ASA VPN 로드 밸런싱 클러스터 배포

이 기사에서는 현재 가장 확장 가능한 체계를 신속하게 배포할 수 있는 방법에 대한 단계별 지침을 제공하고자 합니다. 원격 액세스 VPN 액세스 기반 AnyConnect 및 Cisco ASA - VPN 부하 분산 클러스터.

동영상: 코로나19로 인한 현 상황을 감안하여 전 세계 많은 기업들이 직원들의 원격근무 전환을 위해 노력하고 있습니다. 원격 작업으로의 대규모 전환으로 인해 회사의 기존 VPN 게이트웨이에 대한 부하가 크게 증가하고 있으며 이를 확장할 수 있는 매우 빠른 기능이 필요합니다. 반면에 많은 회사는 처음부터 원격 작업의 개념을 서둘러 마스터해야 합니다.

기업이 가능한 한 최단 시간 내에 직원을 위한 편리하고 안전하며 확장 가능한 VPN 액세스를 달성할 수 있도록 Cisco는 최대 13주 동안 풍부한 기능의 AnyConnect SSL VPN 클라이언트에 라이센스를 부여합니다. 공인 파트너 또는 함께 일하는 Cisco 담당자에게 연락하여 ASAv 테스트(VMWare/Hyper-V/KVM 하이퍼바이저 및 AWS/Azure 클라우드 플랫폼용 가상 ASA)를 받을 수도 있습니다..

AnyConnect COVID-19 라이선스 발급 절차는 여기에 설명되어 있습니다..

가장 확장성이 뛰어난 VPN 기술인 VPN Load-Balancing Cluster의 간단한 배포를 위한 단계별 가이드를 준비했습니다.

아래의 예는 사용된 인증 및 권한 부여 알고리즘 측면에서 매우 간단하지만 배포 중 요구 사항에 대한 심층 적응 가능성과 함께 빠른 시작(현재 많은 경우 충분하지 않음)을 위한 좋은 옵션이 될 것입니다. 프로세스.

간략한 정보: VPN 로드 밸런싱 클러스터 기술은 기본 의미에서 장애 조치나 클러스터링 기능이 아닙니다. 이 기술은 원격 액세스 VPN 연결의 로드 밸런싱을 위해 완전히 다른 ASA 모델(특정 제한 있음)을 결합할 수 있습니다. 이러한 클러스터의 노드 간에는 세션 및 구성의 동기화가 없지만 클러스터에 최소한 하나의 활성 노드가 남을 때까지 자동으로 VPN 연결의 부하를 분산하고 VPN 연결의 내결함성을 보장할 수 있습니다. 클러스터의 로드는 VPN 세션 수에 따라 노드의 워크로드에 따라 자동으로 균형을 이룹니다.

클러스터의 특정 노드에 대한 장애 조치(필요한 경우)의 경우 파일러를 사용할 수 있으므로 파일러의 기본 노드에서 활성 연결을 처리합니다. 파일 오버는 로드 밸런싱 클러스터 내 내결함성을 보장하기 위한 필수 조건이 아니며, 클러스터 자체는 노드 장애가 발생할 경우 사용자 세션을 다른 라이브 노드로 전송하지만 연결 상태를 저장하지 않습니다. 파일러 제공. 따라서 필요에 따라 이 두 가지 기술을 결합하는 것도 가능하다.

VPN 로드 밸런싱 클러스터는 XNUMX개 이상의 노드를 포함할 수 있습니다.

VPN 부하 분산 클러스터는 ASA 5512-X 이상에서 지원됩니다.

VPN 로드 밸런싱 클러스터 내의 각 ASA는 설정 측면에서 독립적인 단위이므로 각 개별 장치에서 모든 구성 단계를 개별적으로 수행합니다.

기술 세부 정보는 여기

주어진 예의 논리적 토폴로지:

기본 배포:

1. 이미지에서 필요한 템플릿(ASAv5/10/30/50)의 ASAv 인스턴스를 배포합니다.

2. 우리는 INSIDE / OUTSIDE 인터페이스를 동일한 VLAN에 할당합니다(자체 VLAN의 외부, 자체의 INSIDE, 그러나 일반적으로 클러스터 내, 토폴로지 참조). 동일한 유형의 인터페이스가 동일한 L2 세그먼트에 있는 것이 중요합니다.

3. 라이센스:

   • 현재 ASAv 설치에는 라이센스가 없으며 100kbps로 제한됩니다.
   • 라이선스를 설치하려면 스마트 계정에서 토큰을 생성해야 합니다. https://software.cisco.com/ -> 스마트 소프트웨어 라이선스
   • 열리는 창에서 버튼을 클릭하십시오. 새로운 토큰

   

   • 열리는 창에 활성 필드가 있고 확인 표시가 선택되어 있는지 확인하십시오. 수출 통제 기능 허용… 이 필드가 활성화되어 있지 않으면 강력한 암호화 및 그에 따른 VPN 기능을 사용할 수 없습니다. 이 필드가 활성화되지 않은 경우 활성화 요청과 함께 계정 팀에 문의하십시오.

   

   • 버튼을 누른 후 토큰 생성, ASAv에 대한 라이센스를 얻는 데 사용할 토큰이 생성됩니다. 복사하십시오.

   

   • 배포된 각 ASAv에 대해 C, D, E 단계를 반복합니다.
   • 토큰을 더 쉽게 복사할 수 있도록 임시로 telnet을 허용해 보겠습니다. 각 ASA를 구성해 보겠습니다(아래 예는 ASA-1의 설정을 보여줍니다). 텔넷은 외부에서 작동하지 않습니다. 정말 필요하다면 외부에서 보안 수준을 100으로 변경한 다음 다시 되돌리십시오.

   !
   ciscoasa(config)# int gi0/0
   ciscoasa(config)# nameif outside
   ciscoasa(config)# ip address 192.168.31.30 255.255.255.0
   ciscoasa(config)# no shut
   !
   ciscoasa(config)# int gi0/1
   ciscoasa(config)# nameif inside
   ciscoasa(config)# ip address 192.168.255.2 255.255.255.0
   ciscoasa(config)# no shut
   !
   ciscoasa(config)# telnet 0 0 inside
   ciscoasa(config)# username admin password cisco priv 15
   ciscoasa(config)# ena password cisco
   ciscoasa(config)# aaa authentication telnet console LOCAL
   !
   ciscoasa(config)# route outside 0 0 192.168.31.1
   !
   ciscoasa(config)# wr
   !

   • Smart-Account 클라우드에 토큰을 등록하려면 ASA에 대한 인터넷 액세스를 제공해야 합니다. 자세한 내용은 여기.

   즉, ASA가 필요합니다.

   • HTTPS를 통한 인터넷 액세스
   • 시간 동기화(보다 정확하게는 NTP를 통해)
   • 등록된 DNS 서버;
     • ASA에 텔넷으로 연결하고 Smart-Account를 통해 라이선스를 활성화하도록 설정합니다.

   !
   ciscoasa(config)# clock set 19:21:00 Mar 18 2020
   ciscoasa(config)# clock timezone MSK 3
   ciscoasa(config)# ntp server 192.168.99.136
   !
   ciscoasa(config)# dns domain-lookup outside
   ciscoasa(config)# DNS server-group DefaultDNS
   ciscoasa(config-dns-server-group)# name-server 192.168.99.132 
   !
   ! Проверим работу DNS:
   !
   ciscoasa(config-dns-server-group)# ping ya.ru
   Type escape sequence to abort.
   Sending 5, 100-byte ICMP Echos to 87.250.250.242, timeout is 2 seconds:
   !!!!!
   !
   ! Проверим синхронизацию NTP:
   !
   ciscoasa(config)# show ntp associations 
     address         ref clock     st  when  poll reach  delay  offset    disp
   *~192.168.99.136   91.189.94.4       3    63    64    1    36.7    1.85    17.5
   * master (synced), # master (unsynced), + selected, - candidate, ~ configured
   !
   ! Установим конфигурацию нашей ASAv для Smart-Licensing (в соответствии с Вашим профилем, в моем случае 100М для примера)
   !
   ciscoasa(config)# license smart
   ciscoasa(config-smart-lic)# feature tier standard
   ciscoasa(config-smart-lic)# throughput level 100M
   !
   ! В случае необходимости можно настроить доступ в Интернет через прокси используйте следующий блок команд:
   !call-home
   !  http-proxy ip_address port port
   !
   ! Далее мы вставляем скопированный из портала Smart-Account токен (<token>) и регистрируем лицензию
   !
   ciscoasa(config)# end
   ciscoasa# license smart register idtoken <token>

   • 장치가 라이선스를 성공적으로 등록했고 암호화 옵션을 사용할 수 있는지 확인합니다.

   

   

4. 각 게이트웨이에서 기본 SSL-VPN 설정

   • 그런 다음 SSH 및 ASDM을 통해 액세스를 구성합니다.

   ciscoasa(config)# ssh ver 2
   ciscoasa(config)# aaa authentication ssh console LOCAL
   ciscoasa(config)# aaa authentication http console LOCAL
   ciscoasa(config)# hostname vpn-demo-1
   vpn-demo-1(config)# domain-name ashes.cc
   vpn-demo-1(config)# cry key gen rsa general-keys modulus 4096 
   vpn-demo-1(config)# ssh 0 0 inside  
   vpn-demo-1(config)# http 0 0 inside
   !
   ! Поднимем сервер HTTPS для ASDM на порту 445 чтобы не пересекаться с SSL-VPN порталом
   !
   vpn-demo-1(config)# http server enable 445 
   !

   • ASDM이 작동하려면 먼저 cisco.com 웹 사이트에서 다운로드해야 합니다. 제 경우에는 다음 파일입니다.

   

   • AnyConnect 클라이언트가 작동하려면 사용된 각 클라이언트 데스크톱 OS(Linux/Windows/MAC 사용 계획)에 대해 각 ASA에 이미지를 업로드해야 합니다. 헤드엔드 배포 패키지 제목에서:

   

   • 다운로드한 파일은 예를 들어 FTP 서버에 업로드하고 각 개별 ASA에 업로드할 수 있습니다.

   

   • SSL-VPN에 대한 ASDM 및 자체 서명 인증서를 구성합니다(프로덕션에서 신뢰할 수 있는 인증서 사용 권장). 가상 클러스터 주소(vpn-demo.ashes.cc)의 설정된 FQDN과 각 클러스터 노드의 외부 주소와 연결된 각 FQDN은 외부 DNS 영역에서 OUTSIDE 인터페이스의 IP 주소(또는 포트 포워딩 udp/443(DTLS) 및 tcp/443(TLS)을 사용하는 경우 매핑된 주소로). 인증서 요구 사항에 대한 자세한 정보는 섹션에 지정되어 있습니다. 인증서 확인 선적 서류 비치.

   !
   vpn-demo-1(config)# crypto ca trustpoint SELF
   vpn-demo-1(config-ca-trustpoint)# enrollment self
   vpn-demo-1(config-ca-trustpoint)# fqdn vpn-demo.ashes.cc
   vpn-demo-1(config-ca-trustpoint)# subject-name cn=*.ashes.cc, ou=ashes-lab, o=ashes, c=ru
   vpn-demo-1(config-ca-trustpoint)# serial-number             
   vpn-demo-1(config-ca-trustpoint)# crl configure
   vpn-demo-1(config-ca-crl)# cry ca enroll SELF
   % The fully-qualified domain name in the certificate will be: vpn-demo.ashes.cc
   Generate Self-Signed Certificate? [yes/no]: yes
   vpn-demo-1(config)# 
   !
   vpn-demo-1(config)# sh cry ca certificates 
   Certificate
   Status: Available
   Certificate Serial Number: 4d43725e
   Certificate Usage: General Purpose
   Public Key Type: RSA (4096 bits)
   Signature Algorithm: SHA256 with RSA Encryption
   Issuer Name: 
   serialNumber=9A439T02F95
   hostname=vpn-demo.ashes.cc
   cn=*.ashes.cc
   ou=ashes-lab
   o=ashes
   c=ru
   Subject Name:
   serialNumber=9A439T02F95
   hostname=vpn-demo.ashes.cc
   cn=*.ashes.cc
   ou=ashes-lab
   o=ashes
   c=ru
   Validity Date: 
   start date: 00:16:17 MSK Mar 19 2020
   end   date: 00:16:17 MSK Mar 17 2030
   Storage: config
   Associated Trustpoints: SELF 
   
   CA Certificate
   Status: Available
   Certificate Serial Number: 0509
   Certificate Usage: General Purpose
   Public Key Type: RSA (4096 bits)
   Signature Algorithm: SHA1 with RSA Encryption
   Issuer Name: 
   cn=QuoVadis Root CA 2
   o=QuoVadis Limited
   c=BM
   Subject Name: 
   cn=QuoVadis Root CA 2
   o=QuoVadis Limited
   c=BM
   Validity Date: 
   start date: 21:27:00 MSK Nov 24 2006
   end   date: 21:23:33 MSK Nov 24 2031
   Storage: config
   Associated Trustpoints: _SmartCallHome_ServerCA               

   • ASDM이 작동하는지 확인하기 위해 포트를 지정하는 것을 잊지 마십시오. 예를 들면 다음과 같습니다.

   

   • 터널의 기본 설정을 수행해 보겠습니다.
   • 터널을 통해 회사 네트워크를 사용할 수 있게 하고, 인터넷이 직접 가도록 합시다(연결하는 호스트에 보호 장치가 없으면 가장 안전한 방법이 아니며, 감염된 호스트를 통해 침투하여 회사 데이터를 표시할 수 있음, 옵션 분할 터널 정책 tunnelall 모든 호스트 트래픽을 터널로 허용합니다. 그럼에도 불구하고 분할 터널 VPN 게이트웨이를 오프로드하고 호스트 인터넷 트래픽을 처리하지 않도록 함)
   • 192.168.20.0/24 서브넷에서 터널의 호스트로 주소를 발급해 봅시다(10~30개의 주소 풀링(노드 #1의 경우)). VPN 클러스터의 각 노드에는 자체 풀이 있어야 합니다.
   • ASA에서 로컬로 생성된 사용자로 기본 인증을 수행합니다(권장하지 않음, 가장 쉬운 방법). LDAP/반경, 또는 더 나은 아직, 넥타이 다중 인증(MFA)예를 들어 시스코 듀오.

   !
   vpn-demo-1(config)# ip local pool vpn-pool 192.168.20.10-192.168.20.30 mask 255.255.255.0
   !
   vpn-demo-1(config)# access-list split-tunnel standard permit 192.168.0.0 255.255.0.0
   !
   vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY internal
   vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY attributes
   vpn-demo-1(config-group-policy)# vpn-tunnel-protocol ssl-client 
   vpn-demo-1(config-group-policy)# split-tunnel-policy tunnelspecified
   vpn-demo-1(config-group-policy)# split-tunnel-network-list value split-tunnel
   vpn-demo-1(config-group-policy)# dns-server value 192.168.99.132
   vpn-demo-1(config-group-policy)# default-domain value ashes.cc
   vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes
   vpn-demo-1(config-tunnel-general)#  default-group-policy SSL-VPN-GROUP-POLICY
   vpn-demo-1(config-tunnel-general)#  address-pool vpn-pool
   !
   vpn-demo-1(config)# username dkazakov password cisco
   vpn-demo-1(config)# username dkazakov attributes
   vpn-demo-1(config-username)# service-type remote-access
   !
   vpn-demo-1(config)# ssl trust-point SELF
   vpn-demo-1(config)# webvpn
   vpn-demo-1(config-webvpn)#  enable outside
   vpn-demo-1(config-webvpn)#  anyconnect image disk0:/anyconnect-win-4.8.03036-webdeploy-k9.pkg
   vpn-demo-1(config-webvpn)#  anyconnect enable
   !

   • (선택 과목): 위의 예에서는 원격 사용자를 인증하기 위해 ITU의 로컬 사용자를 사용했는데, 물론 실험실을 제외하고는 적용하기가 어렵습니다. 인증을 위한 설정을 반지름 예를 들어 사용되는 서버 Cisco ID 서비스 엔진:

   vpn-demo-1(config-aaa-server-group)# dynamic-authorization
   vpn-demo-1(config-aaa-server-group)# interim-accounting-update
   vpn-demo-1(config-aaa-server-group)# aaa-server RADIUS (outside) host 192.168.99.134
   vpn-demo-1(config-aaa-server-host)# key cisco
   vpn-demo-1(config-aaa-server-host)# exit
   vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes
   vpn-demo-1(config-tunnel-general)# authentication-server-group  RADIUS 
   !

   이 통합을 통해 인증 절차를 AD 디렉터리 서비스와 빠르게 통합할 수 있을 뿐만 아니라 연결된 컴퓨터가 AD에 속하는지 여부를 구분하고 이 장치가 회사인지 개인인지 이해하고 연결된 장치의 상태를 평가할 수 있습니다. .

   

   

   • 클라이언트와 회사 네트워크 네트워크의 리소스 간의 트래픽이 기록되지 않도록 투명 NAT를 구성해 보겠습니다.

   vpn-demo-1(config-network-object)#  subnet 192.168.20.0 255.255.255.0
   !
   vpn-demo-1(config)# nat (inside,outside) source static any any destination static vpn-users vpn-users no-proxy-arp

   • (선택 과목): ASA를 통해 클라이언트를 인터넷에 노출하기 위해(사용 시 터널 옵션) PAT를 사용하고 연결된 동일한 OUTSIDE 인터페이스를 통해 종료하려면 다음 설정을 지정해야 합니다.

   vpn-demo-1(config-network-object)# nat (outside,outside) source dynamic vpn-users interface
   vpn-demo-1(config)# nat (inside,outside) source dynamic any interface
   vpn-demo-1(config)# same-security-traffic permit intra-interface 
   !

   • 클러스터를 사용할 때 어떤 ASA가 사용자에게 반환 트래픽을 라우팅할지 이해하도록 내부 네트워크를 활성화하는 것이 매우 중요합니다. 이를 위해 클라이언트에 발급된 경로/32 주소를 재분배해야 합니다.
     지금은 아직 클러스터를 구성하지 않았지만 FQDN 또는 IP를 통해 개별적으로 연결할 수 있는 작동 중인 VPN 게이트웨이가 이미 있습니다.

   

   첫 번째 ASA의 라우팅 테이블에서 연결된 클라이언트를 볼 수 있습니다.

   

   전체 VPN 클러스터와 전체 회사 네트워크가 클라이언트에 대한 경로를 알기 위해 클라이언트 접두사를 동적 라우팅 프로토콜(예: OSPF)에 재배포합니다.

   !
   vpn-demo-1(config)# route-map RMAP-VPN-REDISTRIBUTE permit 1
   vpn-demo-1(config-route-map)#  match ip address VPN-REDISTRIBUTE
   !
   vpn-demo-1(config)# router ospf 1
   vpn-demo-1(config-router)#  network 192.168.255.0 255.255.255.0 area 0
   vpn-demo-1(config-router)#  log-adj-changes
   vpn-demo-1(config-router)#  redistribute static metric 5000 subnets route-map RMAP-VPN-REDISTRIBUTE

   이제 두 번째 ASA-2 게이트웨이에서 클라이언트로 가는 경로가 생겼고 클러스터 내의 다른 VPN 게이트웨이에 연결된 사용자는 예를 들어 회사 소프트폰을 통해 직접 통신할 수 있을 뿐만 아니라 사용자가 요청한 리소스에서 트래픽을 반환할 수 있습니다. 원하는 VPN 게이트웨이로 이동:

   

5. 부하 분산 클러스터 구성으로 이동하겠습니다.

   주소 192.168.31.40은 가상 IP(VIP - 모든 VPN 클라이언트가 초기에 연결됨)로 사용되며, 이 주소에서 마스터 클러스터는 부하가 적은 클러스터 노드로 리디렉션됩니다. 작성하는 것을 잊지 마세요 순방향 및 역방향 DNS 레코드 클러스터의 각 노드의 각 외부 주소/FQDN과 VIP 모두에 대해.

   vpn-demo-1(config)# vpn load-balancing
   vpn-demo-1(config-load-balancing)# interface lbpublic outside
   vpn-demo-1(config-load-balancing)# interface lbprivate inside
   vpn-demo-1(config-load-balancing)# priority 10
   vpn-demo-1(config-load-balancing)# cluster ip address 192.168.31.40
   vpn-demo-1(config-load-balancing)# cluster port 4000
   vpn-demo-1(config-load-balancing)# redirect-fqdn enable
   vpn-demo-1(config-load-balancing)# cluster key cisco
   vpn-demo-1(config-load-balancing)# cluster encryption
   vpn-demo-1(config-load-balancing)# cluster port 9023
   vpn-demo-1(config-load-balancing)# participate
   vpn-demo-1(config-load-balancing)#

   • 두 개의 연결된 클라이언트로 클러스터의 작동을 확인합니다.

   

   • ASDM을 통해 자동으로 로드되는 AnyConnect 프로파일로 고객 경험을 더욱 편리하게 만들어 보십시오.

   

   편리한 방식으로 프로필 이름을 지정하고 그룹 정책을 연결합니다.

   

   다음에 클라이언트를 연결하면 이 프로파일이 자동으로 다운로드되어 AnyConnect 클라이언트에 설치되므로 연결해야 하는 경우 목록에서 선택하기만 하면 됩니다.

   

   ASDM을 사용하여 하나의 ASA에서만 이 프로파일을 생성했으므로 클러스터의 다른 ASA에서 단계를 반복하는 것을 잊지 마십시오.

결론 : 따라서 우리는 자동 로드 밸런싱 기능이 있는 여러 VPN 게이트웨이의 클러스터를 신속하게 배포했습니다. 새로운 ASAv 가상 머신을 배포하거나 하드웨어 ASA를 사용하여 간단한 수평 확장을 통해 클러스터에 새 노드를 쉽게 추가할 수 있습니다. 기능이 풍부한 AnyConnect 클라이언트는 다음을 사용하여 보안 원격 연결을 크게 향상시킬 수 있습니다. 자세(상태 추정치), 중앙 집중식 제어 및 액세스 계정 시스템과 함께 가장 효과적으로 사용됨 ID 서비스 엔진.

출처 : habr.com