UTM + IPSec Site to Site для малых филиалов

Здравствуйте, коллеги.
Имею обычную задачу.

image

Нужно:
авторизовать через AD пользователей домена;
авторизовать через локальную базу устройства (телефоны, планшеты, ноутбуки, гости), работающие через Wi-Fi$
раздавать Интернет;
обеспечивать балансировку нагрузки между 2 каналами, переключение при отказе одного из них;
фильтрация URL адресов по группам, не пускать группы пользователей на определенные группы сайтов;
фильтрация приложений без установки агентов на устройства;
предотвращать вторжений (IPS);
проверка трафика на вирусы;
VPN Server для IPSec Site to Site и подключения мобильных сотрудников к офису;
быстрое обнаружение «узких мест» в сети и случаев злоупотребления Интернетом;
повышение производительности сервисов, требующих широкой полосы пропускания, таких как VoIP и видеоконференции;
QoS;
шейпинг трафика — чтобы один сотрудник не мог занять канал когда возникает очередь, но мог использовать весь канал когда, например, он один в офисе или когда канал не полностью занят и нет очереди.

Требования к производительности.
В центральном офисе маршрутизация до 100 мегабит, IPSec до 50 мегабит, до 3000 одновременных сессий, до 100 000 сессий в час.
В регионах маршрутизация до 40 мегабит, IPSec до 10 мегабит, до 1000 одновременных сессий, до 20 000 сессий в час.

Что уже проверял и не совсем устраивает?
Брал на тестирование Fortigate 100D и 40С — устройства отличные, но мало специалистов, а продавцы просят астрономические суммы за настройку.
CheckPoint — как межсетевой экран хорош, но опять же проблема со специалистами.
Cisco — ASA и ISR не реализует все функции.
Интересно решение Cisco для малого бизнеса — ISA500 но по нему мало инфы. Может кто-нибудь даст обратную связь.
Также тестировал решение на D-Link DFL, Zyxel, Microtik — еще меньшее соответствие требованиям.

Коллеги, прошу поделиться идеями как можно реализовать мою задачу?
У кого есть опыт эксплуатации ISA500-й серии?
Каким программным продуктом (триал, бесплатное решение, виртуальное приложение) можно заменить оборудование на время ожидания поставки и настройки?
  • Вопрос задан
  • 6046 просмотров
Пригласить эксперта
Ответы на вопрос 4
paralon
@paralon
Мне кажется у вас очень завышенные требования и очень широкий спектр задач для одной «коробки».
Тут нужно целую систему собирать из разных средств.

Что конкретно здесь не реализует Cisco ASA за исключением уж точно не её функций типа «авторизация AD-пользователей» и wifi?
Ответ написан
@JDima
Cisco — ASA и ISR не реализует все функции.

Аса, понятно, бесполезна в этом сценарии, но вот ISR чем не устроили?

Локальная аутентификация wi-fi есть (зачем?)

Балансировка есть, причем весьма интеллектуальная — PfR, эта штука способна спасти качество сервиса для определенных (указанных) классов трафика при деградации связи, а не только при полном падении связи. Иначе — костыли на базе EEM с массой ограничений и минимумом интеллекта. В самом простом случае тупо ECMP.

Фильтрации по URL, IPS и прочие — к SM модулям.

VPN — не проблема. DMVPN для site-to-site и anyconnect для RA. Можно Flex настроить.

«быстрое обнаружение «узких мест»» — не понял вопрос. Но PfR вместе с QoS способны на многое в автоматическом режиме.

«повышение производительности сервисов, требующих широкой полосы пропускания, таких как VoIP и видеоконференции;»
Легко. Опять же, PfR, позволяющий указывать требования для разных классов трафика и автоматически выбирающий маршрут в зависимости от удовлетворения требований, плюс QoS на выходе.

«QoS;»
Запросто. Вдобавок, у ISR есть, насколько мне известно, уникальная фича «per-tunnel QoS». Суть: центральный офис будет знать про ширину канала у каждого из регионов, и сможет динамически применять политики QoS для каждого региона.

«шейпинг трафика — чтобы один сотрудник не мог занять канал когда возникает очередь, но мог использовать весь канал когда, например, он один в офисе или когда канал не полностью занят и нет очереди.»
Вы назвали это шейпингом, но на самом деле это как раз принцип работы приоритезации QoS, не имеющий к шейпингу никакого отношения.
Или подразумевается, что вешается шейпер, соответствующий ширине провайдерского канала, и в нем уже классические очереди? Это стандартная практика.

То есть по сути, ваш таргет — ISR G2, удовлетворяющий всем требованиям. Это бранчи. В центр, на терминацию VPN каналов лучше ASR1k поставить, благо они относительно недорогие — пиров многовато для ISR. Весь указанный выше функционал (кроме фильтрации URL и вирусов, который без проблем реализуется отдельной железкой) на них тоже есть.
Ответ написан
@ruslanmatrix Автор вопроса
Как на Cisco настроить фильтрацию приложений?
Ответ написан
@ruslanmatrix Автор вопроса
Хочу апнуть тему.
Прочитал кучу мануалов пришел к выводу, что Cisco ISR/ISR G2 для меня.
Но не нашел ответа на некоторые вопросы.
1. авторизация пользователей через AD — не хочу выпускать не авторизованный трафик, не хочу управлять несколькими базами пользователей.
2. весьма желательно блокировать трафик от всех приложений, кроме разрешенных.
3. отчетность и аналитика — видеть в общем виде, что люди в основной на соц. сети ходят, кто больше всего качает, какой тип трафика и т.п.
4. отбивание атак — поставил софтовое решение, которое показало что меня реально пытаются взломать, подбирают пароли и т.п. Но у Cisco этот сервис стоит огромных денег (относительно моего бюджета).
Может быть рассмотреть вариант ASA + ISR?
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы