Pour effectuer des opérations de télémaintenance chez nos clients (une dizaine de machine) nous installons chez eux généralement un routeur Cisco 837 (1 pate LAN et une pate ADSL) afin de mettre en oeuvre un tunnel VPN IPSec LAN-to-LAN (VPN site à site). Avec du cryptage 3DES/AES/SHA-1
 
Certains de nos clients (ceux qui ont des politiques de sécurité très poussé), commence déjà à faire grise mine quand ils entendent le mot "routeur".
 
 
De ce fait, nous allons proposer la possibilité de choisir une FireWall Cisco PIX.
Je ne sais pas quel FireWall PIX est le plus en adéquation avec mes besoins. On peut estimer que le maximum de connexion au sein du tunnel sera de 50 (histoire de voir large) et les débits ADSL sont de 512/128 ou 1024/128... Donc autant dire qu'avec des débits pareils je n'ai pas besoin d'une "foudre de guerre".
 
A votre avis dois je prendre un firewall PIX 501 ou 506 ?
 
 
Après quelle référence pour ces routeur là ?
 
- PIX 506E 3DES/AES Bundle (chassis, software, 2 10/100 interfaces, 3DES/AES license)
- PIX-501-50-BUN-K9
- Cisco PIX 501 50-user bundle (chassis, latest PIX software, 50-user and 3DES licenses, integrated 4-port 10/100 switch and 10/100 port)
 
 
 

up de soutien

le PIX est bientôt mort; ce qu'il te faut est un ASA (son successeur, qui est un pix en v7).
 
Par contre un routeur avec IOS Firewall ferait aussi bien l'affaire...
 
Sinon le 501 devrait être bon pour ton utilisation...

 
 
Merci pour l'info
 
L'ASA c'est bien, mais cela coute beaucoup beaucoup plus cher qu'un PIX 501 ou 506 E
 
D'ailleurs une questions sur le Cisco PIX 506 E.
 
 
Dans de rare occasion nous devons accéder à 2 VLANs chez le client depuis le tunnel VPN
 
J'ai réalisé quelques recherches sur Internet que les Cisco PIX 506 E était visiblement capable de supporter des "VLANs virtuels".
Pouvez-vous m'en dire plus à ce sujet ?
 
Robust Remote Office and Branch Office Networking
VLAN-based virtual interfaces
· Provides increased flexibility when defining security policies and eases overall integration into switched network environments by supporting the creation of logical interfaces based on IEEE 802.1q VLAN tags, and the creation of security policies based on these virtual interfaces
· Supports multiple virtual interfaces on a single physical interface through VLAN trunking, with support for multiple VLAN trunks per Cisco PIX Security Appliance
· Supports up to 2 VLANs on a Cisco PIX 506E Security Appliance, providing a low-cost DMZ-enabled security solution that enables businesses to securely host Web servers, e-mail servers, and other services with the Internet or extranet environments

http://www.cisco.com/en/US/product [...] 91b13.html
D'après ce que j'ai compris, les Cisco PIX 506 E supporteraient 2 VLANs 802.1Q basés sur des interfaces virtuels.
 
Pouvez vous me confirmer que sur le PIX 506 E, je pourrais définir sur une interface ethernet "réelle" : ?
+ 1 interface virtuel sur le VLAN 1 (802.1Q Tag)  
+ 1 interface virtuel sur le VLAN 2 (802.1Q Tag)

salut. Il y a un modèle d'entrée de gamme ASA qui doit couter à peu près le même prix que les PIX (un petit ASA qui ressemble à un pix 501)
 
Pour la suite de ton message, il semblerait que le PIX sache faire du routage intervlan; je peux pas t'en dire plus; j'ai jamais touché les vlans avec les PIX.

pour le routage inter vlan, c'est la meme chose que pour un IOS: pour ton pix, tu configures ton interface en mode trunk, et ensuite, tu mets des interfaces virtuelles dans les vlans qui vont bien.
Sinon, j'appuies le fait de prendre un asa plutot qu'un pix, meme s'il existe une image pix en version 7.
Et je dirais meme plus: un routeur isr, avec les bonnes regles cbac qui vont bien fera tout aussi bien l'affaire pour ce que tu demandes ... ils sont d'ailleur fait pour ca: routeur, firewall, termineur VPN...

Petite précision pour les gens qui se poseraient des questions (fonction recherche   ):
 
Deux petits tableaux comparatifs:
La gamme 50x:  
http://www.cisco.com/web/FR/produc [...] y/pix.html
 
Petite précison par rapport à ce qui a été ecrit plus haut: avec un 501 il ne faut pas esperer mettre une version 7 (trop peu de ram). Faut oublier également la partie Vlan (tellle que l'on trouve dans les switchs).
Commencer au moins avec un 506.
Sinon pour les besoins simples (fw, nat/pat, et surtout accès vpn pour le besoins d'administration à distance...) le 501 est parfait.
 
La gamme ASA:

http://www.cisco.com/en/US/product [...] rison.html
J'en ai jamais eu entre les mains.
On voit clairement qu'on est passé à autre chose: IPS, et tous les anti-X.  Doublement des ports ...
 
Après au niveau du prix public (faut voir après au niveau des revendeurs et partenariats) la différence 501/5505 est de l'ordre de 100€.
A titre d'exemple: http://www.osinet.fr/code/osicaddy [...] SPEC+ELIGI
 

si vous voulez passer des commandes, contactez moi par MP; en tant que partenaire gold on offre des remises bien plus importantes

 
J'ai pu en assayer 1, et du coup j'en ai commander 3 5520 a mon integrateur préféré ...
Reste plus qu'a attendre que ca arrive ...
 
Quand on voit ca, le PIx va clairement disparaitrev.. l'interface de gestion c'est egalement l'ASDM, c'est identique ..

Tu as eu le temps de t'amuser avec les anti-X ?
Mais c'est clair, le descriptif technique est alléchant.

non, j'ai joué avec la VPN édition.
Je jouerai plus avec les autres features quand je les aurai recu