Di vê gotarê de ez dixwazim rêwerzên gav-bi-gav peyda bikim ka hûn çawa dikarin di vê gavê de nexşeya herî berbelav bi lez bicîh bikin. Remote-Access VPN gihîştina bingehîn AnyConnect û Cisco ASA - Cluster Balansa Barkirina VPN.
Pêşkêş: Gelek pargîdaniyên li çaraliyê cîhanê, ji ber rewşa heyî ya bi COVID-19, hewl didin ku karmendên xwe veguhezînin karê dûr. Ji ber veguheztina berbelav berbi xebata dûr ve, barkirina dergehên VPN yên heyî yên pargîdaniyan bi krîtîk zêde dibe û jêhatîbûnek pir bilez hewce ye ku wan pîvandin. Ji hêla din ve, gelek pargîdan neçar in ku bi lez û bez têgîna xebata ji dûr ve ji sifirê serwer bibin.
Ji bo ku ji karsaziyan re bibe alîkar ku zû bigihîjin VPN-ya hêsan, ewledar û berbelav ji bo karmendan, Cisco heya 13-hefte lîsansên ji bo xerîdar-taybetmend-dewlemend AnyConnect SSL-VPN peyda dike. .
.
Min rêwerzên gav-bi-gav ji bo vebijarkek hêsan amade kiriye ji bo bicîhkirina komek VPN-Balanseriya Barkirinê wekî teknolojiya VPN ya herî berbelav.
Mînaka jêrîn dê ji hêla algorîtmayên rastkirin û destûrnameyê ve tê bikar anîn pir hêsan be, lê ew ê ji bo destpêkek bilez vebijarkek baş be (ku tiştek ku nuha ji gelek kesan re tune ye) bi îhtîmala adaptasyona kûr a hewcedariyên we di dema pêvajoya belavkirinê de.
Agahiyên kurt: Teknolojiya Cluster-a Balansa Barkirina VPN di wateya xweya zikmakî de ne têkçûnek an fonksiyonek kombûnê ye; ev teknolojî dikare modelên ASA-ya bi tevahî cûda (bi hin sînoran re) berhev bike da ku hevsengiya girêdanên VPN-ya Remote-Access bar bike. Di navbera girêkên komek wusa de hevdemkirina danişîn û vesazkirinê tune, lê mimkun e ku bixweber girêdanên VPN-ê hevseng bar bikin û tolerasyona xeletiya girêdanên VPN-ê piştrast bikin heya ku bi kêmanî yek girêkek çalak di komê de bimîne. Barkirina di komê de ji hêla hejmara danişînên VPN ve li gorî barê xebata girêkan bixweber hevseng e.
Ji bo tolerasyona xeletiya girêkên komê yên taybetî (heke hewce bike), hûn dikarin pelerkerek bikar bînin, ji ber vê yekê pêwendiya çalak dê ji hêla girêka seretayî ya pelê ve were pêvajo kirin. Veguhastina pelê ne şertek hewce ye ku ji bo dabînkirina tolerasyona xeletiyê di nav koma Load-Balancing de; di bûyera têkçûna nodê de, kom bi xwe dê danişîna bikarhêner veguhezîne girêkek zindî ya din, lê bêyî domandina statûya girêdanê, ku bi rastî ev e. filer pêşkêş dike. Li gorî vê yekê, heke pêwîst be, van her du teknolojiyên dikarin bêne hev kirin.
Komek Barkirina-Balanseriya VPN dikare ji du nokan zêdetir hebin.
Koma VPN Load-Balancing li ser ASA 5512-X û mezintir tê piştgirî kirin.
Ji ber ku her ASA di nav koma bargiran-hevsengiya VPN de di warê mîhengan de yekîneyek serbixwe ye, em hemî gavên mîhengê bi rengek ferdî li ser her amûrek kesane pêk tînin.
Topolojiya mentiqî ya mînaka hatî dayîn ev e:
Dabeşkirina Destpêkê:
-
Em mînakên ASAv yên şablonên ku em hewce ne (ASAv5/10/30/50) ji wêneyê bi cih dikin.
-
Em navbeynkên INSIDE/DERVE ji heman VLAN-ê re vediqetînin (Derveyî di VLAN-a xwe de, INSIDE di xwe de, lê di nav komê de hevpar e, li topolojiyê binêre), girîng e ku navgînên heman celebî di heman beşa L2 de cih bigirin.
-
Lîsans:
- Di dema sazkirinê de, ASAv dê ne xwediyê destûrnameyek be û dê bi 100kbit / sec sînorkirî be.
- Ji bo sazkirina destûrnameyek, hûn hewce ne ku di hesabê xweya Smart-Hesabê xwe de nîşanek çêbikin: -> Destûrnameya Smart Software
- Di pencereya ku vedibe, bişkojka bikirtînin Nîşana Nû
- Piştrast bike ku qada di pencereya ku vedibe de çalak e û qutiya kontrolê tê kontrol kirin Destûrê bide fonksiyona îxrackirî-kontrolkirî... Bêyî vê qada çalak, hûn ê nikaribin fonksiyonên şîfrekirinê yên xurt û, li gorî, VPN-ê bikar bînin. Ger ev qad ne çalak be, ji kerema xwe bi tîmê hesabê xwe re têkilî daynin da ku çalakkirinê bixwazin.
- Piştî pêlêkirina bişkojkê Token çêbikin, nîşanek dê were afirandin ku em ê bikar bînin ku ji bo ASAv destûrnameyek bistînin, wê kopî bikin:
- Werin em gavên C,D,E ji bo her ASAv-ya ku hatî bicîh kirin dubare bikin.
- Ji bo ku kopîkirina tokenê hêsantir bike, em bi demkî telnet çalak bikin. Ka em her ASA-yê mîheng bikin (mînakek jêrîn mîhengên li ser ASA-1 destnîşan dike). telnet ji derve naxebite, heke hûn bi rastî jê re hewce bikin, asta ewlehiyê li 100-ê biguhezînin derve, dûv re wê biguhezînin.
! ciscoasa(config)# int gi0/0 ciscoasa(config)# nameif outside ciscoasa(config)# ip address 192.168.31.30 255.255.255.0 ciscoasa(config)# no shut ! ciscoasa(config)# int gi0/1 ciscoasa(config)# nameif inside ciscoasa(config)# ip address 192.168.255.2 255.255.255.0 ciscoasa(config)# no shut ! ciscoasa(config)# telnet 0 0 inside ciscoasa(config)# username admin password cisco priv 15 ciscoasa(config)# ena password cisco ciscoasa(config)# aaa authentication telnet console LOCAL ! ciscoasa(config)# route outside 0 0 192.168.31.1 ! ciscoasa(config)# wr !- Ji bo qeydkirina tokenek di ewrê Smart-Hesabê de, divê hûn gihîştina Înternetê ji ASA re peyda bikin, .
Bi kurtasî, ASA hewce ye:
- Gihîştina Înternetê bi rêya HTTPS;
- hevdemkirina demê (bi rasttir bi rêya NTP);
- server DNS qeydkirî;
- Em bi telnetê diçin ASA-ya xwe û mîhengan dikin ku lîsansê bi navgîniya Smart-Hesabê çalak bikin.
! ciscoasa(config)# clock set 19:21:00 Mar 18 2020 ciscoasa(config)# clock timezone MSK 3 ciscoasa(config)# ntp server 192.168.99.136 ! ciscoasa(config)# dns domain-lookup outside ciscoasa(config)# DNS server-group DefaultDNS ciscoasa(config-dns-server-group)# name-server 192.168.99.132 ! ! Проверим работу DNS: ! ciscoasa(config-dns-server-group)# ping ya.ru Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 87.250.250.242, timeout is 2 seconds: !!!!! ! ! Проверим синхронизацию NTP: ! ciscoasa(config)# show ntp associations address ref clock st when poll reach delay offset disp *~192.168.99.136 91.189.94.4 3 63 64 1 36.7 1.85 17.5 * master (synced), # master (unsynced), + selected, - candidate, ~ configured ! ! Установим конфигурацию нашей ASAv для Smart-Licensing (в соответствии с Вашим профилем, в моем случае 100М для примера) ! ciscoasa(config)# license smart ciscoasa(config-smart-lic)# feature tier standard ciscoasa(config-smart-lic)# throughput level 100M ! ! В случае необходимости можно настроить доступ в Интернет через прокси используйте следующий блок команд: !call-home ! http-proxy ip_address port port ! ! Далее мы вставляем скопированный из портала Smart-Account токен (<token>) и регистрируем лицензию ! ciscoasa(config)# end ciscoasa# license smart register idtoken <token>- Em kontrol dikin ku cîhaz bi serfirazî destûrnameyek tomar kiriye û vebijarkên şîfrekirinê hene:
-
Veavakirina SSL-VPN-ya bingehîn li ser her dergehekê
- Dûv re, em gihîştina bi SSH û ASDM mîheng dikin:
ciscoasa(config)# ssh ver 2 ciscoasa(config)# aaa authentication ssh console LOCAL ciscoasa(config)# aaa authentication http console LOCAL ciscoasa(config)# hostname vpn-demo-1 vpn-demo-1(config)# domain-name ashes.cc vpn-demo-1(config)# cry key gen rsa general-keys modulus 4096 vpn-demo-1(config)# ssh 0 0 inside vpn-demo-1(config)# http 0 0 inside ! ! Поднимем сервер HTTPS для ASDM на порту 445 чтобы не пересекаться с SSL-VPN порталом ! vpn-demo-1(config)# http server enable 445 !- Ji bo ku ASDM bixebite, divê hûn pêşî wê ji cisco.com dakêşin, di doza min de ew pelê jêrîn e:
- Ji bo ku xerîdar AnyConnect bixebite, hûn hewce ne ku ji bo her OS-ya sermaseya xerîdar a ku tê bikar anîn wêneyek ji her ASA-yê re dakêşin (ku hatî plan kirin ku Linux / Windows / MAC bikar bîne), hûn ê hewceyê pelek bi Headend Deployment Package Di sernavê de:
- Pelên dakêşandî dikarin werin barkirin, mînakî, li serverek FTP-ê û li her ASA-ya kesane werin barkirin:
- Em ji bo SSL-VPN sertîfîkaya ASDM û Xwe-Signed mîheng dikin (tête pêşniyar kirin ku di hilberînê de sertîfîkayek pêbawer bikar bînin). FQDN-ya sazkirî ya Navnîşana Virtualê ya komê (vpn-demo.ashes.cc), û her weha her FQDN-ya ku bi navnîşana derveyî ya her girêkek komê ve girêdayî ye, divê di qada DNS-ya derve de ji navnîşana IP-ya pêwendiya DERVE (an heke şandina porta udp/443 (DTLS) û tcp/443 (TLS) were bikar anîn ji navnîşana nexşeyê re. Agahiyên berfireh li ser daxwazên sertîfîkayê di beşê de têne destnîşan kirin Verification Certificate belgekirin.
! vpn-demo-1(config)# crypto ca trustpoint SELF vpn-demo-1(config-ca-trustpoint)# enrollment self vpn-demo-1(config-ca-trustpoint)# fqdn vpn-demo.ashes.cc vpn-demo-1(config-ca-trustpoint)# subject-name cn=*.ashes.cc, ou=ashes-lab, o=ashes, c=ru vpn-demo-1(config-ca-trustpoint)# serial-number vpn-demo-1(config-ca-trustpoint)# crl configure vpn-demo-1(config-ca-crl)# cry ca enroll SELF % The fully-qualified domain name in the certificate will be: vpn-demo.ashes.cc Generate Self-Signed Certificate? [yes/no]: yes vpn-demo-1(config)# ! vpn-demo-1(config)# sh cry ca certificates Certificate Status: Available Certificate Serial Number: 4d43725e Certificate Usage: General Purpose Public Key Type: RSA (4096 bits) Signature Algorithm: SHA256 with RSA Encryption Issuer Name: serialNumber=9A439T02F95 hostname=vpn-demo.ashes.cc cn=*.ashes.cc ou=ashes-lab o=ashes c=ru Subject Name: serialNumber=9A439T02F95 hostname=vpn-demo.ashes.cc cn=*.ashes.cc ou=ashes-lab o=ashes c=ru Validity Date: start date: 00:16:17 MSK Mar 19 2020 end date: 00:16:17 MSK Mar 17 2030 Storage: config Associated Trustpoints: SELF CA Certificate Status: Available Certificate Serial Number: 0509 Certificate Usage: General Purpose Public Key Type: RSA (4096 bits) Signature Algorithm: SHA1 with RSA Encryption Issuer Name: cn=QuoVadis Root CA 2 o=QuoVadis Limited c=BM Subject Name: cn=QuoVadis Root CA 2 o=QuoVadis Limited c=BM Validity Date: start date: 21:27:00 MSK Nov 24 2006 end date: 21:23:33 MSK Nov 24 2031 Storage: config Associated Trustpoints: _SmartCallHome_ServerCA- Ji bo kontrolkirina operasyona ASDM, ji bîr nekin ku portê diyar bikin, mînakî:
- Ka em mîhengên tunelê yên bingehîn pêk bînin:
- Em ê tora pargîdanî bi tunelekê ve bigihînin, û rasterast Înternetê ve girêbidin (ne rêbaza herî ewledar di nebûna tedbîrên ewlehiyê de li ser mêvandarê girêdanê, mimkun e ku meriv di nav mêvandarek vegirtî de bikeve û daneyên pargîdaniyê derxe, vebijark tunnelall perçe-tunel-polîtîka dê hemî seyrûsefera mêvandar bihêle nav tunelê. Lê dîsa jî Split-Tunnel dihêle ku meriv deriyê VPN-ê ji holê rake û seyrûsefera Înternetê ya mêvandar nexebite)
- Em ê mêvandarên di tunelê de bi navnîşanên ji jêrtorê 192.168.20.0/24 (hevokek ji 10 heta 30 navnîşanan (ji bo girê #1) derxînin. Divê her girêkek di komê de hewza VPN ya xwe hebe.
- Werin em bi bikarhênerek herêmî ya ku li ser ASA-yê hatî afirandin verastkirina bingehîn pêk bînin (Ev nayê pêşniyar kirin, ev rêbaza herî hêsan e), çêtir e ku hûn bi navgîniyê verastkirinê bikin LDAP / RADIUS, an çêtir hîn, girêde Nasnameya Pir-Faktorî (MFA)mînakî Cisco DUO.
! vpn-demo-1(config)# ip local pool vpn-pool 192.168.20.10-192.168.20.30 mask 255.255.255.0 ! vpn-demo-1(config)# access-list split-tunnel standard permit 192.168.0.0 255.255.0.0 ! vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY internal vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY attributes vpn-demo-1(config-group-policy)# vpn-tunnel-protocol ssl-client vpn-demo-1(config-group-policy)# split-tunnel-policy tunnelspecified vpn-demo-1(config-group-policy)# split-tunnel-network-list value split-tunnel vpn-demo-1(config-group-policy)# dns-server value 192.168.99.132 vpn-demo-1(config-group-policy)# default-domain value ashes.cc vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes vpn-demo-1(config-tunnel-general)# default-group-policy SSL-VPN-GROUP-POLICY vpn-demo-1(config-tunnel-general)# address-pool vpn-pool ! vpn-demo-1(config)# username dkazakov password cisco vpn-demo-1(config)# username dkazakov attributes vpn-demo-1(config-username)# service-type remote-access ! vpn-demo-1(config)# ssl trust-point SELF vpn-demo-1(config)# webvpn vpn-demo-1(config-webvpn)# enable outside vpn-demo-1(config-webvpn)# anyconnect image disk0:/anyconnect-win-4.8.03036-webdeploy-k9.pkg vpn-demo-1(config-webvpn)# anyconnect enable !- (BIXWE): Di mînaka li jor de, me bikarhênerek herêmî li ser dîwarê agir bikar anî da ku bikarhênerên dûr verast bikin, ku bê guman ji bilî di laboratûarê de hindik e. Ez ê mînakek bidim ka meriv çawa zû sazkirinê ji bo rastkirinê biguhezîne çap server, ji bo nimûne tê bikaranîn Cisco Nasnameya Karûbarên Nasnameyê:
vpn-demo-1(config-aaa-server-group)# dynamic-authorization vpn-demo-1(config-aaa-server-group)# interim-accounting-update vpn-demo-1(config-aaa-server-group)# aaa-server RADIUS (outside) host 192.168.99.134 vpn-demo-1(config-aaa-server-host)# key cisco vpn-demo-1(config-aaa-server-host)# exit vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes vpn-demo-1(config-tunnel-general)# authentication-server-group RADIUS !Vê entegrasyonê ne tenê gengaz kir ku meriv zû prosedûra erêkirinê bi karûbarê pelrêça AD-ê re bike yek, lê di heman demê de cûdahiyê bike ka komputera girêdayî AD-ê ye, fêm bike ka ew amûrek pargîdanî ye an kesek kesane ye, û rewşa pêwendiyê binirxîne. sazî.
- Werin em NAT-a Transparent mîheng bikin da ku seyrûsefera di navbera xerîdar û çavkaniyên torê yên tora pargîdanî de neyê asteng kirin:
vpn-demo-1(config-network-object)# subnet 192.168.20.0 255.255.255.0 ! vpn-demo-1(config)# nat (inside,outside) source static any any destination static vpn-users vpn-users no-proxy-arp- (BIXWE): Ji bo ku xerîdarên xwe bi riya ASA (dema ku bikar tînin) ji Înternetê re eşkere bikin tunnelall vebijarkan) PAT bikar bînin, û her weha bi heman navbeynkariya DERVE ji cihê ku ew pê ve girêdayî ne derkevin, hûn hewce ne ku mîhengên jêrîn bikin
vpn-demo-1(config-network-object)# nat (outside,outside) source dynamic vpn-users interface vpn-demo-1(config)# nat (inside,outside) source dynamic any interface vpn-demo-1(config)# same-security-traffic permit intra-interface !- Dema ku komek bikar tîne pir girîng e ku tora hundurîn bike ku fêm bike ka kîjan ASA rê li trafîkê vedigere bikarhêneran; ji bo vê yekê pêdivî ye ku rêgezên /32 navnîşanên ku ji xerîdaran re hatine şandin ji nû ve belav bikin.
Heya nuha, me hîn komê mîheng nekiriye, lê jixwe me dergehên VPN yên xebatê hene ku hûn dikarin bi yekcarî bi FQDN an IP-yê ve girêbidin.
Em di tabloya rêvekirinê ya yekem ASA de xerîdarê girêdayî dibînin:
Ji ber vê yekê ku tevahiya koma meya VPN û tevahiya tora pargîdanî rêça xerîdarê me dizane, em ê pêşgira xerîdar ji nû ve li protokolek rêveçûna dînamîkî belav bikin, mînakî OSPF:
! vpn-demo-1(config)# route-map RMAP-VPN-REDISTRIBUTE permit 1 vpn-demo-1(config-route-map)# match ip address VPN-REDISTRIBUTE ! vpn-demo-1(config)# router ospf 1 vpn-demo-1(config-router)# network 192.168.255.0 255.255.255.0 area 0 vpn-demo-1(config-router)# log-adj-changes vpn-demo-1(config-router)# redistribute static metric 5000 subnets route-map RMAP-VPN-REDISTRIBUTENaha me rêyek ji xerîdar ji dergehê duyemîn ASA-2 heye û bikarhênerên ku bi dergehên VPN yên cihêreng ên di nav komê de ve girêdayî ne, dikarin, mînakî, rasterast bi têlefonek nermalav a pargîdanî re têkilî daynin, mîna ku seyrûsefera vegerê ji çavkaniyên ku ji hêla bikarhêner ve hatî xwestin dê were. li dergehê VPN ya xwestî:
-
Werin em biçin sazkirina koma Barkêş-Balanser.
Navnîşana 192.168.31.40 dê wekî IP-ya Virtual were bikar anîn (VIP - hemî xerîdarên VPN dê di destpêkê de pê ve girêbidin), ji vê navnîşanê dê Cluster Master REDIRECT berbi girêka komê ya kêm barkirî. Ji bîr nekin ku qeyd bikin pêş û paşde tomarên DNS hem ji bo her navnîşana derveyî / FQDN ya her girêka komê, hem jî ji bo VIP.
vpn-demo-1(config)# vpn load-balancing vpn-demo-1(config-load-balancing)# interface lbpublic outside vpn-demo-1(config-load-balancing)# interface lbprivate inside vpn-demo-1(config-load-balancing)# priority 10 vpn-demo-1(config-load-balancing)# cluster ip address 192.168.31.40 vpn-demo-1(config-load-balancing)# cluster port 4000 vpn-demo-1(config-load-balancing)# redirect-fqdn enable vpn-demo-1(config-load-balancing)# cluster key cisco vpn-demo-1(config-load-balancing)# cluster encryption vpn-demo-1(config-load-balancing)# cluster port 9023 vpn-demo-1(config-load-balancing)# participate vpn-demo-1(config-load-balancing)#- Em xebata komê bi du xerîdarên girêdayî re kontrol dikin:
- Werin em bi profîlek AnyConnect-a ku bixweber dakêşandî bi ASDM-ê re ezmûna xerîdar rehettir bikin.
Em profîlê bi rengek hêsan bi nav dikin û polîtîkaya koma xwe bi wê re têkildar dikin:
Piştî pêwendiya xerîdar a din, ev profîl dê bixweber were dakêşandin û di muwekîlê AnyConnect de were saz kirin, ji ber vê yekê heke hûn hewce ne ku pê ve girêdin, hûn tenê hewce ne ku wê ji navnîşê hilbijêrin:
Ji ber ku me ASDM bikar anî me ev profîl tenê li ser yek ASA çêkir, ji bîr nekin ku gavên li ser ASAyên mayî yên di komê de dubare bikin.
Encam: Bi vî rengî, me zû komek ji çend dergehên VPN bi hevsengkirina barkirina otomatîkî vekir. Zêdekirina girêkên nû li komê hêsan e, bi bicihkirina makîneyên virtual yên nû yên ASAv an jî bi karanîna ASA-yên hardware bi destxistina pîvana horîzontal a hêsan. Xerîdarê AnyConnect-ê-dewlemend dikare bi karanîna kapasîteyên pêwendiya dûr a ewledar pir zêde bike Rewş (nirxandinên dewletê), herî bi bandor bi hev re bi pergala kontrola gihîştina navendî û pergala hesabê ve tê bikaranîn Engine Services Nasname.
Source: www.habr.com