🥇ASA VPN ロードバランシングクラスターの展開

この記事では、現時点で最もスケーラブルなスキームを迅速に導入する方法について段階的に説明したいと思います。 リモートアクセスVPN アクセスベース AnyConnect と Cisco ASA – VPN ロードバランシングクラスター.

Введение： 新型コロナウイルス感染症の現在の状況を鑑み、世界中の多くの企業が従業員のリモートワークへの移行に取り組んでいます。リモートワークへの大規模な移行により、企業の既存の VPN ゲートウェイの負荷が大幅に増加しており、それらを迅速に拡張する能力が必要とされています。一方で、多くの企業はリモートワークの概念を一から習得することを急いでいる。

企業が従業員に便利で安全かつスケーラブルな VPN アクセスをできるだけ短期間で実現できるようにするために、シスコは AnyConnect 機能が豊富な SSL VPN クライアントを最長 13 週間ライセンスします。また、認定パートナーから、または協力するシスコの担当者に連絡して、ASAv のテスト（VMWare/Hyper-V/KVM ハイパーバイザおよび AWS/Azure クラウドプラットフォーム用の仮想 ASA）を受験することもできます。.

AnyConnect 新型コロナウイルス感染症 (COVID-19) ライセンスを発行する手順については、ここで説明します。.

最もスケーラブルな VPN テクノロジーとして VPN 負荷分散クラスターを簡単に導入するためのステップバイステップガイドを用意しました。

以下の例は、使用される認証および認可アルゴリズムの点では非常に単純ですが、展開中にニーズに徹底的に適応できる可能性があり、クイックスタート (現時点では多くの人にとって十分ではありません) としては良いオプションになります。プロセス。

簡単な情報: VPN ロードバランシングクラスタテクノロジは、ネイティブな意味でのフェールオーバーやクラスタリング機能ではありません。このテクノロジは、リモートアクセス VPN 接続のロードバランシングを行うために、完全に異なる ASA モデルを（特定の制限付きで）組み合わせることができます。このようなクラスターのノード間ではセッションと構成の同期は行われませんが、クラスター内に少なくとも XNUMX つのアクティブなノードが残るまで、VPN 接続の負荷を自動的に分散し、VPN 接続のフォールトトレランスを確保することができます。クラスタ内の負荷は、VPN セッションの数によるノードのワークロードに応じて自動的にバランスされます。

クラスターの特定のノードのフェイルオーバー (必要な場合) には、ファイラーを使用できるため、アクティブな接続はファイラーのプライマリノードによって処理されます。ファイルオーバーは、ロードバランシングクラスター内のフォールトトレランスを確保するために必要な条件ではありません。クラスター自体は、ノード障害が発生した場合、ユーザーセッションを別のライブノードに転送しますが、接続ステータスは保存されません。ファイラーによって提供されます。したがって、必要に応じて、これら XNUMX つの技術を組み合わせることも可能です。

VPN 負荷分散クラスターには XNUMX つ以上のノードを含めることができます。

VPN ロードバランシングクラスタは、ASA 5512-X 以降でサポートされています。

VPN ロードバランシングクラスタ内の各 ASA は設定の点で独立したユニットであるため、すべての設定手順を個々のデバイスで個別に実行します。

技術詳細はこちら

指定された例の論理トポロジは次のとおりです。

プライマリ展開:

必要なテンプレート（ASAv5/10/30/50）の ASAv インスタンスをイメージから展開します。
INSIDE / OUTSIDE インターフェイスを同じ VLAN に割り当てます (外部は独自の VLAN、INSIDE は独自の VLAN に割り当てますが、通常はクラスター内にあります。トポロジを参照)。同じタイプのインターフェイスが同じ L2 セグメントにあることが重要です。

ライセンス:

現時点では、ASAv インストールにはライセンスがなく、制限は 100kbps に制限されます。
ライセンスをインストールするには、スマートアカウントでトークンを生成する必要があります。 https://software.cisco.com/ -> スマートなソフトウェアライセンス
開いたウィンドウでボタンをクリックします 新しいトークン

開いたウィンドウにアクティブなフィールドがあり、チェックマークがオンになっていることを確認します。 輸出規制機能を許可する… このフィールドをアクティブにしないと、強力な暗号化の機能、およびそれに応じて VPN の機能を使用できなくなります。このフィールドがアクティブでない場合は、アカウントチームにアクティベーションリクエストを送信してください。

ボタンを押した後 Create Token、ASAv のライセンスを取得するために使用するトークンが作成されます。それをコピーします。

導入された ASAv ごとに手順 C、D、E を繰り返します。
トークンのコピーを容易にするために、一時的に Telnet を許可しましょう。各 ASA を設定しましょう（以下の例は ASA-1 の設定を示しています）。 Telnet は外部とは機能しません。本当に必要な場合は、セキュリティレベルを外部に対して 100 に変更してから元に戻してください。

!
ciscoasa(config)# int gi0/0
ciscoasa(config)# nameif outside
ciscoasa(config)# ip address 192.168.31.30 255.255.255.0
ciscoasa(config)# no shut
!
ciscoasa(config)# int gi0/1
ciscoasa(config)# nameif inside
ciscoasa(config)# ip address 192.168.255.2 255.255.255.0
ciscoasa(config)# no shut
!
ciscoasa(config)# telnet 0 0 inside
ciscoasa(config)# username admin password cisco priv 15
ciscoasa(config)# ena password cisco
ciscoasa(config)# aaa authentication telnet console LOCAL
!
ciscoasa(config)# route outside 0 0 192.168.31.1
!
ciscoasa(config)# wr
!

スマートアカウントクラウドにトークンを登録するには、ASA にインターネットアクセスを提供する必要があります。詳細はこちら.

つまり、ASA が必要です。

HTTPS 経由でインターネットにアクセスします。
時刻同期 (より正確には、NTP 経由);
登録されたDNSサーバー。
- ASA に Telnet で接続し、スマートアカウント経由でライセンスをアクティブ化する設定を行います。

!
ciscoasa(config)# clock set 19:21:00 Mar 18 2020
ciscoasa(config)# clock timezone MSK 3
ciscoasa(config)# ntp server 192.168.99.136
!
ciscoasa(config)# dns domain-lookup outside
ciscoasa(config)# DNS server-group DefaultDNS
ciscoasa(config-dns-server-group)# name-server 192.168.99.132 
!
! Проверим работу DNS:
!
ciscoasa(config-dns-server-group)# ping ya.ru
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 87.250.250.242, timeout is 2 seconds:
!!!!!
!
! Проверим синхронизацию NTP:
!
ciscoasa(config)# show ntp associations 
  address         ref clock     st  when  poll reach  delay  offset    disp
*~192.168.99.136   91.189.94.4       3    63    64    1    36.7    1.85    17.5
* master (synced), # master (unsynced), + selected, - candidate, ~ configured
!
! Установим конфигурацию нашей ASAv для Smart-Licensing (в соответствии с Вашим профилем, в моем случае 100М для примера)
!
ciscoasa(config)# license smart
ciscoasa(config-smart-lic)# feature tier standard
ciscoasa(config-smart-lic)# throughput level 100M
!
! В случае необходимости можно настроить доступ в Интернет через прокси используйте следующий блок команд:
!call-home
!  http-proxy ip_address port port
!
! Далее мы вставляем скопированный из портала Smart-Account токен (<token>) и регистрируем лицензию
!
ciscoasa(config)# end
ciscoasa# license smart register idtoken <token>

デバイスがライセンスを正常に登録し、暗号化オプションが利用可能であることを確認します。

各ゲートウェイで基本的な SSL-VPN をセットアップする
- 次に、SSH および ASDM 経由のアクセスを設定します。
```
ciscoasa(config)# ssh ver 2
ciscoasa(config)# aaa authentication ssh console LOCAL
ciscoasa(config)# aaa authentication http console LOCAL
ciscoasa(config)# hostname vpn-demo-1
vpn-demo-1(config)# domain-name ashes.cc
vpn-demo-1(config)# cry key gen rsa general-keys modulus 4096 
vpn-demo-1(config)# ssh 0 0 inside  
vpn-demo-1(config)# http 0 0 inside
!
! Поднимем сервер HTTPS для ASDM на порту 445 чтобы не пересекаться с SSL-VPN порталом
!
vpn-demo-1(config)# http server enable 445 
!
```
- ASDM が機能するには、まず cisco.com Web サイトから ASDM をダウンロードする必要があります。私の場合は次のファイルです。
- AnyConnect クライアントが機能するには、使用する各デスクトップクライアント OS（Linux/Windows/MAC を使用する予定）のイメージを各 ASA にアップロードする必要があります。 ヘッドエンド展開パッケージ タイトルで:
- ダウンロードしたファイルは、たとえば FTP サーバにアップロードしたり、個々の ASA にアップロードしたりできます。
- ASDM と SSL-VPN 用の自己署名証明書を設定します（運用環境では信頼できる証明書を使用することをお勧めします）。仮想クラスターアドレス (vpn-demo.ashes.cc) の設定された FQDN、および各クラスターノードの外部アドレスに関連付けられた各 FQDN は、外部 DNS ゾーンで OUTSIDE インターフェイス (またはポート転送 udp/443 (DTLS) および tcp/443(TLS) が使用されている場合は、マップされたアドレスに。証明書の要件に関する詳細情報は、セクションに記載されています。 証明書の検証 ドキュメンテーション。
```
!
vpn-demo-1(config)# crypto ca trustpoint SELF
vpn-demo-1(config-ca-trustpoint)# enrollment self
vpn-demo-1(config-ca-trustpoint)# fqdn vpn-demo.ashes.cc
vpn-demo-1(config-ca-trustpoint)# subject-name cn=*.ashes.cc, ou=ashes-lab, o=ashes, c=ru
vpn-demo-1(config-ca-trustpoint)# serial-number             
vpn-demo-1(config-ca-trustpoint)# crl configure
vpn-demo-1(config-ca-crl)# cry ca enroll SELF
% The fully-qualified domain name in the certificate will be: vpn-demo.ashes.cc
Generate Self-Signed Certificate? [yes/no]: yes
vpn-demo-1(config)# 
!
vpn-demo-1(config)# sh cry ca certificates 
Certificate
Status: Available
Certificate Serial Number: 4d43725e
Certificate Usage: General Purpose
Public Key Type: RSA (4096 bits)
Signature Algorithm: SHA256 with RSA Encryption
Issuer Name: 
serialNumber=9A439T02F95
hostname=vpn-demo.ashes.cc
cn=*.ashes.cc
ou=ashes-lab
o=ashes
c=ru
Subject Name:
serialNumber=9A439T02F95
hostname=vpn-demo.ashes.cc
cn=*.ashes.cc
ou=ashes-lab
o=ashes
c=ru
Validity Date: 
start date: 00:16:17 MSK Mar 19 2020
end   date: 00:16:17 MSK Mar 17 2030
Storage: config
Associated Trustpoints: SELF 

CA Certificate
Status: Available
Certificate Serial Number: 0509
Certificate Usage: General Purpose
Public Key Type: RSA (4096 bits)
Signature Algorithm: SHA1 with RSA Encryption
Issuer Name: 
cn=QuoVadis Root CA 2
o=QuoVadis Limited
c=BM
Subject Name: 
cn=QuoVadis Root CA 2
o=QuoVadis Limited
c=BM
Validity Date: 
start date: 21:27:00 MSK Nov 24 2006
end   date: 21:23:33 MSK Nov 24 2031
Storage: config
Associated Trustpoints: _SmartCallHome_ServerCA               
```
- ASDM が動作していることを確認するには、次のようにポートを指定することを忘れないでください。
- トンネルの基本設定を実行してみましょう。
- 企業ネットワークをトンネル経由で利用できるようにし、インターネットを直接接続しましょう (接続ホストに保護がない場合、最も安全な方法ではありません。感染したホストを通過して企業データを表示する可能性があります。オプション) スプリットトンネルポリシートンネルオール すべてのホストトラフィックがトンネルに入るようにします。それでもないし スプリットトンネル VPN ゲートウェイをオフロードし、ホストのインターネットトラフィックを処理しないようにすることができます)
- 192.168.20.0/24 サブネットからトンネル内のホストにアドレスを発行しましょう (10 ～ 30 個のアドレスのプール (ノード #1))。 VPN クラスターの各ノードには独自のプールが必要です。
- ASA 上でローカルに作成されたユーザを使用して基本認証を実行します（これは推奨されません。これが最も簡単な方法です）。 LDAP/RADIUS、あるいはさらに良いのは、ネクタイです。 多要素認証(MFA)例えば シスコデュオ.
```
!
vpn-demo-1(config)# ip local pool vpn-pool 192.168.20.10-192.168.20.30 mask 255.255.255.0
!
vpn-demo-1(config)# access-list split-tunnel standard permit 192.168.0.0 255.255.0.0
!
vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY internal
vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY attributes
vpn-demo-1(config-group-policy)# vpn-tunnel-protocol ssl-client 
vpn-demo-1(config-group-policy)# split-tunnel-policy tunnelspecified
vpn-demo-1(config-group-policy)# split-tunnel-network-list value split-tunnel
vpn-demo-1(config-group-policy)# dns-server value 192.168.99.132
vpn-demo-1(config-group-policy)# default-domain value ashes.cc
vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes
vpn-demo-1(config-tunnel-general)#  default-group-policy SSL-VPN-GROUP-POLICY
vpn-demo-1(config-tunnel-general)#  address-pool vpn-pool
!
vpn-demo-1(config)# username dkazakov password cisco
vpn-demo-1(config)# username dkazakov attributes
vpn-demo-1(config-username)# service-type remote-access
!
vpn-demo-1(config)# ssl trust-point SELF
vpn-demo-1(config)# webvpn
vpn-demo-1(config-webvpn)#  enable outside
vpn-demo-1(config-webvpn)#  anyconnect image disk0:/anyconnect-win-4.8.03036-webdeploy-k9.pkg
vpn-demo-1(config-webvpn)#  anyconnect enable
!
```
- (オプション): 上記の例では、ITU のローカルユーザーを使用してリモートユーザーを認証しましたが、もちろん、これは研究室を除いてあまり適用できません。認証の設定をすばやく適応させる方法の例を示します。半径サーバー、たとえば使用 Cisco アイデンティティサービスエンジン:
```
vpn-demo-1(config-aaa-server-group)# dynamic-authorization
vpn-demo-1(config-aaa-server-group)# interim-accounting-update
vpn-demo-1(config-aaa-server-group)# aaa-server RADIUS (outside) host 192.168.99.134
vpn-demo-1(config-aaa-server-host)# key cisco
vpn-demo-1(config-aaa-server-host)# exit
vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes
vpn-demo-1(config-tunnel-general)# authentication-server-group  RADIUS 
!
```
この統合により、AD ディレクトリサービスとの認証手順を迅速に統合できるだけでなく、接続されたコンピュータが AD に属しているかどうかを区別し、このデバイスが法人か個人かを把握し、接続されたデバイスの状態を把握することが可能になりました。。
- クライアントと企業ネットワークのリソース間のトラフィックが落書きされないように、透過 NAT を構成しましょう。
```
vpn-demo-1(config-network-object)#  subnet 192.168.20.0 255.255.255.0
!
vpn-demo-1(config)# nat (inside,outside) source static any any destination static vpn-users vpn-users no-proxy-arp
```
- (オプション): ASA を介してクライアントをインターネットに公開するため（使用時） トンネルオール オプション）PAT を使用する場合、および接続元と同じ OUTSIDE インターフェイスを介して終了する場合は、次の設定を行う必要があります。
```
vpn-demo-1(config-network-object)# nat (outside,outside) source dynamic vpn-users interface
vpn-demo-1(config)# nat (inside,outside) source dynamic any interface
vpn-demo-1(config)# same-security-traffic permit intra-interface 
!
```
- クラスタを使用する場合、内部ネットワークがどの ASA にリターントラフィックをルーティングするかを認識できるようにすることが非常に重要です。そのためには、クライアントに発行されたルート / 32 個のアドレスを再配布する必要があります。
  現時点ではまだクラスターを構成していませんが、FQDN または IP 経由で個別に接続できる VPN ゲートウェイがすでに機能しています。
最初の ASA のルーティングテーブルに接続されたクライアントが表示されます。

VPN クラスター全体と企業ネットワーク全体がクライアントへのルートを認識できるようにするために、クライアントプレフィックスを動的ルーティングプロトコル (OSPF など) に再配布します。
```
!
vpn-demo-1(config)# route-map RMAP-VPN-REDISTRIBUTE permit 1
vpn-demo-1(config-route-map)#  match ip address VPN-REDISTRIBUTE
!
vpn-demo-1(config)# router ospf 1
vpn-demo-1(config-router)#  network 192.168.255.0 255.255.255.0 area 0
vpn-demo-1(config-router)#  log-adj-changes
vpn-demo-1(config-router)#  redistribute static metric 5000 subnets route-map RMAP-VPN-REDISTRIBUTE
```
これで、2 番目の ASA-XNUMX ゲートウェイからクライアントへのルートが確立され、クラスタ内の別の VPN ゲートウェイに接続しているユーザは、たとえば企業のソフトフォンを介して直接通信できるほか、ユーザが要求したリソースからトラフィックを返すこともできます。目的の VPN ゲートウェイに到達します。
負荷分散クラスターの構成に進みましょう。

アドレス 192.168.31.40 は仮想 IP (VIP - すべての VPN クライアントが最初に接続します) として使用され、マスタークラスターはこのアドレスから負荷の低いクラスターノードへのリダイレクトを行います。忘れずに書いてください 順方向および逆方向の DNS レコード クラスターの各ノードの各外部アドレス/FQDN と VIP の両方。
```
vpn-demo-1(config)# vpn load-balancing
vpn-demo-1(config-load-balancing)# interface lbpublic outside
vpn-demo-1(config-load-balancing)# interface lbprivate inside
vpn-demo-1(config-load-balancing)# priority 10
vpn-demo-1(config-load-balancing)# cluster ip address 192.168.31.40
vpn-demo-1(config-load-balancing)# cluster port 4000
vpn-demo-1(config-load-balancing)# redirect-fqdn enable
vpn-demo-1(config-load-balancing)# cluster key cisco
vpn-demo-1(config-load-balancing)# cluster encryption
vpn-demo-1(config-load-balancing)# cluster port 9023
vpn-demo-1(config-load-balancing)# participate
vpn-demo-1(config-load-balancing)#
```
- XNUMX つのクライアントが接続されているクラスターの動作を確認します。
- ASDM 経由で自動的にロードされる AnyConnect プロファイルを使用して、カスタマーエクスペリエンスをさらに便利にしてみましょう。
プロファイルにわかりやすい名前を付け、グループポリシーをそれに関連付けます。

クライアントの次回の接続後、このプロファイルは自動的にダウンロードされ、AnyConnect クライアントにインストールされるため、接続する必要がある場合は、リストから選択するだけです。

このプロファイルは ASDM を使用して XNUMX つの ASA にのみ作成したため、クラスタ内の他の ASA に対しても忘れずに手順を繰り返してください。

結論： そこで、自動負荷分散を備えた複数の VPN ゲートウェイのクラスターを迅速に展開しました。クラスタへの新しいノードの追加は簡単で、新しい ASAv 仮想マシンを導入するか、ハードウェア ASA を使用することで簡単に水平スケーリングを行うことができます。機能が豊富な AnyConnect クライアントは、 姿勢（状態推定）集中制御およびアクセスアカウンティングのシステムと組み合わせて使用すると最も効果的です。 アイデンティティサービスエンジン.

出所： habr.com

ASA VPN ロードバランシングクラスタの展開

コメントを追加します返信をキャンセル

ASA VPN ロードバランシング クラスタの展開

コメントを追加します 返信をキャンセル

ASA VPN ロードバランシングクラスタの展開

コメントを追加します返信をキャンセル