此合作伙伴解决方案在 Amazon Web Services(AWS)Cloud 中部署可扩展的 Cisco Remote Access Virtual Private Network(RA-VPN)。此合作伙伴解决方案适用于想要使用 AWS 云架构在 Cisco Adaptive Security Virtual Appliance(ASAv)防火墙中部署或了解 Cisco AnyConnect RA-VPN 服务的用户。
随着各公司对安全远程连接的需求不断增加,对稳定和可扩展的 RA-VPN 的需求也相应增加。对于许多组织来说,投资额外的硬件设备来扩展网络基础设施可能无法满足时间目标或可用预算要求。基于云的架构提供了在成本和资源方面具有高度可伸缩性和灵活性的计算环境。
-
构建内容
-
如何部署
-
费用和许可证
-
构建内容
-
合作伙伴解决方案设置了以下内容:
- 一个跨两个或更多可用区(最多四个,取决于 ASAv 的数量)的高可用架构。
- 一个 Amazon Route 53 托管区域,包括与基于域名系统 (DNS) 负载均衡的加权策略相关联的记录。
- 一个将用户连接到 AWS 云的互联网网关。
- 具有零日配置的 ASAv 实例(最多 4 个)。这将设置 AnyConnect 客户端 VPN、弹性网络接口和接受 RA-VPN 客户端的选项。ASAv 实例分布在可用区内,以实现冗余,并保持 ASAv 与可用区的固定一对一比例。
- 一个 Virtual Private Cloud (VPC),用于为您提供专有虚拟网络。
- VPC 中包含公有路由表、VPC 路由表和 AWS Transit Gateway 路由表。
- 每个可用区中的私有路由表。
- 在公有子网中:
- 关联 IP 地址的弹性网络接口。
- Cisco ASAv 实例。
- 在私有子网中:
- 一个具有适用于管理子网的私有 IP 地址的弹性网络接口。
- 一个具有适用于私有子网的私有 IP 地址的弹性网络接口。
- 一个具有适用于 AWS Transit Gateway 子网的私有 IP 地址的弹性网络接口。
- 将扩展连接至使用 AWS Site-to-Site VPN 或 AWS Direct Connect 网关的本地资源的 AWS Transit Gateway。
- 用于在 AWS 和您的数据中心、办公室或主机托管环境之间建立私有连接的 AWS Direct Connect。
-
如何部署
-
要部署此合作伙伴解决方案,请遵循部署指南中的说明操作,其中包括这些步骤。
- 如果您还没有 AWS 账户,请在 https://aws.amazon.com 上注册,并登录您的账户。
- 订阅 Cisco RA-VPN AMI。
- 启动合作伙伴解决方案。 堆栈部署时间约为 20 分钟。在创建堆栈之前,从顶部工具栏中选择 AWS 区域。
- 测试部署。
Amazon 可能会跟与 AWS 合作打造此解决方案的 AWS 合作伙伴共享用户部署信息。
-
费用和许可证
-
此合作伙伴解决方案需要 Cisco 签发的 RA-VPN 许可证。Cisco ASAv 虚拟防火墙提供下述许可选项:
- 选项 1:使用 AWS 随用随付许可,按小时付费。这是此合作伙伴解决方案的默认选项。
- 选项 2:使用 Amazon 的自带许可模式与 Cisco 的智能许可。
如需在生产环境中使用此合作伙伴解决方案,请参阅 Cisco Adaptive Security Virtual Appliance(ASAv)- 标准程序包。确保使用正确区域订阅图像。如果您想选择选项 2,必须使用正确的亚马逊云机器镜像(AMI)。有关更多信息,请参阅在 AWS Cloud 上部署 ASAv。
您需要支付在运行此解决方案期间使用 AWS 服务和任何第三方许可证所产生的费用。使用此解决方案不会产生任何额外费用。
此解决方案包括可自定义的配置参数。其中一些设置(如实例类型)会影响部署成本。有关成本估算信息,请参阅您使用的每种 AWS 服务的定价页面。价格可能随时变动。
提示:部署解决方案后,请创建 AWS 成本和使用情况报告,以跟踪相关成本。这些报告会将账单指标发送至您账户中的 Amazon Simple Storage Service (Amazon S3) 桶。它们根据每个月的使用情况提供成本估算,并在月末汇总数据。有关更多信息,请参阅 什么是 AWS 成本和使用情况报告?