-to-site IPSec, DMVPN и др..

Ссылка на основную публикацию
Adblock
detector