🥇ដាក់ពង្រាយ ASA VPN Load-Balance Cluster

នៅក្នុងអត្ថបទនេះ ខ្ញុំចង់ផ្តល់ការណែនាំជាជំហាន ៗ អំពីរបៀបដែលអ្នកអាចដាក់ពង្រាយគ្រោងការណ៍ដែលអាចធ្វើមាត្រដ្ឋានបានលឿនបំផុតនៅពេលនេះ។ ការចូលប្រើពីចម្ងាយ VPN ការចូលប្រើមូលដ្ឋាន AnyConnect និង Cisco ASA - VPN ផ្ទុកតុល្យភាពចង្កោម.

សេចក្តីផ្តើម៖ ក្រុមហ៊ុនជាច្រើននៅជុំវិញពិភពលោក ដោយមើលឃើញពីស្ថានភាពបច្ចុប្បន្នជាមួយ COVID-19 កំពុងខិតខំប្រឹងប្រែងដើម្បីផ្ទេរបុគ្គលិករបស់ពួកគេទៅធ្វើការពីចម្ងាយ។ ដោយសារតែការផ្លាស់ប្តូរដ៏ធំទៅការងារពីចម្ងាយ ការផ្ទុកនៅលើច្រកផ្លូវ VPN ដែលមានស្រាប់របស់ក្រុមហ៊ុនកំពុងកើនឡើងយ៉ាងខ្លាំង ហើយសមត្ថភាពលឿនបំផុតក្នុងការធ្វើមាត្រដ្ឋានពួកវាគឺត្រូវបានទាមទារ។ ម្យ៉ាងវិញទៀត ក្រុមហ៊ុនជាច្រើនត្រូវបង្ខំចិត្តធ្វើជាម្ចាស់លើគោលគំនិតនៃការងារពីចម្ងាយយ៉ាងប្រញាប់ប្រញាល់។

ដើម្បីជួយឱ្យអាជីវកម្មសម្រេចបាននូវការចូលប្រើប្រាស់ VPN ដែលងាយស្រួល សុវត្ថិភាព និងអាចធ្វើមាត្រដ្ឋានបានសម្រាប់បុគ្គលិកក្នុងរយៈពេលដ៏ខ្លីបំផុត Cisco កំពុងផ្តល់អាជ្ញាប័ណ្ណដល់កម្មវិធី AnyConnect ដែលសំបូរទៅដោយមុខងារ SSL VPN client រហូតដល់ទៅ 13 សប្តាហ៍។ អ្នកក៏អាចយក ASAv សម្រាប់ការធ្វើតេស្ត (Virtual ASA សម្រាប់ VMWare/Hyper-V/KVM hypervisors និង AWS/Azure cloud platforms) ពីដៃគូដែលមានការអនុញ្ញាត ឬដោយទាក់ទងតំណាង Cisco ដែលធ្វើការជាមួយអ្នក។.

នីតិវិធីសម្រាប់ការចេញអាជ្ញាប័ណ្ណ AnyConnect COVID-19 ត្រូវបានពិពណ៌នានៅទីនេះ.

ខ្ញុំបានរៀបចំការណែនាំជាជំហាន ៗ សម្រាប់ការដាក់ពង្រាយ VPN Load-Balancing Cluster ដ៏សាមញ្ញជាបច្ចេកវិទ្យា VPN ដែលអាចធ្វើមាត្រដ្ឋានបានបំផុត។

ឧទាហរណ៍ខាងក្រោមនឹងមានលក្ខណៈសាមញ្ញណាស់ក្នុងលក្ខខណ្ឌនៃក្បួនដោះស្រាយការផ្ទៀងផ្ទាត់ និងការអនុញ្ញាតដែលបានប្រើ ប៉ុន្តែនឹងក្លាយជាជម្រើសដ៏ល្អសម្រាប់ការចាប់ផ្តើមរហ័ស (ដែលបច្ចុប្បន្នមិនគ្រប់គ្រាន់សម្រាប់មនុស្សជាច្រើន) ជាមួយនឹងលទ្ធភាពនៃការសម្របខ្លួនស៊ីជម្រៅទៅនឹងតម្រូវការរបស់អ្នកអំឡុងពេលដាក់ឱ្យប្រើប្រាស់។ ដំណើរការ។

ព័ត៌មានសង្ខេប៖ បច្ចេកវិទ្យា VPN Load Balancing Cluster មិនមែនជាការបរាជ័យ និងមិនមែនជាមុខងារចង្កោមក្នុងន័យដើមរបស់វានោះទេ បច្ចេកវិទ្យានេះអាចរួមបញ្ចូលគ្នានូវម៉ូដែល ASA ខុសគ្នាទាំងស្រុង (ជាមួយនឹងការរឹតបន្តឹងជាក់លាក់) ដើម្បីផ្ទុកតុល្យភាពការតភ្ជាប់ VPN ពីចម្ងាយ។ មិនមានការធ្វើសមកាលកម្មនៃវគ្គ និងការកំណត់រចនាសម្ព័ន្ធរវាងថ្នាំងនៃចង្កោមបែបនេះទេ ប៉ុន្តែវាអាចធ្វើទៅបានដើម្បីផ្ទុកតុល្យភាពនៃការតភ្ជាប់ VPN ដោយស្វ័យប្រវត្តិ និងធានាឱ្យមានការអត់ធ្មត់ចំពោះកំហុសនៃការតភ្ជាប់ VPN រហូតដល់យ៉ាងហោចណាស់ថ្នាំងសកម្មមួយនៅតែស្ថិតក្នុងចង្កោម។ ការផ្ទុកនៅក្នុងចង្កោមមានតុល្យភាពដោយស្វ័យប្រវត្តិអាស្រ័យលើបន្ទុកការងាររបស់ថ្នាំងដោយចំនួនវគ្គ VPN ។

ចំពោះការបរាជ័យនៃថ្នាំងជាក់លាក់នៃចង្កោម (ប្រសិនបើចាំបាច់) ឯកសារឯកសារអាចត្រូវបានប្រើ ដូច្នេះការភ្ជាប់សកម្មនឹងត្រូវបានគ្រប់គ្រងដោយថ្នាំងបឋមនៃឯកសារ។ fileover មិនមែនជាលក្ខខណ្ឌចាំបាច់សម្រាប់ធានាការអត់ឱនកំហុសនៅក្នុង Load-Balancing cluster នោះ cluster ខ្លួនវាផ្ទាល់ក្នុងករណីមាន node បរាជ័យ នឹងផ្ទេរ session user ទៅ node បន្តផ្ទាល់ផ្សេងទៀត ប៉ុន្តែដោយមិនរក្សាទុកស្ថានភាពការតភ្ជាប់ ដែលច្បាស់លាស់។ ផ្តល់ដោយ filer ។ ដូច្នោះហើយ វាអាចទៅរួចប្រសិនបើចាំបាច់ដើម្បីបញ្ចូលគ្នានូវបច្ចេកវិទ្យាទាំងពីរនេះ។

VPN Load-Balance cluster អាចមានថ្នាំងច្រើនជាងពីរ។

VPN Load-Balance Cluster ត្រូវបានគាំទ្រនៅលើ ASA 5512-X និងខ្ពស់ជាងនេះ។

ដោយសារ ASA នីមួយៗនៅក្នុងចង្កោម VPN Load-Balancing គឺជាឯកតាឯករាជ្យនៅក្នុងលក្ខខណ្ឌនៃការកំណត់ យើងអនុវត្តជំហាននៃការកំណត់រចនាសម្ព័ន្ធទាំងអស់ដោយឡែកៗពីគ្នាលើឧបករណ៍នីមួយៗ។

ព័ត៌មានលម្អិតអំពីបច្ចេកវិទ្យានៅទីនេះ

ទ្រឹស្តីបទឡូជីខលនៃឧទាហរណ៍ដែលបានផ្តល់ឱ្យ៖

ការដាក់ពង្រាយបឋម៖

យើងប្រើឧទាហរណ៍ ASAv នៃគំរូដែលយើងត្រូវការ (ASAv5/10/30/50) ពីរូបភាព។
យើងកំណត់ចំណុចប្រទាក់ INSIDE / OUTSIDE ទៅ VLANs ដូចគ្នា (នៅខាងក្រៅ VLAN របស់វា INSIDE នៅក្នុងខ្លួនវា ប៉ុន្តែជាទូទៅនៅក្នុង cluster សូមមើល topology) វាជាការសំខាន់ណាស់ដែល interfaces នៃប្រភេទដូចគ្នាគឺនៅក្នុងផ្នែក L2 ដូចគ្នា។
អាជ្ញាប័ណ្ណ៖
- នៅពេលនេះការដំឡើង ASAv នឹងមិនមានអាជ្ញាប័ណ្ណណាមួយទេ ហើយនឹងត្រូវបានកំណត់ត្រឹម 100kbps។
- ដើម្បីដំឡើងអាជ្ញាប័ណ្ណ អ្នកត្រូវបង្កើតសញ្ញាសម្ងាត់នៅក្នុងគណនី Smart របស់អ្នក៖ https://software.cisco.com/ -> អាជ្ញាប័ណ្ណកម្មវិធីឆ្លាតវៃ
- នៅក្នុងបង្អួចដែលបើកសូមចុចលើប៊ូតុង ថូខឹនថ្មី។
- ត្រូវប្រាកដថានៅក្នុងបង្អួចដែលបើកមានវាលសកម្ម ហើយសញ្ញាធីកត្រូវបានធីក អនុញ្ញាតមុខងារដែលគ្រប់គ្រងការនាំចេញ… បើគ្មានវាលនេះសកម្មទេ អ្នកនឹងមិនអាចប្រើមុខងារនៃការអ៊ិនគ្រីបខ្លាំងបានទេ ហើយតាមនោះ VPN ។ ប្រសិនបើវាលនេះមិនសកម្ម សូមទាក់ទងក្រុមគណនីរបស់អ្នកជាមួយនឹងសំណើធ្វើឱ្យសកម្ម។
- បន្ទាប់ពីចុចប៊ូតុង បង្កើតថូខឹននិមិត្តសញ្ញានឹងត្រូវបានបង្កើតឡើងដែលយើងនឹងប្រើដើម្បីទទួលបានអាជ្ញាប័ណ្ណសម្រាប់ ASAv ចម្លងវា៖
- ធ្វើជំហាន C,D,E ម្តងទៀតសម្រាប់ ASAv ដែលដាក់ពង្រាយនីមួយៗ។
- ដើម្បីធ្វើឱ្យវាកាន់តែងាយស្រួលក្នុងការចម្លងសញ្ញាសម្ងាត់ សូមអនុញ្ញាតឱ្យ telnet ជាបណ្តោះអាសន្ន។ ចូរកំណត់រចនាសម្ព័ន្ធ ASA នីមួយៗ (ឧទាហរណ៍ខាងក្រោមបង្ហាញពីការកំណត់នៅលើ ASA-1)។ telnet មិនដំណើរការជាមួយខាងក្រៅទេ ប្រសិនបើអ្នកពិតជាត្រូវការវា ផ្លាស់ប្តូរកម្រិតសុវត្ថិភាពទៅ 100 ទៅខាងក្រៅ បន្ទាប់មកប្រគល់វាមកវិញ។
```
!
ciscoasa(config)# int gi0/0
ciscoasa(config)# nameif outside
ciscoasa(config)# ip address 192.168.31.30 255.255.255.0
ciscoasa(config)# no shut
!
ciscoasa(config)# int gi0/1
ciscoasa(config)# nameif inside
ciscoasa(config)# ip address 192.168.255.2 255.255.255.0
ciscoasa(config)# no shut
!
ciscoasa(config)# telnet 0 0 inside
ciscoasa(config)# username admin password cisco priv 15
ciscoasa(config)# ena password cisco
ciscoasa(config)# aaa authentication telnet console LOCAL
!
ciscoasa(config)# route outside 0 0 192.168.31.1
!
ciscoasa(config)# wr
!
```
- ដើម្បីចុះឈ្មោះសញ្ញាសម្ងាត់នៅក្នុង Smart-Account cloud អ្នកត្រូវតែផ្តល់ការចូលប្រើអ៊ីនធឺណិតសម្រាប់ ASA, ព័ត៌មានលម្អិតនៅទីនេះ.
និយាយឱ្យខ្លី ASA គឺចាំបាច់:
- ចូលប្រើតាមរយៈ HTTPS ទៅអ៊ីនធឺណិត;
- ការធ្វើសមកាលកម្មពេលវេលា (កាន់តែត្រឹមត្រូវតាមរយៈ NTP);
- ម៉ាស៊ីនមេ DNS ដែលបានចុះឈ្មោះ;
  - យើង telnet ទៅកាន់ ASA របស់យើង និងធ្វើការកំណត់ដើម្បីធ្វើឱ្យអាជ្ញាប័ណ្ណសកម្មតាមរយៈ Smart-Account ។
```
!
ciscoasa(config)# clock set 19:21:00 Mar 18 2020
ciscoasa(config)# clock timezone MSK 3
ciscoasa(config)# ntp server 192.168.99.136
!
ciscoasa(config)# dns domain-lookup outside
ciscoasa(config)# DNS server-group DefaultDNS
ciscoasa(config-dns-server-group)# name-server 192.168.99.132 
!
! Проверим работу DNS:
!
ciscoasa(config-dns-server-group)# ping ya.ru
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 87.250.250.242, timeout is 2 seconds:
!!!!!
!
! Проверим синхронизацию NTP:
!
ciscoasa(config)# show ntp associations 
  address         ref clock     st  when  poll reach  delay  offset    disp
*~192.168.99.136   91.189.94.4       3    63    64    1    36.7    1.85    17.5
* master (synced), # master (unsynced), + selected, - candidate, ~ configured
!
! Установим конфигурацию нашей ASAv для Smart-Licensing (в соответствии с Вашим профилем, в моем случае 100М для примера)
!
ciscoasa(config)# license smart
ciscoasa(config-smart-lic)# feature tier standard
ciscoasa(config-smart-lic)# throughput level 100M
!
! В случае необходимости можно настроить доступ в Интернет через прокси используйте следующий блок команд:
!call-home
!  http-proxy ip_address port port
!
! Далее мы вставляем скопированный из портала Smart-Account токен (<token>) и регистрируем лицензию
!
ciscoasa(config)# end
ciscoasa# license smart register idtoken <token>
```
- យើងពិនិត្យមើលថាឧបករណ៍បានចុះឈ្មោះដោយជោគជ័យនូវអាជ្ញាប័ណ្ណ ហើយជម្រើសនៃការអ៊ិនគ្រីបមាន៖
ដំឡើង SSL-VPN ជាមូលដ្ឋាននៅលើច្រកផ្លូវនីមួយៗ
- បន្ទាប់មក កំណត់រចនាសម្ព័ន្ធការចូលប្រើតាមរយៈ SSH និង ASDM៖
```
ciscoasa(config)# ssh ver 2
ciscoasa(config)# aaa authentication ssh console LOCAL
ciscoasa(config)# aaa authentication http console LOCAL
ciscoasa(config)# hostname vpn-demo-1
vpn-demo-1(config)# domain-name ashes.cc
vpn-demo-1(config)# cry key gen rsa general-keys modulus 4096 
vpn-demo-1(config)# ssh 0 0 inside  
vpn-demo-1(config)# http 0 0 inside
!
! Поднимем сервер HTTPS для ASDM на порту 445 чтобы не пересекаться с SSL-VPN порталом
!
vpn-demo-1(config)# http server enable 445 
!
```
- ដើម្បីឱ្យ ASDM ដំណើរការ អ្នកត្រូវតែទាញយកវាពីគេហទំព័រ cisco.com ជាដំបូងក្នុងករណីរបស់ខ្ញុំ វាជាឯកសារដូចខាងក្រោម៖
- ដើម្បីឱ្យម៉ាស៊ីនភ្ញៀវ AnyConnect ដំណើរការ អ្នកត្រូវផ្ទុករូបភាពទៅ ASA នីមួយៗសម្រាប់ប្រព័ន្ធប្រតិបត្តិការកុំព្យូទ័រដែលបានប្រើនីមួយៗ (គ្រោងនឹងប្រើ Linux / Windows / MAC) អ្នកនឹងត្រូវការឯកសារជាមួយ កញ្ចប់ដាក់ពង្រាយ Headend ក្នុងចំណងជើង៖
- ឧទាហរណ៍ ឯកសារដែលបានទាញយកអាចត្រូវបានផ្ទុកឡើងទៅកាន់ម៉ាស៊ីនមេ FTP ហើយបង្ហោះទៅកាន់ ASA នីមួយៗ៖
- យើងកំណត់រចនាសម្ព័ន្ធ ASDM និងវិញ្ញាបនបត្រដែលចុះហត្ថលេខាដោយខ្លួនឯងសម្រាប់ SSL-VPN (វាត្រូវបានណែនាំឱ្យប្រើវិញ្ញាបនបត្រដែលអាចទុកចិត្តបានក្នុងផលិតកម្ម)។ សំណុំ FQDN នៃអាសយដ្ឋានចង្កោមនិម្មិត (vpn-demo.ashes.cc) ក៏ដូចជា FQDN នីមួយៗដែលភ្ជាប់ជាមួយអាសយដ្ឋានខាងក្រៅនៃថ្នាំងចង្កោមនីមួយៗ ត្រូវតែដោះស្រាយនៅក្នុងតំបន់ DNS ខាងក្រៅទៅអាសយដ្ឋាន IP នៃចំណុចប្រទាក់ខាងក្រៅ (ឬ ទៅអាសយដ្ឋានដែលបានគូសវាស ប្រសិនបើការបញ្ជូនបន្តច្រក udp/443 ត្រូវបានប្រើ (DTLS) និង tcp/443(TLS))។ ព័ត៌មានលម្អិតអំពីតម្រូវការសម្រាប់វិញ្ញាបនបត្រត្រូវបានបញ្ជាក់នៅក្នុងផ្នែក ការផ្ទៀងផ្ទាត់វិញ្ញាបនបត្រ ឯកសារ។
```
!
vpn-demo-1(config)# crypto ca trustpoint SELF
vpn-demo-1(config-ca-trustpoint)# enrollment self
vpn-demo-1(config-ca-trustpoint)# fqdn vpn-demo.ashes.cc
vpn-demo-1(config-ca-trustpoint)# subject-name cn=*.ashes.cc, ou=ashes-lab, o=ashes, c=ru
vpn-demo-1(config-ca-trustpoint)# serial-number             
vpn-demo-1(config-ca-trustpoint)# crl configure
vpn-demo-1(config-ca-crl)# cry ca enroll SELF
% The fully-qualified domain name in the certificate will be: vpn-demo.ashes.cc
Generate Self-Signed Certificate? [yes/no]: yes
vpn-demo-1(config)# 
!
vpn-demo-1(config)# sh cry ca certificates 
Certificate
Status: Available
Certificate Serial Number: 4d43725e
Certificate Usage: General Purpose
Public Key Type: RSA (4096 bits)
Signature Algorithm: SHA256 with RSA Encryption
Issuer Name: 
serialNumber=9A439T02F95
hostname=vpn-demo.ashes.cc
cn=*.ashes.cc
ou=ashes-lab
o=ashes
c=ru
Subject Name:
serialNumber=9A439T02F95
hostname=vpn-demo.ashes.cc
cn=*.ashes.cc
ou=ashes-lab
o=ashes
c=ru
Validity Date: 
start date: 00:16:17 MSK Mar 19 2020
end   date: 00:16:17 MSK Mar 17 2030
Storage: config
Associated Trustpoints: SELF 

CA Certificate
Status: Available
Certificate Serial Number: 0509
Certificate Usage: General Purpose
Public Key Type: RSA (4096 bits)
Signature Algorithm: SHA1 with RSA Encryption
Issuer Name: 
cn=QuoVadis Root CA 2
o=QuoVadis Limited
c=BM
Subject Name: 
cn=QuoVadis Root CA 2
o=QuoVadis Limited
c=BM
Validity Date: 
start date: 21:27:00 MSK Nov 24 2006
end   date: 21:23:33 MSK Nov 24 2031
Storage: config
Associated Trustpoints: _SmartCallHome_ServerCA               
```
- កុំភ្លេចបញ្ជាក់ច្រកដើម្បីពិនិត្យមើល ASDM កំពុងដំណើរការ ឧទាហរណ៍៖
- តោះអនុវត្តការកំណត់មូលដ្ឋាននៃផ្លូវរូងក្រោមដី៖
- ចូរធ្វើឱ្យបណ្តាញសាជីវកម្មមានតាមរយៈផ្លូវរូងក្រោមដី ហើយអនុញ្ញាតឱ្យអ៊ិនធឺណិតចូលដោយផ្ទាល់ (មិនមែនជាវិធីសាស្ត្រដែលមានសុវត្ថិភាពបំផុតទេ ប្រសិនបើមិនមានការការពារនៅលើម៉ាស៊ីនតភ្ជាប់ទេ វាអាចជ្រាបចូលតាមរយៈម៉ាស៊ីនដែលមានមេរោគ និងបង្ហាញទិន្នន័យសាជីវកម្ម ជម្រើស split-tunnel-policy tunnelall នឹងអនុញ្ញាតឱ្យចរាចរម៉ាស៊ីនទាំងអស់ចូលទៅក្នុងផ្លូវរូងក្រោមដី។ យ៉ាងណាក៏ដោយ ផ្លូវរូងក្រោមដីបំបែក ធ្វើឱ្យវាអាចបិទដំណើរការ VPN gateway និងមិនដំណើរការចរាចរអ៊ីនធឺណិតរបស់ម៉ាស៊ីន)
- តោះចេញអាសយដ្ឋានពីបណ្តាញរង 192.168.20.0/24 ទៅម៉ាស៊ីននៅក្នុងផ្លូវរូងក្រោមដី (អាងពី 10 ទៅ 30 អាសយដ្ឋាន (សម្រាប់ថ្នាំង #1))។ ថ្នាំងនីមួយៗនៃចង្កោម VPN ត្រូវតែមានអាងផ្ទាល់ខ្លួនរបស់វា។
- យើងនឹងអនុវត្តការផ្ទៀងផ្ទាត់មូលដ្ឋានជាមួយអ្នកប្រើដែលបានបង្កើតក្នុងមូលដ្ឋាននៅលើ ASA (នេះមិនត្រូវបានណែនាំទេ នេះជាវិធីងាយបំផុត) វាជាការប្រសើរក្នុងការធ្វើការផ្ទៀងផ្ទាត់តាមរយៈ LDAP/RADIUSឬប្រសើរជាងនេះទៀត ចង ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវពហុកត្តា (MFA)ឧទាហរណ៍ ស៊ីស្កូ DUO.
```
!
vpn-demo-1(config)# ip local pool vpn-pool 192.168.20.10-192.168.20.30 mask 255.255.255.0
!
vpn-demo-1(config)# access-list split-tunnel standard permit 192.168.0.0 255.255.0.0
!
vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY internal
vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY attributes
vpn-demo-1(config-group-policy)# vpn-tunnel-protocol ssl-client 
vpn-demo-1(config-group-policy)# split-tunnel-policy tunnelspecified
vpn-demo-1(config-group-policy)# split-tunnel-network-list value split-tunnel
vpn-demo-1(config-group-policy)# dns-server value 192.168.99.132
vpn-demo-1(config-group-policy)# default-domain value ashes.cc
vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes
vpn-demo-1(config-tunnel-general)#  default-group-policy SSL-VPN-GROUP-POLICY
vpn-demo-1(config-tunnel-general)#  address-pool vpn-pool
!
vpn-demo-1(config)# username dkazakov password cisco
vpn-demo-1(config)# username dkazakov attributes
vpn-demo-1(config-username)# service-type remote-access
!
vpn-demo-1(config)# ssl trust-point SELF
vpn-demo-1(config)# webvpn
vpn-demo-1(config-webvpn)#  enable outside
vpn-demo-1(config-webvpn)#  anyconnect image disk0:/anyconnect-win-4.8.03036-webdeploy-k9.pkg
vpn-demo-1(config-webvpn)#  anyconnect enable
!
```
- (ជាជម្រើស)៖ ក្នុងឧទាហរណ៍ខាងលើ យើងបានប្រើអ្នកប្រើប្រាស់ក្នុងស្រុកនៅលើ ITU ដើម្បីផ្ទៀងផ្ទាត់អ្នកប្រើប្រាស់ពីចម្ងាយ ដែលជាការពិតណាស់ លើកលែងតែនៅក្នុងមន្ទីរពិសោធន៍គឺអាចអនុវត្តបានតិចតួច។ ខ្ញុំនឹងផ្តល់ឧទាហរណ៍មួយអំពីរបៀបសម្របការកំណត់យ៉ាងឆាប់រហ័សសម្រាប់ការផ្ទៀងផ្ទាត់ រ៉ាឌីយូ ម៉ាស៊ីនមេឧទាហរណ៍ត្រូវបានប្រើ ម៉ាស៊ីនសឺវីសអត្តសញ្ញាណប័ណ្ណ:
```
vpn-demo-1(config-aaa-server-group)# dynamic-authorization
vpn-demo-1(config-aaa-server-group)# interim-accounting-update
vpn-demo-1(config-aaa-server-group)# aaa-server RADIUS (outside) host 192.168.99.134
vpn-demo-1(config-aaa-server-host)# key cisco
vpn-demo-1(config-aaa-server-host)# exit
vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes
vpn-demo-1(config-tunnel-general)# authentication-server-group  RADIUS 
!
```
សមាហរណកម្មនេះបានធ្វើឱ្យវាមិនត្រឹមតែអាចរួមបញ្ចូលនីតិវិធីផ្ទៀងផ្ទាត់បានយ៉ាងឆាប់រហ័សជាមួយនឹងសេវាកម្មថតឯកសារ AD ប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងដើម្បីសម្គាល់ថាតើកុំព្យូទ័រដែលបានភ្ជាប់ជាកម្មសិទ្ធិរបស់ AD ដើម្បីយល់ថាតើឧបករណ៍នេះគឺជាសាជីវកម្ម ឬផ្ទាល់ខ្លួន និងដើម្បីវាយតម្លៃស្ថានភាពនៃឧបករណ៍ដែលបានភ្ជាប់។ .
- ចូរកំណត់រចនាសម្ព័ន្ធ Transparent NAT ដើម្បីឱ្យចរាចរណ៍រវាងអតិថិជន និងធនធាននៃបណ្តាញបណ្តាញសាជីវកម្មមិនត្រូវបានសរសេរ៖
```
vpn-demo-1(config-network-object)#  subnet 192.168.20.0 255.255.255.0
!
vpn-demo-1(config)# nat (inside,outside) source static any any destination static vpn-users vpn-users no-proxy-arp
```
- (ជាជម្រើស)៖ ដើម្បីបង្ហាញអតិថិជនរបស់យើងទៅកាន់អ៊ីនធឺណិតតាមរយៈ ASA (នៅពេលប្រើ ផ្លូវរូងក្រោមដី ជម្រើស) ដោយប្រើ PAT ក៏ដូចជាចេញតាមរយៈចំណុចប្រទាក់ខាងក្រៅដូចគ្នាដែលពួកវាត្រូវបានភ្ជាប់ អ្នកត្រូវធ្វើការកំណត់ដូចខាងក្រោម
```
vpn-demo-1(config-network-object)# nat (outside,outside) source dynamic vpn-users interface
vpn-demo-1(config)# nat (inside,outside) source dynamic any interface
vpn-demo-1(config)# same-security-traffic permit intra-interface 
!
```
- នៅពេលប្រើចង្កោម វាមានសារៈសំខាន់ខ្លាំងណាស់ក្នុងការបើកបណ្តាញខាងក្នុងដើម្បីយល់ថា ASA ណាមួយដើម្បីបញ្ជូនចរាចរទៅកាន់អ្នកប្រើប្រាស់វិញ សម្រាប់ការនេះអ្នកត្រូវចែកចាយឡើងវិញនូវផ្លូវ / អាសយដ្ឋាន 32 ដែលចេញឱ្យអតិថិជន។
  នៅពេលនេះ យើងមិនទាន់បានកំណត់រចនាសម្ព័ន្ធចង្កោមនៅឡើយទេ ប៉ុន្តែយើងមានដំណើរការ VPN gateways ដែលអាចភ្ជាប់ជាលក្ខណៈបុគ្គលតាមរយៈ FQDN ឬ IP ។
យើងឃើញម៉ាស៊ីនភ្ញៀវដែលបានតភ្ជាប់នៅក្នុងតារាងនាំផ្លូវនៃ ASA ដំបូង៖

ដើម្បីឱ្យចង្កោម VPN ទាំងមូលរបស់យើង និងបណ្តាញសាជីវកម្មទាំងមូលដឹងពីផ្លូវទៅកាន់អតិថិជនរបស់យើង យើងនឹងចែកចាយបុព្វបទម៉ាស៊ីនភ្ញៀវឡើងវិញទៅជាពិធីការនាំផ្លូវថាមវន្ត ឧទាហរណ៍ OSPF៖
```
!
vpn-demo-1(config)# route-map RMAP-VPN-REDISTRIBUTE permit 1
vpn-demo-1(config-route-map)#  match ip address VPN-REDISTRIBUTE
!
vpn-demo-1(config)# router ospf 1
vpn-demo-1(config-router)#  network 192.168.255.0 255.255.255.0 area 0
vpn-demo-1(config-router)#  log-adj-changes
vpn-demo-1(config-router)#  redistribute static metric 5000 subnets route-map RMAP-VPN-REDISTRIBUTE
```
ឥឡូវនេះ យើងមានផ្លូវទៅកាន់អតិថិជនពីច្រកផ្លូវ ASA-2 ទីពីរ ហើយអ្នកប្រើប្រាស់បានភ្ជាប់ទៅច្រកផ្លូវ VPN ផ្សេងគ្នានៅក្នុងចង្កោមអាចទំនាក់ទំនងដោយផ្ទាល់តាមរយៈទូរស័ព្ទទន់សាជីវកម្ម ក៏ដូចជាចរាចរត្រឡប់មកវិញពីធនធានដែលបានស្នើសុំដោយអ្នកប្រើប្រាស់នឹង មកកាន់ច្រកទ្វារ VPN ដែលចង់បាន៖
ចូរបន្តទៅការកំណត់រចនាសម្ព័ន្ធ Load-Balance cluster ។

អាសយដ្ឋាន 192.168.31.40 នឹងត្រូវបានប្រើជា IP និម្មិត (VIP - ម៉ាស៊ីនភ្ញៀវ VPN ទាំងអស់នឹងភ្ជាប់ទៅវាដំបូង) ពីអាសយដ្ឋាននេះ Master cluster នឹងធ្វើ REDIRECT ទៅកាន់ថ្នាំង cluster ដែលមិនសូវផ្ទុក។ កុំភ្លេចសរសេរ បញ្ជូនបន្តនិងបញ្ច្រាសកំណត់ត្រា DNS ទាំងសម្រាប់អាសយដ្ឋានខាងក្រៅនីមួយៗ / FQDN នៃថ្នាំងនីមួយៗនៃចង្កោម និងសម្រាប់វីអាយភី។
```
vpn-demo-1(config)# vpn load-balancing
vpn-demo-1(config-load-balancing)# interface lbpublic outside
vpn-demo-1(config-load-balancing)# interface lbprivate inside
vpn-demo-1(config-load-balancing)# priority 10
vpn-demo-1(config-load-balancing)# cluster ip address 192.168.31.40
vpn-demo-1(config-load-balancing)# cluster port 4000
vpn-demo-1(config-load-balancing)# redirect-fqdn enable
vpn-demo-1(config-load-balancing)# cluster key cisco
vpn-demo-1(config-load-balancing)# cluster encryption
vpn-demo-1(config-load-balancing)# cluster port 9023
vpn-demo-1(config-load-balancing)# participate
vpn-demo-1(config-load-balancing)#
```
- យើងពិនិត្យមើលប្រតិបត្តិការរបស់ចង្កោមជាមួយអតិថិជនដែលបានតភ្ជាប់ពីរ៖
- ចូរធ្វើឱ្យបទពិសោធន៍អតិថិជនកាន់តែងាយស្រួលជាមួយនឹងទម្រង់ AnyConnect ដែលបានផ្ទុកដោយស្វ័យប្រវត្តិតាមរយៈ ASDM ។
យើងដាក់ឈ្មោះកម្រងព័ត៌មានតាមមធ្យោបាយងាយស្រួល ហើយភ្ជាប់គោលការណ៍ក្រុមរបស់យើងជាមួយវា៖

បន្ទាប់ពីការតភ្ជាប់បន្ទាប់របស់អតិថិជន ទម្រង់នេះនឹងត្រូវបានទាញយក និងដំឡើងដោយស្វ័យប្រវត្តិនៅក្នុងម៉ាស៊ីនភ្ញៀវ AnyConnect ដូច្នេះប្រសិនបើអ្នកត្រូវការភ្ជាប់ គ្រាន់តែជ្រើសរើសវាពីបញ្ជី៖

ដោយសារយើងបានបង្កើតកម្រងព័ត៌មាននេះនៅលើ ASA តែមួយគត់ដោយប្រើ ASDM កុំភ្លេចធ្វើជំហានម្តងទៀតនៅលើ ASAs ផ្សេងទៀតនៅក្នុងចង្កោម។

សេចក្តីសន្និដ្ឋាន: ដូច្នេះហើយ យើងបានដាក់ពង្រាយនូវចង្កោមនៃច្រកទ្វារ VPN ជាច្រើនជាមួយនឹងតុល្យភាពការផ្ទុកដោយស្វ័យប្រវត្តិ។ ការបន្ថែមថ្នាំងថ្មីទៅក្នុងចង្កោមគឺងាយស្រួល ជាមួយនឹងការធ្វើមាត្រដ្ឋានផ្ដេកសាមញ្ញ ដោយដាក់ឱ្យប្រើប្រាស់ម៉ាស៊ីននិម្មិត ASAv ថ្មី ឬប្រើ ASAs ផ្នែករឹង។ ម៉ាស៊ីនភ្ញៀវ AnyConnect ដែលសំបូរទៅដោយលក្ខណៈពិសេសអាចបង្កើនការតភ្ជាប់ពីចម្ងាយប្រកបដោយសុវត្ថិភាពយ៉ាងខ្លាំងដោយប្រើ ឥរិយាបថ (ការប៉ាន់ស្មានរបស់រដ្ឋ)ប្រើយ៉ាងមានប្រសិទ្ធភាពបំផុតក្នុងការភ្ជាប់ជាមួយប្រព័ន្ធនៃការគ្រប់គ្រងកណ្តាល និងការចូលប្រើគណនី ម៉ាស៊ីនសេវាកម្មអត្តសញ្ញាណ.

ប្រភព: www.habr.com

ការដាក់ពង្រាយ ASA VPN Load-Balance Cluster

បន្ថែមមតិយោបល់ ответОтменить