San artaigil seo, bu mhath leam stiùireadh ceum air cheum a thoirt seachad air mar as urrainn dhut an sgeama as scalable an-dràsta a chleachdadh gu sgiobalta. VPN ruigsinneachd iomallach ruigsinneachd bunaiteach AnyConnect agus Cisco ASA - Buidheann cothromachaidh luchdan VPN.
Ro-ràdh: Tha mòran chompanaidhean air feadh an t-saoghail, mar thoradh air an t-suidheachadh làithreach le COVID-19, a’ dèanamh oidhirpean gus an luchd-obrach aca a ghluasad gu obair aig astar. Mar thoradh air a’ ghluasad mòr gu obair iomallach, tha an luchd air na geataichean VPN aig companaidhean a’ dol am meud gu mòr agus tha feum air comas gu math luath airson an sgèile. Air an làimh eile, tha mòran chompanaidhean air an èigneachadh gu sgiobalta a bhith a’ faighinn eòlas air bun-bheachd obair iomallach bhon fhìor thoiseach.
Gus gnìomhachasan a chuideachadh gus ruigsinneachd VPN goireasach, tèarainte agus scalable a choileanadh do luchd-obrach anns an ùine as giorra a tha comasach, tha Cisco a’ ceadachadh neach-dèiligidh SSL VPN làn feart AnyConnect airson suas ri 13 seachdainean. .
.
Tha mi air stiùireadh ceum air cheum ullachadh airson cleachdadh sìmplidh de VPN Load-Cothromachadh Cluster mar an teicneòlas VPN as so-ruigsinneach.
Bidh an eisimpleir gu h-ìosal gu math sìmplidh a thaobh na h-algorithms dearbhaidh is ùghdarrachaidh a thathar a’ cleachdadh, ach bidh e na dheagh roghainn airson tòiseachadh luath (nach eil gu leòr airson mòran an-dràsta) le comas air atharrachadh domhainn a rèir na feumalachdan agad rè an cleachdadh. phròiseas.
Fiosrachadh goirid: Chan e fàiligeadh a th’ ann an teicneòlas Buidheann Co-chothromachaidh Luchdan VPN agus chan e gnìomh cnuasachaidh anns an t-seagh dhùthchasach aige, faodaidh an teicneòlas seo modalan ASA gu tur eadar-dhealaichte a chur còmhla (le cuid de chuingealachaidhean) gus ceanglaichean VPN astar-ruigsinneach a luchdachadh. Chan eil sioncronadh de sheiseanan agus rèiteachaidhean eadar nodan a leithid de bhuidheann, ach tha e comasach ceanglaichean VPN cothromachaidh a luchdachadh gu fèin-ghluasadach agus dèanamh cinnteach à fulangas locht air ceanglaichean VPN gus am bi co-dhiù aon nód gnìomhach fhathast anns a’ bhuidheann. Tha an luchd sa bhuidheann air a chothromachadh gu fèin-ghluasadach a rèir eallach obrach nan nodan leis an àireamh de sheiseanan VPN.
Airson fàilligeadh nodan sònraichte den bhuidheann (ma tha feum air), faodar faidhleadair a chleachdadh, gus an tèid an ceangal gnìomhach a làimhseachadh le prìomh nód an fhaidhle. Chan eil am faidhleover na chumha riatanach airson a bhith a’ dèanamh cinnteach à fulangas sgàinidhean taobh a-staigh a’ bhuidheann Cothromachadh Load, bidh am buidheann fhèin, ma dh’ fhàillig an nód, a’ gluasad seisean an neach-cleachdaidh gu nód beò eile, ach gun a bhith a’ sàbhaladh inbhe a’ cheangail, a tha dìreach. air a thoirt seachad leis an fhaidhleadair. Mar sin, tha e comasach, ma tha sin riatanach, an dà theicneòlas seo a chur còmhla.
Faodaidh barrachd air dà nodan a bhith ann an cruinneachadh cothromachaidh luchdan VPN.
Tha Buidheann Cothromachaidh Luchdaidh VPN a’ faighinn taic air ASA 5512-X agus gu h-àrd.
Leis gu bheil gach ASA taobh a-staigh brabhsair VPN Cothromachadh na aonad neo-eisimeileach a thaobh shuidheachaidhean, bidh sinn a’ coileanadh a h-uile ceum rèiteachaidh leotha fhèin air gach inneal fa leth.
Topology loidsigeach an eisimpleir a chaidh a thoirt seachad:
Prìomh chleachdadh:
-
Bidh sinn a’ cleachdadh eisimpleirean ASAV de na teamplaidean a dh’ fheumas sinn (ASAv5/10/30/50) bhon ìomhaigh.
-
Bidh sinn a’ sònrachadh na h-eadar-aghaidh INSIDE / OUTSIDE gu na h-aon VLANs (Taobh a-muigh na VLAN fhèin, INSIDE ann fhèin, ach san fharsaingeachd taobh a-staigh a’ bhuidheann, faic an topology), tha e cudromach gu bheil eadar-aghaidh den aon sheòrsa anns an aon roinn L2.
-
Ceadan:
- Aig an àm seo cha bhi cead sam bith aig stàladh ASAv agus bidh e cuingealaichte gu 100kbps.
- Gus cead a stàladh, feumaidh tu comharra a ghineadh anns a’ Chunntas Smart agad: -> Ceadachadh Bathar-bog Smart
- Anns an uinneag a tha a’ fosgladh, cliog air a’ phutan Tòcan Ùr
- Dèan cinnteach gu bheil raon gnìomhach san uinneig a tha a’ fosgladh agus gu bheil comharra-seic air a sgrùdadh Leig le gnìomhachd fo smachd às-mhalairt… Às aonais an raon seo gnìomhach, cha bhith e comasach dhut gnìomhan crioptachadh làidir a chleachdadh agus, a rèir sin, VPN. Mura h-eil an raon seo gnìomhach, feuch an cuir thu fios chun sgioba cunntais agad le iarrtas gnìomhachaidh.
- An dèidh putadh air a ’phutan Cruthaich Token, thèid comharra a chruthachadh a chleachdas sinn gus cead fhaighinn airson ASAv, dèan lethbhreac dheth:
- Dèan a-rithist ceumannan C, D, E airson gach ASAv a thèid a chleachdadh.
- Gus a dhèanamh nas fhasa an tòcan a chopaigeadh, leigidh sinn telnet airson ùine. Feuch an ullaich sinn gach ASA (tha an eisimpleir gu h-ìosal a’ sealltainn nan roghainnean air ASA-1). chan obraich telnet leis an taobh a-muigh, ma tha fìor fheum agad air, atharraich an ìre tèarainteachd gu 100 chun taobh a-muigh, agus an uairsin till air ais e.
! ciscoasa(config)# int gi0/0 ciscoasa(config)# nameif outside ciscoasa(config)# ip address 192.168.31.30 255.255.255.0 ciscoasa(config)# no shut ! ciscoasa(config)# int gi0/1 ciscoasa(config)# nameif inside ciscoasa(config)# ip address 192.168.255.2 255.255.255.0 ciscoasa(config)# no shut ! ciscoasa(config)# telnet 0 0 inside ciscoasa(config)# username admin password cisco priv 15 ciscoasa(config)# ena password cisco ciscoasa(config)# aaa authentication telnet console LOCAL ! ciscoasa(config)# route outside 0 0 192.168.31.1 ! ciscoasa(config)# wr !- Gus comharra a chlàradh anns an sgòth Smart-Account, feumaidh tu ruigsinneachd eadar-lìn a thoirt seachad airson ASA, .
Ann an ùine ghoirid, tha feum air ASA:
- ruigsinneachd air an eadar-lìon tro HTTPS;
- sioncronadh ùine (nas ceart, tro NTP);
- frithealaiche DNS clàraichte;
- Bidh sinn a’ telnet chun ASA againn agus a’ dèanamh shuidheachaidhean gus an cead a chuir an gnìomh tro Smart-Account.
! ciscoasa(config)# clock set 19:21:00 Mar 18 2020 ciscoasa(config)# clock timezone MSK 3 ciscoasa(config)# ntp server 192.168.99.136 ! ciscoasa(config)# dns domain-lookup outside ciscoasa(config)# DNS server-group DefaultDNS ciscoasa(config-dns-server-group)# name-server 192.168.99.132 ! ! Проверим работу DNS: ! ciscoasa(config-dns-server-group)# ping ya.ru Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 87.250.250.242, timeout is 2 seconds: !!!!! ! ! Проверим синхронизацию NTP: ! ciscoasa(config)# show ntp associations address ref clock st when poll reach delay offset disp *~192.168.99.136 91.189.94.4 3 63 64 1 36.7 1.85 17.5 * master (synced), # master (unsynced), + selected, - candidate, ~ configured ! ! Установим конфигурацию нашей ASAv для Smart-Licensing (в соответствии с Вашим профилем, в моем случае 100М для примера) ! ciscoasa(config)# license smart ciscoasa(config-smart-lic)# feature tier standard ciscoasa(config-smart-lic)# throughput level 100M ! ! В случае необходимости можно настроить доступ в Интернет через прокси используйте следующий блок команд: !call-home ! http-proxy ip_address port port ! ! Далее мы вставляем скопированный из портала Smart-Account токен (<token>) и регистрируем лицензию ! ciscoasa(config)# end ciscoasa# license smart register idtoken <token>- Nì sinn cinnteach gu bheil an inneal air cead a chlàradh gu soirbheachail agus gu bheil roghainnean crioptachaidh rim faighinn:
-
Stèidhich SSL-VPN bunaiteach air gach geata
- An uairsin, rèitich ruigsinneachd tro SSH agus ASDM:
ciscoasa(config)# ssh ver 2 ciscoasa(config)# aaa authentication ssh console LOCAL ciscoasa(config)# aaa authentication http console LOCAL ciscoasa(config)# hostname vpn-demo-1 vpn-demo-1(config)# domain-name ashes.cc vpn-demo-1(config)# cry key gen rsa general-keys modulus 4096 vpn-demo-1(config)# ssh 0 0 inside vpn-demo-1(config)# http 0 0 inside ! ! Поднимем сервер HTTPS для ASDM на порту 445 чтобы не пересекаться с SSL-VPN порталом ! vpn-demo-1(config)# http server enable 445 !- Airson ASDM a bhith ag obair, feumaidh tu an-toiseach a luchdachadh sìos bho làrach-lìn cisco.com, na mo chùis is e am faidhle a leanas a th’ ann:
- Airson an neach-dèiligidh AnyConnect a bhith ag obair, feumaidh tu ìomhaigh a luchdachadh suas gu gach ASA airson gach neach-dèiligidh deasg OS a chleachdar (an dùil Linux / Windows / MAC a chleachdadh), bidh feum agad air faidhle le Pasgan cleachdadh headend san ainm:
- Faodar na faidhlichean a chaidh a luchdachadh sìos a luchdachadh suas, mar eisimpleir, gu frithealaiche FTP agus an luchdachadh suas gu gach ASA fa leth:
- Bidh sinn a’ rèiteachadh ASDM agus teisteanas fèin-shoidhnichte airson SSL-VPN (thathar a’ moladh teisteanas earbsach a chleachdadh ann an cinneasachadh). Feumaidh an seata FQDN den Seòladh Cluster Mas-fhìor (vpn-demo.ashes.cc), a bharrachd air gach FQDN co-cheangailte ri seòladh taobh a-muigh gach nód den bhuidheann, fuasgladh anns an raon DNS taobh a-muigh gu seòladh IP an eadar-aghaidh OUTSIDE (no chun an t-seòlaidh mapa ma thèid port air adhart udp/443 a chleachdadh (DTLS) agus tcp/443(TLS)). Tha fiosrachadh mionaideach mu riatanasan an teisteanais air a shònrachadh anns an earrainn Dearbhadh Teisteanas sgrìobhainnean.
! vpn-demo-1(config)# crypto ca trustpoint SELF vpn-demo-1(config-ca-trustpoint)# enrollment self vpn-demo-1(config-ca-trustpoint)# fqdn vpn-demo.ashes.cc vpn-demo-1(config-ca-trustpoint)# subject-name cn=*.ashes.cc, ou=ashes-lab, o=ashes, c=ru vpn-demo-1(config-ca-trustpoint)# serial-number vpn-demo-1(config-ca-trustpoint)# crl configure vpn-demo-1(config-ca-crl)# cry ca enroll SELF % The fully-qualified domain name in the certificate will be: vpn-demo.ashes.cc Generate Self-Signed Certificate? [yes/no]: yes vpn-demo-1(config)# ! vpn-demo-1(config)# sh cry ca certificates Certificate Status: Available Certificate Serial Number: 4d43725e Certificate Usage: General Purpose Public Key Type: RSA (4096 bits) Signature Algorithm: SHA256 with RSA Encryption Issuer Name: serialNumber=9A439T02F95 hostname=vpn-demo.ashes.cc cn=*.ashes.cc ou=ashes-lab o=ashes c=ru Subject Name: serialNumber=9A439T02F95 hostname=vpn-demo.ashes.cc cn=*.ashes.cc ou=ashes-lab o=ashes c=ru Validity Date: start date: 00:16:17 MSK Mar 19 2020 end date: 00:16:17 MSK Mar 17 2030 Storage: config Associated Trustpoints: SELF CA Certificate Status: Available Certificate Serial Number: 0509 Certificate Usage: General Purpose Public Key Type: RSA (4096 bits) Signature Algorithm: SHA1 with RSA Encryption Issuer Name: cn=QuoVadis Root CA 2 o=QuoVadis Limited c=BM Subject Name: cn=QuoVadis Root CA 2 o=QuoVadis Limited c=BM Validity Date: start date: 21:27:00 MSK Nov 24 2006 end date: 21:23:33 MSK Nov 24 2031 Storage: config Associated Trustpoints: _SmartCallHome_ServerCA- Na dìochuimhnich am port a shònrachadh gus dèanamh cinnteach gu bheil ASDM ag obair, mar eisimpleir:
- Feuch an dèan sinn suidheachadh bunaiteach an tunail:
- Bheir sinn an lìonra corporra ri fhaighinn tron tunail, agus leig leis an eadar-lìn a dhol gu dìreach (chan e an dòigh as sàbhailte mura h-eil dìon sam bith air an aoigh ceangail, tha e comasach a dhol a-steach tro òstair gabhaltach agus dàta corporra a thaisbeanadh, roghainn split-tunnel-policy tunnelall leigidh e leis a h-uile trafaic aoigheachd a-steach don tunail. A dh'aindeoin sin sgoltadh-tunail ga dhèanamh comasach an geata VPN a luchdachadh sìos agus gun a bhith a’ làimhseachadh trafaic eadar-lìn aoigheachd)
- Bheir sinn seachad seòlaidhean bhon subnet 192.168.20.0/24 gu luchd-aoigheachd san tunail (amar bho 10 gu 30 seòlaidhean (airson nód #1)). Feumaidh amar fhèin a bhith aig gach nód den bhuidheann VPN.
- Nì sinn dearbhadh bunaiteach le neach-cleachdaidh a chaidh a chruthachadh gu h-ionadail air an ASA (Chan eil seo air a mholadh, is e seo an dòigh as fhasa), tha e nas fheàrr dearbhadh a dhèanamh tro LDAP/RADIUS, no nas fheàrr fhathast, ceangail Dearbhadh Ioma-fhactar (MFA)mar eisimpleir Cisco DUO.
! vpn-demo-1(config)# ip local pool vpn-pool 192.168.20.10-192.168.20.30 mask 255.255.255.0 ! vpn-demo-1(config)# access-list split-tunnel standard permit 192.168.0.0 255.255.0.0 ! vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY internal vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY attributes vpn-demo-1(config-group-policy)# vpn-tunnel-protocol ssl-client vpn-demo-1(config-group-policy)# split-tunnel-policy tunnelspecified vpn-demo-1(config-group-policy)# split-tunnel-network-list value split-tunnel vpn-demo-1(config-group-policy)# dns-server value 192.168.99.132 vpn-demo-1(config-group-policy)# default-domain value ashes.cc vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes vpn-demo-1(config-tunnel-general)# default-group-policy SSL-VPN-GROUP-POLICY vpn-demo-1(config-tunnel-general)# address-pool vpn-pool ! vpn-demo-1(config)# username dkazakov password cisco vpn-demo-1(config)# username dkazakov attributes vpn-demo-1(config-username)# service-type remote-access ! vpn-demo-1(config)# ssl trust-point SELF vpn-demo-1(config)# webvpn vpn-demo-1(config-webvpn)# enable outside vpn-demo-1(config-webvpn)# anyconnect image disk0:/anyconnect-win-4.8.03036-webdeploy-k9.pkg vpn-demo-1(config-webvpn)# anyconnect enable !- (Roghainneil): Anns an eisimpleir gu h-àrd, chleachd sinn neach-cleachdaidh ionadail air an ITU gus luchd-cleachdaidh iomallach a dhearbhadh, a tha gu dearbh, ach a-mhàin san obair-lann, gu math iomchaidh. Bheir mi seachad eisimpleir air mar as urrainn dhut an suidheachadh atharrachadh gu luath airson dearbhadh radius frithealaiche, air a chleachdadh mar eisimpleir Inneal Seirbheisean Aithne Cisco:
vpn-demo-1(config-aaa-server-group)# dynamic-authorization vpn-demo-1(config-aaa-server-group)# interim-accounting-update vpn-demo-1(config-aaa-server-group)# aaa-server RADIUS (outside) host 192.168.99.134 vpn-demo-1(config-aaa-server-host)# key cisco vpn-demo-1(config-aaa-server-host)# exit vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes vpn-demo-1(config-tunnel-general)# authentication-server-group RADIUS !Rinn an aonachadh seo e comasach chan ann a-mhàin am modh dearbhaidh fhilleadh a-steach gu sgiobalta leis an t-seirbheis eòlaire AD, ach cuideachd gus faighinn a-mach an ann le AD a tha an coimpiutair ceangailte, tuigsinn a bheil an inneal seo corporra no pearsanta, agus gus inbhe an inneal ceangailte a mheasadh. .
- Feuch an rèiteachadh sinn NAT Transparent gus nach tèid an trafaic eadar an neach-dèiligidh agus goireasan an lìonra lìonra corporra a sgrìobhadh:
vpn-demo-1(config-network-object)# subnet 192.168.20.0 255.255.255.0 ! vpn-demo-1(config)# nat (inside,outside) source static any any destination static vpn-users vpn-users no-proxy-arp- (Roghainneil): Gus ar luchd-dèiligidh a nochdadh air an eadar-lìn tron ASA (nuair a bhios iad a’ cleachdadh tunail roghainnean) a’ cleachdadh PAT, a bharrachd air fàgail tron aon eadar-aghaidh OUTSIDE bhon a bhios iad a’ ceangal, feumaidh tu na roghainnean a leanas a dhèanamh
vpn-demo-1(config-network-object)# nat (outside,outside) source dynamic vpn-users interface vpn-demo-1(config)# nat (inside,outside) source dynamic any interface vpn-demo-1(config)# same-security-traffic permit intra-interface !- Nuair a bhios tu a’ cleachdadh brabhsair, tha e air leth cudromach leigeil leis an lìonra a-staigh tuigsinn dè an ASA a bhios a’ siubhal air ais gu luchd-cleachdaidh, airson seo feumaidh tu slighean / 32 seòlaidhean a chaidh a thoirt do luchd-cleachdaidh ath-riarachadh.
Aig an àm seo, chan eil sinn air a’ bhuidheann a rèiteachadh fhathast, ach tha geataichean VPN obrach againn mu thràth a dh’ fhaodar a cheangal leotha fhèin tro FQDN no IP.
Chì sinn an neach-dèiligidh ceangailte ann an clàr slighe a’ chiad ASA:
Gus am bi fios aig a’ bhuidheann VPN gu lèir againn agus an lìonra corporra gu lèir air an t-slighe chun neach-dèiligidh againn, bidh sinn ag ath-riarachadh ro-leasachan an neach-dèiligidh gu protocol slighe fiùghantach, mar eisimpleir OSPF:
! vpn-demo-1(config)# route-map RMAP-VPN-REDISTRIBUTE permit 1 vpn-demo-1(config-route-map)# match ip address VPN-REDISTRIBUTE ! vpn-demo-1(config)# router ospf 1 vpn-demo-1(config-router)# network 192.168.255.0 255.255.255.0 area 0 vpn-demo-1(config-router)# log-adj-changes vpn-demo-1(config-router)# redistribute static metric 5000 subnets route-map RMAP-VPN-REDISTRIBUTEA-nis tha slighe againn chun neach-dèiligidh bhon dàrna geata ASA-2 agus faodaidh luchd-cleachdaidh a tha ceangailte ri diofar gheataichean VPN taobh a-staigh a’ bhuidheann, mar eisimpleir, conaltradh gu dìreach tro fhòn bog corporra, a bharrachd air trafaic a thilleadh bho na goireasan a dh ’iarras an neach-cleachdaidh. thig chun gheata VPN a tha thu ag iarraidh:
-
Gluaisidh sinn air adhart gu bhith a’ rèiteachadh a’ bhuidheann de chothromachadh luchdan.
Thèid an seòladh 192.168.31.40 a chleachdadh mar IP Brìgheil (VIP - bidh a h-uile neach-dèiligidh VPN a’ ceangal ris an toiseach), bhon t-seòladh seo nì am Prìomh bhuidheann REDIRECT gu nód cnuasachaidh nach eil cho luchdaichte. Na dìochuimhnich sgrìobhadh air adhart agus air ais clàr DNS an dà chuid airson gach seòladh taobh a-muigh / FQDN de gach nód den bhuidheann, agus airson VIP.
vpn-demo-1(config)# vpn load-balancing vpn-demo-1(config-load-balancing)# interface lbpublic outside vpn-demo-1(config-load-balancing)# interface lbprivate inside vpn-demo-1(config-load-balancing)# priority 10 vpn-demo-1(config-load-balancing)# cluster ip address 192.168.31.40 vpn-demo-1(config-load-balancing)# cluster port 4000 vpn-demo-1(config-load-balancing)# redirect-fqdn enable vpn-demo-1(config-load-balancing)# cluster key cisco vpn-demo-1(config-load-balancing)# cluster encryption vpn-demo-1(config-load-balancing)# cluster port 9023 vpn-demo-1(config-load-balancing)# participate vpn-demo-1(config-load-balancing)#- Bidh sinn a’ sgrùdadh gnìomhachd a’ bhuidheann le dà neach-dèiligidh ceangailte:
- Dèanamaid eòlas an neach-cleachdaidh nas goireasaiche leis a’ phròifil AnyConnect a thèid a luchdachadh gu fèin-ghluasadach tro ASDM.
Bidh sinn ag ainmeachadh a’ phròifil ann an dòigh iomchaidh agus a’ ceangal ar poileasaidh buidhne ris:
Às deidh an ath cheangal den neach-dèiligidh, thèid am pròifil seo a luchdachadh sìos gu fèin-ghluasadach agus a chuir a-steach don neach-dèiligidh AnyConnect, mar sin ma dh’ fheumas tu ceangal a dhèanamh, dìreach tagh e bhon liosta:
Leis nach do chruthaich sinn a’ phròifil seo ach air aon ASA a’ cleachdadh ASDM, na dìochuimhnich na ceumannan air na ASAan eile sa bhuidheann ath-aithris.
Co-dhùnadh: Mar sin, chuir sinn an sàs gu sgiobalta grunn gheataichean VPN le cothromachadh luchdan fèin-ghluasadach. Tha e furasta nodan ùra a chur ris a’ bhuidheann, le sgèileadh còmhnard sìmplidh le bhith a’ cleachdadh innealan brìgheil ASAv ùra no a’ cleachdadh ASA bathar-cruaidh. Faodaidh an neach-dèiligidh AnyConnect làn feart leasachadh mòr a dhèanamh air ceangal tèarainte aig astar le bhith a’ cleachdadh an Postachd (measaidhean stàite), air a chleachdadh gu h-èifeachdach ann an co-bhonn ris an t-siostam smachd meadhanaichte agus cunntasachd ruigsinneachd Inneal seirbheis dearbh-aithne.
Source: www.habr.com