🥇 ASA VPN დატვირთვის ბალანსირების კლასტერის დაყენება

ამ სტატიაში მსურს მოგაწოდოთ ნაბიჯ-ნაბიჯ ინსტრუქციები იმის შესახებ, თუ როგორ შეგიძლიათ სწრაფად განათავსოთ ყველაზე მასშტაბური სქემა ამ მომენტში დისტანციური წვდომა VPN წვდომის საფუძველზე AnyConnect და Cisco ASA - VPN დატვირთვის ბალანსირების კლასტერი.

შესავალი: ბევრი კომპანია მთელს მსოფლიოში, COVID-19-თან დაკავშირებული არსებული ვითარების გამო, ცდილობს თავისი თანამშრომლების დისტანციურ სამუშაოზე გადაყვანას. დისტანციურ სამუშაოზე ფართო გადასვლის გამო, კომპანიების არსებული VPN კარიბჭეების დატვირთვა კრიტიკულად იზრდება და საჭიროა მათი მასშტაბის ძალიან სწრაფი უნარი. მეორეს მხრივ, ბევრი კომპანია იძულებულია ნაჩქარევად დაეუფლოს დისტანციური მუშაობის კონცეფციას ნულიდან.

იმისათვის, რომ დაეხმაროს ბიზნესს სწრაფად დანერგოს მოსახერხებელი, უსაფრთხო და მასშტაბური VPN წვდომა თანამშრომლებისთვის, Cisco უზრუნველყოფს 13-კვირიან ლიცენზიებს ფუნქციებით მდიდარი AnyConnect SSL-VPN კლიენტისთვის. თქვენ ასევე შეგიძლიათ აიღოთ ASAv ტესტირებისთვის (ვირტუალური ASA VMWare/Hyper-V/KVM ჰიპერვიზორებისთვის და AWS/Azure ღრუბლოვანი პლატფორმებისთვის) ავტორიზებული პარტნიორებისგან ან თქვენთან მომუშავე Cisco-ს წარმომადგენლებთან დაკავშირებით..

AnyConnect COVID-19 ლიცენზიების გაცემის პროცედურა აღწერილია აქ.

მე მოვამზადე ნაბიჯ-ნაბიჯ ინსტრუქციები VPN Load-Balancing კლასტერის, როგორც ყველაზე მასშტაბური VPN ტექნოლოგიის განლაგების მარტივი ვარიანტისთვის.

ქვემოთ მოყვანილი მაგალითი საკმაოდ მარტივი იქნება გამოყენებული ავტორიზაციისა და ავტორიზაციის ალგორითმების თვალსაზრისით, მაგრამ ეს იქნება კარგი ვარიანტი სწრაფი დაწყებისთვის (რაც ახლა ბევრს აკლია) სიღრმისეული ადაპტაციის შესაძლებლობით. თქვენი საჭიროებები განლაგების პროცესში.

მოკლე ინფორმაცია: VPN Load Balancing Cluster ტექნოლოგია არ არის მარცხი ან კლასტერული ფუნქცია მისი მშობლიური გაგებით; ამ ტექნოლოგიას შეუძლია დააკავშიროს სრულიად განსხვავებული ASA მოდელები (გარკვეული შეზღუდვებით) დისტანციური წვდომის VPN კავშირების ჩატვირთვის მიზნით. არ არსებობს სესიებისა და კონფიგურაციების სინქრონიზაცია ასეთი კლასტერის კვანძებს შორის, მაგრამ შესაძლებელია ავტომატურად ჩაიტვირთოს ბალანსის VPN კავშირები და უზრუნველყოს VPN კავშირების შეცდომის ტოლერანტობა მანამ, სანამ მინიმუმ ერთი აქტიური კვანძი დარჩება კლასტერში. კლასტერში დატვირთვა დაბალანსებულია ავტომატურად, კვანძების დატვირთვის მიხედვით VPN სესიების რაოდენობის მიხედვით.

კონკრეტული კლასტერული კვანძების შეცდომის ტოლერანტობისთვის (საჭიროების შემთხვევაში), შეგიძლიათ გამოიყენოთ ფაილერი, ასე რომ აქტიური კავშირი დამუშავდება შემსრულებლის ძირითადი კვანძის მიერ. ფაილის გადატვირთვა არ არის აუცილებელი პირობა Load-Balancing კლასტერში შეცდომის ტოლერანტობის უზრუნველსაყოფად; კვანძის უკმარისობის შემთხვევაში, კლასტერი თავად გადასცემს მომხმარებლის სესიას სხვა ცოცხალ კვანძში, მაგრამ კავშირის სტატუსის შენარჩუნების გარეშე, რაც არის ზუსტად ის. შემავსებელი უზრუნველყოფს. შესაბამისად, საჭიროების შემთხვევაში შესაძლებელია ამ ორი ტექნოლოგიის გაერთიანება.

VPN Load-Balancing კლასტერი შეიძლება შეიცავდეს ორზე მეტ კვანძს.

VPN Load-Balancing კლასტერი მხარდაჭერილია ASA 5512-X და უფრო მაღალ ვერსიაზე.

ვინაიდან თითოეული ASA VPN Load-Balancing კლასტერში არის დამოუკიდებელი ერთეული პარამეტრების თვალსაზრისით, ჩვენ ვახორციელებთ კონფიგურაციის ყველა ნაბიჯს ინდივიდუალურად თითოეულ ცალკეულ მოწყობილობაზე.

ტექნოლოგიის დეტალები აქ

მოცემული მაგალითის ლოგიკური ტოპოლოგია ასეთია:

საწყისი განლაგება:

ჩვენ ვაყენებთ ჩვენთვის საჭირო შაბლონების ASAv მაგალითებს (ASAv5/10/30/50) სურათიდან.
ჩვენ ვანიჭებთ INSIDE/OUTSIDE ინტერფეისებს იმავე VLAN-ს (გარეთ თავის VLAN-ში, INSIDE თავისებურად, მაგრამ საერთოა კლასტერში, იხილეთ ტოპოლოგია), მნიშვნელოვანია, რომ იგივე ტიპის ინტერფეისები განთავსდეს იმავე L2 სეგმენტში.
ლიცენზიები:
- ინსტალაციის დროს ASAv-ს არ ექნება არანაირი ლიცენზია და შემოიფარგლება 100 კბიტ/წმ-ით.
- ლიცენზიის დასაყენებლად, თქვენ უნდა შექმნათ ჟეტონი თქვენს Smart-Account ანგარიშში: https://software.cisco.com/ -> ჭკვიანი პროგრამული უზრუნველყოფის ლიცენზირება
- ფანჯარაში, რომელიც იხსნება, დააჭირეთ ღილაკს ახალი ჟეტონი
- დარწმუნდით, რომ ველი ფანჯარაში, რომელიც იხსნება, არის აქტიური და მონიშნული ველი ექსპორტით კონტროლირებადი ფუნქციების დაშვება... ამ აქტიური ველის გარეშე, თქვენ ვერ შეძლებთ გამოიყენოთ ძლიერი დაშიფვრის ფუნქციები და, შესაბამისად, VPN. თუ ეს ველი არ არის აქტიური, გთხოვთ, დაუკავშირდეთ თქვენი ანგარიშის გუნდს აქტივაციის მოთხოვნით.
- ღილაკის დაჭერის შემდეგ შექმნა Token, შეიქმნება ჟეტონი, რომელსაც გამოვიყენებთ ASAv-ის ლიცენზიის მისაღებად, დააკოპირეთ:
- გავიმეოროთ ნაბიჯები C,D,E თითოეული განლაგებული ASAv-სთვის.
- ტოკენის კოპირების გასაადვილებლად, მოდით დროებით ჩავრთოთ telnet. მოდით დავაკონფიგურიროთ თითოეული ASA (ქვემოთ მოყვანილი მაგალითი ასახავს ASA-1-ის პარამეტრებს). გარედან ტელნეტი არ მუშაობს, თუ ნამდვილად გჭირდებათ, შეცვალეთ უსაფრთხოების დონე 100-ზე, შემდეგ შეცვალეთ უკან.
```
!
ciscoasa(config)# int gi0/0
ciscoasa(config)# nameif outside
ciscoasa(config)# ip address 192.168.31.30 255.255.255.0
ciscoasa(config)# no shut
!
ciscoasa(config)# int gi0/1
ciscoasa(config)# nameif inside
ciscoasa(config)# ip address 192.168.255.2 255.255.255.0
ciscoasa(config)# no shut
!
ciscoasa(config)# telnet 0 0 inside
ciscoasa(config)# username admin password cisco priv 15
ciscoasa(config)# ena password cisco
ciscoasa(config)# aaa authentication telnet console LOCAL
!
ciscoasa(config)# route outside 0 0 192.168.31.1
!
ciscoasa(config)# wr
!
```
- Smart-Account ღრუბელში ტოკენის დასარეგისტრირებლად, თქვენ უნდა მიაწოდოთ ინტერნეტი ASA-ს, დეტალები აქ.
მოკლედ, ASA საჭიროა:
- ინტერნეტი HTTPS-ის საშუალებით;
- დროის სინქრონიზაცია (უფრო სწორად NTP-ის საშუალებით);
- რეგისტრირებული DNS სერვერი;
  - ჩვენ მივდივართ telnet-ის საშუალებით ჩვენს ASA-ში და ვაკეთებთ პარამეტრებს Smart-Account-ის მეშვეობით ლიცენზიის გასააქტიურებლად.
```
!
ciscoasa(config)# clock set 19:21:00 Mar 18 2020
ciscoasa(config)# clock timezone MSK 3
ciscoasa(config)# ntp server 192.168.99.136
!
ciscoasa(config)# dns domain-lookup outside
ciscoasa(config)# DNS server-group DefaultDNS
ciscoasa(config-dns-server-group)# name-server 192.168.99.132 
!
! Проверим работу DNS:
!
ciscoasa(config-dns-server-group)# ping ya.ru
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 87.250.250.242, timeout is 2 seconds:
!!!!!
!
! Проверим синхронизацию NTP:
!
ciscoasa(config)# show ntp associations 
  address         ref clock     st  when  poll reach  delay  offset    disp
*~192.168.99.136   91.189.94.4       3    63    64    1    36.7    1.85    17.5
* master (synced), # master (unsynced), + selected, - candidate, ~ configured
!
! Установим конфигурацию нашей ASAv для Smart-Licensing (в соответствии с Вашим профилем, в моем случае 100М для примера)
!
ciscoasa(config)# license smart
ciscoasa(config-smart-lic)# feature tier standard
ciscoasa(config-smart-lic)# throughput level 100M
!
! В случае необходимости можно настроить доступ в Интернет через прокси используйте следующий блок команд:
!call-home
!  http-proxy ip_address port port
!
! Далее мы вставляем скопированный из портала Smart-Account токен (<token>) и регистрируем лицензию
!
ciscoasa(config)# end
ciscoasa# license smart register idtoken <token>
```
- ჩვენ ვამოწმებთ, რომ მოწყობილობამ წარმატებით დაარეგისტრირა ლიცენზია და ხელმისაწვდომია დაშიფვრის ვარიანტები:
ძირითადი SSL-VPN-ის კონფიგურაცია თითოეულ კარიბჭეზე
- შემდეგი, ჩვენ ვაკონფიგურირებთ წვდომას SSH და ASDM საშუალებით:
```
ciscoasa(config)# ssh ver 2
ciscoasa(config)# aaa authentication ssh console LOCAL
ciscoasa(config)# aaa authentication http console LOCAL
ciscoasa(config)# hostname vpn-demo-1
vpn-demo-1(config)# domain-name ashes.cc
vpn-demo-1(config)# cry key gen rsa general-keys modulus 4096 
vpn-demo-1(config)# ssh 0 0 inside  
vpn-demo-1(config)# http 0 0 inside
!
! Поднимем сервер HTTPS для ASDM на порту 445 чтобы не пересекаться с SSL-VPN порталом
!
vpn-demo-1(config)# http server enable 445 
!
```
- იმისათვის, რომ ASDM იმუშაოს, ჯერ უნდა ჩამოტვირთოთ ის cisco.com-დან, ჩემს შემთხვევაში ეს არის შემდეგი ფაილი:
- იმისათვის, რომ AnyConnect კლიენტმა იმუშაოს, თქვენ უნდა გადმოწეროთ სურათი თითოეულ ASA-ზე, თითოეული გამოყენებული კლიენტის დესკტოპის OS-ისთვის (დაგეგმილია Linux/Windows/MAC გამოყენება), დაგჭირდებათ ფაილი Headend განლაგების პაკეტი სათაურში:
- გადმოწერილი ფაილები შეიძლება აიტვირთოს, მაგალითად, FTP სერვერზე და აიტვირთოს თითოეულ ცალკეულ ASA-ზე:
- ჩვენ ვაკონფიგურირებთ ASDM და Self-Signed სერთიფიკატს SSL-VPN-სთვის (რეკომენდებულია სანდო სერტიფიკატის გამოყენება წარმოებაში). კლასტერის ვირტუალური მისამართის (vpn-demo.ashes.cc) დადგენილი FQDN, ისევე როგორც თითოეული კლასტერული კვანძის გარე მისამართთან ასოცირებული FQDN უნდა გადაწყდეს გარე DNS ზონაში OUTSIDE ინტერფეისის IP მისამართში (ან შედგენილ მისამართზე, თუ გამოიყენება udp/443 პორტის გადამისამართება (DTLS) და tcp/443 (TLS)). სერტიფიკატის მოთხოვნების შესახებ დეტალური ინფორმაცია მითითებულია განყოფილებაში სერთიფიკატის გადამოწმება დოკუმენტაცია.
```
!
vpn-demo-1(config)# crypto ca trustpoint SELF
vpn-demo-1(config-ca-trustpoint)# enrollment self
vpn-demo-1(config-ca-trustpoint)# fqdn vpn-demo.ashes.cc
vpn-demo-1(config-ca-trustpoint)# subject-name cn=*.ashes.cc, ou=ashes-lab, o=ashes, c=ru
vpn-demo-1(config-ca-trustpoint)# serial-number             
vpn-demo-1(config-ca-trustpoint)# crl configure
vpn-demo-1(config-ca-crl)# cry ca enroll SELF
% The fully-qualified domain name in the certificate will be: vpn-demo.ashes.cc
Generate Self-Signed Certificate? [yes/no]: yes
vpn-demo-1(config)# 
!
vpn-demo-1(config)# sh cry ca certificates 
Certificate
Status: Available
Certificate Serial Number: 4d43725e
Certificate Usage: General Purpose
Public Key Type: RSA (4096 bits)
Signature Algorithm: SHA256 with RSA Encryption
Issuer Name: 
serialNumber=9A439T02F95
hostname=vpn-demo.ashes.cc
cn=*.ashes.cc
ou=ashes-lab
o=ashes
c=ru
Subject Name:
serialNumber=9A439T02F95
hostname=vpn-demo.ashes.cc
cn=*.ashes.cc
ou=ashes-lab
o=ashes
c=ru
Validity Date: 
start date: 00:16:17 MSK Mar 19 2020
end   date: 00:16:17 MSK Mar 17 2030
Storage: config
Associated Trustpoints: SELF 

CA Certificate
Status: Available
Certificate Serial Number: 0509
Certificate Usage: General Purpose
Public Key Type: RSA (4096 bits)
Signature Algorithm: SHA1 with RSA Encryption
Issuer Name: 
cn=QuoVadis Root CA 2
o=QuoVadis Limited
c=BM
Subject Name: 
cn=QuoVadis Root CA 2
o=QuoVadis Limited
c=BM
Validity Date: 
start date: 21:27:00 MSK Nov 24 2006
end   date: 21:23:33 MSK Nov 24 2031
Storage: config
Associated Trustpoints: _SmartCallHome_ServerCA               
```
- ASDM-ის მუშაობის შესამოწმებლად, არ დაგავიწყდეთ პორტის მითითება, მაგალითად:
- მოდით განვახორციელოთ გვირაბის ძირითადი პარამეტრები:
- ჩვენ გავხდით კორპორატიულ ქსელს ხელმისაწვდომს გვირაბის საშუალებით და პირდაპირ დავუკავშირდებით ინტერნეტს (არ არის ყველაზე უსაფრთხო მეთოდი დამაკავშირებელ ჰოსტზე უსაფრთხოების ზომების არარსებობის შემთხვევაში, შესაძლებელია ინფიცირებული ჰოსტის მეშვეობით შეღწევა და კორპორატიული მონაცემების გამოტანა, ვარიანტი split-tunnel-policy tunnelall საშუალებას მისცემს მასპინძლის ყველა მოძრაობა გვირაბში. მიუხედავად ამისა სპლიტ-გვირაბი შესაძლებელს ხდის VPN კარიბჭის განთავისუფლებას და ჰოსტის ინტერნეტ ტრაფიკის დამუშავებას)
- ჩვენ გავცემთ მასპინძლებს გვირაბში მისამართებით ქვექსელიდან 192.168.20.0/24 (10-დან 30-მდე მისამართების აუზი (კვანძისთვის #1)). კლასტერში თითოეულ კვანძს უნდა ჰქონდეს საკუთარი VPN აუზი.
- მოდით გავაკეთოთ ძირითადი ავთენტიფიკაცია ადგილობრივად შექმნილ მომხმარებელთან ASA-ზე (ეს არ არის რეკომენდირებული, ეს უმარტივესი მეთოდია), სჯობს ავტორიზაცია გავაკეთოთ LDAP/რადიუსი, ან უკეთესი, ჰალსტუხი მრავალფაქტორიანი ავთენტიფიკაცია (MFA), მაგ Cisco DUO.
```
!
vpn-demo-1(config)# ip local pool vpn-pool 192.168.20.10-192.168.20.30 mask 255.255.255.0
!
vpn-demo-1(config)# access-list split-tunnel standard permit 192.168.0.0 255.255.0.0
!
vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY internal
vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY attributes
vpn-demo-1(config-group-policy)# vpn-tunnel-protocol ssl-client 
vpn-demo-1(config-group-policy)# split-tunnel-policy tunnelspecified
vpn-demo-1(config-group-policy)# split-tunnel-network-list value split-tunnel
vpn-demo-1(config-group-policy)# dns-server value 192.168.99.132
vpn-demo-1(config-group-policy)# default-domain value ashes.cc
vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes
vpn-demo-1(config-tunnel-general)#  default-group-policy SSL-VPN-GROUP-POLICY
vpn-demo-1(config-tunnel-general)#  address-pool vpn-pool
!
vpn-demo-1(config)# username dkazakov password cisco
vpn-demo-1(config)# username dkazakov attributes
vpn-demo-1(config-username)# service-type remote-access
!
vpn-demo-1(config)# ssl trust-point SELF
vpn-demo-1(config)# webvpn
vpn-demo-1(config-webvpn)#  enable outside
vpn-demo-1(config-webvpn)#  anyconnect image disk0:/anyconnect-win-4.8.03036-webdeploy-k9.pkg
vpn-demo-1(config-webvpn)#  anyconnect enable
!
```
- (სურვილისამებრ): ზემოხსენებულ მაგალითში, ჩვენ გამოვიყენეთ ლოკალური მომხმარებელი firewall-ზე დისტანციური მომხმარებლების ავთენტიფიკაციისთვის, რაც, რა თქმა უნდა, ნაკლებად გამოდგება, გარდა ლაბორატორიისა. მე მივცემ მაგალითს, თუ როგორ უნდა სწრაფად ადაპტირდეს კონფიგურაცია ავთენტიფიკაციისთვის რადიუსი სერვერი, რომელიც გამოიყენება მაგალითად Cisco Identity Services Engine:
```
vpn-demo-1(config-aaa-server-group)# dynamic-authorization
vpn-demo-1(config-aaa-server-group)# interim-accounting-update
vpn-demo-1(config-aaa-server-group)# aaa-server RADIUS (outside) host 192.168.99.134
vpn-demo-1(config-aaa-server-host)# key cisco
vpn-demo-1(config-aaa-server-host)# exit
vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes
vpn-demo-1(config-tunnel-general)# authentication-server-group  RADIUS 
!
```
ამ ინტეგრაციამ შესაძლებელი გახადა არა მხოლოდ ავთენტიფიკაციის პროცედურის სწრაფად ინტეგრირება AD დირექტორია სერვისთან, არამედ იმის გარჩევა, არის თუ არა დაკავშირებული კომპიუტერი AD-ს, გვესმოდეს, არის ეს კორპორატიული მოწყობილობა თუ პირადი და შეაფასოს დაკავშირებულის მდგომარეობა. მოწყობილობა.
- მოდით დავაკონფიგურიროთ გამჭვირვალე NAT ისე, რომ ტრაფიკი კლიენტსა და კორპორატიული ქსელის ქსელურ რესურსებს შორის არ შეფერხდეს:
```
vpn-demo-1(config-network-object)#  subnet 192.168.20.0 255.255.255.0
!
vpn-demo-1(config)# nat (inside,outside) source static any any destination static vpn-users vpn-users no-proxy-arp
```
- (სურვილისამებრ): ჩვენი კლიენტების ინტერნეტში გაცნობა ASA-ს საშუალებით (გამოყენებისას გვირაბი ოფციები) PAT-ის გამოყენებით და ასევე გასვლა იმავე OUTSIDE ინტერფეისით, საიდანაც ისინი დაკავშირებულია, თქვენ უნდა გააკეთოთ შემდეგი პარამეტრები
```
vpn-demo-1(config-network-object)# nat (outside,outside) source dynamic vpn-users interface
vpn-demo-1(config)# nat (inside,outside) source dynamic any interface
vpn-demo-1(config)# same-security-traffic permit intra-interface 
!
```
- კლასტერის გამოყენებისას ძალზე მნიშვნელოვანია, რომ შიდა ქსელმა შეძლოს გაიგოს, რომელი ASA მარშრუტებს დაბრუნების ტრაფიკს მომხმარებლებს; ამისათვის აუცილებელია კლიენტებზე გაცემული მარშრუტების /32 მისამართების გადანაწილება.
  ამ დროისთვის, ჩვენ ჯერ არ გვაქვს კლასტერის კონფიგურაცია, მაგრამ ჩვენ უკვე გვაქვს სამუშაო VPN კარიბჭეები, რომლებთანაც შეგიძლიათ ინდივიდუალურად დაუკავშირდეთ FQDN ან IP-ს საშუალებით.
ჩვენ ვხედავთ დაკავშირებულ კლიენტს პირველი ASA-ს მარშრუტიზაციის ცხრილში:

იმისათვის, რომ ჩვენმა VPN მთელმა კლასტერმა და მთელმა კორპორატიულმა ქსელმა იცოდეს ჩვენი კლიენტისკენ მიმავალი მარშრუტი, ჩვენ გადავანაწილებთ კლიენტის პრეფიქსს დინამიურ მარშრუტიზაციის პროტოკოლში, მაგალითად OSPF:
```
!
vpn-demo-1(config)# route-map RMAP-VPN-REDISTRIBUTE permit 1
vpn-demo-1(config-route-map)#  match ip address VPN-REDISTRIBUTE
!
vpn-demo-1(config)# router ospf 1
vpn-demo-1(config-router)#  network 192.168.255.0 255.255.255.0 area 0
vpn-demo-1(config-router)#  log-adj-changes
vpn-demo-1(config-router)#  redistribute static metric 5000 subnets route-map RMAP-VPN-REDISTRIBUTE
```
ახლა ჩვენ გვაქვს მარშრუტი კლიენტამდე მეორე ASA-2 კარიბჭედან და მომხმარებლებს, რომლებიც დაკავშირებულია სხვადასხვა VPN კარიბჭეებთან კლასტერში, შეუძლიათ, მაგალითად, დაუკავშირდნენ უშუალოდ კორპორატიული პროგრამული ტელეფონის მეშვეობით, ისევე როგორც მოვა მომხმარებლის მიერ მოთხოვნილი რესურსებიდან დაბრუნებული ტრაფიკი. სასურველ VPN კარიბჭეში:
მოდით გადავიდეთ Load-Balancing კლასტერის დაყენებაზე.

მისამართი 192.168.31.40 გამოყენებული იქნება როგორც ვირტუალური IP (VIP - ყველა VPN კლიენტი თავდაპირველად დაუკავშირდება მას), ამ მისამართიდან Cluster Master გადამისამართდება ნაკლებად დატვირთულ კლასტერულ კვანძში. არ დაგავიწყდეთ რეგისტრაცია DNS ჩანაწერების წინ და უკან დაბრუნება როგორც თითოეული კლასტერული კვანძის თითოეული გარე მისამართის/FQDN-ისთვის, ასევე VIP-ისთვის.
```
vpn-demo-1(config)# vpn load-balancing
vpn-demo-1(config-load-balancing)# interface lbpublic outside
vpn-demo-1(config-load-balancing)# interface lbprivate inside
vpn-demo-1(config-load-balancing)# priority 10
vpn-demo-1(config-load-balancing)# cluster ip address 192.168.31.40
vpn-demo-1(config-load-balancing)# cluster port 4000
vpn-demo-1(config-load-balancing)# redirect-fqdn enable
vpn-demo-1(config-load-balancing)# cluster key cisco
vpn-demo-1(config-load-balancing)# cluster encryption
vpn-demo-1(config-load-balancing)# cluster port 9023
vpn-demo-1(config-load-balancing)# participate
vpn-demo-1(config-load-balancing)#
```
- ჩვენ ვამოწმებთ კლასტერის მუშაობას ორ დაკავშირებულ კლიენტთან:
- მოდით გავხადოთ მომხმარებლის გამოცდილება უფრო მოსახერხებელი ASDM-ის საშუალებით ავტომატურად ჩამოტვირთული AnyConnect პროფილით.
ჩვენ ვასახელებთ პროფილს მოსახერხებელი გზით და ვუკავშირებთ მას ჩვენი ჯგუფის პოლიტიკას:

კლიენტის შემდეგი კავშირის შემდეგ, ეს პროფილი ავტომატურად ჩამოიტვირთება და დაინსტალირდება AnyConnect კლიენტში, ასე რომ, თუ დაკავშირება გჭირდებათ, უბრალოდ უნდა აირჩიოთ ის სიიდან:

ვინაიდან ASDM-ის გამოყენებით ჩვენ შევქმენით ეს პროფილი მხოლოდ ერთ ASA-ზე, არ დაგავიწყდეთ ნაბიჯების გამეორება კლასტერში დარჩენილ ASA-ებზე.

დასკვნა: ამრიგად, ჩვენ სწრაფად განვათავსეთ რამდენიმე VPN კარიბჭის კლასტერი ავტომატური დატვირთვის დაბალანსებით. კლასტერში ახალი კვანძების დამატება მარტივია, მარტივი ჰორიზონტალური მასშტაბის მიღწევა ახალი ASAv ვირტუალური მანქანების განლაგებით ან ტექნიკის ASA-ების გამოყენებით. ფუნქციებით მდიდარ AnyConnect კლიენტს შეუძლია მნიშვნელოვნად გააუმჯობესოს თქვენი უსაფრთხო დისტანციური კავშირის შესაძლებლობების გამოყენებით პოზა (მდგომარეობების შეფასება), ყველაზე ეფექტურად გამოიყენება წვდომის კონტროლისა და აღრიცხვის ცენტრალიზებულ სისტემასთან ერთად პირადობის სერვისების ძრავა.

წყარო: www.habr.com

ASA VPN დატვირთვის ბალანსირების კლასტერის დაყენება

ახალი კომენტარის დამატება პასუხის გასაუქმებლად

ახალი კომენტარის დამატება