Yn yr erthygl hon, hoffwn ddarparu cyfarwyddiadau cam wrth gam ar sut y gallwch chi ddefnyddio'r cynllun mwyaf graddadwy ar hyn o bryd yn gyflym. VPN Mynediad o Bell seiliedig ar fynediad AnyConnect a Cisco ASA - Clwstwr Cydbwyso Llwyth VPN.
Cyflwyniad: Mae llawer o gwmnïau ledled y byd, o ystyried y sefyllfa bresennol gyda COVID-19, yn ymdrechu i drosglwyddo eu gweithwyr i waith o bell. Oherwydd y newid torfol i waith o bell, mae'r llwyth ar byrth presennol VPN cwmnïau yn cynyddu'n sylweddol ac mae angen gallu cyflym iawn i'w graddio. Ar y llaw arall, mae llawer o gwmnïau'n cael eu gorfodi i feistroli'r cysyniad o waith o bell yn gyflym o'r dechrau.
Rwyf wedi paratoi canllaw cam wrth gam ar gyfer defnydd syml o Glwstwr Cydbwyso Llwyth VPN fel y dechnoleg VPN fwyaf graddadwy.
Bydd yr enghraifft isod yn eithaf syml o ran yr algorithmau dilysu ac awdurdodi a ddefnyddir, ond bydd yn opsiwn da ar gyfer cychwyn cyflym (nad yw'n ddigon i lawer ar hyn o bryd) gyda'r posibilrwydd o addasu'n fanwl i'ch anghenion yn ystod y defnydd proses.
Gwybodaeth gryno: Nid yw technoleg Clwstwr Cydbwyso Llwyth VPN yn fethiant ac nid yn swyddogaeth glystyru yn ei hystyr brodorol, gall y dechnoleg hon gyfuno modelau ASA hollol wahanol (gyda chyfyngiadau penodol) er mwyn llwytho cysylltiadau VPN Mynediad o Bell cydbwysedd. Nid oes cydamseriad o sesiynau a chyfluniadau rhwng nodau clwstwr o'r fath, ond mae'n bosibl llwytho cysylltiadau VPN cydbwysedd yn awtomatig a sicrhau goddefgarwch nam ar gysylltiadau VPN nes bod o leiaf un nod gweithredol yn aros yn y clwstwr. Mae'r llwyth yn y clwstwr yn cael ei gydbwyso'n awtomatig yn dibynnu ar lwyth gwaith y nodau yn ôl nifer y sesiynau VPN.
Ar gyfer methiant nodau penodol y clwstwr (os oes angen), gellir defnyddio ffeiliwr, felly bydd y cysylltiad gweithredol yn cael ei drin gan brif nod y ffeiliwr. Nid yw'r ffeil drosodd yn amod angenrheidiol ar gyfer sicrhau goddefgarwch bai o fewn y clwstwr Cydbwyso Llwyth, bydd y clwstwr ei hun, os bydd y nod yn methu, yn trosglwyddo'r sesiwn defnyddiwr i nod byw arall, ond heb arbed y statws cysylltiad, sef yn union. a ddarperir gan y ffeiliwr. Yn unol â hynny, mae'n bosibl, os oes angen, cyfuno'r ddwy dechnoleg hyn.
Gall clwstwr Cydbwyso Llwyth VPN gynnwys mwy na dau nod.
Cefnogir Clwstwr Cydbwyso Llwyth VPN ar ASA 5512-X ac uwch.
Gan fod pob ASA o fewn y clwstwr Cydbwyso Llwyth VPN yn uned annibynnol o ran gosodiadau, rydym yn cynnal yr holl gamau ffurfweddu yn unigol ar bob dyfais unigol.
Rydym yn defnyddio enghreifftiau ASAV o'r templedi sydd eu hangen arnom (ASAv5/10/30/50) o'r ddelwedd.
Rydym yn aseinio'r rhyngwynebau TU MEWN / TU ALLAN i'r un VLANs (Y tu allan yn ei VLAN ei hun, Y TU MEWN yn ei hun, ond yn gyffredinol o fewn y clwstwr, gweler y topoleg), mae'n bwysig bod rhyngwynebau o'r un math yn yr un segment L2.
Trwyddedau:
Ar hyn o bryd ni fydd gan y gosodiad ASAv unrhyw drwyddedau a bydd yn gyfyngedig i 100kbps.
I osod trwydded, mae angen i chi gynhyrchu tocyn yn eich Cyfrif Clyfar: https://software.cisco.com/ -> Trwyddedu Meddalwedd Clyfar
Yn y ffenestr sy'n agor, cliciwch ar y botwm Tocyn Newydd
Gwnewch yn siŵr bod maes gweithredol yn y ffenestr sy'n agor a bod marc gwirio yn cael ei wirio Caniatáu ymarferoldeb a reolir gan allforio… Heb y maes hwn yn weithredol, ni fyddwch yn gallu defnyddio swyddogaethau amgryptio cryf ac, yn unol â hynny, VPN. Os nad yw'r maes hwn yn weithredol, cysylltwch â'ch tîm cyfrif gyda chais ysgogi.
Ar ôl pwyso'r botwm Creu Token, bydd tocyn yn cael ei greu y byddwn yn ei ddefnyddio i gael trwydded ar gyfer ASAV, copïwch ef:
Ailadroddwch gamau C, D, E ar gyfer pob ASAv a ddefnyddir.
Er mwyn ei gwneud hi'n haws copïo'r tocyn, gadewch i ni ganiatáu telnet dros dro. Gadewch i ni ffurfweddu pob ASA (mae'r enghraifft isod yn dangos y gosodiadau ar ASA-1). Nid yw telnet yn gweithio gyda'r tu allan, os oes gwir angen arnoch, newidiwch lefel diogelwch i 100 i'r tu allan, yna dychwelwch ef yn ôl.
!
ciscoasa(config)# int gi0/0
ciscoasa(config)# nameif outside
ciscoasa(config)# ip address 192.168.31.30 255.255.255.0
ciscoasa(config)# no shut
!
ciscoasa(config)# int gi0/1
ciscoasa(config)# nameif inside
ciscoasa(config)# ip address 192.168.255.2 255.255.255.0
ciscoasa(config)# no shut
!
ciscoasa(config)# telnet 0 0 inside
ciscoasa(config)# username admin password cisco priv 15
ciscoasa(config)# ena password cisco
ciscoasa(config)# aaa authentication telnet console LOCAL
!
ciscoasa(config)# route outside 0 0 192.168.31.1
!
ciscoasa(config)# wr
!
I gofrestru tocyn yn y cwmwl Smart-Account, rhaid i chi ddarparu mynediad Rhyngrwyd ar gyfer ASA, manylion yma.
Yn fyr, mae angen ASA:
mynediad trwy HTTPS i'r Rhyngrwyd;
cydamseru amser (yn fwy cywir, trwy NTP);
gweinydd DNS cofrestredig;
Rydym yn telnet i'n ASA ac yn gwneud gosodiadau i actifadu'r drwydded trwy Smart-Account.
!
ciscoasa(config)# clock set 19:21:00 Mar 18 2020
ciscoasa(config)# clock timezone MSK 3
ciscoasa(config)# ntp server 192.168.99.136
!
ciscoasa(config)# dns domain-lookup outside
ciscoasa(config)# DNS server-group DefaultDNS
ciscoasa(config-dns-server-group)# name-server 192.168.99.132
!
! Проверим работу DNS:
!
ciscoasa(config-dns-server-group)# ping ya.ru
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 87.250.250.242, timeout is 2 seconds:
!!!!!
!
! Проверим синхронизацию NTP:
!
ciscoasa(config)# show ntp associations
address ref clock st when poll reach delay offset disp
*~192.168.99.136 91.189.94.4 3 63 64 1 36.7 1.85 17.5
* master (synced), # master (unsynced), + selected, - candidate, ~ configured
!
! Установим конфигурацию нашей ASAv для Smart-Licensing (в соответствии с Вашим профилем, в моем случае 100М для примера)
!
ciscoasa(config)# license smart
ciscoasa(config-smart-lic)# feature tier standard
ciscoasa(config-smart-lic)# throughput level 100M
!
! В случае необходимости можно настроить доступ в Интернет через прокси используйте следующий блок команд:
!call-home
! http-proxy ip_address port port
!
! Далее мы вставляем скопированный из портала Smart-Account токен (<token>) и регистрируем лицензию
!
ciscoasa(config)# end
ciscoasa# license smart register idtoken <token>
Rydym yn gwirio bod y ddyfais wedi cofrestru trwydded yn llwyddiannus ac mae opsiynau amgryptio ar gael:
Sefydlu SSL-VPN sylfaenol ar bob porth
Nesaf, ffurfweddwch fynediad trwy SSH ac ASDM:
ciscoasa(config)# ssh ver 2
ciscoasa(config)# aaa authentication ssh console LOCAL
ciscoasa(config)# aaa authentication http console LOCAL
ciscoasa(config)# hostname vpn-demo-1
vpn-demo-1(config)# domain-name ashes.cc
vpn-demo-1(config)# cry key gen rsa general-keys modulus 4096
vpn-demo-1(config)# ssh 0 0 inside
vpn-demo-1(config)# http 0 0 inside
!
! Поднимем сервер HTTPS для ASDM на порту 445 чтобы не пересекаться с SSL-VPN порталом
!
vpn-demo-1(config)# http server enable 445
!
Er mwyn i ASDM weithio, yn gyntaf rhaid i chi ei lawrlwytho o wefan cisco.com, yn fy achos i, y ffeil ganlynol yw hi:
Er mwyn i'r cleient AnyConnect weithio, mae angen i chi uwchlwytho delwedd i bob ASA ar gyfer pob cleient bwrdd gwaith OS a ddefnyddir (a gynlluniwyd i ddefnyddio Linux / Windows / MAC), bydd angen ffeil arnoch gyda Pecyn Defnyddio Headend Yn y teitl:
Gellir uwchlwytho'r ffeiliau a lawrlwythwyd, er enghraifft, i weinydd FTP a'u huwchlwytho i bob ASA unigol:
Rydym yn ffurfweddu tystysgrif ASDM a Hunan-lofnod ar gyfer SSL-VPN (argymhellir defnyddio tystysgrif y gellir ymddiried ynddi wrth gynhyrchu). Rhaid i set FQDN y Cyfeiriad Clwstwr Rhithwir (vpn-demo.ashes.cc), yn ogystal â phob FQDN sy'n gysylltiedig â chyfeiriad allanol pob nod clwstwr, ddatrys yn y parth DNS allanol i gyfeiriad IP y rhyngwyneb OUTSIDE (neu i'r cyfeiriad wedi'i fapio os defnyddir porth anfon ymlaen udp/443 (DTLS) a tcp/443(TLS)). Mae gwybodaeth fanwl am y gofynion ar gyfer y dystysgrif wedi'i nodi yn yr adran Gwirio Tystysgrif dogfennaeth.
!
vpn-demo-1(config)# crypto ca trustpoint SELF
vpn-demo-1(config-ca-trustpoint)# enrollment self
vpn-demo-1(config-ca-trustpoint)# fqdn vpn-demo.ashes.cc
vpn-demo-1(config-ca-trustpoint)# subject-name cn=*.ashes.cc, ou=ashes-lab, o=ashes, c=ru
vpn-demo-1(config-ca-trustpoint)# serial-number
vpn-demo-1(config-ca-trustpoint)# crl configure
vpn-demo-1(config-ca-crl)# cry ca enroll SELF
% The fully-qualified domain name in the certificate will be: vpn-demo.ashes.cc
Generate Self-Signed Certificate? [yes/no]: yes
vpn-demo-1(config)#
!
vpn-demo-1(config)# sh cry ca certificates
Certificate
Status: Available
Certificate Serial Number: 4d43725e
Certificate Usage: General Purpose
Public Key Type: RSA (4096 bits)
Signature Algorithm: SHA256 with RSA Encryption
Issuer Name:
serialNumber=9A439T02F95
hostname=vpn-demo.ashes.cc
cn=*.ashes.cc
ou=ashes-lab
o=ashes
c=ru
Subject Name:
serialNumber=9A439T02F95
hostname=vpn-demo.ashes.cc
cn=*.ashes.cc
ou=ashes-lab
o=ashes
c=ru
Validity Date:
start date: 00:16:17 MSK Mar 19 2020
end date: 00:16:17 MSK Mar 17 2030
Storage: config
Associated Trustpoints: SELF
CA Certificate
Status: Available
Certificate Serial Number: 0509
Certificate Usage: General Purpose
Public Key Type: RSA (4096 bits)
Signature Algorithm: SHA1 with RSA Encryption
Issuer Name:
cn=QuoVadis Root CA 2
o=QuoVadis Limited
c=BM
Subject Name:
cn=QuoVadis Root CA 2
o=QuoVadis Limited
c=BM
Validity Date:
start date: 21:27:00 MSK Nov 24 2006
end date: 21:23:33 MSK Nov 24 2031
Storage: config
Associated Trustpoints: _SmartCallHome_ServerCA
Peidiwch ag anghofio nodi'r porthladd i wirio bod ASDM yn gweithio, er enghraifft:
Gadewch i ni wneud gosodiadau sylfaenol y twnnel:
Gadewch i ni sicrhau bod y rhwydwaith corfforaethol ar gael trwy'r twnnel, a gadewch i'r Rhyngrwyd fynd yn uniongyrchol (nid y dull mwyaf diogel os nad oes amddiffyniadau ar y gwesteiwr cysylltu, mae'n bosibl treiddio trwy westeiwr heintiedig ac arddangos data corfforaethol, opsiwn hollti-twnel-polisi tunnelall yn gadael yr holl draffig gwesteiwr i mewn i'r twnnel. Serch hynny hollt-twnel yn ei gwneud hi'n bosibl dadlwytho porth VPN a pheidio â phrosesu traffig Rhyngrwyd gwesteiwr)
Gadewch i ni gyhoeddi cyfeiriadau o isrwyd 192.168.20.0/24 i westeion yn y twnnel (pwll o 10 i 30 cyfeiriad (ar gyfer nod #1)). Rhaid i bob nod o'r clwstwr VPN gael ei bwll ei hun.
Byddwn yn cynnal dilysiad sylfaenol gyda defnyddiwr a grëwyd yn lleol ar yr ASA (Nid yw hyn yn cael ei argymell, dyma'r dull hawsaf), mae'n well dilysu trwy LDAP/RADIWS, neu well eto, tei Dilysu Aml-ffactor (MFA)er enghraifft Cisco DUO.
(DEWISOL): Yn yr enghraifft uchod, fe wnaethom ddefnyddio defnyddiwr lleol ar yr ITU i ddilysu defnyddwyr o bell, sydd wrth gwrs, ac eithrio yn y labordy, yn berthnasol yn wael. Byddaf yn rhoi enghraifft o sut i addasu'r gosodiad yn gyflym ar gyfer dilysu RADIWS gweinydd, er enghraifft a ddefnyddir Peiriant Gwasanaethau Hunaniaeth Cisco:
Roedd yr integreiddio hwn yn ei gwneud hi'n bosibl nid yn unig integreiddio'r weithdrefn ddilysu yn gyflym â'r gwasanaeth cyfeiriadur AD, ond hefyd i wahaniaethu a yw'r cyfrifiadur cysylltiedig yn perthyn i AD, i ddeall a yw'r ddyfais hon yn gorfforaethol neu'n bersonol, ac i asesu statws y ddyfais gysylltiedig .
Gadewch i ni ffurfweddu NAT Tryloyw fel nad yw'r traffig rhwng y cleient ac adnoddau'r rhwydwaith rhwydwaith corfforaethol yn cael ei sgriblo:
vpn-demo-1(config-network-object)# subnet 192.168.20.0 255.255.255.0
!
vpn-demo-1(config)# nat (inside,outside) source static any any destination static vpn-users vpn-users no-proxy-arp
(DEWISOL): Er mwyn datgelu ein cleientiaid i'r Rhyngrwyd trwy'r ASA (wrth ddefnyddio twnelall opsiynau) gan ddefnyddio PAT, yn ogystal ag ymadael trwy'r un rhyngwyneb OUTSIDE y maent wedi'u cysylltu ag ef, mae angen i chi wneud y gosodiadau canlynol
Wrth ddefnyddio clwstwr, mae'n hynod bwysig galluogi'r rhwydwaith mewnol i ddeall pa ASA i gyfeirio traffig dychwelyd i ddefnyddwyr, ar gyfer hyn mae angen i chi ailddosbarthu llwybrau / 32 cyfeiriad a roddwyd i gleientiaid.
Ar hyn o bryd, nid ydym wedi ffurfweddu'r clwstwr eto, ond mae gennym eisoes byrth VPN gweithredol y gellir eu cysylltu'n unigol trwy FQDN neu IP.
Rydym yn gweld y cleient cysylltiedig yn nhabl llwybro'r ASA cyntaf:
Er mwyn i'n clwstwr VPN cyfan a'r rhwydwaith corfforaethol cyfan wybod y llwybr i'n cleient, byddwn yn ailddosbarthu rhagddodiad y cleient yn brotocol llwybro deinamig, er enghraifft OSPF:
Nawr mae gennym lwybr i'r cleient o'r ail borth ASA-2 a gall defnyddwyr sy'n gysylltiedig â gwahanol byrth VPN o fewn y clwstwr, er enghraifft, gyfathrebu'n uniongyrchol trwy ffôn meddal corfforaethol, yn ogystal â thraffig dychwelyd o'r adnoddau y mae'r defnyddiwr yn gofyn amdanynt. dewch i'r porth VPN dymunol:
Gadewch i ni symud ymlaen i ffurfweddu'r clwstwr Cydbwyso Llwyth.
Bydd y cyfeiriad 192.168.31.40 yn cael ei ddefnyddio fel IP Rhithwir (VIP - bydd pob cleient VPN yn cysylltu ag ef i ddechrau), o'r cyfeiriad hwn bydd y clwstwr Meistr yn gwneud REDIRECT i nod clwstwr llai llwythog. Peidiwch ag anghofio ysgrifennu ymlaen a gwrthdroi cofnod DNS ar gyfer pob cyfeiriad allanol / FQDN pob nod o'r clwstwr, ac ar gyfer VIP.
Rydym yn gwirio gweithrediad y clwstwr gyda dau gleient cysylltiedig:
Gadewch i ni wneud profiad y cwsmer yn fwy cyfleus gyda'r proffil AnyConnect sy'n cael ei lwytho'n awtomatig trwy ASDM.
Rydym yn enwi’r proffil mewn ffordd gyfleus ac yn cysylltu ein polisi grŵp ag ef:
Ar ôl cysylltiad nesaf y cleient, bydd y proffil hwn yn cael ei lawrlwytho a'i osod yn awtomatig yn y cleient AnyConnect, felly os oes angen i chi gysylltu, does ond angen i chi ei ddewis o'r rhestr:
Gan ein bod wedi creu'r proffil hwn ar un ASA yn unig gan ddefnyddio ASDM, peidiwch ag anghofio ailadrodd y camau ar yr ASAau eraill yn y clwstwr.
Casgliad: Felly, fe wnaethom ddefnyddio clwstwr o sawl porth VPN yn gyflym gyda chydbwyso llwyth awtomatig. Mae'n hawdd ychwanegu nodau newydd i'r clwstwr, gyda graddio llorweddol syml trwy ddefnyddio peiriannau rhithwir ASAv newydd neu ddefnyddio ASAs caledwedd. Gall y cleient AnyConnect sy'n gyfoethog o ran nodweddion wella cysylltiad diogel o bell yn fawr trwy ddefnyddio'r Osgo (amcangyfrifon), a ddefnyddir yn fwyaf effeithiol ar y cyd â'r system o reolaeth ganolog a chyfrifyddu mynediad Peiriant Gwasanaethau Hunaniaeth.