በዚህ ጽሑፍ ውስጥ በአሁኑ ጊዜ በጣም ሊሰፋ የሚችል እቅድ እንዴት በፍጥነት ማሰማራት እንደሚችሉ ደረጃ በደረጃ መመሪያዎችን መስጠት እፈልጋለሁ. የርቀት መዳረሻ VPN በመዳረሻ ላይ የተመሰረተ AnyConnect እና Cisco ASA - የቪፒኤን ጭነት ማመጣጠን ክላስተር.
መግቢያ፡- በአለም ዙሪያ ያሉ ብዙ ኩባንያዎች በኮቪድ-19 ካለው ወቅታዊ ሁኔታ አንፃር ሰራተኞቻቸውን ወደ ሩቅ ስራ ለማዛወር ጥረት በማድረግ ላይ ናቸው። ወደ ሩቅ ሥራ በሚደረገው የጅምላ ሽግግር ምክንያት አሁን ባለው የኩባንያዎች የ VPN መግቢያዎች ላይ ያለው ጭነት በከፍተኛ ሁኔታ እየጨመረ ነው እና እነሱን የመለካት በጣም ፈጣን ችሎታ ያስፈልጋል። በሌላ በኩል, ብዙ ኩባንያዎች ከባዶ የርቀት ሥራ ጽንሰ-ሐሳብን በችኮላ ለመቆጣጠር ይገደዳሉ.
ንግዶች ለሰራተኞች ምቹ፣ ደህንነቱ የተጠበቀ እና ሊሰፋ የሚችል የቪፒኤን አገልግሎት በአጭር ጊዜ ውስጥ እንዲያገኙ ለማገዝ፣ሲስኮ የ AnyConnect ባህሪ የበለፀገ SSL-VPN ደንበኛን እስከ 13 ሳምንታት ፍቃድ እየሰጠ ነው።
ለቀላል የVPN Load-Balancing Cluster እንደ በጣም ሊሰፋ የሚችል የቪፒኤን ቴክኖሎጂ ለማሰማራት የደረጃ በደረጃ መመሪያ አዘጋጅቻለሁ።
ከዚህ በታች ያለው ምሳሌ ጥቅም ላይ ከሚውሉት የማረጋገጫ እና የፈቃድ ስልተ ቀመሮች አንፃር በጣም ቀላል ይሆናል ፣ ግን ለፈጣን ጅምር ጥሩ አማራጭ ይሆናል (በአሁኑ ጊዜ ለብዙዎች በቂ አይደለም) በተሰማሩበት ጊዜ ከፍላጎትዎ ጋር በጥልቀት መላመድ ይችላል። ሂደት.
አጭር መረጃ፡- የቪፒኤን ጭነት ማመጣጠን ክላስተር ቴክኖሎጂ አልተሳካም እና ክላስተር ተግባር አይደለም በአፍ መፍቻ ትርጉሙ ይህ ቴክኖሎጂ ሙሉ ለሙሉ የተለያዩ የኤኤስኤ ሞዴሎችን (ከተወሰኑ ገደቦች ጋር) በማጣመር የርቀት መዳረሻ ቪፒኤን ግንኙነቶችን መጫን ይችላል። በእንደዚህ ዓይነት ክላስተር አንጓዎች መካከል የክፍለ-ጊዜዎች እና ውቅሮች ማመሳሰል የለም ነገር ግን ሚዛኑን የቪፒኤን ግንኙነቶችን በራስ-ሰር መጫን እና ቢያንስ አንድ ንቁ መስቀለኛ መንገድ በክላስተር ውስጥ እስኪቆይ ድረስ የቪፒኤን ግንኙነቶችን ስህተት መቻቻል ማረጋገጥ ይቻላል ። በክላስተር ውስጥ ያለው ጭነት በቪፒኤን ክፍለ ጊዜዎች ብዛት በመስቀለኛዎቹ የሥራ ጫና ላይ በመመስረት በራስ-ሰር ሚዛናዊ ይሆናል።
የክላስተር የተወሰኑ አንጓዎች (ከተፈለገ) አለመሳካት ፋይሉን መጠቀም ይቻላል፣ ስለዚህ ገባሪ ግንኙነቱ የሚከናወነው በፋይሉ ዋና መስቀለኛ መንገድ ነው። ፋይሉ በሎድ-ሚዛን ክላስተር ውስጥ የስሕተት መቻቻልን ለማረጋገጥ አስፈላጊ ሁኔታ አይደለም ፣ ክላስተር ራሱ ፣ የመስቀለኛ መንገድ ውድቀት በሚከሰትበት ጊዜ የተጠቃሚውን ክፍለ ጊዜ ወደ ሌላ የቀጥታ መስቀለኛ መንገድ ያስተላልፋል ፣ ግን የግንኙነት ሁኔታን ሳያስቀምጡ ፣ ይህ በትክክል ነው። በፋይሉ የቀረበ. በዚህ መሠረት, አስፈላጊ ከሆነ, እነዚህን ሁለት ቴክኖሎጂዎች ማዋሃድ ይቻላል.
የቪፒኤን ሎድ-ሚዛናዊ ዘለላ ከሁለት በላይ ኖዶችን ሊይዝ ይችላል።
የ VPN Load-Balancing ክላስተር በ ASA 5512-X እና ከዚያ በላይ ይደገፋል።
በ VPN Load-Balancing ክላስተር ውስጥ ያለው እያንዳንዱ ASA በቅንጅቶች ውስጥ ራሱን የቻለ አሃድ ስለሆነ ሁሉንም የማዋቀሪያ እርምጃዎችን በእያንዳንዱ መሳሪያ ላይ በተናጠል እናከናውናለን።
የተጠቀሰው ምሳሌ ሎጂካዊ ቶፖሎጂ፡-
የመጀመሪያ ደረጃ ማሰማራት፡
-
ከምስሉ ላይ የምንፈልጋቸውን አብነቶች (ASAv5/10/30/50) የ ASAv ምሳሌዎችን እናሰማራለን።
-
የውስጡን/የውጭ በይነገጾችን ለተመሳሳይ VLAN እንመድባለን (ከውጭ በራሱ VLAN ፣ IN INIDE) ፣ ግን በአጠቃላይ በክላስተር ውስጥ ፣ ቶፖሎጂን ተመልከት) ተመሳሳይ አይነት በይነገጾች በተመሳሳይ L2 ክፍል ውስጥ መሆናቸው አስፈላጊ ነው።
-
ፈቃዶች፡-
- በአሁኑ ጊዜ የኤኤስኤቭ መጫኛ ምንም ፍቃድ አይኖረውም እና በ 100 ኪባበሰ ብቻ የተገደበ ይሆናል.
- ፈቃድ ለመጫን በስማርት-መለያዎ ውስጥ ማስመሰያ መፍጠር ያስፈልግዎታል፡-
https://software.cisco.com/ -> ስማርት ሶፍትዌር ፍቃድ መስጠት - በሚከፈተው መስኮት ውስጥ አዝራሩን ጠቅ ያድርጉ አዲስ ማስመሰያ
- በሚከፈተው መስኮት ውስጥ ንቁ መስክ እንዳለ እና ምልክት መደረጉን ያረጋግጡ ወደ ውጭ የሚላኩ የሚቆጣጠሩ ተግባራትን ፍቀድይህ መስክ ንቁ ካልሆነ፣ የጠንካራ ምስጠራን እና፣ በዚህ መሰረት፣ VPN ተግባራትን መጠቀም አትችልም። ይህ መስክ የማይሰራ ከሆነ፣ እባክዎን ከማግበር ጥያቄ ጋር የመለያ ቡድንዎን ያግኙ።
- አዝራሩን ከተጫኑ በኋላ ማስመሰያ ይፍጠሩለ ASAv ፈቃድ ለማግኘት የምንጠቀምበት ቶከን ይፈጠራል፣ ይቅዱት፡-
- ለእያንዳንዱ የተዘረጋ ASAv ደረጃዎችን C፣D፣E ድገም።
- ማስመሰያውን ለመቅዳት ቀላል ለማድረግ ቴልኔትን ለጊዜው እንፍቀድ። እያንዳንዱን ASA እናዋቅር (ከዚህ በታች ያለው ምሳሌ በ ASA-1 ላይ ያሉትን ቅንብሮች ያሳያል)። telnet ከውጪ ጋር አይሰራም፣ በእርግጥ ከፈለጉ፣ የደህንነት ደረጃን ወደ 100 ወደ ውጭ ይለውጡት፣ ከዚያ መልሰው ይመልሱት።
! ciscoasa(config)# int gi0/0 ciscoasa(config)# nameif outside ciscoasa(config)# ip address 192.168.31.30 255.255.255.0 ciscoasa(config)# no shut ! ciscoasa(config)# int gi0/1 ciscoasa(config)# nameif inside ciscoasa(config)# ip address 192.168.255.2 255.255.255.0 ciscoasa(config)# no shut ! ciscoasa(config)# telnet 0 0 inside ciscoasa(config)# username admin password cisco priv 15 ciscoasa(config)# ena password cisco ciscoasa(config)# aaa authentication telnet console LOCAL ! ciscoasa(config)# route outside 0 0 192.168.31.1 ! ciscoasa(config)# wr !
- በስማርት-መለያ ደመና ውስጥ ማስመሰያ ለመመዝገብ፣ ለኤኤስኤ የበይነመረብ መዳረሻ ማቅረብ አለቦት፣
ዝርዝሮች እዚህ .
በአጭሩ፣ ASA ያስፈልጋል፡-
- በ HTTPS ወደ በይነመረብ መድረስ;
- የጊዜ ማመሳሰል (በይበልጥ በትክክል በ NTP በኩል);
- የተመዘገበ የዲ ኤን ኤስ አገልጋይ;
- ወደ እኛ ASA ስልክ በመደወል ፈቃዱን በSmart-Account በኩል ለማግበር ቅንጅቶችን እናደርጋለን።
! ciscoasa(config)# clock set 19:21:00 Mar 18 2020 ciscoasa(config)# clock timezone MSK 3 ciscoasa(config)# ntp server 192.168.99.136 ! ciscoasa(config)# dns domain-lookup outside ciscoasa(config)# DNS server-group DefaultDNS ciscoasa(config-dns-server-group)# name-server 192.168.99.132 ! ! Проверим работу DNS: ! ciscoasa(config-dns-server-group)# ping ya.ru Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 87.250.250.242, timeout is 2 seconds: !!!!! ! ! Проверим синхронизацию NTP: ! ciscoasa(config)# show ntp associations address ref clock st when poll reach delay offset disp *~192.168.99.136 91.189.94.4 3 63 64 1 36.7 1.85 17.5 * master (synced), # master (unsynced), + selected, - candidate, ~ configured ! ! Установим конфигурацию нашей ASAv для Smart-Licensing (в соответствии с Вашим профилем, в моем случае 100М для примера) ! ciscoasa(config)# license smart ciscoasa(config-smart-lic)# feature tier standard ciscoasa(config-smart-lic)# throughput level 100M ! ! В случае необходимости можно настроить доступ в Интернет через прокси используйте следующий блок команд: !call-home ! http-proxy ip_address port port ! ! Далее мы вставляем скопированный из портала Smart-Account токен (<token>) и регистрируем лицензию ! ciscoasa(config)# end ciscoasa# license smart register idtoken <token>
- መሣሪያው በተሳካ ሁኔታ ፈቃድ መመዝገቡን እና የምስጠራ አማራጮች እንዳሉ እናረጋግጣለን።
-
በእያንዳንዱ መግቢያ ላይ መሰረታዊ SSL-VPN ያዘጋጁ
- በመቀጠል መዳረሻን በSSH እና ASDM ያዋቅሩ፡
ciscoasa(config)# ssh ver 2 ciscoasa(config)# aaa authentication ssh console LOCAL ciscoasa(config)# aaa authentication http console LOCAL ciscoasa(config)# hostname vpn-demo-1 vpn-demo-1(config)# domain-name ashes.cc vpn-demo-1(config)# cry key gen rsa general-keys modulus 4096 vpn-demo-1(config)# ssh 0 0 inside vpn-demo-1(config)# http 0 0 inside ! ! Поднимем сервер HTTPS для ASDM на порту 445 чтобы не пересекаться с SSL-VPN порталом ! vpn-demo-1(config)# http server enable 445 !
- ASDM እንዲሰራ መጀመሪያ ከ cisco.com ድህረ ገጽ ማውረድ አለብህ፣ በእኔ ሁኔታ የሚከተለው ፋይል ነው።
- የ AnyConnect ደንበኛ እንዲሰራ ለእያንዳንዱ የደንበኛ ዴስክቶፕ ኦኤስ (ሊኑክስ / ዊንዶውስ / ማክ ለመጠቀም የታቀደ) ለእያንዳንዱ ASA ምስል መስቀል ያስፈልግዎታል የጭንቅላት ማሰማራት ጥቅል በርዕሱ፡-
- የወረዱት ፋይሎች ለምሳሌ ወደ ኤፍቲፒ አገልጋይ ሊሰቀሉ እና ለእያንዳንዱ ASA ሊሰቀሉ ይችላሉ፡
- ASDM እና በራስ የተፈረመ ሰርተፍኬት ለSSL-VPN እናዋቅራለን (በምርት ላይ የታመነ የምስክር ወረቀት ለመጠቀም ይመከራል)። የቨርቹዋል ክላስተር አድራሻ ስብስብ FQDN (vpn-demo.ashes.cc) እንዲሁም ከእያንዳንዱ የክላስተር መስቀለኛ መንገድ ውጫዊ አድራሻ ጋር የተገናኘ እያንዳንዱ FQDN በውጫዊው የዲ ኤን ኤስ ዞን ከOUTSIDE በይነገጽ IP አድራሻ (ወይም ወደብ ማስተላለፊያ udp/443 ጥቅም ላይ ከዋለ (DTLS) እና tcp/443 (TLS) ወደ ካርታው አድራሻ። ለእውቅና ማረጋገጫው በሚያስፈልጉት መስፈርቶች ላይ ዝርዝር መረጃ በክፍሉ ውስጥ ተገልጿል የምስክር ወረቀት ማረጋገጫ ሰነድ።
! vpn-demo-1(config)# crypto ca trustpoint SELF vpn-demo-1(config-ca-trustpoint)# enrollment self vpn-demo-1(config-ca-trustpoint)# fqdn vpn-demo.ashes.cc vpn-demo-1(config-ca-trustpoint)# subject-name cn=*.ashes.cc, ou=ashes-lab, o=ashes, c=ru vpn-demo-1(config-ca-trustpoint)# serial-number vpn-demo-1(config-ca-trustpoint)# crl configure vpn-demo-1(config-ca-crl)# cry ca enroll SELF % The fully-qualified domain name in the certificate will be: vpn-demo.ashes.cc Generate Self-Signed Certificate? [yes/no]: yes vpn-demo-1(config)# ! vpn-demo-1(config)# sh cry ca certificates Certificate Status: Available Certificate Serial Number: 4d43725e Certificate Usage: General Purpose Public Key Type: RSA (4096 bits) Signature Algorithm: SHA256 with RSA Encryption Issuer Name: serialNumber=9A439T02F95 hostname=vpn-demo.ashes.cc cn=*.ashes.cc ou=ashes-lab o=ashes c=ru Subject Name: serialNumber=9A439T02F95 hostname=vpn-demo.ashes.cc cn=*.ashes.cc ou=ashes-lab o=ashes c=ru Validity Date: start date: 00:16:17 MSK Mar 19 2020 end date: 00:16:17 MSK Mar 17 2030 Storage: config Associated Trustpoints: SELF CA Certificate Status: Available Certificate Serial Number: 0509 Certificate Usage: General Purpose Public Key Type: RSA (4096 bits) Signature Algorithm: SHA1 with RSA Encryption Issuer Name: cn=QuoVadis Root CA 2 o=QuoVadis Limited c=BM Subject Name: cn=QuoVadis Root CA 2 o=QuoVadis Limited c=BM Validity Date: start date: 21:27:00 MSK Nov 24 2006 end date: 21:23:33 MSK Nov 24 2031 Storage: config Associated Trustpoints: _SmartCallHome_ServerCA
- ASDM እየሰራ መሆኑን ለማረጋገጥ ወደቡን መግለፅን አይርሱ፡ ለምሳሌ፡-
- የዋሻው መሰረታዊ ቅንብሮችን እናከናውን
- የኮርፖሬት ኔትወርክ በዋሻው በኩል እንዲገኝ እናድርገው፣ እና በይነመረብ በቀጥታ እንዲሄድ እናድርግ (በግንኙነት አስተናጋጁ ላይ ምንም አይነት ጥበቃ ከሌለ በጣም ደህንነቱ የተጠበቀ ዘዴ አይደለም ፣ በተበከለ አስተናጋጅ ውስጥ ዘልቆ መግባት እና የድርጅት ውሂብን ማሳየት ይቻላል ፣ አማራጭ የተከፈለ-ዋሻ-ፖሊሲ tunnelall ሁሉም ወደ ዋሻው ውስጥ ትራፊክ እንዲያስተናግድ ያደርጋል። ቢሆንም የተከፈለ-ዋሻ የ VPN መግቢያ መንገዱን ለማራገፍ እና የበይነመረብ ትራፊክን ላለማስኬድ ያስችላል)
- አድራሻዎችን ከ192.168.20.0/24 ንኡስ ኔትዎርክ ወደ ዋሻው ውስጥ ላሉ አስተናጋጆች እንስጥ (ገንዳ ከ10 እስከ 30 አድራሻዎች (ለመስቀለኛ #1))። እያንዳንዱ የቪፒኤን ክላስተር መስቀለኛ መንገድ የራሱ ገንዳ ሊኖረው ይገባል።
- በ ASA ላይ በአገር ውስጥ ከተፈጠረ ተጠቃሚ ጋር መሰረታዊ ማረጋገጫን እናከናውናለን (ይህ አይመከርም ፣ ይህ በጣም ቀላሉ ዘዴ ነው) ፣ በ በኩል ማረጋገጥ የተሻለ ነው። LDAP/RADIUS, ወይም በተሻለ ሁኔታ, ማሰር ባለብዙ ደረጃ ማረጋገጫ (ኤምኤፍኤ)ለምሳሌ Cisco DUO.
! vpn-demo-1(config)# ip local pool vpn-pool 192.168.20.10-192.168.20.30 mask 255.255.255.0 ! vpn-demo-1(config)# access-list split-tunnel standard permit 192.168.0.0 255.255.0.0 ! vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY internal vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY attributes vpn-demo-1(config-group-policy)# vpn-tunnel-protocol ssl-client vpn-demo-1(config-group-policy)# split-tunnel-policy tunnelspecified vpn-demo-1(config-group-policy)# split-tunnel-network-list value split-tunnel vpn-demo-1(config-group-policy)# dns-server value 192.168.99.132 vpn-demo-1(config-group-policy)# default-domain value ashes.cc vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes vpn-demo-1(config-tunnel-general)# default-group-policy SSL-VPN-GROUP-POLICY vpn-demo-1(config-tunnel-general)# address-pool vpn-pool ! vpn-demo-1(config)# username dkazakov password cisco vpn-demo-1(config)# username dkazakov attributes vpn-demo-1(config-username)# service-type remote-access ! vpn-demo-1(config)# ssl trust-point SELF vpn-demo-1(config)# webvpn vpn-demo-1(config-webvpn)# enable outside vpn-demo-1(config-webvpn)# anyconnect image disk0:/anyconnect-win-4.8.03036-webdeploy-k9.pkg vpn-demo-1(config-webvpn)# anyconnect enable !
- (አማራጭ)ከላይ በተጠቀሰው ምሳሌ የርቀት ተጠቃሚዎችን ለማረጋገጥ በአይቲዩ ላይ የአካባቢ ተጠቃሚን ተጠቅመንበታል፣ ይህም ከላቦራቶሪ በስተቀር፣ በደንብ የማይተገበር ነው። ለማረጋገጫ ቅንብሩን በፍጥነት እንዴት ማላመድ እንደሚቻል ምሳሌ እሰጣለሁ። RADIUS አገልጋይ, ለምሳሌ ጥቅም ላይ ይውላል የ Cisco ማንነት አገልግሎቶች ሞተር:
vpn-demo-1(config-aaa-server-group)# dynamic-authorization vpn-demo-1(config-aaa-server-group)# interim-accounting-update vpn-demo-1(config-aaa-server-group)# aaa-server RADIUS (outside) host 192.168.99.134 vpn-demo-1(config-aaa-server-host)# key cisco vpn-demo-1(config-aaa-server-host)# exit vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes vpn-demo-1(config-tunnel-general)# authentication-server-group RADIUS !
ይህ ውህደት የማረጋገጫ ሂደቱን ከ AD ማውጫ አገልግሎት ጋር በፍጥነት ለማዋሃድ ብቻ ሳይሆን የተገናኘው ኮምፒዩተር የ AD መሆኑን ለመለየት፣ ይህ መሳሪያ የድርጅት ወይም የግል መሆኑን ለመረዳት እና የተገናኘውን መሳሪያ ሁኔታ ለመገምገም አስችሎታል። .
- በደንበኛው እና በድርጅት አውታረመረብ አውታረመረብ ሀብቶች መካከል ያለው ትራፊክ እንዳይፃፍ ግልፅ NATን እናዋቅር፡-
vpn-demo-1(config-network-object)# subnet 192.168.20.0 255.255.255.0 ! vpn-demo-1(config)# nat (inside,outside) source static any any destination static vpn-users vpn-users no-proxy-arp
- (አማራጭ): በ ASA በኩል ደንበኞቻችንን ወደ ኢንተርኔት ለማጋለጥ (ሲጠቀሙ tunnelall አማራጮች) PAT ን በመጠቀም ፣ እንዲሁም በተገናኙበት ተመሳሳይ የውጭ በይነገጽ በኩል ለመውጣት የሚከተሉትን ቅንብሮች ማድረግ ያስፈልግዎታል
vpn-demo-1(config-network-object)# nat (outside,outside) source dynamic vpn-users interface vpn-demo-1(config)# nat (inside,outside) source dynamic any interface vpn-demo-1(config)# same-security-traffic permit intra-interface !
- ክላስተር በሚጠቀሙበት ጊዜ የውስጣዊ አውታረመረብ የትኛው ኤኤስኤ ትራፊክን ለተጠቃሚዎች እንደሚመልስ እንዲረዳ ማስቻል በጣም አስፈላጊ ነው ፣ለዚህም ለደንበኞች የተሰጡ 32 አድራሻዎችን እንደገና ማሰራጨት ያስፈልግዎታል ።
በአሁኑ ጊዜ ክላስተርን ገና አላዋቀርነውም፣ ነገር ግን በFQDN ወይም በአይፒ በግል ሊገናኙ የሚችሉ የቪፒኤን መግቢያ መንገዶች አሉን።
የተገናኘውን ደንበኛ በመጀመሪያው ASA የማዞሪያ ሠንጠረዥ ውስጥ እናያለን፡-
መላው የቪፒኤን ክላስተር እና አጠቃላይ የድርጅት አውታረመረብ ለደንበኛችን የሚወስደውን መንገድ እንዲያውቁ፣ የደንበኛ ቅድመ ቅጥያውን ወደ ተለዋዋጭ የማዞሪያ ፕሮቶኮል እናከፋፍላለን፣ ለምሳሌ OSPF፡-
! vpn-demo-1(config)# route-map RMAP-VPN-REDISTRIBUTE permit 1 vpn-demo-1(config-route-map)# match ip address VPN-REDISTRIBUTE ! vpn-demo-1(config)# router ospf 1 vpn-demo-1(config-router)# network 192.168.255.0 255.255.255.0 area 0 vpn-demo-1(config-router)# log-adj-changes vpn-demo-1(config-router)# redistribute static metric 5000 subnets route-map RMAP-VPN-REDISTRIBUTE
አሁን ከሁለተኛው ASA-2 ጌትዌይ ወደ ደንበኛው የሚወስድ መንገድ አለን እና በክላስተር ውስጥ ካሉ የተለያዩ የቪፒኤን መግቢያዎች ጋር የተገናኙ ተጠቃሚዎች ለምሳሌ በኮርፖሬት ሶፍትፎን በቀጥታ መገናኘት ይችላሉ ፣ እንዲሁም በተጠቃሚው ከጠየቁት ግብዓቶች ትራፊክ መመለስ ይችላሉ ። ወደሚፈልጉት የቪፒኤን መግቢያ በር ይምጡ
-
Load-Balancing ክላስተርን ወደ ማዋቀር እንሂድ።
አድራሻው 192.168.31.40 እንደ ቨርቹዋል አይፒ (VIP - ሁሉም የቪፒኤን ደንበኞች መጀመሪያ ይገናኛሉ)፣ ከዚህ አድራሻ ማስተር ክላስተር ወደ ብዙ የተጫነ የክላስተር መስቀለኛ መንገድ ይቀይራል። መጻፍ እንዳትረሳ የዲ ኤን ኤስ መዝገብን ወደፊት እና ወደኋላ ይመልሱ ሁለቱም ለእያንዳንዱ ውጫዊ አድራሻ / FQDN ለእያንዳንዱ የክላስተር መስቀለኛ መንገድ እና ለቪአይፒ።
vpn-demo-1(config)# vpn load-balancing vpn-demo-1(config-load-balancing)# interface lbpublic outside vpn-demo-1(config-load-balancing)# interface lbprivate inside vpn-demo-1(config-load-balancing)# priority 10 vpn-demo-1(config-load-balancing)# cluster ip address 192.168.31.40 vpn-demo-1(config-load-balancing)# cluster port 4000 vpn-demo-1(config-load-balancing)# redirect-fqdn enable vpn-demo-1(config-load-balancing)# cluster key cisco vpn-demo-1(config-load-balancing)# cluster encryption vpn-demo-1(config-load-balancing)# cluster port 9023 vpn-demo-1(config-load-balancing)# participate vpn-demo-1(config-load-balancing)#
- የክላስተርን አሠራር በሁለት የተገናኙ ደንበኞች እንፈትሻለን።
- በASDM በኩል በራስ ሰር በተጫነው AnyConnect መገለጫ የደንበኞችን ተሞክሮ የበለጠ ምቹ እናድርገው።
መገለጫውን ምቹ በሆነ መንገድ እንሰይመው እና የቡድን ፖሊሲያችንን ከእሱ ጋር እናያይዘዋለን፡-
ከሚቀጥለው የደንበኛው ግንኙነት በኋላ ይህ መገለጫ በ AnyConnect ደንበኛ ውስጥ በራስ-ሰር ይወርዳል እና ይጫናል ፣ ስለዚህ መገናኘት ከፈለጉ ከዝርዝሩ ውስጥ መምረጥ ያስፈልግዎታል ።
ASDMን በመጠቀም ይህንን ፕሮፋይል የፈጠርነው በአንድ ASA ላይ ብቻ በመሆኑ፣እርምጃዎቹን በክላስተር ውስጥ ባሉ ሌሎች ASAs ላይ መድገምዎን አይርሱ።
ማጠቃለያ: ስለዚህ፣ በፍጥነት ብዙ የቪፒኤን መግቢያ መንገዶችን በራስ ሰር ጭነት ማመጣጠን አሰማርተናል። አዳዲስ ኖዶችን ወደ ክላስተር ማከል ቀላል ነው፣ በቀላል አግድም ልኬት አዲስ ASAv ቨርቹዋል ማሽኖችን በማሰማራት ወይም ሃርድዌር ASAs በመጠቀም። በባህሪው የበለፀገው AnyConnect ደንበኛ ደህንነቱ የተጠበቀ የርቀት ግንኙነትን በመጠቀም በከፍተኛ ደረጃ ማሻሻል ይችላል። አቀማመጥ (የግዛት ግምት), በጣም ውጤታማ በሆነ መልኩ ከተማከለ ቁጥጥር እና የሂሳብ አያያዝ ስርዓት ጋር አብሮ ጥቅም ላይ ይውላል የማንነት አገልግሎቶች ሞተር.
ምንጭ: hab.com