ASA VPN slodzes līdzsvarošanas klastera izvietošana

Šajā rakstā es vēlos sniegt detalizētus norādījumus par to, kā jūs varat ātri izvietot pašlaik mērogojamāko shēmu. Attālās piekļuves VPN balstīta uz piekļuvi AnyConnect un Cisco ASA - VPN slodzes līdzsvarošanas klasteris.

Ievads: Daudzi uzņēmumi visā pasaulē, ņemot vērā pašreizējo situāciju ar Covid-19, pieliek pūles, lai pārceltu savus darbiniekus uz attālinātu darbu. Sakarā ar masveida pāreju uz attālināto darbu kritiski pieaug slodze uz esošajiem uzņēmumu VPN vārtejiem un ir nepieciešama ļoti ātra spēja tos mērogot. No otras puses, daudzi uzņēmumi ir spiesti steigā apgūt attālinātā darba jēdzienu no nulles.

Lai palīdzētu uzņēmumiem pēc iespējas īsākā laikā nodrošināt ērtu, drošu un mērogojamu VPN piekļuvi darbiniekiem, Cisco licencē AnyConnect funkcijām bagāto SSL-VPN klientu līdz 13 nedēļām. Varat arī veikt ASAv pārbaudi (virtuālo ASA VMWare/Hyper-V/KVM hipervizoriem un AWS/Azure mākoņa platformām) no pilnvarotiem partneriem vai sazinoties ar Cisco pārstāvjiem, kas strādā ar jums..

AnyConnect COVID-19 licenču izsniegšanas procedūra ir aprakstīta šeit.

Esmu sagatavojis soli pa solim ceļvedi vienkāršai VPN slodzes līdzsvarošanas klastera izvietošanai kā visvairāk mērogojamajai VPN tehnoloģijai.

Tālāk sniegtais piemērs būs diezgan vienkāršs izmantoto autentifikācijas un autorizācijas algoritmu ziņā, taču tas būs labs risinājums ātrai sākšanai (ar to pašlaik daudziem nepietiek) ar iespēju izvietošanas laikā padziļināti pielāgot jūsu vajadzībām. process.

Īsa informācija: VPN slodzes līdzsvarošanas klastera tehnoloģija nav kļūmjpārlēce un nav klasterizācijas funkcija tās sākotnējā nozīmē, šī tehnoloģija var apvienot pilnīgi dažādus ASA modeļus (ar noteiktiem ierobežojumiem), lai līdzsvarotu attālās piekļuves VPN savienojumus. Starp šāda klastera mezgliem nenotiek sesiju un konfigurāciju sinhronizācija, taču ir iespējams automātiski slodzes līdzsvarotu VPN savienojumus un nodrošināt VPN savienojumu kļūdu toleranci, līdz klasterī paliek vismaz viens aktīvs mezgls. Slodze klasterī tiek automātiski līdzsvarota atkarībā no mezglu darba slodzes pēc VPN sesiju skaita.

Konkrētu klastera mezglu kļūmjpārlēcei (ja nepieciešams) var izmantot failētāju, tāpēc aktīvo savienojumu apstrādās failētāja primārais mezgls. Failu pārvēršana nav obligāts nosacījums, lai nodrošinātu kļūdu toleranci slodzes līdzsvarošanas klasterī, pats klasteris mezgla atteices gadījumā pārsūtīs lietotāja sesiju uz citu aktīvo mezglu, bet nesaglabājot savienojuma statusu, kas ir precīzi ko nodrošina iesniedzējs. Attiecīgi, ja nepieciešams, ir iespējams apvienot šīs divas tehnoloģijas.

VPN slodzes līdzsvarošanas klasterī var būt vairāk nekā divi mezgli.

VPN slodzes līdzsvarošanas klasteris tiek atbalstīts ASA 5512-X un jaunākās versijās.

Tā kā katra ASA VPN slodzes līdzsvarošanas klasterī ir neatkarīga vienība iestatījumu ziņā, mēs veicam visas konfigurācijas darbības atsevišķi katrā atsevišķā ierīcē.

Sīkāka informācija par tehnoloģijām šeit

Dotā piemēra loģiskā topoloģija:

Primārā izvietošana:

1. Mēs izvietojam nepieciešamo veidņu ASAv gadījumus (ASAv5/10/30/50) no attēla.

2. Mēs piešķiram INSIDE / ĀRĒJOS interfeisus tiem pašiem VLAN (Ārpus savā VLAN, IEKŠĒJĀ savā, bet kopumā klasterī, skatiet topoloģiju), ir svarīgi, lai viena tipa saskarnes būtu tajā pašā L2 segmentā.

3. Licences:

   • Pašlaik ASAv instalācijai nebūs licenču, un tā būs ierobežota līdz 100 Kbps.
   • Lai instalētu licenci, savā viedkontā ir jāģenerē marķieris: https://software.cisco.com/ -> Viedās programmatūras licencēšana
   • Atvērtajā logā noklikšķiniet uz pogas Jauns marķieris

   

   • Pārliecinieties, vai atvērtajā logā ir aktīvs lauks un ir atzīmēta atzīme Atļaut eksporta kontrolētu funkcionalitāti… Ja šis lauks nav aktīvs, jūs nevarēsit izmantot spēcīgas šifrēšanas un attiecīgi VPN funkcijas. Ja šis lauks nav aktīvs, lūdzu, sazinieties ar sava konta komandu ar aktivizācijas pieprasījumu.

   

   • Pēc pogas nospiešanas Izveidot marķieri, tiks izveidots marķieris, ko izmantosim, lai iegūtu ASAv licenci, nokopējiet to:

   

   • Atkārtojiet darbības C, D, E katram izvietotajam ASAv.
   • Lai atvieglotu marķiera kopēšanu, īslaicīgi atļausim telnet. Konfigurēsim katru ASA (tālāk redzamais piemērs ilustrē ASA-1 iestatījumus). telnet nedarbojas ar ārpusi, ja jums tas tiešām ir nepieciešams, mainiet drošības līmeni uz 100 uz ārpusi, pēc tam atgrieziet to atpakaļ.

   !
   ciscoasa(config)# int gi0/0
   ciscoasa(config)# nameif outside
   ciscoasa(config)# ip address 192.168.31.30 255.255.255.0
   ciscoasa(config)# no shut
   !
   ciscoasa(config)# int gi0/1
   ciscoasa(config)# nameif inside
   ciscoasa(config)# ip address 192.168.255.2 255.255.255.0
   ciscoasa(config)# no shut
   !
   ciscoasa(config)# telnet 0 0 inside
   ciscoasa(config)# username admin password cisco priv 15
   ciscoasa(config)# ena password cisco
   ciscoasa(config)# aaa authentication telnet console LOCAL
   !
   ciscoasa(config)# route outside 0 0 192.168.31.1
   !
   ciscoasa(config)# wr
   !

   • Lai reģistrētu marķieri Smart-Account mākonī, jums ir jānodrošina ASA piekļuve internetam, sīkāka informācija šeit.

   Īsāk sakot, ASA ir nepieciešama:

   • piekļuve internetam, izmantojot HTTPS;
   • laika sinhronizācija (pareizāk, izmantojot NTP);
   • reģistrēts DNS serveris;
     • Mēs sazināsimies ar mūsu ASA un veicam iestatījumus, lai aktivizētu licenci, izmantojot Smart-Account.

   !
   ciscoasa(config)# clock set 19:21:00 Mar 18 2020
   ciscoasa(config)# clock timezone MSK 3
   ciscoasa(config)# ntp server 192.168.99.136
   !
   ciscoasa(config)# dns domain-lookup outside
   ciscoasa(config)# DNS server-group DefaultDNS
   ciscoasa(config-dns-server-group)# name-server 192.168.99.132 
   !
   ! Проверим работу DNS:
   !
   ciscoasa(config-dns-server-group)# ping ya.ru
   Type escape sequence to abort.
   Sending 5, 100-byte ICMP Echos to 87.250.250.242, timeout is 2 seconds:
   !!!!!
   !
   ! Проверим синхронизацию NTP:
   !
   ciscoasa(config)# show ntp associations 
     address         ref clock     st  when  poll reach  delay  offset    disp
   *~192.168.99.136   91.189.94.4       3    63    64    1    36.7    1.85    17.5
   * master (synced), # master (unsynced), + selected, - candidate, ~ configured
   !
   ! Установим конфигурацию нашей ASAv для Smart-Licensing (в соответствии с Вашим профилем, в моем случае 100М для примера)
   !
   ciscoasa(config)# license smart
   ciscoasa(config-smart-lic)# feature tier standard
   ciscoasa(config-smart-lic)# throughput level 100M
   !
   ! В случае необходимости можно настроить доступ в Интернет через прокси используйте следующий блок команд:
   !call-home
   !  http-proxy ip_address port port
   !
   ! Далее мы вставляем скопированный из портала Smart-Account токен (<token>) и регистрируем лицензию
   !
   ciscoasa(config)# end
   ciscoasa# license smart register idtoken <token>

   • Mēs pārbaudām, vai ierīce ir veiksmīgi reģistrējusi licenci un ir pieejamas šifrēšanas iespējas:

   

   

4. Katrā vārtejā iestatiet pamata SSL-VPN

   • Pēc tam konfigurējiet piekļuvi, izmantojot SSH un ASDM:

   ciscoasa(config)# ssh ver 2
   ciscoasa(config)# aaa authentication ssh console LOCAL
   ciscoasa(config)# aaa authentication http console LOCAL
   ciscoasa(config)# hostname vpn-demo-1
   vpn-demo-1(config)# domain-name ashes.cc
   vpn-demo-1(config)# cry key gen rsa general-keys modulus 4096 
   vpn-demo-1(config)# ssh 0 0 inside  
   vpn-demo-1(config)# http 0 0 inside
   !
   ! Поднимем сервер HTTPS для ASDM на порту 445 чтобы не пересекаться с SSL-VPN порталом
   !
   vpn-demo-1(config)# http server enable 445 
   !

   • Lai ASDM darbotos, vispirms tas ir jālejupielādē no vietnes cisco.com, manā gadījumā tas ir šāds fails:

   

   • Lai AnyConnect klients darbotos, jums ir jāaugšupielādē attēls katrā ASA katrai izmantotajai klienta darbvirsmas OS (plānots izmantot Linux / Windows / MAC), jums būs nepieciešams fails ar Headend izvietošanas pakotne Virsrakstā:

   

   • Lejupielādētos failus var augšupielādēt, piemēram, FTP serverī un augšupielādēt katrā atsevišķā ASA:

   

   • Mēs konfigurējam ASDM un pašparakstīto sertifikātu SSL-VPN (ražošanā ieteicams izmantot uzticamu sertifikātu). Virtuālās klastera adreses (vpn-demo.ashes.cc) iestatītajam FQDN, kā arī katram FQDN, kas saistīts ar katra klastera mezgla ārējo adresi, ārējā DNS zonā ir jāatrisina ĀRĒJĀ interfeisa IP adrese. (vai uz kartēto adresi, ja tiek izmantota portu pāradresācija udp/443 (DTLS) un tcp/443(TLS)). Sīkāka informācija par prasībām sertifikātam ir norādīta sadaļā Sertifikāta pārbaude dokumentācija.

   !
   vpn-demo-1(config)# crypto ca trustpoint SELF
   vpn-demo-1(config-ca-trustpoint)# enrollment self
   vpn-demo-1(config-ca-trustpoint)# fqdn vpn-demo.ashes.cc
   vpn-demo-1(config-ca-trustpoint)# subject-name cn=*.ashes.cc, ou=ashes-lab, o=ashes, c=ru
   vpn-demo-1(config-ca-trustpoint)# serial-number             
   vpn-demo-1(config-ca-trustpoint)# crl configure
   vpn-demo-1(config-ca-crl)# cry ca enroll SELF
   % The fully-qualified domain name in the certificate will be: vpn-demo.ashes.cc
   Generate Self-Signed Certificate? [yes/no]: yes
   vpn-demo-1(config)# 
   !
   vpn-demo-1(config)# sh cry ca certificates 
   Certificate
   Status: Available
   Certificate Serial Number: 4d43725e
   Certificate Usage: General Purpose
   Public Key Type: RSA (4096 bits)
   Signature Algorithm: SHA256 with RSA Encryption
   Issuer Name: 
   serialNumber=9A439T02F95
   hostname=vpn-demo.ashes.cc
   cn=*.ashes.cc
   ou=ashes-lab
   o=ashes
   c=ru
   Subject Name:
   serialNumber=9A439T02F95
   hostname=vpn-demo.ashes.cc
   cn=*.ashes.cc
   ou=ashes-lab
   o=ashes
   c=ru
   Validity Date: 
   start date: 00:16:17 MSK Mar 19 2020
   end   date: 00:16:17 MSK Mar 17 2030
   Storage: config
   Associated Trustpoints: SELF 
   
   CA Certificate
   Status: Available
   Certificate Serial Number: 0509
   Certificate Usage: General Purpose
   Public Key Type: RSA (4096 bits)
   Signature Algorithm: SHA1 with RSA Encryption
   Issuer Name: 
   cn=QuoVadis Root CA 2
   o=QuoVadis Limited
   c=BM
   Subject Name: 
   cn=QuoVadis Root CA 2
   o=QuoVadis Limited
   c=BM
   Validity Date: 
   start date: 21:27:00 MSK Nov 24 2006
   end   date: 21:23:33 MSK Nov 24 2031
   Storage: config
   Associated Trustpoints: _SmartCallHome_ServerCA               

   • Neaizmirstiet norādīt portu, lai pārbaudītu, vai ASDM darbojas, piemēram:

   

   • Veiksim tuneļa pamatiestatījumus:
   • Padarīsim pieejamu korporatīvo tīklu caur tuneli un ļausim iet tieši internetam (nav drošākais veids, ja savienojošajam resursdatoram nav aizsardzības, ir iespējams iekļūt caur inficētu resursdatoru un parādīt uzņēmuma datus, opcija split-tunnel-policy tunellall ielaidīs tunelī visu uzņēmēja satiksmi. tomēr sadalīts tunelis ļauj izlādēt VPN vārteju un neapstrādāt resursdatora interneta trafiku)
   • Izsniegsim adreses no apakštīkla 192.168.20.0/24 saimniekiem tunelī (kopā no 10 līdz 30 adresēm (mezglam #1)). Katram VPN klastera mezglam ir jābūt savam baseinam.
   • Mēs veiksim pamata autentifikāciju ar lokāli izveidotu lietotāju ASA (tas nav ieteicams, šī ir vienkāršākā metode), labāk ir veikt autentifikāciju, izmantojot LDAP/RADIUSS, vai vēl labāk, kaklasaiti Daudzfaktoru autentifikācija (MFA), Piem Cisco DUO.

   !
   vpn-demo-1(config)# ip local pool vpn-pool 192.168.20.10-192.168.20.30 mask 255.255.255.0
   !
   vpn-demo-1(config)# access-list split-tunnel standard permit 192.168.0.0 255.255.0.0
   !
   vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY internal
   vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY attributes
   vpn-demo-1(config-group-policy)# vpn-tunnel-protocol ssl-client 
   vpn-demo-1(config-group-policy)# split-tunnel-policy tunnelspecified
   vpn-demo-1(config-group-policy)# split-tunnel-network-list value split-tunnel
   vpn-demo-1(config-group-policy)# dns-server value 192.168.99.132
   vpn-demo-1(config-group-policy)# default-domain value ashes.cc
   vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes
   vpn-demo-1(config-tunnel-general)#  default-group-policy SSL-VPN-GROUP-POLICY
   vpn-demo-1(config-tunnel-general)#  address-pool vpn-pool
   !
   vpn-demo-1(config)# username dkazakov password cisco
   vpn-demo-1(config)# username dkazakov attributes
   vpn-demo-1(config-username)# service-type remote-access
   !
   vpn-demo-1(config)# ssl trust-point SELF
   vpn-demo-1(config)# webvpn
   vpn-demo-1(config-webvpn)#  enable outside
   vpn-demo-1(config-webvpn)#  anyconnect image disk0:/anyconnect-win-4.8.03036-webdeploy-k9.pkg
   vpn-demo-1(config-webvpn)#  anyconnect enable
   !

   • (NEOBLIGĀTI): Iepriekš minētajā piemērā attālo lietotāju autentificēšanai izmantojām vietējo ITU lietotāju, kas, protams, ir slikti piemērojams, izņemot laboratoriju. Es sniegšu piemēru, kā ātri pielāgot autentifikācijas iestatījumu RADIUS izmantotais serveris Cisco Identity Services Engine:

   vpn-demo-1(config-aaa-server-group)# dynamic-authorization
   vpn-demo-1(config-aaa-server-group)# interim-accounting-update
   vpn-demo-1(config-aaa-server-group)# aaa-server RADIUS (outside) host 192.168.99.134
   vpn-demo-1(config-aaa-server-host)# key cisco
   vpn-demo-1(config-aaa-server-host)# exit
   vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes
   vpn-demo-1(config-tunnel-general)# authentication-server-group  RADIUS 
   !

   Šī integrācija ļāva ne tikai ātri integrēt autentifikācijas procedūru ar AD direktoriju pakalpojumu, bet arī atšķirt, vai pievienotais dators pieder AD, saprast, vai šī ierīce ir korporatīva vai personiska, un novērtēt pievienotās ierīces statusu. .

   

   

   • Konfigurēsim Transparent NAT tā, lai trafika starp klientu un korporatīvā tīkla resursiem netiktu uzrakstīta:

   vpn-demo-1(config-network-object)#  subnet 192.168.20.0 255.255.255.0
   !
   vpn-demo-1(config)# nat (inside,outside) source static any any destination static vpn-users vpn-users no-proxy-arp

   • (NEOBLIGĀTI): Lai mūsu klienti varētu piekļūt internetam, izmantojot ASA (izmantojot tunelis opcijas), izmantojot PAT, kā arī iziet caur to pašu ĀRĒJO interfeisu, no kura tie ir savienoti, jums jāveic šādi iestatījumi

   vpn-demo-1(config-network-object)# nat (outside,outside) source dynamic vpn-users interface
   vpn-demo-1(config)# nat (inside,outside) source dynamic any interface
   vpn-demo-1(config)# same-security-traffic permit intra-interface 
   !

   • Izmantojot klasteri, ir ārkārtīgi svarīgi ļaut iekšējam tīklam saprast, kuram ASA novirzīt atpakaļ trafiku lietotājiem, šim nolūkam ir jāpārdala maršruti / 32 klientiem izsniegtās adreses.
     Šobrīd mēs vēl neesam konfigurējuši klasteru, taču mums jau ir strādājošas VPN vārtejas, kuras var atsevišķi savienot, izmantojot FQDN vai IP.

   

   Mēs redzam pievienoto klientu pirmās ASA maršrutēšanas tabulā:

   

   Lai viss mūsu VPN klasteris un viss korporatīvais tīkls zinātu maršrutu līdz mūsu klientam, mēs pārdalīsim klienta prefiksu dinamiskā maršrutēšanas protokolā, piemēram, OSPF:

   !
   vpn-demo-1(config)# route-map RMAP-VPN-REDISTRIBUTE permit 1
   vpn-demo-1(config-route-map)#  match ip address VPN-REDISTRIBUTE
   !
   vpn-demo-1(config)# router ospf 1
   vpn-demo-1(config-router)#  network 192.168.255.0 255.255.255.0 area 0
   vpn-demo-1(config-router)#  log-adj-changes
   vpn-demo-1(config-router)#  redistribute static metric 5000 subnets route-map RMAP-VPN-REDISTRIBUTE

   Tagad mums ir maršruts uz klientu no otrās ASA-2 vārtejas, un lietotāji, kas ir savienoti ar dažādām VPN vārtejām klasterī, var, piemēram, sazināties tieši, izmantojot korporatīvo softphone, kā arī atgriezt trafiku no lietotāja pieprasītajiem resursiem. dodieties uz vēlamo VPN vārteju:

   

5. Pāriesim pie slodzes līdzsvarošanas klastera konfigurēšanas.

   Adrese 192.168.31.40 tiks izmantota kā Virtuālais IP (VIP – visi VPN klienti sākotnēji tai pieslēgsies), no šīs adreses Master klasteris veiks REDIRECT uz mazāk noslogotu klastera mezglu. Neaizmirsti uzrakstīt uz priekšu un apgrieztu DNS ierakstu gan katrai klastera mezgla katrai ārējai adresei / FQDN, gan VIP.

   vpn-demo-1(config)# vpn load-balancing
   vpn-demo-1(config-load-balancing)# interface lbpublic outside
   vpn-demo-1(config-load-balancing)# interface lbprivate inside
   vpn-demo-1(config-load-balancing)# priority 10
   vpn-demo-1(config-load-balancing)# cluster ip address 192.168.31.40
   vpn-demo-1(config-load-balancing)# cluster port 4000
   vpn-demo-1(config-load-balancing)# redirect-fqdn enable
   vpn-demo-1(config-load-balancing)# cluster key cisco
   vpn-demo-1(config-load-balancing)# cluster encryption
   vpn-demo-1(config-load-balancing)# cluster port 9023
   vpn-demo-1(config-load-balancing)# participate
   vpn-demo-1(config-load-balancing)#

   • Mēs pārbaudām klastera darbību ar diviem savienotiem klientiem:

   

   • Padarīsim klienta pieredzi ērtāku ar automātiski ielādētu AnyConnect profilu, izmantojot ASDM.

   

   Mēs nosaucam profilu ērtā veidā un saistām ar to mūsu grupas politiku:

   

   Pēc nākamā klienta savienojuma izveides šis profils tiks automātiski lejupielādēts un instalēts AnyConnect klientā, tāpēc, ja nepieciešams izveidot savienojumu, jums tas vienkārši jāatlasa sarakstā:

   

   Tā kā mēs izveidojām šo profilu tikai vienā ASA, izmantojot ASDM, neaizmirstiet atkārtot darbības ar citām klastera ASA.

Secinājums: Tādējādi mēs ātri izvietojām vairāku VPN vārteju kopu ar automātisku slodzes līdzsvarošanu. Jaunu mezglu pievienošana klasterim ir vienkārša, izmantojot vienkāršu horizontālu mērogošanu, izvietojot jaunas ASAv virtuālās mašīnas vai izmantojot aparatūras ASA. Ar funkcijām bagātais AnyConnect klients var ievērojami uzlabot drošu attālo savienojumu, izmantojot Stāja (stāvokļa aprēķini), ko visefektīvāk izmanto kopā ar centralizētās kontroles un piekļuves uzskaites sistēmu Identitātes pakalpojumu dzinējs.

Avots: www.habr.com