San Airteagal seo ba mhaith liom treoracha céim ar chéim a sholáthar maidir le conas is féidir leat an scéim is inscálaithe faoi láthair a imscaradh go tapa Cianda-Rochtain VPN bunaithe ar rochtain AnyConnect agus Cisco ASA - Braisle Comhardaithe Ualaigh VPN.
Réamhrá: Tá iarrachtaí á ndéanamh ag go leor cuideachtaí ar fud an domhain, mar gheall ar an staid reatha le COVID-19, a gcuid fostaithe a aistriú chuig cianobair. Mar gheall ar an aistriú forleathan chuig cianobair, méadaíonn an t-ualach ar na geataí VPN cuideachtaí atá ann cheana féin go criticiúil agus tá cumas an-tapa chun iad a scála ag teastáil. Ar an láimh eile, tá iallach ar go leor cuideachtaí máistreacht a fháil go pras ar choincheap na hoibre iargúlta ón tús.
Chun cabhrú le gnólachtaí rochtain VPN áisiúil, slán agus inscálaithe a chur i bhfeidhm go tapa d’fhostaithe, soláthraíonn Cisco ceadúnais suas le 13 seachtaine don chliant SSL-VPN AnyConnect atá saibhir i ngnéithe. .
.
Tá treoracha céim ar chéim ullmhaithe agam le haghaidh rogha shimplí chun braisle Cothromaithe Ualach VPN a imscaradh mar an teicneolaíocht VPN is Inscálaithe.
Beidh an sampla thíos simplí go leor ó thaobh na halgartaim fíordheimhnithe agus údaraithe a úsáidtear, ach beidh sé ina rogha maith le haghaidh tús tapa (rud atá in easnamh ar go leor daoine anois) leis an bhféidearthacht go ndéanfaí oiriúnú domhain air. do chuid riachtanas le linn an phróisis imscartha.
Eolas gairid: Níl teicneolaíocht Braisle Comhardaithe Ualach VPN ina theip nó ina feidhm bhraisle sa chiall dhúchais; is féidir leis an teicneolaíocht seo samhlacha ASA atá go hiomlán difriúil a chomhcheangal (le srianta áirithe) chun naisc VPN a bhfuil rochtain iargúlta acu a lódáil. Níl aon sioncrónú seisiúin agus cumraíochtaí idir nóid braisle den sórt sin, ach is féidir naisc VPN iarmhéid a luchtú go huathoibríoch agus lamháltas locht naisc VPN a chinntiú go dtí go bhfanann nód gníomhach amháin ar a laghad sa bhraisle. Déantar an t-ualach sa bhraisle a chothromú go huathoibríoch ag brath ar ualach oibre na nóid de réir líon na seisiún VPN.
Le haghaidh lamháltais locht ar nóid bhraisle ar leith (más gá), is féidir leat comhdóir a úsáid, mar sin déanfar an nasc gníomhach a phróiseáil ag nód Príomhúil an chomhdaitheora. Níl an t-aistriú comhad ina choinníoll riachtanach chun lamháltas locht a chinntiú laistigh den bhraisle Cothromaithe Ualach; i gcás teip nód, aistreoidh an braisle féin an seisiún úsáideora chuig nód beo eile, ach gan an stádas nasc a choinneáil, is é sin go beacht soláthraíonn an comhdaitheoir. Dá réir sin, is féidir an dá theicneolaíocht seo a chomhcheangal más gá.
Féadfaidh níos mó ná dhá nód a bheith i mbraisle Cothromaithe Ualach VPN.
Tacaítear le braisle Cothromaithe Ualach VPN ar ASA 5512-X agus níos airde.
Ós rud é gur aonad neamhspleách é gach ASA laistigh de bhraisle Cothromaithe Ualach VPN i dtéarmaí socruithe, déanaimid gach céim cumraíochta ina n-aonar ar gach feiste aonair.
Is é topology loighciúil an tsampla a thugtar:
Imlonnú Tosaigh:
-
Bainimid úsáid as cásanna ASav de na teimpléid a theastaíonn uainn (ASAv5/10/30/50) ón íomhá.
-
Sannaimid comhéadain ISTEACH/LASMUIGH don VLAN céanna (Lasmuigh ina VLAN féin, LAISTIGH ina chuid féin, ach coitianta laistigh den bhraisle, féach topology), tá sé tábhachtach go mbeadh comhéadain den chineál céanna suite sa deighleog L2 céanna.
-
Ceadúnais:
- Ag an am suiteála, ní bheidh aon cheadúnais ag ASAv agus beidh sé teoranta do 100kbit/soic.
- Chun ceadúnas a shuiteáil, ní mór duit comhartha a ghiniúint i do chuntas Cuntas Cliste: -> Ceadúnú Bogearraí Cliste
- Sa fhuinneog a osclaíonn, cliceáil ar an gcnaipe Comhartha Nua
- Déan cinnte go bhfuil an réimse sa fhuinneog a osclaíonn gníomhach agus go bhfuil an ticbhosca tic Ceadaigh feidhmiúlacht onnmhairithe-rialaithe... Gan an réimse gníomhach seo, ní bheidh tú in ann feidhmeanna criptithe láidre a úsáid agus, dá réir sin, VPN. Mura bhfuil an réimse seo gníomhach, déan teagmháil le d'fhoireann cuntais le do thoil chun gníomhachtú a iarraidh.
- Tar éis an cnaipe a bhrú Cruthaigh Token, cruthófar comhartha a úsáidfimid chun ceadúnas a fháil le haghaidh ASav, cóipeáil é:
- Déanaimis céimeanna C,D,E do gach ASAV a imlonnaítear.
- Chun é a dhéanamh níos éasca an comhartha a chóipeáil, déanaimis telnet a chumasú go sealadach. Déanaimis gach ASA a chumrú (léiríonn an sampla thíos na socruithe ar ASA-1). ní oibríonn telnet ón taobh amuigh, má tá sé de dhíth ort i ndáiríre, athraigh an leibhéal slándála go 100 go dtí an taobh amuigh, ansin é a athrú ar ais.
! ciscoasa(config)# int gi0/0 ciscoasa(config)# nameif outside ciscoasa(config)# ip address 192.168.31.30 255.255.255.0 ciscoasa(config)# no shut ! ciscoasa(config)# int gi0/1 ciscoasa(config)# nameif inside ciscoasa(config)# ip address 192.168.255.2 255.255.255.0 ciscoasa(config)# no shut ! ciscoasa(config)# telnet 0 0 inside ciscoasa(config)# username admin password cisco priv 15 ciscoasa(config)# ena password cisco ciscoasa(config)# aaa authentication telnet console LOCAL ! ciscoasa(config)# route outside 0 0 192.168.31.1 ! ciscoasa(config)# wr !- Chun comhartha a chlárú sa scamall Cuntas Cliste, ní mór duit rochtain Idirlín a sholáthar do ASA, .
I mbeagán focal, tá gá le ASA:
- rochtain ar an Idirlíon trí HTTPS;
- sioncrónú ama (níos cruinne trí NTP);
- freastalaí DNS cláraithe;
- Téimid trí telnet chuig ár ASA agus déanaimid socruithe chun an ceadúnas a ghníomhachtú trí Chuntas Cliste.
! ciscoasa(config)# clock set 19:21:00 Mar 18 2020 ciscoasa(config)# clock timezone MSK 3 ciscoasa(config)# ntp server 192.168.99.136 ! ciscoasa(config)# dns domain-lookup outside ciscoasa(config)# DNS server-group DefaultDNS ciscoasa(config-dns-server-group)# name-server 192.168.99.132 ! ! Проверим работу DNS: ! ciscoasa(config-dns-server-group)# ping ya.ru Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 87.250.250.242, timeout is 2 seconds: !!!!! ! ! Проверим синхронизацию NTP: ! ciscoasa(config)# show ntp associations address ref clock st when poll reach delay offset disp *~192.168.99.136 91.189.94.4 3 63 64 1 36.7 1.85 17.5 * master (synced), # master (unsynced), + selected, - candidate, ~ configured ! ! Установим конфигурацию нашей ASAv для Smart-Licensing (в соответствии с Вашим профилем, в моем случае 100М для примера) ! ciscoasa(config)# license smart ciscoasa(config-smart-lic)# feature tier standard ciscoasa(config-smart-lic)# throughput level 100M ! ! В случае необходимости можно настроить доступ в Интернет через прокси используйте следующий блок команд: !call-home ! http-proxy ip_address port port ! ! Далее мы вставляем скопированный из портала Smart-Account токен (<token>) и регистрируем лицензию ! ciscoasa(config)# end ciscoasa# license smart register idtoken <token>- Déanaimid seiceáil go bhfuil ceadúnas cláraithe ag an ngléas agus tá roghanna criptithe ar fáil:
-
SSL-VPN bunúsach a chumrú ar gach geata
- Ansin, déanaimid rochtain trí SSH agus ASDM a chumrú:
ciscoasa(config)# ssh ver 2 ciscoasa(config)# aaa authentication ssh console LOCAL ciscoasa(config)# aaa authentication http console LOCAL ciscoasa(config)# hostname vpn-demo-1 vpn-demo-1(config)# domain-name ashes.cc vpn-demo-1(config)# cry key gen rsa general-keys modulus 4096 vpn-demo-1(config)# ssh 0 0 inside vpn-demo-1(config)# http 0 0 inside ! ! Поднимем сервер HTTPS для ASDM на порту 445 чтобы не пересекаться с SSL-VPN порталом ! vpn-demo-1(config)# http server enable 445 !- Le go n-oibreoidh ASDM, ní mór duit é a íoslódáil ar dtús ó cisco.com, i mo chás is é an comhad seo a leanas é:
- Chun go n-oibreoidh cliant AnyConnect, ní mór duit íomhá a íoslódáil chuig gach ASA do gach OS deisce cliaint a úsáidtear (tá sé beartaithe Linux/Windows/MAC a úsáid), beidh comhad uait le Pacáiste Imscaradh Headend Sa teideal:
- Is féidir na comhaid íoslódála a uaslódáil, mar shampla, chuig freastalaí FTP agus iad a uaslódáil chuig gach ASA ar leith:
- Déanaimid ASDM agus teastas Féin-Sínithe a chumrú le haghaidh SSL-VPN (moltar teastas iontaofa a úsáid i dtáirgeadh). Ní mór FQDN bunaithe an bhraisle Seoladh Fíorúil (vpn-demo.ashes.cc), chomh maith le gach FQDN a bhaineann le seoladh seachtrach gach nód braisle a réiteach sa chrios DNS seachtrach chuig seoladh IP an chomhéadain OUTSIDE (nó chuig an seoladh léarscáilithe má úsáidtear cur ar aghaidh calafoirt udp/443 (DTLS) agus tcp/443(TLS)). Tá faisnéis mhionsonraithe ar na ceanglais don deimhniú sonraithe sa chuid Fíorú Teastais doiciméadú.
! vpn-demo-1(config)# crypto ca trustpoint SELF vpn-demo-1(config-ca-trustpoint)# enrollment self vpn-demo-1(config-ca-trustpoint)# fqdn vpn-demo.ashes.cc vpn-demo-1(config-ca-trustpoint)# subject-name cn=*.ashes.cc, ou=ashes-lab, o=ashes, c=ru vpn-demo-1(config-ca-trustpoint)# serial-number vpn-demo-1(config-ca-trustpoint)# crl configure vpn-demo-1(config-ca-crl)# cry ca enroll SELF % The fully-qualified domain name in the certificate will be: vpn-demo.ashes.cc Generate Self-Signed Certificate? [yes/no]: yes vpn-demo-1(config)# ! vpn-demo-1(config)# sh cry ca certificates Certificate Status: Available Certificate Serial Number: 4d43725e Certificate Usage: General Purpose Public Key Type: RSA (4096 bits) Signature Algorithm: SHA256 with RSA Encryption Issuer Name: serialNumber=9A439T02F95 hostname=vpn-demo.ashes.cc cn=*.ashes.cc ou=ashes-lab o=ashes c=ru Subject Name: serialNumber=9A439T02F95 hostname=vpn-demo.ashes.cc cn=*.ashes.cc ou=ashes-lab o=ashes c=ru Validity Date: start date: 00:16:17 MSK Mar 19 2020 end date: 00:16:17 MSK Mar 17 2030 Storage: config Associated Trustpoints: SELF CA Certificate Status: Available Certificate Serial Number: 0509 Certificate Usage: General Purpose Public Key Type: RSA (4096 bits) Signature Algorithm: SHA1 with RSA Encryption Issuer Name: cn=QuoVadis Root CA 2 o=QuoVadis Limited c=BM Subject Name: cn=QuoVadis Root CA 2 o=QuoVadis Limited c=BM Validity Date: start date: 21:27:00 MSK Nov 24 2006 end date: 21:23:33 MSK Nov 24 2031 Storage: config Associated Trustpoints: _SmartCallHome_ServerCA- Chun oibriú ASDM a sheiceáil, ná déan dearmad an port a shonrú, mar shampla:
- Déanaimis socruithe bunúsacha tolláin:
- Déanfaimid an líonra corparáideach inrochtana trí thollán, agus nascfaimid an tIdirlíon go díreach (ní hé an modh is sábháilte in éagmais bearta slándála ar an óstach nasctha, is féidir dul isteach trí óstach ionfhabhtaithe agus sonraí corparáideacha a aschur, rogha. scoilt-tollán-polasaí tollánall ligfidh sé do gach trácht óstaigh isteach sa tollán. mar sin féin Scoilt-Tollán is féidir geata VPN a mhaolú agus gan trácht Idirlín óstach a phróiseáil)
- Eiseoimid óstaigh sa tollán seoltaí ón bhfo-líon 192.168.20.0/24 (comhthiomsú de 10 go 30 seoladh (do nód #1)). Caithfidh a linn VPN féin a bheith ag gach nód sa bhraisle.
- Déanaimis fíordheimhniú bunúsach le húsáideoir cruthaithe go háitiúil ar an ASA (Ní mholtar é seo, is é seo an modh is simplí), is fearr fíordheimhniú a dhéanamh trí LDAP/RADIUS, nó níos fearr fós, carbhat Fíordheimhniú Ilfhachtóirí (MFA), M.sh. Cisco DUO.
! vpn-demo-1(config)# ip local pool vpn-pool 192.168.20.10-192.168.20.30 mask 255.255.255.0 ! vpn-demo-1(config)# access-list split-tunnel standard permit 192.168.0.0 255.255.0.0 ! vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY internal vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY attributes vpn-demo-1(config-group-policy)# vpn-tunnel-protocol ssl-client vpn-demo-1(config-group-policy)# split-tunnel-policy tunnelspecified vpn-demo-1(config-group-policy)# split-tunnel-network-list value split-tunnel vpn-demo-1(config-group-policy)# dns-server value 192.168.99.132 vpn-demo-1(config-group-policy)# default-domain value ashes.cc vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes vpn-demo-1(config-tunnel-general)# default-group-policy SSL-VPN-GROUP-POLICY vpn-demo-1(config-tunnel-general)# address-pool vpn-pool ! vpn-demo-1(config)# username dkazakov password cisco vpn-demo-1(config)# username dkazakov attributes vpn-demo-1(config-username)# service-type remote-access ! vpn-demo-1(config)# ssl trust-point SELF vpn-demo-1(config)# webvpn vpn-demo-1(config-webvpn)# enable outside vpn-demo-1(config-webvpn)# anyconnect image disk0:/anyconnect-win-4.8.03036-webdeploy-k9.pkg vpn-demo-1(config-webvpn)# anyconnect enable !- (ROGHNACH): Sa sampla thuas, d'úsáideamar úsáideoir áitiúil ar an mballa dóiteáin chun úsáideoirí iargúlta a fhíordheimhniú, rud nach bhfuil mórán úsáide ar ndóigh ach amháin sa tsaotharlann. Tabharfaidh mé sampla de conas an socrú a oiriúnú go tapa le haghaidh fíordheimhnithe ar RAIDIÓ freastalaí, a úsáidtear mar shampla Inneall Seirbhísí Aitheantais Cisco:
vpn-demo-1(config-aaa-server-group)# dynamic-authorization vpn-demo-1(config-aaa-server-group)# interim-accounting-update vpn-demo-1(config-aaa-server-group)# aaa-server RADIUS (outside) host 192.168.99.134 vpn-demo-1(config-aaa-server-host)# key cisco vpn-demo-1(config-aaa-server-host)# exit vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes vpn-demo-1(config-tunnel-general)# authentication-server-group RADIUS !Mar gheall ar an gcomhtháthú seo bhíothas in ann ní amháin an nós imeachta fíordheimhnithe a chomhtháthú go tapa leis an tseirbhís eolaire AD, ach freisin idirdhealú a dhéanamh an mbaineann an ríomhaire nasctha le AD, a thuiscint cé acu gléas corparáideach nó gléas pearsanta é, agus staid an naisc a mheas. gléas.
- Déanaimis NAT Trédhearcach a chumrú ionas nach gcuirfear isteach ar an trácht idir an cliant agus acmhainní líonra an líonra chorparáidigh:
vpn-demo-1(config-network-object)# subnet 192.168.20.0 255.255.255.0 ! vpn-demo-1(config)# nat (inside,outside) source static any any destination static vpn-users vpn-users no-proxy-arp- (ROGHNACH): Chun ár gcliaint a nochtadh ar an Idirlíon trí ASA (agus iad ag úsáid tolláin roghanna) ag baint úsáide as PAT, agus freisin scoir tríd an gcomhéadan OUTSIDE céanna ón áit a bhfuil siad nasctha, ní mór duit na socruithe seo a leanas a dhéanamh
vpn-demo-1(config-network-object)# nat (outside,outside) source dynamic vpn-users interface vpn-demo-1(config)# nat (inside,outside) source dynamic any interface vpn-demo-1(config)# same-security-traffic permit intra-interface !- Tá sé thar a bheith tábhachtach agus braisle á úsáid chun go mbeidh an líonra inmheánach in ann a thuiscint cén ASA a sheolfaidh trácht fillte chuig úsáideoirí; chuige seo is gá na bealaí /32 seoltaí a eisítear chuig na cliaint a athdháileadh.
I láthair na huaire, níl an braisle cumraithe againn fós, ach tá geataí VPN oibre againn cheana féin ar féidir leat ceangal leo trí FQDN nó IP.
Feicimid an cliant nasctha sa tábla ródaithe den chéad ASA:
Ionas go mbeidh an bealach chuig ár gcliant ar eolas ag ár mbraisle VPN ar fad agus ag an líonra corparáideach iomlán, déanfaimid an réimír cliant a athdháileadh i bprótacal ródú dinimiciúil, mar shampla OSPF:
! vpn-demo-1(config)# route-map RMAP-VPN-REDISTRIBUTE permit 1 vpn-demo-1(config-route-map)# match ip address VPN-REDISTRIBUTE ! vpn-demo-1(config)# router ospf 1 vpn-demo-1(config-router)# network 192.168.255.0 255.255.255.0 area 0 vpn-demo-1(config-router)# log-adj-changes vpn-demo-1(config-router)# redistribute static metric 5000 subnets route-map RMAP-VPN-REDISTRIBUTEAnois tá bealach againn chuig an gcliant ón dara geata ASA-2 agus is féidir le húsáideoirí atá ceangailte le geataí VPN éagsúla laistigh den bhraisle, mar shampla, cumarsáid a dhéanamh go díreach trí fhón bog corparáideach, díreach mar a shroichfidh trácht fillte ó na hacmhainní a iarrann an t-úsáideoir. ag an geata VPN atá ag teastáil:
-
Leanaimis ar aghaidh chuig an mbraisle um Chomhardú Ualach a bhunú.
Úsáidfear an seoladh 192.168.31.40 mar IP Fíorúil (VIP - nascfaidh gach cliant VPN leis ar dtús), ón seoladh seo déanfaidh an Máistir Braisle ATHDHÍOLú go dtí nód braisle nach bhfuil chomh luchtaithe. Ná déan dearmad clárú taifid DNS a chur ar aghaidh agus a aisiompú do gach seoladh seachtrach/FQDN de gach nód braisle, agus do VIP.
vpn-demo-1(config)# vpn load-balancing vpn-demo-1(config-load-balancing)# interface lbpublic outside vpn-demo-1(config-load-balancing)# interface lbprivate inside vpn-demo-1(config-load-balancing)# priority 10 vpn-demo-1(config-load-balancing)# cluster ip address 192.168.31.40 vpn-demo-1(config-load-balancing)# cluster port 4000 vpn-demo-1(config-load-balancing)# redirect-fqdn enable vpn-demo-1(config-load-balancing)# cluster key cisco vpn-demo-1(config-load-balancing)# cluster encryption vpn-demo-1(config-load-balancing)# cluster port 9023 vpn-demo-1(config-load-balancing)# participate vpn-demo-1(config-load-balancing)#- Déanaimid seiceáil ar oibriú an bhraisle le dhá chliaint nasctha:
- Déanaimis eispéireas an chustaiméara níos áisiúla le próifíl AnyConnect a íoslódálfar go huathoibríoch trí ASDM.
Ainmnímid an phróifíl ar bhealach áisiúil agus déanaimid ár mbeartas grúpa a cheangal leis:
Tar éis an chéad nasc cliant eile, déanfar an phróifíl seo a íoslódáil agus a shuiteáil go huathoibríoch sa chliant AnyConnect, mar sin más gá duit ceangal a dhéanamh, níl le déanamh agat ach é a roghnú ón liosta:
Ós rud é gur ar ASA amháin a chruthaigh muid an phróifíl seo, ná déan dearmad na céimeanna ar na ASAanna atá fágtha sa bhraisle a athdhéanamh.
Conclúid: Mar sin, chuireamar imscaradh tapa ar bhraisle de roinnt geataí VPN le cothromú ualaigh uathoibríoch. Tá sé éasca nóid nua a chur leis an mbraisle, scálú cothrománach simplí a bhaint amach trí mheaisíní fíorúla ASAv nua a imscaradh nó ASAanna crua-earraí a úsáid. Is féidir leis an gcliant AnyConnect gné-saibhir a fheabhsú go mór do chumais nasc iargúlta slán ag baint úsáide as an Staidiúir (measúnuithe stáit), a úsáidtear go héifeachtach i gcomhar le córas láraithe rialaithe rochtana agus cuntasaíochta Inneall Seirbhísí Aitheantais.
Foinse: will.com