пятница, 6 декабря 2013 г.

Распространенные вопросы по VPN клиенту AnyConnect (Q&A Cisco AnyConnect)

Совсем недавно столкнулся с лицензированием Cisco ASA серии 5500-X (в моем случае это 5512-X - самая младшая модель в семействе). Решил написать небольшой ликбез по лицензированию Cisco ASA для использования Cisco AnyConnect, т. к. у большинства возникают абсолютно одинаковые вопросы.
Задача была купить самый дешевый (но в тоже время современный) межсетевой экран Cisco с функцией удаленного доступа, а именно с использованием клиента Cisco AnyConnect. Существуют версии клиента для ПК (windows, linux, mac os), а так же для мобильных устройств (android, ios). 
  • Какая Cisco ASA поддерживает работу с AnyConnect?
Есть следующие модели: ASA5512-K7, ASA5512-K8 и ASA5512-K9. Причем стоят они совершенно одинаково. 
Сделаем небольшое отступление от темы. В чем разница между K7, K8 и K9? Если кратко то можно сказать следующее:
-K7 говорит нам о том, что на ASA залита NPE прошивка. Т.е. нет шифрования передаваемых данных, есть шифрование только управляющего трафика (SSH, SSL, HTTPS и SNMPv3). Данное оборудование можно завозить без каких-либо дополнительных разрешений (категория C2).
-K8 это устройство с прошивкой, которая поддерживает шифрование передаваемых данных, но шифрование - слабое, с длинной ключа менее 56 бит, например DES. Ввоз - разрешен без дополнительных разрешений (категория C2).
-K9 это устройство с прошивкой, которая поддерживает шифрование передаваемых данных с использованием стойких алгоритмов шифрования 3DES/AES. Оборудование с такой прошивкой попадает в категорию C3.
Небольшая справка объясняющая разницу между категориями C1, C2, C3 и C4:
-С1 - устройства с данной категорией не требуют какого-либо разрешения для ввоза на территорию РФ.
-С2 - устройства попадающие под данную категорию имеют зарегистрированные нотификации и разрешены для ввоза без разрешения и лицензий.
-С3 - здесь все немного сложнее. Для ввоза данного оборудования требуется лицензия Минпромторга России. А выдавать эту лицензию должен Центр по лицензированию (т.е ФСБ). Для не государственной организации получить подобною лицензию не так уж сложно.
-С4 - это все оставшиеся устройства, которые по тем или иным причинам не попали ни в одну из предыдущих категорий.
Вернемся к теме. После недолгого поиска удалось выяснить что сервис Cisco AnyConnect использует SSL при VPN подключении. Все современные версии Windows (Vista, 7, 8) для протокола SSL используют алгоритмы шифрования 3DES/AES по умолчанию. Т.е. нам подойдет только ASA5512-K9. Причем если посмотреть спецификацию при заказе, то можно увидеть прошивку SF-ASA-X-9.1-K8 (ASA 9.1 Software image for ASA 5500-X Series,5585-X & ASA-SM). Но почему K8, мы же выбрали K9? Не пугайтесь, если еще раз посмотреть спецификацию то можно увидеть лицензию ASA5500-ENCR-K9(ASA 5500 Strong Encryption License (3DES/AES)), она собственно и делает K9 из K8. Кстати дистрибьютор (тот у кого вы покупаете) может предложить купить K8, а затем уже с помощью бесплатной лицензии сделать K9, это ускорит процесс покупки. С моделью определились.
  • Какая лицензия необходима для Cisco AnyConnect?
Если на МЭ набрать команду show ver, то можно увидеть примерно следующее:
Licensed features for this platform:
Maximum Physical Interfaces    : Unlimited
Maximum VLANs                  : 150
Inside Hosts                   : Unlimited
Failover                       : Active/Active
VPN-DES                        : Enabled
VPN-3DES-AES                   : Enabled
Security Contexts              : 2
GTP/GPRS                       : Disabled
SSL VPN Peers                  : 2
Total VPN Peers                : 750
Shared License                 : Disabled
AnyConnect for Mobile          : Disabled
AnyConnect for Cisco VPN Phone : Disabled
AnyConnect Essentials          : Disabled
Advanced Endpoint Assessment   : Disabled
UC Phone Proxy Sessions        : 2
Total UC Proxy Sessions        : 2
Botnet Traffic Filter          : Disabled

Видим два интересных нам пункта:
SSL VPN Peers                  : 2
Total VPN Peers                : 750
Клиент AnyConnect использует SSL VPN Peers, т.е при данной конфигурации возможно всего два подключения с использованием AnyConnect клиента. Total VPN Peers используется при построении site-to-site VPN подключения (например VPN до МЭ или роутера в удаленном филиале). Соответственно нам нужна лицензия на расширение SSL VPN Peers.
Существует два типа таких лицензий: Anyconnect Premium и Anyconnect Essentials. Главное отличие Essentials от Premium - лицензия Essentials позволяет VPN подключение только с использование VPN-клиента и не позволяет безклиентное (clientless) подключение, например использование web портала. Для нашей задачи хватает лицензии Essentials, тем более что она гораздо дешевле чем Premium.
Добавляем в спецификацию ASA-AC-E-5512 (AnyConnect Essentials VPN License - ASA 5512-X (250 Users)) - стоимость 150$ по GPL прайсу. С лицензией разобрались.
  • Какая лицензия нужна для использования AnyConnect на мобильных устройствах?
Клиент Cisco AnyConnect можно использовать на мобильных устройствах (смартфоны, планшеты). Но для этого нам необходима лицензия AnyConnect for Mobile. Добавляем в спецификацию ASA-AC-M-5512 (AnyConnect Mobile - ASA 5512-X (req. Essentials or Premium)). Из описания видим, что к ней обязательно должна прилагаться лицензия Essentials или Premium. Вопрос с доступом с мобильных устройств - решен.
В итоге получилась следующая спецификация:

ASA5512-K9 ASA 5512-X with SW, 6GE Data, 1GE Mgmt, AC, 3DES/AES - $ 3,995.00
CON-SNT-A12K9 SMARTNET 8X5XNBD ASA 5512-X with SW, Duration : 12 Month(s) - $ 550.85
SF-ASA-X-9.1-K8 ASA 9.1 Software image for ASA 5500-X Series,5585-X & ASA-SM - $ 0.00
ASA-AC-E-5512 AnyConnect Essentials VPN License - ASA 5512-X (250 Users) - $ 150.00
ASA-AC-M-5512 AnyConnect Mobile - ASA 5512-X (req. Essentials or Premium) - $ 150.00
CAB-ACE AC Power Cord (Europe), C13, CEE 7, 1.5M - $ 0.00
ASA-VPN-CLNT-K9 Cisco VPN Client Software (Windows, Solaris, Linux, Mac) - $ 0.00
ASA5500-ENCR-K9 ASA 5500 Strong Encryption License (3DES/AES) - $ 0.00
ASA-ANYCONN-CSD-K9 ASA 5500 AnyConnect Client + Cisco Security Desktop Software - $ 0.00
ASA5512-MB ASA 5512 IPS Part Number with which PCB Serial is associated - $ 0.00
Общее: $ 4,845.85

Надеюсь данная статья была вам полезна. Если кому-то есть что добавить, пишите в комментариях.

2 комментария:

  1. Распространенные Вопросы По Vpn Клиенту Anyconnect (Q And A Cisco Anyconnect) ~ Netskills >>>>> Download Now

    >>>>> Download Full

    Распространенные Вопросы По Vpn Клиенту Anyconnect (Q And A Cisco Anyconnect) ~ Netskills >>>>> Download LINK

    >>>>> Download Now

    Распространенные Вопросы По Vpn Клиенту Anyconnect (Q And A Cisco Anyconnect) ~ Netskills >>>>> Download Full

    >>>>> Download LINK fd

    ОтветитьУдалить
  2. The notorious playing scandal “Ocean’s story” swept Korea in 2006, however the gale has not stopped yet. The first purpose why foreigner-only casinos should allow native prospects is that it might curtail 온라인카지노 the flight of overseas forex for playing overseas. Some studies counsel that Koreans have spent billions of dollars on casino playing and golf overseas. Second, it might deter unlawful enterprise corresponding to online playing, and certain that|be certain that} casinos move within the confines of the system. Gambling in Korea is in precept unlawful, falling under articles 246 and 247 of the Criminal Act.

    ОтветитьУдалить

Новый сайт проекта

Новый сайт проекта
Прокачай себя, а не персонажа из игры

Translate

Популярные сообщения

Blog Archive

Технологии Blogger.