Cisco ASA5505-より多くのサイト間VPNが必要
コロケーションファシリティで Cisco ASA 5505 50ユーザーファイアウォールを使用しています。この場所のシステムは、追加のリモートサイト(PixまたはASAデバイスも実行中)の監視を実行しています。サイト間トンネルを確立しましたが、現在のライセンススキームではデバイスのハードリミットに達しました。 ASA 5505モデルは、10個の同時IPsecトンネルに制限されています。
ここでのオプションに興味があります。理想的には、15〜20の接続を処理できるようにしたいと思います。調査によると、追加のSecurity Plusライセンスを追加して、25のVPNトンネルに拡張できるようです。もう1つのオプションは、Cisco ASA5510に移行しているようです。
コロに少数のシステムがあることを考えると、追加のVPN機能を過剰に取得するためだけにASA 5510に移行していますか? ASA 5505を25-VPNオプションにアップグレードすることの欠点(ハードウェア/パフォーマンスなど)はありますか?私が逃した他のオプションはありますか?
25を超えるトンネルが必要になる可能性がある状況を想像できる場合は、5510を選択してください。長期的にニーズを維持できない場合は、5505セキュリティプラスライセンスで余分なお金を投入しても意味がありません。
とはいえ、必要なのが15〜20だけの場合は、ライセンスのアップグレードを取得する方がはるかに費用効果が高くなります。
デバイスに対するシスコの制限はかなり恣意的です。これらは、ASAのパフォーマンスの制約とはほとんど関係がなく、より高価なデバイスを使用するように強制するために多くの誤ったバリアを設定することと関係があります。 100 MBのインターフェイスが飽和状態になるまで、5505でパフォーマンスの問題が発生することはないと思います。
VPNトンネルのためだけに5510にアップグレードするのは、やり過ぎです。
ただし、ASA5510以降でのみサポートできる、将来的に必要になる可能性のあるオプションがいくつかあります。
- ステートフルフェイルオーバー(アクティブ/アクティブまたはアクティブ/パッシブ、後者は非常に人気があります)
- 5505の25.000接続と比較して、5510の125.000接続
- ネットワークスループットの3倍。おそらく、ある日、ASAに別のネットワーク/ VLANを追加したいのですが、VLAN内の速度を100mbit/sより少し速くする必要がありますか?私は何度かそのような状況にありました。
- コンテンツセキュリティ、マルウェア対策、ウイルス対策など(SSMモジュール)
- イーサチャネルのサポート-スタックスイッチ(3750など)をバックボーンとして使用している場合に非常に便利です
- デュアルファンによるはるかに優れた冷却。これらが実行されている環境によっては、これは非常に重要になる可能性があります。
価格にはかなりの違いがあることはわかっていますが、これがお役に立てば幸いです。
私は5510にお金を入れたいと思うでしょう。ここでモデルの比較をチェックしてください: http://www.Cisco.com/en/US/products/ps6120/prod_models_comparison.html#~mid-range
モデル間で実際のハードウェアの違いがあることに注意してください。私の5505にはGeode500 MHz CPUが搭載されており、5510にはPentium 4 Celeron 1600 MHzCPUが搭載されています。
20個のアクティブなVPNトンネルはCPUをかなり強くプッシュし、100Mbインターフェイス自体がいっぱいになる前に5505で最大になる可能性があります。トンネルを介して送信するデータの量と、それらが3DESであるかAESであるかによって大きく異なります(AESの方がCPU効率が高くなります)。
機器を交換する手間を気にしないのであれば、5510と言います。しかし、何かを削除することに失敗した場合は、ライセンスのアップグレードを行っても問題ありません。モンキーレンチをアイデアに投げ込むのではありませんが、フェールオーバーの別の可能性を探している場合は、いくつかのCisco2800ルーターを使用してDMVPNを実行できます。動的ルーティング、サイト間(必要な場合)ごとに、2ペニーをドロップするだけ