Nachfolger der Cisco 2800 Serie für VPN

[v-rtc 92]

Hallo liebes Forum,

 

ist der 2900er Router der Nachfolger für den 2800er und für VPN (Site-to-Site, Easy VPN, etc.) geeignet?

Vielen Dank vorab.

Viele Grüße

Rolf

[Otaku19 33]

klar, aber man ist gut beraten bei einem HW Wechsel genau zu beleuchten welche Funktionen man benötigt. Ich würde normalerweise keinen ISR als VPN Gateway nehmen, eher eine Firewall. Kommt aber auf deien Anforderungen an

[v-rtc 92]

Hallo Otaku19,

 

darf ich fragen warum eher eine Firewall?

Wir haben aktuell gesehen, dass der 2800er Router unter Tag bei ca. 55-70% CPU ist. Daher die Idee mit neuer Hardware. 

Da wir unsere Firewall (ASA 5510) im Context laufen lassen, konnten wir damals dort keine VON Verbindungen unterbringen, daher der 2800er.

 

Grüße

Rolf

[Wordo 11]

ASA ist i.d.R. performanter. Das einzige Argument was für IOS spricht ist die bessere Routingfunktionalität. Mit HW-Beschleunigung bekommste in der 2900er Klasse schon gut 200-600MBit durch (je nach Modell).

[v-rtc 92]

Vielen Dank.

Ob die ASA das alles kann ist eine gute Frage. Muss ich prüfen. Aber dann ist der 2900er nicht ganz falsch.

 

Danke!

[Otaku19 33]

multiple context + vpn geht erst ab ASA OS 9.0. Daher eben der Zusatz "kommt auf deine Anforderungen an"...also benötigst du die routingfeatures des ISR, welche firewall hättest du sonst zur Wahl, was läuft da drauf etc.

[v-rtc 92]

Hallo Ihr zwei,

 

mal kurz einen Überblick:

 

Wir haben als Firewall eine ASA 5510 mit 2 Contexten. Software Stand 7.x (ich weiß!). Das nun mit 9.0 Context + VPN geht wusste ich nicht, danke dafür. In der DMZ haben wir 3 2800er Router für VPN. 2 VPN Router im HSRP Modus (entstand damals) für Leitung A und der 3 2800er Router für Leitung B (kam später dazu).

Auf den Routern sind Site-to-Site Tunnel, VPN Gruppen (Easy VPN), usw. Als eigene Gegenstellen haben wir den Cisco Client, Cisco 8xx Router und noch andere Geräte von den externen. Mit diesen zwei Leitungen können wir einen Failover (manuell) machen.

 

Beispiel:

Filiale A ist auf der Leitung A (50MBit). Dann fällt Leitung A aus, schwenkt die Filiale A durch das Backup Gateway auf Leitung B (10 MBit). IP technisch war Filiale A vorher über 10.10.41.x erreichbar, nun drehen wir auf dem VPN Router (Leitung B) das Netz auf 10.10.141.x (NAT) um. Schafft das die ASA (vermute mal schon)?

 

Grund für neue Hardware ist, dass unser Router (fast alle Leitungen aktiv) zwischen 60-70% (CPU) ausgelastet ist. Zudem bekommen wir öfters zu hören "Leitung langsam". Was uns selbst schon aufgefallen ist, sind "ping" Unterbrechungen zu Außenstellen. Vielleicht ein Last Problem? Bisher kamen wir nie dahinter. Zwischen Firewall - VPN - Außenwelt sind jeweils 100MBit Switchports noch.

 

Vielen Dank Euch.

 

Grüße

Rolf
 

[Otaku19 33]

VPN macht sehr schnell Probleme wenn man sich zb die encrpytiondomains nicht ordentlich überlegt, bei etlichen SAs geht auch eine größere ASA schnell an ihre Grenzen, da muss dann nachher nicht mal viel traffic drüberlaufen.

[v-rtc 92]

Das ist ein interessanter Ansatz... Gibt es dazu Info Material oder eine Firma die Du empfehlen kannst?

 

Wir hatten hier schon mal eine, die sagte alles "OK".

 

Grüße

Rolf

[Otaku19 33]

nicht wirklich, sind Erfahrungswerte. So eine die sich ins Gedächtnis einbrennt, den Unfug hab ich nämlich selber konfiguriert :D "einige" hostbasierte Einträge in der crypto acl haben dazu geführt das es oft Performanceprobleme gab. Daher, die SAs möglichst gut zusammenfassen um so wenige wie möglich zu erhalten,

 

Performanceprobleme können aber leider noch zig andere Gründe haben, da kommt man um ein ordentliches debug idealerweise auf beiden Seiten nicht herum, das kann mitunter sehr mühsam werden.

[Wordo 11]

Falls du 2 Contexte nur wegen Active/Active am laufen hast würde ich fast behaupten, dass du alle Router rausschmeissen kannst und das komplette Szenario mit ner 5515X im Active/Stanby hinkriegst :)

[v-rtc 92]

Hallo Wordo,

 

ja wir haben 2 Contexte im Active/Active Modus. Danke für den Tipp!

 

Grüße

Rolf