Di vê gotarê de ez dixwazim rêwerzên gav-bi-gav peyda bikim ka hûn çawa dikarin di vê gavê de nexşeya herî berbelav bi lez bicîh bikin. Remote-Access VPN gihîştina bingehîn AnyConnect û Cisco ASA - Cluster Balansa Barkirina VPN.
Pêşkêş: Gelek pargîdaniyên li çaraliyê cîhanê, ji ber rewşa heyî ya bi COVID-19, hewl didin ku karmendên xwe veguhezînin karê dûr. Ji ber veguheztina berbelav berbi xebata dûr ve, barkirina dergehên VPN yên heyî yên pargîdaniyan bi krîtîk zêde dibe û jêhatîbûnek pir bilez hewce ye ku wan pîvandin. Ji hêla din ve, gelek pargîdan neçar in ku bi lez û bez têgîna xebata ji dûr ve ji sifirê serwer bibin.
Min rêwerzên gav-bi-gav ji bo vebijarkek hêsan amade kiriye ji bo bicîhkirina komek VPN-Balanseriya Barkirinê wekî teknolojiya VPN ya herî berbelav.
Mînaka jêrîn dê ji hêla algorîtmayên rastkirin û destûrnameyê ve tê bikar anîn pir hêsan be, lê ew ê ji bo destpêkek bilez vebijarkek baş be (ku tiştek ku nuha ji gelek kesan re tune ye) bi îhtîmala adaptasyona kûr a hewcedariyên we di dema pêvajoya belavkirinê de.
Agahiyên kurt: Teknolojiya Cluster-a Balansa Barkirina VPN di wateya xweya zikmakî de ne têkçûnek an fonksiyonek kombûnê ye; ev teknolojî dikare modelên ASA-ya bi tevahî cûda (bi hin sînoran re) berhev bike da ku hevsengiya girêdanên VPN-ya Remote-Access bar bike. Di navbera girêkên komek wusa de hevdemkirina danişîn û vesazkirinê tune, lê mimkun e ku bixweber girêdanên VPN-ê hevseng bar bikin û tolerasyona xeletiya girêdanên VPN-ê piştrast bikin heya ku bi kêmanî yek girêkek çalak di komê de bimîne. Barkirina di komê de ji hêla hejmara danişînên VPN ve li gorî barê xebata girêkan bixweber hevseng e.
Ji bo tolerasyona xeletiya girêkên komê yên taybetî (heke hewce bike), hûn dikarin pelerkerek bikar bînin, ji ber vê yekê pêwendiya çalak dê ji hêla girêka seretayî ya pelê ve were pêvajo kirin. Veguhastina pelê ne şertek hewce ye ku ji bo dabînkirina tolerasyona xeletiyê di nav koma Load-Balancing de; di bûyera têkçûna nodê de, kom bi xwe dê danişîna bikarhêner veguhezîne girêkek zindî ya din, lê bêyî domandina statûya girêdanê, ku bi rastî ev e. filer pêşkêş dike. Li gorî vê yekê, heke pêwîst be, van her du teknolojiyên dikarin bêne hev kirin.
Komek Barkirina-Balanseriya VPN dikare ji du nokan zêdetir hebin.
Koma VPN Load-Balancing li ser ASA 5512-X û mezintir tê piştgirî kirin.
Ji ber ku her ASA di nav koma bargiran-hevsengiya VPN de di warê mîhengan de yekîneyek serbixwe ye, em hemî gavên mîhengê bi rengek ferdî li ser her amûrek kesane pêk tînin.
Em mînakên ASAv yên şablonên ku em hewce ne (ASAv5/10/30/50) ji wêneyê bi cih dikin.
Em navbeynkên INSIDE/DERVE ji heman VLAN-ê re vediqetînin (Derveyî di VLAN-a xwe de, INSIDE di xwe de, lê di nav komê de hevpar e, li topolojiyê binêre), girîng e ku navgînên heman celebî di heman beşa L2 de cih bigirin.
Lîsans:
Di dema sazkirinê de, ASAv dê ne xwediyê destûrnameyek be û dê bi 100kbit / sec sînorkirî be.
Ji bo sazkirina destûrnameyek, hûn hewce ne ku di hesabê xweya Smart-Hesabê xwe de nîşanek çêbikin: https://software.cisco.com/ -> Destûrnameya Smart Software
Di pencereya ku vedibe, bişkojka bikirtînin Nîşana Nû
Piştrast bike ku qada di pencereya ku vedibe de çalak e û qutiya kontrolê tê kontrol kirin Destûrê bide fonksiyona îxrackirî-kontrolkirî... Bêyî vê qada çalak, hûn ê nikaribin fonksiyonên şîfrekirinê yên xurt û, li gorî, VPN-ê bikar bînin. Ger ev qad ne çalak be, ji kerema xwe bi tîmê hesabê xwe re têkilî daynin da ku çalakkirinê bixwazin.
Piştî pêlêkirina bişkojkê Token çêbikin, nîşanek dê were afirandin ku em ê bikar bînin ku ji bo ASAv destûrnameyek bistînin, wê kopî bikin:
Werin em gavên C,D,E ji bo her ASAv-ya ku hatî bicîh kirin dubare bikin.
Ji bo ku kopîkirina tokenê hêsantir bike, em bi demkî telnet çalak bikin. Ka em her ASA-yê mîheng bikin (mînakek jêrîn mîhengên li ser ASA-1 destnîşan dike). telnet ji derve naxebite, heke hûn bi rastî jê re hewce bikin, asta ewlehiyê li 100-ê biguhezînin derve, dûv re wê biguhezînin.
!
ciscoasa(config)# int gi0/0
ciscoasa(config)# nameif outside
ciscoasa(config)# ip address 192.168.31.30 255.255.255.0
ciscoasa(config)# no shut
!
ciscoasa(config)# int gi0/1
ciscoasa(config)# nameif inside
ciscoasa(config)# ip address 192.168.255.2 255.255.255.0
ciscoasa(config)# no shut
!
ciscoasa(config)# telnet 0 0 inside
ciscoasa(config)# username admin password cisco priv 15
ciscoasa(config)# ena password cisco
ciscoasa(config)# aaa authentication telnet console LOCAL
!
ciscoasa(config)# route outside 0 0 192.168.31.1
!
ciscoasa(config)# wr
!
Ji bo qeydkirina tokenek di ewrê Smart-Hesabê de, divê hûn gihîştina Înternetê ji ASA re peyda bikin, hûragahiyan li vir.
Bi kurtasî, ASA hewce ye:
Gihîştina Înternetê bi rêya HTTPS;
hevdemkirina demê (bi rasttir bi rêya NTP);
server DNS qeydkirî;
Em bi telnetê diçin ASA-ya xwe û mîhengan dikin ku lîsansê bi navgîniya Smart-Hesabê çalak bikin.
!
ciscoasa(config)# clock set 19:21:00 Mar 18 2020
ciscoasa(config)# clock timezone MSK 3
ciscoasa(config)# ntp server 192.168.99.136
!
ciscoasa(config)# dns domain-lookup outside
ciscoasa(config)# DNS server-group DefaultDNS
ciscoasa(config-dns-server-group)# name-server 192.168.99.132
!
! Проверим работу DNS:
!
ciscoasa(config-dns-server-group)# ping ya.ru
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 87.250.250.242, timeout is 2 seconds:
!!!!!
!
! Проверим синхронизацию NTP:
!
ciscoasa(config)# show ntp associations
address ref clock st when poll reach delay offset disp
*~192.168.99.136 91.189.94.4 3 63 64 1 36.7 1.85 17.5
* master (synced), # master (unsynced), + selected, - candidate, ~ configured
!
! Установим конфигурацию нашей ASAv для Smart-Licensing (в соответствии с Вашим профилем, в моем случае 100М для примера)
!
ciscoasa(config)# license smart
ciscoasa(config-smart-lic)# feature tier standard
ciscoasa(config-smart-lic)# throughput level 100M
!
! В случае необходимости можно настроить доступ в Интернет через прокси используйте следующий блок команд:
!call-home
! http-proxy ip_address port port
!
! Далее мы вставляем скопированный из портала Smart-Account токен (<token>) и регистрируем лицензию
!
ciscoasa(config)# end
ciscoasa# license smart register idtoken <token>
Em kontrol dikin ku cîhaz bi serfirazî destûrnameyek tomar kiriye û vebijarkên şîfrekirinê hene:
Veavakirina SSL-VPN-ya bingehîn li ser her dergehekê
Dûv re, em gihîştina bi SSH û ASDM mîheng dikin:
ciscoasa(config)# ssh ver 2
ciscoasa(config)# aaa authentication ssh console LOCAL
ciscoasa(config)# aaa authentication http console LOCAL
ciscoasa(config)# hostname vpn-demo-1
vpn-demo-1(config)# domain-name ashes.cc
vpn-demo-1(config)# cry key gen rsa general-keys modulus 4096
vpn-demo-1(config)# ssh 0 0 inside
vpn-demo-1(config)# http 0 0 inside
!
! Поднимем сервер HTTPS для ASDM на порту 445 чтобы не пересекаться с SSL-VPN порталом
!
vpn-demo-1(config)# http server enable 445
!
Ji bo ku ASDM bixebite, divê hûn pêşî wê ji cisco.com dakêşin, di doza min de ew pelê jêrîn e:
Ji bo ku xerîdar AnyConnect bixebite, hûn hewce ne ku ji bo her OS-ya sermaseya xerîdar a ku tê bikar anîn wêneyek ji her ASA-yê re dakêşin (ku hatî plan kirin ku Linux / Windows / MAC bikar bîne), hûn ê hewceyê pelek bi Headend Deployment Package Di sernavê de:
Pelên dakêşandî dikarin werin barkirin, mînakî, li serverek FTP-ê û li her ASA-ya kesane werin barkirin:
Em ji bo SSL-VPN sertîfîkaya ASDM û Xwe-Signed mîheng dikin (tête pêşniyar kirin ku di hilberînê de sertîfîkayek pêbawer bikar bînin). FQDN-ya sazkirî ya Navnîşana Virtualê ya komê (vpn-demo.ashes.cc), û her weha her FQDN-ya ku bi navnîşana derveyî ya her girêkek komê ve girêdayî ye, divê di qada DNS-ya derve de ji navnîşana IP-ya pêwendiya DERVE (an heke şandina porta udp/443 (DTLS) û tcp/443 (TLS) were bikar anîn ji navnîşana nexşeyê re. Agahiyên berfireh li ser daxwazên sertîfîkayê di beşê de têne destnîşan kirin Verification Certificate belgekirin.
!
vpn-demo-1(config)# crypto ca trustpoint SELF
vpn-demo-1(config-ca-trustpoint)# enrollment self
vpn-demo-1(config-ca-trustpoint)# fqdn vpn-demo.ashes.cc
vpn-demo-1(config-ca-trustpoint)# subject-name cn=*.ashes.cc, ou=ashes-lab, o=ashes, c=ru
vpn-demo-1(config-ca-trustpoint)# serial-number
vpn-demo-1(config-ca-trustpoint)# crl configure
vpn-demo-1(config-ca-crl)# cry ca enroll SELF
% The fully-qualified domain name in the certificate will be: vpn-demo.ashes.cc
Generate Self-Signed Certificate? [yes/no]: yes
vpn-demo-1(config)#
!
vpn-demo-1(config)# sh cry ca certificates
Certificate
Status: Available
Certificate Serial Number: 4d43725e
Certificate Usage: General Purpose
Public Key Type: RSA (4096 bits)
Signature Algorithm: SHA256 with RSA Encryption
Issuer Name:
serialNumber=9A439T02F95
hostname=vpn-demo.ashes.cc
cn=*.ashes.cc
ou=ashes-lab
o=ashes
c=ru
Subject Name:
serialNumber=9A439T02F95
hostname=vpn-demo.ashes.cc
cn=*.ashes.cc
ou=ashes-lab
o=ashes
c=ru
Validity Date:
start date: 00:16:17 MSK Mar 19 2020
end date: 00:16:17 MSK Mar 17 2030
Storage: config
Associated Trustpoints: SELF
CA Certificate
Status: Available
Certificate Serial Number: 0509
Certificate Usage: General Purpose
Public Key Type: RSA (4096 bits)
Signature Algorithm: SHA1 with RSA Encryption
Issuer Name:
cn=QuoVadis Root CA 2
o=QuoVadis Limited
c=BM
Subject Name:
cn=QuoVadis Root CA 2
o=QuoVadis Limited
c=BM
Validity Date:
start date: 21:27:00 MSK Nov 24 2006
end date: 21:23:33 MSK Nov 24 2031
Storage: config
Associated Trustpoints: _SmartCallHome_ServerCA
Ji bo kontrolkirina operasyona ASDM, ji bîr nekin ku portê diyar bikin, mînakî:
Ka em mîhengên tunelê yên bingehîn pêk bînin:
Em ê tora pargîdanî bi tunelekê ve bigihînin, û rasterast Înternetê ve girêbidin (ne rêbaza herî ewledar di nebûna tedbîrên ewlehiyê de li ser mêvandarê girêdanê, mimkun e ku meriv di nav mêvandarek vegirtî de bikeve û daneyên pargîdaniyê derxe, vebijark tunnelall perçe-tunel-polîtîka dê hemî seyrûsefera mêvandar bihêle nav tunelê. Lê dîsa jî Split-Tunnel dihêle ku meriv deriyê VPN-ê ji holê rake û seyrûsefera Înternetê ya mêvandar nexebite)
Em ê mêvandarên di tunelê de bi navnîşanên ji jêrtorê 192.168.20.0/24 (hevokek ji 10 heta 30 navnîşanan (ji bo girê #1) derxînin. Divê her girêkek di komê de hewza VPN ya xwe hebe.
Werin em bi bikarhênerek herêmî ya ku li ser ASA-yê hatî afirandin verastkirina bingehîn pêk bînin (Ev nayê pêşniyar kirin, ev rêbaza herî hêsan e), çêtir e ku hûn bi navgîniyê verastkirinê bikin LDAP / RADIUS, an çêtir hîn, girêde Nasnameya Pir-Faktorî (MFA)mînakî Cisco DUO.
(BIXWE): Di mînaka li jor de, me bikarhênerek herêmî li ser dîwarê agir bikar anî da ku bikarhênerên dûr verast bikin, ku bê guman ji bilî di laboratûarê de hindik e. Ez ê mînakek bidim ka meriv çawa zû sazkirinê ji bo rastkirinê biguhezîne çap server, ji bo nimûne tê bikaranîn Cisco Nasnameya Karûbarên Nasnameyê:
Vê entegrasyonê ne tenê gengaz kir ku meriv zû prosedûra erêkirinê bi karûbarê pelrêça AD-ê re bike yek, lê di heman demê de cûdahiyê bike ka komputera girêdayî AD-ê ye, fêm bike ka ew amûrek pargîdanî ye an kesek kesane ye, û rewşa pêwendiyê binirxîne. sazî.
Werin em NAT-a Transparent mîheng bikin da ku seyrûsefera di navbera xerîdar û çavkaniyên torê yên tora pargîdanî de neyê asteng kirin:
vpn-demo-1(config-network-object)# subnet 192.168.20.0 255.255.255.0
!
vpn-demo-1(config)# nat (inside,outside) source static any any destination static vpn-users vpn-users no-proxy-arp
(BIXWE): Ji bo ku xerîdarên xwe bi riya ASA (dema ku bikar tînin) ji Înternetê re eşkere bikin tunnelall vebijarkan) PAT bikar bînin, û her weha bi heman navbeynkariya DERVE ji cihê ku ew pê ve girêdayî ne derkevin, hûn hewce ne ku mîhengên jêrîn bikin
Dema ku komek bikar tîne pir girîng e ku tora hundurîn bike ku fêm bike ka kîjan ASA rê li trafîkê vedigere bikarhêneran; ji bo vê yekê pêdivî ye ku rêgezên /32 navnîşanên ku ji xerîdaran re hatine şandin ji nû ve belav bikin.
Heya nuha, me hîn komê mîheng nekiriye, lê jixwe me dergehên VPN yên xebatê hene ku hûn dikarin bi yekcarî bi FQDN an IP-yê ve girêbidin.
Em di tabloya rêvekirinê ya yekem ASA de xerîdarê girêdayî dibînin:
Ji ber vê yekê ku tevahiya koma meya VPN û tevahiya tora pargîdanî rêça xerîdarê me dizane, em ê pêşgira xerîdar ji nû ve li protokolek rêveçûna dînamîkî belav bikin, mînakî OSPF:
Naha me rêyek ji xerîdar ji dergehê duyemîn ASA-2 heye û bikarhênerên ku bi dergehên VPN yên cihêreng ên di nav komê de ve girêdayî ne, dikarin, mînakî, rasterast bi têlefonek nermalav a pargîdanî re têkilî daynin, mîna ku seyrûsefera vegerê ji çavkaniyên ku ji hêla bikarhêner ve hatî xwestin dê were. li dergehê VPN ya xwestî:
Werin em biçin sazkirina koma Barkêş-Balanser.
Navnîşana 192.168.31.40 dê wekî IP-ya Virtual were bikar anîn (VIP - hemî xerîdarên VPN dê di destpêkê de pê ve girêbidin), ji vê navnîşanê dê Cluster Master REDIRECT berbi girêka komê ya kêm barkirî. Ji bîr nekin ku qeyd bikin pêş û paşde tomarên DNS hem ji bo her navnîşana derveyî / FQDN ya her girêka komê, hem jî ji bo VIP.
Em xebata komê bi du xerîdarên girêdayî re kontrol dikin:
Werin em bi profîlek AnyConnect-a ku bixweber dakêşandî bi ASDM-ê re ezmûna xerîdar rehettir bikin.
Em profîlê bi rengek hêsan bi nav dikin û polîtîkaya koma xwe bi wê re têkildar dikin:
Piştî pêwendiya xerîdar a din, ev profîl dê bixweber were dakêşandin û di muwekîlê AnyConnect de were saz kirin, ji ber vê yekê heke hûn hewce ne ku pê ve girêdin, hûn tenê hewce ne ku wê ji navnîşê hilbijêrin:
Ji ber ku me ASDM bikar anî me ev profîl tenê li ser yek ASA çêkir, ji bîr nekin ku gavên li ser ASAyên mayî yên di komê de dubare bikin.
Encam: Bi vî rengî, me zû komek ji çend dergehên VPN bi hevsengkirina barkirina otomatîkî vekir. Zêdekirina girêkên nû li komê hêsan e, bi bicihkirina makîneyên virtual yên nû yên ASAv an jî bi karanîna ASA-yên hardware bi destxistina pîvana horîzontal a hêsan. Xerîdarê AnyConnect-ê-dewlemend dikare bi karanîna kapasîteyên pêwendiya dûr a ewledar pir zêde bike Rewş (nirxandinên dewletê), herî bi bandor bi hev re bi pergala kontrola gihîştina navendî û pergala hesabê ve tê bikaranîn Engine Services Nasname.