Ato amin'ity lahatsoratra ity, te-hanome torolalana an-dàlam-pandrosoana aho momba ny fomba ahafahanao mametraka haingana ny tetika azo esorina amin'izao fotoana izao. Remote Access VPN mifototra amin'ny fidirana AnyConnect sy Cisco ASA - VPN Load Balancing Cluster.
Fampidirana: Orinasa maro eran'izao tontolo izao, manoloana ny toe-draharaha misy amin'izao fotoana izao miaraka amin'ny COVID-19, dia manao ezaka hamindra ny mpiasany any amin'ny asa lavitra. Noho ny fifindrana faobe mankany amin'ny asa lavitra, ny enta-mavesatra eo amin'ny vavahadin'ny VPN efa misy an'ny orinasa dia mitombo be ary ilaina ny fahaiza-manao haingana amin'ny fampitomboana azy ireo. Amin'ny lafiny iray, orinasa maro no voatery hifehy haingana ny foto-kevitry ny asa lavitra hatrany am-boalohany.
Mba hanampiana ireo orinasa hahazo fidirana VPN mora, azo antoka ary azo esorina ho an'ny mpiasa ao anatin'ny fotoana fohy indrindra, manome alalana ny mpanjifa SSL VPN manana endri-javatra AnyConnect mandritra ny 13 herinandro ny Cisco. .
.
Nanomana torolalana an-dàlam-pandrosoana aho amin'ny fametrahana tsotra ny VPN Load-Blancing Cluster ho teknolojia VPN azo ekena indrindra.
Ny ohatra etsy ambany dia ho tsotra amin'ny alàlan'ny algorithm momba ny fanamarinana sy ny fanomezan-dàlana ampiasaina, fa ho safidy tsara ho an'ny fanombohana haingana (izay tsy ampy ho an'ny maro amin'izao fotoana izao) miaraka amin'ny mety hisian'ny fampifanarahana lalina amin'ny filanao mandritra ny fametrahana. dingana.
Fampahafantarana fohy: Ny teknolojia VPN Load Balancing Cluster dia tsy failover ary tsy fiasa clustering amin'ny heviny manokana, ity teknolojia ity dia afaka manambatra modely ASA hafa tanteraka (miaraka amin'ny fameperana sasany) mba hampidirana fifandanjana fifandraisana Remote-Access VPN. Tsy misy fampifanarahana ny fotoam-pivoriana sy ny fanamafisam-peo eo amin'ireo node amin'ny cluster toy izany, fa azo atao ny mametaka ny fifandanjana VPN ho azy ary miantoka ny fandeferana ny fifandraisana VPN mandra-pahatongan'ny node mavitrika iray ao anaty cluster. Ny enta-mavesatra ao amin'ny cluster dia voalanjalanja ho azy arakaraka ny enta-mavesatry ny nodes amin'ny isan'ny fivoriana VPN.
Ho an'ny tsy fahampian'ny node manokana amin'ny cluster (raha ilaina), dia azo ampiasaina ny filer, ka ny fifandraisana mavitrika dia hokarakarain'ny node Primary an'ny filer. Ny fileover dia tsy fepetra ilaina hiantohana ny fandeferana amin'ny lesoka ao anatin'ny kluster Load-Balancing, ny cluster mihitsy, raha sendra misy tsy fahombiazan'ny node, dia hamindra ny fivorian'ny mpampiasa amin'ny node mivantana hafa, fa tsy mitahiry ny satan'ny fifandraisana, izay tena marina. nomen'ny mpitahiry. Araka izany, azo atao, raha ilaina, ny manambatra ireo teknolojia roa ireo.
Ny cluster Load-Blancing VPN dia mety ahitana node mihoatra ny roa.
VPN Load-Blancing Cluster dia tohanana amin'ny ASA 5512-X sy ambony.
Koa satria ny ASA tsirairay ao anatin'ny kluster VPN Load-Blancing dia singa mahaleo tena amin'ny resaka toe-javatra, dia manao ny dingana rehetra amin'ny fanamafisana tsirairay izahay amin'ny fitaovana tsirairay.
Ny topolojia lojika amin'ny ohatra nomena:
Fametrahana voalohany:
Mametraka ohatra ASAv amin'ny maodely ilaintsika (ASAv5/10/30/50) avy amin'ny sary.
Manendry ny interface INSIDE / OUTSIDE amin'ny VLAN mitovy (Ety ivelany amin'ny VLAN azy manokana, INSIDE amin'ny azy manokana, fa amin'ny ankapobeny ao anatin'ny cluster, jereo ny topology), zava-dehibe ny fifandraisana amin'ny karazana mitovy dia ao amin'ny fizarana L2 mitovy.
Fahazoan-dàlana:
- Amin'izao fotoana izao dia tsy manana fahazoan-dàlana ny fametrahana ASAv ary ho voafetra ho 100kbps.
- Raha te hametraka fahazoan-dàlana dia mila mamorona famantarana ao amin'ny Smart-Account ianao: -> Smart Software Licensing
- Ao amin'ny varavarankely misokatra, tsindrio ny bokotra Token vaovao
- Ataovy azo antoka fa ao amin'ny varavarankely misokatra dia misy saha mavitrika ary misy marika fanamarinana Avelao ny fiasa voafehy fanondranana… Raha tsy misy an'ity saha ity dia tsy afaka mampiasa ny fiasan'ny encryption matanjaka ianao ary, araka izany, ny VPN. Raha tsy mavitrika ity sehatra ity dia mifandraisa amin'ny ekipan'ny kaontinao miaraka amin'ny fangatahana fampahavitrihana.
- Rehefa avy manindry ny bokotra Mamorona Token, hisy famantarana hoforonina izay hampiasainay hahazoana fahazoan-dàlana ho an'ny ASAv, kopia izany:
- Avereno ny dingana C,D,E ho an'ny ASAv tsirairay.
- Mba hanamora ny fanaovana kopia ny token dia aleo avela vetivety ny telnet. Andao amboary ny ASA tsirairay (ny ohatra etsy ambany dia mampiseho ny fikandrana amin'ny ASA-1). telnet dia tsy miasa amin'ny ivelany, raha tena mila izany ianao dia ovay ho 100 ny haavon'ny fiarovana ho any ivelany, dia avereno indray.
! ciscoasa(config)# int gi0/0 ciscoasa(config)# nameif outside ciscoasa(config)# ip address 192.168.31.30 255.255.255.0 ciscoasa(config)# no shut ! ciscoasa(config)# int gi0/1 ciscoasa(config)# nameif inside ciscoasa(config)# ip address 192.168.255.2 255.255.255.0 ciscoasa(config)# no shut ! ciscoasa(config)# telnet 0 0 inside ciscoasa(config)# username admin password cisco priv 15 ciscoasa(config)# ena password cisco ciscoasa(config)# aaa authentication telnet console LOCAL ! ciscoasa(config)# route outside 0 0 192.168.31.1 ! ciscoasa(config)# wr !- Raha te hisoratra anarana amin'ny rahona Smart-Account dia tsy maintsy manome fidirana Internet ho an'ny ASA ianao, .
Raha fintinina dia ilaina ny ASA:
- fidirana amin'ny alàlan'ny HTTPS amin'ny Internet;
- fotoana synchronization (marina kokoa, amin'ny alalan'ny NTP);
- mpizara DNS voasoratra anarana;
- Telnet amin'ny ASA izahay ary manao fampandehanana ny fahazoan-dàlana amin'ny alàlan'ny Smart-Account.
! ciscoasa(config)# clock set 19:21:00 Mar 18 2020 ciscoasa(config)# clock timezone MSK 3 ciscoasa(config)# ntp server 192.168.99.136 ! ciscoasa(config)# dns domain-lookup outside ciscoasa(config)# DNS server-group DefaultDNS ciscoasa(config-dns-server-group)# name-server 192.168.99.132 ! ! Проверим работу DNS: ! ciscoasa(config-dns-server-group)# ping ya.ru Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 87.250.250.242, timeout is 2 seconds: !!!!! ! ! Проверим синхронизацию NTP: ! ciscoasa(config)# show ntp associations address ref clock st when poll reach delay offset disp *~192.168.99.136 91.189.94.4 3 63 64 1 36.7 1.85 17.5 * master (synced), # master (unsynced), + selected, - candidate, ~ configured ! ! Установим конфигурацию нашей ASAv для Smart-Licensing (в соответствии с Вашим профилем, в моем случае 100М для примера) ! ciscoasa(config)# license smart ciscoasa(config-smart-lic)# feature tier standard ciscoasa(config-smart-lic)# throughput level 100M ! ! В случае необходимости можно настроить доступ в Интернет через прокси используйте следующий блок команд: !call-home ! http-proxy ip_address port port ! ! Далее мы вставляем скопированный из портала Smart-Account токен (<token>) и регистрируем лицензию ! ciscoasa(config)# end ciscoasa# license smart register idtoken <token>- Hamarininay fa nahavita nisoratra anarana fahazoan-dàlana ilay fitaovana ary misy safidy fanafenana:
Manangana SSL-VPN fototra amin'ny vavahady tsirairay
- Manaraka, amboary ny fidirana amin'ny SSH sy ASDM:
ciscoasa(config)# ssh ver 2 ciscoasa(config)# aaa authentication ssh console LOCAL ciscoasa(config)# aaa authentication http console LOCAL ciscoasa(config)# hostname vpn-demo-1 vpn-demo-1(config)# domain-name ashes.cc vpn-demo-1(config)# cry key gen rsa general-keys modulus 4096 vpn-demo-1(config)# ssh 0 0 inside vpn-demo-1(config)# http 0 0 inside ! ! Поднимем сервер HTTPS для ASDM на порту 445 чтобы не пересекаться с SSL-VPN порталом ! vpn-demo-1(config)# http server enable 445 !- Mba hiasa ny ASDM dia tsy maintsy misintona azy avy amin'ny tranokala cisco.com aloha ianao, raha ny amiko dia ity rakitra manaraka ity:
- Mba hiasa ny mpanjifa AnyConnect dia mila mampakatra sary ho an'ny ASA tsirairay ianao ho an'ny OS mpanjifa desktop tsirairay ampiasaina (nokasaina hampiasa Linux / Windows / MAC), mila rakitra misy Package Deployment Headend Ao amin'ny lohateny:
- Ny rakitra alaina dia azo ampidirina, ohatra, amin'ny mpizara FTP ary ampidirina amin'ny ASA tsirairay:
- Izahay dia manamboatra taratasy fanamarinana ASDM sy Self-Signed ho an'ny SSL-VPN (azo atao ny mampiasa taratasy fanamarinana azo itokisana amin'ny famokarana). Ny FQDN napetraka amin'ny Adiresy Cluster Virtual (vpn-demo.ashes.cc), ary koa ny FQDN tsirairay mifandraika amin'ny adiresy ivelany isaky ny node cluster, dia tsy maintsy mamaha ao amin'ny faritra DNS ivelany mankany amin'ny adiresy IP an'ny interface OUTSIDE (na mankany amin'ny adiresy voatanisa raha ampiasaina ny seranan-tsambo udp/443 (DTLS) sy tcp/443(TLS)). Ny fampahalalana amin'ny antsipiriany momba ny fepetra takiana amin'ny taratasy fanamarinana dia voafaritra ao amin'ny fizarana Fanamarinana fanamarinana antontan-taratasy.
! vpn-demo-1(config)# crypto ca trustpoint SELF vpn-demo-1(config-ca-trustpoint)# enrollment self vpn-demo-1(config-ca-trustpoint)# fqdn vpn-demo.ashes.cc vpn-demo-1(config-ca-trustpoint)# subject-name cn=*.ashes.cc, ou=ashes-lab, o=ashes, c=ru vpn-demo-1(config-ca-trustpoint)# serial-number vpn-demo-1(config-ca-trustpoint)# crl configure vpn-demo-1(config-ca-crl)# cry ca enroll SELF % The fully-qualified domain name in the certificate will be: vpn-demo.ashes.cc Generate Self-Signed Certificate? [yes/no]: yes vpn-demo-1(config)# ! vpn-demo-1(config)# sh cry ca certificates Certificate Status: Available Certificate Serial Number: 4d43725e Certificate Usage: General Purpose Public Key Type: RSA (4096 bits) Signature Algorithm: SHA256 with RSA Encryption Issuer Name: serialNumber=9A439T02F95 hostname=vpn-demo.ashes.cc cn=*.ashes.cc ou=ashes-lab o=ashes c=ru Subject Name: serialNumber=9A439T02F95 hostname=vpn-demo.ashes.cc cn=*.ashes.cc ou=ashes-lab o=ashes c=ru Validity Date: start date: 00:16:17 MSK Mar 19 2020 end date: 00:16:17 MSK Mar 17 2030 Storage: config Associated Trustpoints: SELF CA Certificate Status: Available Certificate Serial Number: 0509 Certificate Usage: General Purpose Public Key Type: RSA (4096 bits) Signature Algorithm: SHA1 with RSA Encryption Issuer Name: cn=QuoVadis Root CA 2 o=QuoVadis Limited c=BM Subject Name: cn=QuoVadis Root CA 2 o=QuoVadis Limited c=BM Validity Date: start date: 21:27:00 MSK Nov 24 2006 end date: 21:23:33 MSK Nov 24 2031 Storage: config Associated Trustpoints: _SmartCallHome_ServerCA- Aza adino ny mamaritra ny seranan-tsambo hanamarina fa miasa ny ASDM, ohatra:
- Andeha hotanterahina ny firafitry ny tonelina:
- Aleo atao amin'ny alalan'ny tonelina ny tambajotran'ny orinasa, ary avelao ny Internet handeha mivantana (fa tsy ny fomba azo antoka indrindra raha tsy misy fiarovana amin'ny mpampiantrano mampifandray, azo atao ny miditra amin'ny mpampiantrano iray voan'ny aretina ary mampiseho ny angon-drakitra momba ny orinasa, safidy. split-tunnel-policy tunnelall hamela ny fifamoivoizana mampiantrano rehetra hiditra ao amin'ny tonelina. Na dia izany aza fizarazarana-tunnel ahafahana manala ny vavahadin'ny VPN fa tsy manodina ny fifamoivoizana amin'ny Internet mpampiantrano)
- Andao hamoaka adiresy avy amin'ny subnet 192.168.20.0/24 ho an'ny mpampiantrano ao amin'ny tonelina (dobo avy amin'ny adiresy 10 ka hatramin'ny 30 (ho an'ny node #1)). Ny node tsirairay amin'ny kluster VPN dia tsy maintsy manana dobo manokana.
- Hanao fanamarinana fototra miaraka amina mpampiasa noforonina eo an-toerana ao amin'ny ASA izahay (Tsy soso-kevitra ity, ity no fomba mora indrindra), tsara kokoa ny manao fanamarinana amin'ny alàlan'ny LDAP/RADIUS, na tsaratsara kokoa, tie Multi-Factor Authentication (MFA), ohatra Cisco DUO.
! vpn-demo-1(config)# ip local pool vpn-pool 192.168.20.10-192.168.20.30 mask 255.255.255.0 ! vpn-demo-1(config)# access-list split-tunnel standard permit 192.168.0.0 255.255.0.0 ! vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY internal vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY attributes vpn-demo-1(config-group-policy)# vpn-tunnel-protocol ssl-client vpn-demo-1(config-group-policy)# split-tunnel-policy tunnelspecified vpn-demo-1(config-group-policy)# split-tunnel-network-list value split-tunnel vpn-demo-1(config-group-policy)# dns-server value 192.168.99.132 vpn-demo-1(config-group-policy)# default-domain value ashes.cc vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes vpn-demo-1(config-tunnel-general)# default-group-policy SSL-VPN-GROUP-POLICY vpn-demo-1(config-tunnel-general)# address-pool vpn-pool ! vpn-demo-1(config)# username dkazakov password cisco vpn-demo-1(config)# username dkazakov attributes vpn-demo-1(config-username)# service-type remote-access ! vpn-demo-1(config)# ssl trust-point SELF vpn-demo-1(config)# webvpn vpn-demo-1(config-webvpn)# enable outside vpn-demo-1(config-webvpn)# anyconnect image disk0:/anyconnect-win-4.8.03036-webdeploy-k9.pkg vpn-demo-1(config-webvpn)# anyconnect enable !- (SOPTIONAL): Amin'ity ohatra etsy ambony ity dia nampiasa mpampiasa teo an-toerana ao amin'ny ITU izahay mba hanamarina ireo mpampiasa lavitra, izay mazava ho azy, afa-tsy ao amin'ny laboratoara, dia tsy azo ampiharina. Hanome ohatra aho amin'ny fomba fampifanarahana haingana ny toerana ho an'ny fanamarinana rayon server, ohatra ampiasaina Cisco Identity Services Engine:
vpn-demo-1(config-aaa-server-group)# dynamic-authorization vpn-demo-1(config-aaa-server-group)# interim-accounting-update vpn-demo-1(config-aaa-server-group)# aaa-server RADIUS (outside) host 192.168.99.134 vpn-demo-1(config-aaa-server-host)# key cisco vpn-demo-1(config-aaa-server-host)# exit vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes vpn-demo-1(config-tunnel-general)# authentication-server-group RADIUS !Ity fampidirana ity dia tsy vitan'ny hoe ny fampidirana haingana ny fomba fanamarinana amin'ny serivisy lahatahiry AD, fa koa ny manavaka raha an'ny AD ny solosaina mifandray, mba hahafantarana raha orinasa na manokana io fitaovana io, ary manombana ny satan'ny fitaovana mifandray. .
- Andao amboary ny Transparent NAT mba tsy ho voasoritra ny fifamoivoizana eo amin'ny mpanjifa sy ny loharanon'ny tambajotran'ny orinasa:
vpn-demo-1(config-network-object)# subnet 192.168.20.0 255.255.255.0 ! vpn-demo-1(config)# nat (inside,outside) source static any any destination static vpn-users vpn-users no-proxy-arp- (Tsy azo atao): Mba hampisehoana ny mpanjifanay amin'ny Internet amin'ny alàlan'ny ASA (rehefa mampiasa tunnelall safidy) amin'ny fampiasana PAT, ary koa ny fivoahana amin'ny alàlan'ny interface OUTSIDE mitovy amin'ny fifandraisan'izy ireo, mila manao ireto toe-javatra manaraka ireto ianao
vpn-demo-1(config-network-object)# nat (outside,outside) source dynamic vpn-users interface vpn-demo-1(config)# nat (inside,outside) source dynamic any interface vpn-demo-1(config)# same-security-traffic permit intra-interface !- Rehefa mampiasa cluster dia tena zava-dehibe ny ahafahan'ny tambajotra anatiny hahatakatra hoe iza no ASA hamerenana ny fifamoivoizana amin'ny mpampiasa, noho izany dia mila mizara lalana / adiresy 32 navoaka ho an'ny mpanjifa ianao.
Amin'izao fotoana izao, tsy mbola nanamboatra ny cluster izahay, fa efa manana vavahady VPN miasa izay azo ampifandraisina tsirairay amin'ny FQDN na IP.
Hitantsika ny mpanjifa mifandray ao amin'ny tabilao zotra an'ny ASA voalohany:
Mba hahafantaran'ny cluster VPN manontolo sy ny tambajotran'ny orinasa manontolo ny lalana mankany amin'ny mpanjifanay, dia haverinay ny tovan'ny mpanjifa ho protocole dynamic routing, ohatra OSPF:
! vpn-demo-1(config)# route-map RMAP-VPN-REDISTRIBUTE permit 1 vpn-demo-1(config-route-map)# match ip address VPN-REDISTRIBUTE ! vpn-demo-1(config)# router ospf 1 vpn-demo-1(config-router)# network 192.168.255.0 255.255.255.0 area 0 vpn-demo-1(config-router)# log-adj-changes vpn-demo-1(config-router)# redistribute static metric 5000 subnets route-map RMAP-VPN-REDISTRIBUTEAnkehitriny dia manana lalana mankany amin'ny mpanjifa avy amin'ny vavahady ASA-2 faharoa izahay ary ireo mpampiasa mifandray amin'ny vavahady VPN samihafa ao anatin'ny cluster dia afaka, ohatra, mifandray mivantana amin'ny alàlan'ny telefaona finday, ary koa ny fiverenan'ny fifamoivoizana avy amin'ny loharano nangatahan'ny mpampiasa. tongava amin'ny vavahady VPN tianao:
Andao hiroso amin'ny fanamboarana ny kluster Load-Balancing.
Ny adiresy 192.168.31.40 dia hampiasaina ho virtoaly IP (VIP - ny mpanjifa VPN rehetra dia hifandray amin'izany amin'ny voalohany), avy amin'io adiresy io dia hanao REDIRECT mankany amin'ny node cluster tsy dia misy entana ny cluster Master. Aza adino ny manoratra firaketana DNS mandroso sy miverina na ho an'ny adiresy ivelany / FQDN isaky ny node amin'ny cluster, ary ho an'ny VIP.
vpn-demo-1(config)# vpn load-balancing vpn-demo-1(config-load-balancing)# interface lbpublic outside vpn-demo-1(config-load-balancing)# interface lbprivate inside vpn-demo-1(config-load-balancing)# priority 10 vpn-demo-1(config-load-balancing)# cluster ip address 192.168.31.40 vpn-demo-1(config-load-balancing)# cluster port 4000 vpn-demo-1(config-load-balancing)# redirect-fqdn enable vpn-demo-1(config-load-balancing)# cluster key cisco vpn-demo-1(config-load-balancing)# cluster encryption vpn-demo-1(config-load-balancing)# cluster port 9023 vpn-demo-1(config-load-balancing)# participate vpn-demo-1(config-load-balancing)#- Manamarina ny fiasan'ny cluster miaraka amin'ny mpanjifa roa mifandray izahay:
- Andao ataontsika ho mora kokoa ny traikefan'ny mpanjifa amin'ny mombamomba ny AnyConnect feno ho azy amin'ny alàlan'ny ASDM.
Antsoinay amin'ny fomba mety ny mombamomba azy ary ampifandraiso amin'izany ny politikan'ny vondronay:
Aorian'ny fifandraisana manaraka amin'ny mpanjifa, ity mombamomba ity dia alaina ho azy ary apetraka ao amin'ny mpanjifa AnyConnect, ka raha mila mifandray ianao dia fidio fotsiny amin'ny lisitra:
Koa satria noforoninay tamin'ny ASA iray ihany ity mombamomba ity tamin'ny fampiasana ASDM, aza adino ny mamerina ny dingana amin'ireo ASA hafa ao amin'ny cluster.
famaranana: Noho izany, nametraka andiana vavahady VPN maromaro izahay miaraka amin'ny fifandanjana entana mandeha ho azy. Ny fampidirana node vaovao amin'ny cluster dia mora, miaraka amin'ny scaling marindrano tsotra amin'ny alàlan'ny fametrahana milina virtoaly ASAv vaovao na mampiasa ASA hardware. Ny mpanjifa AnyConnect manana endri-javatra dia afaka manatsara ny fifandraisana lavitra azo antoka amin'ny alàlan'ny fampiasana ny Posture (tomban'ny fanjakana), ampiasaina amin'ny fomba mahomby indrindra miaraka amin'ny rafitra fanaraha-maso foibe sy fidirana amin'ny kaonty Identity Services Engine.
Source: www.habr.com
