Yn yr erthygl hon, hoffwn ddarparu cyfarwyddiadau cam wrth gam ar sut y gallwch chi ddefnyddio'r cynllun mwyaf graddadwy ar hyn o bryd yn gyflym. VPN Mynediad o Bell seiliedig ar fynediad AnyConnect a Cisco ASA - Clwstwr Cydbwyso Llwyth VPN.
Cyflwyniad: Mae llawer o gwmnïau ledled y byd, o ystyried y sefyllfa bresennol gyda COVID-19, yn ymdrechu i drosglwyddo eu gweithwyr i waith o bell. Oherwydd y newid torfol i waith o bell, mae'r llwyth ar byrth presennol VPN cwmnïau yn cynyddu'n sylweddol ac mae angen gallu cyflym iawn i'w graddio. Ar y llaw arall, mae llawer o gwmnïau'n cael eu gorfodi i feistroli'r cysyniad o waith o bell yn gyflym o'r dechrau.
Er mwyn helpu busnesau i sicrhau mynediad VPN cyfleus, diogel a graddadwy i weithwyr yn yr amser byrraf posibl, mae Cisco yn trwyddedu cleient SSL VPN llawn nodweddion AnyConnect am hyd at 13 wythnos. .
.
Rwyf wedi paratoi canllaw cam wrth gam ar gyfer defnydd syml o Glwstwr Cydbwyso Llwyth VPN fel y dechnoleg VPN fwyaf graddadwy.
Bydd yr enghraifft isod yn eithaf syml o ran yr algorithmau dilysu ac awdurdodi a ddefnyddir, ond bydd yn opsiwn da ar gyfer cychwyn cyflym (nad yw'n ddigon i lawer ar hyn o bryd) gyda'r posibilrwydd o addasu'n fanwl i'ch anghenion yn ystod y defnydd proses.
Gwybodaeth gryno: Nid yw technoleg Clwstwr Cydbwyso Llwyth VPN yn fethiant ac nid yn swyddogaeth glystyru yn ei hystyr brodorol, gall y dechnoleg hon gyfuno modelau ASA hollol wahanol (gyda chyfyngiadau penodol) er mwyn llwytho cysylltiadau VPN Mynediad o Bell cydbwysedd. Nid oes cydamseriad o sesiynau a chyfluniadau rhwng nodau clwstwr o'r fath, ond mae'n bosibl llwytho cysylltiadau VPN cydbwysedd yn awtomatig a sicrhau goddefgarwch nam ar gysylltiadau VPN nes bod o leiaf un nod gweithredol yn aros yn y clwstwr. Mae'r llwyth yn y clwstwr yn cael ei gydbwyso'n awtomatig yn dibynnu ar lwyth gwaith y nodau yn ôl nifer y sesiynau VPN.
Ar gyfer methiant nodau penodol y clwstwr (os oes angen), gellir defnyddio ffeiliwr, felly bydd y cysylltiad gweithredol yn cael ei drin gan brif nod y ffeiliwr. Nid yw'r ffeil drosodd yn amod angenrheidiol ar gyfer sicrhau goddefgarwch bai o fewn y clwstwr Cydbwyso Llwyth, bydd y clwstwr ei hun, os bydd y nod yn methu, yn trosglwyddo'r sesiwn defnyddiwr i nod byw arall, ond heb arbed y statws cysylltiad, sef yn union. a ddarperir gan y ffeiliwr. Yn unol â hynny, mae'n bosibl, os oes angen, cyfuno'r ddwy dechnoleg hyn.
Gall clwstwr Cydbwyso Llwyth VPN gynnwys mwy na dau nod.
Cefnogir Clwstwr Cydbwyso Llwyth VPN ar ASA 5512-X ac uwch.
Gan fod pob ASA o fewn y clwstwr Cydbwyso Llwyth VPN yn uned annibynnol o ran gosodiadau, rydym yn cynnal yr holl gamau ffurfweddu yn unigol ar bob dyfais unigol.
Topoleg resymegol yr enghraifft a roddwyd:
Defnydd Cynradd:
-
Rydym yn defnyddio enghreifftiau ASAV o'r templedi sydd eu hangen arnom (ASAv5/10/30/50) o'r ddelwedd.
-
Rydym yn aseinio'r rhyngwynebau TU MEWN / TU ALLAN i'r un VLANs (Y tu allan yn ei VLAN ei hun, Y TU MEWN yn ei hun, ond yn gyffredinol o fewn y clwstwr, gweler y topoleg), mae'n bwysig bod rhyngwynebau o'r un math yn yr un segment L2.
-
Trwyddedau:
- Ar hyn o bryd ni fydd gan y gosodiad ASAv unrhyw drwyddedau a bydd yn gyfyngedig i 100kbps.
- I osod trwydded, mae angen i chi gynhyrchu tocyn yn eich Cyfrif Clyfar: -> Trwyddedu Meddalwedd Clyfar
- Yn y ffenestr sy'n agor, cliciwch ar y botwm Tocyn Newydd
- Gwnewch yn siŵr bod maes gweithredol yn y ffenestr sy'n agor a bod marc gwirio yn cael ei wirio Caniatáu ymarferoldeb a reolir gan allforio… Heb y maes hwn yn weithredol, ni fyddwch yn gallu defnyddio swyddogaethau amgryptio cryf ac, yn unol â hynny, VPN. Os nad yw'r maes hwn yn weithredol, cysylltwch â'ch tîm cyfrif gyda chais ysgogi.
- Ar ôl pwyso'r botwm Creu Token, bydd tocyn yn cael ei greu y byddwn yn ei ddefnyddio i gael trwydded ar gyfer ASAV, copïwch ef:
- Ailadroddwch gamau C, D, E ar gyfer pob ASAv a ddefnyddir.
- Er mwyn ei gwneud hi'n haws copïo'r tocyn, gadewch i ni ganiatáu telnet dros dro. Gadewch i ni ffurfweddu pob ASA (mae'r enghraifft isod yn dangos y gosodiadau ar ASA-1). Nid yw telnet yn gweithio gyda'r tu allan, os oes gwir angen arnoch, newidiwch lefel diogelwch i 100 i'r tu allan, yna dychwelwch ef yn ôl.
! ciscoasa(config)# int gi0/0 ciscoasa(config)# nameif outside ciscoasa(config)# ip address 192.168.31.30 255.255.255.0 ciscoasa(config)# no shut ! ciscoasa(config)# int gi0/1 ciscoasa(config)# nameif inside ciscoasa(config)# ip address 192.168.255.2 255.255.255.0 ciscoasa(config)# no shut ! ciscoasa(config)# telnet 0 0 inside ciscoasa(config)# username admin password cisco priv 15 ciscoasa(config)# ena password cisco ciscoasa(config)# aaa authentication telnet console LOCAL ! ciscoasa(config)# route outside 0 0 192.168.31.1 ! ciscoasa(config)# wr !- I gofrestru tocyn yn y cwmwl Smart-Account, rhaid i chi ddarparu mynediad Rhyngrwyd ar gyfer ASA, .
Yn fyr, mae angen ASA:
- mynediad trwy HTTPS i'r Rhyngrwyd;
- cydamseru amser (yn fwy cywir, trwy NTP);
- gweinydd DNS cofrestredig;
- Rydym yn telnet i'n ASA ac yn gwneud gosodiadau i actifadu'r drwydded trwy Smart-Account.
! ciscoasa(config)# clock set 19:21:00 Mar 18 2020 ciscoasa(config)# clock timezone MSK 3 ciscoasa(config)# ntp server 192.168.99.136 ! ciscoasa(config)# dns domain-lookup outside ciscoasa(config)# DNS server-group DefaultDNS ciscoasa(config-dns-server-group)# name-server 192.168.99.132 ! ! Проверим работу DNS: ! ciscoasa(config-dns-server-group)# ping ya.ru Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 87.250.250.242, timeout is 2 seconds: !!!!! ! ! Проверим синхронизацию NTP: ! ciscoasa(config)# show ntp associations address ref clock st when poll reach delay offset disp *~192.168.99.136 91.189.94.4 3 63 64 1 36.7 1.85 17.5 * master (synced), # master (unsynced), + selected, - candidate, ~ configured ! ! Установим конфигурацию нашей ASAv для Smart-Licensing (в соответствии с Вашим профилем, в моем случае 100М для примера) ! ciscoasa(config)# license smart ciscoasa(config-smart-lic)# feature tier standard ciscoasa(config-smart-lic)# throughput level 100M ! ! В случае необходимости можно настроить доступ в Интернет через прокси используйте следующий блок команд: !call-home ! http-proxy ip_address port port ! ! Далее мы вставляем скопированный из портала Smart-Account токен (<token>) и регистрируем лицензию ! ciscoasa(config)# end ciscoasa# license smart register idtoken <token>- Rydym yn gwirio bod y ddyfais wedi cofrestru trwydded yn llwyddiannus ac mae opsiynau amgryptio ar gael:
-
Sefydlu SSL-VPN sylfaenol ar bob porth
- Nesaf, ffurfweddwch fynediad trwy SSH ac ASDM:
ciscoasa(config)# ssh ver 2 ciscoasa(config)# aaa authentication ssh console LOCAL ciscoasa(config)# aaa authentication http console LOCAL ciscoasa(config)# hostname vpn-demo-1 vpn-demo-1(config)# domain-name ashes.cc vpn-demo-1(config)# cry key gen rsa general-keys modulus 4096 vpn-demo-1(config)# ssh 0 0 inside vpn-demo-1(config)# http 0 0 inside ! ! Поднимем сервер HTTPS для ASDM на порту 445 чтобы не пересекаться с SSL-VPN порталом ! vpn-demo-1(config)# http server enable 445 !- Er mwyn i ASDM weithio, yn gyntaf rhaid i chi ei lawrlwytho o wefan cisco.com, yn fy achos i, y ffeil ganlynol yw hi:
- Er mwyn i'r cleient AnyConnect weithio, mae angen i chi uwchlwytho delwedd i bob ASA ar gyfer pob cleient bwrdd gwaith OS a ddefnyddir (a gynlluniwyd i ddefnyddio Linux / Windows / MAC), bydd angen ffeil arnoch gyda Pecyn Defnyddio Headend Yn y teitl:
- Gellir uwchlwytho'r ffeiliau a lawrlwythwyd, er enghraifft, i weinydd FTP a'u huwchlwytho i bob ASA unigol:
- Rydym yn ffurfweddu tystysgrif ASDM a Hunan-lofnod ar gyfer SSL-VPN (argymhellir defnyddio tystysgrif y gellir ymddiried ynddi wrth gynhyrchu). Rhaid i set FQDN y Cyfeiriad Clwstwr Rhithwir (vpn-demo.ashes.cc), yn ogystal â phob FQDN sy'n gysylltiedig â chyfeiriad allanol pob nod clwstwr, ddatrys yn y parth DNS allanol i gyfeiriad IP y rhyngwyneb OUTSIDE (neu i'r cyfeiriad wedi'i fapio os defnyddir porth anfon ymlaen udp/443 (DTLS) a tcp/443(TLS)). Mae gwybodaeth fanwl am y gofynion ar gyfer y dystysgrif wedi'i nodi yn yr adran Gwirio Tystysgrif dogfennaeth.
! vpn-demo-1(config)# crypto ca trustpoint SELF vpn-demo-1(config-ca-trustpoint)# enrollment self vpn-demo-1(config-ca-trustpoint)# fqdn vpn-demo.ashes.cc vpn-demo-1(config-ca-trustpoint)# subject-name cn=*.ashes.cc, ou=ashes-lab, o=ashes, c=ru vpn-demo-1(config-ca-trustpoint)# serial-number vpn-demo-1(config-ca-trustpoint)# crl configure vpn-demo-1(config-ca-crl)# cry ca enroll SELF % The fully-qualified domain name in the certificate will be: vpn-demo.ashes.cc Generate Self-Signed Certificate? [yes/no]: yes vpn-demo-1(config)# ! vpn-demo-1(config)# sh cry ca certificates Certificate Status: Available Certificate Serial Number: 4d43725e Certificate Usage: General Purpose Public Key Type: RSA (4096 bits) Signature Algorithm: SHA256 with RSA Encryption Issuer Name: serialNumber=9A439T02F95 hostname=vpn-demo.ashes.cc cn=*.ashes.cc ou=ashes-lab o=ashes c=ru Subject Name: serialNumber=9A439T02F95 hostname=vpn-demo.ashes.cc cn=*.ashes.cc ou=ashes-lab o=ashes c=ru Validity Date: start date: 00:16:17 MSK Mar 19 2020 end date: 00:16:17 MSK Mar 17 2030 Storage: config Associated Trustpoints: SELF CA Certificate Status: Available Certificate Serial Number: 0509 Certificate Usage: General Purpose Public Key Type: RSA (4096 bits) Signature Algorithm: SHA1 with RSA Encryption Issuer Name: cn=QuoVadis Root CA 2 o=QuoVadis Limited c=BM Subject Name: cn=QuoVadis Root CA 2 o=QuoVadis Limited c=BM Validity Date: start date: 21:27:00 MSK Nov 24 2006 end date: 21:23:33 MSK Nov 24 2031 Storage: config Associated Trustpoints: _SmartCallHome_ServerCA- Peidiwch ag anghofio nodi'r porthladd i wirio bod ASDM yn gweithio, er enghraifft:
- Gadewch i ni wneud gosodiadau sylfaenol y twnnel:
- Gadewch i ni sicrhau bod y rhwydwaith corfforaethol ar gael trwy'r twnnel, a gadewch i'r Rhyngrwyd fynd yn uniongyrchol (nid y dull mwyaf diogel os nad oes amddiffyniadau ar y gwesteiwr cysylltu, mae'n bosibl treiddio trwy westeiwr heintiedig ac arddangos data corfforaethol, opsiwn hollti-twnel-polisi tunnelall yn gadael yr holl draffig gwesteiwr i mewn i'r twnnel. Serch hynny hollt-twnel yn ei gwneud hi'n bosibl dadlwytho porth VPN a pheidio â phrosesu traffig Rhyngrwyd gwesteiwr)
- Gadewch i ni gyhoeddi cyfeiriadau o isrwyd 192.168.20.0/24 i westeion yn y twnnel (pwll o 10 i 30 cyfeiriad (ar gyfer nod #1)). Rhaid i bob nod o'r clwstwr VPN gael ei bwll ei hun.
- Byddwn yn cynnal dilysiad sylfaenol gyda defnyddiwr a grëwyd yn lleol ar yr ASA (Nid yw hyn yn cael ei argymell, dyma'r dull hawsaf), mae'n well dilysu trwy LDAP/RADIWS, neu well eto, tei Dilysu Aml-ffactor (MFA)er enghraifft Cisco DUO.
! vpn-demo-1(config)# ip local pool vpn-pool 192.168.20.10-192.168.20.30 mask 255.255.255.0 ! vpn-demo-1(config)# access-list split-tunnel standard permit 192.168.0.0 255.255.0.0 ! vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY internal vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY attributes vpn-demo-1(config-group-policy)# vpn-tunnel-protocol ssl-client vpn-demo-1(config-group-policy)# split-tunnel-policy tunnelspecified vpn-demo-1(config-group-policy)# split-tunnel-network-list value split-tunnel vpn-demo-1(config-group-policy)# dns-server value 192.168.99.132 vpn-demo-1(config-group-policy)# default-domain value ashes.cc vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes vpn-demo-1(config-tunnel-general)# default-group-policy SSL-VPN-GROUP-POLICY vpn-demo-1(config-tunnel-general)# address-pool vpn-pool ! vpn-demo-1(config)# username dkazakov password cisco vpn-demo-1(config)# username dkazakov attributes vpn-demo-1(config-username)# service-type remote-access ! vpn-demo-1(config)# ssl trust-point SELF vpn-demo-1(config)# webvpn vpn-demo-1(config-webvpn)# enable outside vpn-demo-1(config-webvpn)# anyconnect image disk0:/anyconnect-win-4.8.03036-webdeploy-k9.pkg vpn-demo-1(config-webvpn)# anyconnect enable !- (DEWISOL): Yn yr enghraifft uchod, fe wnaethom ddefnyddio defnyddiwr lleol ar yr ITU i ddilysu defnyddwyr o bell, sydd wrth gwrs, ac eithrio yn y labordy, yn berthnasol yn wael. Byddaf yn rhoi enghraifft o sut i addasu'r gosodiad yn gyflym ar gyfer dilysu RADIWS gweinydd, er enghraifft a ddefnyddir Peiriant Gwasanaethau Hunaniaeth Cisco:
vpn-demo-1(config-aaa-server-group)# dynamic-authorization vpn-demo-1(config-aaa-server-group)# interim-accounting-update vpn-demo-1(config-aaa-server-group)# aaa-server RADIUS (outside) host 192.168.99.134 vpn-demo-1(config-aaa-server-host)# key cisco vpn-demo-1(config-aaa-server-host)# exit vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes vpn-demo-1(config-tunnel-general)# authentication-server-group RADIUS !Roedd yr integreiddio hwn yn ei gwneud hi'n bosibl nid yn unig integreiddio'r weithdrefn ddilysu yn gyflym â'r gwasanaeth cyfeiriadur AD, ond hefyd i wahaniaethu a yw'r cyfrifiadur cysylltiedig yn perthyn i AD, i ddeall a yw'r ddyfais hon yn gorfforaethol neu'n bersonol, ac i asesu statws y ddyfais gysylltiedig .
- Gadewch i ni ffurfweddu NAT Tryloyw fel nad yw'r traffig rhwng y cleient ac adnoddau'r rhwydwaith rhwydwaith corfforaethol yn cael ei sgriblo:
vpn-demo-1(config-network-object)# subnet 192.168.20.0 255.255.255.0 ! vpn-demo-1(config)# nat (inside,outside) source static any any destination static vpn-users vpn-users no-proxy-arp- (DEWISOL): Er mwyn datgelu ein cleientiaid i'r Rhyngrwyd trwy'r ASA (wrth ddefnyddio twnelall opsiynau) gan ddefnyddio PAT, yn ogystal ag ymadael trwy'r un rhyngwyneb OUTSIDE y maent wedi'u cysylltu ag ef, mae angen i chi wneud y gosodiadau canlynol
vpn-demo-1(config-network-object)# nat (outside,outside) source dynamic vpn-users interface vpn-demo-1(config)# nat (inside,outside) source dynamic any interface vpn-demo-1(config)# same-security-traffic permit intra-interface !- Wrth ddefnyddio clwstwr, mae'n hynod bwysig galluogi'r rhwydwaith mewnol i ddeall pa ASA i gyfeirio traffig dychwelyd i ddefnyddwyr, ar gyfer hyn mae angen i chi ailddosbarthu llwybrau / 32 cyfeiriad a roddwyd i gleientiaid.
Ar hyn o bryd, nid ydym wedi ffurfweddu'r clwstwr eto, ond mae gennym eisoes byrth VPN gweithredol y gellir eu cysylltu'n unigol trwy FQDN neu IP.
Rydym yn gweld y cleient cysylltiedig yn nhabl llwybro'r ASA cyntaf:
Er mwyn i'n clwstwr VPN cyfan a'r rhwydwaith corfforaethol cyfan wybod y llwybr i'n cleient, byddwn yn ailddosbarthu rhagddodiad y cleient yn brotocol llwybro deinamig, er enghraifft OSPF:
! vpn-demo-1(config)# route-map RMAP-VPN-REDISTRIBUTE permit 1 vpn-demo-1(config-route-map)# match ip address VPN-REDISTRIBUTE ! vpn-demo-1(config)# router ospf 1 vpn-demo-1(config-router)# network 192.168.255.0 255.255.255.0 area 0 vpn-demo-1(config-router)# log-adj-changes vpn-demo-1(config-router)# redistribute static metric 5000 subnets route-map RMAP-VPN-REDISTRIBUTENawr mae gennym lwybr i'r cleient o'r ail borth ASA-2 a gall defnyddwyr sy'n gysylltiedig â gwahanol byrth VPN o fewn y clwstwr, er enghraifft, gyfathrebu'n uniongyrchol trwy ffôn meddal corfforaethol, yn ogystal â thraffig dychwelyd o'r adnoddau y mae'r defnyddiwr yn gofyn amdanynt. dewch i'r porth VPN dymunol:
-
Gadewch i ni symud ymlaen i ffurfweddu'r clwstwr Cydbwyso Llwyth.
Bydd y cyfeiriad 192.168.31.40 yn cael ei ddefnyddio fel IP Rhithwir (VIP - bydd pob cleient VPN yn cysylltu ag ef i ddechrau), o'r cyfeiriad hwn bydd y clwstwr Meistr yn gwneud REDIRECT i nod clwstwr llai llwythog. Peidiwch ag anghofio ysgrifennu ymlaen a gwrthdroi cofnod DNS ar gyfer pob cyfeiriad allanol / FQDN pob nod o'r clwstwr, ac ar gyfer VIP.
vpn-demo-1(config)# vpn load-balancing vpn-demo-1(config-load-balancing)# interface lbpublic outside vpn-demo-1(config-load-balancing)# interface lbprivate inside vpn-demo-1(config-load-balancing)# priority 10 vpn-demo-1(config-load-balancing)# cluster ip address 192.168.31.40 vpn-demo-1(config-load-balancing)# cluster port 4000 vpn-demo-1(config-load-balancing)# redirect-fqdn enable vpn-demo-1(config-load-balancing)# cluster key cisco vpn-demo-1(config-load-balancing)# cluster encryption vpn-demo-1(config-load-balancing)# cluster port 9023 vpn-demo-1(config-load-balancing)# participate vpn-demo-1(config-load-balancing)#- Rydym yn gwirio gweithrediad y clwstwr gyda dau gleient cysylltiedig:
- Gadewch i ni wneud profiad y cwsmer yn fwy cyfleus gyda'r proffil AnyConnect sy'n cael ei lwytho'n awtomatig trwy ASDM.
Rydym yn enwi’r proffil mewn ffordd gyfleus ac yn cysylltu ein polisi grŵp ag ef:
Ar ôl cysylltiad nesaf y cleient, bydd y proffil hwn yn cael ei lawrlwytho a'i osod yn awtomatig yn y cleient AnyConnect, felly os oes angen i chi gysylltu, does ond angen i chi ei ddewis o'r rhestr:
Gan ein bod wedi creu'r proffil hwn ar un ASA yn unig gan ddefnyddio ASDM, peidiwch ag anghofio ailadrodd y camau ar yr ASAau eraill yn y clwstwr.
Casgliad: Felly, fe wnaethom ddefnyddio clwstwr o sawl porth VPN yn gyflym gyda chydbwyso llwyth awtomatig. Mae'n hawdd ychwanegu nodau newydd i'r clwstwr, gyda graddio llorweddol syml trwy ddefnyddio peiriannau rhithwir ASAv newydd neu ddefnyddio ASAs caledwedd. Gall y cleient AnyConnect sy'n gyfoethog o ran nodweddion wella cysylltiad diogel o bell yn fawr trwy ddefnyddio'r Osgo (amcangyfrifon), a ddefnyddir yn fwyaf effeithiol ar y cyd â'r system o reolaeth ganolog a chyfrifyddu mynediad Peiriant Gwasanaethau Hunaniaeth.
Ffynhonnell: hab.com