Картинка

БЛОГ про

все цікаве у світі телекомунікацій

Що поставити на периметр мережі: Cisco маршрутизатор або Cisco ASA?

2016-05-31
Автор: Телесфера

asa_vs_router

Періодично при проектуванні комп'ютерних мереж на базі обладнання Cisco виникає питання, що поставити на периметр мережі: маршрутизатор або міжмережевий екран Adaptive Security Appliance (ASA)? Далеко не завжди можна однозначно відповісти на дане питання. Хотів би в черговий раз зробити спробу і провести невелике порівняння цих двох пристроїв. Ви помітите, що вже багато разів це обговорювали. Згоден. Але пристрої постійно розвиваються: з'являються нові моделі, додається функціонал. Тому іноді варто відійти подалі і ще раз подивитися з боку на дане питання. Раптом щось змінилося? 

Всі ми знаємо, що Cisco ASA є захисним спорядженням і зазвичай його ім'я згадується разом з абревіатурою МЕ (міжмережевий екран). Маршрутизатор ж Cisco є в першу чергу маршрутизатором. О, як сказав. Власне, ось і відмінність.Але все не так просто: Cisco ASA вміє маршрутизировать трафік (навіть підтримує протоколи динамічної маршрутизації), а маршрутизатор Cisco може виконувати функції МЕ (підтримується дві технології - CBAC і ZFW). Відчуваю, як в сторону автора полетіли фрази: так, капітан очевидність, ти маєш рацію. Тому пропоную пильніше поглянути на ці пристрої з метою визначення, що в них спільного, а що різного.  


Історично склалося, що ASA має переваги перед маршрутизатором тільки в ряді технологій, в першу чергу пов'язаних з безпекою (класичний міжмережевий екран і VPN концентратор для підключення віддалених користувачів). У всьому іншому ASA виступає в основному в ролі наздоганяючого. Це обумовлено тим, що ASA позиціонується як засіб безпеки, а маршрутизатор Cisco - як універсальний швейцарський ніж (на його базі ми можемо запустити і функції шифрування, і голосові функції, і оптимізувати трафік і ін.). Тому питання вибору пристрою виникає тільки в розрізі питання забезпечення мережевої безпеки. 

На перший погляд, для реалізації такого завдання, як забезпечення захищеного підключення офісу до мережі інтернет, обидва пристрої надають все необхідне: 

  • є маршрутизація (статична, динамічна, PBR), а також функція трансляції адрес NAT;
  • можна завести два і більше провайдера (підтримується IP SLA, BGP);
  • присутні функції міжмережевого екранування.


Якщо необхідно, на обох пристроях можна підняти VPN (site-to-site та remote-access). Скрізь є підтримка Netflow, для отримання статистики по трафіку. Якщо потрібні функції NG FW (МЕ нового покоління) або NG IPS (система запобігання вторгнень нового покоління) як на ASA, так і на маршрутизаторі ми можемо це зробити. Таким чином, в цілому обидва пристрої мають відносно подібний функціонал (ще раз зазначу, що мова йде тільки про технології маршрутизації трафіку і безпеки). Більш того, періодично функціонал одного з пристроїв плавно перетікає в інше. Це привносить додаткові труднощі з вибором рішення. Наприклад, розширені можливості SSL VPN завжди були прерогативою ASA. Але з часом багато функцій SSL VPN з'явилися і на маршрутизаторі (режим clientless, smart tunnels та ін.). Можливість захоплення пакетів на інтерфейсах (packet capture) також довгий час підтримувалася тільки на ASA. Схожа ситуація і з використанням різних конструкцій при налаштуванні списків доступу ACL. Йдеться про об'єкти (Object Groups), що дозволяють групувати IP-адреси / мережі, сервіси в мережі. Все це плавно перейшло в ОС маршрутизатора. Аналогічно ситуація складається в зворотну сторону: на ASA з'явилася підтримка протоколу BGP, маршрутизація трафіку на підставі політик - Policy Base Routing тощо. Тому вибір на користь одного або іншого рішення далеко не завжди зумовлений. Як завжди диявол криється в деталях. 

Так як ASA є більш вузькопрофільним рішенням, спробуємо провести наше порівняння щодо неї. ASA позиціонується як пристрій безпеки, тому багато функцій безпеки працюють вже "з коробки". За замовчуванням в Cisco ASA "загвинчені все гайки", в той час як на маршрутизаторі функції безпеки потрібно включати примусово (налаштовувати з нуля МЕ, відключати зайві сервіси та ін.). Давайте пройдемося по основних функцій ASA: 

  • Функції трансляції адрес NAT. На ASA присутні всі можливі варіації (статичний і динамічний NAT, PAT), в тому числі подвійний (twice NAT). Є можливість впливати на порядок застосування правил NAT. У цьому плані ASA перевершує маршрутизатор. 
  • Класичний міжмережевий екран з глибоким аналізом вмісту протоколів, а також функцією виявлення загроз (сканування і DoS атак). Як міжмережевий екран ASA здатна працювати в двох режимах: маршрутизациї і прозорому (Transparent Firewall). Також ASA може працювати в режимі множинних контекстів (віртуальні міжмережеві екрани, multiple context) або в режимі єдиного контексту. Основні відмінності від маршрутизатора: в ASA базові функції МЕ включені за замовчуванням, МЕ є більш функціональним (наприклад, Identity Firewall дає можливість надавати доступ на підставі імен користувачів або груп в MS Active Directory), при цьому його конфігурація більш інтуїтивно зрозуміло.Маршрутизатор намагається не відставати: забезпечує роботу МЕ також в двох режимах (маршрутизациї і прозорому), а замість контекстів, підтримує функціонал Virtual Routing and Forwarding (VRF). Правда, налаштовуючи Zone-Based Policy Firewall (ZFW) на маршрутизаторі, можна легко заплутатися зі створенням політик під кожну пару інтерфейсів, налаштуванням класів, списків доступу та їх зв'язкою в конфігурації. Потрібно також не забути про правила self-зони і взаємодії ZFW з remote-access VPN (тут з'являються virtual template інтерфейси для можливості прикріплення зони безпеки). Загалом, є де помилитися розвернутися. 
  • Брандмауер нового покоління (NG FW) Cisco Firepower - безпека з урахуванням контексту, контроль використання додатків для користувачів і груп, WEB фільтр з перевіркою репутації, ретроспективний аналіз файлів та ін. Для запуску сервісів Firepower на ASA потрібна наявність SSD диска (нові моделі завжди йдуть з вбудованим SSD диском: ASA 5506-X, 5508-X і 5516-X). Сервіси Firepower до недавнього часу не були доступні на маршрутизаторах. Однак тепер їх можливо запустити на універсальному блейд-сервері (наприклад, UCS E-Series Servers або Cisco UCS E-Series Network Compute Engines), який може бути встановлений безпосередньо в маршрутизатор. При цьому необхідно враховувати, що отримати на базі маршрутизатора щодо бюджетний варіант не вийде: потрібно мінімум 1921 і блейд-сервер UCS EN120E. 

usc_module 

  • Система запобігання вторгнень нового покоління (NG IPS) Cisco Firepower. Як ми пам'ятаємо, раніше функція IPS на ASA була реалізована в якості окремого модуля, а далі стала доступна у вигляді віртуального леза (а ля віртуальної машини). Але після придбання компанії SourceFire традиційний IPS був відправлений в лету і на його зміну прийшов NG IPS Cisco Firepower. З точки зору вимог по залізу, вони аналогічні рішення NG FW. Відзначимо: на одному пристрої у нас є можливість запустити одночасно сервіси NG IPS і NG FW. 
  • VPN для підключення віддалених працівників - на ASA існує кілька видів: 

    • AnyConnect VPN Client - тунелі SSL або IPSec IKEv2 з використанням AnyConnect Secure Mobility Client.Підтримується більшість сучасних платформ ПК і мобільних пристроїв. Опціонально інтегрується з сервісами та послугами Cloud Web Security, Host Scan, 802.1x. 
    • Бескліентскій (Clientless) SSL VPN - доступ до додатків здійснюється через web-портал, або забезпечується кидок портів через тонкий клієнт (Java-аплети / Active-X скрипт) і SSL VPN Smart Tunnels. 
    • Remote Access IPsec VPN і L2TP over IPsec (IKEv1) - в якості клієнта може виступати будь-який IPSec або L2TP-клієнт (наприклад, Microsoft Windows). 
    • Easy VPN - тунелі IPSec IKEv1. Раніше дане рішення активно використовувалося для підключення віддалених користувачів через Cisco VPN Client. Зараз Cisco VPN Client помер, і залишився тільки режим, при якому в якості віддаленого клієнта виступає апаратний пристрій.


Маршрутизатор поступається по функціональності в плані роботи з AnyConnect VPN Client і Clientless SSL VPN.Наприклад, не підтримуються модуль Host Scan - оцінка стані підключається клієнта (версія ОС, антивірус, клієнтський МЕ і ін.). Ні динамічних політик доступу (Dynamic Access Policies - DAP). DAP дозволяють нам застосовувати різні політики доступу (наприклад, надати доступ тільки до певних ресурсів) на підставі авторизаційних даних або даних, отриманих при оцінці стані підключається клієнта. Не підтримуються Java-аплети / Active-X скрипти в режимі Clientless SSL VPN та ін. Відзначимо, що на маршрутизаторах Cisco 4000 на даний момент SSL VPN взагалі не представлений. Правда є підтримка AnyConnect IKEv2. 

  • Відмовостійкість та кластеризація. Резервування ASA забезпечується за рахунок функцій відмовостійкості (failover) або кластеризації (clustering). 

    У режимі відмовостійкості два пристрої об'єднуються в одне логічне. Дані з одного пристрою реплицируются на друге для забезпечення збереження стану всіх сесії при відмові одного з них. Доступні два режими роботи: active / standby (з єдиним контекстом) і active / active (в режимі множинних контекстів). Режим відмовостійкості зручний тим, що після об'єднання двох пристроїв, необхідно налаштовувати тільки один пристрій - активне. 

    Другий режим - кластеризація (clustering), дозволяє об'єднати в один логічний пристрій до 16 пристроїв ASA.Необхідно зробити застереження, що в кластер з 16 пристроїв ми можемо об'єднати на даний момент тільки ASA 5585-X. Для інших моделей в кластер об'єднуються тільки два пристрої. Кластеризація забезпечує резервування пристроїв, єдину точку управління (всі пристрої об'єднуються в одне логічне) і підвищення продуктивності (мова йде про те, що ми отримуємо одне віртуальне пристрій з більшою продуктивністю ніж одна фізична пристрій). 

    А що з маршрутизаторами? Там немає функцій failover і clustering. Відмовостійкість забезпечується відповідною настроюванням кожного протоколу і функції. Для маршрутизації трафіку налаштування будуть свої, для МЕ свої, а для VPN - свої. Failover на ASA в цьому плані більш зручний: об'єднав пристрою і далі все налаштував з однієї консолі, як ніби у нас воно одне. З маршрутизатором так не вийде. 
  • Маршрутизація - статична, динамічна (EIGRP, OSPF, BGP), маршрутизація трафіку на підставі політик (PBR), маршрутизація multicast-трафіку (PIM). У цьому плані ASA зробила великий крок вперед. Не так давно BGP і PBR були прерогативою тільки маршрутизаторів. Але в плані маршрутизації є певні «але». По-перше, не всі працює так як треба (періодично проскакують невеликі глюки), плюс по кожному протолку (EIGRP / OSPF / BGP) присутні обмеження і нюанси. Краще зайвий раз зазирнути в документацію. Наприклад, ASA при роботі з BGP не розрахована на обробку повної таблиці маршрутизації інтернет (full view). По-друге, на ASA немає логічних тунельних інтерфейсів GRE / VTI. А значить, будуть труднощі з реалізацією тунелів через публічні мережі. Безумовно, маршрутизатор в даному аспекті істотно перевершує ASA за функціональністю. Хто б, власне, сумнівався. Варто також відзначити, що маршрутизація трафіку на ASA в деяких аспектах відрізняється від аналогічного процесу на маршрутизаторі. У чому саме, розглянемо далі. 
  • Site-to-site VPN. ASA підтримує тільки чистий IPSec. Можна його налаштувати спільно з протоколом L2TP. Але великих плюсів це нам не дає. Так як немає GRE-інтерфейсів, зв'язку IPSec + GRE ми теж не зможемо реалізувати. У цьому плані маршрутизатор істотно функціональніша: IPSec + GRE, VTI, DMVPN, GET VPN, FlexVPN тощо. Окреме питання - забезпечення отказоустойчивого підключення по VPN. Так як ми маємо чистий IPSec, в нашому розпорядженні є тільки можливість вказувати кілька бенкетів в крипто-карті і використовувати зв'язку OSPF + IPSec. При вказівці декількох бенкетів в крипто-карті на ASA ми відразу стикаємося з тим, що там немає preemption (тобто після відновлення основного бенкету, перемикання VPN-з'єднання на нього не відбувається). А значить, не завжди можна чітко визначити, через яких провайдерів зараз працює наш VPN (посилюється ця ситуація, коли у нас по кілька провайдерів з кожного боку). Звичайно, цю проблему можна обійти, але не завжди елегантним шляхом (наприклад, примусово розірвавши IPSec-з'єднання за допомогою Embedded Event Manager). Робота зв'язки OSPF + IPSec теж має свою специфіку: по обидва боки тунелю повинні стояти тільки пристрої ASA. Зробити зв'язку ASA-маршрутизатор не вийде. На додаток, з сайту вендора пропав документ, що описує роботу в такому режимі. Це наштовхує на певні думки. Ех, як же не вистачає GRE-тунелів на ASA ... 
  • Якість обслуговування (QoS). Налаштування ASA в цьому плані досить обмежені. Фактично ми можемо зробити кілька черг і до кожної черги застосувати або властивість пріоритетною, або призначити обмежувач (policer). Пакети в пріоритетною черзі будуть відправлятися пристроєм в мережу в першу чергу. Обмежувач (policer) дозволяє для черги задати максимальну швидкість, з якою будуть передаватися пакети з неї. У плані QoS маршрутизатор істотніше функціональніша. 
  • Управління. Командний рядок ASA відрізняється від командного рядка маршрутизатора. Відмінність не фатальне, але є. Відрізняється особливо конфігурація деяких функцій, наприклад, NAT. 

    У ASA є дуже непоганий WEB-інтерфейс - Adaptive Security Device Manager (ASDM). Він повнофункціональний і ряд функцій рекомендується налаштовувати саме через нього (наприклад, SSL VPN), так як є досить зручні помічники (wizard). Як ми знаємо, WEB-інтерфейс маршрутизаторів (Cisco Configuration Professional) залишає бажати кращого. 

    На ASA не так давно з'явилася підтримка Embedded Event Manager, що дозволяє отримати часткову автоматизацію. На маршрутизаторі цей функціонал присутній досить давно.

wizards 


На цьому основна функціональність ASA практично вичерпується. Хотів би ще відзначити на ASA досить зручну утиліту - packet-tracer. Вона дозволяє провести первинну діагностику проходження пакета через пристрій. Packet-tracer виводить інформацію по кожній стадії обробки пакета всередині пристрою. Припускаю, що відсутність packet-tracer на маршрутизаторі обумовлено тим, що маршрутизатор істотно функціональніша. 

tracer asdm 


Торкнемося трішки архітектурних особливостей програмно-апаратної частин. Відразу зауважимо, що програмний код ASA і маршрутизатора абсолютно різний. Тому деякі процеси реалізовані по-різному. 

Наприклад, маршрутизація. На ASA немає звичного для маршрутизаторів Cisco Express Forwarding (CEF). Використовується своя власна логіка: маршрут визначається для сесії один раз при її встановленні (чимось нагадує fast-switching). Можна сказати, що маршрутизатор оперує пакетами, а ASA - сесіями. На маршрутизацію в ASA може впливати NAT (правильніше сказати: NAT в ряді випадків визначає, куди будуть відправлені пакети тій чи іншій сесії). На маршрутизаторах такого немає, всім «рулить» таблиця маршрутизації або PBR. При перемиканні маршрутизації з одного інтерфейсу на інший на ASA далеко не завжди сесія буде також перекинута (вона може залишитися працювати на старому інтерфейсі). ASA для кожної сесії запам'ятовує не тільки вихідний інтерфейс (тобто куди слати), але і входить (звідки спочатку прийшли пакети).Ця особливість роботи найбільш яскраво проявляється, коли у нас є кілька провайдерів (підключених через статичну маршрутизацію) і на них є якісь публікації. У разі ASA відповідні пакети завжди підуть через того провайдера, через якого прийшов запит. Тобто всі публікації будуть робочими. У разі маршрутизатора відповідні пакети будуть йти через провайдера за замовчуванням. Тобто тільки на одному провайдеру працюватимуть публікації (таку поведінку можна обійти за допомогою танців з бубном: VRF + BGP). 

Давайте тепер подивимося на продуктивність. Звичайно, порівнювати пристрої по даному параметру дуже непросто, тому що методика вимірів для кожного типу пристроїв може відрізнятися, та й департамент маркетингу не дрімає. Плюс продуктивність залежить від сервісів, які запущені на пристрої. Але все-таки спробуємо відзначити кілька моментів. Раніше (для старих моделей ISR і ISR G2) по співвідношенню ціна / продуктивність маршрутизатори поступалися (як по цифрам, так і з досвіду). Наприклад, при подібній вартості ISR G2 2921-SEC і ASA5512-X перший пристрій забезпечувало 50 Мбіт / с (саме на цю цифру рекомендує орієнтуватися вендор), а друге в гіршому випадку 100 Мбіт / с (Application Control, пакети HTTP 440 байт). Може бути, не зовсім точне порівняння, але для грубої оцінки, сподіваюся, підійде. За одні й ті ж гроші найчастіше ASA нам давала більшу продуктивність. Але з появою маршрутизаторів 4000 картина змінилася. Тепер потрібно дивитися кожен окремий випадок. Пов'язано це з тим, що на маршрутизаторах 4000 продуктивність не так сильно деградує при включенні сервісів. 

Висновки 

Пора підвести підсумки і відповісти на поставлене в заголовку статті питання.Існують рекомендації вендора на це рахунок, оформлені у вигляді різних дизайнів в рамках архітектури Cisco SAFE . Але далеко не завжди ми будуємо якісь складні мережі, де присутні всі види пристроїв, що виконують найбільш підходящі для них функції. Наприклад, в якості пристрою МЕ ми ставимо ASA з сервісами Firepower, а для організації підключення до WAN-каналам - маршрутизатори. Часто бувають ситуації, коли потрібно поставити щось одне (причина може бути сама банальна - бюджет). І ось тут нам і доводиться замислюватися, що ж вибрати. Випадок 1. Відносно невелика компанія з одним офісом. Потрібно забезпечити захищений доступ в Інтернет (використовується один або два провайдера).

Small Net 


У даній ситуації рішення ASA може виглядати більш цікавим з наступних причин: 

  • функціонал ASA достатній для реалізації поставленого завдання;
  • на базі ASA можна запустити сервіси Firepower для отримання функцій NG FW і NG IPS (сукупна вартість буде нижче, ніж у разі використання зв'язки маршрутизатор + модуль + сервіси Firepower);
  • якщо необхідно забезпечити підключення віддалених користувачів до корпоративної мережі, ASA надасть найбільш широкі можливості;
  • в ряді випадків ми отримаємо більшу продуктивність пристрою за ті ж гроші.



Випадок 2. Є центральний і віддалені офіс (и). Що поставити в віддалений офіс?

Big Net 


Думаю, багатьом уже зрозуміло, що site-to-site VPN не найсильніша сторона ASA. Якщо у нас багато офісів, кілька провайдерів і потрібен full-mesh (пряма зв'язність всіх офісів), краще для цього завдання використовувати маршрутизатори.Одна тільки технологія DMVPN дозволить зняти більшу частину головного болю. У центральному офісі в цьому випадку також повинен стояти маршрутизатор. Якщо у нас всюди один провайдер і офісів не так і багато, ASA цілком підійде. Більш того, рішення може вийти дешевше аналогічного на базі маршрутизаторів. Але не варто забувати, що сьогодні провайдер один, а завтра два, та й компанія може трішки підрости. Безумовно, на ASA в віддаленому офісі можна налаштувати резервний VPN до центрального офісу, використовуючи в центрі двох провайдерів. Просто дуже багато «але», які порядком можуть зіпсувати репутацію такого рішення. Їх, звичайно, вендор намагається прибрати, однак поки ці «але» доводиться брати до уваги. Підсумуємо: ASA прекрасно підходить для таких завдань, як межсетевое екранування і remote-access VPN.Якщо ми можемо собі дозволити поставити цей пристрій для вирішення тільки цих питань, варто так і зробити. Якщо ж необхідно в одній «коробці» отримати суміш функцій, можливо, варто придивитися до маршрутизатора. Якщо у Вас є свої думки з приводу питання в заголовку статті, ласкаво просимо в коментарі.


Про компанію Телесфера Інтеграція.

Телесфера Інтеграція заснована в 2012 році та являється інтегратором новітніх технологічних рішень для бізнесу.  Ми розробляємо рішення, що роблять Ваш бізнес успішним.

Основні напрямки роботи компанії:

  • Побудова локальних обчислювальних мереж;
  • Налаштування мережевого обладнання передових виробників (Cisco Systems, Aruba Networks та інших);
  • Продаж телекомунікаційного обладнання;
  • Аудит локальних обчислювальних мереж;

e-mail: office@telesphera.net
Телефон: (093) 198-11-82

КОММЕНТАРІ ДО СТАТТІ

Налаштування QoS на пограничному маршрутизаторі Cisco

Налаштування QoS на пограничному маршрутизаторі Cisco
cisco,router,Налаштування,QoS,Налаштування Cisco

Пограничний маршрутизатор в мережі офісу це точка, де вирішується доля всього мережевого трафіку, що прямує в Інтернет. Саме пограничний маршрутизатор вирішує, який трафік надіслати без затримок, а який притримати і пропустити потім.

Чотири причини замінити брандмауер вашої філії удосконаленою захищеною SD-WAN

Чотири причини замінити брандмауер вашої філії удосконаленою захищеною SD-WAN
Aruba Networks,Блог Телесфера,Налаштування Aruba Instant,Налаштування Aruba

Був час, коли рішення SD-WAN були орієнтовані лише на віртуалізацію WAN без особливих міркувань безпеки. Щоб заповнити цю прогалину в безпеці, з'явилися передові безпечні рішення SD-WAN, які включають найвищі можливості захисту від загроз. Фактично розширені функції безпеки, які тепер підтримуються на передових платформах SD-WAN, дозволяють клієнтам повністю відмовитися від виділених міжмережевих екранів філій і ще більше спростити інфраструктуру філій WAN.

Безкомпромісна SASE: Aruba Secure SD-WAN і Netskope SSE

Безкомпромісна SASE: Aruba Secure SD-WAN і Netskope SSE
Aruba Networks,Блог Телесфера,Налаштування Aruba

Програми SaaS, робочі навантаження IaaS, розповсюдження пристроїв IoT і гібридна робоча сила продовжують спонукати підприємства переглядати свої глобальні мережі та архітектури безпеки. Традиційні технології WAN, які базувалися на жорсткій архітектурі WAN, орієнтованій на маршрутизатор, повільно реагували на потреби бізнесу, пропонували непостійну якість роботи та були складними в управлінні. SD-WAN забезпечує кращу та стабільнішу продуктивність хмарних додатків, консолідує функціональні можливості глобальної мережі та підтримує нульову довіру та структуру SASE. Минулого року IDC дослідила Північну Америку та виявила, що 72% підприємств планують перейти на SD-WAN у 2021–2023 роках (1).