Í þessari grein langar mig að veita skref-fyrir-skref leiðbeiningar um hvernig þú getur fljótt innleitt skalanlegasta kerfið í augnablikinu. Fjaraðgangur VPN aðgangur byggður AnyConnect og Cisco ASA - VPN álagsjöfnunarklasi.
Kynning: Mörg fyrirtæki um allan heim, í ljósi núverandi ástands með COVID-19, gera tilraunir til að flytja starfsmenn sína í fjarvinnu. Vegna fjöldaskipta yfir í fjarvinnu eykst álagið á núverandi VPN gáttir fyrirtækja verulega og mjög hröð getu til að skala þær er krafist. Á hinn bóginn neyðast mörg fyrirtæki til að ná tökum á hugmyndinni um fjarvinnu í skyndi frá grunni.
Til að hjálpa fyrirtækjum að ná þægilegum, öruggum og stigstærðum VPN aðgangi fyrir starfsmenn á sem skemmstum tíma, veitir Cisco leyfi fyrir AnyConnect eiginleikaríka SSL VPN viðskiptavininn í allt að 13 vikur. .
.
Ég hef útbúið skref-fyrir-skref leiðbeiningar fyrir einfalda dreifingu á VPN álagsjafnvægisklasa sem stigstærsta VPN tækni.
Dæmið hér að neðan mun vera frekar einfalt hvað varðar auðkenningar- og heimildaralgrím sem notuð eru, en mun vera góður kostur fyrir skjóta byrjun (sem er ekki nóg fyrir marga eins og er) með möguleika á ítarlegri aðlögun að þínum þörfum meðan á uppsetningu stendur ferli.
Stutt upplýsingar: VPN Load Balancing Cluster tækni er ekki bilun og ekki klasaaðgerð í upprunalegum skilningi, þessi tækni getur sameinað gjörólíkar ASA gerðir (með ákveðnum takmörkunum) til að hlaða jafnvægi með fjaraðgangi VPN tengingum. Það er engin samstilling á lotum og stillingum á milli hnúta slíks klasa, en það er hægt að hlaða sjálfkrafa VPN-tengingum og tryggja bilanaþol VPN-tenginga þar til að minnsta kosti einn virkur hnút er eftir í klasanum. Álagið í þyrpingunni er sjálfkrafa jafnvægi eftir vinnuálagi hnútanna með fjölda VPN-lota.
Fyrir bilun á tilteknum hnútum þyrpingarinnar (ef þess er krafist) er hægt að nota skrár, þannig að virka tengingin verður meðhöndluð af Aðalhnút skráaraðilans. Fileover er ekki nauðsynlegt skilyrði til að tryggja bilanaþol innan álagsjafnvægisklasans, þyrpingin sjálf, ef hnútbilun verður, mun flytja notandalotuna yfir á annan lifandi hnút, en án þess að vista tengingarstöðuna, sem er nákvæmlega útvegar umsækjandi. Í samræmi við það er mögulegt, ef nauðsyn krefur, að sameina þessar tvær tækni.
VPN álagsjafnvægisþyrping getur innihaldið fleiri en tvo hnúta.
VPN álagsjafnvægisþyrping er studd á ASA 5512-X og nýrri.
Þar sem hver ASA innan VPN álagsjafnvægisklasans er sjálfstæð eining hvað varðar stillingar, framkvæmum við öll stillingarskref fyrir sig á hverju tæki fyrir sig.
Rökfræðileg staðfræði tiltekins dæmis:
Aðaluppsetning:
-
Við sendum inn ASav tilvik af sniðmátunum sem við þurfum (ASAv5/10/30/50) úr myndinni.
-
Við úthlutum INSIDE / OUTSIDE tengi á sömu VLAN (Utan í eigin VLAN, INSIDE í sínu eigin, en almennt innan klasans, sjá staðfræði), það er mikilvægt að tengi af sömu gerð séu í sama L2 hluta.
-
Leyfi:
- Sem stendur mun ASAv uppsetningin ekki hafa nein leyfi og verður takmörkuð við 100 kbps.
- Til að setja upp leyfi þarftu að búa til tákn á Smart-reikningnum þínum: -> Snjall hugbúnaðarleyfi
- Smelltu á hnappinn í glugganum sem opnast Nýtt tákn
- Gakktu úr skugga um að í glugganum sem opnast sé virkur reitur og hakað við Leyfa útflutningsstýrða virkni… Án þess að þetta svæði sé virkt muntu ekki geta notað sterka dulkóðun og, í samræmi við það, VPN. Ef þessi reitur er ekki virkur, vinsamlegast hafðu samband við reikningsteymi þitt með beiðni um virkjun.
- Eftir að hafa ýtt á hnappinn Búðu til tákn, tákn verður búið til sem við munum nota til að fá leyfi fyrir ASAv, afritaðu það:
- Endurtaktu skref C,D,E fyrir hvern útsett ASAv.
- Til að gera það auðveldara að afrita táknið skulum við leyfa telnet tímabundið. Við skulum stilla hvert ASA (dæmið hér að neðan sýnir stillingarnar á ASA-1). telnet virkar ekki með utan, ef þú þarft virkilega á því að halda, breyttu öryggisstigi í 100 í utan, skilaðu því svo aftur.
! ciscoasa(config)# int gi0/0 ciscoasa(config)# nameif outside ciscoasa(config)# ip address 192.168.31.30 255.255.255.0 ciscoasa(config)# no shut ! ciscoasa(config)# int gi0/1 ciscoasa(config)# nameif inside ciscoasa(config)# ip address 192.168.255.2 255.255.255.0 ciscoasa(config)# no shut ! ciscoasa(config)# telnet 0 0 inside ciscoasa(config)# username admin password cisco priv 15 ciscoasa(config)# ena password cisco ciscoasa(config)# aaa authentication telnet console LOCAL ! ciscoasa(config)# route outside 0 0 192.168.31.1 ! ciscoasa(config)# wr !- Til að skrá tákn í Smart-Account skýinu verður þú að veita netaðgang fyrir ASA, .
Í stuttu máli, ASA er þörf:
- aðgangur í gegnum HTTPS að internetinu;
- tímasamstilling (réttara, í gegnum NTP);
- skráður DNS netþjónn;
- Við telnum til ASA okkar og gerum stillingar til að virkja leyfið í gegnum Smart-Account.
! ciscoasa(config)# clock set 19:21:00 Mar 18 2020 ciscoasa(config)# clock timezone MSK 3 ciscoasa(config)# ntp server 192.168.99.136 ! ciscoasa(config)# dns domain-lookup outside ciscoasa(config)# DNS server-group DefaultDNS ciscoasa(config-dns-server-group)# name-server 192.168.99.132 ! ! Проверим работу DNS: ! ciscoasa(config-dns-server-group)# ping ya.ru Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 87.250.250.242, timeout is 2 seconds: !!!!! ! ! Проверим синхронизацию NTP: ! ciscoasa(config)# show ntp associations address ref clock st when poll reach delay offset disp *~192.168.99.136 91.189.94.4 3 63 64 1 36.7 1.85 17.5 * master (synced), # master (unsynced), + selected, - candidate, ~ configured ! ! Установим конфигурацию нашей ASAv для Smart-Licensing (в соответствии с Вашим профилем, в моем случае 100М для примера) ! ciscoasa(config)# license smart ciscoasa(config-smart-lic)# feature tier standard ciscoasa(config-smart-lic)# throughput level 100M ! ! В случае необходимости можно настроить доступ в Интернет через прокси используйте следующий блок команд: !call-home ! http-proxy ip_address port port ! ! Далее мы вставляем скопированный из портала Smart-Account токен (<token>) и регистрируем лицензию ! ciscoasa(config)# end ciscoasa# license smart register idtoken <token>- Við athugum hvort tækið hafi skráð leyfi og dulkóðunarvalkostir eru tiltækir:
-
Settu upp grunn SSL-VPN á hverri hlið
- Næst skaltu stilla aðgang í gegnum SSH og ASDM:
ciscoasa(config)# ssh ver 2 ciscoasa(config)# aaa authentication ssh console LOCAL ciscoasa(config)# aaa authentication http console LOCAL ciscoasa(config)# hostname vpn-demo-1 vpn-demo-1(config)# domain-name ashes.cc vpn-demo-1(config)# cry key gen rsa general-keys modulus 4096 vpn-demo-1(config)# ssh 0 0 inside vpn-demo-1(config)# http 0 0 inside ! ! Поднимем сервер HTTPS для ASDM на порту 445 чтобы не пересекаться с SSL-VPN порталом ! vpn-demo-1(config)# http server enable 445 !- Til að ASDM virki verður þú fyrst að hlaða því niður af cisco.com vefsíðunni, í mínu tilviki er það eftirfarandi skrá:
- Til að AnyConnect biðlarinn virki þarftu að hlaða upp mynd á hvert ASA fyrir hvert notað skjáborðsstýrikerfi biðlara (fyrirhugað að nota Linux / Windows / MAC), þú þarft skrá með Headend dreifingarpakki Í titlinum:
- Hægt er að hlaða niður skránum, til dæmis, á FTP netþjón og hlaða þeim upp á hvert einstakt ASA:
- Við stillum ASDM og Self-Signed vottorð fyrir SSL-VPN (mælt er með því að nota traust vottorð í framleiðslu). Stillt FQDN fyrir sýndarklasavistfangið (vpn-demo.ashes.cc), sem og hvert FQDN sem tengist ytra vistfangi hvers klasahnúts, verður að leysast á ytra DNS svæði við IP tölu OUTSIDE tengisins (eða á kortlagt heimilisfangið ef framsending hafna udp/443 er notuð (DTLS) og tcp/443(TLS)). Ítarlegar upplýsingar um kröfurnar fyrir skírteinið eru tilgreindar í kaflanum Staðfesting skírteina skjöl.
! vpn-demo-1(config)# crypto ca trustpoint SELF vpn-demo-1(config-ca-trustpoint)# enrollment self vpn-demo-1(config-ca-trustpoint)# fqdn vpn-demo.ashes.cc vpn-demo-1(config-ca-trustpoint)# subject-name cn=*.ashes.cc, ou=ashes-lab, o=ashes, c=ru vpn-demo-1(config-ca-trustpoint)# serial-number vpn-demo-1(config-ca-trustpoint)# crl configure vpn-demo-1(config-ca-crl)# cry ca enroll SELF % The fully-qualified domain name in the certificate will be: vpn-demo.ashes.cc Generate Self-Signed Certificate? [yes/no]: yes vpn-demo-1(config)# ! vpn-demo-1(config)# sh cry ca certificates Certificate Status: Available Certificate Serial Number: 4d43725e Certificate Usage: General Purpose Public Key Type: RSA (4096 bits) Signature Algorithm: SHA256 with RSA Encryption Issuer Name: serialNumber=9A439T02F95 hostname=vpn-demo.ashes.cc cn=*.ashes.cc ou=ashes-lab o=ashes c=ru Subject Name: serialNumber=9A439T02F95 hostname=vpn-demo.ashes.cc cn=*.ashes.cc ou=ashes-lab o=ashes c=ru Validity Date: start date: 00:16:17 MSK Mar 19 2020 end date: 00:16:17 MSK Mar 17 2030 Storage: config Associated Trustpoints: SELF CA Certificate Status: Available Certificate Serial Number: 0509 Certificate Usage: General Purpose Public Key Type: RSA (4096 bits) Signature Algorithm: SHA1 with RSA Encryption Issuer Name: cn=QuoVadis Root CA 2 o=QuoVadis Limited c=BM Subject Name: cn=QuoVadis Root CA 2 o=QuoVadis Limited c=BM Validity Date: start date: 21:27:00 MSK Nov 24 2006 end date: 21:23:33 MSK Nov 24 2031 Storage: config Associated Trustpoints: _SmartCallHome_ServerCA- Ekki gleyma að tilgreina höfnina til að athuga að ASDM virki, til dæmis:
- Við skulum framkvæma grunnstillingar ganganna:
- Gerum fyrirtækjanetið aðgengilegt í gegnum göngin og látum internetið fara beint (ekki öruggasta aðferðin ef engar vörn eru á tengihýslinum, það er hægt að komast í gegnum sýktan hýsil og sýna fyrirtækjagögn, valmöguleiki split-tunnel-policy tunnelall mun hleypa allri hýsingarumferð inn í göngin. Engu að síður skipt-göng gerir það mögulegt að afhlaða VPN gáttinni og ekki vinna úr netumferð gestgjafa)
- Við skulum gefa út heimilisföng frá 192.168.20.0/24 undirnetinu til hýsinga í göngunum (samlag frá 10 til 30 heimilisföng (fyrir hnút #1)). Hver hnútur VPN þyrpingarinnar verður að hafa sína eigin laug.
- Við munum framkvæma grunnauðkenningu með staðbundnum notanda á ASA (þetta er ekki mælt með, þetta er auðveldasta aðferðin), það er betra að gera auðkenningu í gegnum LDAP/RADÍUS, eða betra, jafntefli Fjölþátta auðkenning (MFA), T.d. Cisco DUO.
! vpn-demo-1(config)# ip local pool vpn-pool 192.168.20.10-192.168.20.30 mask 255.255.255.0 ! vpn-demo-1(config)# access-list split-tunnel standard permit 192.168.0.0 255.255.0.0 ! vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY internal vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY attributes vpn-demo-1(config-group-policy)# vpn-tunnel-protocol ssl-client vpn-demo-1(config-group-policy)# split-tunnel-policy tunnelspecified vpn-demo-1(config-group-policy)# split-tunnel-network-list value split-tunnel vpn-demo-1(config-group-policy)# dns-server value 192.168.99.132 vpn-demo-1(config-group-policy)# default-domain value ashes.cc vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes vpn-demo-1(config-tunnel-general)# default-group-policy SSL-VPN-GROUP-POLICY vpn-demo-1(config-tunnel-general)# address-pool vpn-pool ! vpn-demo-1(config)# username dkazakov password cisco vpn-demo-1(config)# username dkazakov attributes vpn-demo-1(config-username)# service-type remote-access ! vpn-demo-1(config)# ssl trust-point SELF vpn-demo-1(config)# webvpn vpn-demo-1(config-webvpn)# enable outside vpn-demo-1(config-webvpn)# anyconnect image disk0:/anyconnect-win-4.8.03036-webdeploy-k9.pkg vpn-demo-1(config-webvpn)# anyconnect enable !- (VALFRJÁLST): Í dæminu hér að ofan notuðum við staðbundinn notanda á ITU til að auðkenna fjarnotendur, sem auðvitað, nema á rannsóknarstofunni, á illa við. Ég mun gefa dæmi um hvernig á að laga stillinguna fyrir auðkenningu fljótt að RADIUS þjónn, notaður sem dæmi Cisco Identity Services Engine:
vpn-demo-1(config-aaa-server-group)# dynamic-authorization vpn-demo-1(config-aaa-server-group)# interim-accounting-update vpn-demo-1(config-aaa-server-group)# aaa-server RADIUS (outside) host 192.168.99.134 vpn-demo-1(config-aaa-server-host)# key cisco vpn-demo-1(config-aaa-server-host)# exit vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes vpn-demo-1(config-tunnel-general)# authentication-server-group RADIUS !Þessi samþætting gerði ekki aðeins kleift að samþætta auðkenningarferlið fljótt við AD skráarþjónustuna, heldur einnig að greina hvort tengda tölvan tilheyrir AD, til að skilja hvort þetta tæki er fyrirtæki eða persónulegt og að meta stöðu tengda tækisins. .
- Við skulum stilla Transparent NAT þannig að umferðin milli biðlarans og auðlinda fyrirtækjanetkerfisins sé ekki krotuð:
vpn-demo-1(config-network-object)# subnet 192.168.20.0 255.255.255.0 ! vpn-demo-1(config)# nat (inside,outside) source static any any destination static vpn-users vpn-users no-proxy-arp- (VALFRJÁLST): Til þess að afhjúpa viðskiptavini okkar fyrir internetinu í gegnum ASA (við notkun tunnelall valkostir) með því að nota PAT, ásamt því að fara út í gegnum sama OUTSIDE viðmótið sem þeir eru tengdir úr, þú þarft að gera eftirfarandi stillingar
vpn-demo-1(config-network-object)# nat (outside,outside) source dynamic vpn-users interface vpn-demo-1(config)# nat (inside,outside) source dynamic any interface vpn-demo-1(config)# same-security-traffic permit intra-interface !- Þegar þú notar klasa er afar mikilvægt að gera innra neti kleift að skilja hvaða ASA á að beina afturumferð til notenda, til þess þarftu að endurdreifa leiðum / 32 heimilisföngum sem gefin eru út til viðskiptavina.
Í augnablikinu höfum við ekki enn stillt þyrpinguna, en við erum nú þegar með virkar VPN gáttir sem hægt er að tengja hver fyrir sig í gegnum FQDN eða IP.
Við sjáum tengda viðskiptavininn í leiðartöflu fyrsta ASA:
Til þess að allur VPN þyrpingin okkar og allt fyrirtækjanetið viti leiðina til viðskiptavinar okkar munum við endurdreifa forskeyti viðskiptavinarins í kraftmikla leiðarsamskiptareglu, til dæmis OSPF:
! vpn-demo-1(config)# route-map RMAP-VPN-REDISTRIBUTE permit 1 vpn-demo-1(config-route-map)# match ip address VPN-REDISTRIBUTE ! vpn-demo-1(config)# router ospf 1 vpn-demo-1(config-router)# network 192.168.255.0 255.255.255.0 area 0 vpn-demo-1(config-router)# log-adj-changes vpn-demo-1(config-router)# redistribute static metric 5000 subnets route-map RMAP-VPN-REDISTRIBUTENú höfum við leið til viðskiptavinarins frá annarri ASA-2 gáttinni og notendur sem eru tengdir mismunandi VPN gáttum innan klasans geta til dæmis átt samskipti beint í gegnum síma fyrir fyrirtæki, auk þess að skila umferð frá auðlindum sem notandinn óskar eftir. komdu að viðkomandi VPN gátt:
-
Við skulum halda áfram að stilla álagsjafnvægisþyrpinguna.
Heimilisfangið 192.168.31.40 verður notað sem sýndar-IP (VIP - allir VPN viðskiptavinir munu fyrst tengjast því), frá þessu heimilisfangi mun Master cluster endurbeina til minna hlaðinn klasahnút. Ekki gleyma að skrifa áfram og afturábak DNS skrá bæði fyrir hvert ytra heimilisfang / FQDN hvers hnút í þyrpingunni og fyrir VIP.
vpn-demo-1(config)# vpn load-balancing vpn-demo-1(config-load-balancing)# interface lbpublic outside vpn-demo-1(config-load-balancing)# interface lbprivate inside vpn-demo-1(config-load-balancing)# priority 10 vpn-demo-1(config-load-balancing)# cluster ip address 192.168.31.40 vpn-demo-1(config-load-balancing)# cluster port 4000 vpn-demo-1(config-load-balancing)# redirect-fqdn enable vpn-demo-1(config-load-balancing)# cluster key cisco vpn-demo-1(config-load-balancing)# cluster encryption vpn-demo-1(config-load-balancing)# cluster port 9023 vpn-demo-1(config-load-balancing)# participate vpn-demo-1(config-load-balancing)#- Við athugum virkni klasans með tveimur tengdum viðskiptavinum:
- Gerum upplifun viðskiptavina þægilegri með sjálfkrafa hlaðna AnyConnect prófílnum í gegnum ASDM.
Við nefnum prófílinn á þægilegan hátt og tengjum hópstefnu okkar við það:
Eftir næstu tengingu viðskiptavinarins verður þessu sniði sjálfkrafa hlaðið niður og sett upp í AnyConnect biðlaranum, þannig að ef þú þarft að tengjast skaltu bara velja það af listanum:
Þar sem við bjuggum til þetta snið á aðeins einni ASA með ASDM, ekki gleyma að endurtaka skrefin á hinum ASA í þyrpingunni.
Ályktun: Þannig settum við fljótt upp þyrping af nokkrum VPN gáttum með sjálfvirkri álagsjöfnun. Auðvelt er að bæta nýjum hnútum við þyrpinguna, með einfaldri láréttri stærðarstærð með því að nota nýjar ASAv sýndarvélar eða nota vélbúnaðar ASA. Eiginleikaríkur AnyConnect viðskiptavinurinn getur aukið örugga fjartengingu til muna með því að nota Líkamsstaða (áætlanir ríkisins), best notað í tengslum við kerfi miðstýrðs eftirlits og aðgangsbókhalds Identity Services vél.
Heimild: www.habr.com