Ebben a cikkben lépésről lépésre szeretnék útmutatást adni arra vonatkozóan, hogyan telepítheti gyorsan a pillanatnyilag leginkább méretezhető sémát. Távoli hozzáférés VPN bázis hozzáférés AnyConnect és Cisco ASA - VPN terheléselosztó fürt.
Bevezetés: A COVID-19 jelenlegi helyzetére való tekintettel világszerte sok vállalat tesz erőfeszítéseket annak érdekében, hogy alkalmazottait távmunkára helyezze át. A távmunkára való tömeges átállás miatt a vállalatok meglévő VPN-átjáróinak terhelése kritikusan növekszik, és nagyon gyors méretezési képességre van szükség. Másrészt sok cég kénytelen elhamarkodottan a semmiből elsajátítani a távmunka fogalmát.
Lépésről lépésre elkészítettem egy útmutatót a VPN terheléselosztó fürt egyszerű telepítéséhez, mint a leginkább méretezhető VPN-technológiához.
Az alábbi példa meglehetősen egyszerű lesz a használt hitelesítési és engedélyezési algoritmusok tekintetében, de jó lehetőség a gyors kezdéshez (ami jelenleg sokak számára nem elegendő), mivel a telepítés során mélyrehatóan igazodhat az Ön igényeihez. folyamat.
Rövid információ: A VPN Load Balancing Cluster technológia nem feladatátvétel és nem fürtözési funkció a natív értelmében, ez a technológia teljesen különböző ASA-modelleket kombinálhat (bizonyos korlátozásokkal) a távoli hozzáférésű VPN-kapcsolatok terheléselosztása érdekében. Egy ilyen fürt csomópontjai között nincs munkamenetek és konfigurációk szinkronizálása, de lehetőség van a VPN-kapcsolatok automatikus terheléselosztására és a VPN-kapcsolatok hibatűrésének biztosítására mindaddig, amíg legalább egy aktív csomópont nem marad a fürtben. A fürt terhelése automatikusan kiegyenlítésre kerül a csomópontok munkaterhelésétől függően a VPN-munkamenetek számával.
A fürt egyes csomópontjainak feladatátvételéhez (ha szükséges) egy fájlkezelő használható, így az aktív kapcsolatot a fájlkezelő elsődleges csomópontja kezeli. A fileover nem szükséges feltétele a Load-Balancing klaszteren belüli hibatűrés biztosításának, maga a fürt csomóponthiba esetén a felhasználói munkamenetet egy másik élő csomópontra viszi át, de a kapcsolat állapotának mentése nélkül, ami pontosan az iratadó biztosítja. Ennek megfelelően szükség esetén lehetőség van a két technológia kombinálására.
Egy VPN terheléselosztó fürt kettőnél több csomópontot is tartalmazhat.
A VPN Load-Balancing Cluster az ASA 5512-X és újabb verziókon támogatott.
Mivel a VPN Load-Balancing klaszteren belül minden ASA a beállításokat tekintve független egység, minden konfigurációs lépést egyedileg hajtunk végre minden egyes eszközön.
A képből telepítjük a szükséges sablonok (ASAv5/10/30/50) ASAv példányait.
Az INSIDE / OUTSIDE interfészeket ugyanazokhoz a VLAN-okhoz rendeljük (Outside saját VLAN-ban, BELÜL saját VLAN-ban, de általában a klaszteren belül, lásd a topológiát), fontos, hogy az azonos típusú interfészek ugyanabban az L2 szegmensben legyenek.
Engedélyek:
Jelenleg az ASAv telepítése nem rendelkezik licencekkel, és 100 kbps-ra korlátozódik.
A licenc telepítéséhez létre kell hoznia egy tokent a Smart-Account-ban: https://software.cisco.com/ -> Intelligens szoftverlicenc
A megnyíló ablakban kattintson a gombra Új token
Győződjön meg arról, hogy a megnyíló ablakban van egy aktív mező és egy pipa be van jelölve Exportvezérelt funkciók engedélyezése… Ha ez a mező nincs aktív, akkor nem fogja tudni használni az erős titkosítás és ennek megfelelően a VPN funkcióit. Ha ez a mező nem aktív, kérjük, lépjen kapcsolatba fiókjával egy aktiválási kérelemmel.
A gomb megnyomása után Token létrehozása, akkor létrejön egy token, amelyet az ASAv licenc beszerzéséhez használunk, másolja ki:
Ismételje meg a C, D, E lépéseket minden telepített ASAv esetében.
A token másolásának megkönnyítése érdekében ideiglenesen engedélyezzük a telnetet. Konfiguráljunk minden ASA-t (az alábbi példa az ASA-1 beállításait mutatja be). A telnet nem működik a külsővel, ha valóban szükséged van rá, állítsd át a biztonsági szintet 100-ra külsőre, majd add vissza.
!
ciscoasa(config)# int gi0/0
ciscoasa(config)# nameif outside
ciscoasa(config)# ip address 192.168.31.30 255.255.255.0
ciscoasa(config)# no shut
!
ciscoasa(config)# int gi0/1
ciscoasa(config)# nameif inside
ciscoasa(config)# ip address 192.168.255.2 255.255.255.0
ciscoasa(config)# no shut
!
ciscoasa(config)# telnet 0 0 inside
ciscoasa(config)# username admin password cisco priv 15
ciscoasa(config)# ena password cisco
ciscoasa(config)# aaa authentication telnet console LOCAL
!
ciscoasa(config)# route outside 0 0 192.168.31.1
!
ciscoasa(config)# wr
!
Ahhoz, hogy egy token regisztráljon a Smart-Account felhőben, internet-hozzáférést kell biztosítania az ASA számára, részletek itt.
Röviden, az ASA-ra van szükség:
hozzáférés az internethez HTTPS-en keresztül;
időszinkronizálás (pontosabban, NTP-n keresztül);
regisztrált DNS szerver;
Telnetet csatlakozunk az ASA-hoz, és beállítjuk a licencet a Smart-Account-on keresztül.
!
ciscoasa(config)# clock set 19:21:00 Mar 18 2020
ciscoasa(config)# clock timezone MSK 3
ciscoasa(config)# ntp server 192.168.99.136
!
ciscoasa(config)# dns domain-lookup outside
ciscoasa(config)# DNS server-group DefaultDNS
ciscoasa(config-dns-server-group)# name-server 192.168.99.132
!
! Проверим работу DNS:
!
ciscoasa(config-dns-server-group)# ping ya.ru
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 87.250.250.242, timeout is 2 seconds:
!!!!!
!
! Проверим синхронизацию NTP:
!
ciscoasa(config)# show ntp associations
address ref clock st when poll reach delay offset disp
*~192.168.99.136 91.189.94.4 3 63 64 1 36.7 1.85 17.5
* master (synced), # master (unsynced), + selected, - candidate, ~ configured
!
! Установим конфигурацию нашей ASAv для Smart-Licensing (в соответствии с Вашим профилем, в моем случае 100М для примера)
!
ciscoasa(config)# license smart
ciscoasa(config-smart-lic)# feature tier standard
ciscoasa(config-smart-lic)# throughput level 100M
!
! В случае необходимости можно настроить доступ в Интернет через прокси используйте следующий блок команд:
!call-home
! http-proxy ip_address port port
!
! Далее мы вставляем скопированный из портала Smart-Account токен (<token>) и регистрируем лицензию
!
ciscoasa(config)# end
ciscoasa# license smart register idtoken <token>
Ellenőrizzük, hogy az eszköz sikeresen regisztrálta-e a licencet, és rendelkezésre állnak-e a titkosítási lehetőségek:
Állítson be egy alapvető SSL-VPN-t minden átjárón
Ezután konfigurálja a hozzáférést SSH-n és ASDM-en keresztül:
ciscoasa(config)# ssh ver 2
ciscoasa(config)# aaa authentication ssh console LOCAL
ciscoasa(config)# aaa authentication http console LOCAL
ciscoasa(config)# hostname vpn-demo-1
vpn-demo-1(config)# domain-name ashes.cc
vpn-demo-1(config)# cry key gen rsa general-keys modulus 4096
vpn-demo-1(config)# ssh 0 0 inside
vpn-demo-1(config)# http 0 0 inside
!
! Поднимем сервер HTTPS для ASDM на порту 445 чтобы не пересекаться с SSL-VPN порталом
!
vpn-demo-1(config)# http server enable 445
!
Az ASDM működéséhez először le kell töltenie a cisco.com webhelyről, esetemben ez a következő fájl:
Ahhoz, hogy az AnyConnect kliens működjön, fel kell töltenie egy képet minden egyes ASA-ba minden használt asztali kliens operációs rendszerhez (Linux / Windows / MAC használatára tervezett), szükség lesz egy fájlra Fejállomási telepítési csomag A címben:
A letöltött fájlok feltölthetők például egy FTP-kiszolgálóra, és feltölthetők minden egyes ASA-ra:
Az SSL-VPN-hez ASDM-et és önaláírt tanúsítványt konfigurálunk (a termelés során ajánlott megbízható tanúsítványt használni). A virtuális fürtcím beállított FQDN-jének (vpn-demo.ashes.cc), valamint minden egyes fürtcsomópont külső címéhez társított FQDN-nek a külső DNS-zónában a KÜLSŐ interfész IP-címére kell feloldódnia (vagy a leképezett címre, ha porttovábbítás udp/443 (DTLS) és tcp/443(TLS) van használva). A tanúsítvánnyal szemben támasztott követelményekről a fejezetben található részletes információ Tanúsítvány ellenőrzése dokumentáció.
!
vpn-demo-1(config)# crypto ca trustpoint SELF
vpn-demo-1(config-ca-trustpoint)# enrollment self
vpn-demo-1(config-ca-trustpoint)# fqdn vpn-demo.ashes.cc
vpn-demo-1(config-ca-trustpoint)# subject-name cn=*.ashes.cc, ou=ashes-lab, o=ashes, c=ru
vpn-demo-1(config-ca-trustpoint)# serial-number
vpn-demo-1(config-ca-trustpoint)# crl configure
vpn-demo-1(config-ca-crl)# cry ca enroll SELF
% The fully-qualified domain name in the certificate will be: vpn-demo.ashes.cc
Generate Self-Signed Certificate? [yes/no]: yes
vpn-demo-1(config)#
!
vpn-demo-1(config)# sh cry ca certificates
Certificate
Status: Available
Certificate Serial Number: 4d43725e
Certificate Usage: General Purpose
Public Key Type: RSA (4096 bits)
Signature Algorithm: SHA256 with RSA Encryption
Issuer Name:
serialNumber=9A439T02F95
hostname=vpn-demo.ashes.cc
cn=*.ashes.cc
ou=ashes-lab
o=ashes
c=ru
Subject Name:
serialNumber=9A439T02F95
hostname=vpn-demo.ashes.cc
cn=*.ashes.cc
ou=ashes-lab
o=ashes
c=ru
Validity Date:
start date: 00:16:17 MSK Mar 19 2020
end date: 00:16:17 MSK Mar 17 2030
Storage: config
Associated Trustpoints: SELF
CA Certificate
Status: Available
Certificate Serial Number: 0509
Certificate Usage: General Purpose
Public Key Type: RSA (4096 bits)
Signature Algorithm: SHA1 with RSA Encryption
Issuer Name:
cn=QuoVadis Root CA 2
o=QuoVadis Limited
c=BM
Subject Name:
cn=QuoVadis Root CA 2
o=QuoVadis Limited
c=BM
Validity Date:
start date: 21:27:00 MSK Nov 24 2006
end date: 21:23:33 MSK Nov 24 2031
Storage: config
Associated Trustpoints: _SmartCallHome_ServerCA
Ne felejtse el megadni a portot az ASDM működésének ellenőrzéséhez, például:
Végezzük el az alagút alapbeállításait:
Tegyük elérhetővé a vállalati hálózatot az alagúton keresztül, és engedjük közvetlenül az internetet (nem a legbiztonságosabb módszer, ha a csatlakozó gazdagépen nincs védelem, lehet áthatolni egy fertőzött gazdagépen és megjeleníteni a vállalati adatokat, opció split-tunnel-policy tunnell beengedi az összes fogadó forgalmat az alagútba. Mindazonáltal osztott alagút lehetővé teszi a VPN-átjáró tehermentesítését, és nem a gazdagép internetes forgalom feldolgozását)
Adjunk ki címeket a 192.168.20.0/24 alhálózatról az alagútban lévő gazdagépeknek (10-től 30-ig terjedő címkészlet (az 1-es csomóponthoz)). A VPN-fürt minden csomópontjának saját készlettel kell rendelkeznie.
Az alapvető hitelesítést egy helyileg létrehozott felhasználóval hajtjuk végre az ASA-n (ez nem ajánlott, ez a legegyszerűbb módszer), jobb, ha a hitelesítést a LDAP/RADIUS, vagy ami még jobb, nyakkendő Többtényezős hitelesítés (MFA), Például Cisco DUO.
(VÁLASZTHATÓ): A fenti példában egy helyi felhasználót használtunk az ITU-n a távoli felhasználók hitelesítésére, ami természetesen a laboratórium kivételével rosszul alkalmazható. Mondok egy példát arra, hogyan lehet gyorsan hozzáigazítani a hitelesítés beállításait SUGÁR szerver például használt Cisco Identity Services Engine:
Ez az integráció nemcsak a hitelesítési eljárás gyors integrálását tette lehetővé az AD-címtárszolgáltatással, hanem annak megkülönböztetését is, hogy a csatlakoztatott számítógép az AD-hez tartozik-e, megérteni, hogy ez az eszköz vállalati vagy személyes-e, és felmérni a csatlakoztatott eszköz állapotát. .
Állítsuk be az Átlátszó NAT-ot úgy, hogy a kliens és a vállalati hálózati hálózat erőforrásai közötti forgalom ne legyen firkálva:
vpn-demo-1(config-network-object)# subnet 192.168.20.0 255.255.255.0
!
vpn-demo-1(config)# nat (inside,outside) source static any any destination static vpn-users vpn-users no-proxy-arp
(VÁLASZTHATÓ): Annak érdekében, hogy ügyfeleinket az ASA-n keresztül elérhetővé tegyük az Internetnek (használatakor tunnellall opciók) PAT használatával, valamint ugyanazon a KÜLSŐ interfészen keresztül való kilépéshez, amelyről csatlakoznak, a következő beállításokat kell elvégeznie
Fürt használatakor rendkívül fontos, hogy a belső hálózat megértse, melyik ASA irányítja a visszatérő forgalmat a felhasználókhoz, ehhez újra el kell osztani az útvonalakat / 32, az ügyfeleknek kiadott címet.
Jelenleg még nem konfiguráltuk a klasztert, de már vannak működő VPN-átjáróink, amelyek FQDN-en vagy IP-n keresztül egyedileg csatlakoztathatók.
A csatlakoztatott klienst az első ASA útválasztási táblázatában látjuk:
Annak érdekében, hogy a teljes VPN-fürtünk és a teljes vállalati hálózat ismerje a kliensünkhöz vezető útvonalat, a kliens előtagot egy dinamikus útválasztási protokollba, például OSPF-be osztjuk újra:
Most már van egy útvonalunk a klienshez a második ASA-2 átjárótól, és a fürtön belüli különböző VPN-átjárókhoz csatlakozó felhasználók például közvetlenül kommunikálhatnak egy vállalati szoftvertelefonon keresztül, valamint visszaküldhetik a forgalmat a felhasználó által kért erőforrásokból. lépjen a kívánt VPN-átjáróhoz:
Térjünk át a terheléselosztási fürt konfigurálására.
A 192.168.31.40 címet használjuk virtuális IP-ként (VIP – kezdetben minden VPN kliens ehhez fog csatlakozni), erről a címről a Mester fürt REDIRECT-et hajt végre egy kevésbé terhelt fürtcsomópontra. Ne felejts el írni előre és fordított DNS rekord mind a fürt minden csomópontjának minden külső címéhez / FQDN-éhez, mind a VIP-hez.
Két csatlakoztatott klienssel ellenőrizzük a fürt működését:
Tegyük kényelmesebbé az ügyfélélményt az ASDM-en keresztül automatikusan betöltődő AnyConnect profillal.
A profilt kényelmes módon elnevezzük, és hozzárendeljük csoportszabályzatunkat:
A kliens következő csatlakozása után ez a profil automatikusan letöltődik és telepítődik az AnyConnect kliensbe, így ha csatlakoznia kell, csak ki kell választania a listából:
Mivel ezt a profilt csak egy ASA-n hoztuk létre ASDM használatával, ne felejtse el megismételni a lépéseket a fürt többi ASA-ján.
Következtetés: Így gyorsan telepítettünk egy több VPN-átjáróból álló fürtöt automatikus terheléselosztással. Új csomópontok hozzáadása a fürthöz egyszerű, egyszerű vízszintes skálázással új ASAv virtuális gépek telepítésével vagy hardveres ASA-k használatával. A funkciókban gazdag AnyConnect kliens nagymértékben javíthatja a biztonságos távoli kapcsolatot a Testtartás (állapoti becslések), a leghatékonyabban a központosított ellenőrzési és hozzáférési elszámolási rendszerrel együtt alkalmazva Identity Services Engine.