Jump to content

Nachfolger der Cisco 2800 Serie für VPN


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Ihr zwei,

 

mal kurz einen Überblick:

 

Wir haben als Firewall eine ASA 5510 mit 2 Contexten. Software Stand 7.x (ich weiß!). Das nun mit 9.0 Context + VPN geht wusste ich nicht, danke dafür. In der DMZ haben wir 3 2800er Router für VPN. 2 VPN Router im HSRP Modus (entstand damals) für Leitung A und der 3 2800er Router für Leitung B (kam später dazu).

Auf den Routern sind Site-to-Site Tunnel, VPN Gruppen (Easy VPN), usw. Als eigene Gegenstellen haben wir den Cisco Client, Cisco 8xx Router und noch andere Geräte von den externen. Mit diesen zwei Leitungen können wir einen Failover (manuell) machen.

 

Beispiel:

Filiale A ist auf der Leitung A (50MBit). Dann fällt Leitung A aus, schwenkt die Filiale A durch das Backup Gateway auf Leitung B (10 MBit). IP technisch war Filiale A vorher über 10.10.41.x erreichbar, nun drehen wir auf dem VPN Router (Leitung B) das Netz auf 10.10.141.x (NAT) um. Schafft das die ASA (vermute mal schon)?

 

Grund für neue Hardware ist, dass unser Router (fast alle Leitungen aktiv) zwischen 60-70% (CPU) ausgelastet ist. Zudem bekommen wir öfters zu hören "Leitung langsam". Was uns selbst schon aufgefallen ist, sind "ping" Unterbrechungen zu Außenstellen. Vielleicht ein Last Problem? Bisher kamen wir nie dahinter. Zwischen Firewall - VPN - Außenwelt sind jeweils 100MBit Switchports noch.

 

Vielen Dank Euch.

 

Grüße


Rolf
 

Link zu diesem Kommentar

nicht wirklich, sind Erfahrungswerte. So eine die sich ins Gedächtnis einbrennt, den Unfug hab ich nämlich selber konfiguriert :D "einige" hostbasierte Einträge in der crypto acl haben dazu geführt das es oft Performanceprobleme gab. Daher, die SAs möglichst gut zusammenfassen um so wenige wie möglich zu erhalten,

 

Performanceprobleme können aber leider noch zig andere Gründe haben, da kommt man um ein ordentliches debug idealerweise auf beiden Seiten nicht herum, das kann mitunter sehr mühsam werden.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...