Artikulu honetan urratsez urrats argibideak eman nahi nituzke une honetan eskema eskalagarriena azkar nola zabaldu dezakezun Urruneko sarbidea VPN sarbidean oinarrituta AnyConnect eta Cisco ASA - VPN karga orekatzeko klusterra.
Sarrera: Mundu osoko enpresa asko, COVID-19aren egungo egoera dela eta, ahaleginak egiten ari dira beren langileak urrutiko lanera pasatzeko. Urruneko lanerako trantsizio hedatua dela eta, enpresen lehendik dauden VPN atebideen karga nabarmen handitzen da eta horiek eskalatzeko oso gaitasun azkarra behar da. Bestalde, enpresa asko urrutiko lanaren kontzeptua hutsetik presaka menderatzera behartuta daude.
Enpresei langileentzako VPN sarbide eroso, seguru eta eskalagarria azkar inplementatzen laguntzeko, Cisco-k 13 asteko lizentziak eskaintzen ditu AnyConnect SSL-VPN bezero eginbidez beteta. .
.
Urratsez urratseko argibideak prestatu ditut VPN karga orekatzeko kluster bat VPN teknologia eskalagarrien gisa zabaltzeko aukera sinple baterako.
Beheko adibidea nahiko sinplea izango da erabilitako autentifikazio- eta baimen-algoritmoen ikuspuntutik, baina aukera ona izango da azkar hasteko (orain jende asko falta zaion zerbait), sakonki egokitzeko aukerarekin. zure beharrak hedapen-prozesuan zehar.
Informazio laburra: VPN Load Balancing Cluster teknologia ez da hutsegite bat edo clustering funtzio bat bere jatorrizko zentzuan; teknologia honek ASA eredu guztiz desberdinak konbina ditzake (murriztapen batzuekin) Urruneko Sarbideko VPN konexioak orekatzeko. Ez dago saioen eta konfigurazioen sinkronizaziorik kluster baten nodoen artean, baina posible da VPN konexioak automatikoki orekatzea eta VPN konexioen akatsen tolerantzia bermatzea, gutxienez nodo aktibo bat klusterrean geratu arte. Klusterreko karga automatikoki orekatzen da nodoen lan-kargaren arabera, VPN saio kopuruaren arabera.
Kluster-nodo espezifikoen akatsen tolerantziarako (beharrezkoa bada), artxibo bat erabil dezakezu, beraz, konexio aktiboa fitxategiaren nodo Nagusiak prozesatuko du. Fitxategiak gainditzea ez da beharrezko baldintza Load-Balancing klusterraren barruan akatsen tolerantzia bermatzeko; nodoaren hutsegiterik gertatuz gero, klusterrak berak erabiltzailearen saioa beste nodo zuzen batera transferituko du, baina konexio-egoera mantendu gabe, hori da hain zuzen. fitxategiak eskaintzen du. Horren arabera, bi teknologia hauek konbina daitezke behar izanez gero.
VPN karga orekatzeko kluster batek bi nodo baino gehiago izan ditzake.
VPN Load-Balancing cluster ASA 5512-X eta bertsio berriagoetan onartzen da.
VPN Load-Balancing klusterreko ASA bakoitza ezarpenei dagokienez unitate independente bat denez, konfigurazio-urrats guztiak banaka egiten ditugu gailu bakoitzean.
Emandako adibidearen topologia logikoa hau da:

Hasierako hedapena:
-
Iruditik behar ditugun txantiloien (ASAv5/10/30/50) ASAv instantziak zabaltzen ditugu.
-
INSIDE/OUTSIDE interfazeak VLAN berari esleitzen dizkiogu (Kanpoa bere VLAN propioan, INSIDE berez, baina komunak cluster barruan, ikusi topologia), garrantzitsua da mota bereko interfazeak L2 segmentu berean egotea.
-
Lizentziak:
- Instalazioaren unean, ASAv-ek ez du inolako lizentziarik izango eta 100 kbit/seg-ra mugatuko da.
- Lizentzia bat instalatzeko, token bat sortu behar duzu zure Smart-Account kontuan: -> Software adimendunaren lizentzia
- Irekitzen den leihoan, egin klik botoian Token berria

- Ziurtatu irekitzen den leihoko eremua aktibo dagoela eta kontrol-laukia markatuta dagoela Baimendu esportazioek kontrolatutako funtzionaltasuna... Eremu aktibo hori gabe, ezin izango duzu zifratze-funtzio sendoak erabili eta, horren arabera, VPN. Eremu hau aktibo ez badago, jarri harremanetan zure kontu-taldearekin aktibazioa eskatzeko.

- Botoia sakatu ondoren Sortu tokena, ASAv lizentzia lortzeko erabiliko dugun token bat sortuko da, kopiatu:

- Errepikatu ditzagun C,D,E urratsak zabaldutako ASAv bakoitzeko.
- Tokena kopiatzea errazteko, gaitu dezagun aldi baterako telnet. Konfigura dezagun ASA bakoitza (beheko adibidean ASA-1-en ezarpenak azaltzen dira). Telnet-ek kanpotik ez du funtzionatzen, benetan behar baduzu, aldatu segurtasun-maila 100-era kanpotik, eta berriro aldatu.
! ciscoasa(config)# int gi0/0 ciscoasa(config)# nameif outside ciscoasa(config)# ip address 192.168.31.30 255.255.255.0 ciscoasa(config)# no shut ! ciscoasa(config)# int gi0/1 ciscoasa(config)# nameif inside ciscoasa(config)# ip address 192.168.255.2 255.255.255.0 ciscoasa(config)# no shut ! ciscoasa(config)# telnet 0 0 inside ciscoasa(config)# username admin password cisco priv 15 ciscoasa(config)# ena password cisco ciscoasa(config)# aaa authentication telnet console LOCAL ! ciscoasa(config)# route outside 0 0 192.168.31.1 ! ciscoasa(config)# wr !- Token bat Smart-Account hodeian erregistratzeko, Interneterako sarbidea eman behar diozu ASAri, .
Laburbilduz, ASA behar da:
- Interneterako sarbidea HTTPS bidez;
- denbora-sinkronizazioa (zuzenago NTP bidez);
- erregistratutako DNS zerbitzaria;
- Telnet bidez gure ASAra joaten gara eta Smart-Account bidez lizentzia aktibatzeko ezarpenak egiten ditugu.
! ciscoasa(config)# clock set 19:21:00 Mar 18 2020 ciscoasa(config)# clock timezone MSK 3 ciscoasa(config)# ntp server 192.168.99.136 ! ciscoasa(config)# dns domain-lookup outside ciscoasa(config)# DNS server-group DefaultDNS ciscoasa(config-dns-server-group)# name-server 192.168.99.132 ! ! ΠΡΠΎΠ²Π΅ΡΠΈΠΌ ΡΠ°Π±ΠΎΡΡ DNS: ! ciscoasa(config-dns-server-group)# ping ya.ru Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 87.250.250.242, timeout is 2 seconds: !!!!! ! ! ΠΡΠΎΠ²Π΅ΡΠΈΠΌ ΡΠΈΠ½Ρ ΡΠΎΠ½ΠΈΠ·Π°ΡΠΈΡ NTP: ! ciscoasa(config)# show ntp associations address ref clock st when poll reach delay offset disp *~192.168.99.136 91.189.94.4 3 63 64 1 36.7 1.85 17.5 * master (synced), # master (unsynced), + selected, - candidate, ~ configured ! ! Π£ΡΡΠ°Π½ΠΎΠ²ΠΈΠΌ ΠΊΠΎΠ½ΡΠΈΠ³ΡΡΠ°ΡΠΈΡ Π½Π°ΡΠ΅ΠΉ ASAv Π΄Π»Ρ Smart-Licensing (Π² ΡΠΎΠΎΡΠ²Π΅ΡΡΡΠ²ΠΈΠΈ Ρ ΠΠ°ΡΠΈΠΌ ΠΏΡΠΎΡΠΈΠ»Π΅ΠΌ, Π² ΠΌΠΎΠ΅ΠΌ ΡΠ»ΡΡΠ°Π΅ 100Π Π΄Π»Ρ ΠΏΡΠΈΠΌΠ΅ΡΠ°) ! ciscoasa(config)# license smart ciscoasa(config-smart-lic)# feature tier standard ciscoasa(config-smart-lic)# throughput level 100M ! ! Π ΡΠ»ΡΡΠ°Π΅ Π½Π΅ΠΎΠ±Ρ ΠΎΠ΄ΠΈΠΌΠΎΡΡΠΈ ΠΌΠΎΠΆΠ½ΠΎ Π½Π°ΡΡΡΠΎΠΈΡΡ Π΄ΠΎΡΡΡΠΏ Π² ΠΠ½ΡΠ΅ΡΠ½Π΅Ρ ΡΠ΅ΡΠ΅Π· ΠΏΡΠΎΠΊΡΠΈ ΠΈΡΠΏΠΎΠ»ΡΠ·ΡΠΉΡΠ΅ ΡΠ»Π΅Π΄ΡΡΡΠΈΠΉ Π±Π»ΠΎΠΊ ΠΊΠΎΠΌΠ°Π½Π΄: !call-home ! http-proxy ip_address port port ! ! ΠΠ°Π»Π΅Π΅ ΠΌΡ Π²ΡΡΠ°Π²Π»ΡΠ΅ΠΌ ΡΠΊΠΎΠΏΠΈΡΠΎΠ²Π°Π½Π½ΡΠΉ ΠΈΠ· ΠΏΠΎΡΡΠ°Π»Π° Smart-Account ΡΠΎΠΊΠ΅Π½ (<token>) ΠΈ ΡΠ΅Π³ΠΈΡΡΡΠΈΡΡΠ΅ΠΌ Π»ΠΈΡΠ΅Π½Π·ΠΈΡ ! ciscoasa(config)# end ciscoasa# license smart register idtoken <token>- Gailuak lizentzia bat behar bezala erregistratu duela eta enkriptatzeko aukerak eskuragarri daudela egiaztatzen dugu:


-
Oinarrizko SSL-VPN konfiguratzea atebide bakoitzean
- Ondoren, sarbidea konfiguratuko dugu SSH eta ASDM bidez:
ciscoasa(config)# ssh ver 2 ciscoasa(config)# aaa authentication ssh console LOCAL ciscoasa(config)# aaa authentication http console LOCAL ciscoasa(config)# hostname vpn-demo-1 vpn-demo-1(config)# domain-name ashes.cc vpn-demo-1(config)# cry key gen rsa general-keys modulus 4096 vpn-demo-1(config)# ssh 0 0 inside vpn-demo-1(config)# http 0 0 inside ! ! ΠΠΎΠ΄Π½ΠΈΠΌΠ΅ΠΌ ΡΠ΅ΡΠ²Π΅Ρ HTTPS Π΄Π»Ρ ASDM Π½Π° ΠΏΠΎΡΡΡ 445 ΡΡΠΎΠ±Ρ Π½Π΅ ΠΏΠ΅ΡΠ΅ΡΠ΅ΠΊΠ°ΡΡΡΡ Ρ SSL-VPN ΠΏΠΎΡΡΠ°Π»ΠΎΠΌ ! vpn-demo-1(config)# http server enable 445 !- ASDM funtziona dezan, lehenik cisco.com-etik deskargatu behar duzu, nire kasuan fitxategi hau da:

- AnyConnect bezeroak funtziona dezan, erabilitako (erabiltzeko aurreikusitako) mahaigaineko bezero-sistema eragile bakoitzerako irudi bat deskargatu behar duzu ASA bakoitzera. Linux/Windows/MAC) fitxategi bat beharko duzu honekin: Headend inplementazio paketea Izenburuan:

- Deskargatutako fitxategiak, adibidez, FTP zerbitzari batera kargatu eta ASA bakoitzari kargatu daitezke:

- ASDM eta autosinatutako ziurtagiria konfiguratzen dugu SSL-VPNrako (ekoizpenean konfiantzazko ziurtagiri bat erabiltzea gomendatzen da). Klusterraren Helbide Birtualaren (vpn-demo.ashes.cc) ezarritako FQDNa, baita kluster-nodo bakoitzaren kanpo-helbidearekin lotutako FQDN bakoitza KANPOko interfazearen IP helbidera konpondu behar dira kanpoko DNS eremuan (edo mapatutako helbidera udp/443 ataka birbidaltzea (DTLS) eta tcp/443(TLS) erabiltzen bada). Ziurtagiriaren eskakizunei buruzko informazio zehatza atalean zehazten da Ziurtagiriaren egiaztapena dokumentazioa.
! vpn-demo-1(config)# crypto ca trustpoint SELF vpn-demo-1(config-ca-trustpoint)# enrollment self vpn-demo-1(config-ca-trustpoint)# fqdn vpn-demo.ashes.cc vpn-demo-1(config-ca-trustpoint)# subject-name cn=*.ashes.cc, ou=ashes-lab, o=ashes, c=ru vpn-demo-1(config-ca-trustpoint)# serial-number vpn-demo-1(config-ca-trustpoint)# crl configure vpn-demo-1(config-ca-crl)# cry ca enroll SELF % The fully-qualified domain name in the certificate will be: vpn-demo.ashes.cc Generate Self-Signed Certificate? [yes/no]: yes vpn-demo-1(config)# ! vpn-demo-1(config)# sh cry ca certificates Certificate Status: Available Certificate Serial Number: 4d43725e Certificate Usage: General Purpose Public Key Type: RSA (4096 bits) Signature Algorithm: SHA256 with RSA Encryption Issuer Name: serialNumber=9A439T02F95 hostname=vpn-demo.ashes.cc cn=*.ashes.cc ou=ashes-lab o=ashes c=ru Subject Name: serialNumber=9A439T02F95 hostname=vpn-demo.ashes.cc cn=*.ashes.cc ou=ashes-lab o=ashes c=ru Validity Date: start date: 00:16:17 MSK Mar 19 2020 end date: 00:16:17 MSK Mar 17 2030 Storage: config Associated Trustpoints: SELF CA Certificate Status: Available Certificate Serial Number: 0509 Certificate Usage: General Purpose Public Key Type: RSA (4096 bits) Signature Algorithm: SHA1 with RSA Encryption Issuer Name: cn=QuoVadis Root CA 2 o=QuoVadis Limited c=BM Subject Name: cn=QuoVadis Root CA 2 o=QuoVadis Limited c=BM Validity Date: start date: 21:27:00 MSK Nov 24 2006 end date: 21:23:33 MSK Nov 24 2031 Storage: config Associated Trustpoints: _SmartCallHome_ServerCA- ASDMren funtzionamendua egiaztatzeko, ez ahaztu ataka zehaztea, adibidez:

- Egin ditzagun oinarrizko tunelaren ezarpenak:
- Sare korporatiboa tunel baten bidez eskuragarri jarriko dugu eta Internetera zuzenean konektatuko dugu (ez da metodorik seguruena konektatzen den ostalariaren segurtasun neurririk ez dagoenean, posible da kutsatutako ostalari baten bidez sartzea eta datu korporatiboak ateratzea, aukera. zatitu-tunnel-politika tunnelall ostalari trafiko guztia tunelera sartuko da. Hala ere Split-Tunela VPN atebidea arintzea eta ostalariaren Interneteko trafikoa ez prozesatzea ahalbidetzen du)
- Tunelean dauden ostalariei 192.168.20.0/24 azpisareko helbideak emango dizkiegu (10 eta 30 helbideko multzoa (1. nodorako)). Klusterreko nodo bakoitzak bere VPN igerilekua izan behar du.
- Egin dezagun oinarrizko autentifikazioa lokalean sortutako erabiltzaile batekin ASAn (Hau ez da gomendagarria, hau da metodorik errazena), hobe da autentifikazioa bidez egitea. LDAP/RADIUS, edo hobeto esanda, gorbata Faktore anitzeko autentifikazioa (MFA)Adibidez, Cisco DUO.
! vpn-demo-1(config)# ip local pool vpn-pool 192.168.20.10-192.168.20.30 mask 255.255.255.0 ! vpn-demo-1(config)# access-list split-tunnel standard permit 192.168.0.0 255.255.0.0 ! vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY internal vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY attributes vpn-demo-1(config-group-policy)# vpn-tunnel-protocol ssl-client vpn-demo-1(config-group-policy)# split-tunnel-policy tunnelspecified vpn-demo-1(config-group-policy)# split-tunnel-network-list value split-tunnel vpn-demo-1(config-group-policy)# dns-server value 192.168.99.132 vpn-demo-1(config-group-policy)# default-domain value ashes.cc vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes vpn-demo-1(config-tunnel-general)# default-group-policy SSL-VPN-GROUP-POLICY vpn-demo-1(config-tunnel-general)# address-pool vpn-pool ! vpn-demo-1(config)# username dkazakov password cisco vpn-demo-1(config)# username dkazakov attributes vpn-demo-1(config-username)# service-type remote-access ! vpn-demo-1(config)# ssl trust-point SELF vpn-demo-1(config)# webvpn vpn-demo-1(config-webvpn)# enable outside vpn-demo-1(config-webvpn)# anyconnect image disk0:/anyconnect-win-4.8.03036-webdeploy-k9.pkg vpn-demo-1(config-webvpn)# anyconnect enable !- (AUKERAKOA): Goiko adibidean, bertako erabiltzaile bat erabili dugu suebakian urruneko erabiltzaileak autentifikatzeko, eta horrek, noski, ez du ezertarako balio laborategian izan ezik. Adibide bat emango dut autentifikaziorako konfigurazioa azkar nola egokitu RADIUS zerbitzaria, adibidez Cisco Identity Services Engine:
vpn-demo-1(config-aaa-server-group)# dynamic-authorization vpn-demo-1(config-aaa-server-group)# interim-accounting-update vpn-demo-1(config-aaa-server-group)# aaa-server RADIUS (outside) host 192.168.99.134 vpn-demo-1(config-aaa-server-host)# key cisco vpn-demo-1(config-aaa-server-host)# exit vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes vpn-demo-1(config-tunnel-general)# authentication-server-group RADIUS !Integrazio honek AD direktorio-zerbitzuarekin autentifikazio-prozedura azkar integratzeaz gain, konektatutako ordenagailua ADrena den bereiztea ahalbidetu zuen, gailu korporatiboa ala pertsonala den ulertzea eta konektatutakoaren egoera ebaluatzea. gailua.


- Konfigura dezagun NAT gardena, sare korporatiboko bezeroaren eta sareko baliabideen arteko trafikoa oztopa ez dadin:
vpn-demo-1(config-network-object)# subnet 192.168.20.0 255.255.255.0 ! vpn-demo-1(config)# nat (inside,outside) source static any any destination static vpn-users vpn-users no-proxy-arp- (AUKERAKOA): Gure bezeroak ASA bidez Internetera erakusteko (erabiltzean tunel guztia aukerak) PAT erabiliz, eta konektatu diren tokitik KANPOKO interfaze beretik irten, ondorengo ezarpenak egin behar dituzu
vpn-demo-1(config-network-object)# nat (outside,outside) source dynamic vpn-users interface vpn-demo-1(config)# nat (inside,outside) source dynamic any interface vpn-demo-1(config)# same-security-traffic permit intra-interface !- Kluster bat erabiltzean oso garrantzitsua da barne-sareak uler dezan zein ASA bideratu behar duen erabiltzaileei itzulerako trafikoa; horretarako beharrezkoa da bezeroei emandako ibilbideak /32 helbideak birbanatzea.
Momentuz, oraindik ez dugu klusterra konfiguratu, baina dagoeneko baditugu funtzionatzen duten VPN atebideak, zeinetara banaka konekta zaitezke FQDN edo IP bidez.

Konektatutako bezeroa lehen ASAren bideratze-taulan ikusten dugu:

Gure VPN kluster osoak eta sare korporatibo osoak gure bezeroaren ibilbidea ezagutu dezan, bezeroaren aurrizkia bideratze protokolo dinamiko batean banatuko dugu, adibidez OSPF:
! vpn-demo-1(config)# route-map RMAP-VPN-REDISTRIBUTE permit 1 vpn-demo-1(config-route-map)# match ip address VPN-REDISTRIBUTE ! vpn-demo-1(config)# router ospf 1 vpn-demo-1(config-router)# network 192.168.255.0 255.255.255.0 area 0 vpn-demo-1(config-router)# log-adj-changes vpn-demo-1(config-router)# redistribute static metric 5000 subnets route-map RMAP-VPN-REDISTRIBUTEOrain bezeroari bide bat dugu bigarren ASA-2 atebidetik eta kluster barruko VPN atebide ezberdinetara konektatutako erabiltzaileek, adibidez, zuzenean komunika daitezke softphone korporatibo baten bidez, erabiltzaileak eskatutako baliabideetatik itzultzeko trafikoa iritsiko den bezala. nahi duzun VPN atebidean:

-
Joan gaitezen Karga-orekatzeko klusterra konfiguratzera.
192.168.31.40 helbidea IP Birtual gisa erabiliko da (VIP - VPN bezero guztiak hasiera batean konektatuko dira), helbide horretatik Cluster Masterrak kargatu gutxiagoko kluster nodo batera BIDEZUZ. Ez ahaztu izena ematea DNS erregistroak aurrera eta atzera egin bai cluster-nodo bakoitzaren kanpoko helbide/FQDN bakoitzeko, bai VIP-erako.
vpn-demo-1(config)# vpn load-balancing vpn-demo-1(config-load-balancing)# interface lbpublic outside vpn-demo-1(config-load-balancing)# interface lbprivate inside vpn-demo-1(config-load-balancing)# priority 10 vpn-demo-1(config-load-balancing)# cluster ip address 192.168.31.40 vpn-demo-1(config-load-balancing)# cluster port 4000 vpn-demo-1(config-load-balancing)# redirect-fqdn enable vpn-demo-1(config-load-balancing)# cluster key cisco vpn-demo-1(config-load-balancing)# cluster encryption vpn-demo-1(config-load-balancing)# cluster port 9023 vpn-demo-1(config-load-balancing)# participate vpn-demo-1(config-load-balancing)#- Konektatutako bi bezerorekin klusterraren funtzionamendua egiaztatzen dugu:

- Egin dezagun bezeroaren esperientzia erosoagoa ASDM bidez automatikoki deskargatutako AnyConnect profil batekin.

Profilari modu erosoan izena ematen diogu eta gure talde-politika horrekin lotzen dugu:

Hurrengo bezeroaren konexioaren ondoren, profil hau automatikoki deskargatu eta instalatuko da AnyConnect bezeroan, beraz, konektatu behar baduzu, zerrendatik hautatu besterik ez duzu egin behar:

ASDM erabiliz profil hau ASA bakarrean sortu genuenez, ez ahaztu klusterreko gainerako ASAetan urratsak errepikatzea.
Ondorioa: Horrela, azkar zabaldu genuen hainbat VPN atebideen multzoa karga oreka automatikoarekin. Klusterera nodo berriak gehitzea erraza da, eskala horizontal sinplea lortuz ASAv makina birtual berriak zabalduz edo hardware ASA erabiliz. Ezaugarri ugari dituen AnyConnect bezeroak asko hobetu ditzake zure urruneko konexio segururako gaitasunak erabiliz Jarrera (estatu ebaluazioak), sarbide-kontrol eta kontabilitate sistema zentralizatu batekin batera modu eraginkorrean erabiltzen da Identitate Zerbitzuen Motorra.
Iturria: www.habr.com
