Pag-deploy sa usa ka ASA VPN Load-Balancing Cluster
Sa kini nga artikulo, gusto nako nga maghatag mga lakang sa lakang nga mga panudlo kung giunsa nimo dali nga ma-deploy ang labing mabag-o nga laraw sa pagkakaron. Remote Access VPN gibase sa access AnyConnect ug Cisco ASA - VPN Load Balancing Cluster.
Pasiuna: Daghang mga kompanya sa tibuuk kalibutan, tungod sa karon nga kahimtang sa COVID-19, naningkamot sa pagbalhin sa ilang mga empleyado sa layo nga trabaho. Tungod sa mass transition ngadto sa hilit nga trabaho, ang load sa kasamtangan nga VPN gateways sa mga kompanya sa kritikal nga pagdugang ug usa ka paspas kaayo nga abilidad sa pagsukod niini gikinahanglan. Sa laing bahin, daghang mga kompanya ang napugos sa pagdali sa pag-master sa konsepto sa hilit nga trabaho gikan sa wala.
Nag-andam ako usa ka lakang-sa-lakang nga giya alang sa usa ka yano nga pag-deploy sa VPN Load-Balancing Cluster ingon ang labing mabag-o nga teknolohiya sa VPN.
Ang panig-ingnan sa ubos mahimong yano ra sa mga termino sa mga algorithm sa pag-authenticate ug pagtugot nga gigamit, apan kini usa ka maayong kapilian alang sa usa ka dali nga pagsugod (nga sa pagkakaron dili igo alang sa kadaghanan) nga adunay posibilidad sa lawom nga pagpahiangay sa imong mga panginahanglan sa panahon sa pag-deploy. proseso.
Mubo nga impormasyon: Ang teknolohiya sa VPN Load Balancing Cluster dili usa ka failover ug dili usa ka clustering function sa iyang lumad nga diwa, kini nga teknolohiya mahimong maghiusa sa hingpit nga lain-laing mga modelo sa ASA (nga adunay piho nga mga pagdili) aron ma-load ang balanse nga Remote-Access VPN nga mga koneksyon. Walaβy pag-synchronize sa mga sesyon ug mga pag-configure tali sa mga node sa ingon nga cluster, apan posible nga awtomatiko nga ma-load ang balanse nga mga koneksyon sa VPN ug masiguro ang pagtugot sa sayup sa mga koneksyon sa VPN hangtod sa labing menos usa ka aktibo nga node nga magpabilin sa cluster. Ang load sa cluster awtomatik nga balanse depende sa workload sa mga node pinaagi sa gidaghanon sa mga sesyon sa VPN.
Alang sa pagkapakyas sa piho nga mga node sa cluster (kon gikinahanglan), ang usa ka filer mahimong gamiton, mao nga ang aktibong koneksyon pagadumalaon sa Primary node sa filer. Ang fileover dili usa ka kinahanglanon nga kondisyon alang sa pagsiguro sa pagtugot sa sayup sa sulod sa Load-Balancing cluster, ang cluster mismo, kung adunay pagkapakyas sa node, ibalhin ang sesyon sa user ngadto sa lain nga live node, apan walaβy pagtipig sa status sa koneksyon, nga tukma. gihatag sa filer. Tungod niini, posible, kung gikinahanglan, aron makombinar kining duha ka mga teknolohiya.
Ang usa ka VPN Load-Balancing cluster mahimong adunay sobra sa duha ka node.
Ang VPN Load-Balancing Cluster gisuportahan sa ASA 5512-X ug pataas.
Tungod kay ang matag ASA sa sulod sa VPN Load-Balancing cluster usa ka independente nga yunit sa mga termino sa mga setting, among gihimo ang tanan nga mga lakang sa pag-configure nga tinagsa sa matag indibidwal nga aparato.
Ang lohikal nga topology sa gihatag nga pananglitan:
Panguna nga Deployment:
Nag-deploy kami sa mga ASAv nga mga higayon sa mga templates nga among gikinahanglan (ASAv5/10/30/50) gikan sa imahe.
Gi-assign namo ang INSIDE / OUTSIDE interface sa parehas nga VLANs (Sa gawas sa kaugalingon nga VLAN, SULOD sa iyang kaugalingon, apan sa kasagaran sulod sa cluster, tan-awa ang topology), importante nga ang mga interface sa parehas nga tipo naa sa parehas nga L2 nga bahin.
Mga lisensya:
Sa pagkakaron ang pag-instalar sa ASAv walay lisensya ug limitado sa 100kbps.
Aron ma-install ang usa ka lisensya, kinahanglan nimo nga maghimo usa ka token sa imong Smart-Account: https://software.cisco.com/ -> Smart Software Licensing
Sa bintana nga nagbukas, i-klik ang buton Bag-ong Token
Siguruha nga sa bintana nga nagbukas adunay usa ka aktibo nga uma ug usa ka checkmark ang gisusi Tugoti ang eksport nga kontrolado nga gamit⦠Kung wala kini nga uma aktibo, dili nimo magamit ang mga gimbuhaton sa kusgan nga pag-encrypt ug, sa ingon, VPN. Kung kini nga field dili aktibo, palihog kontaka ang imong account team nga adunay hangyo sa pagpaaktibo.
Pagkahuman sa pagpadayon sa buton Paghimo og Token, usa ka token ang pagabuhaton nga among gamiton aron makakuha og lisensya para sa ASAv, kopyaha kini:
Balika ang mga lakang C,D,E alang sa matag gi-deploy nga ASAv.
Para mas sayon ββang pagkopya sa token, temporaryo natong tugotan ang telnet. Atong i-configure ang matag ASA (ang pananglitan sa ubos naghulagway sa mga setting sa ASA-1). Ang telnet dili molihok sa gawas, kung kinahanglan nimo kini, usba ang lebel sa seguridad sa 100 ngadto sa gawas, unya ibalik kini.
!
ciscoasa(config)# int gi0/0
ciscoasa(config)# nameif outside
ciscoasa(config)# ip address 192.168.31.30 255.255.255.0
ciscoasa(config)# no shut
!
ciscoasa(config)# int gi0/1
ciscoasa(config)# nameif inside
ciscoasa(config)# ip address 192.168.255.2 255.255.255.0
ciscoasa(config)# no shut
!
ciscoasa(config)# telnet 0 0 inside
ciscoasa(config)# username admin password cisco priv 15
ciscoasa(config)# ena password cisco
ciscoasa(config)# aaa authentication telnet console LOCAL
!
ciscoasa(config)# route outside 0 0 192.168.31.1
!
ciscoasa(config)# wr
!
Aron marehistro ang usa ka token sa Smart-Account cloud, kinahanglan nimo nga maghatag access sa Internet alang sa ASA, mga detalye dinhi.
Sa laktod, gikinahanglan ang ASA:
access pinaagi sa HTTPS sa Internet;
pag-synchronize sa oras (mas tukma, pinaagi sa NTP);
narehistro nga DNS server;
Nag-telnet kami sa among ASA ug naghimo og mga setting aron ma-activate ang lisensya pinaagi sa Smart-Account.
Aron magtrabaho ang ASDM, kinahanglan nimo una nga i-download kini gikan sa cisco.com website, sa akong kaso kini ang mosunod nga file:
Aron magtrabaho ang kliyente sa AnyConnect, kinahanglan nimo nga mag-upload og usa ka imahe sa matag ASA alang sa matag desktop client OS nga gigamit (giplano nga gamiton ang Linux / Windows / MAC), kinahanglan nimo ang usa ka file nga adunay Pakete sa Pag-deploy sa Headend Sa titulo:
Ang na-download nga mga file mahimong i-upload, pananglitan, sa usa ka FTP server ug i-upload sa matag indibidwal nga ASA:
Among gi-configure ang ASDM ug Self-Signed nga sertipiko para sa SSL-VPN (girekomendar nga mogamit ug kasaligang sertipiko sa produksyon). Ang set nga FQDN sa Virtual Cluster Address (vpn-demo.ashes.cc), ingon man ang matag FQDN nga may kalabutan sa eksternal nga adres sa matag cluster node, kinahanglang masulbad sa external DNS zone ngadto sa IP address sa OUTSIDE interface (o sa gimapa nga adres kung gigamit ang port forwarding udp/443 (DTLS) ug tcp/443(TLS)). Ang detalyado nga kasayuran sa mga kinahanglanon alang sa sertipiko gipiho sa seksyon Pagpamatuud sa Sertipiko dokumentasyon.
!
vpn-demo-1(config)# crypto ca trustpoint SELF
vpn-demo-1(config-ca-trustpoint)# enrollment self
vpn-demo-1(config-ca-trustpoint)# fqdn vpn-demo.ashes.cc
vpn-demo-1(config-ca-trustpoint)# subject-name cn=*.ashes.cc, ou=ashes-lab, o=ashes, c=ru
vpn-demo-1(config-ca-trustpoint)# serial-number
vpn-demo-1(config-ca-trustpoint)# crl configure
vpn-demo-1(config-ca-crl)# cry ca enroll SELF
% The fully-qualified domain name in the certificate will be: vpn-demo.ashes.cc
Generate Self-Signed Certificate? [yes/no]: yes
vpn-demo-1(config)#
!
vpn-demo-1(config)# sh cry ca certificates
Certificate
Status: Available
Certificate Serial Number: 4d43725e
Certificate Usage: General Purpose
Public Key Type: RSA (4096 bits)
Signature Algorithm: SHA256 with RSA Encryption
Issuer Name:
serialNumber=9A439T02F95
hostname=vpn-demo.ashes.cc
cn=*.ashes.cc
ou=ashes-lab
o=ashes
c=ru
Subject Name:
serialNumber=9A439T02F95
hostname=vpn-demo.ashes.cc
cn=*.ashes.cc
ou=ashes-lab
o=ashes
c=ru
Validity Date:
start date: 00:16:17 MSK Mar 19 2020
end date: 00:16:17 MSK Mar 17 2030
Storage: config
Associated Trustpoints: SELF
CA Certificate
Status: Available
Certificate Serial Number: 0509
Certificate Usage: General Purpose
Public Key Type: RSA (4096 bits)
Signature Algorithm: SHA1 with RSA Encryption
Issuer Name:
cn=QuoVadis Root CA 2
o=QuoVadis Limited
c=BM
Subject Name:
cn=QuoVadis Root CA 2
o=QuoVadis Limited
c=BM
Validity Date:
start date: 21:27:00 MSK Nov 24 2006
end date: 21:23:33 MSK Nov 24 2031
Storage: config
Associated Trustpoints: _SmartCallHome_ServerCA
Ayaw kalimti nga ipiho ang pantalan aron masusi nga nagtrabaho ang ASDM, pananglitan:
Atong buhaton ang sukaranan nga mga setting sa tunel:
Himoon nato ang corporate network nga magamit pinaagi sa tunnel, ug pasagdi nga ang Internet moadto direkta (dili ang pinakaluwas nga pamaagi kung walay mga proteksyon sa nagkonektar nga host, posible nga makalusot pinaagi sa usa ka nataptan nga host ug magpakita sa corporate data, kapilian split-tunnel-policy tunnelall tugotan ang tanan nga host sa trapiko sa tunnel. bisan pa niana split-tunnel nagpaposible nga ma-offload ang VPN gateway ug dili magproseso sa trapiko sa host sa Internet)
Ipagawas nato ang mga adres gikan sa 192.168.20.0/24 subnet ngadto sa mga host sa tunnel (pool gikan sa 10 ngadto sa 30 ka adres (alang sa node #1)). Ang matag node sa VPN cluster kinahanglan adunay kaugalingon nga pool.
Ipahigayon namo ang batakang pag-authenticate sa usa ka lokal nga gimugna nga user sa ASA (Dili kini girekomenda, kini ang pinakasayon ββnga pamaagi), mas maayo nga buhaton ang authentication pinaagi sa LDAP/RADIUS, o mas maayo pa, higot Multi-Factor Authentication (MFA)pananglit Cisco DUO.
(KAPILIAN): Sa pananglitan sa ibabaw, migamit kami og lokal nga tiggamit sa ITU aron mapamatud-an ang hilit nga mga tiggamit, nga siyempre, gawas sa laboratoryo, dili kaayo magamit. Maghatag ako usa ka pananglitan kung giunsa ang dali nga pagpahiangay sa setting alang sa pag-authenticate sa radyos server, pananglitan gigamit Cisco Identity Services Engine:
Kini nga panagsama nagpaposible dili lamang sa dali nga paghiusa sa pamaagi sa pag-authenticate sa serbisyo sa direktoryo sa AD, apan aron mailhan usab kung ang konektado nga kompyuter iya sa AD, aron masabtan kung kini nga aparato usa ka korporasyon o personal, ug aron masusi ang kahimtang sa konektado nga aparato. .
Atong i-configure ang Transparent NAT aron ang trapiko tali sa kliyente ug mga kahinguhaan sa corporate network network dili masulat:
vpn-demo-1(config-network-object)# subnet 192.168.20.0 255.255.255.0
!
vpn-demo-1(config)# nat (inside,outside) source static any any destination static vpn-users vpn-users no-proxy-arp
(KAPILIAN): Aron ibutyag ang among mga kliyente sa Internet pinaagi sa ASA (sa paggamit tunnelall mga kapilian) gamit ang PAT, ingon man ang paggawas pinaagi sa parehas nga interface sa GAWAS diin sila konektado, kinahanglan nimo nga buhaton ang mga mosunud nga setting
Kung mogamit usa ka kumpol, hinungdanon kaayo nga mahibal-an sa internal nga network kung unsang ASA ang mag-ruta sa pagbalik sa trapiko sa mga tiggamit, tungod niini kinahanglan nimo nga ipanghatag ang mga ruta / 32 nga mga adres nga gihatag sa mga kliyente.
Sa pagkakaron, wala pa namo ma-configure ang cluster, apan aduna na kamiy nagtrabaho nga VPN gateways nga mahimong tagsa-tagsa nga konektado pinaagi sa FQDN o IP.
Nakita namon ang konektado nga kliyente sa routing table sa una nga ASA:
Aron mahibal-an sa among tibuok VPN cluster ug sa tibuok corporate network ang ruta sa among kliyente, among iapod-apod ang prefix sa kliyente ngadto sa usa ka dinamikong routing protocol, pananglitan sa OSPF:
Karon kami adunay usa ka ruta sa kliyente gikan sa ikaduha nga ASA-2 nga ganghaan ug ang mga tiggamit nga konektado sa lainlaing mga agianan sa VPN sa sulod sa cluster mahimo, pananglitan, direktang makigsulti pinaagi sa usa ka softphone sa korporasyon, ingon man ang pagbalik sa trapiko gikan sa mga kahinguhaan nga gihangyo sa tiggamit. adto sa gusto nga VPN gateway:
Mopadayon kita sa pag-configure sa cluster sa Load-Balancing.
Ang adres nga 192.168.31.40 gamiton isip usa ka Virtual IP (VIP - ang tanan nga mga kliyente sa VPN sa sinugdan magkonektar niini), gikan niini nga adres ang Master cluster maghimo sa usa ka REDIRECT ngadto sa dili kaayo puno nga cluster node. Ayaw kalimot pagsulat pasulong ug balihon ang rekord sa DNS pareho alang sa matag eksternal nga adres / FQDN sa matag node sa cluster, ug alang sa VIP.
Gisusi namon ang operasyon sa cluster nga adunay duha ka konektado nga kliyente:
Himoon nato nga mas kombenyente ang kasinatian sa kustomer sa awtomatikong gikarga nga AnyConnect profile pinaagi sa ASDM.
Ginganlan namo ang profile sa sayon ββnga paagi ug i-associate ang among polisiya sa grupo niini:
Pagkahuman sa sunod nga koneksyon sa kliyente, kini nga profile awtomatiko nga ma-download ug ma-install sa AnyConnect nga kliyente, busa kung kinahanglan nimo nga magkonektar, pilia lang kini gikan sa lista:
Tungod kay gibuhat namo kini nga profile sa usa lang ka ASA gamit ang ASDM, ayaw kalimot sa pag-usab sa mga lakang sa ubang mga ASA sa cluster.
Panapos: Sa ingon, dali kaming nagpadala usa ka pundok sa daghang mga gateway sa VPN nga adunay awtomatikong pagbalanse sa pagkarga. Ang pagdugang og bag-ong mga node sa cluster sayon, nga adunay simple nga horizontal scaling pinaagi sa pagdeploy og bag-ong ASAv virtual machine o paggamit sa hardware ASAs. Ang dato sa feature nga AnyConnect nga kliyente makapausbaw pag-ayo sa luwas nga hilit nga koneksyon pinaagi sa paggamit sa Postura (mga banabana sa estado), labing epektibo nga gigamit inubanan sa sistema sa sentralisadong pagkontrol ug pag-access sa accounting Identity Services Engine.