Artikulu honetan urratsez urrats argibideak eman nahi nituzke une honetan eskema eskalagarriena azkar nola zabaldu dezakezun Urruneko sarbidea VPN sarbidean oinarrituta AnyConnect eta Cisco ASA - VPN karga orekatzeko klusterra.
Sarrera: Mundu osoko enpresa asko, COVID-19aren egungo egoera dela eta, ahaleginak egiten ari dira beren langileak urrutiko lanera pasatzeko. Urruneko lanerako trantsizio hedatua dela eta, enpresen lehendik dauden VPN atebideen karga nabarmen handitzen da eta horiek eskalatzeko oso gaitasun azkarra behar da. Bestalde, enpresa asko urrutiko lanaren kontzeptua hutsetik presaka menderatzera behartuta daude.
Urratsez urratseko argibideak prestatu ditut VPN karga orekatzeko kluster bat VPN teknologia eskalagarrien gisa zabaltzeko aukera sinple baterako.
Beheko adibidea nahiko sinplea izango da erabilitako autentifikazio- eta baimen-algoritmoen ikuspuntutik, baina aukera ona izango da azkar hasteko (orain jende asko falta zaion zerbait), sakonki egokitzeko aukerarekin. zure beharrak hedapen-prozesuan zehar.
Informazio laburra: VPN Load Balancing Cluster teknologia ez da hutsegite bat edo clustering funtzio bat bere jatorrizko zentzuan; teknologia honek ASA eredu guztiz desberdinak konbina ditzake (murriztapen batzuekin) Urruneko Sarbideko VPN konexioak orekatzeko. Ez dago saioen eta konfigurazioen sinkronizaziorik kluster baten nodoen artean, baina posible da VPN konexioak automatikoki orekatzea eta VPN konexioen akatsen tolerantzia bermatzea, gutxienez nodo aktibo bat klusterrean geratu arte. Klusterreko karga automatikoki orekatzen da nodoen lan-kargaren arabera, VPN saio kopuruaren arabera.
Kluster-nodo espezifikoen akatsen tolerantziarako (beharrezkoa bada), artxibo bat erabil dezakezu, beraz, konexio aktiboa fitxategiaren nodo Nagusiak prozesatuko du. Fitxategiak gainditzea ez da beharrezko baldintza Load-Balancing klusterraren barruan akatsen tolerantzia bermatzeko; nodoaren hutsegiterik gertatuz gero, klusterrak berak erabiltzailearen saioa beste nodo zuzen batera transferituko du, baina konexio-egoera mantendu gabe, hori da hain zuzen. fitxategiak eskaintzen du. Horren arabera, bi teknologia hauek konbina daitezke behar izanez gero.
VPN karga orekatzeko kluster batek bi nodo baino gehiago izan ditzake.
VPN Load-Balancing cluster ASA 5512-X eta bertsio berriagoetan onartzen da.
VPN Load-Balancing klusterreko ASA bakoitza ezarpenei dagokienez unitate independente bat denez, konfigurazio-urrats guztiak banaka egiten ditugu gailu bakoitzean.
Iruditik behar ditugun txantiloien (ASAv5/10/30/50) ASAv instantziak zabaltzen ditugu.
INSIDE/OUTSIDE interfazeak VLAN berari esleitzen dizkiogu (Kanpoa bere VLAN propioan, INSIDE berez, baina komunak cluster barruan, ikusi topologia), garrantzitsua da mota bereko interfazeak L2 segmentu berean egotea.
Lizentziak:
Instalazioaren unean, ASAv-ek ez du inolako lizentziarik izango eta 100 kbit/seg-ra mugatuko da.
Lizentzia bat instalatzeko, token bat sortu behar duzu zure Smart-Account kontuan: https://software.cisco.com/ -> Software adimendunaren lizentzia
Irekitzen den leihoan, egin klik botoian Token berria
Ziurtatu irekitzen den leihoko eremua aktibo dagoela eta kontrol-laukia markatuta dagoela Baimendu esportazioek kontrolatutako funtzionaltasuna... Eremu aktibo hori gabe, ezin izango duzu zifratze-funtzio sendoak erabili eta, horren arabera, VPN. Eremu hau aktibo ez badago, jarri harremanetan zure kontu-taldearekin aktibazioa eskatzeko.
Botoia sakatu ondoren Sortu tokena, ASAv lizentzia lortzeko erabiliko dugun token bat sortuko da, kopiatu:
Tokena kopiatzea errazteko, gaitu dezagun aldi baterako telnet. Konfigura dezagun ASA bakoitza (beheko adibidean ASA-1-en ezarpenak azaltzen dira). Telnet-ek kanpotik ez du funtzionatzen, benetan behar baduzu, aldatu segurtasun-maila 100-era kanpotik, eta berriro aldatu.
!
ciscoasa(config)# int gi0/0
ciscoasa(config)# nameif outside
ciscoasa(config)# ip address 192.168.31.30 255.255.255.0
ciscoasa(config)# no shut
!
ciscoasa(config)# int gi0/1
ciscoasa(config)# nameif inside
ciscoasa(config)# ip address 192.168.255.2 255.255.255.0
ciscoasa(config)# no shut
!
ciscoasa(config)# telnet 0 0 inside
ciscoasa(config)# username admin password cisco priv 15
ciscoasa(config)# ena password cisco
ciscoasa(config)# aaa authentication telnet console LOCAL
!
ciscoasa(config)# route outside 0 0 192.168.31.1
!
ciscoasa(config)# wr
!
Token bat Smart-Account hodeian erregistratzeko, Interneterako sarbidea eman behar diozu ASAri, xehetasunak hemen.
Laburbilduz, ASA behar da:
Interneterako sarbidea HTTPS bidez;
denbora-sinkronizazioa (zuzenago NTP bidez);
erregistratutako DNS zerbitzaria;
Telnet bidez gure ASAra joaten gara eta Smart-Account bidez lizentzia aktibatzeko ezarpenak egiten ditugu.
ASDM funtziona dezan, lehenik cisco.com-etik deskargatu behar duzu, nire kasuan fitxategi hau da:
AnyConnect bezeroak funtziona dezan, irudi bat deskargatu behar duzu ASA bakoitzean erabilitako bezeroen mahaigaineko sistema eragile bakoitzeko (Linux/Windows/MAC erabiltzeko aurreikusita), fitxategi bat beharko duzu. Headend inplementazio paketea Izenburuan:
Deskargatutako fitxategiak, adibidez, FTP zerbitzari batera kargatu eta ASA bakoitzari kargatu daitezke:
ASDM eta autosinatutako ziurtagiria konfiguratzen dugu SSL-VPNrako (ekoizpenean konfiantzazko ziurtagiri bat erabiltzea gomendatzen da). Klusterraren Helbide Birtualaren (vpn-demo.ashes.cc) ezarritako FQDNa, baita kluster-nodo bakoitzaren kanpo-helbidearekin lotutako FQDN bakoitza KANPOko interfazearen IP helbidera konpondu behar dira kanpoko DNS eremuan (edo mapatutako helbidera udp/443 ataka birbidaltzea (DTLS) eta tcp/443(TLS) erabiltzen bada). Ziurtagiriaren eskakizunei buruzko informazio zehatza atalean zehazten da Ziurtagiriaren egiaztapena dokumentazioa.
!
vpn-demo-1(config)# crypto ca trustpoint SELF
vpn-demo-1(config-ca-trustpoint)# enrollment self
vpn-demo-1(config-ca-trustpoint)# fqdn vpn-demo.ashes.cc
vpn-demo-1(config-ca-trustpoint)# subject-name cn=*.ashes.cc, ou=ashes-lab, o=ashes, c=ru
vpn-demo-1(config-ca-trustpoint)# serial-number
vpn-demo-1(config-ca-trustpoint)# crl configure
vpn-demo-1(config-ca-crl)# cry ca enroll SELF
% The fully-qualified domain name in the certificate will be: vpn-demo.ashes.cc
Generate Self-Signed Certificate? [yes/no]: yes
vpn-demo-1(config)#
!
vpn-demo-1(config)# sh cry ca certificates
Certificate
Status: Available
Certificate Serial Number: 4d43725e
Certificate Usage: General Purpose
Public Key Type: RSA (4096 bits)
Signature Algorithm: SHA256 with RSA Encryption
Issuer Name:
serialNumber=9A439T02F95
hostname=vpn-demo.ashes.cc
cn=*.ashes.cc
ou=ashes-lab
o=ashes
c=ru
Subject Name:
serialNumber=9A439T02F95
hostname=vpn-demo.ashes.cc
cn=*.ashes.cc
ou=ashes-lab
o=ashes
c=ru
Validity Date:
start date: 00:16:17 MSK Mar 19 2020
end date: 00:16:17 MSK Mar 17 2030
Storage: config
Associated Trustpoints: SELF
CA Certificate
Status: Available
Certificate Serial Number: 0509
Certificate Usage: General Purpose
Public Key Type: RSA (4096 bits)
Signature Algorithm: SHA1 with RSA Encryption
Issuer Name:
cn=QuoVadis Root CA 2
o=QuoVadis Limited
c=BM
Subject Name:
cn=QuoVadis Root CA 2
o=QuoVadis Limited
c=BM
Validity Date:
start date: 21:27:00 MSK Nov 24 2006
end date: 21:23:33 MSK Nov 24 2031
Storage: config
Associated Trustpoints: _SmartCallHome_ServerCA
ASDMren funtzionamendua egiaztatzeko, ez ahaztu ataka zehaztea, adibidez:
Egin ditzagun oinarrizko tunelaren ezarpenak:
Sare korporatiboa tunel baten bidez eskuragarri jarriko dugu eta Internetera zuzenean konektatuko dugu (ez da metodorik seguruena konektatzen den ostalariaren segurtasun neurririk ez dagoenean, posible da kutsatutako ostalari baten bidez sartzea eta datu korporatiboak ateratzea, aukera. zatitu-tunnel-politika tunnelall ostalari trafiko guztia tunelera sartuko da. Hala ere Split-Tunela VPN atebidea arintzea eta ostalariaren Interneteko trafikoa ez prozesatzea ahalbidetzen du)
Tunelean dauden ostalariei 192.168.20.0/24 azpisareko helbideak emango dizkiegu (10 eta 30 helbideko multzoa (1. nodorako)). Klusterreko nodo bakoitzak bere VPN igerilekua izan behar du.
Egin dezagun oinarrizko autentifikazioa lokalean sortutako erabiltzaile batekin ASAn (Hau ez da gomendagarria, hau da metodorik errazena), hobe da autentifikazioa bidez egitea. LDAP/RADIUS, edo hobeto esanda, gorbata Faktore anitzeko autentifikazioa (MFA)Adibidez, Cisco DUO.
(AUKERAKOA): Goiko adibidean, bertako erabiltzaile bat erabili dugu suebakian urruneko erabiltzaileak autentifikatzeko, eta horrek, noski, ez du ezertarako balio laborategian izan ezik. Adibide bat emango dut autentifikaziorako konfigurazioa azkar nola egokitu RADIUS zerbitzaria, adibidez Cisco Identity Services Engine:
Integrazio honek AD direktorio-zerbitzuarekin autentifikazio-prozedura azkar integratzeaz gain, konektatutako ordenagailua ADrena den bereiztea ahalbidetu zuen, gailu korporatiboa ala pertsonala den ulertzea eta konektatutakoaren egoera ebaluatzea. gailua.
Konfigura dezagun NAT gardena, sare korporatiboko bezeroaren eta sareko baliabideen arteko trafikoa oztopa ez dadin:
vpn-demo-1(config-network-object)# subnet 192.168.20.0 255.255.255.0
!
vpn-demo-1(config)# nat (inside,outside) source static any any destination static vpn-users vpn-users no-proxy-arp
(AUKERAKOA): Gure bezeroak ASA bidez Internetera erakusteko (erabiltzean tunel guztia aukerak) PAT erabiliz, eta konektatu diren tokitik KANPOKO interfaze beretik irten, ondorengo ezarpenak egin behar dituzu
Kluster bat erabiltzean oso garrantzitsua da barne-sareak uler dezan zein ASA bideratu behar duen erabiltzaileei itzulerako trafikoa; horretarako beharrezkoa da bezeroei emandako ibilbideak /32 helbideak birbanatzea.
Momentuz, oraindik ez dugu klusterra konfiguratu, baina dagoeneko baditugu funtzionatzen duten VPN atebideak, zeinetara banaka konekta zaitezke FQDN edo IP bidez.
Konektatutako bezeroa lehen ASAren bideratze-taulan ikusten dugu:
Gure VPN kluster osoak eta sare korporatibo osoak gure bezeroaren ibilbidea ezagutu dezan, bezeroaren aurrizkia bideratze protokolo dinamiko batean banatuko dugu, adibidez OSPF:
Orain bezeroari bide bat dugu bigarren ASA-2 atebidetik eta kluster barruko VPN atebide ezberdinetara konektatutako erabiltzaileek, adibidez, zuzenean komunika daitezke softphone korporatibo baten bidez, erabiltzaileak eskatutako baliabideetatik itzultzeko trafikoa iritsiko den bezala. nahi duzun VPN atebidean:
Joan gaitezen Karga-orekatzeko klusterra konfiguratzera.
192.168.31.40 helbidea IP Birtual gisa erabiliko da (VIP - VPN bezero guztiak hasiera batean konektatuko dira), helbide horretatik Cluster Masterrak kargatu gutxiagoko kluster nodo batera BIDEZUZ. Ez ahaztu izena ematea DNS erregistroak aurrera eta atzera egin bai cluster-nodo bakoitzaren kanpoko helbide/FQDN bakoitzeko, bai VIP-erako.
Konektatutako bi bezerorekin klusterraren funtzionamendua egiaztatzen dugu:
Egin dezagun bezeroaren esperientzia erosoagoa ASDM bidez automatikoki deskargatutako AnyConnect profil batekin.
Profilari modu erosoan izena ematen diogu eta gure talde-politika horrekin lotzen dugu:
Hurrengo bezeroaren konexioaren ondoren, profil hau automatikoki deskargatu eta instalatuko da AnyConnect bezeroan, beraz, konektatu behar baduzu, zerrendatik hautatu besterik ez duzu egin behar:
ASDM erabiliz profil hau ASA bakarrean sortu genuenez, ez ahaztu klusterreko gainerako ASAetan urratsak errepikatzea.
Ondorioa: Horrela, azkar zabaldu genuen hainbat VPN atebideen multzoa karga oreka automatikoarekin. Klusterera nodo berriak gehitzea erraza da, eskala horizontal sinplea lortuz ASAv makina birtual berriak zabalduz edo hardware ASA erabiliz. Ezaugarri ugari dituen AnyConnect bezeroak asko hobetu ditzake zure urruneko konexio segururako gaitasunak erabiliz Jarrera (estatu ebaluazioak), sarbide-kontrol eta kontabilitate sistema zentralizatu batekin batera modu eraginkorrean erabiltzen da Identitate Zerbitzuen Motorra.