ഒരു ASA VPN ലോഡ്-ബാലൻസിങ് ക്ലസ്റ്റർ വിന്യസിക്കുന്നു

ഈ ലേഖനത്തിൽ, ഇപ്പോൾ നിങ്ങൾക്ക് ഏറ്റവും സ്കെയിലബിൾ സ്കീം എങ്ങനെ വേഗത്തിൽ വിന്യസിക്കാം എന്നതിനെക്കുറിച്ചുള്ള ഘട്ടം ഘട്ടമായുള്ള നിർദ്ദേശങ്ങൾ നൽകാൻ ഞാൻ ആഗ്രഹിക്കുന്നു. വിദൂര ആക്സസ് VPN ആക്സസ് അടിസ്ഥാനമാക്കിയുള്ളതാണ് AnyConnect, Cisco ASA - VPN ലോഡ് ബാലൻസിങ് ക്ലസ്റ്റർ.

ആമുഖം: ലോകമെമ്പാടുമുള്ള പല കമ്പനികളും, COVID-19 ന്റെ നിലവിലെ സാഹചര്യം കണക്കിലെടുത്ത്, തങ്ങളുടെ ജീവനക്കാരെ വിദൂര ജോലിയിലേക്ക് മാറ്റാനുള്ള ശ്രമങ്ങൾ നടത്തുന്നു. റിമോട്ട് വർക്കിലേക്കുള്ള ബഹുജന പരിവർത്തനം കാരണം, കമ്പനികളുടെ നിലവിലുള്ള VPN ഗേറ്റ്‌വേകളിലെ ലോഡ് ഗുരുതരമായി വർദ്ധിച്ചുകൊണ്ടിരിക്കുന്നു, അവ സ്കെയിൽ ചെയ്യാനുള്ള വളരെ വേഗത്തിലുള്ള കഴിവ് ആവശ്യമാണ്. മറുവശത്ത്, പല കമ്പനികളും ആദ്യം മുതൽ വിദൂര ജോലി എന്ന ആശയം തിടുക്കത്തിൽ മാസ്റ്റർ ചെയ്യാൻ നിർബന്ധിതരാകുന്നു.

ഏറ്റവും കുറഞ്ഞ സമയത്തിനുള്ളിൽ ജീവനക്കാർക്ക് സൗകര്യപ്രദവും സുരക്ഷിതവും വിപുലീകരിക്കാവുന്നതുമായ VPN ആക്‌സസ് നേടാൻ ബിസിനസുകളെ സഹായിക്കുന്നതിന്, AnyConnect ഫീച്ചറുകളാൽ സമ്പന്നമായ SSL VPN ക്ലയന്റിന് 13 ആഴ്ച വരെ Cisco ലൈസൻസ് നൽകുന്നു. അംഗീകൃത പങ്കാളികളിൽ നിന്നോ നിങ്ങളുമായി പ്രവർത്തിക്കുന്ന സിസ്‌കോ പ്രതിനിധികളെ ബന്ധപ്പെടുന്നതിലൂടെയോ നിങ്ങൾക്ക് ഒരു ടെസ്റ്റിനായി (VMWare/Hyper-V/KVM ഹൈപ്പർവൈസറുകൾക്കും AWS/Azure ക്ലൗഡ് പ്ലാറ്റ്‌ഫോമുകൾക്കുമുള്ള വെർച്വൽ ASA) ASAv എടുക്കാം..

AnyConnect COVID-19 ലൈസൻസുകൾ നൽകുന്നതിനുള്ള നടപടിക്രമം ഇവിടെ വിവരിച്ചിരിക്കുന്നു.

വിപിഎൻ ലോഡ്-ബാലൻസിങ് ക്ലസ്റ്ററിന്റെ ഏറ്റവും വിപുലീകരിക്കാനാകുന്ന വിപിഎൻ സാങ്കേതികവിദ്യയായി വിന്യാസത്തിനായി ഞാൻ ഒരു ഘട്ടം ഘട്ടമായുള്ള ഗൈഡ് തയ്യാറാക്കിയിട്ടുണ്ട്.

ഉപയോഗിച്ച ആധികാരികതയുടെയും അംഗീകൃത ആൽഗരിതങ്ങളുടെയും കാര്യത്തിൽ ചുവടെയുള്ള ഉദാഹരണം വളരെ ലളിതമായിരിക്കും, എന്നാൽ വിന്യാസ സമയത്ത് നിങ്ങളുടെ ആവശ്യങ്ങളുമായി ആഴത്തിൽ പൊരുത്തപ്പെടാനുള്ള സാധ്യതയുള്ള ഒരു ദ്രുത ആരംഭത്തിനുള്ള (ഇത് നിലവിൽ പലർക്കും പര്യാപ്തമല്ല) ഒരു നല്ല ഓപ്ഷനായിരിക്കും. പ്രക്രിയ.

സംക്ഷിപ്ത വിവരങ്ങൾ: വിപിഎൻ ലോഡ് ബാലൻസിങ് ക്ലസ്റ്റർ സാങ്കേതികവിദ്യ അതിന്റെ നേറ്റീവ് അർത്ഥത്തിൽ ഒരു പരാജയമല്ല, ക്ലസ്റ്ററിംഗ് ഫംഗ്‌ഷനല്ല, ബാലൻസ് റിമോട്ട്-ആക്‌സസ് വിപിഎൻ കണക്ഷനുകൾ ലോഡുചെയ്യുന്നതിന് ഈ സാങ്കേതികവിദ്യയ്ക്ക് തികച്ചും വ്യത്യസ്തമായ എഎസ്എ മോഡലുകൾ (ചില നിയന്ത്രണങ്ങളോടെ) സംയോജിപ്പിക്കാൻ കഴിയും. അത്തരമൊരു ക്ലസ്റ്ററിന്റെ നോഡുകൾക്കിടയിൽ സെഷനുകളുടെയും കോൺഫിഗറേഷനുകളുടെയും സമന്വയം ഇല്ല, എന്നാൽ ക്ലസ്റ്ററിൽ കുറഞ്ഞത് ഒരു സജീവ നോഡെങ്കിലും നിലനിൽക്കുന്നതുവരെ ബാലൻസ് VPN കണക്ഷനുകൾ സ്വയമേവ ലോഡ് ചെയ്യാനും VPN കണക്ഷനുകളുടെ തെറ്റ് സഹിഷ്ണുത ഉറപ്പാക്കാനും കഴിയും. VPN സെഷനുകളുടെ എണ്ണം അനുസരിച്ച് നോഡുകളുടെ ജോലിഭാരത്തെ ആശ്രയിച്ച് ക്ലസ്റ്ററിലെ ലോഡ് യാന്ത്രികമായി സന്തുലിതമാകും.

ക്ലസ്റ്ററിന്റെ പ്രത്യേക നോഡുകളുടെ പരാജയത്തിന് (ആവശ്യമെങ്കിൽ), ഒരു ഫയലർ ഉപയോഗിക്കാം, അതിനാൽ സജീവമായ കണക്ഷൻ ഫയലറിന്റെ പ്രൈമറി നോഡ് കൈകാര്യം ചെയ്യും. ലോഡ്-ബാലൻസിങ് ക്ലസ്റ്ററിനുള്ളിൽ തെറ്റ് സഹിഷ്ണുത ഉറപ്പാക്കുന്നതിന് ഫയൽഓവർ അനിവാര്യമായ ഒരു വ്യവസ്ഥയല്ല, ഒരു നോഡ് പരാജയപ്പെടുമ്പോൾ ക്ലസ്റ്റർ തന്നെ മറ്റൊരു ലൈവ് നോഡിലേക്ക് ഉപയോക്തൃ സെഷനെ മാറ്റും, പക്ഷേ കണക്ഷൻ നില സംരക്ഷിക്കാതെ തന്നെ. ഫയലർ നൽകിയത്. അതനുസരിച്ച്, ആവശ്യമെങ്കിൽ, ഈ രണ്ട് സാങ്കേതികവിദ്യകളും സംയോജിപ്പിക്കാൻ കഴിയും.

ഒരു VPN ലോഡ്-ബാലൻസിങ് ക്ലസ്റ്ററിൽ രണ്ടിൽ കൂടുതൽ നോഡുകൾ അടങ്ങിയിരിക്കാം.

VPN ലോഡ്-ബാലൻസിങ് ക്ലസ്റ്ററിനെ ASA 5512-X-ലും അതിനുമുകളിലുള്ളവയിലും പിന്തുണയ്ക്കുന്നു.

വിപിഎൻ ലോഡ്-ബാലൻസിങ് ക്ലസ്റ്ററിനുള്ളിലെ ഓരോ എഎസ്‌എയും ക്രമീകരണങ്ങളുടെ കാര്യത്തിൽ ഒരു സ്വതന്ത്ര യൂണിറ്റായതിനാൽ, ഓരോ ഉപകരണത്തിലും ഞങ്ങൾ എല്ലാ കോൺഫിഗറേഷൻ ഘട്ടങ്ങളും വ്യക്തിഗതമായി നടപ്പിലാക്കുന്നു.

സാങ്കേതിക വിശദാംശങ്ങൾ ഇവിടെ

നൽകിയിരിക്കുന്ന ഉദാഹരണത്തിന്റെ ലോജിക്കൽ ടോപ്പോളജി:

പ്രാഥമിക വിന്യാസം:

1. ചിത്രത്തിൽ നിന്ന് ഞങ്ങൾക്ക് ആവശ്യമുള്ള ടെംപ്ലേറ്റുകളുടെ (ASAv5/10/30/50) ASAv ഉദാഹരണങ്ങൾ ഞങ്ങൾ വിന്യസിക്കുന്നു.

2. ഞങ്ങൾ ഇൻസൈഡ് / ഔട്ട്സൈഡ് ഇന്റർഫേസുകൾ ഒരേ VLAN-കൾക്ക് നൽകുന്നു (അതിന്റെ സ്വന്തം VLAN-ന് പുറത്ത്, സ്വന്തം ഉള്ളിൽ, എന്നാൽ സാധാരണയായി ക്ലസ്റ്ററിനുള്ളിൽ, ടോപ്പോളജി കാണുക), ഒരേ തരത്തിലുള്ള ഇന്റർഫേസുകൾ ഒരേ L2 സെഗ്‌മെന്റിലാണെന്നത് പ്രധാനമാണ്.

3. ലൈസൻസുകൾ:

   • നിലവിൽ ASAv ഇൻസ്റ്റാളേഷന് ലൈസൻസുകളൊന്നും ഉണ്ടാകില്ല, അത് 100kbps ആയി പരിമിതപ്പെടുത്തുകയും ചെയ്യും.
   • ഒരു ലൈസൻസ് ഇൻസ്റ്റാൾ ചെയ്യാൻ, നിങ്ങളുടെ സ്മാർട്ട് അക്കൗണ്ടിൽ ഒരു ടോക്കൺ സൃഷ്ടിക്കേണ്ടതുണ്ട്: https://software.cisco.com/ -> സ്മാർട്ട് സോഫ്റ്റ്വെയർ ലൈസൻസിംഗ്
   • തുറക്കുന്ന വിൻഡോയിൽ, ബട്ടൺ ക്ലിക്ക് ചെയ്യുക പുതിയ ടോക്കൺ

   

   • തുറക്കുന്ന വിൻഡോയിൽ ഒരു സജീവ ഫീൽഡ് ഉണ്ടെന്നും ഒരു ചെക്ക്മാർക്ക് പരിശോധിച്ചിട്ടുണ്ടെന്നും ഉറപ്പാക്കുക കയറ്റുമതി നിയന്ത്രിത പ്രവർത്തനം അനുവദിക്കുക… ഈ ഫീൽഡ് സജീവമല്ലെങ്കിൽ, നിങ്ങൾക്ക് ശക്തമായ എൻക്രിപ്ഷന്റെ പ്രവർത്തനങ്ങളും അതനുസരിച്ച് VPN-ന്റെ പ്രവർത്തനങ്ങളും ഉപയോഗിക്കാൻ കഴിയില്ല. ഈ ഫീൽഡ് സജീവമല്ലെങ്കിൽ, സജീവമാക്കൽ അഭ്യർത്ഥനയുമായി നിങ്ങളുടെ അക്കൗണ്ട് ടീമിനെ ബന്ധപ്പെടുക.

   

   • ബട്ടൺ അമർത്തിയ ശേഷം ടോക്കൺ സൃഷ്ടിക്കുക, ASAv-നുള്ള ലൈസൻസ് ലഭിക്കാൻ ഞങ്ങൾ ഉപയോഗിക്കുന്ന ഒരു ടോക്കൺ സൃഷ്ടിക്കപ്പെടും, അത് പകർത്തുക:

   

   • വിന്യസിച്ചിരിക്കുന്ന ഓരോ എഎസ്എവിനും C,D,E ഘട്ടങ്ങൾ ആവർത്തിക്കുക.
   • ടോക്കൺ പകർത്തുന്നത് എളുപ്പമാക്കുന്നതിന്, നമുക്ക് ടെൽനെറ്റ് താൽക്കാലികമായി അനുവദിക്കാം. നമുക്ക് ഓരോ ASA-യും കോൺഫിഗർ ചെയ്യാം (ചുവടെയുള്ള ഉദാഹരണം ASA-1-ലെ ക്രമീകരണങ്ങൾ വ്യക്തമാക്കുന്നു). ടെൽനെറ്റ് പുറത്ത് പ്രവർത്തിക്കുന്നില്ല, നിങ്ങൾക്ക് ശരിക്കും ആവശ്യമുണ്ടെങ്കിൽ, സുരക്ഷാ നില 100-ലേക്ക് മാറ്റുക, തുടർന്ന് അത് തിരികെ നൽകുക.

   !
   ciscoasa(config)# int gi0/0
   ciscoasa(config)# nameif outside
   ciscoasa(config)# ip address 192.168.31.30 255.255.255.0
   ciscoasa(config)# no shut
   !
   ciscoasa(config)# int gi0/1
   ciscoasa(config)# nameif inside
   ciscoasa(config)# ip address 192.168.255.2 255.255.255.0
   ciscoasa(config)# no shut
   !
   ciscoasa(config)# telnet 0 0 inside
   ciscoasa(config)# username admin password cisco priv 15
   ciscoasa(config)# ena password cisco
   ciscoasa(config)# aaa authentication telnet console LOCAL
   !
   ciscoasa(config)# route outside 0 0 192.168.31.1
   !
   ciscoasa(config)# wr
   !

   • സ്മാർട്ട്-അക്കൗണ്ട് ക്ലൗഡിൽ ഒരു ടോക്കൺ രജിസ്റ്റർ ചെയ്യുന്നതിന്, നിങ്ങൾ ASA-യ്‌ക്ക് ഇന്റർനെറ്റ് ആക്‌സസ് നൽകണം, വിശദാംശങ്ങൾ ഇവിടെ.

   ചുരുക്കത്തിൽ, ASA ആവശ്യമാണ്:

   • ഇന്റർനെറ്റിലേക്ക് HTTPS വഴി ആക്സസ്;
   • സമയ സമന്വയം (കൂടുതൽ ശരിയായി, NTP വഴി);
   • രജിസ്റ്റർ ചെയ്ത DNS സെർവർ;
     • ഞങ്ങൾ ഞങ്ങളുടെ ASA-യിലേക്ക് ടെൽനെറ്റ് ചെയ്യുകയും സ്‌മാർട്ട്-അക്കൗണ്ട് വഴി ലൈസൻസ് സജീവമാക്കുന്നതിനുള്ള ക്രമീകരണങ്ങൾ നടത്തുകയും ചെയ്യുന്നു.

   !
   ciscoasa(config)# clock set 19:21:00 Mar 18 2020
   ciscoasa(config)# clock timezone MSK 3
   ciscoasa(config)# ntp server 192.168.99.136
   !
   ciscoasa(config)# dns domain-lookup outside
   ciscoasa(config)# DNS server-group DefaultDNS
   ciscoasa(config-dns-server-group)# name-server 192.168.99.132 
   !
   ! Проверим работу DNS:
   !
   ciscoasa(config-dns-server-group)# ping ya.ru
   Type escape sequence to abort.
   Sending 5, 100-byte ICMP Echos to 87.250.250.242, timeout is 2 seconds:
   !!!!!
   !
   ! Проверим синхронизацию NTP:
   !
   ciscoasa(config)# show ntp associations 
     address         ref clock     st  when  poll reach  delay  offset    disp
   *~192.168.99.136   91.189.94.4       3    63    64    1    36.7    1.85    17.5
   * master (synced), # master (unsynced), + selected, - candidate, ~ configured
   !
   ! Установим конфигурацию нашей ASAv для Smart-Licensing (в соответствии с Вашим профилем, в моем случае 100М для примера)
   !
   ciscoasa(config)# license smart
   ciscoasa(config-smart-lic)# feature tier standard
   ciscoasa(config-smart-lic)# throughput level 100M
   !
   ! В случае необходимости можно настроить доступ в Интернет через прокси используйте следующий блок команд:
   !call-home
   !  http-proxy ip_address port port
   !
   ! Далее мы вставляем скопированный из портала Smart-Account токен (<token>) и регистрируем лицензию
   !
   ciscoasa(config)# end
   ciscoasa# license smart register idtoken <token>

   • ഉപകരണം വിജയകരമായി ഒരു ലൈസൻസ് രജിസ്റ്റർ ചെയ്തിട്ടുണ്ടോ എന്നും എൻക്രിപ്ഷൻ ഓപ്ഷനുകൾ ലഭ്യമാണെന്നും ഞങ്ങൾ പരിശോധിക്കുന്നു:

   

   

4. ഓരോ ഗേറ്റ്‌വേയിലും ഒരു അടിസ്ഥാന SSL-VPN സജ്ജീകരിക്കുക

   • അടുത്തതായി, SSH, ASDM എന്നിവ വഴി ആക്സസ് കോൺഫിഗർ ചെയ്യുക:

   ciscoasa(config)# ssh ver 2
   ciscoasa(config)# aaa authentication ssh console LOCAL
   ciscoasa(config)# aaa authentication http console LOCAL
   ciscoasa(config)# hostname vpn-demo-1
   vpn-demo-1(config)# domain-name ashes.cc
   vpn-demo-1(config)# cry key gen rsa general-keys modulus 4096 
   vpn-demo-1(config)# ssh 0 0 inside  
   vpn-demo-1(config)# http 0 0 inside
   !
   ! Поднимем сервер HTTPS для ASDM на порту 445 чтобы не пересекаться с SSL-VPN порталом
   !
   vpn-demo-1(config)# http server enable 445 
   !

   • ASDM പ്രവർത്തിക്കുന്നതിന്, നിങ്ങൾ ആദ്യം ഇത് cisco.com വെബ്സൈറ്റിൽ നിന്ന് ഡൗൺലോഡ് ചെയ്യണം, എന്റെ കാര്യത്തിൽ ഇത് ഇനിപ്പറയുന്ന ഫയൽ ആണ്:

   

   • AnyConnect ക്ലയന്റ് പ്രവർത്തിക്കുന്നതിന്, നിങ്ങൾ ഉപയോഗിക്കുന്ന ഓരോ ഡെസ്‌ക്‌ടോപ്പ് ക്ലയന്റ് OS-നും ഓരോ ASA-യിലേക്കും ഒരു ചിത്രം അപ്‌ലോഡ് ചെയ്യേണ്ടതുണ്ട് (Linux / Windows / MAC ഉപയോഗിക്കാൻ പദ്ധതിയിട്ടിരിക്കുന്നു), നിങ്ങൾക്ക് ഒരു ഫയൽ ആവശ്യമാണ് ഹെഡ്‌എൻഡ് വിന്യാസ പാക്കേജ് തലക്കെട്ടിൽ:

   

   • ഡൗൺലോഡ് ചെയ്‌ത ഫയലുകൾ ഒരു എഫ്‌ടിപി സെർവറിലേക്ക് അപ്‌ലോഡ് ചെയ്യാനും ഓരോ വ്യക്തിഗത എഎസ്‌എയിലേക്കും അപ്‌ലോഡ് ചെയ്യാനും കഴിയും:

   

   • SSL-VPN-നായി ഞങ്ങൾ ASDM, സ്വയം ഒപ്പിട്ട സർട്ടിഫിക്കറ്റ് എന്നിവ കോൺഫിഗർ ചെയ്യുന്നു (നിർമ്മാണത്തിൽ വിശ്വസനീയമായ സർട്ടിഫിക്കറ്റ് ഉപയോഗിക്കാൻ ശുപാർശ ചെയ്യുന്നു). വെർച്വൽ ക്ലസ്റ്റർ വിലാസത്തിന്റെ (vpn-demo.ashes.cc) സെറ്റ് FQDN, അതുപോലെ ഓരോ ക്ലസ്റ്റർ നോഡിന്റെയും ബാഹ്യ വിലാസവുമായി ബന്ധപ്പെട്ട ഓരോ FQDN-ഉം ബാഹ്യ DNS സോണിൽ ഔട്ട്സൈഡ് ഇന്റർഫേസിന്റെ IP വിലാസത്തിലേക്ക് (അല്ലെങ്കിൽ പോർട്ട് ഫോർവേഡിംഗ് udp/443 ഉപയോഗിക്കുകയാണെങ്കിൽ (DTLS), tcp/443(TLS)) മാപ്പ് ചെയ്ത വിലാസത്തിലേക്ക്. സർട്ടിഫിക്കറ്റിന്റെ ആവശ്യകതകളെക്കുറിച്ചുള്ള വിശദമായ വിവരങ്ങൾ വിഭാഗത്തിൽ വ്യക്തമാക്കിയിട്ടുണ്ട് സർ‌ട്ടിഫിക്കറ്റ് പരിശോധന പ്രമാണീകരണം.

   !
   vpn-demo-1(config)# crypto ca trustpoint SELF
   vpn-demo-1(config-ca-trustpoint)# enrollment self
   vpn-demo-1(config-ca-trustpoint)# fqdn vpn-demo.ashes.cc
   vpn-demo-1(config-ca-trustpoint)# subject-name cn=*.ashes.cc, ou=ashes-lab, o=ashes, c=ru
   vpn-demo-1(config-ca-trustpoint)# serial-number             
   vpn-demo-1(config-ca-trustpoint)# crl configure
   vpn-demo-1(config-ca-crl)# cry ca enroll SELF
   % The fully-qualified domain name in the certificate will be: vpn-demo.ashes.cc
   Generate Self-Signed Certificate? [yes/no]: yes
   vpn-demo-1(config)# 
   !
   vpn-demo-1(config)# sh cry ca certificates 
   Certificate
   Status: Available
   Certificate Serial Number: 4d43725e
   Certificate Usage: General Purpose
   Public Key Type: RSA (4096 bits)
   Signature Algorithm: SHA256 with RSA Encryption
   Issuer Name: 
   serialNumber=9A439T02F95
   hostname=vpn-demo.ashes.cc
   cn=*.ashes.cc
   ou=ashes-lab
   o=ashes
   c=ru
   Subject Name:
   serialNumber=9A439T02F95
   hostname=vpn-demo.ashes.cc
   cn=*.ashes.cc
   ou=ashes-lab
   o=ashes
   c=ru
   Validity Date: 
   start date: 00:16:17 MSK Mar 19 2020
   end   date: 00:16:17 MSK Mar 17 2030
   Storage: config
   Associated Trustpoints: SELF 
   
   CA Certificate
   Status: Available
   Certificate Serial Number: 0509
   Certificate Usage: General Purpose
   Public Key Type: RSA (4096 bits)
   Signature Algorithm: SHA1 with RSA Encryption
   Issuer Name: 
   cn=QuoVadis Root CA 2
   o=QuoVadis Limited
   c=BM
   Subject Name: 
   cn=QuoVadis Root CA 2
   o=QuoVadis Limited
   c=BM
   Validity Date: 
   start date: 21:27:00 MSK Nov 24 2006
   end   date: 21:23:33 MSK Nov 24 2031
   Storage: config
   Associated Trustpoints: _SmartCallHome_ServerCA               

   • ASDM പ്രവർത്തിക്കുന്നുണ്ടോയെന്ന് പരിശോധിക്കാൻ പോർട്ട് വ്യക്തമാക്കാൻ മറക്കരുത്, ഉദാഹരണത്തിന്:

   

   • നമുക്ക് തുരങ്കത്തിന്റെ അടിസ്ഥാന ക്രമീകരണങ്ങൾ നടപ്പിലാക്കാം:
   • നമുക്ക് കോർപ്പറേറ്റ് നെറ്റ്‌വർക്ക് ടണലിലൂടെ ലഭ്യമാക്കാം, ഇന്റർനെറ്റ് നേരിട്ട് പോകാം (കണക്‌റ്റിംഗ് ഹോസ്റ്റിൽ പരിരക്ഷയില്ലെങ്കിൽ ഏറ്റവും സുരക്ഷിതമായ രീതിയല്ല, രോഗബാധിതനായ ഹോസ്റ്റിലൂടെ തുളച്ചുകയറാനും കോർപ്പറേറ്റ് ഡാറ്റ പ്രദർശിപ്പിക്കാനും കഴിയും, ഓപ്ഷൻ സ്പ്ലിറ്റ്-ടണൽ-പോളിസി ടണൽ എല്ലാ ഹോസ്റ്റ് ട്രാഫിക്കിനെയും ടണലിലേക്ക് അനുവദിക്കും. എന്നിരുന്നാലും സ്പ്ലിറ്റ്-ടണൽ VPN ഗേറ്റ്‌വേ ഓഫ്‌ലോഡ് ചെയ്യാനും ഹോസ്റ്റ് ഇന്റർനെറ്റ് ട്രാഫിക് പ്രോസസ്സ് ചെയ്യാതിരിക്കാനും ഇത് സാധ്യമാക്കുന്നു)
   • 192.168.20.0/24 സബ്‌നെറ്റിൽ നിന്ന് ടണലിലെ ഹോസ്റ്റുകൾക്ക് വിലാസങ്ങൾ നൽകാം (പൂൾ 10 മുതൽ 30 വരെ വിലാസങ്ങൾ (നോഡ് #1 ന്)). VPN ക്ലസ്റ്ററിന്റെ ഓരോ നോഡിനും അതിന്റേതായ പൂൾ ഉണ്ടായിരിക്കണം.
   • എഎസ്‌എയിൽ പ്രാദേശികമായി സൃഷ്‌ടിച്ച ഉപയോക്താവുമായി ഞങ്ങൾ അടിസ്ഥാന പ്രാമാണീകരണം നടത്തും (ഇത് ശുപാർശ ചെയ്യുന്നില്ല, ഇതാണ് ഏറ്റവും എളുപ്പമുള്ള രീതി), ഇതിലൂടെ പ്രാമാണീകരണം നടത്തുന്നതാണ് നല്ലത് LDAP/റേഡിയസ്, അല്ലെങ്കിൽ അതിലും നല്ലത്, കെട്ടുക മൾട്ടി-ഫാക്ടർ പ്രാമാണീകരണം (MFA)ഉദാഹരണത്തിന് സിസ്കോ DUO.

   !
   vpn-demo-1(config)# ip local pool vpn-pool 192.168.20.10-192.168.20.30 mask 255.255.255.0
   !
   vpn-demo-1(config)# access-list split-tunnel standard permit 192.168.0.0 255.255.0.0
   !
   vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY internal
   vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY attributes
   vpn-demo-1(config-group-policy)# vpn-tunnel-protocol ssl-client 
   vpn-demo-1(config-group-policy)# split-tunnel-policy tunnelspecified
   vpn-demo-1(config-group-policy)# split-tunnel-network-list value split-tunnel
   vpn-demo-1(config-group-policy)# dns-server value 192.168.99.132
   vpn-demo-1(config-group-policy)# default-domain value ashes.cc
   vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes
   vpn-demo-1(config-tunnel-general)#  default-group-policy SSL-VPN-GROUP-POLICY
   vpn-demo-1(config-tunnel-general)#  address-pool vpn-pool
   !
   vpn-demo-1(config)# username dkazakov password cisco
   vpn-demo-1(config)# username dkazakov attributes
   vpn-demo-1(config-username)# service-type remote-access
   !
   vpn-demo-1(config)# ssl trust-point SELF
   vpn-demo-1(config)# webvpn
   vpn-demo-1(config-webvpn)#  enable outside
   vpn-demo-1(config-webvpn)#  anyconnect image disk0:/anyconnect-win-4.8.03036-webdeploy-k9.pkg
   vpn-demo-1(config-webvpn)#  anyconnect enable
   !

   • (ഓപ്ഷണൽ): മുകളിലെ ഉദാഹരണത്തിൽ, റിമോട്ട് ഉപയോക്താക്കളെ പ്രാമാണീകരിക്കാൻ ഞങ്ങൾ ITU-ൽ ഒരു പ്രാദേശിക ഉപയോക്താവിനെ ഉപയോഗിച്ചു, തീർച്ചയായും ലബോറട്ടറിയിലൊഴികെ, ഇത് മോശമായി ബാധകമാണ്. പ്രാമാണീകരണത്തിനുള്ള ക്രമീകരണം എങ്ങനെ വേഗത്തിൽ പൊരുത്തപ്പെടുത്താം എന്നതിന്റെ ഒരു ഉദാഹരണം ഞാൻ നൽകും വരുന്ന RADIUS സെർവർ, ഉദാഹരണത്തിന് ഉപയോഗിച്ചു സിസ്കോ ഐഡന്റിറ്റി സർവീസസ് എഞ്ചിൻ:

   vpn-demo-1(config-aaa-server-group)# dynamic-authorization
   vpn-demo-1(config-aaa-server-group)# interim-accounting-update
   vpn-demo-1(config-aaa-server-group)# aaa-server RADIUS (outside) host 192.168.99.134
   vpn-demo-1(config-aaa-server-host)# key cisco
   vpn-demo-1(config-aaa-server-host)# exit
   vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes
   vpn-demo-1(config-tunnel-general)# authentication-server-group  RADIUS 
   !

   ഈ സംയോജനം AD ഡയറക്ടറി സേവനവുമായി പ്രാമാണീകരണ നടപടിക്രമം വേഗത്തിൽ സമന്വയിപ്പിക്കാൻ മാത്രമല്ല, കണക്റ്റുചെയ്‌ത കമ്പ്യൂട്ടർ AD-യുടെതാണോ എന്ന് തിരിച്ചറിയാനും ഈ ഉപകരണം കോർപ്പറേറ്റ് ആണോ വ്യക്തിഗതമാണോ എന്ന് മനസിലാക്കാനും കണക്റ്റുചെയ്‌ത ഉപകരണത്തിന്റെ നില വിലയിരുത്താനും സാധ്യമാക്കി. .

   

   

   • കോർപ്പറേറ്റ് നെറ്റ്‌വർക്ക് നെറ്റ്‌വർക്കിന്റെ ക്ലയന്റിനും ഉറവിടങ്ങൾക്കും ഇടയിലുള്ള ട്രാഫിക് എഴുതപ്പെടാതിരിക്കാൻ നമുക്ക് സുതാര്യമായ NAT കോൺഫിഗർ ചെയ്യാം:

   vpn-demo-1(config-network-object)#  subnet 192.168.20.0 255.255.255.0
   !
   vpn-demo-1(config)# nat (inside,outside) source static any any destination static vpn-users vpn-users no-proxy-arp

   • (ഓപ്ഷണൽ): ASA വഴി ഞങ്ങളുടെ ക്ലയന്റുകളെ ഇന്റർനെറ്റിലേക്ക് തുറന്നുകാട്ടുന്നതിന് (ഉപയോഗിക്കുമ്പോൾ തുരങ്കം ഓപ്ഷനുകൾ) PAT ഉപയോഗിച്ച്, അവ ബന്ധിപ്പിച്ചിട്ടുള്ള അതേ ബാഹ്യ ഇന്റർഫേസിലൂടെ പുറത്തുകടക്കുക, നിങ്ങൾ ഇനിപ്പറയുന്ന ക്രമീകരണങ്ങൾ നടത്തേണ്ടതുണ്ട്

   vpn-demo-1(config-network-object)# nat (outside,outside) source dynamic vpn-users interface
   vpn-demo-1(config)# nat (inside,outside) source dynamic any interface
   vpn-demo-1(config)# same-security-traffic permit intra-interface 
   !

   • ഒരു ക്ലസ്റ്റർ ഉപയോഗിക്കുമ്പോൾ, ഉപയോക്താക്കൾക്ക് റിട്ടേൺ ട്രാഫിക്കിലേക്ക് ഏത് എഎസ്എ റൂട്ട് ചെയ്യണമെന്ന് മനസിലാക്കാൻ ആന്തരിക നെറ്റ്‌വർക്ക് പ്രവർത്തനക്ഷമമാക്കുന്നത് വളരെ പ്രധാനമാണ്, ഇതിനായി നിങ്ങൾ ക്ലയന്റുകൾക്ക് നൽകിയ റൂട്ടുകൾ / 32 വിലാസങ്ങൾ പുനർവിതരണം ചെയ്യേണ്ടതുണ്ട്.
     ഇപ്പോൾ, ഞങ്ങൾ ഇതുവരെ ക്ലസ്റ്റർ കോൺഫിഗർ ചെയ്‌തിട്ടില്ല, പക്ഷേ ഞങ്ങൾക്ക് ഇതിനകം തന്നെ പ്രവർത്തിക്കുന്ന VPN ഗേറ്റ്‌വേകൾ ഉണ്ട്, അത് FQDN അല്ലെങ്കിൽ IP വഴി വ്യക്തിഗതമായി ബന്ധിപ്പിക്കാൻ കഴിയും.

   

   ആദ്യ എഎസ്എയുടെ റൂട്ടിംഗ് ടേബിളിൽ കണക്റ്റുചെയ്‌ത ക്ലയന്റ് ഞങ്ങൾ കാണുന്നു:

   

   ഞങ്ങളുടെ മുഴുവൻ VPN ക്ലസ്റ്ററിനും മുഴുവൻ കോർപ്പറേറ്റ് നെറ്റ്‌വർക്കിനും ഞങ്ങളുടെ ക്ലയന്റിലേക്കുള്ള റൂട്ട് അറിയുന്നതിന്, ഞങ്ങൾ ക്ലയന്റ് പ്രിഫിക്‌സിനെ ഡൈനാമിക് റൂട്ടിംഗ് പ്രോട്ടോക്കോളിലേക്ക് പുനർവിതരണം ചെയ്യും, ഉദാഹരണത്തിന് OSPF:

   !
   vpn-demo-1(config)# route-map RMAP-VPN-REDISTRIBUTE permit 1
   vpn-demo-1(config-route-map)#  match ip address VPN-REDISTRIBUTE
   !
   vpn-demo-1(config)# router ospf 1
   vpn-demo-1(config-router)#  network 192.168.255.0 255.255.255.0 area 0
   vpn-demo-1(config-router)#  log-adj-changes
   vpn-demo-1(config-router)#  redistribute static metric 5000 subnets route-map RMAP-VPN-REDISTRIBUTE

   ഇപ്പോൾ ഞങ്ങൾക്ക് രണ്ടാമത്തെ ASA-2 ഗേറ്റ്‌വേയിൽ നിന്ന് ക്ലയന്റിലേക്ക് ഒരു റൂട്ട് ഉണ്ട്, കൂടാതെ ക്ലസ്റ്ററിനുള്ളിലെ വ്യത്യസ്ത VPN ഗേറ്റ്‌വേകളുമായി ബന്ധിപ്പിച്ചിരിക്കുന്ന ഉപയോക്താക്കൾക്ക് ഒരു കോർപ്പറേറ്റ് സോഫ്റ്റ്‌ഫോണിലൂടെ നേരിട്ട് ആശയവിനിമയം നടത്താനും അതുപോലെ തന്നെ ഉപയോക്താവ് അഭ്യർത്ഥിച്ച ഉറവിടങ്ങളിൽ നിന്നുള്ള ട്രാഫിക് തിരികെ നൽകാനും കഴിയും. ആവശ്യമുള്ള VPN ഗേറ്റ്‌വേയിലേക്ക് വരൂ:

   

5. ലോഡ്-ബാലൻസിങ് ക്ലസ്റ്റർ ക്രമീകരിക്കുന്നതിലേക്ക് പോകാം.

   192.168.31.40 എന്ന വിലാസം ഒരു വെർച്വൽ ഐപിയായി ഉപയോഗിക്കും (വിഐപി - എല്ലാ വിപിഎൻ ക്ലയന്റുകളും ആദ്യം ഇതിലേക്ക് കണക്റ്റുചെയ്യും), ഈ വിലാസത്തിൽ നിന്ന് മാസ്റ്റർ ക്ലസ്റ്റർ കുറച്ച് ലോഡ് ചെയ്ത ക്ലസ്റ്റർ നോഡിലേക്ക് ഒരു റീഡയറക്റ്റ് ഉണ്ടാക്കും. എഴുതാൻ മറക്കരുത് മുന്നോട്ട്, വിപരീത DNS റെക്കോർഡ് ക്ലസ്റ്ററിന്റെ ഓരോ നോഡിന്റെയും ഓരോ ബാഹ്യ വിലാസത്തിനും / FQDN-നും VIP-നും.

   vpn-demo-1(config)# vpn load-balancing
   vpn-demo-1(config-load-balancing)# interface lbpublic outside
   vpn-demo-1(config-load-balancing)# interface lbprivate inside
   vpn-demo-1(config-load-balancing)# priority 10
   vpn-demo-1(config-load-balancing)# cluster ip address 192.168.31.40
   vpn-demo-1(config-load-balancing)# cluster port 4000
   vpn-demo-1(config-load-balancing)# redirect-fqdn enable
   vpn-demo-1(config-load-balancing)# cluster key cisco
   vpn-demo-1(config-load-balancing)# cluster encryption
   vpn-demo-1(config-load-balancing)# cluster port 9023
   vpn-demo-1(config-load-balancing)# participate
   vpn-demo-1(config-load-balancing)#

   • ബന്ധിപ്പിച്ച രണ്ട് ക്ലയന്റുകളുള്ള ക്ലസ്റ്ററിന്റെ പ്രവർത്തനം ഞങ്ങൾ പരിശോധിക്കുന്നു:

   

   • ASDM വഴി സ്വയമേവ ലോഡ് ചെയ്ത AnyConnect പ്രൊഫൈൽ ഉപയോഗിച്ച് ഉപഭോക്തൃ അനുഭവം കൂടുതൽ സൗകര്യപ്രദമാക്കാം.

   

   ഞങ്ങൾ പ്രൊഫൈലിന് സൗകര്യപ്രദമായ രീതിയിൽ പേര് നൽകുകയും ഞങ്ങളുടെ ഗ്രൂപ്പ് നയവുമായി ബന്ധപ്പെടുത്തുകയും ചെയ്യുന്നു:

   

   ക്ലയന്റിന്റെ അടുത്ത കണക്ഷനുശേഷം, ഈ പ്രൊഫൈൽ യാന്ത്രികമായി ഡൗൺലോഡ് ചെയ്യുകയും AnyConnect ക്ലയന്റിൽ ഇൻസ്റ്റാൾ ചെയ്യുകയും ചെയ്യും, അതിനാൽ നിങ്ങൾക്ക് കണക്റ്റുചെയ്യണമെങ്കിൽ, ലിസ്റ്റിൽ നിന്ന് അത് തിരഞ്ഞെടുക്കുക:

   

   എഎസ്ഡിഎം ഉപയോഗിച്ച് ഒരു എഎസ്എയിൽ മാത്രമാണ് ഞങ്ങൾ ഈ പ്രൊഫൈൽ സൃഷ്ടിച്ചത് എന്നതിനാൽ, ക്ലസ്റ്ററിലെ മറ്റ് എഎസ്എകളിലെ ഘട്ടങ്ങൾ ആവർത്തിക്കാൻ മറക്കരുത്.

തീരുമാനം: അങ്ങനെ, ഓട്ടോമാറ്റിക് ലോഡ് ബാലൻസിംഗ് ഉള്ള നിരവധി VPN ഗേറ്റ്‌വേകളുടെ ഒരു ക്ലസ്റ്റർ ഞങ്ങൾ വേഗത്തിൽ വിന്യസിച്ചു. പുതിയ ASAv വെർച്വൽ മെഷീനുകൾ വിന്യസിച്ചുകൊണ്ടോ ഹാർഡ്‌വെയർ ASAകൾ ഉപയോഗിച്ചോ ലളിതമായ തിരശ്ചീന സ്കെയിലിംഗ് ഉപയോഗിച്ച് ക്ലസ്റ്ററിലേക്ക് പുതിയ നോഡുകൾ ചേർക്കുന്നത് എളുപ്പമാണ്. ഫീച്ചറുകളാൽ സമ്പുഷ്ടമായ AnyConnect ക്ലയന്റിന് ഇത് ഉപയോഗിച്ച് സുരക്ഷിത വിദൂര കണക്ഷൻ വളരെയധികം മെച്ചപ്പെടുത്താൻ കഴിയും ഭാവം (സംസ്ഥാന കണക്കുകൾ), ഏറ്റവും ഫലപ്രദമായി കേന്ദ്രീകൃത നിയന്ത്രണ സംവിധാനവും ആക്സസ് അക്കൗണ്ടിംഗും സംയോജിപ്പിച്ച് ഉപയോഗിക്കുന്നു ഐഡന്റിറ്റി സർവീസസ് എഞ്ചിൻ.

അവലംബം: www.habr.com