Хотим IPSEC/SSL VPN концентратор для удаленных пользователей и шифрованных каналов до филиалов. Две Cisco ASA 5525X подойдут для этих целей. Мы получим резервирование и запас производительности. Основные требования к функциональности такие:
— и что бы оборудование работало в кластере;
— по дополнительной функциональности нужна поддержка SSL VPN (Cisco AnyConnect Secure Mobility) на 100 юзеров
— нужна сервисная поддержка, софтварная что бы в TAC писать и хардварная на замену (next day подойдет).
Решение:
| Line Number |
Item Name | Description | ListPrice |
| Products | |||
| 1.0 | ASA5525-SSD120-K8 | NGFW ASA 5525-X with SW 8GE Data 1GE Mgmt AC DES SSD 120G | 9 595,00 |
| 1.1 | SF-ASA-X-9.1-K8 | ASA 9.1 Software image for ASA 5500-X Series5585-X & ASA-SM | 0,00 |
| 1.2 | SF-ASA-CX-9.1-K8 | ASA 5500 Series CX Software v9.1 | 0,00 |
| 1.3 | ASA5500-SSL-100 | ASA 5500 SSL VPN 100 Premium User License | 7 995,00 |
| 1.4 | ASA-AC-M-5525 | AnyConnect Mobile — ASA 5525-X (req. Essentials or Premium) | 250,00 |
| 1.5 | CAB-ACE | AC Power Cord (Europe) C13 CEE 7 1.5M | 0,00 |
| 1.6 | ASA5500-ENCR-K8 | ASA 5500 Base Encryption Level (DES) | 0,00 |
| 1.7 | ASA5500X-SSD120INC | ASA 5512-X through 5555-X 120GB MLC SED SSD (Incl.) | 0,00 |
| 1.8 | ASA5525-MB | ASA 5525 IPS Part Number with which PCB Serial is associated | 0,00 |
| 2.0 | ASA5525-SSD120-K8 | NGFW ASA 5525-X with SW 8GE Data 1GE Mgmt AC DES SSD 120G | 9 595,00 |
| 2.1 | SF-ASA-X-9.1-K8 | ASA 9.1 Software image for ASA 5500-X Series5585-X & ASA-SM | 0,00 |
| 2.2 | SF-ASA-CX-9.1-K8 | ASA 5500 Series CX Software v9.1 | 0,00 |
| 2.3 | CAB-ACE | AC Power Cord (Europe) C13 CEE 7 1.5M | 0,00 |
| 2.4 | ASA5500-ENCR-K8 | ASA 5500 Base Encryption Level (DES) | 0,00 |
| 2.5 | ASA5500X-SSD120INC | ASA 5512-X through 5555-X 120GB MLC SED SSD (Incl.) | 0,00 |
| 2.6 | ASA5525-MB | ASA 5525 IPS Part Number with which PCB Serial is associated | 0,00 |
| Services | |||
| 1.0.1 | CON-SNT-A25SDK8 | SMARTNET 8X5XNBD ASA 5525-X with SW | 1 323,65 |
| 2.0.1 | CON-SNT-A25SDK8 | SMARTNET 8X5XNBD ASA 5525-X with SW | 1 323,65 |
total:
| 30 082,30 |
Спецификация приведена на софт К8 (всвязи с проблемами ввоза K9 в Россию официальным путем), проапгрейдиться до K9(3DES/AES) мы сможем сами через сайт циски.
Что касается кластера:
1. EtherChannel кластер — будет доступен с версии 9.2.1 (в конце ноября). В этом режиме SSL VPN будет работать только на Master устройстве. В случае отказа Master ASA на оставшуюся в кластере Slave ASA SSL не переключится. Для этого режима требуется отдельная лицензия (цена $0.0) и соответствующая версия ПО — все это можно будет получить в рамках сервисного контракта.
2. Active/Active кластер — в этом режиме SSL VPN не поддерживается. Трафик обрабатывается двумя устройствами одновременно, распределение исходящего трафика осуществляется средствами коммутаторов/маршрутизаторов (обычно Policy-based routing или аналогичным функционалом).
3. Active/Standby кластер — в этом режиме SSL VPN будет работать. Трафик обрабатывается только одним устройством ASA, второе не работает до сбоя первого.
4. VPN Load Balancing кластер — в этом режиме кластеризуется только VPN функционал, остальные функции FW работают как на двух независимых устройствах.