Í þessari grein langar mig að veita skref-fyrir-skref leiðbeiningar um hvernig þú getur fljótt innleitt skalanlegasta kerfið í augnablikinu. Fjaraðgangur VPN aðgangur byggður AnyConnect og Cisco ASA - VPN álagsjöfnunarklasi.
Kynning: Mörg fyrirtæki um allan heim, í ljósi núverandi ástands með COVID-19, gera tilraunir til að flytja starfsmenn sína í fjarvinnu. Vegna fjöldaskipta yfir í fjarvinnu eykst álagið á núverandi VPN gáttir fyrirtækja verulega og mjög hröð getu til að skala þær er krafist. Á hinn bóginn neyðast mörg fyrirtæki til að ná tökum á hugmyndinni um fjarvinnu í skyndi frá grunni.
Ég hef útbúið skref-fyrir-skref leiðbeiningar fyrir einfalda dreifingu á VPN álagsjafnvægisklasa sem stigstærsta VPN tækni.
Dæmið hér að neðan mun vera frekar einfalt hvað varðar auðkenningar- og heimildaralgrím sem notuð eru, en mun vera góður kostur fyrir skjóta byrjun (sem er ekki nóg fyrir marga eins og er) með möguleika á ítarlegri aðlögun að þínum þörfum meðan á uppsetningu stendur ferli.
Stutt upplýsingar: VPN Load Balancing Cluster tækni er ekki bilun og ekki klasaaðgerð í upprunalegum skilningi, þessi tækni getur sameinað gjörólíkar ASA gerðir (með ákveðnum takmörkunum) til að hlaða jafnvægi með fjaraðgangi VPN tengingum. Það er engin samstilling á lotum og stillingum á milli hnúta slíks klasa, en það er hægt að hlaða sjálfkrafa VPN-tengingum og tryggja bilanaþol VPN-tenginga þar til að minnsta kosti einn virkur hnút er eftir í klasanum. Álagið í þyrpingunni er sjálfkrafa jafnvægi eftir vinnuálagi hnútanna með fjölda VPN-lota.
Fyrir bilun á tilteknum hnútum þyrpingarinnar (ef þess er krafist) er hægt að nota skrár, þannig að virka tengingin verður meðhöndluð af Aðalhnút skráaraðilans. Fileover er ekki nauðsynlegt skilyrði til að tryggja bilanaþol innan álagsjafnvægisklasans, þyrpingin sjálf, ef hnútbilun verður, mun flytja notandalotuna yfir á annan lifandi hnút, en án þess að vista tengingarstöðuna, sem er nákvæmlega útvegar umsækjandi. Í samræmi við það er mögulegt, ef nauðsyn krefur, að sameina þessar tvær tækni.
VPN álagsjafnvægisþyrping getur innihaldið fleiri en tvo hnúta.
VPN álagsjafnvægisþyrping er studd á ASA 5512-X og nýrri.
Þar sem hver ASA innan VPN álagsjafnvægisklasans er sjálfstæð eining hvað varðar stillingar, framkvæmum við öll stillingarskref fyrir sig á hverju tæki fyrir sig.
Við sendum inn ASav tilvik af sniðmátunum sem við þurfum (ASAv5/10/30/50) úr myndinni.
Við úthlutum INSIDE / OUTSIDE tengi á sömu VLAN (Utan í eigin VLAN, INSIDE í sínu eigin, en almennt innan klasans, sjá staðfræði), það er mikilvægt að tengi af sömu gerð séu í sama L2 hluta.
Leyfi:
Sem stendur mun ASAv uppsetningin ekki hafa nein leyfi og verður takmörkuð við 100 kbps.
Til að setja upp leyfi þarftu að búa til tákn á Smart-reikningnum þínum: https://software.cisco.com/ -> Snjall hugbúnaðarleyfi
Smelltu á hnappinn í glugganum sem opnast Nýtt tákn
Gakktu úr skugga um að í glugganum sem opnast sé virkur reitur og hakað við Leyfa útflutningsstýrða virkni… Án þess að þetta svæði sé virkt muntu ekki geta notað sterka dulkóðun og, í samræmi við það, VPN. Ef þessi reitur er ekki virkur, vinsamlegast hafðu samband við reikningsteymi þitt með beiðni um virkjun.
Eftir að hafa ýtt á hnappinn Búðu til tákn, tákn verður búið til sem við munum nota til að fá leyfi fyrir ASAv, afritaðu það:
Endurtaktu skref C,D,E fyrir hvern útsett ASAv.
Til að gera það auðveldara að afrita táknið skulum við leyfa telnet tímabundið. Við skulum stilla hvert ASA (dæmið hér að neðan sýnir stillingarnar á ASA-1). telnet virkar ekki með utan, ef þú þarft virkilega á því að halda, breyttu öryggisstigi í 100 í utan, skilaðu því svo aftur.
!
ciscoasa(config)# int gi0/0
ciscoasa(config)# nameif outside
ciscoasa(config)# ip address 192.168.31.30 255.255.255.0
ciscoasa(config)# no shut
!
ciscoasa(config)# int gi0/1
ciscoasa(config)# nameif inside
ciscoasa(config)# ip address 192.168.255.2 255.255.255.0
ciscoasa(config)# no shut
!
ciscoasa(config)# telnet 0 0 inside
ciscoasa(config)# username admin password cisco priv 15
ciscoasa(config)# ena password cisco
ciscoasa(config)# aaa authentication telnet console LOCAL
!
ciscoasa(config)# route outside 0 0 192.168.31.1
!
ciscoasa(config)# wr
!
Til að skrá tákn í Smart-Account skýinu verður þú að veita netaðgang fyrir ASA, upplýsingar hér.
Í stuttu máli, ASA er þörf:
aðgangur í gegnum HTTPS að internetinu;
tímasamstilling (réttara, í gegnum NTP);
skráður DNS netþjónn;
Við telnum til ASA okkar og gerum stillingar til að virkja leyfið í gegnum Smart-Account.
!
ciscoasa(config)# clock set 19:21:00 Mar 18 2020
ciscoasa(config)# clock timezone MSK 3
ciscoasa(config)# ntp server 192.168.99.136
!
ciscoasa(config)# dns domain-lookup outside
ciscoasa(config)# DNS server-group DefaultDNS
ciscoasa(config-dns-server-group)# name-server 192.168.99.132
!
! Проверим работу DNS:
!
ciscoasa(config-dns-server-group)# ping ya.ru
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 87.250.250.242, timeout is 2 seconds:
!!!!!
!
! Проверим синхронизацию NTP:
!
ciscoasa(config)# show ntp associations
address ref clock st when poll reach delay offset disp
*~192.168.99.136 91.189.94.4 3 63 64 1 36.7 1.85 17.5
* master (synced), # master (unsynced), + selected, - candidate, ~ configured
!
! Установим конфигурацию нашей ASAv для Smart-Licensing (в соответствии с Вашим профилем, в моем случае 100М для примера)
!
ciscoasa(config)# license smart
ciscoasa(config-smart-lic)# feature tier standard
ciscoasa(config-smart-lic)# throughput level 100M
!
! В случае необходимости можно настроить доступ в Интернет через прокси используйте следующий блок команд:
!call-home
! http-proxy ip_address port port
!
! Далее мы вставляем скопированный из портала Smart-Account токен (<token>) и регистрируем лицензию
!
ciscoasa(config)# end
ciscoasa# license smart register idtoken <token>
Við athugum hvort tækið hafi skráð leyfi og dulkóðunarvalkostir eru tiltækir:
Settu upp grunn SSL-VPN á hverri hlið
Næst skaltu stilla aðgang í gegnum SSH og ASDM:
ciscoasa(config)# ssh ver 2
ciscoasa(config)# aaa authentication ssh console LOCAL
ciscoasa(config)# aaa authentication http console LOCAL
ciscoasa(config)# hostname vpn-demo-1
vpn-demo-1(config)# domain-name ashes.cc
vpn-demo-1(config)# cry key gen rsa general-keys modulus 4096
vpn-demo-1(config)# ssh 0 0 inside
vpn-demo-1(config)# http 0 0 inside
!
! Поднимем сервер HTTPS для ASDM на порту 445 чтобы не пересекаться с SSL-VPN порталом
!
vpn-demo-1(config)# http server enable 445
!
Til að ASDM virki verður þú fyrst að hlaða því niður af cisco.com vefsíðunni, í mínu tilviki er það eftirfarandi skrá:
Til að AnyConnect biðlarinn virki þarftu að hlaða upp mynd á hvert ASA fyrir hvert notað skjáborðsstýrikerfi biðlara (fyrirhugað að nota Linux / Windows / MAC), þú þarft skrá með Headend dreifingarpakki Í titlinum:
Hægt er að hlaða niður skránum, til dæmis, á FTP netþjón og hlaða þeim upp á hvert einstakt ASA:
Við stillum ASDM og Self-Signed vottorð fyrir SSL-VPN (mælt er með því að nota traust vottorð í framleiðslu). Stillt FQDN fyrir sýndarklasavistfangið (vpn-demo.ashes.cc), sem og hvert FQDN sem tengist ytra vistfangi hvers klasahnúts, verður að leysast á ytra DNS svæði við IP tölu OUTSIDE tengisins (eða á kortlagt heimilisfangið ef framsending hafna udp/443 er notuð (DTLS) og tcp/443(TLS)). Ítarlegar upplýsingar um kröfurnar fyrir skírteinið eru tilgreindar í kaflanum Staðfesting skírteina skjöl.
!
vpn-demo-1(config)# crypto ca trustpoint SELF
vpn-demo-1(config-ca-trustpoint)# enrollment self
vpn-demo-1(config-ca-trustpoint)# fqdn vpn-demo.ashes.cc
vpn-demo-1(config-ca-trustpoint)# subject-name cn=*.ashes.cc, ou=ashes-lab, o=ashes, c=ru
vpn-demo-1(config-ca-trustpoint)# serial-number
vpn-demo-1(config-ca-trustpoint)# crl configure
vpn-demo-1(config-ca-crl)# cry ca enroll SELF
% The fully-qualified domain name in the certificate will be: vpn-demo.ashes.cc
Generate Self-Signed Certificate? [yes/no]: yes
vpn-demo-1(config)#
!
vpn-demo-1(config)# sh cry ca certificates
Certificate
Status: Available
Certificate Serial Number: 4d43725e
Certificate Usage: General Purpose
Public Key Type: RSA (4096 bits)
Signature Algorithm: SHA256 with RSA Encryption
Issuer Name:
serialNumber=9A439T02F95
hostname=vpn-demo.ashes.cc
cn=*.ashes.cc
ou=ashes-lab
o=ashes
c=ru
Subject Name:
serialNumber=9A439T02F95
hostname=vpn-demo.ashes.cc
cn=*.ashes.cc
ou=ashes-lab
o=ashes
c=ru
Validity Date:
start date: 00:16:17 MSK Mar 19 2020
end date: 00:16:17 MSK Mar 17 2030
Storage: config
Associated Trustpoints: SELF
CA Certificate
Status: Available
Certificate Serial Number: 0509
Certificate Usage: General Purpose
Public Key Type: RSA (4096 bits)
Signature Algorithm: SHA1 with RSA Encryption
Issuer Name:
cn=QuoVadis Root CA 2
o=QuoVadis Limited
c=BM
Subject Name:
cn=QuoVadis Root CA 2
o=QuoVadis Limited
c=BM
Validity Date:
start date: 21:27:00 MSK Nov 24 2006
end date: 21:23:33 MSK Nov 24 2031
Storage: config
Associated Trustpoints: _SmartCallHome_ServerCA
Ekki gleyma að tilgreina höfnina til að athuga að ASDM virki, til dæmis:
Við skulum framkvæma grunnstillingar ganganna:
Gerum fyrirtækjanetið aðgengilegt í gegnum göngin og látum internetið fara beint (ekki öruggasta aðferðin ef engar vörn eru á tengihýslinum, það er hægt að komast í gegnum sýktan hýsil og sýna fyrirtækjagögn, valmöguleiki split-tunnel-policy tunnelall mun hleypa allri hýsingarumferð inn í göngin. Engu að síður skipt-göng gerir það mögulegt að afhlaða VPN gáttinni og ekki vinna úr netumferð gestgjafa)
Við skulum gefa út heimilisföng frá 192.168.20.0/24 undirnetinu til hýsinga í göngunum (samlag frá 10 til 30 heimilisföng (fyrir hnút #1)). Hver hnútur VPN þyrpingarinnar verður að hafa sína eigin laug.
Við munum framkvæma grunnauðkenningu með staðbundnum notanda á ASA (þetta er ekki mælt með, þetta er auðveldasta aðferðin), það er betra að gera auðkenningu í gegnum LDAP/RADÍUS, eða betra, jafntefli Fjölþátta auðkenning (MFA), T.d. Cisco DUO.
(VALFRJÁLST): Í dæminu hér að ofan notuðum við staðbundinn notanda á ITU til að auðkenna fjarnotendur, sem auðvitað, nema á rannsóknarstofunni, á illa við. Ég mun gefa dæmi um hvernig á að laga stillinguna fyrir auðkenningu fljótt að RADIUS þjónn, notaður sem dæmi Cisco Identity Services Engine:
Þessi samþætting gerði ekki aðeins kleift að samþætta auðkenningarferlið fljótt við AD skráarþjónustuna, heldur einnig að greina hvort tengda tölvan tilheyrir AD, til að skilja hvort þetta tæki er fyrirtæki eða persónulegt og að meta stöðu tengda tækisins. .
Við skulum stilla Transparent NAT þannig að umferðin milli biðlarans og auðlinda fyrirtækjanetkerfisins sé ekki krotuð:
vpn-demo-1(config-network-object)# subnet 192.168.20.0 255.255.255.0
!
vpn-demo-1(config)# nat (inside,outside) source static any any destination static vpn-users vpn-users no-proxy-arp
(VALFRJÁLST): Til þess að afhjúpa viðskiptavini okkar fyrir internetinu í gegnum ASA (við notkun tunnelall valkostir) með því að nota PAT, ásamt því að fara út í gegnum sama OUTSIDE viðmótið sem þeir eru tengdir úr, þú þarft að gera eftirfarandi stillingar
Þegar þú notar klasa er afar mikilvægt að gera innra neti kleift að skilja hvaða ASA á að beina afturumferð til notenda, til þess þarftu að endurdreifa leiðum / 32 heimilisföngum sem gefin eru út til viðskiptavina.
Í augnablikinu höfum við ekki enn stillt þyrpinguna, en við erum nú þegar með virkar VPN gáttir sem hægt er að tengja hver fyrir sig í gegnum FQDN eða IP.
Við sjáum tengda viðskiptavininn í leiðartöflu fyrsta ASA:
Til þess að allur VPN þyrpingin okkar og allt fyrirtækjanetið viti leiðina til viðskiptavinar okkar munum við endurdreifa forskeyti viðskiptavinarins í kraftmikla leiðarsamskiptareglu, til dæmis OSPF:
Nú höfum við leið til viðskiptavinarins frá annarri ASA-2 gáttinni og notendur sem eru tengdir mismunandi VPN gáttum innan klasans geta til dæmis átt samskipti beint í gegnum síma fyrir fyrirtæki, auk þess að skila umferð frá auðlindum sem notandinn óskar eftir. komdu að viðkomandi VPN gátt:
Við skulum halda áfram að stilla álagsjafnvægisþyrpinguna.
Heimilisfangið 192.168.31.40 verður notað sem sýndar-IP (VIP - allir VPN viðskiptavinir munu fyrst tengjast því), frá þessu heimilisfangi mun Master cluster endurbeina til minna hlaðinn klasahnút. Ekki gleyma að skrifa áfram og afturábak DNS skrá bæði fyrir hvert ytra heimilisfang / FQDN hvers hnút í þyrpingunni og fyrir VIP.
Við athugum virkni klasans með tveimur tengdum viðskiptavinum:
Gerum upplifun viðskiptavina þægilegri með sjálfkrafa hlaðna AnyConnect prófílnum í gegnum ASDM.
Við nefnum prófílinn á þægilegan hátt og tengjum hópstefnu okkar við það:
Eftir næstu tengingu viðskiptavinarins verður þessu sniði sjálfkrafa hlaðið niður og sett upp í AnyConnect biðlaranum, þannig að ef þú þarft að tengjast skaltu bara velja það af listanum:
Þar sem við bjuggum til þetta snið á aðeins einni ASA með ASDM, ekki gleyma að endurtaka skrefin á hinum ASA í þyrpingunni.
Ályktun: Þannig settum við fljótt upp þyrping af nokkrum VPN gáttum með sjálfvirkri álagsjöfnun. Auðvelt er að bæta nýjum hnútum við þyrpinguna, með einfaldri láréttri stærðarstærð með því að nota nýjar ASAv sýndarvélar eða nota vélbúnaðar ASA. Eiginleikaríkur AnyConnect viðskiptavinurinn getur aukið örugga fjartengingu til muna með því að nota Líkamsstaða (áætlanir ríkisins), best notað í tengslum við kerfi miðstýrðs eftirlits og aðgangsbókhalds Identity Services vél.