我们有两个地理上遥远的networking位置,正在考虑引入一个使用两台CISCO ASA 5505的新networking架构。 我正在寻找一个审查和确认这个架构是否可以用这两个CISCO ASA 5505防火墙实现的。 我想在购买之前确定这些设备符合我们的要求。
networking应该是这样的:
Location 1 public servers (on vmware ESXi 4.x) ========== | (VLAN 1 — DMZ) Public access ----> +----------------+ --------+ Mobile worker ----> | CISCO ASA 5505 | Internet <---- +----------------+ --------+ ^ | | private servers (on vmware ESXi 4.x) | (VLAN 2) | IPsec tunnel (VLAN 2) | Location 2 | ========== v +----------------+ Internet <---- | CISCO ASA 5505 | --------+ +----------------+ | LAN workstations and servers (VLAN 2) 在位置1,我们有许多虚拟化服务器运行在几台使用vmware ESXi 4.x的物理机器上。 一些虚拟机可以从互联网上获得,因此需要放置在非军事区。 另外,我们需要远程访问的员工应该能够通过CISCO VPN客户端连接到位置1的ASA。 所需的身份validation方法是使用基于Windows的CA颁发的用户证书。
位置1的软件包将是ASA5505-UL-BUN-K9。
在地点2我们只有工作站和一些本地服务器。 但是,通过VPN访问位置1的移动工作人员需要访问在位置2中运行的机器,因此从Loc。 1到Loc。 2必须configuration。 直接到位置2的VPN访问不是必需的,但是在将来很好。
位置2的包将是ASA5505-50-BUN-K9。
两个位置都应通过安全的透明隧道(例如IPsec,AESencryption,最可能的预共享密钥)连接。
具体问题:
环境:
任何其他提示或build议表示赞赏。 如果您觉得合适,build议使用其他供应商提供的任何networking设备。
我不是networking专家,也没有和CISCO的设备合作过一段时间,所以请根据需要请求澄清。
许可的VPN连接数量有限制。 默认情况下,ASA 5505有2个SSL VPN和10个“远程访问”VPN。 在使用CISCO VPN客户端时,这两个限制中哪一个适用? 请注意,10对我们来说已经足够了,然而2却不是。
标准Cisco VPN客户端是IPSEC,并使用“远程访问”VPN许可证。 除非您购买AnyConnect SSL VPN许可证,否则SSL VPN是无客户端的VPN,并不值钱
VPN连接限制是浮动的(=当前使用)或命名(每个分配的用户)?
VPN许可证是每个VPN对等,而对于移动访问设置则是“并发连接”。
是否真的有可能利用基于证书的身份validation进行VPN连接,它是否可以与基于Windows的证书颁发机构一起工作?
我当然不知道这个答案,但我的直觉是“是的”。
是的, Microsoft CA支持 。
是否有任何可行的,更具成本效益的替代ASA 5505的地点2,提供相同的安全性,类似的路由function? 集成WiFi接入点是一个优点。
我经常通过Site-Site IPSEC VPN将Cisco ASA连接到各种其他防火墙,因此支持IPSEC VPN标准的任何东西都将成为站点2的替代scheme。