פריסת אשכול ASA VPN לאיזון עומסים

במאמר זה, ברצוני לספק הוראות שלב אחר שלב כיצד ניתן לפרוס במהירות את הסכימה הניתנת להרחבה ביותר כרגע. VPN גישה מרחוק מבוסס גישה AnyConnect ו-Cisco ASA - אשכול איזון עומסים של VPN.

מבוא: חברות רבות ברחבי העולם, לאור המצב הנוכחי עם COVID-19, עושות מאמצים להעביר את עובדיהן לעבודה מרחוק. עקב המעבר ההמוני לעבודה מרחוק, העומס על שערי ה-VPN הקיימים של חברות גדל באופן קריטי ונדרשת יכולת מהירה מאוד להרחיב אותם. מצד שני, חברות רבות נאלצות לשלוט בחופזה בקונספט של עבודה מרחוק מאפס.

כדי לעזור לעסקים להשיג גישת VPN נוחה, מאובטחת וניתנת להרחבה לעובדים בזמן הקצר ביותר האפשרי, סיסקו נותנת רישיון ללקוח SSL-VPN העשיר בתכונות AnyConnect למשך עד 13 שבועות. אתה יכול גם לקחת את ASAv לבדיקה (Virtual ASA עבור VMWare/Hyper-V/KVM hypervisors ו-AWS/Azure Cloud Platforms) משותפים מורשים או על ידי פנייה לנציגי Cisco העובדים איתך.

ההליך להנפקת רישיונות AnyConnect COVID-19 מתואר כאן.

הכנתי מדריך שלב אחר שלב לפריסה פשוטה של ​​VPN Load-Balancing Cluster כטכנולוגיית ה-VPN הניתנת להרחבה ביותר.

הדוגמה להלן תהיה פשוטה למדי מבחינת אלגוריתמי האימות וההרשאה בשימוש, אך תהווה אופציה טובה להתחלה מהירה (שכיום לא מספיקה לרבים) עם אפשרות התאמה מעמיקה לצרכים שלכם במהלך הפריסה תהליך.

מידע קצר: טכנולוגיית VPN Load Balancing Cluster היא לא תקלה ולא פונקציית אשכולות במובן המקורי שלה, טכנולוגיה זו יכולה לשלב דגמי ASA שונים לחלוטין (עם הגבלות מסוימות) על מנת לאזן עומס חיבורי VPN עם גישה מרחוק. אין סנכרון של הפעלות ותצורות בין הצמתים של אשכול כזה, אך ניתן לטעון אוטומטית חיבורי VPN באיזון עומס ולהבטיח סובלנות לתקלות של חיבורי VPN עד שיישאר לפחות צומת פעיל אחד באשכול. העומס באשכול מאוזן אוטומטית בהתאם לעומס העבודה של הצמתים לפי מספר הפעלות VPN.

עבור כשל של צמתים ספציפיים של האשכול (אם נדרש), ניתן להשתמש בקובץ, כך שהחיבור הפעיל יטופל על ידי הצומת הראשי של הקובץ. ה-filover אינו תנאי הכרחי להבטחת סבילות תקלות בתוך אשכול ה-Load-Balancing, האשכול עצמו, במקרה של כשל בצומת, יעביר את הפעלת המשתמש לצומת חי אחר, אך ללא שמירת מצב החיבור, שהוא בדיוק מסופק על ידי המגיש. בהתאם לכך, ניתן, במידת הצורך, לשלב בין שתי הטכנולוגיות הללו.

אשכול איזון עומסים של VPN יכול להכיל יותר משני צמתים.

אשכול איזון עומסים של VPN נתמך ב-ASA 5512-X ומעלה.

מכיוון שכל ASA בתוך אשכול ה-VPN Load-Balancing היא יחידה עצמאית מבחינת הגדרות, אנו מבצעים את כל שלבי התצורה בנפרד על כל מכשיר בנפרד.

פרטי טכנולוגיה כאן

הטופולוגיה הלוגית של הדוגמה הנתונה:

פריסה ראשית:

1. אנו פורסים מופעי ASAv של התבניות שאנו צריכים (ASAv5/10/30/50) מהתמונה.

2. אנו מקצים את ממשקי INSIDE / OUTSIDE לאותם VLANs (Outside ב-VLAN משלו, INSIDE בפני עצמו, אבל בדרך כלל בתוך האשכול, ראה את הטופולוגיה), חשוב שממשקים מאותו סוג יהיו באותו קטע L2.

3. רישיונות:

   • כרגע להתקנת ASAv לא יהיו כל רישיונות והיא תהיה מוגבלת ל-100kbps.
   • כדי להתקין רישיון, עליך ליצור אסימון בחשבון החכם שלך: https://software.cisco.com/ -> רישוי תוכנה חכמה
   • בחלון שנפתח, לחץ על הכפתור אסימון חדש

   

   • יש לוודא שבחלון שנפתח יש שדה פעיל ומסומן סימון אפשר פונקציונליות מבוקרת ייצוא... ללא שדה זה פעיל, לא תוכל להשתמש בפונקציות של הצפנה חזקה ובהתאם, VPN. אם שדה זה אינו פעיל, אנא צור קשר עם צוות החשבון שלך עם בקשת הפעלה.

   

   • לאחר לחיצה על הכפתור צור אסימון, ייווצר אסימון שבו נשתמש כדי לקבל רישיון עבור ASAv, העתק אותו:

   

   • חזור על שלבים C,D,E עבור כל ASAv שנפרס.
   • כדי להקל על העתקת האסימון, בואו נאפשר זמנית את Telnet. בואו נגדיר כל ASA (הדוגמה למטה ממחישה את ההגדרות ב-ASA-1). telnet לא עובד עם חוץ, אם אתה באמת צריך את זה, שנה את רמת האבטחה ל-100 לחוץ, ואז החזר אותו בחזרה.

   !
   ciscoasa(config)# int gi0/0
   ciscoasa(config)# nameif outside
   ciscoasa(config)# ip address 192.168.31.30 255.255.255.0
   ciscoasa(config)# no shut
   !
   ciscoasa(config)# int gi0/1
   ciscoasa(config)# nameif inside
   ciscoasa(config)# ip address 192.168.255.2 255.255.255.0
   ciscoasa(config)# no shut
   !
   ciscoasa(config)# telnet 0 0 inside
   ciscoasa(config)# username admin password cisco priv 15
   ciscoasa(config)# ena password cisco
   ciscoasa(config)# aaa authentication telnet console LOCAL
   !
   ciscoasa(config)# route outside 0 0 192.168.31.1
   !
   ciscoasa(config)# wr
   !

   • כדי לרשום אסימון בענן Smart-Account, עליך לספק גישה לאינטרנט עבור ASA, פרטים כאן.

   בקיצור, יש צורך ב-ASA:

   • גישה דרך HTTPS לאינטרנט;
   • סנכרון זמן (נכון יותר, באמצעות NTP);
   • שרת DNS רשום;
     • אנו טלנטים ל-ASA שלנו ומבצעים הגדרות להפעלת הרישיון באמצעות Smart-Account.

   !
   ciscoasa(config)# clock set 19:21:00 Mar 18 2020
   ciscoasa(config)# clock timezone MSK 3
   ciscoasa(config)# ntp server 192.168.99.136
   !
   ciscoasa(config)# dns domain-lookup outside
   ciscoasa(config)# DNS server-group DefaultDNS
   ciscoasa(config-dns-server-group)# name-server 192.168.99.132 
   !
   ! Проверим работу DNS:
   !
   ciscoasa(config-dns-server-group)# ping ya.ru
   Type escape sequence to abort.
   Sending 5, 100-byte ICMP Echos to 87.250.250.242, timeout is 2 seconds:
   !!!!!
   !
   ! Проверим синхронизацию NTP:
   !
   ciscoasa(config)# show ntp associations 
     address         ref clock     st  when  poll reach  delay  offset    disp
   *~192.168.99.136   91.189.94.4       3    63    64    1    36.7    1.85    17.5
   * master (synced), # master (unsynced), + selected, - candidate, ~ configured
   !
   ! Установим конфигурацию нашей ASAv для Smart-Licensing (в соответствии с Вашим профилем, в моем случае 100М для примера)
   !
   ciscoasa(config)# license smart
   ciscoasa(config-smart-lic)# feature tier standard
   ciscoasa(config-smart-lic)# throughput level 100M
   !
   ! В случае необходимости можно настроить доступ в Интернет через прокси используйте следующий блок команд:
   !call-home
   !  http-proxy ip_address port port
   !
   ! Далее мы вставляем скопированный из портала Smart-Account токен (<token>) и регистрируем лицензию
   !
   ciscoasa(config)# end
   ciscoasa# license smart register idtoken <token>

   • אנו בודקים שהמכשיר רשם בהצלחה רישיון ואפשרויות הצפנה זמינות:

   

   

4. הגדר SSL-VPN בסיסי בכל שער

   • לאחר מכן, הגדר גישה באמצעות SSH ו-ASDM:

   ciscoasa(config)# ssh ver 2
   ciscoasa(config)# aaa authentication ssh console LOCAL
   ciscoasa(config)# aaa authentication http console LOCAL
   ciscoasa(config)# hostname vpn-demo-1
   vpn-demo-1(config)# domain-name ashes.cc
   vpn-demo-1(config)# cry key gen rsa general-keys modulus 4096 
   vpn-demo-1(config)# ssh 0 0 inside  
   vpn-demo-1(config)# http 0 0 inside
   !
   ! Поднимем сервер HTTPS для ASDM на порту 445 чтобы не пересекаться с SSL-VPN порталом
   !
   vpn-demo-1(config)# http server enable 445 
   !

   • כדי ש-ASDM יעבוד, תחילה עליך להוריד אותו מאתר cisco.com, במקרה שלי זה הקובץ הבא:

   

   • כדי שלקוח AnyConnect יעבוד, עליך להעלות תמונה לכל ASA עבור כל מערכת הפעלה שולחנית משומשת של לקוח (מתוכננת להשתמש ב-Linux / Windows / MAC), תצטרך קובץ עם חבילת פריסה ראשונית בכותרת:

   

   • ניתן להעלות את הקבצים שהורדת, למשל, לשרת FTP ולהעלות לכל ASA בנפרד:

   

   • אנו מגדירים אישור ASDM ו-Self-Signed עבור SSL-VPN (מומלץ להשתמש בתעודה מהימנה בייצור). ה-FQDN שנקבע של כתובת האשכול הווירטואלי (vpn-demo.ashes.cc), כמו גם כל FQDN המשויך לכתובת החיצונית של כל צומת אשכול, חייבים להתאים באזור ה-DNS החיצוני לכתובת ה-IP של ממשק OUTSIDE (או לכתובת הממופת אם נעשה שימוש בהעברת יציאות udp/443 (DTLS) ו-tcp/443(TLS)). מידע מפורט על הדרישות לתעודה מפורט בסעיף אימות תעודה תיעוד.

   !
   vpn-demo-1(config)# crypto ca trustpoint SELF
   vpn-demo-1(config-ca-trustpoint)# enrollment self
   vpn-demo-1(config-ca-trustpoint)# fqdn vpn-demo.ashes.cc
   vpn-demo-1(config-ca-trustpoint)# subject-name cn=*.ashes.cc, ou=ashes-lab, o=ashes, c=ru
   vpn-demo-1(config-ca-trustpoint)# serial-number             
   vpn-demo-1(config-ca-trustpoint)# crl configure
   vpn-demo-1(config-ca-crl)# cry ca enroll SELF
   % The fully-qualified domain name in the certificate will be: vpn-demo.ashes.cc
   Generate Self-Signed Certificate? [yes/no]: yes
   vpn-demo-1(config)# 
   !
   vpn-demo-1(config)# sh cry ca certificates 
   Certificate
   Status: Available
   Certificate Serial Number: 4d43725e
   Certificate Usage: General Purpose
   Public Key Type: RSA (4096 bits)
   Signature Algorithm: SHA256 with RSA Encryption
   Issuer Name: 
   serialNumber=9A439T02F95
   hostname=vpn-demo.ashes.cc
   cn=*.ashes.cc
   ou=ashes-lab
   o=ashes
   c=ru
   Subject Name:
   serialNumber=9A439T02F95
   hostname=vpn-demo.ashes.cc
   cn=*.ashes.cc
   ou=ashes-lab
   o=ashes
   c=ru
   Validity Date: 
   start date: 00:16:17 MSK Mar 19 2020
   end   date: 00:16:17 MSK Mar 17 2030
   Storage: config
   Associated Trustpoints: SELF 
   
   CA Certificate
   Status: Available
   Certificate Serial Number: 0509
   Certificate Usage: General Purpose
   Public Key Type: RSA (4096 bits)
   Signature Algorithm: SHA1 with RSA Encryption
   Issuer Name: 
   cn=QuoVadis Root CA 2
   o=QuoVadis Limited
   c=BM
   Subject Name: 
   cn=QuoVadis Root CA 2
   o=QuoVadis Limited
   c=BM
   Validity Date: 
   start date: 21:27:00 MSK Nov 24 2006
   end   date: 21:23:33 MSK Nov 24 2031
   Storage: config
   Associated Trustpoints: _SmartCallHome_ServerCA               

   • אל תשכח לציין את היציאה כדי לבדוק ש-ASDM עובד, למשל:

   

   • בואו נבצע את ההגדרות הבסיסיות של המנהרה:
   • בואו נהפוך את הרשת הארגונית לזמינה דרך המנהרה, ונאפשר לאינטרנט לעבור ישירות (לא השיטה הבטוחה ביותר אם אין הגנות על המארח המחבר, אפשר לחדור דרך מארח נגוע ולהציג נתונים ארגוניים, אפשרות split-tunnel-policy tunnelall יאפשר לכל התנועה המארח להיכנס למנהרה. על כל פנים מנהרה מפוצלת מאפשר להוריד את שער ה-VPN ולא לעבד תעבורת אינטרנט מארח)
   • בואו ננפיק כתובות מרשת המשנה 192.168.20.0/24 למארחים במנהרה (מאגר מ-10 עד 30 כתובות (עבור צומת מס' 1)). לכל צומת באשכול ה-VPN חייב להיות מאגר משלו.
   • אנו נבצע אימות בסיסי עם משתמש שנוצר באופן מקומי ב-ASA (זה לא מומלץ, זו השיטה הקלה ביותר), עדיף לעשות אימות באמצעות LDAP/RADIUS, או יותר טוב, עניבה אימות רב גורמים (MFA)לדוגמה סיסקו DUO.

   !
   vpn-demo-1(config)# ip local pool vpn-pool 192.168.20.10-192.168.20.30 mask 255.255.255.0
   !
   vpn-demo-1(config)# access-list split-tunnel standard permit 192.168.0.0 255.255.0.0
   !
   vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY internal
   vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY attributes
   vpn-demo-1(config-group-policy)# vpn-tunnel-protocol ssl-client 
   vpn-demo-1(config-group-policy)# split-tunnel-policy tunnelspecified
   vpn-demo-1(config-group-policy)# split-tunnel-network-list value split-tunnel
   vpn-demo-1(config-group-policy)# dns-server value 192.168.99.132
   vpn-demo-1(config-group-policy)# default-domain value ashes.cc
   vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes
   vpn-demo-1(config-tunnel-general)#  default-group-policy SSL-VPN-GROUP-POLICY
   vpn-demo-1(config-tunnel-general)#  address-pool vpn-pool
   !
   vpn-demo-1(config)# username dkazakov password cisco
   vpn-demo-1(config)# username dkazakov attributes
   vpn-demo-1(config-username)# service-type remote-access
   !
   vpn-demo-1(config)# ssl trust-point SELF
   vpn-demo-1(config)# webvpn
   vpn-demo-1(config-webvpn)#  enable outside
   vpn-demo-1(config-webvpn)#  anyconnect image disk0:/anyconnect-win-4.8.03036-webdeploy-k9.pkg
   vpn-demo-1(config-webvpn)#  anyconnect enable
   !

   • (אופציונאלי): בדוגמה שלמעלה, השתמשנו במשתמש מקומי ב-ITU כדי לאמת משתמשים מרוחקים, מה שכמובן, למעט במעבדה, ישים בצורה גרועה. אתן דוגמה כיצד להתאים במהירות את ההגדרה לאימות רַדִיוּס שרת, למשל בשימוש מנוע שירותי זהות של סיסקו:

   vpn-demo-1(config-aaa-server-group)# dynamic-authorization
   vpn-demo-1(config-aaa-server-group)# interim-accounting-update
   vpn-demo-1(config-aaa-server-group)# aaa-server RADIUS (outside) host 192.168.99.134
   vpn-demo-1(config-aaa-server-host)# key cisco
   vpn-demo-1(config-aaa-server-host)# exit
   vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes
   vpn-demo-1(config-tunnel-general)# authentication-server-group  RADIUS 
   !

   אינטגרציה זו אפשרה לא רק לשלב במהירות את הליך האימות עם שירות הספריות של AD, אלא גם להבחין אם המחשב המחובר שייך ל-AD, להבין אם התקן זה הוא תאגידי או אישי, ולהעריך את מצב המכשיר המחובר. .

   

   

   • בואו נגדיר NAT שקוף כך שהתעבורה בין הלקוח למשאבי רשת הרשת הארגונית לא תהיה משורבטת:

   vpn-demo-1(config-network-object)#  subnet 192.168.20.0 255.255.255.0
   !
   vpn-demo-1(config)# nat (inside,outside) source static any any destination static vpn-users vpn-users no-proxy-arp

   • (אופציונאלי): לחשוף את לקוחותינו לאינטרנט דרך ה-ASA (בעת שימוש המנהרה אפשרויות) באמצעות PAT, כמו גם לצאת דרך אותו ממשק OUTSIDE שממנו הם מחוברים, עליך לבצע את ההגדרות הבאות

   vpn-demo-1(config-network-object)# nat (outside,outside) source dynamic vpn-users interface
   vpn-demo-1(config)# nat (inside,outside) source dynamic any interface
   vpn-demo-1(config)# same-security-traffic permit intra-interface 
   !

   • בעת שימוש באשכול, חשוב ביותר לאפשר לרשת הפנימית להבין איזה ASA לנתב תעבורת חוזרת למשתמשים, לשם כך יש להפיץ מחדש מסלולים / 32 כתובות שהונפקו ללקוחות.
     כרגע, עדיין לא הגדרנו את האשכול, אבל כבר יש לנו שערי VPN עובדים שניתן לחבר בנפרד דרך FQDN או IP.

   

   אנו רואים את הלקוח המחובר בטבלת הניתוב של ה-ASA הראשון:

   

   כדי שכל אשכול ה-VPN שלנו וכל הרשת הארגונית ידעו את המסלול ללקוח שלנו, נפיץ מחדש את קידומת הלקוח לפרוטוקול ניתוב דינמי, למשל OSPF:

   !
   vpn-demo-1(config)# route-map RMAP-VPN-REDISTRIBUTE permit 1
   vpn-demo-1(config-route-map)#  match ip address VPN-REDISTRIBUTE
   !
   vpn-demo-1(config)# router ospf 1
   vpn-demo-1(config-router)#  network 192.168.255.0 255.255.255.0 area 0
   vpn-demo-1(config-router)#  log-adj-changes
   vpn-demo-1(config-router)#  redistribute static metric 5000 subnets route-map RMAP-VPN-REDISTRIBUTE

   כעת יש לנו נתיב ללקוח משער ה-ASA-2 השני ומשתמשים המחוברים לשערי VPN שונים בתוך האשכול יכולים, למשל, לתקשר ישירות דרך softphone ארגוני, כמו גם להחזיר תעבורה מהמשאבים המבוקש על ידי המשתמש מגיעים לשער ה-VPN הרצוי:

   

5. בואו נעבור להגדרת אשכול איזון העומס.

   הכתובת 192.168.31.40 תשמש כ-IP וירטואלי (VIP - כל לקוחות ה-VPN יתחברו אליה בתחילה), מכתובת זו ה-Master cluster יבצע REDIRECT לצומת אשכול פחות טעון. אל תשכח לכתוב רשומת DNS קדימה ואחורה הן עבור כל כתובת חיצונית / FQDN של כל צומת של האשכול, והן עבור VIP.

   vpn-demo-1(config)# vpn load-balancing
   vpn-demo-1(config-load-balancing)# interface lbpublic outside
   vpn-demo-1(config-load-balancing)# interface lbprivate inside
   vpn-demo-1(config-load-balancing)# priority 10
   vpn-demo-1(config-load-balancing)# cluster ip address 192.168.31.40
   vpn-demo-1(config-load-balancing)# cluster port 4000
   vpn-demo-1(config-load-balancing)# redirect-fqdn enable
   vpn-demo-1(config-load-balancing)# cluster key cisco
   vpn-demo-1(config-load-balancing)# cluster encryption
   vpn-demo-1(config-load-balancing)# cluster port 9023
   vpn-demo-1(config-load-balancing)# participate
   vpn-demo-1(config-load-balancing)#

   • אנו בודקים את פעולת האשכול עם שני לקוחות מחוברים:

   

   • בואו נהפוך את חווית הלקוח לנוחה יותר עם פרופיל AnyConnect הנטען אוטומטית באמצעות ASDM.

   

   אנו קוראים לפרופיל בצורה נוחה ומשייכים אליו את המדיניות הקבוצתית שלנו:

   

   לאחר החיבור הבא של הלקוח, פרופיל זה יוריד ויותקן באופן אוטומטי בלקוח AnyConnect, כך שאם אתה צריך להתחבר, פשוט בחר אותו מהרשימה:

   

   מכיוון שיצרנו פרופיל זה רק ב-ASA אחד באמצעות ASDM, אל תשכח לחזור על השלבים בשאר ה-ASAs באשכול.

מסקנה: לפיכך, פרסנו במהירות אשכול של מספר שערים של VPN עם איזון עומסים אוטומטי. הוספת צמתים חדשים לאשכול היא קלה, עם קנה מידה אופקי פשוט על ידי פריסת מכונות וירטואליות חדשות של ASAv או שימוש ב-ASA חומרה. לקוח AnyConnect עשיר בתכונות יכול לשפר מאוד את החיבור המאובטח מרחוק על ידי שימוש ב יציבה (הערכות מדינה), בשימוש היעיל ביותר בשילוב עם מערכת בקרה מרכזית וחשבונאות גישה מנוע שירותי זהות.

מקור: www.habr.com