ProHoster > Blog > İdarə > ASA VPN Yük Balanslaşdırma Klasterinin yerləşdirilməsi
ASA VPN Yük Balanslaşdırma Klasterinin yerləşdirilməsi
Bu yazıda, hazırda ən genişlənən sxemi necə tez yerləşdirə biləcəyiniz barədə addım-addım təlimat vermək istərdim. Uzaqdan Giriş VPN giriş əsaslıdır AnyConnect və Cisco ASA - VPN Yük Balanslaşdırma Klaster.
Giriş: Dünyadakı bir çox şirkət, COVID-19 ilə bağlı mövcud vəziyyəti nəzərə alaraq, işçilərini uzaqdan işə köçürmək üçün səy göstərir. Uzaqdan işə kütləvi keçidlə əlaqədar olaraq, şirkətlərin mövcud VPN şlüzlərindəki yük kəskin şəkildə artır və onları miqyaslaşdırmaq üçün çox sürətli qabiliyyət tələb olunur. Digər tərəfdən, bir çox şirkət sıfırdan uzaqdan iş konsepsiyasını tələsik mənimsəməyə məcburdur.
Ən genişlənən VPN texnologiyası kimi VPN Yük Balanslaşdırma Klasterinin sadə tətbiqi üçün addım-addım təlimat hazırlamışam.
Aşağıdakı misal istifadə edilən autentifikasiya və avtorizasiya alqoritmləri baxımından olduqca sadə olacaq, lakin yerləşdirmə zamanı ehtiyaclarınıza dərindən uyğunlaşma imkanı ilə tez bir başlanğıc üçün (hazırda çoxları üçün kifayət deyil) yaxşı seçim olacaqdır. proses.
Qısa məlumat: VPN Load Balancing Cluster texnologiyası uğursuzluq deyil və doğma mənada klaster funksiyası deyil, bu texnologiya Uzaqdan Giriş VPN bağlantılarını balanslaşdırmaq üçün tamamilə fərqli ASA modellərini (müəyyən məhdudiyyətlərlə) birləşdirə bilər. Belə bir klasterin qovşaqları arasında seansların və konfiqurasiyaların sinxronizasiyası yoxdur, lakin klasterdə ən azı bir aktiv qovşaq qalana qədər balanslı VPN bağlantılarını avtomatik yükləmək və VPN bağlantılarının nasazlıqlara dözümlülüyünü təmin etmək mümkündür. Klasterdəki yük VPN seanslarının sayına görə qovşaqların iş yükündən asılı olaraq avtomatik olaraq balanslaşdırılır.
Klasterin xüsusi qovşaqlarının uğursuzluğu üçün (tələb olunduqda) bir doldurucu istifadə edilə bilər, beləliklə, aktiv əlaqə doldurucunun Əsas qovşağı tərəfindən idarə olunacaq. Yük balanslaşdırma klasterində nasazlığa dözümlülüyün təmin edilməsi üçün faylların ötürülməsi zəruri şərt deyil, qovşağın nasazlığı halında, klasterin özü istifadəçi seansını başqa canlı qovşağa köçürür, lakin əlaqə vəziyyətini saxlamadan fayl verən tərəfindən təmin edilir. Müvafiq olaraq, lazım gələrsə, bu iki texnologiyanı birləşdirmək mümkündür.
VPN Load-Balancing klasterində ikidən çox qovşaq ola bilər.
VPN Load-Balancing Cluster ASA 5512-X və yuxarı versiyalarda dəstəklənir.
VPN Load-Balancing klasterindəki hər bir ASA parametrlər baxımından müstəqil vahid olduğundan, biz hər bir fərdi cihazda bütün konfiqurasiya addımlarını fərdi şəkildə həyata keçiririk.
Bizə lazım olan şablonların ASAv nümunələrini (ASAv5/10/30/50) şəkildən yerləşdiririk.
Biz INSIDE / OUTSIDE interfeyslərini eyni VLAN-lara təyin edirik (Kənarda öz VLAN-da, INSIDE öz daxilində, lakin ümumiyyətlə klaster daxilində topologiyaya baxın), eyni tipli interfeyslərin eyni L2 seqmentində olması vacibdir.
Lisenziyalar:
Hazırda ASAv quraşdırmasının heç bir lisenziyası olmayacaq və 100kbps ilə məhdudlaşacaq.
Lisenziya quraşdırmaq üçün Smart-Hesabınızda nişan yaratmalısınız: https://software.cisco.com/ -> Smart Proqram Lisenziyası
Açılan pəncərədə düyməni basın Yeni Token
Açılan pəncərədə aktiv sahənin olduğundan və işarənin yoxlanıldığından əmin olun İxracla idarə olunan funksionallığa icazə verin… Bu sahə aktiv olmadan güclü şifrələmə və müvafiq olaraq VPN funksiyalarından istifadə edə bilməyəcəksiniz. Bu sahə aktiv deyilsə, aktivləşdirmə sorğusu ilə hesab komandanızla əlaqə saxlayın.
Düyməni basdıqdan sonra Token yaradın, ASAv üçün lisenziya almaq üçün istifadə edəcəyimiz bir işarə yaradılacaq, onu kopyalayın:
Hər yerləşdirilən ASAv üçün C, D, E addımlarını təkrarlayın.
Tokenin kopyalanmasını asanlaşdırmaq üçün telnet-ə müvəqqəti icazə verək. Gəlin hər bir ASA-nı konfiqurasiya edək (aşağıdakı nümunə ASA-1-də parametrləri göstərir). telnet xariclə işləmir, əgər həqiqətən ehtiyacınız varsa, təhlükəsizlik səviyyəsini 100-dən xaricə dəyişin, sonra geri qaytarın.
!
ciscoasa(config)# int gi0/0
ciscoasa(config)# nameif outside
ciscoasa(config)# ip address 192.168.31.30 255.255.255.0
ciscoasa(config)# no shut
!
ciscoasa(config)# int gi0/1
ciscoasa(config)# nameif inside
ciscoasa(config)# ip address 192.168.255.2 255.255.255.0
ciscoasa(config)# no shut
!
ciscoasa(config)# telnet 0 0 inside
ciscoasa(config)# username admin password cisco priv 15
ciscoasa(config)# ena password cisco
ciscoasa(config)# aaa authentication telnet console LOCAL
!
ciscoasa(config)# route outside 0 0 192.168.31.1
!
ciscoasa(config)# wr
!
Smart-Hesab buludunda nişanı qeydiyyatdan keçirmək üçün siz ASA üçün İnternetə çıxış təmin etməlisiniz, təfərrüatları burada.
Bir sözlə, ASA lazımdır:
HTTPS vasitəsilə İnternetə çıxış;
vaxt sinxronizasiyası (daha doğrusu, NTP vasitəsilə);
qeydiyyatdan keçmiş DNS server;
Biz ASA-ya telnet göndəririk və Smart-Account vasitəsilə lisenziyanı aktivləşdirmək üçün parametrlər edirik.
!
ciscoasa(config)# clock set 19:21:00 Mar 18 2020
ciscoasa(config)# clock timezone MSK 3
ciscoasa(config)# ntp server 192.168.99.136
!
ciscoasa(config)# dns domain-lookup outside
ciscoasa(config)# DNS server-group DefaultDNS
ciscoasa(config-dns-server-group)# name-server 192.168.99.132
!
! Проверим работу DNS:
!
ciscoasa(config-dns-server-group)# ping ya.ru
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 87.250.250.242, timeout is 2 seconds:
!!!!!
!
! Проверим синхронизацию NTP:
!
ciscoasa(config)# show ntp associations
address ref clock st when poll reach delay offset disp
*~192.168.99.136 91.189.94.4 3 63 64 1 36.7 1.85 17.5
* master (synced), # master (unsynced), + selected, - candidate, ~ configured
!
! Установим конфигурацию нашей ASAv для Smart-Licensing (в соответствии с Вашим профилем, в моем случае 100М для примера)
!
ciscoasa(config)# license smart
ciscoasa(config-smart-lic)# feature tier standard
ciscoasa(config-smart-lic)# throughput level 100M
!
! В случае необходимости можно настроить доступ в Интернет через прокси используйте следующий блок команд:
!call-home
! http-proxy ip_address port port
!
! Далее мы вставляем скопированный из портала Smart-Account токен (<token>) и регистрируем лицензию
!
ciscoasa(config)# end
ciscoasa# license smart register idtoken <token>
Cihazın lisenziyanı uğurla qeydiyyatdan keçirdiyini və şifrələmə seçimlərinin mövcud olduğunu yoxlayırıq:
Hər bir şlüzdə əsas SSL-VPN qurun
Sonra, SSH və ASDM vasitəsilə girişi konfiqurasiya edin:
ciscoasa(config)# ssh ver 2
ciscoasa(config)# aaa authentication ssh console LOCAL
ciscoasa(config)# aaa authentication http console LOCAL
ciscoasa(config)# hostname vpn-demo-1
vpn-demo-1(config)# domain-name ashes.cc
vpn-demo-1(config)# cry key gen rsa general-keys modulus 4096
vpn-demo-1(config)# ssh 0 0 inside
vpn-demo-1(config)# http 0 0 inside
!
! Поднимем сервер HTTPS для ASDM на порту 445 чтобы не пересекаться с SSL-VPN порталом
!
vpn-demo-1(config)# http server enable 445
!
ASDM-in işləməsi üçün əvvəlcə onu cisco.com saytından yükləməlisiniz, mənim vəziyyətimdə bu aşağıdakı fayldır:
AnyConnect müştərisinin işləməsi üçün istifadə olunan hər bir müştəri masa üstü ƏS (Linux / Windows / MAC istifadə etmək planlaşdırılır) üçün hər bir ASA-ya bir şəkil yükləməlisiniz, sizə olan bir fayl lazımdır. Headend Deployment Paketi Başlıqda:
Yüklənmiş fayllar, məsələn, bir FTP serverinə yüklənə və hər bir fərdi ASA-ya yüklənə bilər:
SSL-VPN üçün ASDM və Self-Signed sertifikatını konfiqurasiya edirik (istehsalda etibarlı sertifikatdan istifadə etmək tövsiyə olunur). Virtual Klaster Ünvanının (vpn-demo.ashes.cc) müəyyən edilmiş FQDN-i, eləcə də hər bir klaster qovşağının xarici ünvanı ilə əlaqəli hər bir FQDN xarici DNS zonasında HARİCİ interfeysin IP ünvanına həll edilməlidir (və ya port yönləndirmə udp/443 (DTLS) və tcp/443(TLS) istifadə edilərsə, xəritələnmiş ünvana. Sertifikat üçün tələblər haqqında ətraflı məlumat bölmədə göstərilmişdir Sertifikat doğrulaması sənədlər.
!
vpn-demo-1(config)# crypto ca trustpoint SELF
vpn-demo-1(config-ca-trustpoint)# enrollment self
vpn-demo-1(config-ca-trustpoint)# fqdn vpn-demo.ashes.cc
vpn-demo-1(config-ca-trustpoint)# subject-name cn=*.ashes.cc, ou=ashes-lab, o=ashes, c=ru
vpn-demo-1(config-ca-trustpoint)# serial-number
vpn-demo-1(config-ca-trustpoint)# crl configure
vpn-demo-1(config-ca-crl)# cry ca enroll SELF
% The fully-qualified domain name in the certificate will be: vpn-demo.ashes.cc
Generate Self-Signed Certificate? [yes/no]: yes
vpn-demo-1(config)#
!
vpn-demo-1(config)# sh cry ca certificates
Certificate
Status: Available
Certificate Serial Number: 4d43725e
Certificate Usage: General Purpose
Public Key Type: RSA (4096 bits)
Signature Algorithm: SHA256 with RSA Encryption
Issuer Name:
serialNumber=9A439T02F95
hostname=vpn-demo.ashes.cc
cn=*.ashes.cc
ou=ashes-lab
o=ashes
c=ru
Subject Name:
serialNumber=9A439T02F95
hostname=vpn-demo.ashes.cc
cn=*.ashes.cc
ou=ashes-lab
o=ashes
c=ru
Validity Date:
start date: 00:16:17 MSK Mar 19 2020
end date: 00:16:17 MSK Mar 17 2030
Storage: config
Associated Trustpoints: SELF
CA Certificate
Status: Available
Certificate Serial Number: 0509
Certificate Usage: General Purpose
Public Key Type: RSA (4096 bits)
Signature Algorithm: SHA1 with RSA Encryption
Issuer Name:
cn=QuoVadis Root CA 2
o=QuoVadis Limited
c=BM
Subject Name:
cn=QuoVadis Root CA 2
o=QuoVadis Limited
c=BM
Validity Date:
start date: 21:27:00 MSK Nov 24 2006
end date: 21:23:33 MSK Nov 24 2031
Storage: config
Associated Trustpoints: _SmartCallHome_ServerCA
ASDM-nin işlədiyini yoxlamaq üçün portu göstərməyi unutmayın, məsələn:
Tunelin əsas parametrlərini yerinə yetirək:
Korporativ şəbəkəni tunel vasitəsilə əlçatan edək və İnterneti birbaşa buraxaq (birləşdirən hostda qorunma yoxdursa, ən təhlükəsiz üsul deyil, yoluxmuş host vasitəsilə nüfuz etmək və korporativ məlumatları göstərmək mümkündür, seçim split-tunel-policy tunnelall bütün host trafikini tunelə buraxacaq. Buna baxmayaraq bölünmüş tunel VPN şlüzünü boşaltmağa və host İnternet trafikini emal etməməyə imkan verir)
Gəlin 192.168.20.0/24 alt şəbəkəsindən tuneldəki hostlara ünvanlar verək (10-dan 30-a qədər ünvana (1 node üçün) hovuz). VPN klasterinin hər bir qovşağının öz hovuzu olmalıdır.
ASA-da yerli olaraq yaradılmış istifadəçi ilə əsas autentifikasiya aparacağıq (bu tövsiyə edilmir, bu ən asan üsuldur), autentifikasiyanı vasitəsilə həyata keçirmək daha yaxşıdır. LDAP/RADIUSvə ya daha yaxşısı, qalstuk bağlamaq Çoxfaktorlu Doğrulama (MFA)misal Cisco DUO.
(İstəyə bağlı): Yuxarıdakı misalda biz uzaqdan olan istifadəçiləri autentifikasiya etmək üçün BTİ-də yerli istifadəçidən istifadə etdik, bu, əlbəttə ki, laboratoriya istisna olmaqla, zəif tətbiq olunur. İdentifikasiya üçün parametri necə tez uyğunlaşdırmaq üçün bir nümunə verəcəyəm RADIUS server, məsələn, istifadə olunur Cisco Kimlik Xidmətləri Mühərriki:
Bu inteqrasiya nəinki autentifikasiya prosedurunu AD kataloq xidməti ilə tez inteqrasiya etməyə, həm də qoşulmuş kompüterin AD-yə aid olub-olmadığını ayırd etməyə, bu cihazın korporativ və ya şəxsi olduğunu başa düşməyə və qoşulmuş cihazın vəziyyətini qiymətləndirməyə imkan verdi. .
Gəlin Şəffaf NAT-ı elə konfiqurasiya edək ki, müştəri ilə korporativ şəbəkə şəbəkəsinin resursları arasında trafik cızıqlanmasın:
vpn-demo-1(config-network-object)# subnet 192.168.20.0 255.255.255.0
!
vpn-demo-1(config)# nat (inside,outside) source static any any destination static vpn-users vpn-users no-proxy-arp
(İSTEĞE BAĞLI): Müştərilərimizi ASA vasitəsilə İnternetə çıxarmaq üçün (istifadə edərkən tunnelall variantları) PAT istifadə edərək, həmçinin qoşulduqları eyni KARŞI interfeys vasitəsilə çıxmaq üçün aşağıdakı parametrləri etməlisiniz.
Bir klasterdən istifadə edərkən, daxili şəbəkənin istifadəçilərə qaytarılan trafiki hansı ASA-ya yönəltəcəyini anlamaq üçün son dərəcə vacibdir, bunun üçün müştərilərə verilən marşrutları / 32 ünvanı yenidən paylamalısınız.
Hazırda biz klasteri konfiqurasiya etməmişik, lakin bizdə FQDN və ya IP vasitəsilə fərdi olaraq qoşula bilən işləyən VPN şlüzlərimiz var.
İlk ASA-nın marşrutlaşdırma cədvəlində qoşulmuş müştərini görürük:
Bütün VPN klasterimizin və bütün korporativ şəbəkəmizin müştərimizə marşrutu bilməsi üçün biz müştəri prefiksini dinamik marşrutlaşdırma protokoluna, məsələn, OSPF-ə yenidən paylayacağıq:
İndi bizim ikinci ASA-2 şlüzündən müştəriyə marşrutumuz var və klaster daxilində müxtəlif VPN şlüzlərinə qoşulmuş istifadəçilər, məsələn, korporativ proqram telefonu vasitəsilə birbaşa əlaqə saxlaya, həmçinin istifadəçinin tələb etdiyi resurslardan trafiki qaytara bilərlər. istədiyiniz VPN şluzuna gəlin:
192.168.31.40 ünvanı Virtual IP (VIP - bütün VPN müştəriləri əvvəlcə ona qoşulacaq) kimi istifadə olunacaq, bu ünvandan Master klaster daha az yüklənmiş klaster qovşağına YENİDİRİLMİŞ edəcək. Yazmağı unutmayın irəli və geri DNS qeydi həm klasterin hər bir qovşağının hər bir xarici ünvanı / FQDN, həm də VIP üçün.
ASDM vasitəsilə avtomatik yüklənən AnyConnect profili ilə müştəri təcrübəsini daha rahat edək.
Biz profili rahat şəkildə adlandırırıq və qrup siyasətimizi onunla əlaqələndiririk:
Müştərinin növbəti qoşulmasından sonra bu profil avtomatik olaraq AnyConnect müştərisində yüklənəcək və quraşdırılacaq, ona görə də qoşulmaq lazımdırsa, onu siyahıdan seçin:
Bu profili ASDM-dən istifadə edərək yalnız bir ASA-da yaratdığımız üçün, klasterdəki digər ASA-lardakı addımları təkrarlamağı unutmayın.
Nəticə: Beləliklə, biz tez bir zamanda avtomatik yük balansı ilə bir neçə VPN şlüzdən ibarət klaster yerləşdirdik. Yeni ASAv virtual maşınlarını yerləşdirmək və ya aparat ASA-larından istifadə etməklə sadə üfüqi miqyasla çoxluğa yeni qovşaqların əlavə edilməsi asandır. Funksiyalarla zəngin AnyConnect müştərisi istifadə edərək təhlükəsiz uzaqdan əlaqəni əhəmiyyətli dərəcədə artıra bilər Duruş (dövlət təxminləri), mərkəzləşdirilmiş nəzarət və giriş uçotu sistemi ilə birlikdə ən səmərəli şəkildə istifadə olunur Kimlik Xidmətləri Mühərriki.