Bu yazıda, hazırda ən genişlənən sxemi necə tez yerləşdirə biləcəyiniz barədə addım-addım təlimat vermək istərdim. Uzaqdan Giriş VPN giriş əsaslıdır AnyConnect və Cisco ASA - VPN Yük Balanslaşdırma Klaster.
Giriş: Dünyadakı bir çox şirkət, COVID-19 ilə bağlı mövcud vəziyyəti nəzərə alaraq, işçilərini uzaqdan işə köçürmək üçün səy göstərir. Uzaqdan işə kütləvi keçidlə əlaqədar olaraq, şirkətlərin mövcud VPN şlüzlərindəki yük kəskin şəkildə artır və onları miqyaslaşdırmaq üçün çox sürətli qabiliyyət tələb olunur. Digər tərəfdən, bir çox şirkət sıfırdan uzaqdan iş konsepsiyasını tələsik mənimsəməyə məcburdur.
Müəssisələrə ən qısa müddətdə işçilər üçün rahat, təhlükəsiz və genişləndirilə bilən VPN girişinə nail olmaqda kömək etmək üçün Cisco AnyConnect xüsusiyyətləri ilə zəngin SSL VPN müştərisini 13 həftəyə qədər lisenziyalaşdırır. .
.
Ən genişlənən VPN texnologiyası kimi VPN Yük Balanslaşdırma Klasterinin sadə tətbiqi üçün addım-addım təlimat hazırlamışam.
Aşağıdakı misal istifadə edilən autentifikasiya və avtorizasiya alqoritmləri baxımından olduqca sadə olacaq, lakin yerləşdirmə zamanı ehtiyaclarınıza dərindən uyğunlaşma imkanı ilə tez bir başlanğıc üçün (hazırda çoxları üçün kifayət deyil) yaxşı seçim olacaqdır. proses.
Qısa məlumat: VPN Load Balancing Cluster texnologiyası uğursuzluq deyil və doğma mənada klaster funksiyası deyil, bu texnologiya Uzaqdan Giriş VPN bağlantılarını balanslaşdırmaq üçün tamamilə fərqli ASA modellərini (müəyyən məhdudiyyətlərlə) birləşdirə bilər. Belə bir klasterin qovşaqları arasında seansların və konfiqurasiyaların sinxronizasiyası yoxdur, lakin klasterdə ən azı bir aktiv qovşaq qalana qədər balanslı VPN bağlantılarını avtomatik yükləmək və VPN bağlantılarının nasazlıqlara dözümlülüyünü təmin etmək mümkündür. Klasterdəki yük VPN seanslarının sayına görə qovşaqların iş yükündən asılı olaraq avtomatik olaraq balanslaşdırılır.
Klasterin xüsusi qovşaqlarının uğursuzluğu üçün (tələb olunduqda) bir doldurucu istifadə edilə bilər, beləliklə, aktiv əlaqə doldurucunun Əsas qovşağı tərəfindən idarə olunacaq. Yük balanslaşdırma klasterində nasazlığa dözümlülüyün təmin edilməsi üçün faylların ötürülməsi zəruri şərt deyil, qovşağın nasazlığı halında, klasterin özü istifadəçi seansını başqa canlı qovşağa köçürür, lakin əlaqə vəziyyətini saxlamadan fayl verən tərəfindən təmin edilir. Müvafiq olaraq, lazım gələrsə, bu iki texnologiyanı birləşdirmək mümkündür.
VPN Load-Balancing klasterində ikidən çox qovşaq ola bilər.
VPN Load-Balancing Cluster ASA 5512-X və yuxarı versiyalarda dəstəklənir.
VPN Load-Balancing klasterindəki hər bir ASA parametrlər baxımından müstəqil vahid olduğundan, biz hər bir fərdi cihazda bütün konfiqurasiya addımlarını fərdi şəkildə həyata keçiririk.
Verilmiş nümunənin məntiqi topologiyası:
İlkin Yerləşdirmə:
-
Bizə lazım olan şablonların ASAv nümunələrini (ASAv5/10/30/50) şəkildən yerləşdiririk.
-
Biz INSIDE / OUTSIDE interfeyslərini eyni VLAN-lara təyin edirik (Kənarda öz VLAN-da, INSIDE öz daxilində, lakin ümumiyyətlə klaster daxilində topologiyaya baxın), eyni tipli interfeyslərin eyni L2 seqmentində olması vacibdir.
-
Lisenziyalar:
- Hazırda ASAv quraşdırmasının heç bir lisenziyası olmayacaq və 100kbps ilə məhdudlaşacaq.
- Lisenziya quraşdırmaq üçün Smart-Hesabınızda nişan yaratmalısınız: -> Smart Proqram Lisenziyası
- Açılan pəncərədə düyməni basın Yeni Token
- Açılan pəncərədə aktiv sahənin olduğundan və işarənin yoxlanıldığından əmin olun İxracla idarə olunan funksionallığa icazə verin… Bu sahə aktiv olmadan güclü şifrələmə və müvafiq olaraq VPN funksiyalarından istifadə edə bilməyəcəksiniz. Bu sahə aktiv deyilsə, aktivləşdirmə sorğusu ilə hesab komandanızla əlaqə saxlayın.
- Düyməni basdıqdan sonra Token yaradın, ASAv üçün lisenziya almaq üçün istifadə edəcəyimiz bir işarə yaradılacaq, onu kopyalayın:
- Hər yerləşdirilən ASAv üçün C, D, E addımlarını təkrarlayın.
- Tokenin kopyalanmasını asanlaşdırmaq üçün telnet-ə müvəqqəti icazə verək. Gəlin hər bir ASA-nı konfiqurasiya edək (aşağıdakı nümunə ASA-1-də parametrləri göstərir). telnet xariclə işləmir, əgər həqiqətən ehtiyacınız varsa, təhlükəsizlik səviyyəsini 100-dən xaricə dəyişin, sonra geri qaytarın.
! ciscoasa(config)# int gi0/0 ciscoasa(config)# nameif outside ciscoasa(config)# ip address 192.168.31.30 255.255.255.0 ciscoasa(config)# no shut ! ciscoasa(config)# int gi0/1 ciscoasa(config)# nameif inside ciscoasa(config)# ip address 192.168.255.2 255.255.255.0 ciscoasa(config)# no shut ! ciscoasa(config)# telnet 0 0 inside ciscoasa(config)# username admin password cisco priv 15 ciscoasa(config)# ena password cisco ciscoasa(config)# aaa authentication telnet console LOCAL ! ciscoasa(config)# route outside 0 0 192.168.31.1 ! ciscoasa(config)# wr !- Smart-Hesab buludunda nişanı qeydiyyatdan keçirmək üçün siz ASA üçün İnternetə çıxış təmin etməlisiniz, .
Bir sözlə, ASA lazımdır:
- HTTPS vasitəsilə İnternetə çıxış;
- vaxt sinxronizasiyası (daha doğrusu, NTP vasitəsilə);
- qeydiyyatdan keçmiş DNS server;
- Biz ASA-ya telnet göndəririk və Smart-Account vasitəsilə lisenziyanı aktivləşdirmək üçün parametrlər edirik.
! ciscoasa(config)# clock set 19:21:00 Mar 18 2020 ciscoasa(config)# clock timezone MSK 3 ciscoasa(config)# ntp server 192.168.99.136 ! ciscoasa(config)# dns domain-lookup outside ciscoasa(config)# DNS server-group DefaultDNS ciscoasa(config-dns-server-group)# name-server 192.168.99.132 ! ! Проверим работу DNS: ! ciscoasa(config-dns-server-group)# ping ya.ru Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 87.250.250.242, timeout is 2 seconds: !!!!! ! ! Проверим синхронизацию NTP: ! ciscoasa(config)# show ntp associations address ref clock st when poll reach delay offset disp *~192.168.99.136 91.189.94.4 3 63 64 1 36.7 1.85 17.5 * master (synced), # master (unsynced), + selected, - candidate, ~ configured ! ! Установим конфигурацию нашей ASAv для Smart-Licensing (в соответствии с Вашим профилем, в моем случае 100М для примера) ! ciscoasa(config)# license smart ciscoasa(config-smart-lic)# feature tier standard ciscoasa(config-smart-lic)# throughput level 100M ! ! В случае необходимости можно настроить доступ в Интернет через прокси используйте следующий блок команд: !call-home ! http-proxy ip_address port port ! ! Далее мы вставляем скопированный из портала Smart-Account токен (<token>) и регистрируем лицензию ! ciscoasa(config)# end ciscoasa# license smart register idtoken <token>- Cihazın lisenziyanı uğurla qeydiyyatdan keçirdiyini və şifrələmə seçimlərinin mövcud olduğunu yoxlayırıq:
-
Hər bir şlüzdə əsas SSL-VPN qurun
- Sonra, SSH və ASDM vasitəsilə girişi konfiqurasiya edin:
ciscoasa(config)# ssh ver 2 ciscoasa(config)# aaa authentication ssh console LOCAL ciscoasa(config)# aaa authentication http console LOCAL ciscoasa(config)# hostname vpn-demo-1 vpn-demo-1(config)# domain-name ashes.cc vpn-demo-1(config)# cry key gen rsa general-keys modulus 4096 vpn-demo-1(config)# ssh 0 0 inside vpn-demo-1(config)# http 0 0 inside ! ! Поднимем сервер HTTPS для ASDM на порту 445 чтобы не пересекаться с SSL-VPN порталом ! vpn-demo-1(config)# http server enable 445 !- ASDM-in işləməsi üçün əvvəlcə onu cisco.com saytından yükləməlisiniz, mənim vəziyyətimdə bu aşağıdakı fayldır:
- AnyConnect müştərisinin işləməsi üçün istifadə olunan hər bir müştəri masa üstü ƏS (Linux / Windows / MAC istifadə etmək planlaşdırılır) üçün hər bir ASA-ya bir şəkil yükləməlisiniz, sizə olan bir fayl lazımdır. Headend Deployment Paketi Başlıqda:
- Yüklənmiş fayllar, məsələn, bir FTP serverinə yüklənə və hər bir fərdi ASA-ya yüklənə bilər:
- SSL-VPN üçün ASDM və Self-Signed sertifikatını konfiqurasiya edirik (istehsalda etibarlı sertifikatdan istifadə etmək tövsiyə olunur). Virtual Klaster Ünvanının (vpn-demo.ashes.cc) müəyyən edilmiş FQDN-i, eləcə də hər bir klaster qovşağının xarici ünvanı ilə əlaqəli hər bir FQDN xarici DNS zonasında HARİCİ interfeysin IP ünvanına həll edilməlidir (və ya port yönləndirmə udp/443 (DTLS) və tcp/443(TLS) istifadə edilərsə, xəritələnmiş ünvana. Sertifikat üçün tələblər haqqında ətraflı məlumat bölmədə göstərilmişdir Sertifikat doğrulaması sənədlər.
! vpn-demo-1(config)# crypto ca trustpoint SELF vpn-demo-1(config-ca-trustpoint)# enrollment self vpn-demo-1(config-ca-trustpoint)# fqdn vpn-demo.ashes.cc vpn-demo-1(config-ca-trustpoint)# subject-name cn=*.ashes.cc, ou=ashes-lab, o=ashes, c=ru vpn-demo-1(config-ca-trustpoint)# serial-number vpn-demo-1(config-ca-trustpoint)# crl configure vpn-demo-1(config-ca-crl)# cry ca enroll SELF % The fully-qualified domain name in the certificate will be: vpn-demo.ashes.cc Generate Self-Signed Certificate? [yes/no]: yes vpn-demo-1(config)# ! vpn-demo-1(config)# sh cry ca certificates Certificate Status: Available Certificate Serial Number: 4d43725e Certificate Usage: General Purpose Public Key Type: RSA (4096 bits) Signature Algorithm: SHA256 with RSA Encryption Issuer Name: serialNumber=9A439T02F95 hostname=vpn-demo.ashes.cc cn=*.ashes.cc ou=ashes-lab o=ashes c=ru Subject Name: serialNumber=9A439T02F95 hostname=vpn-demo.ashes.cc cn=*.ashes.cc ou=ashes-lab o=ashes c=ru Validity Date: start date: 00:16:17 MSK Mar 19 2020 end date: 00:16:17 MSK Mar 17 2030 Storage: config Associated Trustpoints: SELF CA Certificate Status: Available Certificate Serial Number: 0509 Certificate Usage: General Purpose Public Key Type: RSA (4096 bits) Signature Algorithm: SHA1 with RSA Encryption Issuer Name: cn=QuoVadis Root CA 2 o=QuoVadis Limited c=BM Subject Name: cn=QuoVadis Root CA 2 o=QuoVadis Limited c=BM Validity Date: start date: 21:27:00 MSK Nov 24 2006 end date: 21:23:33 MSK Nov 24 2031 Storage: config Associated Trustpoints: _SmartCallHome_ServerCA- ASDM-nin işlədiyini yoxlamaq üçün portu göstərməyi unutmayın, məsələn:
- Tunelin əsas parametrlərini yerinə yetirək:
- Korporativ şəbəkəni tunel vasitəsilə əlçatan edək və İnterneti birbaşa buraxaq (birləşdirən hostda qorunma yoxdursa, ən təhlükəsiz üsul deyil, yoluxmuş host vasitəsilə nüfuz etmək və korporativ məlumatları göstərmək mümkündür, seçim split-tunel-policy tunnelall bütün host trafikini tunelə buraxacaq. Buna baxmayaraq bölünmüş tunel VPN şlüzünü boşaltmağa və host İnternet trafikini emal etməməyə imkan verir)
- Gəlin 192.168.20.0/24 alt şəbəkəsindən tuneldəki hostlara ünvanlar verək (10-dan 30-a qədər ünvana (1 node üçün) hovuz). VPN klasterinin hər bir qovşağının öz hovuzu olmalıdır.
- ASA-da yerli olaraq yaradılmış istifadəçi ilə əsas autentifikasiya aparacağıq (bu tövsiyə edilmir, bu ən asan üsuldur), autentifikasiyanı vasitəsilə həyata keçirmək daha yaxşıdır. LDAP/RADIUSvə ya daha yaxşısı, qalstuk bağlamaq Çoxfaktorlu Doğrulama (MFA)misal Cisco DUO.
! vpn-demo-1(config)# ip local pool vpn-pool 192.168.20.10-192.168.20.30 mask 255.255.255.0 ! vpn-demo-1(config)# access-list split-tunnel standard permit 192.168.0.0 255.255.0.0 ! vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY internal vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY attributes vpn-demo-1(config-group-policy)# vpn-tunnel-protocol ssl-client vpn-demo-1(config-group-policy)# split-tunnel-policy tunnelspecified vpn-demo-1(config-group-policy)# split-tunnel-network-list value split-tunnel vpn-demo-1(config-group-policy)# dns-server value 192.168.99.132 vpn-demo-1(config-group-policy)# default-domain value ashes.cc vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes vpn-demo-1(config-tunnel-general)# default-group-policy SSL-VPN-GROUP-POLICY vpn-demo-1(config-tunnel-general)# address-pool vpn-pool ! vpn-demo-1(config)# username dkazakov password cisco vpn-demo-1(config)# username dkazakov attributes vpn-demo-1(config-username)# service-type remote-access ! vpn-demo-1(config)# ssl trust-point SELF vpn-demo-1(config)# webvpn vpn-demo-1(config-webvpn)# enable outside vpn-demo-1(config-webvpn)# anyconnect image disk0:/anyconnect-win-4.8.03036-webdeploy-k9.pkg vpn-demo-1(config-webvpn)# anyconnect enable !- (İstəyə bağlı): Yuxarıdakı misalda biz uzaqdan olan istifadəçiləri autentifikasiya etmək üçün BTİ-də yerli istifadəçidən istifadə etdik, bu, əlbəttə ki, laboratoriya istisna olmaqla, zəif tətbiq olunur. İdentifikasiya üçün parametri necə tez uyğunlaşdırmaq üçün bir nümunə verəcəyəm RADIUS server, məsələn, istifadə olunur Cisco Kimlik Xidmətləri Mühərriki:
vpn-demo-1(config-aaa-server-group)# dynamic-authorization vpn-demo-1(config-aaa-server-group)# interim-accounting-update vpn-demo-1(config-aaa-server-group)# aaa-server RADIUS (outside) host 192.168.99.134 vpn-demo-1(config-aaa-server-host)# key cisco vpn-demo-1(config-aaa-server-host)# exit vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes vpn-demo-1(config-tunnel-general)# authentication-server-group RADIUS !Bu inteqrasiya nəinki autentifikasiya prosedurunu AD kataloq xidməti ilə tez inteqrasiya etməyə, həm də qoşulmuş kompüterin AD-yə aid olub-olmadığını ayırd etməyə, bu cihazın korporativ və ya şəxsi olduğunu başa düşməyə və qoşulmuş cihazın vəziyyətini qiymətləndirməyə imkan verdi. .
- Gəlin Şəffaf NAT-ı elə konfiqurasiya edək ki, müştəri ilə korporativ şəbəkə şəbəkəsinin resursları arasında trafik cızıqlanmasın:
vpn-demo-1(config-network-object)# subnet 192.168.20.0 255.255.255.0 ! vpn-demo-1(config)# nat (inside,outside) source static any any destination static vpn-users vpn-users no-proxy-arp- (İSTEĞE BAĞLI): Müştərilərimizi ASA vasitəsilə İnternetə çıxarmaq üçün (istifadə edərkən tunnelall variantları) PAT istifadə edərək, həmçinin qoşulduqları eyni KARŞI interfeys vasitəsilə çıxmaq üçün aşağıdakı parametrləri etməlisiniz.
vpn-demo-1(config-network-object)# nat (outside,outside) source dynamic vpn-users interface vpn-demo-1(config)# nat (inside,outside) source dynamic any interface vpn-demo-1(config)# same-security-traffic permit intra-interface !- Bir klasterdən istifadə edərkən, daxili şəbəkənin istifadəçilərə qaytarılan trafiki hansı ASA-ya yönəltəcəyini anlamaq üçün son dərəcə vacibdir, bunun üçün müştərilərə verilən marşrutları / 32 ünvanı yenidən paylamalısınız.
Hazırda biz klasteri konfiqurasiya etməmişik, lakin bizdə FQDN və ya IP vasitəsilə fərdi olaraq qoşula bilən işləyən VPN şlüzlərimiz var.
İlk ASA-nın marşrutlaşdırma cədvəlində qoşulmuş müştərini görürük:
Bütün VPN klasterimizin və bütün korporativ şəbəkəmizin müştərimizə marşrutu bilməsi üçün biz müştəri prefiksini dinamik marşrutlaşdırma protokoluna, məsələn, OSPF-ə yenidən paylayacağıq:
! vpn-demo-1(config)# route-map RMAP-VPN-REDISTRIBUTE permit 1 vpn-demo-1(config-route-map)# match ip address VPN-REDISTRIBUTE ! vpn-demo-1(config)# router ospf 1 vpn-demo-1(config-router)# network 192.168.255.0 255.255.255.0 area 0 vpn-demo-1(config-router)# log-adj-changes vpn-demo-1(config-router)# redistribute static metric 5000 subnets route-map RMAP-VPN-REDISTRIBUTEİndi bizim ikinci ASA-2 şlüzündən müştəriyə marşrutumuz var və klaster daxilində müxtəlif VPN şlüzlərinə qoşulmuş istifadəçilər, məsələn, korporativ proqram telefonu vasitəsilə birbaşa əlaqə saxlaya, həmçinin istifadəçinin tələb etdiyi resurslardan trafiki qaytara bilərlər. istədiyiniz VPN şluzuna gəlin:
-
Load-Balancing klasterinin konfiqurasiyasına keçək.
192.168.31.40 ünvanı Virtual IP (VIP - bütün VPN müştəriləri əvvəlcə ona qoşulacaq) kimi istifadə olunacaq, bu ünvandan Master klaster daha az yüklənmiş klaster qovşağına YENİDİRİLMİŞ edəcək. Yazmağı unutmayın irəli və geri DNS qeydi həm klasterin hər bir qovşağının hər bir xarici ünvanı / FQDN, həm də VIP üçün.
vpn-demo-1(config)# vpn load-balancing vpn-demo-1(config-load-balancing)# interface lbpublic outside vpn-demo-1(config-load-balancing)# interface lbprivate inside vpn-demo-1(config-load-balancing)# priority 10 vpn-demo-1(config-load-balancing)# cluster ip address 192.168.31.40 vpn-demo-1(config-load-balancing)# cluster port 4000 vpn-demo-1(config-load-balancing)# redirect-fqdn enable vpn-demo-1(config-load-balancing)# cluster key cisco vpn-demo-1(config-load-balancing)# cluster encryption vpn-demo-1(config-load-balancing)# cluster port 9023 vpn-demo-1(config-load-balancing)# participate vpn-demo-1(config-load-balancing)#- İki bağlı müştəri ilə klasterin işini yoxlayırıq:
- ASDM vasitəsilə avtomatik yüklənən AnyConnect profili ilə müştəri təcrübəsini daha rahat edək.
Biz profili rahat şəkildə adlandırırıq və qrup siyasətimizi onunla əlaqələndiririk:
Müştərinin növbəti qoşulmasından sonra bu profil avtomatik olaraq AnyConnect müştərisində yüklənəcək və quraşdırılacaq, ona görə də qoşulmaq lazımdırsa, onu siyahıdan seçin:
Bu profili ASDM-dən istifadə edərək yalnız bir ASA-da yaratdığımız üçün, klasterdəki digər ASA-lardakı addımları təkrarlamağı unutmayın.
Nəticə: Beləliklə, biz tez bir zamanda avtomatik yük balansı ilə bir neçə VPN şlüzdən ibarət klaster yerləşdirdik. Yeni ASAv virtual maşınlarını yerləşdirmək və ya aparat ASA-larından istifadə etməklə sadə üfüqi miqyasla çoxluğa yeni qovşaqların əlavə edilməsi asandır. Funksiyalarla zəngin AnyConnect müştərisi istifadə edərək təhlükəsiz uzaqdan əlaqəni əhəmiyyətli dərəcədə artıra bilər Duruş (dövlət təxminləri), mərkəzləşdirilmiş nəzarət və giriş uçotu sistemi ilə birlikdə ən səmərəli şəkildə istifadə olunur Kimlik Xidmətləri Mühərriki.
Mənbə: www.habr.com