āĻāĻ āĻ¨āĻŋāĻŦāĻ¨ā§āĻ§ā§, āĻāĻŽāĻŋ āĻā§āĻāĻžāĻŦā§ āĻāĻĒāĻ¨āĻŋ āĻāĻ āĻŽā§āĻšā§āĻ°ā§āĻ¤ā§ āĻ¸āĻŦāĻā§āĻ¯āĻŧā§ āĻŽāĻžāĻĒāĻ¯ā§āĻā§āĻ¯ āĻ¸ā§āĻāĻŋāĻŽāĻāĻŋ āĻĻā§āĻ°ā§āĻ¤ āĻ¸ā§āĻĨāĻžāĻĒāĻ¨ āĻāĻ°āĻ¤ā§ āĻĒāĻžāĻ°ā§āĻ¨ āĻ¸ā§ āĻ¸āĻŽā§āĻĒāĻ°ā§āĻā§ āĻ§āĻžāĻĒā§ āĻ§āĻžāĻĒā§ āĻ¨āĻŋāĻ°ā§āĻĻā§āĻļāĻžāĻŦāĻ˛ā§ āĻĒā§āĻ°āĻĻāĻžāĻ¨ āĻāĻ°āĻ¤ā§ āĻāĻžāĻāĨ¤ āĻĻā§āĻ°āĻŦāĻ°ā§āĻ¤ā§ āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ VPN āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻāĻŋāĻ¤ā§āĻ¤āĻŋāĻ AnyConnect āĻāĻŦāĻ Cisco ASA - āĻāĻŋāĻĒāĻŋāĻāĻ¨ āĻ˛ā§āĻĄ āĻŦā§āĻ¯āĻžāĻ˛ā§āĻ¨ā§āĻ¸āĻŋāĻ āĻā§āĻ˛āĻžāĻ¸ā§āĻāĻžāĻ°.
āĻā§āĻŽāĻŋāĻāĻž: āĻŦāĻŋāĻļā§āĻŦāĻā§āĻĄāĻŧā§ āĻ āĻ¨ā§āĻ āĻā§āĻŽā§āĻĒāĻžāĻ¨āĻŋ, COVID-19-āĻāĻ° āĻŦāĻ°ā§āĻ¤āĻŽāĻžāĻ¨ āĻĒāĻ°āĻŋāĻ¸ā§āĻĨāĻŋāĻ¤āĻŋāĻ° āĻĒāĻ°āĻŋāĻĒā§āĻ°ā§āĻā§āĻˇāĻŋāĻ¤ā§, āĻ¤āĻžāĻĻā§āĻ° āĻāĻ°ā§āĻŽā§āĻĻā§āĻ° āĻĻā§āĻ°āĻŦāĻ°ā§āĻ¤ā§ āĻāĻžāĻā§ āĻ¸ā§āĻĨāĻžāĻ¨āĻžāĻ¨ā§āĻ¤āĻ° āĻāĻ°āĻžāĻ° āĻā§āĻˇā§āĻāĻž āĻāĻ°āĻā§āĨ¤ āĻĻā§āĻ°āĻŦāĻ°ā§āĻ¤ā§ āĻāĻžāĻā§āĻ° āĻāĻ¨ā§āĻ¯ āĻŦā§āĻ¯āĻžāĻĒāĻ āĻĒāĻ°āĻŋāĻŦāĻ°ā§āĻ¤āĻ¨ā§āĻ° āĻāĻžāĻ°āĻŖā§, āĻā§āĻŽā§āĻĒāĻžāĻ¨āĻŋāĻā§āĻ˛āĻŋāĻ° āĻŦāĻŋāĻĻā§āĻ¯āĻŽāĻžāĻ¨ āĻāĻŋāĻĒāĻŋāĻāĻ¨ āĻā§āĻāĻāĻ¯āĻŧā§āĻā§āĻ˛āĻŋāĻ° āĻ˛ā§āĻĄ āĻ¸āĻŽāĻžāĻ˛ā§āĻāĻ¨āĻžāĻŽā§āĻ˛āĻāĻāĻžāĻŦā§ āĻŦāĻžāĻĄāĻŧāĻā§ āĻāĻŦāĻ āĻ¤āĻžāĻĻā§āĻ° āĻ¸ā§āĻā§āĻ˛ āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻāĻāĻāĻŋ āĻā§āĻŦ āĻĻā§āĻ°ā§āĻ¤ āĻā§āĻˇāĻŽāĻ¤āĻž āĻĒā§āĻ°āĻ¯āĻŧā§āĻāĻ¨ā§ˇ āĻ āĻ¨ā§āĻ¯āĻĻāĻŋāĻā§, āĻ āĻ¨ā§āĻ āĻā§āĻŽā§āĻĒāĻžāĻ¨āĻŋ āĻ¸ā§āĻā§āĻ°ā§āĻ¯āĻžāĻ āĻĨā§āĻā§ āĻĻā§āĻ°āĻŦāĻ°ā§āĻ¤ā§ āĻāĻžāĻā§āĻ° āĻ§āĻžāĻ°āĻŖāĻžāĻāĻŋ āĻĻā§āĻ°ā§āĻ¤āĻ¤āĻžāĻ° āĻ¸āĻžāĻĨā§ āĻāĻ¯āĻŧāĻ¤ā§āĻ¤ āĻāĻ°āĻ¤ā§ āĻŦāĻžāĻ§ā§āĻ¯ āĻšāĻ¯āĻŧāĨ¤
āĻŦā§āĻ¯āĻŦāĻ¸āĻžāĻ¯āĻŧāĻā§āĻ˛āĻŋāĻā§ āĻāĻ°ā§āĻŽā§āĻĻā§āĻ° āĻāĻ¨ā§āĻ¯ āĻ¸ā§āĻŦāĻŋāĻ§āĻžāĻāĻ¨āĻ, āĻ¨āĻŋāĻ°āĻžāĻĒāĻĻ, āĻāĻŦāĻ āĻ¸ā§āĻā§āĻ˛āĻ¯ā§āĻā§āĻ¯ VPN āĻ
ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻĒā§āĻ¤ā§ āĻ¸āĻžāĻšāĻžāĻ¯ā§āĻ¯ āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯, Cisco 13 āĻ¸āĻĒā§āĻ¤āĻžāĻš āĻĒāĻ°ā§āĻ¯āĻ¨ā§āĻ¤ AnyConnect āĻŦā§āĻļāĻŋāĻˇā§āĻā§āĻ¯ āĻ¸āĻŽā§āĻĻā§āĻ§ SSL VPN āĻā§āĻ˛āĻžāĻ¯āĻŧā§āĻ¨ā§āĻāĻā§ āĻ˛āĻžāĻāĻ¸ā§āĻ¨ā§āĻ¸ āĻĻāĻŋāĻā§āĻā§ā§ˇ
āĻāĻŽāĻŋ āĻ¸āĻŦāĻā§āĻ¯āĻŧā§ āĻ¸ā§āĻā§āĻ˛ā§āĻŦāĻ˛ VPN āĻĒā§āĻ°āĻ¯ā§āĻā§āĻ¤āĻŋ āĻšāĻŋāĻ¸āĻžāĻŦā§ āĻāĻŋāĻĒāĻŋāĻāĻ¨ āĻ˛ā§āĻĄ-āĻŦā§āĻ¯āĻžāĻ˛ā§āĻ¨ā§āĻ¸āĻŋāĻ āĻā§āĻ˛āĻžāĻ¸ā§āĻāĻžāĻ°ā§āĻ° āĻāĻāĻāĻŋ āĻ¸āĻšāĻ āĻ¸ā§āĻĨāĻžāĻĒāĻ¨āĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻāĻāĻāĻŋ āĻ§āĻžāĻĒā§ āĻ§āĻžāĻĒā§ āĻ¨āĻŋāĻ°ā§āĻĻā§āĻļāĻŋāĻāĻž āĻĒā§āĻ°āĻ¸ā§āĻ¤ā§āĻ¤ āĻāĻ°ā§āĻāĻŋāĨ¤
āĻ¨ā§āĻā§āĻ° āĻāĻĻāĻžāĻšāĻ°āĻŖāĻāĻŋ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻž āĻĒā§āĻ°āĻŽāĻžāĻŖā§āĻāĻ°āĻŖ āĻāĻŦāĻ āĻ āĻ¨ā§āĻŽā§āĻĻāĻ¨ā§āĻ° āĻ ā§āĻ¯āĻžāĻ˛āĻāĻ°āĻŋāĻĻāĻŽāĻā§āĻ˛āĻŋāĻ° āĻĒāĻ°āĻŋāĻĒā§āĻ°ā§āĻā§āĻˇāĻŋāĻ¤ā§ āĻŦā§āĻļ āĻ¸āĻšāĻ āĻšāĻŦā§, āĻ¤āĻŦā§ āĻāĻāĻŋ āĻāĻāĻāĻŋ āĻĻā§āĻ°ā§āĻ¤ āĻļā§āĻ°ā§ āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻāĻāĻāĻŋ āĻāĻžāĻ˛ āĻŦāĻŋāĻāĻ˛ā§āĻĒ āĻšāĻŦā§ (āĻ¯āĻž āĻŦāĻ°ā§āĻ¤āĻŽāĻžāĻ¨ā§ āĻ āĻ¨ā§āĻā§āĻ° āĻāĻ¨ā§āĻ¯ āĻ¯āĻĨā§āĻˇā§āĻ āĻ¨āĻ¯āĻŧ) āĻ¸ā§āĻĨāĻžāĻĒāĻ¨āĻžāĻ° āĻ¸āĻŽāĻ¯āĻŧ āĻāĻĒāĻ¨āĻžāĻ° āĻĒā§āĻ°āĻ¯āĻŧā§āĻāĻ¨ā§āĻ° āĻ¸āĻžāĻĨā§ āĻāĻā§āĻ°āĻāĻžāĻŦā§ āĻ āĻāĻŋāĻ¯ā§āĻāĻ¨ā§āĻ° āĻ¸āĻŽā§āĻāĻžāĻŦāĻ¨āĻž āĻ°āĻ¯āĻŧā§āĻā§ āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻž
āĻ¸āĻāĻā§āĻˇāĻŋāĻĒā§āĻ¤ āĻ¤āĻĨā§āĻ¯: VPN āĻ˛ā§āĻĄ āĻŦā§āĻ¯āĻžāĻ˛ā§āĻ¨ā§āĻ¸āĻŋāĻ āĻā§āĻ˛āĻžāĻ¸ā§āĻāĻžāĻ° āĻĒā§āĻ°āĻ¯ā§āĻā§āĻ¤āĻŋ āĻāĻāĻāĻŋ āĻŦā§āĻ¯āĻ°ā§āĻĨāĻ¤āĻž āĻ¨āĻ¯āĻŧ āĻāĻŦāĻ āĻāĻ° āĻ¸ā§āĻĨāĻžāĻ¨ā§āĻ¯āĻŧ āĻ āĻ°ā§āĻĨā§ āĻāĻāĻāĻŋ āĻā§āĻ˛āĻžāĻ¸ā§āĻāĻžāĻ°āĻŋāĻ āĻĢāĻžāĻāĻļāĻ¨ āĻ¨āĻ¯āĻŧ, āĻāĻ āĻĒā§āĻ°āĻ¯ā§āĻā§āĻ¤āĻŋāĻāĻŋ āĻ°āĻŋāĻŽā§āĻ-āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ VPN āĻ¸āĻāĻ¯ā§āĻāĻā§āĻ˛āĻŋ āĻ˛ā§āĻĄ āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻ¸āĻŽā§āĻĒā§āĻ°ā§āĻŖ āĻāĻŋāĻ¨ā§āĻ¨ ASA āĻŽāĻĄā§āĻ˛āĻā§āĻ˛āĻŋāĻā§ (āĻ¨āĻŋāĻ°ā§āĻĻāĻŋāĻˇā§āĻ āĻ¸ā§āĻŽāĻžāĻŦāĻĻā§āĻ§āĻ¤āĻžāĻ° āĻ¸āĻžāĻĨā§) āĻāĻāĻ¤ā§āĻ°āĻŋāĻ¤ āĻāĻ°āĻ¤ā§ āĻĒāĻžāĻ°ā§āĨ¤ āĻāĻ āĻ§āĻ°āĻ¨ā§āĻ° āĻāĻāĻāĻŋ āĻā§āĻ˛āĻžāĻ¸ā§āĻāĻžāĻ°ā§āĻ° āĻ¨ā§āĻĄāĻā§āĻ˛āĻŋāĻ° āĻŽāĻ§ā§āĻ¯ā§ āĻ¸ā§āĻļāĻ¨ āĻāĻŦāĻ āĻāĻ¨āĻĢāĻŋāĻāĻžāĻ°ā§āĻļāĻ¨āĻā§āĻ˛āĻŋāĻ° āĻā§āĻ¨ āĻ¸āĻŋāĻā§āĻā§āĻ°ā§āĻ¨āĻžāĻāĻā§āĻļāĻ¨ āĻ¨ā§āĻ, āĻ¤āĻŦā§ āĻāĻāĻŋ āĻ¸ā§āĻŦāĻ¯āĻŧāĻāĻā§āĻ°āĻŋāĻ¯āĻŧāĻāĻžāĻŦā§ āĻŦā§āĻ¯āĻžāĻ˛ā§āĻ¨ā§āĻ¸ VPN āĻ¸āĻāĻ¯ā§āĻāĻā§āĻ˛āĻŋ āĻ˛ā§āĻĄ āĻāĻ°āĻž āĻāĻŦāĻ āĻ āĻ¨ā§āĻ¤āĻ¤ āĻāĻāĻāĻŋ āĻ¸āĻā§āĻ°āĻŋāĻ¯āĻŧ āĻ¨ā§āĻĄ āĻā§āĻ˛āĻžāĻ¸ā§āĻāĻžāĻ°ā§ āĻ¨āĻž āĻĨāĻžāĻāĻž āĻĒāĻ°ā§āĻ¯āĻ¨ā§āĻ¤ VPN āĻ¸āĻāĻ¯ā§āĻāĻā§āĻ˛āĻŋāĻ° āĻ¤ā§āĻ°ā§āĻāĻŋ āĻ¸āĻšāĻ¨āĻļā§āĻ˛āĻ¤āĻž āĻ¨āĻŋāĻļā§āĻāĻŋāĻ¤ āĻāĻ°āĻž āĻ¸āĻŽā§āĻāĻŦāĨ¤ āĻāĻŋāĻĒāĻŋāĻāĻ¨ āĻ¸ā§āĻļāĻ¨ā§āĻ° āĻ¸āĻāĻā§āĻ¯āĻž āĻĻā§āĻŦāĻžāĻ°āĻž āĻ¨ā§āĻĄā§āĻ° āĻāĻžāĻā§āĻ° āĻāĻžāĻĒā§āĻ° āĻāĻĒāĻ° āĻ¨āĻŋāĻ°ā§āĻāĻ° āĻāĻ°ā§ āĻā§āĻ˛āĻžāĻ¸ā§āĻāĻžāĻ°ā§ āĻ˛ā§āĻĄ āĻ¸ā§āĻŦāĻ¯āĻŧāĻāĻā§āĻ°āĻŋāĻ¯āĻŧāĻāĻžāĻŦā§ āĻāĻžāĻ°āĻ¸āĻžāĻŽā§āĻ¯āĻĒā§āĻ°ā§āĻŖ āĻšāĻ¯āĻŧāĨ¤
āĻā§āĻ˛āĻžāĻ¸ā§āĻāĻžāĻ°ā§āĻ° āĻ¨āĻŋāĻ°ā§āĻĻāĻŋāĻˇā§āĻ āĻ¨ā§āĻĄā§āĻ° āĻŦā§āĻ¯āĻ°ā§āĻĨāĻ¤āĻžāĻ° āĻāĻ¨ā§āĻ¯ (āĻ¯āĻĻāĻŋ āĻĒā§āĻ°āĻ¯āĻŧā§āĻāĻ¨ āĻšāĻ¯āĻŧ), āĻāĻāĻāĻŋ āĻĢāĻžāĻāĻ˛āĻžāĻ° āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻž āĻ¯ā§āĻ¤ā§ āĻĒāĻžāĻ°ā§, āĻ¤āĻžāĻ āĻ¸āĻā§āĻ°āĻŋāĻ¯āĻŧ āĻ¸āĻāĻ¯ā§āĻāĻāĻŋ āĻĢāĻžāĻāĻ˛āĻžāĻ°ā§āĻ° āĻĒā§āĻ°āĻžāĻĨāĻŽāĻŋāĻ āĻ¨ā§āĻĄ āĻĻā§āĻŦāĻžāĻ°āĻž āĻĒāĻ°āĻŋāĻāĻžāĻ˛āĻŋāĻ¤ āĻšāĻŦā§āĨ¤ āĻ˛ā§āĻĄ-āĻŦā§āĻ¯āĻžāĻ˛ā§āĻ¨ā§āĻ¸āĻŋāĻ āĻā§āĻ˛āĻžāĻ¸ā§āĻāĻžāĻ°ā§āĻ° āĻŽāĻ§ā§āĻ¯ā§ āĻ¤ā§āĻ°ā§āĻāĻŋ āĻ¸āĻšāĻ¨āĻļā§āĻ˛āĻ¤āĻž āĻ¨āĻŋāĻļā§āĻāĻŋāĻ¤ āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻĢāĻžāĻāĻ˛āĻāĻāĻžāĻ° āĻāĻāĻāĻŋ āĻĒā§āĻ°āĻ¯āĻŧā§āĻāĻ¨ā§āĻ¯āĻŧ āĻļāĻ°ā§āĻ¤ āĻ¨āĻ¯āĻŧ, āĻā§āĻ˛āĻžāĻ¸ā§āĻāĻžāĻ° āĻ¨āĻŋāĻā§āĻ, āĻāĻāĻāĻŋ āĻ¨ā§āĻĄ āĻŦā§āĻ¯āĻ°ā§āĻĨāĻ¤āĻžāĻ° āĻā§āĻˇā§āĻ¤ā§āĻ°ā§, āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§āĻ° āĻ¸ā§āĻļāĻ¨āĻāĻŋāĻā§ āĻ āĻ¨ā§āĻ¯ āĻ˛āĻžāĻāĻ āĻ¨ā§āĻĄā§ āĻ¸ā§āĻĨāĻžāĻ¨āĻžāĻ¨ā§āĻ¤āĻ° āĻāĻ°āĻŦā§, āĻāĻŋāĻ¨ā§āĻ¤ā§ āĻ¸āĻāĻ¯ā§āĻā§āĻ° āĻ āĻŦāĻ¸ā§āĻĨāĻž āĻ¸āĻāĻ°āĻā§āĻˇāĻŖ āĻ¨āĻž āĻāĻ°ā§, āĻ¯āĻž āĻ¸āĻ āĻŋāĻāĻāĻžāĻŦā§ āĻĢāĻžāĻāĻ˛āĻžāĻ° āĻĻā§āĻŦāĻžāĻ°āĻž āĻĒā§āĻ°āĻĻāĻ¤ā§āĻ¤āĨ¤ āĻ¤āĻĻāĻ¨ā§āĻ¸āĻžāĻ°ā§, āĻĒā§āĻ°āĻ¯āĻŧā§āĻāĻ¨ āĻšāĻ˛ā§ āĻāĻ āĻĻā§āĻāĻŋ āĻĒā§āĻ°āĻ¯ā§āĻā§āĻ¤āĻŋāĻā§ āĻāĻāĻ¤ā§āĻ°āĻŋāĻ¤ āĻāĻ°āĻž āĻ¸āĻŽā§āĻāĻŦāĨ¤
āĻāĻāĻāĻŋ VPN āĻ˛ā§āĻĄ-āĻŦā§āĻ¯āĻžāĻ˛ā§āĻ¨ā§āĻ¸āĻŋāĻ āĻā§āĻ˛āĻžāĻ¸ā§āĻāĻžāĻ°ā§ āĻĻā§āĻāĻŋāĻ° āĻŦā§āĻļāĻŋ āĻ¨ā§āĻĄ āĻĨāĻžāĻāĻ¤ā§ āĻĒāĻžāĻ°ā§āĨ¤
VPN āĻ˛ā§āĻĄ-āĻŦā§āĻ¯āĻžāĻ˛ā§āĻ¨ā§āĻ¸āĻŋāĻ āĻā§āĻ˛āĻžāĻ¸ā§āĻāĻžāĻ° ASA 5512-X āĻāĻŦāĻ āĻ¤āĻžāĻ° āĻāĻĒāĻ°ā§ āĻ¸āĻŽāĻ°ā§āĻĨāĻŋāĻ¤āĨ¤
āĻ¯ā§āĻšā§āĻ¤ā§ VPN āĻ˛ā§āĻĄ-āĻŦā§āĻ¯āĻžāĻ˛ā§āĻ¨ā§āĻ¸āĻŋāĻ āĻā§āĻ˛āĻžāĻ¸ā§āĻāĻžāĻ°ā§āĻ° āĻĒā§āĻ°āĻ¤āĻŋāĻāĻŋ ASA āĻ¸ā§āĻāĻŋāĻāĻ¸ā§āĻ° āĻĒāĻ°āĻŋāĻĒā§āĻ°ā§āĻā§āĻˇāĻŋāĻ¤ā§ āĻāĻāĻāĻŋ āĻ¸ā§āĻŦāĻžāĻ§ā§āĻ¨ āĻāĻāĻ¨āĻŋāĻ, āĻ¤āĻžāĻ āĻāĻŽāĻ°āĻž āĻĒā§āĻ°āĻ¤āĻŋāĻāĻŋ āĻĒā§āĻĨāĻ āĻĄāĻŋāĻāĻžāĻāĻ¸ā§ āĻĒā§āĻĨāĻāĻāĻžāĻŦā§ āĻ¸āĻŽāĻ¸ā§āĻ¤ āĻāĻ¨āĻĢāĻŋāĻāĻžāĻ°ā§āĻļāĻ¨ āĻĒāĻĻāĻā§āĻˇā§āĻĒāĻā§āĻ˛āĻŋ āĻ¸āĻŽā§āĻĒāĻžāĻĻāĻ¨ āĻāĻ°āĻŋāĨ¤
āĻĒā§āĻ°āĻĻāĻ¤ā§āĻ¤ āĻāĻĻāĻžāĻšāĻ°āĻŖā§āĻ° āĻ˛āĻāĻŋāĻā§āĻ¯āĻžāĻ˛ āĻāĻĒā§āĻ˛āĻāĻŋ:
āĻĒā§āĻ°āĻžāĻĨāĻŽāĻŋāĻ āĻ¸ā§āĻĨāĻžāĻĒāĻ¨āĻž:
-
āĻāĻŽāĻ°āĻž āĻāĻŽā§āĻ āĻĨā§āĻā§ āĻāĻŽāĻžāĻĻā§āĻ° āĻĒā§āĻ°āĻ¯āĻŧā§āĻāĻ¨ā§āĻ¯āĻŧ āĻā§āĻŽāĻĒā§āĻ˛ā§āĻāĻā§āĻ˛āĻŋāĻ° ASAv āĻĻā§āĻˇā§āĻāĻžāĻ¨ā§āĻ¤ āĻ¸ā§āĻĨāĻžāĻĒāĻ¨ āĻāĻ°āĻŋ (ASAv5/10/30/50)āĨ¤
-
āĻāĻŽāĻ°āĻž āĻāĻāĻ VLAN-āĻ INSIDE/OUTSIDE āĻāĻ¨ā§āĻāĻžāĻ°āĻĢā§āĻ¸āĻā§āĻ˛āĻŋ āĻŦāĻ°āĻžāĻĻā§āĻĻ āĻāĻ°āĻŋ (āĻāĻ° āĻ¨āĻŋāĻāĻ¸ā§āĻŦ VLAN-āĻāĻ° āĻŦāĻžāĻāĻ°ā§, āĻ¨āĻŋāĻā§āĻ° āĻŽāĻ§ā§āĻ¯ā§ āĻāĻŋāĻ¤āĻ°ā§, āĻāĻŋāĻ¨ā§āĻ¤ā§ āĻ¸āĻžāĻ§āĻžāĻ°āĻŖāĻ¤ āĻā§āĻ˛āĻžāĻ¸ā§āĻāĻžāĻ°ā§āĻ° āĻŽāĻ§ā§āĻ¯ā§, āĻāĻĒā§āĻ˛āĻāĻŋ āĻĻā§āĻā§āĻ¨), āĻāĻāĻŋ āĻā§āĻ°ā§āĻ¤ā§āĻŦāĻĒā§āĻ°ā§āĻŖ āĻ¯ā§ āĻāĻāĻ āĻ§āĻ°āĻŖā§āĻ° āĻāĻ¨ā§āĻāĻžāĻ°āĻĢā§āĻ¸āĻā§āĻ˛āĻŋ āĻāĻāĻ L2 āĻ¸ā§āĻāĻŽā§āĻ¨ā§āĻā§ āĻĨāĻžāĻā§āĨ¤
-
āĻ˛āĻžāĻāĻ¸ā§āĻ¨ā§āĻ¸:
- āĻāĻ āĻŽā§āĻšā§āĻ°ā§āĻ¤ā§ ASAv āĻāĻ¨āĻ¸ā§āĻāĻ˛ā§āĻļāĻ¨ā§āĻ° āĻā§āĻ¨ā§ āĻ˛āĻžāĻāĻ¸ā§āĻ¨ā§āĻ¸ āĻĨāĻžāĻāĻŦā§ āĻ¨āĻž āĻāĻŦāĻ āĻāĻāĻŋ 100kbps-āĻ āĻ¸ā§āĻŽāĻžāĻŦāĻĻā§āĻ§ āĻĨāĻžāĻāĻŦā§āĨ¤
- āĻāĻāĻāĻŋ āĻ˛āĻžāĻāĻ¸ā§āĻ¨ā§āĻ¸ āĻāĻ¨āĻ¸ā§āĻāĻ˛ āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯, āĻāĻĒāĻ¨āĻžāĻā§ āĻāĻĒāĻ¨āĻžāĻ° āĻ¸ā§āĻŽāĻžāĻ°ā§āĻ-āĻ
ā§āĻ¯āĻžāĻāĻžāĻāĻ¨ā§āĻā§ āĻāĻāĻāĻŋ āĻā§āĻā§āĻ¨ āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻ¤ā§ āĻšāĻŦā§:
https://software.cisco.com/ -> āĻ¸ā§āĻŽāĻžāĻ°ā§āĻ āĻ¸āĻĢāĻāĻāĻ¯āĻŧā§āĻ¯āĻžāĻ° āĻ˛āĻžāĻāĻ¸ā§āĻ¨ā§āĻ¸āĻŋāĻ - āĻ¯ā§ āĻāĻāĻ¨ā§āĻĄā§āĻāĻŋ āĻā§āĻ˛ā§, āĻ¸ā§āĻāĻžāĻ¨ā§ āĻŦā§āĻ¤āĻžāĻŽāĻāĻŋ āĻā§āĻ˛āĻŋāĻ āĻāĻ°ā§āĻ¨ āĻ¨āĻ¤ā§āĻ¨ āĻā§āĻā§āĻ¨
- āĻ¯ā§ āĻāĻāĻ¨ā§āĻĄā§āĻāĻŋ āĻā§āĻ˛ā§ āĻ¸ā§āĻāĻžāĻ¨ā§ āĻāĻāĻāĻŋ āĻ¸āĻā§āĻ°āĻŋāĻ¯āĻŧ āĻā§āĻˇā§āĻ¤ā§āĻ° āĻ°āĻ¯āĻŧā§āĻā§ āĻāĻŦāĻ āĻāĻāĻāĻŋ āĻā§āĻāĻŽāĻžāĻ°ā§āĻ āĻā§āĻ āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻā§ āĻ¤āĻž āĻ¨āĻŋāĻļā§āĻāĻŋāĻ¤ āĻāĻ°ā§āĻ¨ āĻ°āĻĒā§āĻ¤āĻžāĻ¨āĻŋ-āĻ¨āĻŋāĻ¯āĻŧāĻ¨ā§āĻ¤ā§āĻ°āĻŋāĻ¤ āĻāĻžāĻ°ā§āĻ¯āĻāĻžāĻ°āĻŋāĻ¤āĻžāĻ° āĻ āĻ¨ā§āĻŽāĻ¤āĻŋ āĻĻāĻŋāĻ¨âĻ āĻāĻ āĻā§āĻˇā§āĻ¤ā§āĻ°āĻāĻŋ āĻ¸āĻā§āĻ°āĻŋāĻ¯āĻŧ āĻ¨āĻž āĻšāĻ˛ā§, āĻāĻĒāĻ¨āĻŋ āĻļāĻā§āĻ¤āĻŋāĻļāĻžāĻ˛ā§ āĻāĻ¨āĻā§āĻ°āĻŋāĻĒāĻļāĻ¨ āĻāĻŦāĻ āĻ¸ā§āĻ āĻ āĻ¨ā§āĻ¯āĻžāĻ¯āĻŧā§, VPN āĻāĻ° āĻĢāĻžāĻāĻļāĻ¨ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻ¤ā§ āĻĒāĻžāĻ°āĻŦā§āĻ¨ āĻ¨āĻžāĨ¤ āĻ¯āĻĻāĻŋ āĻāĻ āĻā§āĻˇā§āĻ¤ā§āĻ°āĻāĻŋ āĻ¸āĻā§āĻ°āĻŋāĻ¯āĻŧ āĻ¨āĻž āĻĨāĻžāĻā§, āĻ¤āĻžāĻšāĻ˛ā§ āĻ āĻ¨ā§āĻā§āĻ°āĻš āĻāĻ°ā§ āĻāĻāĻāĻŋ āĻ¸āĻā§āĻ°āĻŋāĻ¯āĻŧāĻāĻ°āĻŖ āĻ āĻ¨ā§āĻ°ā§āĻ§ āĻ¸āĻš āĻāĻĒāĻ¨āĻžāĻ° āĻ ā§āĻ¯āĻžāĻāĻžāĻāĻ¨ā§āĻ āĻāĻŋāĻŽā§āĻ° āĻ¸āĻžāĻĨā§ āĻ¯ā§āĻāĻžāĻ¯ā§āĻ āĻāĻ°ā§āĻ¨ā§ˇ
- āĻŦā§āĻ¤āĻžāĻŽ āĻāĻŋāĻĒāĻžāĻ¨ā§āĻ° āĻĒāĻ°ā§ āĻā§āĻā§āĻ¨ āĻ¤ā§āĻ°āĻŋ āĻāĻ°ā§āĻ¨, āĻāĻāĻāĻŋ āĻā§āĻā§āĻ¨ āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻž āĻšāĻŦā§ āĻ¯āĻž āĻāĻŽāĻ°āĻž ASAv-āĻāĻ° āĻ˛āĻžāĻāĻ¸ā§āĻ¨ā§āĻ¸ āĻĒā§āĻ¤ā§ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻŦ, āĻāĻāĻŋ āĻ āĻ¨ā§āĻ˛āĻŋāĻĒāĻŋ āĻāĻ°ā§āĻ¨:
- āĻĒā§āĻ°āĻ¤āĻŋāĻāĻŋ āĻ¸ā§āĻĨāĻžāĻĒāĻ¨ āĻāĻ°āĻž ASAv-āĻāĻ° āĻāĻ¨ā§āĻ¯ C, D, E āĻ§āĻžāĻĒāĻā§āĻ˛āĻŋ āĻĒā§āĻ¨āĻ°āĻžāĻŦā§āĻ¤ā§āĻ¤āĻŋ āĻāĻ°ā§āĻ¨āĨ¤
- āĻā§āĻā§āĻ¨ āĻ āĻ¨ā§āĻ˛āĻŋāĻĒāĻŋ āĻāĻ°āĻž āĻ¸āĻšāĻ āĻāĻ°āĻ¤ā§, āĻāĻ˛ā§āĻ¨ āĻ¸āĻžāĻŽāĻ¯āĻŧāĻŋāĻāĻāĻžāĻŦā§ āĻā§āĻ˛āĻ¨ā§āĻāĻā§ āĻ āĻ¨ā§āĻŽāĻ¤āĻŋ āĻĻā§āĻāĻ¯āĻŧāĻž āĻ¯āĻžāĻāĨ¤ āĻāĻ¸ā§āĻ¨ āĻĒā§āĻ°āĻ¤āĻŋāĻāĻŋ ASA āĻāĻ¨āĻĢāĻŋāĻāĻžāĻ° āĻāĻ°āĻŋ (āĻ¨ā§āĻā§āĻ° āĻāĻĻāĻžāĻšāĻ°āĻŖāĻāĻŋ ASA-1-āĻāĻ° āĻ¸ā§āĻāĻŋāĻāĻ¸ āĻāĻŋāĻ¤ā§āĻ°āĻŋāĻ¤ āĻāĻ°ā§)āĨ¤ āĻā§āĻ˛āĻ¨ā§āĻ āĻŦāĻžāĻāĻ°ā§āĻ° āĻ¸āĻžāĻĨā§ āĻāĻžāĻ āĻāĻ°ā§ āĻ¨āĻž, āĻ¯āĻĻāĻŋ āĻāĻĒāĻ¨āĻžāĻ° āĻ¸āĻ¤ā§āĻ¯āĻŋāĻ āĻāĻāĻŋāĻ° āĻĒā§āĻ°āĻ¯āĻŧā§āĻāĻ¨ āĻšāĻ¯āĻŧ, āĻ¨āĻŋāĻ°āĻžāĻĒāĻ¤ā§āĻ¤āĻž-āĻ¸ā§āĻ¤āĻ° āĻĒāĻ°āĻŋāĻŦāĻ°ā§āĻ¤āĻ¨ āĻāĻ°ā§ 100 āĻĨā§āĻā§ āĻŦāĻžāĻāĻ°ā§, āĻ¤āĻžāĻ°āĻĒāĻ°ā§ āĻāĻāĻŋ āĻĢāĻŋāĻ°āĻŋāĻ¯āĻŧā§ āĻĻāĻŋāĻ¨āĨ¤
! ciscoasa(config)# int gi0/0 ciscoasa(config)# nameif outside ciscoasa(config)# ip address 192.168.31.30 255.255.255.0 ciscoasa(config)# no shut ! ciscoasa(config)# int gi0/1 ciscoasa(config)# nameif inside ciscoasa(config)# ip address 192.168.255.2 255.255.255.0 ciscoasa(config)# no shut ! ciscoasa(config)# telnet 0 0 inside ciscoasa(config)# username admin password cisco priv 15 ciscoasa(config)# ena password cisco ciscoasa(config)# aaa authentication telnet console LOCAL ! ciscoasa(config)# route outside 0 0 192.168.31.1 ! ciscoasa(config)# wr !
- āĻ¸ā§āĻŽāĻžāĻ°ā§āĻ-āĻ
ā§āĻ¯āĻžāĻāĻžāĻāĻ¨ā§āĻ āĻā§āĻ˛āĻžāĻāĻĄā§ āĻāĻāĻāĻŋ āĻā§āĻā§āĻ¨ āĻ¨āĻŋāĻŦāĻ¨ā§āĻ§āĻ¨ āĻāĻ°āĻ¤ā§, āĻāĻĒāĻ¨āĻžāĻā§ āĻ
āĻŦāĻļā§āĻ¯āĻ ASA-āĻāĻ° āĻāĻ¨ā§āĻ¯ āĻāĻ¨ā§āĻāĻžāĻ°āĻ¨ā§āĻ āĻ
ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻĒā§āĻ°āĻĻāĻžāĻ¨ āĻāĻ°āĻ¤ā§ āĻšāĻŦā§,
āĻŦāĻŋāĻ¸ā§āĻ¤āĻžāĻ°āĻŋāĻ¤ āĻāĻāĻžāĻ¨ā§ .
āĻ¸āĻāĻā§āĻˇā§āĻĒā§, ASA āĻĒā§āĻ°āĻ¯āĻŧā§āĻāĻ¨:
- āĻāĻ¨ā§āĻāĻžāĻ°āĻ¨ā§āĻā§ HTTPS āĻāĻ° āĻŽāĻžāĻ§ā§āĻ¯āĻŽā§ āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸;
- āĻ¸āĻŽāĻ¯āĻŧ āĻ¸āĻŋāĻā§āĻā§āĻ°ā§āĻ¨āĻžāĻāĻā§āĻļāĻ¨ (āĻāĻ°āĻ āĻ¸āĻ āĻŋāĻāĻāĻžāĻŦā§, NTP āĻāĻ° āĻŽāĻžāĻ§ā§āĻ¯āĻŽā§);
- āĻ¨āĻŋāĻŦāĻ¨ā§āĻ§āĻŋāĻ¤ DNS āĻ¸āĻžāĻ°ā§āĻāĻžāĻ°;
- āĻāĻŽāĻ°āĻž āĻāĻŽāĻžāĻĻā§āĻ° ASA-āĻ¤ā§ āĻā§āĻ˛āĻ¨ā§āĻ āĻāĻ°āĻŋ āĻāĻŦāĻ āĻ¸ā§āĻŽāĻžāĻ°ā§āĻ-āĻ ā§āĻ¯āĻžāĻāĻžāĻāĻ¨ā§āĻā§āĻ° āĻŽāĻžāĻ§ā§āĻ¯āĻŽā§ āĻ˛āĻžāĻāĻ¸ā§āĻ¨ā§āĻ¸ āĻ¸āĻā§āĻ°āĻŋāĻ¯āĻŧ āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻ¸ā§āĻāĻŋāĻāĻ¸ āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻŋāĨ¤
! ciscoasa(config)# clock set 19:21:00 Mar 18 2020 ciscoasa(config)# clock timezone MSK 3 ciscoasa(config)# ntp server 192.168.99.136 ! ciscoasa(config)# dns domain-lookup outside ciscoasa(config)# DNS server-group DefaultDNS ciscoasa(config-dns-server-group)# name-server 192.168.99.132 ! ! ĐŅОвĐĩŅиĐŧ ŅайОŅŅ DNS: ! ciscoasa(config-dns-server-group)# ping ya.ru Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 87.250.250.242, timeout is 2 seconds: !!!!! ! ! ĐŅОвĐĩŅиĐŧ ŅиĐŊŅ ŅĐžĐŊиСаŅиŅ NTP: ! ciscoasa(config)# show ntp associations address ref clock st when poll reach delay offset disp *~192.168.99.136 91.189.94.4 3 63 64 1 36.7 1.85 17.5 * master (synced), # master (unsynced), + selected, - candidate, ~ configured ! ! ĐŖŅŅĐ°ĐŊОвиĐŧ ĐēĐžĐŊŅиĐŗŅŅĐ°ŅиŅ ĐŊĐ°ŅĐĩĐš ASAv Đ´ĐģŅ Smart-Licensing (в ŅООŅвĐĩŅŅŅвии Ņ ĐĐ°ŅиĐŧ ĐŋŅĐžŅиĐģĐĩĐŧ, в ĐŧĐžĐĩĐŧ ŅĐģŅŅĐ°Đĩ 100Đ Đ´ĐģŅ ĐŋŅиĐŧĐĩŅĐ°) ! ciscoasa(config)# license smart ciscoasa(config-smart-lic)# feature tier standard ciscoasa(config-smart-lic)# throughput level 100M ! ! Đ ŅĐģŅŅĐ°Đĩ ĐŊĐĩОйŅ ОдиĐŧĐžŅŅи ĐŧĐžĐļĐŊĐž ĐŊĐ°ŅŅŅОиŅŅ Đ´ĐžŅŅŅĐŋ в ĐĐŊŅĐĩŅĐŊĐĩŅ ŅĐĩŅĐĩС ĐŋŅĐžĐēŅи иŅĐŋĐžĐģŅСŅĐšŅĐĩ ŅĐģĐĩĐ´ŅŅŅиК ĐąĐģĐžĐē ĐēĐžĐŧĐ°ĐŊĐ´: !call-home ! http-proxy ip_address port port ! ! ĐĐ°ĐģĐĩĐĩ ĐŧŅ вŅŅавĐģŅĐĩĐŧ ŅĐēĐžĐŋиŅОваĐŊĐŊŅĐš иС ĐŋĐžŅŅĐ°ĐģĐ° Smart-Account ŅĐžĐēĐĩĐŊ (<token>) и ŅĐĩĐŗиŅŅŅиŅŅĐĩĐŧ ĐģиŅĐĩĐŊСиŅ ! ciscoasa(config)# end ciscoasa# license smart register idtoken <token>
- āĻāĻŽāĻ°āĻž āĻĒāĻ°ā§āĻā§āĻˇāĻž āĻāĻ°āĻŋ āĻ¯ā§ āĻĄāĻŋāĻāĻžāĻāĻ¸āĻāĻŋ āĻ¸āĻĢāĻ˛āĻāĻžāĻŦā§ āĻāĻāĻāĻŋ āĻ˛āĻžāĻāĻ¸ā§āĻ¨ā§āĻ¸ āĻ¨āĻŋāĻŦāĻ¨ā§āĻ§āĻ¨ āĻāĻ°ā§āĻā§ āĻāĻŦāĻ āĻāĻ¨āĻā§āĻ°āĻŋāĻĒāĻļāĻ¨ āĻŦāĻŋāĻāĻ˛ā§āĻĒāĻā§āĻ˛āĻŋ āĻāĻĒāĻ˛āĻŦā§āĻ§ āĻ°āĻ¯āĻŧā§āĻā§:
-
āĻĒā§āĻ°āĻ¤āĻŋāĻāĻŋ āĻā§āĻāĻāĻ¯āĻŧā§āĻ¤ā§ āĻāĻāĻāĻŋ āĻŽā§āĻ˛āĻŋāĻ SSL-VPN āĻ¸ā§āĻ āĻāĻĒ āĻāĻ°ā§āĻ¨
- āĻĒāĻ°āĻŦāĻ°ā§āĻ¤ā§, SSH āĻāĻŦāĻ ASDM āĻāĻ° āĻŽāĻžāĻ§ā§āĻ¯āĻŽā§ āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻāĻ¨āĻĢāĻŋāĻāĻžāĻ° āĻāĻ°ā§āĻ¨:
ciscoasa(config)# ssh ver 2 ciscoasa(config)# aaa authentication ssh console LOCAL ciscoasa(config)# aaa authentication http console LOCAL ciscoasa(config)# hostname vpn-demo-1 vpn-demo-1(config)# domain-name ashes.cc vpn-demo-1(config)# cry key gen rsa general-keys modulus 4096 vpn-demo-1(config)# ssh 0 0 inside vpn-demo-1(config)# http 0 0 inside ! ! ĐОдĐŊиĐŧĐĩĐŧ ŅĐĩŅвĐĩŅ HTTPS Đ´ĐģŅ ASDM ĐŊĐ° ĐŋĐžŅŅŅ 445 ŅŅОйŅ ĐŊĐĩ ĐŋĐĩŅĐĩŅĐĩĐēĐ°ŅŅŅŅ Ņ SSL-VPN ĐŋĐžŅŅĐ°ĐģĐžĐŧ ! vpn-demo-1(config)# http server enable 445 !
- ASDM-āĻāĻ° āĻāĻžāĻ āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯, āĻāĻĒāĻ¨āĻžāĻā§ āĻĒā§āĻ°āĻĨāĻŽā§ cisco.com āĻāĻ¯āĻŧā§āĻŦāĻ¸āĻžāĻāĻ āĻĨā§āĻā§ āĻāĻāĻŋ āĻĄāĻžāĻāĻ¨āĻ˛ā§āĻĄ āĻāĻ°āĻ¤ā§ āĻšāĻŦā§, āĻāĻŽāĻžāĻ° āĻā§āĻˇā§āĻ¤ā§āĻ°ā§ āĻāĻāĻŋ āĻ¨āĻŋāĻŽā§āĻ¨āĻ˛āĻŋāĻāĻŋāĻ¤ āĻĢāĻžāĻāĻ˛:
- AnyConnect āĻā§āĻ˛āĻžāĻ¯āĻŧā§āĻ¨ā§āĻ āĻāĻžāĻ āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯, āĻāĻĒāĻ¨āĻžāĻā§ āĻĒā§āĻ°āĻ¤āĻŋāĻāĻŋ ASA-āĻ¤ā§ āĻĒā§āĻ°āĻ¤āĻŋāĻāĻŋ āĻŦā§āĻ¯āĻŦāĻšā§āĻ¤ āĻā§āĻ˛āĻžāĻ¯āĻŧā§āĻ¨ā§āĻ āĻĄā§āĻ¸ā§āĻāĻāĻĒ OS (āĻ˛āĻŋāĻ¨āĻžāĻā§āĻ¸/āĻāĻāĻ¨ā§āĻĄā§āĻ/āĻŽā§āĻ¯āĻžāĻ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻžāĻ° āĻĒāĻ°āĻŋāĻāĻ˛ā§āĻĒāĻ¨āĻž āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻā§) āĻāĻ¨ā§āĻ¯ āĻāĻāĻāĻŋ āĻāĻŦāĻŋ āĻāĻĒāĻ˛ā§āĻĄ āĻāĻ°āĻ¤ā§ āĻšāĻŦā§, āĻāĻĒāĻ¨āĻžāĻ° āĻ¸āĻžāĻĨā§ āĻāĻāĻāĻŋ āĻĢāĻžāĻāĻ˛ā§āĻ° āĻĒā§āĻ°āĻ¯āĻŧā§āĻāĻ¨ āĻšāĻŦā§ āĻšā§āĻĄāĻāĻ¨ā§āĻĄ āĻĄāĻŋāĻĒā§āĻ˛āĻ¯āĻŧāĻŽā§āĻ¨ā§āĻ āĻĒā§āĻ¯āĻžāĻā§āĻ āĻļāĻŋāĻ°ā§āĻ¨āĻžāĻŽā§:
- āĻĄāĻžāĻāĻ¨āĻ˛ā§āĻĄ āĻāĻ°āĻž āĻĢāĻžāĻāĻ˛āĻā§āĻ˛āĻŋ āĻāĻĒāĻ˛ā§āĻĄ āĻāĻ°āĻž āĻ¯ā§āĻ¤ā§ āĻĒāĻžāĻ°ā§, āĻāĻĻāĻžāĻšāĻ°āĻŖāĻ¸ā§āĻŦāĻ°ā§āĻĒ, āĻāĻāĻāĻŋ FTP āĻ¸āĻžāĻ°ā§āĻāĻžāĻ°ā§ āĻāĻŦāĻ āĻĒā§āĻ°āĻ¤āĻŋāĻāĻŋ āĻĒā§āĻĨāĻ ASA-āĻ¤ā§ āĻāĻĒāĻ˛ā§āĻĄ āĻāĻ°āĻž āĻ¯ā§āĻ¤ā§ āĻĒāĻžāĻ°ā§:
- āĻāĻŽāĻ°āĻž SSL-VPN āĻāĻ° āĻāĻ¨ā§āĻ¯ ASDM āĻāĻŦāĻ āĻ¸ā§āĻŦ-āĻ¸ā§āĻŦāĻžāĻā§āĻˇāĻ°āĻŋāĻ¤ āĻļāĻāĻ¸āĻžāĻĒāĻ¤ā§āĻ° āĻāĻ¨āĻĢāĻŋāĻāĻžāĻ° āĻāĻ°āĻŋ (āĻāĻāĻŋ āĻāĻ¤ā§āĻĒāĻžāĻĻāĻ¨ā§ āĻāĻāĻāĻŋ āĻŦāĻŋāĻļā§āĻŦāĻ¸ā§āĻ¤ āĻļāĻāĻ¸āĻžāĻĒāĻ¤ā§āĻ° āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻžāĻ° āĻĒāĻ°āĻžāĻŽāĻ°ā§āĻļ āĻĻā§āĻāĻ¯āĻŧāĻž āĻšāĻ¯āĻŧ)āĨ¤ āĻāĻžāĻ°ā§āĻā§āĻ¯āĻŧāĻžāĻ˛ āĻā§āĻ˛āĻžāĻ¸ā§āĻāĻžāĻ° āĻ ā§āĻ¯āĻžāĻĄā§āĻ°ā§āĻ¸ (vpn-demo.ashes.cc) āĻāĻ° āĻ¸ā§āĻ FQDN, āĻ¸ā§āĻāĻ¸āĻžāĻĨā§ āĻĒā§āĻ°āĻ¤āĻŋāĻāĻŋ āĻā§āĻ˛āĻžāĻ¸ā§āĻāĻžāĻ° āĻ¨ā§āĻĄā§āĻ° āĻŦāĻžāĻšā§āĻ¯āĻŋāĻ āĻ āĻŋāĻāĻžāĻ¨āĻžāĻ° āĻ¸āĻžāĻĨā§ āĻ¯ā§āĻā§āĻ¤ āĻĒā§āĻ°āĻ¤āĻŋāĻāĻŋ FQDN āĻ āĻŦāĻļā§āĻ¯āĻ āĻŦāĻžāĻšā§āĻ¯āĻŋāĻ DNS āĻā§āĻ¨ā§ āĻŦāĻžāĻāĻ°ā§āĻ° āĻāĻ¨ā§āĻāĻžāĻ°āĻĢā§āĻ¸ā§āĻ° IP āĻ āĻŋāĻāĻžāĻ¨āĻžāĻ° āĻ¸āĻŽāĻžāĻ§āĻžāĻ¨ āĻāĻ°āĻ¤ā§ āĻšāĻŦā§ (āĻŦāĻž āĻŽā§āĻ¯āĻžāĻĒ āĻāĻ°āĻž āĻ āĻŋāĻāĻžāĻ¨āĻžāĻ¯āĻŧ āĻ¯āĻĻāĻŋ āĻĒā§āĻ°ā§āĻ āĻĢāĻ°āĻāĻ¯āĻŧāĻžāĻ°ā§āĻĄāĻŋāĻ udp/443 āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻž āĻšāĻ¯āĻŧ (DTLS) āĻāĻŦāĻ tcp/443(TLS))āĨ¤ āĻļāĻāĻ¸āĻžāĻĒāĻ¤ā§āĻ°ā§āĻ° āĻĒā§āĻ°āĻ¯āĻŧā§āĻāĻ¨ā§āĻ¯āĻŧāĻ¤āĻžāĻ° āĻŦāĻŋāĻˇāĻ¯āĻŧā§ āĻŦāĻŋāĻ¸ā§āĻ¤āĻžāĻ°āĻŋāĻ¤ āĻ¤āĻĨā§āĻ¯ āĻŦāĻŋāĻāĻžāĻā§ āĻāĻ˛ā§āĻ˛ā§āĻ āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻā§ āĻļāĻāĻ¸āĻžāĻĒāĻ¤ā§āĻ° āĻ¯āĻžāĻāĻžāĻāĻāĻ°āĻŖ āĻĄāĻā§āĻŽā§āĻ¨ā§āĻā§āĻļāĻ¨
! vpn-demo-1(config)# crypto ca trustpoint SELF vpn-demo-1(config-ca-trustpoint)# enrollment self vpn-demo-1(config-ca-trustpoint)# fqdn vpn-demo.ashes.cc vpn-demo-1(config-ca-trustpoint)# subject-name cn=*.ashes.cc, ou=ashes-lab, o=ashes, c=ru vpn-demo-1(config-ca-trustpoint)# serial-number vpn-demo-1(config-ca-trustpoint)# crl configure vpn-demo-1(config-ca-crl)# cry ca enroll SELF % The fully-qualified domain name in the certificate will be: vpn-demo.ashes.cc Generate Self-Signed Certificate? [yes/no]: yes vpn-demo-1(config)# ! vpn-demo-1(config)# sh cry ca certificates Certificate Status: Available Certificate Serial Number: 4d43725e Certificate Usage: General Purpose Public Key Type: RSA (4096 bits) Signature Algorithm: SHA256 with RSA Encryption Issuer Name: serialNumber=9A439T02F95 hostname=vpn-demo.ashes.cc cn=*.ashes.cc ou=ashes-lab o=ashes c=ru Subject Name: serialNumber=9A439T02F95 hostname=vpn-demo.ashes.cc cn=*.ashes.cc ou=ashes-lab o=ashes c=ru Validity Date: start date: 00:16:17 MSK Mar 19 2020 end date: 00:16:17 MSK Mar 17 2030 Storage: config Associated Trustpoints: SELF CA Certificate Status: Available Certificate Serial Number: 0509 Certificate Usage: General Purpose Public Key Type: RSA (4096 bits) Signature Algorithm: SHA1 with RSA Encryption Issuer Name: cn=QuoVadis Root CA 2 o=QuoVadis Limited c=BM Subject Name: cn=QuoVadis Root CA 2 o=QuoVadis Limited c=BM Validity Date: start date: 21:27:00 MSK Nov 24 2006 end date: 21:23:33 MSK Nov 24 2031 Storage: config Associated Trustpoints: _SmartCallHome_ServerCA
- ASDM āĻāĻžāĻ āĻāĻ°āĻā§ āĻāĻŋāĻ¨āĻž āĻ¤āĻž āĻĒāĻ°ā§āĻā§āĻˇāĻž āĻāĻ°āĻ¤ā§ āĻĒā§āĻ°ā§āĻāĻāĻŋ āĻ¨āĻŋāĻ°ā§āĻĻāĻŋāĻˇā§āĻ āĻāĻ°āĻ¤ā§ āĻā§āĻ˛āĻŦā§āĻ¨ āĻ¨āĻž, āĻāĻĻāĻžāĻšāĻ°āĻŖāĻ¸ā§āĻŦāĻ°ā§āĻĒ:
- āĻāĻ¸ā§āĻ¨ āĻāĻžāĻ¨ā§āĻ˛ā§āĻ° āĻĒā§āĻ°āĻžāĻĨāĻŽāĻŋāĻ āĻ¸ā§āĻāĻŋāĻāĻ¸āĻā§āĻ˛āĻŋ āĻ¸āĻŽā§āĻĒāĻžāĻĻāĻ¨ āĻāĻ°āĻŋ:
- āĻāĻ¸ā§āĻ¨ āĻ¸ā§āĻĄāĻŧāĻā§āĻā§āĻ° āĻŽāĻžāĻ§ā§āĻ¯āĻŽā§ āĻāĻ°ā§āĻĒā§āĻ°ā§āĻ āĻ¨ā§āĻāĻāĻ¯āĻŧāĻžāĻ°ā§āĻ āĻāĻĒāĻ˛āĻŦā§āĻ§ āĻāĻ°āĻž āĻ¯āĻžāĻ, āĻāĻŦāĻ āĻāĻ¨ā§āĻāĻžāĻ°āĻ¨ā§āĻāĻā§ āĻ¸āĻ°āĻžāĻ¸āĻ°āĻŋ āĻ¯ā§āĻ¤ā§ āĻĻāĻŋāĻ¨ (āĻ¯āĻĻāĻŋ āĻ¸āĻāĻ¯ā§āĻāĻāĻžāĻ°ā§ āĻšā§āĻ¸ā§āĻā§ āĻā§āĻ¨āĻ āĻ¸ā§āĻ°āĻā§āĻˇāĻž āĻ¨āĻž āĻĨāĻžāĻā§ āĻ¤āĻŦā§ āĻ¸āĻŦāĻā§āĻ¯āĻŧā§ āĻ¨āĻŋāĻ°āĻžāĻĒāĻĻ āĻĒāĻĻā§āĻ§āĻ¤āĻŋ āĻ¨āĻ¯āĻŧ, āĻāĻāĻāĻŋ āĻ¸āĻāĻā§āĻ°āĻžāĻŽāĻŋāĻ¤ āĻšā§āĻ¸ā§āĻā§āĻ° āĻŽāĻžāĻ§ā§āĻ¯āĻŽā§ āĻĒā§āĻ°āĻŦā§āĻļ āĻāĻ°āĻž āĻāĻŦāĻ āĻāĻ°ā§āĻĒā§āĻ°ā§āĻ āĻĄā§āĻāĻž āĻĒā§āĻ°āĻĻāĻ°ā§āĻļāĻ¨ āĻāĻ°āĻž āĻ¸āĻŽā§āĻāĻŦ, āĻŦāĻŋāĻāĻ˛ā§āĻĒ āĻŦāĻŋāĻāĻā§āĻ¤-āĻāĻžāĻ¨ā§āĻ˛-āĻ¨ā§āĻ¤āĻŋ āĻāĻžāĻ¨ā§āĻ˛āĻ˛ āĻāĻžāĻ¨ā§āĻ˛ā§ āĻ¸āĻŽāĻ¸ā§āĻ¤ āĻšā§āĻ¸ā§āĻ āĻā§āĻ°āĻžāĻĢāĻŋāĻ āĻ¯ā§āĻ¤ā§ āĻĻā§āĻŦā§āĨ¤ āĻ¤āĻŦā§āĻ āĻŦāĻŋāĻāĻā§āĻ¤ āĻāĻžāĻ¨ā§āĻ˛ VPN āĻā§āĻāĻāĻ¯āĻŧā§ āĻ āĻĢāĻ˛ā§āĻĄ āĻāĻ°āĻž āĻāĻŦāĻ āĻšā§āĻ¸ā§āĻ āĻāĻ¨ā§āĻāĻžāĻ°āĻ¨ā§āĻ āĻā§āĻ°āĻžāĻĢāĻŋāĻ āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻž āĻ¨āĻž āĻāĻ°āĻž āĻ¸āĻŽā§āĻāĻŦ āĻāĻ°ā§ āĻ¤ā§āĻ˛ā§)
- āĻāĻ¸ā§āĻ¨ 192.168.20.0/24 āĻ¸āĻžāĻŦāĻ¨ā§āĻ āĻĨā§āĻā§ āĻāĻžāĻ¨ā§āĻ˛ā§āĻ° āĻšā§āĻ¸ā§āĻāĻĻā§āĻ° āĻ āĻŋāĻāĻžāĻ¨āĻžāĻā§āĻ˛āĻŋ āĻāĻ¸ā§āĻ¯ā§ āĻāĻ°āĻŋ (10 āĻĨā§āĻā§ 30āĻāĻŋ āĻ āĻŋāĻāĻžāĻ¨āĻžāĻ° āĻĒā§āĻ˛ (āĻ¨ā§āĻĄ #1 āĻāĻ° āĻāĻ¨ā§āĻ¯))āĨ¤ VPN āĻā§āĻ˛āĻžāĻ¸ā§āĻāĻžāĻ°ā§āĻ° āĻĒā§āĻ°āĻ¤āĻŋāĻāĻŋ āĻ¨ā§āĻĄā§āĻ° āĻ¨āĻŋāĻāĻ¸ā§āĻŦ āĻĒā§āĻ˛ āĻĨāĻžāĻāĻ¤ā§ āĻšāĻŦā§āĨ¤
- āĻāĻŽāĻ°āĻž ASA-āĻ¤ā§ āĻ¸ā§āĻĨāĻžāĻ¨ā§āĻ¯āĻŧāĻāĻžāĻŦā§ āĻ¤ā§āĻ°āĻŋ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§āĻ° āĻ¸āĻžāĻĨā§ āĻŽā§āĻ˛āĻŋāĻ āĻĒā§āĻ°āĻŽāĻžāĻŖā§āĻāĻ°āĻŖ āĻāĻžāĻ˛āĻžāĻŦ (āĻāĻāĻŋ āĻ¸ā§āĻĒāĻžāĻ°āĻŋāĻļ āĻāĻ°āĻž āĻšāĻ¯āĻŧ āĻ¨āĻž, āĻāĻāĻŋ āĻ¸āĻŦāĻā§āĻ¯āĻŧā§ āĻ¸āĻšāĻ āĻĒāĻĻā§āĻ§āĻ¤āĻŋ), āĻāĻ° āĻŽāĻžāĻ§ā§āĻ¯āĻŽā§ āĻĒā§āĻ°āĻŽāĻžāĻŖā§āĻāĻ°āĻŖ āĻāĻ°āĻž āĻāĻžāĻ˛ LDAP/āĻ°ā§āĻĄāĻŋāĻ¯āĻŧāĻžāĻ¸, āĻŦāĻž āĻāĻ°āĻ āĻāĻžāĻ˛, āĻāĻžāĻ āĻŽāĻžāĻ˛ā§āĻāĻŋ-āĻĢā§āĻ¯āĻžāĻā§āĻāĻ° āĻĒā§āĻ°āĻŽāĻžāĻŖā§āĻāĻ°āĻŖ (āĻāĻŽāĻāĻĢāĻ)āĻāĻĻāĻžāĻšāĻ°āĻŖāĻ¸ā§āĻŦāĻ°ā§āĻĒ āĻ¸āĻŋāĻ¸āĻā§ DUO.
! vpn-demo-1(config)# ip local pool vpn-pool 192.168.20.10-192.168.20.30 mask 255.255.255.0 ! vpn-demo-1(config)# access-list split-tunnel standard permit 192.168.0.0 255.255.0.0 ! vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY internal vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY attributes vpn-demo-1(config-group-policy)# vpn-tunnel-protocol ssl-client vpn-demo-1(config-group-policy)# split-tunnel-policy tunnelspecified vpn-demo-1(config-group-policy)# split-tunnel-network-list value split-tunnel vpn-demo-1(config-group-policy)# dns-server value 192.168.99.132 vpn-demo-1(config-group-policy)# default-domain value ashes.cc vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes vpn-demo-1(config-tunnel-general)# default-group-policy SSL-VPN-GROUP-POLICY vpn-demo-1(config-tunnel-general)# address-pool vpn-pool ! vpn-demo-1(config)# username dkazakov password cisco vpn-demo-1(config)# username dkazakov attributes vpn-demo-1(config-username)# service-type remote-access ! vpn-demo-1(config)# ssl trust-point SELF vpn-demo-1(config)# webvpn vpn-demo-1(config-webvpn)# enable outside vpn-demo-1(config-webvpn)# anyconnect image disk0:/anyconnect-win-4.8.03036-webdeploy-k9.pkg vpn-demo-1(config-webvpn)# anyconnect enable !
- (āĻāĻā§āĻāĻŋāĻ): āĻāĻĒāĻ°ā§āĻ° āĻāĻĻāĻžāĻšāĻ°āĻŖā§, āĻāĻŽāĻ°āĻž āĻĻā§āĻ°āĻŦāĻ°ā§āĻ¤ā§ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§āĻĻā§āĻ° āĻĒā§āĻ°āĻŽāĻžāĻŖā§āĻāĻ°āĻŖā§āĻ° āĻāĻ¨ā§āĻ¯ ITU-āĻ¤ā§ āĻāĻāĻāĻ¨ āĻ¸ā§āĻĨāĻžāĻ¨ā§āĻ¯āĻŧ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§āĻāĻŋ, āĻ¯āĻž āĻ āĻŦāĻļā§āĻ¯āĻ āĻĒāĻ°ā§āĻā§āĻˇāĻžāĻāĻžāĻ° āĻŦā§āĻ¯āĻ¤ā§āĻ¤, āĻāĻžāĻ°āĻžāĻĒāĻāĻžāĻŦā§ āĻĒā§āĻ°āĻ¯ā§āĻā§āĻ¯āĨ¤ āĻāĻŽāĻŋ āĻĒā§āĻ°āĻŽāĻžāĻŖā§āĻāĻ°āĻŖā§āĻ° āĻāĻ¨ā§āĻ¯ āĻ¸ā§āĻāĻŋāĻāĻ¸āĻāĻŋ āĻā§āĻāĻžāĻŦā§ āĻĻā§āĻ°ā§āĻ¤ āĻŽāĻžāĻ¨āĻŋāĻ¯āĻŧā§ āĻ¨āĻŋāĻ¤ā§ āĻšāĻ¯āĻŧ āĻ¤āĻžāĻ° āĻāĻāĻāĻŋ āĻāĻĻāĻžāĻšāĻ°āĻŖ āĻĻā§āĻŦ āĻŦā§āĻ¯āĻžāĻ¸āĻžāĻ°ā§āĻ§ āĻ¸āĻžāĻ°ā§āĻāĻžāĻ°, āĻāĻĻāĻžāĻšāĻ°āĻŖāĻ¸ā§āĻŦāĻ°ā§āĻĒ āĻŦā§āĻ¯āĻŦāĻšā§āĻ¤ āĻ¸āĻŋāĻ¸āĻā§ āĻāĻāĻĄā§āĻ¨ā§āĻāĻŋāĻāĻŋ āĻ¸āĻžāĻ°ā§āĻāĻŋāĻ¸ āĻāĻā§āĻāĻŋāĻ¨:
vpn-demo-1(config-aaa-server-group)# dynamic-authorization vpn-demo-1(config-aaa-server-group)# interim-accounting-update vpn-demo-1(config-aaa-server-group)# aaa-server RADIUS (outside) host 192.168.99.134 vpn-demo-1(config-aaa-server-host)# key cisco vpn-demo-1(config-aaa-server-host)# exit vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes vpn-demo-1(config-tunnel-general)# authentication-server-group RADIUS !
āĻāĻ āĻāĻ¨ā§āĻāĻŋāĻā§āĻ°ā§āĻļāĻ¨āĻāĻŋ āĻā§āĻŦāĻ˛āĻŽāĻžāĻ¤ā§āĻ° AD āĻĄāĻŋāĻ°ā§āĻā§āĻāĻ°āĻŋ āĻĒāĻ°āĻŋāĻˇā§āĻŦāĻžāĻ° āĻ¸āĻžāĻĨā§ āĻĒā§āĻ°āĻŽāĻžāĻŖā§āĻāĻ°āĻŖ āĻĒāĻĻā§āĻ§āĻ¤āĻŋāĻā§ āĻĻā§āĻ°ā§āĻ¤ āĻ¸āĻāĻšāĻ¤ āĻāĻ°āĻž āĻ¸āĻŽā§āĻāĻŦ āĻāĻ°ā§āĻ¨āĻŋ, āĻ¤āĻŦā§ āĻ¸āĻāĻ¯ā§āĻā§āĻ¤ āĻāĻŽā§āĻĒāĻŋāĻāĻāĻžāĻ°āĻāĻŋ AD-āĻāĻ° āĻ āĻ¨ā§āĻ¤āĻ°ā§āĻāĻ¤ āĻāĻŋāĻ¨āĻž āĻ¤āĻž āĻĒāĻžāĻ°ā§āĻĨāĻā§āĻ¯ āĻāĻ°āĻž, āĻāĻ āĻĄāĻŋāĻāĻžāĻāĻ¸āĻāĻŋ āĻāĻ°ā§āĻĒā§āĻ°ā§āĻ āĻŦāĻž āĻŦā§āĻ¯āĻā§āĻ¤āĻŋāĻāĻ¤ āĻāĻŋāĻ¨āĻž āĻ¤āĻž āĻŦā§āĻāĻž āĻāĻŦāĻ āĻ¸āĻāĻ¯ā§āĻā§āĻ¤ āĻĄāĻŋāĻāĻžāĻāĻ¸ā§āĻ° āĻ¸ā§āĻĨāĻŋāĻ¤āĻŋ āĻŽā§āĻ˛ā§āĻ¯āĻžāĻ¯āĻŧāĻ¨ āĻāĻ°āĻž āĻ¸āĻŽā§āĻāĻŦ āĻāĻ°ā§āĻā§āĨ¤ .
- āĻāĻ¸ā§āĻ¨ āĻ¸ā§āĻŦāĻā§āĻ NAT āĻāĻ¨āĻĢāĻŋāĻāĻžāĻ° āĻāĻ°āĻŋ āĻ¯āĻžāĻ¤ā§ āĻā§āĻ˛āĻžāĻ¯āĻŧā§āĻ¨ā§āĻ āĻāĻŦāĻ āĻāĻ°ā§āĻĒā§āĻ°ā§āĻ āĻ¨ā§āĻāĻāĻ¯āĻŧāĻžāĻ°ā§āĻ āĻ¨ā§āĻāĻāĻ¯āĻŧāĻžāĻ°ā§āĻā§āĻ° āĻ¸āĻāĻ¸ā§āĻĨāĻžāĻ¨āĻā§āĻ˛āĻŋāĻ° āĻŽāĻ§ā§āĻ¯ā§ āĻā§āĻ°ā§āĻ¯āĻžāĻĢāĻŋāĻ āĻ˛ā§āĻāĻž āĻ¨āĻž āĻšāĻ¯āĻŧ:
vpn-demo-1(config-network-object)# subnet 192.168.20.0 255.255.255.0 ! vpn-demo-1(config)# nat (inside,outside) source static any any destination static vpn-users vpn-users no-proxy-arp
- (āĻāĻā§āĻāĻŋāĻ): ASA āĻāĻ° āĻŽāĻžāĻ§ā§āĻ¯āĻŽā§ āĻāĻŽāĻžāĻĻā§āĻ° āĻā§āĻ˛āĻžāĻ¯āĻŧā§āĻ¨ā§āĻāĻĻā§āĻ° āĻāĻ¨ā§āĻāĻžāĻ°āĻ¨ā§āĻā§āĻ° āĻāĻžāĻā§ āĻĒā§āĻ°āĻāĻžāĻļ āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯ (āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻžāĻ° āĻ¸āĻŽāĻ¯āĻŧ āĻ¸ā§āĻĄāĻŧāĻā§āĻ āĻŦāĻŋāĻāĻ˛ā§āĻĒāĻā§āĻ˛āĻŋ) PAT āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§, āĻ¸ā§āĻāĻ¸āĻžāĻĨā§ āĻāĻāĻ āĻŦāĻžāĻāĻ°ā§āĻ° āĻāĻ¨ā§āĻāĻžāĻ°āĻĢā§āĻ¸ā§āĻ° āĻŽāĻžāĻ§ā§āĻ¯āĻŽā§ āĻĒā§āĻ°āĻ¸ā§āĻĨāĻžāĻ¨ āĻāĻ°ā§āĻ¨ āĻ¯ā§āĻāĻžāĻ¨ āĻĨā§āĻā§ āĻ¤āĻžāĻ°āĻž āĻ¸āĻāĻ¯ā§āĻā§āĻ¤, āĻāĻĒāĻ¨āĻžāĻā§ āĻ¨āĻŋāĻŽā§āĻ¨āĻ˛āĻŋāĻāĻŋāĻ¤ āĻ¸ā§āĻāĻŋāĻāĻ¸ āĻāĻ°āĻ¤ā§ āĻšāĻŦā§
vpn-demo-1(config-network-object)# nat (outside,outside) source dynamic vpn-users interface vpn-demo-1(config)# nat (inside,outside) source dynamic any interface vpn-demo-1(config)# same-security-traffic permit intra-interface !
- āĻāĻāĻāĻŋ āĻā§āĻ˛āĻžāĻ¸ā§āĻāĻžāĻ° āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻžāĻ° āĻ¸āĻŽāĻ¯āĻŧ, āĻā§āĻ¨ ASA āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§āĻĻā§āĻ° āĻāĻžāĻā§ āĻā§āĻ°ā§āĻ¯āĻžāĻĢāĻŋāĻ āĻĢā§āĻ°āĻ¤ āĻĻā§āĻŦā§ āĻ¤āĻž āĻŦā§āĻāĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻ
āĻā§āĻ¯āĻ¨ā§āĻ¤āĻ°ā§āĻŖ āĻ¨ā§āĻāĻāĻ¯āĻŧāĻžāĻ°ā§āĻ āĻ¸āĻā§āĻˇāĻŽ āĻāĻ°āĻž āĻ
āĻ¤ā§āĻ¯āĻ¨ā§āĻ¤ āĻā§āĻ°ā§āĻ¤ā§āĻŦāĻĒā§āĻ°ā§āĻŖ, āĻāĻ° āĻāĻ¨ā§āĻ¯ āĻāĻĒāĻ¨āĻžāĻā§ āĻā§āĻ˛āĻžāĻ¯āĻŧā§āĻ¨ā§āĻāĻĻā§āĻ° āĻāĻžāĻ°āĻŋ āĻāĻ°āĻž āĻ°ā§āĻ / 32āĻāĻŋ āĻ āĻŋāĻāĻžāĻ¨āĻžāĻā§āĻ˛āĻŋ āĻĒā§āĻ¨āĻ°āĻžāĻ¯āĻŧ āĻŦāĻŋāĻ¤āĻ°āĻŖ āĻāĻ°āĻ¤ā§ āĻšāĻŦā§āĨ¤
āĻāĻ āĻŽā§āĻšā§āĻ°ā§āĻ¤ā§, āĻāĻŽāĻ°āĻž āĻāĻāĻ¨āĻ āĻā§āĻ˛āĻžāĻ¸ā§āĻāĻžāĻ°āĻāĻŋ āĻāĻ¨āĻĢāĻŋāĻāĻžāĻ° āĻāĻ°āĻŋāĻ¨āĻŋ, āĻ¤āĻŦā§ āĻāĻŽāĻžāĻĻā§āĻ° āĻāĻ¤āĻŋāĻŽāĻ§ā§āĻ¯ā§āĻ āĻāĻžāĻ āĻāĻ°āĻā§ VPN āĻā§āĻāĻāĻ¯āĻŧā§ āĻ¯āĻž FQDN āĻŦāĻž IP āĻāĻ° āĻŽāĻžāĻ§ā§āĻ¯āĻŽā§ āĻĒā§āĻĨāĻāĻāĻžāĻŦā§ āĻ¸āĻāĻ¯ā§āĻā§āĻ¤ āĻāĻ°āĻž āĻ¯ā§āĻ¤ā§ āĻĒāĻžāĻ°ā§āĨ¤
āĻāĻŽāĻ°āĻž āĻĒā§āĻ°āĻĨāĻŽ ASA āĻāĻ° āĻ°āĻžāĻāĻāĻŋāĻ āĻā§āĻŦāĻŋāĻ˛ā§ āĻ¸āĻāĻ¯ā§āĻā§āĻ¤ āĻā§āĻ˛āĻžāĻ¯āĻŧā§āĻ¨ā§āĻ āĻĻā§āĻāĻ¤ā§ āĻĒāĻžāĻ:
āĻāĻŽāĻžāĻĻā§āĻ° āĻ¸āĻŽā§āĻĒā§āĻ°ā§āĻŖ āĻāĻŋāĻĒāĻŋāĻāĻ¨ āĻā§āĻ˛āĻžāĻ¸ā§āĻāĻžāĻ° āĻāĻŦāĻ āĻĒā§āĻ°ā§ āĻāĻ°ā§āĻĒā§āĻ°ā§āĻ āĻ¨ā§āĻāĻāĻ¯āĻŧāĻžāĻ°ā§āĻ āĻ¯āĻžāĻ¤ā§ āĻāĻŽāĻžāĻĻā§āĻ° āĻā§āĻ˛āĻžāĻ¯āĻŧā§āĻ¨ā§āĻā§āĻ° āĻ°ā§āĻ āĻāĻžāĻ¨āĻ¤ā§ āĻĒāĻžāĻ°ā§, āĻāĻŽāĻ°āĻž āĻā§āĻ˛āĻžāĻ¯āĻŧā§āĻ¨ā§āĻ āĻĒā§āĻ°āĻŋāĻĢāĻŋāĻā§āĻ¸āĻāĻŋāĻā§ āĻāĻāĻāĻŋ āĻāĻ¤āĻŋāĻļā§āĻ˛ āĻ°āĻžāĻāĻāĻŋāĻ āĻĒā§āĻ°ā§āĻā§āĻāĻ˛ā§āĻ° āĻŽāĻ§ā§āĻ¯ā§ āĻĒā§āĻ¨āĻ°āĻžāĻ¯āĻŧ āĻŦāĻŋāĻ¤āĻ°āĻŖ āĻāĻ°āĻŦ, āĻāĻĻāĻžāĻšāĻ°āĻŖāĻ¸ā§āĻŦāĻ°ā§āĻĒ OSPF:
! vpn-demo-1(config)# route-map RMAP-VPN-REDISTRIBUTE permit 1 vpn-demo-1(config-route-map)# match ip address VPN-REDISTRIBUTE ! vpn-demo-1(config)# router ospf 1 vpn-demo-1(config-router)# network 192.168.255.0 255.255.255.0 area 0 vpn-demo-1(config-router)# log-adj-changes vpn-demo-1(config-router)# redistribute static metric 5000 subnets route-map RMAP-VPN-REDISTRIBUTE
āĻāĻāĻ¨ āĻāĻŽāĻžāĻĻā§āĻ° āĻāĻžāĻā§ āĻĻā§āĻŦāĻŋāĻ¤ā§āĻ¯āĻŧ ASA-2 āĻā§āĻāĻāĻ¯āĻŧā§ āĻĨā§āĻā§ āĻā§āĻ˛āĻžāĻ¯āĻŧā§āĻ¨ā§āĻā§āĻ° āĻāĻ¨ā§āĻ¯ āĻāĻāĻāĻŋ āĻ°ā§āĻ āĻ°āĻ¯āĻŧā§āĻā§ āĻāĻŦāĻ āĻā§āĻ˛āĻžāĻ¸ā§āĻāĻžāĻ°ā§āĻ° āĻŽāĻ§ā§āĻ¯ā§ āĻŦāĻŋāĻāĻŋāĻ¨ā§āĻ¨ āĻāĻŋāĻĒāĻŋāĻāĻ¨ āĻā§āĻāĻāĻ¯āĻŧā§āĻ° āĻ¸āĻžāĻĨā§ āĻ¸āĻāĻ¯ā§āĻā§āĻ¤ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§āĻ°āĻž, āĻāĻĻāĻžāĻšāĻ°āĻŖāĻ¸ā§āĻŦāĻ°ā§āĻĒ, āĻāĻāĻāĻŋ āĻāĻ°ā§āĻĒā§āĻ°ā§āĻ āĻ¸āĻĢāĻāĻĢā§āĻ¨ā§āĻ° āĻŽāĻžāĻ§ā§āĻ¯āĻŽā§ āĻ¸āĻ°āĻžāĻ¸āĻ°āĻŋ āĻ¯ā§āĻāĻžāĻ¯ā§āĻ āĻāĻ°āĻ¤ā§ āĻĒāĻžāĻ°ā§, āĻ¸ā§āĻāĻ¸āĻžāĻĨā§ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§āĻ° āĻ āĻ¨ā§āĻ°ā§āĻ§ āĻāĻ°āĻž āĻ¸āĻāĻ¸ā§āĻĨāĻžāĻ¨āĻā§āĻ˛āĻŋ āĻĨā§āĻā§ āĻā§āĻ°āĻžāĻĢāĻŋāĻ āĻĢā§āĻ°āĻ¤ āĻĻāĻŋāĻ¤ā§ āĻĒāĻžāĻ°ā§āĨ¤ āĻĒāĻāĻ¨ā§āĻĻāĻ¸āĻ VPN āĻā§āĻāĻāĻ¯āĻŧā§āĻ¤ā§ āĻāĻ¸ā§āĻ¨:
-
āĻ˛ā§āĻĄ-āĻŦā§āĻ¯āĻžāĻ˛ā§āĻ¨ā§āĻ¸āĻŋāĻ āĻā§āĻ˛āĻžāĻ¸ā§āĻāĻžāĻ° āĻāĻ¨āĻĢāĻŋāĻāĻžāĻ° āĻāĻ°āĻžāĻ° āĻĻāĻŋāĻā§ āĻāĻāĻŋāĻ¯āĻŧā§ āĻ¯āĻžāĻāĻ¯āĻŧāĻž āĻ¯āĻžāĻāĨ¤
āĻ āĻŋāĻāĻžāĻ¨āĻž 192.168.31.40 āĻāĻāĻāĻŋ āĻāĻžāĻ°ā§āĻā§āĻ¯āĻŧāĻžāĻ˛ IP āĻšāĻŋāĻ¸āĻžāĻŦā§ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻž āĻšāĻŦā§ (VIP - āĻ¸āĻŽāĻ¸ā§āĻ¤ VPN āĻā§āĻ˛āĻžāĻ¯āĻŧā§āĻ¨ā§āĻ āĻĒā§āĻ°āĻžāĻĨāĻŽāĻŋāĻāĻāĻžāĻŦā§ āĻāĻāĻŋāĻ° āĻ¸āĻžāĻĨā§ āĻ¸āĻāĻ¯ā§āĻā§āĻ¤ āĻšāĻŦā§), āĻāĻ āĻ āĻŋāĻāĻžāĻ¨āĻž āĻĨā§āĻā§ āĻŽāĻžāĻ¸ā§āĻāĻžāĻ° āĻā§āĻ˛āĻžāĻ¸ā§āĻāĻžāĻ° āĻāĻāĻāĻŋ āĻāĻŽ āĻ˛ā§āĻĄ āĻšāĻāĻ¯āĻŧāĻž āĻā§āĻ˛āĻžāĻ¸ā§āĻāĻžāĻ° āĻ¨ā§āĻĄā§ āĻāĻāĻāĻŋ āĻĒā§āĻ¨āĻāĻ¨āĻŋāĻ°ā§āĻĻā§āĻļ āĻāĻ°āĻŦā§āĨ¤ āĻ˛āĻŋāĻāĻ¤ā§ āĻā§āĻ˛āĻŦā§āĻ¨ āĻ¨āĻž āĻāĻāĻŋāĻ¯āĻŧā§ āĻāĻŦāĻ āĻŦāĻŋāĻĒāĻ°ā§āĻ¤ DNS āĻ°ā§āĻāĻ°ā§āĻĄ āĻāĻāĻ¯āĻŧ āĻā§āĻ˛āĻžāĻ¸ā§āĻāĻžāĻ°ā§āĻ° āĻĒā§āĻ°āĻ¤āĻŋāĻāĻŋ āĻ¨ā§āĻĄā§āĻ° āĻĒā§āĻ°āĻ¤āĻŋāĻāĻŋ āĻŦāĻžāĻšā§āĻ¯āĻŋāĻ āĻ āĻŋāĻāĻžāĻ¨āĻž / FQDN āĻāĻŦāĻ VIP-āĻāĻ° āĻāĻ¨ā§āĻ¯āĨ¤
vpn-demo-1(config)# vpn load-balancing vpn-demo-1(config-load-balancing)# interface lbpublic outside vpn-demo-1(config-load-balancing)# interface lbprivate inside vpn-demo-1(config-load-balancing)# priority 10 vpn-demo-1(config-load-balancing)# cluster ip address 192.168.31.40 vpn-demo-1(config-load-balancing)# cluster port 4000 vpn-demo-1(config-load-balancing)# redirect-fqdn enable vpn-demo-1(config-load-balancing)# cluster key cisco vpn-demo-1(config-load-balancing)# cluster encryption vpn-demo-1(config-load-balancing)# cluster port 9023 vpn-demo-1(config-load-balancing)# participate vpn-demo-1(config-load-balancing)#
- āĻāĻŽāĻ°āĻž āĻĻā§āĻāĻŋ āĻ¸āĻāĻ¯ā§āĻā§āĻ¤ āĻā§āĻ˛āĻžāĻ¯āĻŧā§āĻ¨ā§āĻā§āĻ° āĻ¸āĻžāĻĨā§ āĻā§āĻ˛āĻžāĻ¸ā§āĻāĻžāĻ°ā§āĻ° āĻ āĻĒāĻžāĻ°ā§āĻļāĻ¨ āĻĒāĻ°ā§āĻā§āĻˇāĻž āĻāĻ°āĻŋ:
- ASDM-āĻāĻ° āĻŽāĻžāĻ§ā§āĻ¯āĻŽā§ āĻ¸ā§āĻŦāĻ¯āĻŧāĻāĻā§āĻ°āĻŋāĻ¯āĻŧāĻāĻžāĻŦā§ āĻ˛ā§āĻĄ āĻšāĻāĻ¯āĻŧāĻž AnyConnect āĻĒā§āĻ°ā§āĻĢāĻžāĻāĻ˛ā§āĻ° āĻŽāĻžāĻ§ā§āĻ¯āĻŽā§ āĻā§āĻ°āĻžāĻšāĻā§āĻ° āĻ āĻāĻŋāĻā§āĻāĻ¤āĻžāĻā§ āĻāĻ°āĻ āĻ¸ā§āĻŦāĻŋāĻ§āĻžāĻāĻ¨āĻ āĻāĻ°ā§ āĻ¤ā§āĻ˛ā§āĻ¨āĨ¤
āĻāĻŽāĻ°āĻž āĻāĻāĻāĻŋ āĻ¸ā§āĻŦāĻŋāĻ§āĻžāĻāĻ¨āĻ āĻāĻĒāĻžāĻ¯āĻŧā§ āĻĒā§āĻ°ā§āĻĢāĻžāĻāĻ˛ā§āĻ° āĻ¨āĻžāĻŽ āĻ°āĻžāĻāĻŋ āĻāĻŦāĻ āĻāĻ° āĻ¸āĻžāĻĨā§ āĻāĻŽāĻžāĻĻā§āĻ° āĻā§āĻ°ā§āĻĒ āĻ¨ā§āĻ¤āĻŋ āĻ¸āĻāĻ¯ā§āĻā§āĻ¤ āĻāĻ°āĻŋ:
āĻā§āĻ˛āĻžāĻ¯āĻŧā§āĻ¨ā§āĻā§āĻ° āĻĒāĻ°āĻŦāĻ°ā§āĻ¤ā§ āĻ¸āĻāĻ¯ā§āĻā§āĻ° āĻĒāĻ°ā§, āĻāĻ āĻĒā§āĻ°ā§āĻĢāĻžāĻāĻ˛āĻāĻŋ āĻ¯ā§āĻā§āĻ¨ āĻāĻžāĻ¨ā§āĻā§āĻ āĻā§āĻ˛āĻžāĻ¯āĻŧā§āĻ¨ā§āĻā§ āĻ¸ā§āĻŦāĻ¯āĻŧāĻāĻā§āĻ°āĻŋāĻ¯āĻŧāĻāĻžāĻŦā§ āĻĄāĻžāĻāĻ¨āĻ˛ā§āĻĄ āĻāĻŦāĻ āĻāĻ¨āĻ¸ā§āĻāĻ˛ āĻšāĻŦā§, āĻ¤āĻžāĻ āĻāĻĒāĻ¨āĻžāĻ° āĻ¯āĻĻāĻŋ āĻ¸āĻāĻ¯ā§āĻā§āĻ° āĻĒā§āĻ°āĻ¯āĻŧā§āĻāĻ¨ āĻšāĻ¯āĻŧ āĻ¤āĻŦā§ āĻ¤āĻžāĻ˛āĻŋāĻāĻž āĻĨā§āĻā§ āĻāĻāĻŋ āĻ¨āĻŋāĻ°ā§āĻŦāĻžāĻāĻ¨ āĻāĻ°ā§āĻ¨:
āĻ¯ā§āĻšā§āĻ¤ā§ āĻāĻŽāĻ°āĻž ASDM āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ āĻļā§āĻ§ā§āĻŽāĻžāĻ¤ā§āĻ° āĻāĻāĻāĻŋ ASA-āĻ¤ā§ āĻāĻ āĻĒā§āĻ°ā§āĻĢāĻžāĻāĻ˛āĻāĻŋ āĻ¤ā§āĻ°āĻŋ āĻāĻ°ā§āĻāĻŋ, āĻ¤āĻžāĻ āĻā§āĻ˛āĻžāĻ¸ā§āĻāĻžāĻ°ā§āĻ° āĻ āĻ¨ā§āĻ¯āĻžāĻ¨ā§āĻ¯ ASA-āĻ¤ā§ āĻĒāĻĻāĻā§āĻˇā§āĻĒāĻā§āĻ˛āĻŋ āĻĒā§āĻ¨āĻ°āĻžāĻŦā§āĻ¤ā§āĻ¤āĻŋ āĻāĻ°āĻ¤ā§ āĻā§āĻ˛āĻŦā§āĻ¨ āĻ¨āĻžāĨ¤
āĻāĻĒāĻ¸āĻāĻšāĻžāĻ°: āĻāĻāĻāĻžāĻŦā§, āĻāĻŽāĻ°āĻž āĻĻā§āĻ°ā§āĻ¤ āĻ¸ā§āĻŦāĻ¯āĻŧāĻāĻā§āĻ°āĻŋāĻ¯āĻŧ āĻ˛ā§āĻĄ āĻŦā§āĻ¯āĻžāĻ˛ā§āĻ¨ā§āĻ¸āĻŋāĻ āĻ¸āĻš āĻŦā§āĻļ āĻāĻ¯āĻŧā§āĻāĻāĻŋ āĻāĻŋāĻĒāĻŋāĻāĻ¨ āĻā§āĻāĻāĻ¯āĻŧā§āĻ° āĻāĻāĻāĻŋ āĻā§āĻ˛āĻžāĻ¸ā§āĻāĻžāĻ° āĻ¸ā§āĻĨāĻžāĻĒāĻ¨ āĻāĻ°ā§āĻāĻŋāĨ¤ āĻ¨āĻ¤ā§āĻ¨ ASAv āĻāĻžāĻ°ā§āĻā§āĻ¯āĻŧāĻžāĻ˛ āĻŽā§āĻļāĻŋāĻ¨ āĻ¸ā§āĻĨāĻžāĻĒāĻ¨ āĻāĻ°ā§ āĻŦāĻž āĻšāĻžāĻ°ā§āĻĄāĻāĻ¯āĻŧā§āĻ¯āĻžāĻ° ASA āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ āĻ¸āĻšāĻ āĻ āĻ¨ā§āĻā§āĻŽāĻŋāĻ āĻ¸ā§āĻā§āĻ˛āĻŋāĻ āĻ¸āĻš āĻā§āĻ˛āĻžāĻ¸ā§āĻāĻžāĻ°ā§ āĻ¨āĻ¤ā§āĻ¨ āĻ¨ā§āĻĄ āĻ¯ā§āĻ āĻāĻ°āĻž āĻ¸āĻšāĻāĨ¤ āĻŦā§āĻļāĻŋāĻˇā§āĻā§āĻ¯ āĻ¸āĻŽā§āĻĻā§āĻ§ AnyConnect āĻā§āĻ˛āĻžāĻ¯āĻŧā§āĻ¨ā§āĻ āĻŦā§āĻ¯āĻžāĻĒāĻāĻāĻžāĻŦā§ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ āĻ¨āĻŋāĻ°āĻžāĻĒāĻĻ āĻĻā§āĻ°āĻŦāĻ°ā§āĻ¤ā§ āĻ¸āĻāĻ¯ā§āĻ āĻāĻ¨ā§āĻ¨āĻ¤ āĻāĻ°āĻ¤ā§ āĻĒāĻžāĻ°ā§ āĻāĻā§āĻāĻŋ (āĻ°āĻžāĻā§āĻ¯ āĻ āĻ¨ā§āĻŽāĻžāĻ¨)āĻā§āĻ¨ā§āĻĻā§āĻ°ā§āĻā§āĻ¤ āĻ¨āĻŋāĻ¯āĻŧāĻ¨ā§āĻ¤ā§āĻ°āĻŖ āĻāĻŦāĻ āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻ ā§āĻ¯āĻžāĻāĻžāĻāĻ¨ā§āĻāĻŋāĻ āĻ¸āĻŋāĻ¸ā§āĻā§āĻŽā§āĻ° āĻ¸āĻžāĻĨā§ āĻāĻāĻ¯ā§āĻā§ āĻ¸āĻŦāĻā§āĻ¯āĻŧā§ āĻāĻžāĻ°ā§āĻ¯āĻāĻ°āĻāĻžāĻŦā§ āĻŦā§āĻ¯āĻŦāĻšā§āĻ¤ āĻšāĻ¯āĻŧ āĻāĻāĻĄā§āĻ¨ā§āĻāĻŋāĻāĻŋ āĻ¸āĻžāĻ°ā§āĻāĻŋāĻ¸ āĻāĻā§āĻāĻŋāĻ¨.
āĻāĻ¤ā§āĻ¸: www.habr.com