In hoc articulo velim gradatim praebere instructiones quomodo possis celeriter maxime scalabilem rationem momento explicari. Longinquus Access VPN accessum fundatur AnyConnect et Cisco ASA - VPN Load Librans botrus.
Π²Π΅Π΄Π΅Π½ΠΈΠ΅: Multae societates circum orbem terrarum, ob condicionem hodiernam cum COVID-19, operam dant ut suos conductos ad laborem remotum transferant. Ob transitum ad opus remotum divulgatum, onus societatum portarum VPN existentium critico auget et velocissima facultas ad eas ascendendi requiritur. Contra, multae turmae conceptum remoti operis a de integro festinare coguntur.
Praeparavi gradatim instructiones pro optione simplici ad botrum VPN oneratus librans explicandi ut technologiae VPN maxime scalabiles.
Exemplum inferius, satis simplex erit ex parte algorithms authenticationis et auctoritatis adhibitae, sed erit optio bona pro initio velox (quod est aliquid quod nunc multi carent) cum possibilitate altissimae accommodandae. necessitates vestras in processu instruere.
Brevis notitia: VPN Ponens botrus technologiam librans non est defectivus vel racemus munus in sensu nativo suo, haec technologia prorsus diversa ASA exempla (cum restrictionibus quibusdam) cohaerere potest ut nexus VPN remotis-Accessibus stateram oneret. Nulla synchronisatio sessionum et configurationum inter nodi talis botri, sed fieri potest ut nexus VPN libram automatice onerent et culpae tolerantiae nexuum VPN curent donec saltem una nodi activa in botro remaneat. Onus in botro statim secundum quod inposuit nodis secundum numerum VPN sessionum libratur.
Nam culpa tolerantiae nodis botri specificis (si opus sit), fasciculo uti potes, ergo nexus activa a primario fasciculi nodo procedetur. Fasciculus non est condicio necessaria ad tolerantiam culpae praestandae intra botrum Load-Bananceing, in eventu nodi defectus, botrus ipse usorem in aliam nodi vitam transferet, sed sine nexu status servato, quae prorsus quid est. tabella praebet. Ideo hae duae technologiae coniungi possunt, si opus est.
Botrus VPN Ponens plus quam duos nodos continere potest.
Botrus VPN Ponens Librans sustinetur ASA 5512-X et altior.
Cum uterque ASA intra VPN Botrus Load-Librationem independens unitas est secundum unctiones, omnes gradus conformationis in singulis singulae notae exequimur.
ASAv exempla exemplarium explicamus ex imagine (ASAv5/10/30/50) necessaria.
INTRA/EXTRA interfaces eidem VLAN assignamus (Foris in suo VLAN, intra in suo, at intra botrum commune, vide topologiam), interest ut interfaces eiusdem generis in eodem segmento L2 sitae sint.
Licentiae:
In tempore institutionis ASAv licentias quaslibet non habebit et ad 100kbit/sec limitatur.
Ad licentiam installandi, signum generandi in Smert-Ratio Rationis Tuae debes: https://software.cisco.com/ -> Dolor Software Licensing
In fenestra quod aperit, preme puga Novum Thochen
Fac ut ager in fenestra aperit activum est et capsa reprimatur Patitur export imperium functionality... Sine hac activo agro, valido encryption functionibus uti non poteris, itaque, VPN. Si hic ager non est activus, pete ut turmas tuas rationem activationis petant.
Post instaret felis Create Thochensignum erit, quod utemur ad licentiam ASAv, transcribere;
Repetamus vestigia C, D, E pro singulis explicavit ASAv.
Ut indicium facilius effingas, telnet temporaliter faciamus. Configurare unumquemque ASA (exemplum infra uncinis in ASA-I illustratum). telnet ab extra non operatur, si vere id opus est, securitatem-gradum ad 100 ad extra mutare, deinde retro mutare.
!
ciscoasa(config)# int gi0/0
ciscoasa(config)# nameif outside
ciscoasa(config)# ip address 192.168.31.30 255.255.255.0
ciscoasa(config)# no shut
!
ciscoasa(config)# int gi0/1
ciscoasa(config)# nameif inside
ciscoasa(config)# ip address 192.168.255.2 255.255.255.0
ciscoasa(config)# no shut
!
ciscoasa(config)# telnet 0 0 inside
ciscoasa(config)# username admin password cisco priv 15
ciscoasa(config)# ena password cisco
ciscoasa(config)# aaa authentication telnet console LOCAL
!
ciscoasa(config)# route outside 0 0 192.168.31.1
!
ciscoasa(config)# wr
!
Ad signum subcriptio in nube Smert-Rationis, Internet accessum ad ASA praebere debes, singula hic.
Denique ASA opus est;
Penitus accessus per HTTPS;
tempus synchronisation (rectius per NTP);
DNS relatus servo;
Imus per telnet ad ASA nostro et occasus facimus licentiam excitandi per Smart-Account.
Ad ASDM ad operandum, primum ex cisco.com detrahendum est, in casu meo sequens fasciculus:
Ad clientem AnyConnect ad operandum, debes imaginem trahere unicuique ASA pro escritorio clientis OS adhibito (proposuit ut Linux/Windows/MAC utere), lima opus erit cum Headend instruere Package In indice:
Tabulae receptae fasciculi impositi possunt, exempli gratia, servo FTP et unicuique ASA impositi;
ASDM et subsignatum libellum de SSL-VPN configuramus (commendatur ut certificatorium in productione uti). Statutum FQDN de botri Oratio Virtualis (vpn-demo.ashes.cc), ac singula FQDN cum inscriptione externa cuiusque nodi coniungi debent resolveri in zona externa DNS ad IP inscriptionem interfaciei extra (vel ad inscriptionem praescriptam si udp/443 port transmissio adhibetur (DTLS) et tcp/443(TLS)). ENARRATIO de requisitis ad certificatorium specificatur in sectione libellum sunt comprobatio documentum.
!
vpn-demo-1(config)# crypto ca trustpoint SELF
vpn-demo-1(config-ca-trustpoint)# enrollment self
vpn-demo-1(config-ca-trustpoint)# fqdn vpn-demo.ashes.cc
vpn-demo-1(config-ca-trustpoint)# subject-name cn=*.ashes.cc, ou=ashes-lab, o=ashes, c=ru
vpn-demo-1(config-ca-trustpoint)# serial-number
vpn-demo-1(config-ca-trustpoint)# crl configure
vpn-demo-1(config-ca-crl)# cry ca enroll SELF
% The fully-qualified domain name in the certificate will be: vpn-demo.ashes.cc
Generate Self-Signed Certificate? [yes/no]: yes
vpn-demo-1(config)#
!
vpn-demo-1(config)# sh cry ca certificates
Certificate
Status: Available
Certificate Serial Number: 4d43725e
Certificate Usage: General Purpose
Public Key Type: RSA (4096 bits)
Signature Algorithm: SHA256 with RSA Encryption
Issuer Name:
serialNumber=9A439T02F95
hostname=vpn-demo.ashes.cc
cn=*.ashes.cc
ou=ashes-lab
o=ashes
c=ru
Subject Name:
serialNumber=9A439T02F95
hostname=vpn-demo.ashes.cc
cn=*.ashes.cc
ou=ashes-lab
o=ashes
c=ru
Validity Date:
start date: 00:16:17 MSK Mar 19 2020
end date: 00:16:17 MSK Mar 17 2030
Storage: config
Associated Trustpoints: SELF
CA Certificate
Status: Available
Certificate Serial Number: 0509
Certificate Usage: General Purpose
Public Key Type: RSA (4096 bits)
Signature Algorithm: SHA1 with RSA Encryption
Issuer Name:
cn=QuoVadis Root CA 2
o=QuoVadis Limited
c=BM
Subject Name:
cn=QuoVadis Root CA 2
o=QuoVadis Limited
c=BM
Validity Date:
start date: 21:27:00 MSK Nov 24 2006
end date: 21:23:33 MSK Nov 24 2031
Storage: config
Associated Trustpoints: _SmartCallHome_ServerCA
Operationem ASDM reprimendam, portum denotare noli, exempli gratia:
Praecipua cuniculi occasus peragamus:
Reticulum corporatum per cuniculum facilem faciemus et interretialem directe coniungemus (non tutissima methodus sine mensurae securitatis in connectens exercitum, penetrare potest per infectam exercitum et per output corporatum datam, optionem split, cuniculum, consilium cuniculi permittet omnem exercitum in cuniculum negotiationis. tamen Scindo-Tunnel sinit, ut VPN porta sublevare possit nec processus exercitum Internet negotiationis)
Exercitationes in cuniculo dabimus cum inscriptionibus e subnet 192.168.20.0/24 (piscina 10 ad 30 inscriptionum (pro nodi #1)). Quilibet nodi in botro debet habere suum VPN stagnum.
Praecipuam authenticitatem faciamus cum usore locali creato in ASA (Hoc non commendatur, haec est methodus simplicissima), melius est per authenticas facere. LDAP/RADIUSaut melius, ue Multi-factor authenticitate (MFA), Exempli gratia Cisco DUO.
(libitum): In exemplo superiore in firewall ad authenticas remotos utentes locales usi sumus, quod sane parum prodest nisi in officina laborat. Exemplum dabo quomodo prompte adaptationem ad authenticas adaptet RADIUS server, used for example Cisco Identity Services Engine:
Haec integratio effecit non solum ut celeriter authenticas procedendi rationem cum servitio directorio integrandi, sed etiam ad distinguendum num computatorium connexum ad AD pertineat, intellige an fabrica corporatum sit an personale, ac statum connexum perpendat. notae.
Transparent NAT configurare ut commercium inter clientem et retis facultates retis corporati nihil impedit:
vpn-demo-1(config-network-object)# subnet 192.168.20.0 255.255.255.0
!
vpn-demo-1(config)# nat (inside,outside) source static any any destination static vpn-users vpn-users no-proxy-arp
(libitum); Exponere clientes nostros ad Internet per ASA (cum usura cuniculum optiones) utens PAT, et etiam per eosdem exitus interfacies extra, unde connectuntur, debes facere occasus sequentes
Maximi momenti est cum botro utendo ut retis internis ad intelligendum quod ASA ad iter faciendum negotiatio utentibus usoribus reddat, necesse est enim vias /32 inscriptiones clientibus latis redigendas esse.
In momento, botrum nondum figuravimus, sed portas iam VPN laboramus ad quas singulatim per FQDN vel IP coniungere potes.
Connexum clientem videmus in excitanda mensa primae ASA;
Ut totus noster botrus VPN et tota retis corporatus viam clienti nostro cognoscant, clientem praepositionem in protocollo dynamico evertere debebimus, exempli gratia OSPF:
Nunc iter ad clientem habemus ex porta secunda ASA-2 et usoribus cum diversis VPN portarum intra botrum connexum, exempli gratia, directe communicare per corporatum softphonem, sicut negotiatio ex opibus ab utente petitis adveniet. ad optatos portae VPN:
Transeamus ad botrum Librans ad erigendum.
192.168.31.40 Oratio Rectum IP adhibebitur (VIP - omnes clientes VPN cum initio coniungent), ex hac inscriptione Magister Botrus redibit ad nodi botri minus onusto. Noli oblivisci subcriptio deinceps vicissim DNS records tum pro utraque inscriptione externa/FQDN utriusque nodi botri, et pro VIP.
Cohibemus operationem botri cum clientibus duobus connexis;
Experientiam emptoris commodiorem faciamus cum automatice anyConnect profile per ASDM receptam.
Profile modo convenienti nominamus et consilium nostrum adiungimus cum ea:
Post nexum clientem proximum, haec profile sponte in clientelam AnyConnect recepta et inaugurata erit, ut si coniungere debes, tantum e indice eligere debes:
Cum ASDM hanc paginam in una tantum ASA creavimus, vestigia in reliquis ASAs in botro iterare noli oblivisci.
conclusioni, Ita celeriter botrum plurium portarum VPN cum latis onere libratis direximus. Nodos novos botro addito facile est, scalas horizontales simplices efficere, novas ASAv virtualis machinis disponere vel ferramentis ASAs utere. Pluma-dives AnyConnect clientis augere potest maxime augendae tuae iunctio capabilities in tuto remota Positio (publica censibus), efficacissime adhibentur in conjunctione cum accessu centralised potestate et ratiocinatione Identity Services Engine.