Migracja urządzeń VPN
Orgranizacja, dla której obecnie pracuję kupiła Cisco ASA 5510 oraz trzy sztuki ASA 5505 żeby zastąpić kilka urządzeń SonicWall używanych do tej pory przez parę lokalizacji zdalnych. Zamierzamy zestawić tunel VPN tak, aby każda z lokalizacji mogła mieć dostęp zarówno do naszych telefonów VoIP w centrali jaki i do serwera terminali (przez zdalny pulpit).Przeprowadziłem kilka pobieżnych testów i wszystkie z nich zakończyły się niestety niepowodzeniem. Jakieś pomysły?
Pierwszą rzeczą, której trzeba się przyjrzeć to licencje firewalli. Cisco posiada kilka różnych poziomów licencyjnych, a terminologia z nimi związana może nie być oczywista. Zakładając, że 5510 to licencja na 10 użytkowników, a 5505 na 5,to jeżeli nawiązany zostanie kanał VPN z urządzenia 5505 do 5510 i wywołana za jego pośrednictwem złożona strona WWW to może się okazać, że "zjedzone" zostały wszystkie licencje na 5510. Przez to właśnie (ze względu na sposób licencjonowania urządzeń Cisco ASA) połączenie VPN nie powiedzie się. Należy więc sprawdzić licencje pomiędzy ASA-mi. Jeżeli w organizacji są 3 urządzenia ASA 5500 z licencjami po 10 użytkowników zainstalowanymi na każdym z nich, to wypadałoby dodać ich sumę (30) do liczby użytkowników w centrali i taką sumaryczną licencję umieścić na ASA 5510. Zakładając więc, że w centrali pracuje 20 użytkowników, trzeba zainstalować licencję dla przynajmniej 50 użytkowników na ASA 5510. Może się też okazać, że konieczne jest dodatkowe zwiększenie licencji na ASA 5510 - należy to przetestować samodzielnie ponieważ dokumentacja niestety nie zawiera odpowiednich informacji.
Po uporaniu się z licencjami kolejnym krokiem powinno być połączenie portów WAN pomiędzy ASA 5510 oraz jednym z urządzeń ASA 5505. Do tego przyda się kabel typu corssover. Można też umieścić switcha pomiędzy firewallami (switch warstwy 3 byłby idealny) lub router z dwoma interfejsami typu Ethernet. Taki zabieg pozwoli na przypisanie dwóch różne adresów z różnych podsieci, w których docelowo mają pracować ASY. Następny etap to zestawienie połączenia site-to-site pomiędzy urządzeniami. Należy dodatkowo upewnić się, że routing został skonfigurowany prawidłowo i że systemy zarówno po jednej, jak i po drugiej stronie łącza są widoczne. To, co zostanie zrobione dalej zależy od tego, w jaki sposób ma funkcjonować połączenie. Jeżeli celem jest "przepuszczanie" przez tunel tylko i wyłącznie ruchu skierowanego do zasobów w centrali, a reszta np. połączenia Internetowe mają wychodzić poprzez lokalne łącza każdego z oddziałów to należy skonfigurować tzw. split-tunneling. Zastosowanie takiej konfiguracji będzie wymagało poniesienia większych nakładów pracy na jej późniejsze utrzymanie - zarządzanie kilkoma zestawami reguł firewall-owych. W zamian jednak odciążone zostanie łącze WAN. Drugą możliwością jest skierowanie całego ruchu z oddziałów do centrali, a stamtąd dopiero do lokalizacji docelowych w tym Internetu. Ta konfiguracja jednak oznacza znaczne obciążenie łącza WAN, ale za to jest mniej uciążliwa w późniejszym utrzymaniu.
Przesiadka z jednego dostawcy na innego powoduje konieczność podjęcia jeszcze innej decyzji. Czy wymieniać od razu wszystkie urządzenia czy też robić to etapami. Konsekwencją pierwszego podejścia jest odcięcie wszystkich użytkowników od zasobów do czasu, kiedy nie zostaną uruchomione nowe urządzenia - to raczej nie spodoba się zarządowi.
Druga jest bezpieczniejsza, ale wymaga uzyskania dodatkowych adresów IP od dostawcy internetowego po to, żeby przez jakiś czas obydwa urządzenia ("stare" i nowe) mogły pracować równolegle. Trzeba będzie także skonfigurować routing tak, aby ruch przechodził przez właściwe urządzenie VPN do czasu zakończenia migracji. Chociaż ta druga opcja wydaje się bardziej uciążliwa, w rezultacie może okazać się znacznie bezpieczniejsza z punktu widzenia utrzymania dostępności do usług - przez co w rezultacie mniej stresująca.
Chociaż powyższe wywody nie wyczerpują w 100% pytania to powinny ułatwić start. Dobrze jest też odwiedzić stronę producenta. Cisco udostępnia szeroką gamę pomocnych dokumentów opisujących szczegółowo wspomniane konfiguracje. Jeżeli podczas testów wszystko zaczyna działać koniecznie trzeba wykonać kopię konfiguracji i przenieść ją poza urządzenia, a następnie wyzerować urządzenie (factory reset), przywrócić konfigurację z kopii i sprawdzić czy wszystko działa. Jeżeli tak to w razie awarii kopia będzie stanowiła dobry punkt wyjścia i podstawę do dalszej diagnostyki. Na koniec pozostaje jeszcze zmiana adresacji IP i wszystko powinno grać.
***
Tekst powstał na podstawie materiałów IDG.
Komentarze (2)
1) Zanim się kupi produkt, należy dowiedzieć się coś o nim - w szczególności wiedzieć jakich się potrzebuje licencji. 2) Asa obsługuje auto MDIX więc żadne kable crossover nie są potrzebne. 3)Dla czterech urządzeń autor proponuje metodę wdrażania nowego rozwiązania jakby robił to dla kilkuset lokalizacji gdzie fizycznie nie da się uruchomić całej sieci w jednym momencie. Inna sprawa że wtedy i tak nie są potrzebne nowe adresy na czas wdrożenia. Czyżby autor nie potrafił dla 4 boxów odtworzyć w labie kompletnego układu połączeń, wykonania konfiguracji, przetestowania i przełączenia urządzeń w jednym momencie we wszystkich lokalizacjach? 4) Konfiguracja w przypadku ASA jak i większości produktów Cisco to plik tekstowy. Popieram robienie backupów nie rozumiem sensu kasowania i odtwarzania konfiguracji - chyba że autor chciał zobaczyć jak taki plik się wgrywa do urządzenia. PS: Artykuł bardzo niskiej jakości, nic nie wnosi wartościowego a jeszcze wprowadza w błędy.
Beznadziejny artykul. Proponuje skorzystac z uslug integratora, a nie zadawac takie pytania. A autorowi artykulu popracowac u integratora
- Skanery WiFi na platformę Android
- Prawo Moore’a zagrożone?
- Bezpieczeństwo WiFi - bezprzewodowe testy penetracyjne
- Wirtualizacja: obsługa SMB na czterech U
- Prawdziwe powody powstania Microsoft Open Technologies
- MDT 2012: Microsoft aktualizuje Deployment Toolkit
- Open source: zmierzch ery GPL? Nie do końca...
- ROVER - prosty sposób na słabość BGP?
- Zaawansowane stacje Wi-Fi Ruckus Wireless
- Rozstanie z Javą nie będzie proste
Reklama
Huawei celuje w rynek biznesowy
Huawei nieustannie rozwija się jako dostawca infrastruktury dla branży telekomunikacyjnej. W tym roku chiński koncern zamierza umocnić swoją pozycję również na rynku rozwiązań Enterprise.
Polecane
Koniec Windows XP początkiem problemów?
Microsoft oficjalnie potwierdził, że za dwa lata definitywnie zakończy się era Windows XP - systemu operacyjnego,...
Spokój i luz administratora
Wymagania wobec pracowników działów IT rosną proporcjonalnie do stopnia rozwoju teleinformatyki. Oczekuje się, że...