В чем отличия между Cisco ASA и Cisco ISR и как выбрать устройство для вашей сети

• 25.07.2016
• 9436

Автор
Сергей Калашников, CCIE
Технический директор

На смену решению Cisco ASA пришли устройства Cisco Firepower. Более подробно о решениях Firepower можно почитать у нас в FAQ или посетить Демо-стенд.

В целом, большинство используемых заказчиками протоколов и технологий представлены как на устройствах безопасности Cisco ASA, так и на маршрутизаторах, например:

1. NAT
2. Межсетевой экран
3. IPS
4. Site-to-site VPN
5. Remote Access VPN

Однако, Cisco ASA позиционируется как устройство безопасности. Поэтому основные ее функции – межсетевой экран, IPS и VPN концентратор для удаленных пользователей в деталях превосходят аналогичный функционал на маршрутизаторе. Многие функции безопасности работают уже “из коробки”. По умолчанию в Cisco ASA “завинчены все гайки”, в то время как на маршрутизаторе функции безопасности требуется принудительно включать. Рассмотрим, что она умеет очень хорошо, а где имеются ограничения:

1. NAT. Во всех возможных вариациях, в том числе двойной (twice NAT).
2. Межсетевой экран, с глубоким анализом содержимого протоколов.
   Как межсетевой экран ASA способна работать в двух режимах: маршрутизируемом и прозрачном (Transparent Firewall). Также ASA может работать в режиме множественных контекстов (виртуальные межсетевые экраны, multiple context), либо в режиме единственного контекста. В режиме множественных контекстов и/или прозрачном режиме накладываются свои ограничения на доступный функционал в зависимости от версии операционной системы. Например, в режиме множественных контекстов невозможна работа remote access VPN.
3. Identity Firewall (IDFW), TrustSec. Разрешение доступа к ресурсам на основании меток пользовательских групп из LDAP.
4. IPS – система предотвращения вторжений. В новой линейке ASA 5500-X нет необходимости устанавливать аппаратный модуль, требуется лишь приобрести лицензию.
5. ASA CX – безопасность с учетом контекста, контроль использования приложений для пользователей и групп, WEB фильтр с проверкой репутации. Для старшей модели в линейке ASA 5585-X нужно докупить блейд-модуль SSP-10/20, для других моделей серии ASA 5500-X - SSD диск.
6. Remote Access VPN – существует 3 вида.
   • Туннели SSL/IPSec IKEv2 с использованием AnyConnect Secure Mobility Client. Поддерживается большинство современных платформ ПК и мобильных устройств. Опционально интегрируется с сервисами и услугами Cisco Secure Desktop, Cisco Cloud Web Security (бывший ScanSafe), 802.1x.
   • Бесклиентский (Clientless) SSL VPN - необходимые приложения работают в web-портале.
   • Тонкий клиент в web-браузере для проброса портов к установленным приложениям. В качестве тонкого клиента выступает MS Active-X скрипт, либо Java-плагин, устанавливаемый в веб-браузере.
7. Site-to-site IPSec VPN.
8. Маршрутизация – статическая, EIGRP, OSPF. Поскольку в ASA нет аналога VTI интерфейсов, как в Cisco ISR, имеется ограничение в количестве соседей на IPSec туннелях. Для каждого внешнего интерфейса может быть не более одного соседа по динамической маршрутизации, если связь между ними идет через IPSec.
9. Отказоустойчивость и кластеризация Резервирование Failover работает в режиме standby/active с единственным контекстом и в режиме active/active в режиме множественных контекстов. Возможна работа в режиме stateful – с сохранением состояния текущих подключений при переключении на резервную ASA. Также можно настроить failover между двумя линками на одном устройстве. В сетях с высокими требованиями к производительности МСЭ можно объединять до 8ми устройств Cisco ASA 5580 or 5585-X в кластер для балансировки нагрузки с реальной производительностью 128 Гбит/с (320 Гбит/с максимум). Отказоустойчивость при этом также обеспечивается.
10. QoS, Нет поддержки классификации QoS с помощью NBAR. Шейпинг только для default class.

Часто этого функционала оказывается достаточно и необходимости устанавливать маршрутизатор нет. Однако есть ряд функций, доступных только для маршрутизаторов:

1. Интеллектуальная маршрутизация и любая балансировка трафика: PBR, round-robin, OER (PfR)
2. DMVPN
3. GRE туннели
4. VRF
5. BGP
6. MPLS
7. GETVPN
8. Различные сервисы: IVR, WAAS, Gatekeeper, CUBE, WLAN Controller

Ниже приведено сравнение по цене к производительности. За опорные приняты максимальные значения производительности межсетевого экрана и IPSec.

График цены/производительности для межсетевого экрана:

Для ASA на оси стоимости – базовая стоимость платформы. Для маршрутизатора – стоимость SEC bundle, без интерфейсных модулей.

Сравнение по цене к производительности IPSec VPN:

Для маршрутизаторов с лицензией SEC производительность IPSec ограничена 85 Мбит/с в одну сторону (170 двунаправленая). Покупка лицензии HSEC в дополнение к SEC снимает это ограничение. На диаграмме модели начиная с 2951 имеют модуль аппаратного шифрования(VPN ISM), а также лицензию HSEC.

Производительность шифрования IPSec на маршрутизаторе складывается из производительности модуля аппаратного шифрования и программного, исполняемого на CPU маршрутизатора. В то время как на Cisco ASA производительность IPSec не зависит от нагрузки на CPU, т.к. выполняется целиком на ASIC схемах.

Вывод.

Выбор между маршрутизаторами Cisco ISR и устройствами безопасности Cisco ASA в некоторых ситуациях не так прост, как может показаться на первый взгляд. Если требования можно сформулировать так: требуется защитить выход в интернет для пользователей и предоставить удаленный доступ, чтобы сотрудники могли работать из любой точки, тогда можно рекомендовать Cisco ASA. Если же данное устройство должно быть установлено в филиале, тогда маршрутизатор может оказаться более выгодным и гибким решением, поскольку в нем можно совместить большее число сервисов. Если установка планируется в главном офисе компании на границе сети, тогда можно установив в одной сети оба устройства и разделить между ними сервисы: Cisco ASA использовать для МСЭ, фильтрация контента, IPS, VPN для удаленных пользователей, а маршрутизатор – для протоколов динамической маршрутизации (OSPF, EIGRP, BGP), CUBE, site-to-site IPSec, DMVPN и др..

1. IP Routing on Cisco IOS, IOS XE and IOS XR
2. Cisco Next Generation Security Solutions All in one Cisco ASA