ಈ ಲೇಖನದಲ್ಲಿ ನೀವು ಈ ಸಮಯದಲ್ಲಿ ಹೆಚ್ಚು ಸ್ಕೇಲೆಬಲ್ ಸ್ಕೀಮ್ ಅನ್ನು ತ್ವರಿತವಾಗಿ ಹೇಗೆ ನಿಯೋಜಿಸಬಹುದು ಎಂಬುದರ ಕುರಿತು ಹಂತ-ಹಂತದ ಸೂಚನೆಗಳನ್ನು ನೀಡಲು ನಾನು ಬಯಸುತ್ತೇನೆ ರಿಮೋಟ್-ಆಕ್ಸೆಸ್ VPN ಪ್ರವೇಶ ಆಧಾರಿತ AnyConnect ಮತ್ತು Cisco ASA - VPN ಲೋಡ್ ಬ್ಯಾಲೆನ್ಸಿಂಗ್ ಕ್ಲಸ್ಟರ್.
ಪರಿಚಯ: COVID-19 ನ ಪ್ರಸ್ತುತ ಪರಿಸ್ಥಿತಿಯಿಂದಾಗಿ ಪ್ರಪಂಚದಾದ್ಯಂತದ ಅನೇಕ ಕಂಪನಿಗಳು ತಮ್ಮ ಉದ್ಯೋಗಿಗಳನ್ನು ದೂರಸ್ಥ ಕೆಲಸಕ್ಕೆ ವರ್ಗಾಯಿಸಲು ಪ್ರಯತ್ನಿಸುತ್ತಿವೆ. ರಿಮೋಟ್ ಕೆಲಸಕ್ಕೆ ವ್ಯಾಪಕವಾದ ಪರಿವರ್ತನೆಯಿಂದಾಗಿ, ಕಂಪನಿಗಳ ಅಸ್ತಿತ್ವದಲ್ಲಿರುವ VPN ಗೇಟ್ವೇಗಳ ಮೇಲಿನ ಹೊರೆ ವಿಮರ್ಶಾತ್ಮಕವಾಗಿ ಹೆಚ್ಚಾಗುತ್ತದೆ ಮತ್ತು ಅವುಗಳನ್ನು ಅಳೆಯುವ ಅತ್ಯಂತ ವೇಗದ ಸಾಮರ್ಥ್ಯದ ಅಗತ್ಯವಿದೆ. ಮತ್ತೊಂದೆಡೆ, ಅನೇಕ ಕಂಪನಿಗಳು ಮೊದಲಿನಿಂದಲೂ ದೂರಸ್ಥ ಕೆಲಸದ ಪರಿಕಲ್ಪನೆಯನ್ನು ತರಾತುರಿಯಲ್ಲಿ ಕರಗತ ಮಾಡಿಕೊಳ್ಳಲು ಒತ್ತಾಯಿಸಲ್ಪಡುತ್ತವೆ.
ಉದ್ಯೋಗಿಗಳಿಗೆ ಅನುಕೂಲಕರ, ಸುರಕ್ಷಿತ ಮತ್ತು ಸ್ಕೇಲೆಬಲ್ VPN ಪ್ರವೇಶವನ್ನು ತ್ವರಿತವಾಗಿ ಕಾರ್ಯಗತಗೊಳಿಸಲು ವ್ಯವಹಾರಗಳಿಗೆ ಸಹಾಯ ಮಾಡಲು, ಸಿಸ್ಕೋ ವೈಶಿಷ್ಟ್ಯ-ಭರಿತ AnyConnect SSL-VPN ಕ್ಲೈಂಟ್ಗಾಗಿ 13 ವಾರಗಳವರೆಗೆ ಪರವಾನಗಿಗಳನ್ನು ಒದಗಿಸುತ್ತದೆ. .
.
VPN ಲೋಡ್-ಬ್ಯಾಲೆನ್ಸಿಂಗ್ ಕ್ಲಸ್ಟರ್ ಅನ್ನು ಅತ್ಯಂತ ಸ್ಕೇಲೆಬಲ್ VPN ತಂತ್ರಜ್ಞಾನವಾಗಿ ನಿಯೋಜಿಸಲು ಸರಳವಾದ ಆಯ್ಕೆಗಾಗಿ ನಾನು ಹಂತ-ಹಂತದ ಸೂಚನೆಗಳನ್ನು ಸಿದ್ಧಪಡಿಸಿದ್ದೇನೆ.
ಬಳಸಿದ ದೃಢೀಕರಣ ಮತ್ತು ದೃಢೀಕರಣ ಅಲ್ಗಾರಿದಮ್ಗಳ ವಿಷಯದಲ್ಲಿ ಕೆಳಗಿನ ಉದಾಹರಣೆಯು ತುಂಬಾ ಸರಳವಾಗಿರುತ್ತದೆ, ಆದರೆ ನಿಮ್ಮ ಅಗತ್ಯಗಳಿಗೆ ಆಳವಾದ ಹೊಂದಾಣಿಕೆಯ ಸಾಧ್ಯತೆಯೊಂದಿಗೆ ತ್ವರಿತ ಪ್ರಾರಂಭಕ್ಕೆ (ಇದು ಈಗ ಅನೇಕ ಜನರಿಗೆ ಕೊರತೆಯಿರುವ ವಿಷಯ) ಉತ್ತಮ ಆಯ್ಕೆಯಾಗಿದೆ. ನಿಯೋಜನೆ ಪ್ರಕ್ರಿಯೆ.
ಸಂಕ್ಷಿಪ್ತ ಮಾಹಿತಿ: VPN ಲೋಡ್ ಬ್ಯಾಲೆನ್ಸಿಂಗ್ ಕ್ಲಸ್ಟರ್ ತಂತ್ರಜ್ಞಾನವು ಅದರ ಸ್ಥಳೀಯ ಅರ್ಥದಲ್ಲಿ ವಿಫಲತೆ ಅಥವಾ ಕ್ಲಸ್ಟರಿಂಗ್ ಕಾರ್ಯವಲ್ಲ; ಈ ತಂತ್ರಜ್ಞಾನವು ಬ್ಯಾಲೆನ್ಸ್ ರಿಮೋಟ್-ಆಕ್ಸೆಸ್ VPN ಸಂಪರ್ಕಗಳನ್ನು ಲೋಡ್ ಮಾಡಲು ಸಂಪೂರ್ಣವಾಗಿ ವಿಭಿನ್ನ ASA ಮಾದರಿಗಳನ್ನು (ಕೆಲವು ನಿರ್ಬಂಧಗಳೊಂದಿಗೆ) ಸಂಯೋಜಿಸಬಹುದು. ಅಂತಹ ಕ್ಲಸ್ಟರ್ನ ನೋಡ್ಗಳ ನಡುವೆ ಸೆಷನ್ಗಳು ಮತ್ತು ಕಾನ್ಫಿಗರೇಶನ್ಗಳ ಯಾವುದೇ ಸಿಂಕ್ರೊನೈಸೇಶನ್ ಇಲ್ಲ, ಆದರೆ ಕ್ಲಸ್ಟರ್ನಲ್ಲಿ ಕನಿಷ್ಠ ಒಂದು ಸಕ್ರಿಯ ನೋಡ್ ಉಳಿಯುವವರೆಗೆ ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಸಮತೋಲನ VPN ಸಂಪರ್ಕಗಳನ್ನು ಲೋಡ್ ಮಾಡಲು ಮತ್ತು VPN ಸಂಪರ್ಕಗಳ ದೋಷ ಸಹಿಷ್ಣುತೆಯನ್ನು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಲು ಸಾಧ್ಯವಿದೆ. VPN ಸೆಷನ್ಗಳ ಸಂಖ್ಯೆಯಿಂದ ನೋಡ್ಗಳ ಕೆಲಸದ ಹೊರೆಯನ್ನು ಅವಲಂಬಿಸಿ ಕ್ಲಸ್ಟರ್ನಲ್ಲಿನ ಲೋಡ್ ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಸಮತೋಲನಗೊಳ್ಳುತ್ತದೆ.
ನಿರ್ದಿಷ್ಟ ಕ್ಲಸ್ಟರ್ ನೋಡ್ಗಳ ದೋಷ ಸಹಿಷ್ಣುತೆಗಾಗಿ (ಅಗತ್ಯವಿದ್ದಲ್ಲಿ), ನೀವು ಫೈಲರ್ ಅನ್ನು ಬಳಸಬಹುದು, ಆದ್ದರಿಂದ ಸಕ್ರಿಯ ಸಂಪರ್ಕವನ್ನು ಫೈಲರ್ನ ಪ್ರಾಥಮಿಕ ನೋಡ್ನಿಂದ ಪ್ರಕ್ರಿಯೆಗೊಳಿಸಲಾಗುತ್ತದೆ. ಲೋಡ್-ಬ್ಯಾಲೆನ್ಸಿಂಗ್ ಕ್ಲಸ್ಟರ್ನಲ್ಲಿ ದೋಷ ಸಹಿಷ್ಣುತೆಯನ್ನು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಲು ಫೈಲ್ಓವರ್ ಅನಿವಾರ್ಯವಲ್ಲ; ನೋಡ್ ವೈಫಲ್ಯದ ಸಂದರ್ಭದಲ್ಲಿ, ಕ್ಲಸ್ಟರ್ ಸ್ವತಃ ಬಳಕೆದಾರರ ಸೆಶನ್ ಅನ್ನು ಮತ್ತೊಂದು ಲೈವ್ ನೋಡ್ಗೆ ವರ್ಗಾಯಿಸುತ್ತದೆ, ಆದರೆ ಸಂಪರ್ಕ ಸ್ಥಿತಿಯನ್ನು ನಿರ್ವಹಿಸದೆ, ಅದು ನಿಖರವಾಗಿ ಏನು ಫೈಲರ್ ಒದಗಿಸುತ್ತದೆ. ಅಂತೆಯೇ, ಅಗತ್ಯವಿದ್ದರೆ ಈ ಎರಡು ತಂತ್ರಜ್ಞಾನಗಳನ್ನು ಸಂಯೋಜಿಸಬಹುದು.
VPN ಲೋಡ್-ಬ್ಯಾಲೆನ್ಸಿಂಗ್ ಕ್ಲಸ್ಟರ್ ಎರಡಕ್ಕಿಂತ ಹೆಚ್ಚು ನೋಡ್ಗಳನ್ನು ಹೊಂದಿರಬಹುದು.
VPN ಲೋಡ್-ಬ್ಯಾಲೆನ್ಸಿಂಗ್ ಕ್ಲಸ್ಟರ್ ASA 5512-X ಮತ್ತು ಹೆಚ್ಚಿನದರಲ್ಲಿ ಬೆಂಬಲಿತವಾಗಿದೆ.
VPN ಲೋಡ್-ಬ್ಯಾಲೆನ್ಸಿಂಗ್ ಕ್ಲಸ್ಟರ್ನೊಳಗಿನ ಪ್ರತಿಯೊಂದು ASA ಸೆಟ್ಟಿಂಗ್ಗಳ ವಿಷಯದಲ್ಲಿ ಸ್ವತಂತ್ರ ಘಟಕವಾಗಿರುವುದರಿಂದ, ಪ್ರತಿಯೊಂದು ಸಾಧನದಲ್ಲಿ ನಾವು ಎಲ್ಲಾ ಕಾನ್ಫಿಗರೇಶನ್ ಹಂತಗಳನ್ನು ಪ್ರತ್ಯೇಕವಾಗಿ ನಿರ್ವಹಿಸುತ್ತೇವೆ.
ನೀಡಲಾದ ಉದಾಹರಣೆಯ ತಾರ್ಕಿಕ ಟೋಪೋಲಜಿ:
ಆರಂಭಿಕ ನಿಯೋಜನೆ:
-
ಚಿತ್ರದಿಂದ ನಮಗೆ ಅಗತ್ಯವಿರುವ (ASAv5/10/30/50) ಟೆಂಪ್ಲೇಟ್ಗಳ ASAv ನಿದರ್ಶನಗಳನ್ನು ನಾವು ನಿಯೋಜಿಸುತ್ತೇವೆ.
-
ನಾವು ಒಂದೇ VLAN ಗೆ ಒಳ/ಹೊರಗಿನ ಇಂಟರ್ಫೇಸ್ಗಳನ್ನು ನಿಯೋಜಿಸುತ್ತೇವೆ (ಹೊರಗೆ ತನ್ನದೇ ಆದ VLAN ನಲ್ಲಿ, ಒಳಗೆ ತನ್ನದೇ ಆದ, ಆದರೆ ಕ್ಲಸ್ಟರ್ನೊಳಗೆ ಸಾಮಾನ್ಯವಾಗಿದೆ, ಟೋಪೋಲಜಿ ನೋಡಿ), ಒಂದೇ ರೀತಿಯ ಇಂಟರ್ಫೇಸ್ಗಳು ಒಂದೇ L2 ವಿಭಾಗದಲ್ಲಿ ನೆಲೆಗೊಂಡಿರುವುದು ಮುಖ್ಯವಾಗಿದೆ.
-
ಪರವಾನಗಿಗಳು:
- ಅನುಸ್ಥಾಪನೆಯ ಸಮಯದಲ್ಲಿ, ASAv ಯಾವುದೇ ಪರವಾನಗಿಗಳನ್ನು ಹೊಂದಿರುವುದಿಲ್ಲ ಮತ್ತು 100kbit/sec ಗೆ ಸೀಮಿತವಾಗಿರುತ್ತದೆ.
- ಪರವಾನಗಿಯನ್ನು ಸ್ಥಾಪಿಸಲು, ನಿಮ್ಮ ಸ್ಮಾರ್ಟ್-ಖಾತೆ ಖಾತೆಯಲ್ಲಿ ನೀವು ಟೋಕನ್ ಅನ್ನು ರಚಿಸುವ ಅಗತ್ಯವಿದೆ: -> ಸ್ಮಾರ್ಟ್ ಸಾಫ್ಟ್ವೇರ್ ಪರವಾನಗಿ
- ತೆರೆಯುವ ವಿಂಡೋದಲ್ಲಿ, ಬಟನ್ ಕ್ಲಿಕ್ ಮಾಡಿ ಹೊಸ ಟೋಕನ್
- ತೆರೆಯುವ ವಿಂಡೋದಲ್ಲಿ, ಕ್ಷೇತ್ರವು ಸಕ್ರಿಯವಾಗಿದೆ ಮತ್ತು ಚೆಕ್ಬಾಕ್ಸ್ ಅನ್ನು ಪರಿಶೀಲಿಸಲಾಗಿದೆ ಎಂದು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಿ ರಫ್ತು-ನಿಯಂತ್ರಿತ ಕಾರ್ಯವನ್ನು ಅನುಮತಿಸಿ... ಈ ಸಕ್ರಿಯ ಕ್ಷೇತ್ರವಿಲ್ಲದೆ, ನೀವು ಬಲವಾದ ಎನ್ಕ್ರಿಪ್ಶನ್ ಕಾರ್ಯಗಳನ್ನು ಬಳಸಲು ಸಾಧ್ಯವಾಗುವುದಿಲ್ಲ ಮತ್ತು ಅದರ ಪ್ರಕಾರ, VPN. ಈ ಕ್ಷೇತ್ರವು ಸಕ್ರಿಯವಾಗಿಲ್ಲದಿದ್ದರೆ, ಸಕ್ರಿಯಗೊಳಿಸಲು ವಿನಂತಿಸಲು ನಿಮ್ಮ ಖಾತೆ ತಂಡವನ್ನು ಸಂಪರ್ಕಿಸಿ.
- ಗುಂಡಿಯನ್ನು ಒತ್ತಿದ ನಂತರ ಟೋಕನ್ ರಚಿಸಿ, ASAv ಗಾಗಿ ಪರವಾನಗಿ ಪಡೆಯಲು ನಾವು ಬಳಸುವ ಟೋಕನ್ ಅನ್ನು ರಚಿಸಲಾಗುತ್ತದೆ, ಅದನ್ನು ನಕಲಿಸಿ:
- ಪ್ರತಿ ನಿಯೋಜಿಸಲಾದ ASAv ಗಾಗಿ C,D,E ಹಂತಗಳನ್ನು ಪುನರಾವರ್ತಿಸೋಣ.
- ಟೋಕನ್ ಅನ್ನು ನಕಲಿಸುವುದನ್ನು ಸುಲಭಗೊಳಿಸಲು, ಟೆಲ್ನೆಟ್ ಅನ್ನು ತಾತ್ಕಾಲಿಕವಾಗಿ ಸಕ್ರಿಯಗೊಳಿಸೋಣ. ಪ್ರತಿ ASA ಅನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡೋಣ (ಕೆಳಗಿನ ಉದಾಹರಣೆಯು ASA-1 ನಲ್ಲಿನ ಸೆಟ್ಟಿಂಗ್ಗಳನ್ನು ವಿವರಿಸುತ್ತದೆ). ಹೊರಗಿನಿಂದ ಟೆಲ್ನೆಟ್ ಕೆಲಸ ಮಾಡುವುದಿಲ್ಲ, ನಿಮಗೆ ನಿಜವಾಗಿಯೂ ಅಗತ್ಯವಿದ್ದರೆ, ಭದ್ರತಾ ಮಟ್ಟವನ್ನು 100 ಗೆ ಬದಲಾಯಿಸಿ, ನಂತರ ಅದನ್ನು ಹಿಂತಿರುಗಿಸಿ.
! ciscoasa(config)# int gi0/0 ciscoasa(config)# nameif outside ciscoasa(config)# ip address 192.168.31.30 255.255.255.0 ciscoasa(config)# no shut ! ciscoasa(config)# int gi0/1 ciscoasa(config)# nameif inside ciscoasa(config)# ip address 192.168.255.2 255.255.255.0 ciscoasa(config)# no shut ! ciscoasa(config)# telnet 0 0 inside ciscoasa(config)# username admin password cisco priv 15 ciscoasa(config)# ena password cisco ciscoasa(config)# aaa authentication telnet console LOCAL ! ciscoasa(config)# route outside 0 0 192.168.31.1 ! ciscoasa(config)# wr !- ಸ್ಮಾರ್ಟ್-ಅಕೌಂಟ್ ಕ್ಲೌಡ್ನಲ್ಲಿ ಟೋಕನ್ ಅನ್ನು ನೋಂದಾಯಿಸಲು, ನೀವು ASA ಗೆ ಇಂಟರ್ನೆಟ್ ಪ್ರವೇಶವನ್ನು ಒದಗಿಸಬೇಕು, .
ಸಂಕ್ಷಿಪ್ತವಾಗಿ, ASA ಅಗತ್ಯವಿದೆ:
- HTTPS ಮೂಲಕ ಇಂಟರ್ನೆಟ್ ಪ್ರವೇಶ;
- ಸಮಯ ಸಿಂಕ್ರೊನೈಸೇಶನ್ (ಎನ್ಟಿಪಿ ಮೂಲಕ ಹೆಚ್ಚು ಸರಿಯಾಗಿ);
- ನೋಂದಾಯಿತ DNS ಸರ್ವರ್;
- ನಾವು ಟೆಲ್ನೆಟ್ ಮೂಲಕ ನಮ್ಮ ASA ಗೆ ಹೋಗುತ್ತೇವೆ ಮತ್ತು ಸ್ಮಾರ್ಟ್-ಅಕೌಂಟ್ ಮೂಲಕ ಪರವಾನಗಿಯನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಲು ಸೆಟ್ಟಿಂಗ್ಗಳನ್ನು ಮಾಡುತ್ತೇವೆ.
! ciscoasa(config)# clock set 19:21:00 Mar 18 2020 ciscoasa(config)# clock timezone MSK 3 ciscoasa(config)# ntp server 192.168.99.136 ! ciscoasa(config)# dns domain-lookup outside ciscoasa(config)# DNS server-group DefaultDNS ciscoasa(config-dns-server-group)# name-server 192.168.99.132 ! ! Проверим работу DNS: ! ciscoasa(config-dns-server-group)# ping ya.ru Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 87.250.250.242, timeout is 2 seconds: !!!!! ! ! Проверим синхронизацию NTP: ! ciscoasa(config)# show ntp associations address ref clock st when poll reach delay offset disp *~192.168.99.136 91.189.94.4 3 63 64 1 36.7 1.85 17.5 * master (synced), # master (unsynced), + selected, - candidate, ~ configured ! ! Установим конфигурацию нашей ASAv для Smart-Licensing (в соответствии с Вашим профилем, в моем случае 100М для примера) ! ciscoasa(config)# license smart ciscoasa(config-smart-lic)# feature tier standard ciscoasa(config-smart-lic)# throughput level 100M ! ! В случае необходимости можно настроить доступ в Интернет через прокси используйте следующий блок команд: !call-home ! http-proxy ip_address port port ! ! Далее мы вставляем скопированный из портала Smart-Account токен (<token>) и регистрируем лицензию ! ciscoasa(config)# end ciscoasa# license smart register idtoken <token>- ಸಾಧನವು ಪರವಾನಗಿಯನ್ನು ಯಶಸ್ವಿಯಾಗಿ ನೋಂದಾಯಿಸಿದೆಯೇ ಎಂದು ನಾವು ಪರಿಶೀಲಿಸುತ್ತೇವೆ ಮತ್ತು ಎನ್ಕ್ರಿಪ್ಶನ್ ಆಯ್ಕೆಗಳು ಲಭ್ಯವಿದೆ:
-
ಪ್ರತಿ ಗೇಟ್ವೇಯಲ್ಲಿ ಮೂಲ SSL-VPN ಅನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಲಾಗುತ್ತಿದೆ
- ಮುಂದೆ, ನಾವು SSH ಮತ್ತು ASDM ಮೂಲಕ ಪ್ರವೇಶವನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡುತ್ತೇವೆ:
ciscoasa(config)# ssh ver 2 ciscoasa(config)# aaa authentication ssh console LOCAL ciscoasa(config)# aaa authentication http console LOCAL ciscoasa(config)# hostname vpn-demo-1 vpn-demo-1(config)# domain-name ashes.cc vpn-demo-1(config)# cry key gen rsa general-keys modulus 4096 vpn-demo-1(config)# ssh 0 0 inside vpn-demo-1(config)# http 0 0 inside ! ! Поднимем сервер HTTPS для ASDM на порту 445 чтобы не пересекаться с SSL-VPN порталом ! vpn-demo-1(config)# http server enable 445 !- ASDM ಕೆಲಸ ಮಾಡಲು, ನೀವು ಮೊದಲು ಅದನ್ನು cisco.com ನಿಂದ ಡೌನ್ಲೋಡ್ ಮಾಡಬೇಕು, ನನ್ನ ಸಂದರ್ಭದಲ್ಲಿ ಅದು ಈ ಕೆಳಗಿನ ಫೈಲ್ ಆಗಿದೆ:
- AnyConnect ಕ್ಲೈಂಟ್ ಕೆಲಸ ಮಾಡಲು, ನೀವು ಪ್ರತಿ ಕ್ಲೈಂಟ್ ಡೆಸ್ಕ್ಟಾಪ್ OS ಗೆ ಪ್ರತಿ ASA ಗೆ ಚಿತ್ರವನ್ನು ಡೌನ್ಲೋಡ್ ಮಾಡಬೇಕಾಗುತ್ತದೆ (Linux/Windows/MAC ಅನ್ನು ಬಳಸಲು ಯೋಜಿಸಲಾಗಿದೆ), ನಿಮಗೆ ಇದರೊಂದಿಗೆ ಫೈಲ್ ಅಗತ್ಯವಿದೆ ಹೆಡೆಂಡ್ ನಿಯೋಜನೆ ಪ್ಯಾಕೇಜ್ ಶೀರ್ಷಿಕೆಯಲ್ಲಿ:
- ಡೌನ್ಲೋಡ್ ಮಾಡಿದ ಫೈಲ್ಗಳನ್ನು ಅಪ್ಲೋಡ್ ಮಾಡಬಹುದು, ಉದಾಹರಣೆಗೆ, FTP ಸರ್ವರ್ಗೆ ಮತ್ತು ಪ್ರತಿ ASA ಗೆ ಅಪ್ಲೋಡ್ ಮಾಡಬಹುದು:
- ನಾವು SSL-VPN ಗಾಗಿ ASDM ಮತ್ತು ಸ್ವಯಂ-ಸಹಿ ಪ್ರಮಾಣಪತ್ರವನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡುತ್ತೇವೆ (ಉತ್ಪಾದನೆಯಲ್ಲಿ ವಿಶ್ವಾಸಾರ್ಹ ಪ್ರಮಾಣಪತ್ರವನ್ನು ಬಳಸಲು ಶಿಫಾರಸು ಮಾಡಲಾಗಿದೆ). ಕ್ಲಸ್ಟರ್ ವರ್ಚುವಲ್ ವಿಳಾಸದ ಸ್ಥಾಪಿತ FQDN (vpn-demo.ashes.cc), ಹಾಗೆಯೇ ಪ್ರತಿ ಕ್ಲಸ್ಟರ್ ನೋಡ್ನ ಬಾಹ್ಯ ವಿಳಾಸದೊಂದಿಗೆ ಸಂಯೋಜಿತವಾಗಿರುವ ಪ್ರತಿಯೊಂದು FQDN ಅನ್ನು ಬಾಹ್ಯ DNS ವಲಯದಲ್ಲಿ ಹೊರಗಿನ ಇಂಟರ್ಫೇಸ್ನ IP ವಿಳಾಸಕ್ಕೆ ಪರಿಹರಿಸಬೇಕು (ಅಥವಾ udp/443 ಪೋರ್ಟ್ ಫಾರ್ವರ್ಡ್ ಮಾಡುವಿಕೆಯನ್ನು ಬಳಸಿದರೆ ಮ್ಯಾಪ್ ಮಾಡಿದ ವಿಳಾಸಕ್ಕೆ (DTLS) ಮತ್ತು tcp/443(TLS)). ಪ್ರಮಾಣಪತ್ರದ ಅವಶ್ಯಕತೆಗಳ ಕುರಿತು ವಿವರವಾದ ಮಾಹಿತಿಯನ್ನು ವಿಭಾಗದಲ್ಲಿ ನಿರ್ದಿಷ್ಟಪಡಿಸಲಾಗಿದೆ ಪ್ರಮಾಣಪತ್ರ ಪರಿಶೀಲನೆ ದಸ್ತಾವೇಜನ್ನು.
! vpn-demo-1(config)# crypto ca trustpoint SELF vpn-demo-1(config-ca-trustpoint)# enrollment self vpn-demo-1(config-ca-trustpoint)# fqdn vpn-demo.ashes.cc vpn-demo-1(config-ca-trustpoint)# subject-name cn=*.ashes.cc, ou=ashes-lab, o=ashes, c=ru vpn-demo-1(config-ca-trustpoint)# serial-number vpn-demo-1(config-ca-trustpoint)# crl configure vpn-demo-1(config-ca-crl)# cry ca enroll SELF % The fully-qualified domain name in the certificate will be: vpn-demo.ashes.cc Generate Self-Signed Certificate? [yes/no]: yes vpn-demo-1(config)# ! vpn-demo-1(config)# sh cry ca certificates Certificate Status: Available Certificate Serial Number: 4d43725e Certificate Usage: General Purpose Public Key Type: RSA (4096 bits) Signature Algorithm: SHA256 with RSA Encryption Issuer Name: serialNumber=9A439T02F95 hostname=vpn-demo.ashes.cc cn=*.ashes.cc ou=ashes-lab o=ashes c=ru Subject Name: serialNumber=9A439T02F95 hostname=vpn-demo.ashes.cc cn=*.ashes.cc ou=ashes-lab o=ashes c=ru Validity Date: start date: 00:16:17 MSK Mar 19 2020 end date: 00:16:17 MSK Mar 17 2030 Storage: config Associated Trustpoints: SELF CA Certificate Status: Available Certificate Serial Number: 0509 Certificate Usage: General Purpose Public Key Type: RSA (4096 bits) Signature Algorithm: SHA1 with RSA Encryption Issuer Name: cn=QuoVadis Root CA 2 o=QuoVadis Limited c=BM Subject Name: cn=QuoVadis Root CA 2 o=QuoVadis Limited c=BM Validity Date: start date: 21:27:00 MSK Nov 24 2006 end date: 21:23:33 MSK Nov 24 2031 Storage: config Associated Trustpoints: _SmartCallHome_ServerCA- ASDM ನ ಕಾರ್ಯಾಚರಣೆಯನ್ನು ಪರಿಶೀಲಿಸಲು, ಪೋರ್ಟ್ ಅನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸಲು ಮರೆಯಬೇಡಿ, ಉದಾಹರಣೆಗೆ:
- ಮೂಲ ಸುರಂಗ ಸೆಟ್ಟಿಂಗ್ಗಳನ್ನು ಕೈಗೊಳ್ಳೋಣ:
- ನಾವು ಕಾರ್ಪೊರೇಟ್ ನೆಟ್ವರ್ಕ್ ಅನ್ನು ಸುರಂಗದ ಮೂಲಕ ಪ್ರವೇಶಿಸುವಂತೆ ಮಾಡುತ್ತೇವೆ ಮತ್ತು ಇಂಟರ್ನೆಟ್ ಅನ್ನು ನೇರವಾಗಿ ಸಂಪರ್ಕಿಸುತ್ತೇವೆ (ಸಂಪರ್ಕಿಸುವ ಹೋಸ್ಟ್ನಲ್ಲಿ ಭದ್ರತಾ ಕ್ರಮಗಳ ಅನುಪಸ್ಥಿತಿಯಲ್ಲಿ ಅತ್ಯಂತ ಸುರಕ್ಷಿತ ವಿಧಾನವಲ್ಲ, ಸೋಂಕಿತ ಹೋಸ್ಟ್ ಮತ್ತು ಔಟ್ಪುಟ್ ಕಾರ್ಪೊರೇಟ್ ಡೇಟಾ, ಆಯ್ಕೆಯ ಮೂಲಕ ಭೇದಿಸಲು ಸಾಧ್ಯವಿದೆ ಸ್ಪ್ಲಿಟ್-ಸುರಂಗ-ನೀತಿ ಸುರಂಗ ಎಲ್ಲಾ ಹೋಸ್ಟ್ ಟ್ರಾಫಿಕ್ ಅನ್ನು ಸುರಂಗದೊಳಗೆ ಅನುಮತಿಸುತ್ತದೆ. ಅದೇನೇ ಇದ್ದರೂ ಸ್ಪ್ಲಿಟ್-ಟನಲ್ VPN ಗೇಟ್ವೇ ಅನ್ನು ನಿವಾರಿಸಲು ಮತ್ತು ಹೋಸ್ಟ್ ಇಂಟರ್ನೆಟ್ ಟ್ರಾಫಿಕ್ ಅನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸದಿರಲು ಸಾಧ್ಯವಾಗಿಸುತ್ತದೆ)
- ನಾವು 192.168.20.0/24 (10 ರಿಂದ 30 ವಿಳಾಸಗಳ ಪೂಲ್ (ನೋಡ್ #1 ಗಾಗಿ)) ನಿಂದ ವಿಳಾಸಗಳೊಂದಿಗೆ ಸುರಂಗದಲ್ಲಿ ಹೋಸ್ಟ್ಗಳನ್ನು ನೀಡುತ್ತೇವೆ. ಕ್ಲಸ್ಟರ್ನಲ್ಲಿರುವ ಪ್ರತಿಯೊಂದು ನೋಡ್ ತನ್ನದೇ ಆದ VPN ಪೂಲ್ ಅನ್ನು ಹೊಂದಿರಬೇಕು.
- ASA ನಲ್ಲಿ ಸ್ಥಳೀಯವಾಗಿ ರಚಿಸಲಾದ ಬಳಕೆದಾರರೊಂದಿಗೆ ಮೂಲಭೂತ ದೃಢೀಕರಣವನ್ನು ಮಾಡೋಣ (ಇದು ಶಿಫಾರಸು ಮಾಡಲಾಗಿಲ್ಲ, ಇದು ಸರಳವಾದ ವಿಧಾನವಾಗಿದೆ), ಇದರ ಮೂಲಕ ದೃಢೀಕರಣವನ್ನು ಮಾಡುವುದು ಉತ್ತಮ LDAP/ತ್ರಿಜ್ಯ, ಅಥವಾ ಇನ್ನೂ ಉತ್ತಮ, ಟೈ ಮಲ್ಟಿ-ಫ್ಯಾಕ್ಟರ್ ಅಥೆಂಟಿಕೇಶನ್ (MFA)ಉದಾಹರಣೆಗೆ ಸಿಸ್ಕೋ DUO.
! vpn-demo-1(config)# ip local pool vpn-pool 192.168.20.10-192.168.20.30 mask 255.255.255.0 ! vpn-demo-1(config)# access-list split-tunnel standard permit 192.168.0.0 255.255.0.0 ! vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY internal vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY attributes vpn-demo-1(config-group-policy)# vpn-tunnel-protocol ssl-client vpn-demo-1(config-group-policy)# split-tunnel-policy tunnelspecified vpn-demo-1(config-group-policy)# split-tunnel-network-list value split-tunnel vpn-demo-1(config-group-policy)# dns-server value 192.168.99.132 vpn-demo-1(config-group-policy)# default-domain value ashes.cc vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes vpn-demo-1(config-tunnel-general)# default-group-policy SSL-VPN-GROUP-POLICY vpn-demo-1(config-tunnel-general)# address-pool vpn-pool ! vpn-demo-1(config)# username dkazakov password cisco vpn-demo-1(config)# username dkazakov attributes vpn-demo-1(config-username)# service-type remote-access ! vpn-demo-1(config)# ssl trust-point SELF vpn-demo-1(config)# webvpn vpn-demo-1(config-webvpn)# enable outside vpn-demo-1(config-webvpn)# anyconnect image disk0:/anyconnect-win-4.8.03036-webdeploy-k9.pkg vpn-demo-1(config-webvpn)# anyconnect enable !- (ಐಚ್ಛಿಕ): ಮೇಲಿನ ಉದಾಹರಣೆಯಲ್ಲಿ, ರಿಮೋಟ್ ಬಳಕೆದಾರರನ್ನು ದೃಢೀಕರಿಸಲು ನಾವು ಫೈರ್ವಾಲ್ನಲ್ಲಿ ಸ್ಥಳೀಯ ಬಳಕೆದಾರರನ್ನು ಬಳಸಿದ್ದೇವೆ, ಪ್ರಯೋಗಾಲಯವನ್ನು ಹೊರತುಪಡಿಸಿ ಇದು ಕಡಿಮೆ ಬಳಕೆಯಾಗಿದೆ. ದೃಢೀಕರಣಕ್ಕಾಗಿ ಸೆಟಪ್ ಅನ್ನು ತ್ವರಿತವಾಗಿ ಅಳವಡಿಸಿಕೊಳ್ಳುವುದು ಹೇಗೆ ಎಂಬುದಕ್ಕೆ ನಾನು ಒಂದು ಉದಾಹರಣೆಯನ್ನು ನೀಡುತ್ತೇನೆ ತ್ರಿಜ್ಯ ಸರ್ವರ್, ಉದಾಹರಣೆಗೆ ಬಳಸಲಾಗುತ್ತದೆ ಸಿಸ್ಕೋ ಐಡೆಂಟಿಟಿ ಸರ್ವಿಸಸ್ ಇಂಜಿನ್:
vpn-demo-1(config-aaa-server-group)# dynamic-authorization vpn-demo-1(config-aaa-server-group)# interim-accounting-update vpn-demo-1(config-aaa-server-group)# aaa-server RADIUS (outside) host 192.168.99.134 vpn-demo-1(config-aaa-server-host)# key cisco vpn-demo-1(config-aaa-server-host)# exit vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes vpn-demo-1(config-tunnel-general)# authentication-server-group RADIUS !ಈ ಏಕೀಕರಣವು ದೃಢೀಕರಣ ವಿಧಾನವನ್ನು AD ಡೈರೆಕ್ಟರಿ ಸೇವೆಯೊಂದಿಗೆ ತ್ವರಿತವಾಗಿ ಸಂಯೋಜಿಸಲು ಸಾಧ್ಯವಾಗಿಸಿತು, ಆದರೆ ಸಂಪರ್ಕಿತ ಕಂಪ್ಯೂಟರ್ AD ಗೆ ಸೇರಿದೆಯೇ ಎಂಬುದನ್ನು ಪ್ರತ್ಯೇಕಿಸಲು, ಇದು ಕಾರ್ಪೊರೇಟ್ ಸಾಧನ ಅಥವಾ ವೈಯಕ್ತಿಕವಾಗಿದೆಯೇ ಎಂಬುದನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳಲು ಮತ್ತು ಸಂಪರ್ಕಿತ ಸ್ಥಿತಿಯನ್ನು ನಿರ್ಣಯಿಸಲು ಸಾಧ್ಯವಾಗಿಸಿತು. ಸಾಧನ.
- ಕಾರ್ಪೊರೇಟ್ ನೆಟ್ವರ್ಕ್ನ ಕ್ಲೈಂಟ್ ಮತ್ತು ನೆಟ್ವರ್ಕ್ ಸಂಪನ್ಮೂಲಗಳ ನಡುವಿನ ದಟ್ಟಣೆಯು ಮಧ್ಯಪ್ರವೇಶಿಸದಂತೆ ಪಾರದರ್ಶಕ NAT ಅನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡೋಣ:
vpn-demo-1(config-network-object)# subnet 192.168.20.0 255.255.255.0 ! vpn-demo-1(config)# nat (inside,outside) source static any any destination static vpn-users vpn-users no-proxy-arp- (ಐಚ್ಛಿಕ): ASA ಮೂಲಕ ನಮ್ಮ ಗ್ರಾಹಕರನ್ನು ಇಂಟರ್ನೆಟ್ಗೆ ಒಡ್ಡಲು (ಬಳಸುವಾಗ ಸುರಂಗ ಮಾರ್ಗ ಆಯ್ಕೆಗಳು) PAT ಬಳಸಿ, ಮತ್ತು ಅವರು ಸಂಪರ್ಕಗೊಂಡಿರುವ ಅದೇ ಹೊರಗಿನ ಇಂಟರ್ಫೇಸ್ ಮೂಲಕ ನಿರ್ಗಮಿಸಿ, ನೀವು ಈ ಕೆಳಗಿನ ಸೆಟ್ಟಿಂಗ್ಗಳನ್ನು ಮಾಡಬೇಕಾಗುತ್ತದೆ
vpn-demo-1(config-network-object)# nat (outside,outside) source dynamic vpn-users interface vpn-demo-1(config)# nat (inside,outside) source dynamic any interface vpn-demo-1(config)# same-security-traffic permit intra-interface !- ಕ್ಲಸ್ಟರ್ ಅನ್ನು ಬಳಸುವಾಗ ಆಂತರಿಕ ನೆಟ್ವರ್ಕ್ ಅನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಲು ಬಳಕೆದಾರರಿಗೆ ಯಾವ ಎಎಸ್ಎ ರಿಟರ್ನ್ ಟ್ರಾಫಿಕ್ ಅನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳಲು ಬಹಳ ಮುಖ್ಯವಾಗಿದೆ; ಇದಕ್ಕಾಗಿ ಕ್ಲೈಂಟ್ಗಳಿಗೆ ನೀಡಲಾದ ಮಾರ್ಗಗಳು / 32 ವಿಳಾಸಗಳನ್ನು ಮರುಹಂಚಿಕೆ ಮಾಡುವುದು ಅವಶ್ಯಕ.
ಈ ಸಮಯದಲ್ಲಿ, ನಾವು ಇನ್ನೂ ಕ್ಲಸ್ಟರ್ ಅನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಿಲ್ಲ, ಆದರೆ ನಾವು ಈಗಾಗಲೇ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತಿರುವ VPN ಗೇಟ್ವೇಗಳನ್ನು ಹೊಂದಿದ್ದೇವೆ, ಅದನ್ನು ನೀವು ಪ್ರತ್ಯೇಕವಾಗಿ FQDN ಅಥವಾ IP ಮೂಲಕ ಸಂಪರ್ಕಿಸಬಹುದು.
ಮೊದಲ ASA ಯ ರೂಟಿಂಗ್ ಕೋಷ್ಟಕದಲ್ಲಿ ಸಂಪರ್ಕಿತ ಕ್ಲೈಂಟ್ ಅನ್ನು ನಾವು ನೋಡುತ್ತೇವೆ:
ನಮ್ಮ ಸಂಪೂರ್ಣ VPN ಕ್ಲಸ್ಟರ್ ಮತ್ತು ಸಂಪೂರ್ಣ ಕಾರ್ಪೊರೇಟ್ ನೆಟ್ವರ್ಕ್ ನಮ್ಮ ಕ್ಲೈಂಟ್ಗೆ ಹೋಗುವ ಮಾರ್ಗವನ್ನು ತಿಳಿದಿರುವಂತೆ, ನಾವು ಕ್ಲೈಂಟ್ ಪೂರ್ವಪ್ರತ್ಯಯವನ್ನು ಡೈನಾಮಿಕ್ ರೂಟಿಂಗ್ ಪ್ರೋಟೋಕಾಲ್ಗೆ ಮರುಹಂಚಿಕೆ ಮಾಡುತ್ತೇವೆ, ಉದಾಹರಣೆಗೆ OSPF:
! vpn-demo-1(config)# route-map RMAP-VPN-REDISTRIBUTE permit 1 vpn-demo-1(config-route-map)# match ip address VPN-REDISTRIBUTE ! vpn-demo-1(config)# router ospf 1 vpn-demo-1(config-router)# network 192.168.255.0 255.255.255.0 area 0 vpn-demo-1(config-router)# log-adj-changes vpn-demo-1(config-router)# redistribute static metric 5000 subnets route-map RMAP-VPN-REDISTRIBUTEಈಗ ನಾವು ಎರಡನೇ ASA-2 ಗೇಟ್ವೇಯಿಂದ ಕ್ಲೈಂಟ್ಗೆ ಮಾರ್ಗವನ್ನು ಹೊಂದಿದ್ದೇವೆ ಮತ್ತು ಕ್ಲಸ್ಟರ್ನೊಳಗಿನ ವಿವಿಧ VPN ಗೇಟ್ವೇಗಳಿಗೆ ಸಂಪರ್ಕಗೊಂಡಿರುವ ಬಳಕೆದಾರರು, ಉದಾಹರಣೆಗೆ, ಕಾರ್ಪೊರೇಟ್ ಸಾಫ್ಟ್ಫೋನ್ ಮೂಲಕ ನೇರವಾಗಿ ಸಂವಹನ ಮಾಡಬಹುದು, ಬಳಕೆದಾರರು ವಿನಂತಿಸಿದ ಸಂಪನ್ಮೂಲಗಳಿಂದ ಹಿಂದಿರುಗಿದ ಟ್ರಾಫಿಕ್ ಆಗಮಿಸುತ್ತದೆ. ಬಯಸಿದ VPN ಗೇಟ್ವೇನಲ್ಲಿ:
-
ಲೋಡ್-ಬ್ಯಾಲೆನ್ಸಿಂಗ್ ಕ್ಲಸ್ಟರ್ ಅನ್ನು ಹೊಂದಿಸಲು ನಾವು ಮುಂದುವರಿಯೋಣ.
ವಿಳಾಸ 192.168.31.40 ಅನ್ನು ವರ್ಚುವಲ್ ಐಪಿಯಾಗಿ ಬಳಸಲಾಗುತ್ತದೆ (ವಿಐಪಿ - ಎಲ್ಲಾ ವಿಪಿಎನ್ ಕ್ಲೈಂಟ್ಗಳು ಆರಂಭದಲ್ಲಿ ಇದಕ್ಕೆ ಸಂಪರ್ಕಗೊಳ್ಳುತ್ತವೆ), ಈ ವಿಳಾಸದಿಂದ ಕ್ಲಸ್ಟರ್ ಮಾಸ್ಟರ್ ಕಡಿಮೆ ಲೋಡ್ ಮಾಡಲಾದ ಕ್ಲಸ್ಟರ್ ನೋಡ್ಗೆ ಮರುನಿರ್ದೇಶಿಸುತ್ತದೆ. ನೋಂದಾಯಿಸಲು ಮರೆಯಬೇಡಿ ಫಾರ್ವರ್ಡ್ ಮತ್ತು ರಿವರ್ಸ್ DNS ದಾಖಲೆಗಳು ಪ್ರತಿ ಕ್ಲಸ್ಟರ್ ನೋಡ್ನ ಪ್ರತಿಯೊಂದು ಬಾಹ್ಯ ವಿಳಾಸ/FQDN ಮತ್ತು VIP ಗಾಗಿ.
vpn-demo-1(config)# vpn load-balancing vpn-demo-1(config-load-balancing)# interface lbpublic outside vpn-demo-1(config-load-balancing)# interface lbprivate inside vpn-demo-1(config-load-balancing)# priority 10 vpn-demo-1(config-load-balancing)# cluster ip address 192.168.31.40 vpn-demo-1(config-load-balancing)# cluster port 4000 vpn-demo-1(config-load-balancing)# redirect-fqdn enable vpn-demo-1(config-load-balancing)# cluster key cisco vpn-demo-1(config-load-balancing)# cluster encryption vpn-demo-1(config-load-balancing)# cluster port 9023 vpn-demo-1(config-load-balancing)# participate vpn-demo-1(config-load-balancing)#- ನಾವು ಎರಡು ಸಂಪರ್ಕಿತ ಕ್ಲೈಂಟ್ಗಳೊಂದಿಗೆ ಕ್ಲಸ್ಟರ್ನ ಕಾರ್ಯಾಚರಣೆಯನ್ನು ಪರಿಶೀಲಿಸುತ್ತೇವೆ:
- ASDM ಮೂಲಕ ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಡೌನ್ಲೋಡ್ ಮಾಡಿದ AnyConnect ಪ್ರೊಫೈಲ್ನೊಂದಿಗೆ ಗ್ರಾಹಕರ ಅನುಭವವನ್ನು ಹೆಚ್ಚು ಅನುಕೂಲಕರವಾಗಿಸೋಣ.
ನಾವು ಪ್ರೊಫೈಲ್ ಅನ್ನು ಅನುಕೂಲಕರ ರೀತಿಯಲ್ಲಿ ಹೆಸರಿಸುತ್ತೇವೆ ಮತ್ತು ನಮ್ಮ ಗುಂಪಿನ ನೀತಿಯನ್ನು ಅದರೊಂದಿಗೆ ಸಂಯೋಜಿಸುತ್ತೇವೆ:
ಮುಂದಿನ ಕ್ಲೈಂಟ್ ಸಂಪರ್ಕದ ನಂತರ, ಈ ಪ್ರೊಫೈಲ್ ಅನ್ನು ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಡೌನ್ಲೋಡ್ ಮಾಡಲಾಗುತ್ತದೆ ಮತ್ತು AnyConnect ಕ್ಲೈಂಟ್ನಲ್ಲಿ ಸ್ಥಾಪಿಸಲಾಗುತ್ತದೆ, ಆದ್ದರಿಂದ ನೀವು ಸಂಪರ್ಕಿಸಬೇಕಾದರೆ, ನೀವು ಅದನ್ನು ಪಟ್ಟಿಯಿಂದ ಆರಿಸಬೇಕಾಗುತ್ತದೆ:
ASDM ಅನ್ನು ಬಳಸುವುದರಿಂದ ನಾವು ಈ ಪ್ರೊಫೈಲ್ ಅನ್ನು ಕೇವಲ ಒಂದು ASA ನಲ್ಲಿ ರಚಿಸಿದ್ದೇವೆ, ಕ್ಲಸ್ಟರ್ನಲ್ಲಿ ಉಳಿದಿರುವ ASA ಗಳಲ್ಲಿನ ಹಂತಗಳನ್ನು ಪುನರಾವರ್ತಿಸಲು ಮರೆಯಬೇಡಿ.
ತೀರ್ಮಾನ: ಹೀಗಾಗಿ, ನಾವು ಸ್ವಯಂಚಾಲಿತ ಲೋಡ್ ಬ್ಯಾಲೆನ್ಸಿಂಗ್ನೊಂದಿಗೆ ಹಲವಾರು VPN ಗೇಟ್ವೇಗಳ ಕ್ಲಸ್ಟರ್ ಅನ್ನು ತ್ವರಿತವಾಗಿ ನಿಯೋಜಿಸಿದ್ದೇವೆ. ಕ್ಲಸ್ಟರ್ಗೆ ಹೊಸ ನೋಡ್ಗಳನ್ನು ಸೇರಿಸುವುದು ಸುಲಭ, ಹೊಸ ASAv ವರ್ಚುವಲ್ ಯಂತ್ರಗಳನ್ನು ನಿಯೋಜಿಸುವ ಮೂಲಕ ಅಥವಾ ಹಾರ್ಡ್ವೇರ್ ASA ಗಳನ್ನು ಬಳಸುವ ಮೂಲಕ ಸರಳವಾದ ಸಮತಲ ಸ್ಕೇಲಿಂಗ್ ಅನ್ನು ಸಾಧಿಸುವುದು. ವೈಶಿಷ್ಟ್ಯ-ಸಮೃದ್ಧ AnyConnect ಕ್ಲೈಂಟ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು ನಿಮ್ಮ ಸುರಕ್ಷಿತ ರಿಮೋಟ್ ಸಂಪರ್ಕ ಸಾಮರ್ಥ್ಯಗಳನ್ನು ಹೆಚ್ಚು ವರ್ಧಿಸಬಹುದು ಭಂಗಿ (ರಾಜ್ಯ ಮೌಲ್ಯಮಾಪನಗಳು), ಕೇಂದ್ರೀಕೃತ ಪ್ರವೇಶ ನಿಯಂತ್ರಣ ಮತ್ತು ಲೆಕ್ಕಪತ್ರ ವ್ಯವಸ್ಥೆಯ ಜೊತೆಯಲ್ಲಿ ಅತ್ಯಂತ ಪರಿಣಾಮಕಾರಿಯಾಗಿ ಬಳಸಲಾಗುತ್ತದೆ ಗುರುತಿನ ಸೇವೆಗಳ ಎಂಜಿನ್.
ಮೂಲ: www.habr.com