Dalam artikel ini, saya ingin memberikan arahan langkah demi langkah tentang cara anda boleh menggunakan skim paling berskala dengan cepat pada masa ini. VPN Akses Jauh berasaskan akses AnyConnect dan Cisco ASA - Kluster Pengimbangan Beban VPN.
pengenalan: Banyak syarikat di seluruh dunia, memandangkan situasi semasa dengan COVID-19, sedang berusaha untuk memindahkan pekerja mereka ke tempat kerja jauh. Disebabkan oleh peralihan besar-besaran kepada kerja jauh, beban pada gerbang VPN sedia ada syarikat semakin meningkat secara kritikal dan keupayaan yang sangat pantas untuk mengukurnya diperlukan. Sebaliknya, banyak syarikat terpaksa tergesa-gesa menguasai konsep kerja jauh dari awal.
Untuk membantu perniagaan mencapai akses VPN yang mudah, selamat dan berskala untuk pekerja dalam masa yang sesingkat mungkin, Cisco melesenkan klien SSL-VPN yang kaya dengan ciri AnyConnect sehingga 13 minggu. .
.
Saya telah menyediakan panduan langkah demi langkah untuk penggunaan mudah Kluster Pengimbangan Beban VPN sebagai teknologi VPN yang paling berskala.
Contoh di bawah adalah agak mudah dari segi algoritma pengesahan dan kebenaran yang digunakan, tetapi akan menjadi pilihan yang baik untuk permulaan yang cepat (yang pada masa ini tidak mencukupi untuk ramai) dengan kemungkinan penyesuaian yang mendalam kepada keperluan anda semasa penggunaan proses.
Maklumat ringkas: Teknologi Kluster Pengimbangan Beban VPN bukanlah failover dan bukan fungsi pengelompokan dalam erti kata asalnya, teknologi ini boleh menggabungkan model ASA yang berbeza sama sekali (dengan sekatan tertentu) untuk memuatkan baki sambungan VPN Akses Jauh. Tiada penyegerakan sesi dan konfigurasi antara nod kluster sedemikian, tetapi adalah mungkin untuk memuatkan baki sambungan VPN secara automatik dan memastikan toleransi kesalahan sambungan VPN sehingga sekurang-kurangnya satu nod aktif kekal dalam kluster. Beban dalam kluster secara automatik seimbang bergantung pada beban kerja nod mengikut bilangan sesi VPN.
Untuk failover nod tertentu kluster (jika diperlukan), pemfail boleh digunakan, jadi sambungan aktif akan dikendalikan oleh nod Utama pemfail. Penukaran fail bukanlah syarat yang diperlukan untuk memastikan toleransi kesalahan dalam kelompok Pengimbangan Beban, kelompok itu sendiri, sekiranya berlaku kegagalan nod, akan memindahkan sesi pengguna ke nod langsung yang lain, tetapi tanpa menyimpan status sambungan, iaitu tepat disediakan oleh pemfail. Sehubungan itu, adalah mungkin, jika perlu, untuk menggabungkan kedua-dua teknologi ini.
Kluster Pengimbangan Beban VPN boleh mengandungi lebih daripada dua nod.
Kluster Pengimbangan Beban VPN disokong pada ASA 5512-X dan ke atas.
Memandangkan setiap ASA dalam kelompok Pengimbangan Beban VPN ialah unit bebas dari segi tetapan, kami menjalankan semua langkah konfigurasi secara individu pada setiap peranti individu.
Topologi logik contoh yang diberikan:
Penggunaan Utama:
-
Kami menggunakan contoh ASAv bagi templat yang kami perlukan (ASAv5/10/30/50) daripada imej.
-
Kami memperuntukkan antara muka DALAM / LUAR kepada VLAN yang sama (Di luar dalam VLAN sendiri, DALAM dalam sendiri, tetapi secara amnya dalam kelompok, lihat topologi), adalah penting bahawa antara muka jenis yang sama berada dalam segmen L2 yang sama.
-
Lesen:
- Pada masa ini pemasangan ASAv tidak akan mempunyai sebarang lesen dan akan dihadkan kepada 100kbps.
- Untuk memasang lesen, anda perlu menjana token dalam Akaun Pintar anda: -> Pelesenan Perisian Pintar
- Dalam tetingkap yang terbuka, klik butang Token Baharu
- Pastikan dalam tetingkap yang terbuka terdapat medan aktif dan tanda semak ditandakan Benarkan fungsi terkawal eksport⦠Tanpa medan ini aktif, anda tidak akan dapat menggunakan fungsi penyulitan kuat dan, oleh itu, VPN. Jika medan ini tidak aktif, sila hubungi pasukan akaun anda dengan permintaan pengaktifan.
- Setelah menekan butang Buat Token, token akan dibuat yang akan kami gunakan untuk mendapatkan lesen untuk ASAv, salinnya:
- Ulangi langkah C,D,E untuk setiap ASAv yang digunakan.
- Untuk memudahkan anda menyalin token, mari kita benarkan telnet buat sementara waktu. Mari kita konfigurasikan setiap ASA (contoh di bawah menggambarkan tetapan pada ASA-1). telnet tidak berfungsi dengan luar, jika anda benar-benar memerlukannya, tukar tahap keselamatan kepada 100 ke luar, kemudian kembalikannya.
! ciscoasa(config)# int gi0/0 ciscoasa(config)# nameif outside ciscoasa(config)# ip address 192.168.31.30 255.255.255.0 ciscoasa(config)# no shut ! ciscoasa(config)# int gi0/1 ciscoasa(config)# nameif inside ciscoasa(config)# ip address 192.168.255.2 255.255.255.0 ciscoasa(config)# no shut ! ciscoasa(config)# telnet 0 0 inside ciscoasa(config)# username admin password cisco priv 15 ciscoasa(config)# ena password cisco ciscoasa(config)# aaa authentication telnet console LOCAL ! ciscoasa(config)# route outside 0 0 192.168.31.1 ! ciscoasa(config)# wr !- Untuk mendaftarkan token dalam awan Smart-Account, anda mesti menyediakan akses Internet untuk ASA, .
Ringkasnya, ASA diperlukan:
- akses melalui HTTPS ke Internet;
- penyegerakan masa (lebih tepat, melalui NTP);
- pelayan DNS berdaftar;
- Kami telnet ke ASA kami dan membuat tetapan untuk mengaktifkan lesen melalui Smart-Account.
! ciscoasa(config)# clock set 19:21:00 Mar 18 2020 ciscoasa(config)# clock timezone MSK 3 ciscoasa(config)# ntp server 192.168.99.136 ! ciscoasa(config)# dns domain-lookup outside ciscoasa(config)# DNS server-group DefaultDNS ciscoasa(config-dns-server-group)# name-server 192.168.99.132 ! ! ΠΡΠΎΠ²Π΅ΡΠΈΠΌ ΡΠ°Π±ΠΎΡΡ DNS: ! ciscoasa(config-dns-server-group)# ping ya.ru Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 87.250.250.242, timeout is 2 seconds: !!!!! ! ! ΠΡΠΎΠ²Π΅ΡΠΈΠΌ ΡΠΈΠ½Ρ ΡΠΎΠ½ΠΈΠ·Π°ΡΠΈΡ NTP: ! ciscoasa(config)# show ntp associations address ref clock st when poll reach delay offset disp *~192.168.99.136 91.189.94.4 3 63 64 1 36.7 1.85 17.5 * master (synced), # master (unsynced), + selected, - candidate, ~ configured ! ! Π£ΡΡΠ°Π½ΠΎΠ²ΠΈΠΌ ΠΊΠΎΠ½ΡΠΈΠ³ΡΡΠ°ΡΠΈΡ Π½Π°ΡΠ΅ΠΉ ASAv Π΄Π»Ρ Smart-Licensing (Π² ΡΠΎΠΎΡΠ²Π΅ΡΡΡΠ²ΠΈΠΈ Ρ ΠΠ°ΡΠΈΠΌ ΠΏΡΠΎΡΠΈΠ»Π΅ΠΌ, Π² ΠΌΠΎΠ΅ΠΌ ΡΠ»ΡΡΠ°Π΅ 100Π Π΄Π»Ρ ΠΏΡΠΈΠΌΠ΅ΡΠ°) ! ciscoasa(config)# license smart ciscoasa(config-smart-lic)# feature tier standard ciscoasa(config-smart-lic)# throughput level 100M ! ! Π ΡΠ»ΡΡΠ°Π΅ Π½Π΅ΠΎΠ±Ρ ΠΎΠ΄ΠΈΠΌΠΎΡΡΠΈ ΠΌΠΎΠΆΠ½ΠΎ Π½Π°ΡΡΡΠΎΠΈΡΡ Π΄ΠΎΡΡΡΠΏ Π² ΠΠ½ΡΠ΅ΡΠ½Π΅Ρ ΡΠ΅ΡΠ΅Π· ΠΏΡΠΎΠΊΡΠΈ ΠΈΡΠΏΠΎΠ»ΡΠ·ΡΠΉΡΠ΅ ΡΠ»Π΅Π΄ΡΡΡΠΈΠΉ Π±Π»ΠΎΠΊ ΠΊΠΎΠΌΠ°Π½Π΄: !call-home ! http-proxy ip_address port port ! ! ΠΠ°Π»Π΅Π΅ ΠΌΡ Π²ΡΡΠ°Π²Π»ΡΠ΅ΠΌ ΡΠΊΠΎΠΏΠΈΡΠΎΠ²Π°Π½Π½ΡΠΉ ΠΈΠ· ΠΏΠΎΡΡΠ°Π»Π° Smart-Account ΡΠΎΠΊΠ΅Π½ (<token>) ΠΈ ΡΠ΅Π³ΠΈΡΡΡΠΈΡΡΠ΅ΠΌ Π»ΠΈΡΠ΅Π½Π·ΠΈΡ ! ciscoasa(config)# end ciscoasa# license smart register idtoken <token>- Kami menyemak sama ada peranti telah berjaya mendaftarkan lesen dan pilihan penyulitan tersedia:
-
Sediakan SSL-VPN asas pada setiap get laluan
- Seterusnya, konfigurasikan akses melalui SSH dan ASDM:
ciscoasa(config)# ssh ver 2 ciscoasa(config)# aaa authentication ssh console LOCAL ciscoasa(config)# aaa authentication http console LOCAL ciscoasa(config)# hostname vpn-demo-1 vpn-demo-1(config)# domain-name ashes.cc vpn-demo-1(config)# cry key gen rsa general-keys modulus 4096 vpn-demo-1(config)# ssh 0 0 inside vpn-demo-1(config)# http 0 0 inside ! ! ΠΠΎΠ΄Π½ΠΈΠΌΠ΅ΠΌ ΡΠ΅ΡΠ²Π΅Ρ HTTPS Π΄Π»Ρ ASDM Π½Π° ΠΏΠΎΡΡΡ 445 ΡΡΠΎΠ±Ρ Π½Π΅ ΠΏΠ΅ΡΠ΅ΡΠ΅ΠΊΠ°ΡΡΡΡ Ρ SSL-VPN ΠΏΠΎΡΡΠ°Π»ΠΎΠΌ ! vpn-demo-1(config)# http server enable 445 !- Untuk ASDM berfungsi, anda mesti memuat turunnya dari tapak web cisco.com, dalam kes saya ia adalah fail berikut:
- Untuk klien AnyConnect berfungsi, anda perlu memuat naik imej ke setiap ASA untuk setiap OS klien desktop yang digunakan (dirancang untuk menggunakan Linux / Windows / MAC), anda memerlukan fail dengan Pakej Arahan Headend Dalam tajuk:
- Fail yang dimuat turun boleh dimuat naik, contohnya, ke pelayan FTP dan dimuat naik ke setiap ASA individu:
- Kami mengkonfigurasi sijil ASDM dan Ditandatangani Sendiri untuk SSL-VPN (adalah disyorkan untuk menggunakan sijil yang dipercayai dalam pengeluaran). FQDN set Alamat Kluster Maya (vpn-demo.ashes.cc), serta setiap FQDN yang dikaitkan dengan alamat luaran setiap nod kluster, mesti diselesaikan dalam zon DNS luaran kepada alamat IP antara muka LUAR (atau ke alamat yang dipetakan jika pemajuan port udp/443 digunakan (DTLS) dan tcp/443(TLS)). Maklumat terperinci tentang keperluan untuk sijil dinyatakan dalam bahagian Pengesahan Sijil dokumentasi.
! vpn-demo-1(config)# crypto ca trustpoint SELF vpn-demo-1(config-ca-trustpoint)# enrollment self vpn-demo-1(config-ca-trustpoint)# fqdn vpn-demo.ashes.cc vpn-demo-1(config-ca-trustpoint)# subject-name cn=*.ashes.cc, ou=ashes-lab, o=ashes, c=ru vpn-demo-1(config-ca-trustpoint)# serial-number vpn-demo-1(config-ca-trustpoint)# crl configure vpn-demo-1(config-ca-crl)# cry ca enroll SELF % The fully-qualified domain name in the certificate will be: vpn-demo.ashes.cc Generate Self-Signed Certificate? [yes/no]: yes vpn-demo-1(config)# ! vpn-demo-1(config)# sh cry ca certificates Certificate Status: Available Certificate Serial Number: 4d43725e Certificate Usage: General Purpose Public Key Type: RSA (4096 bits) Signature Algorithm: SHA256 with RSA Encryption Issuer Name: serialNumber=9A439T02F95 hostname=vpn-demo.ashes.cc cn=*.ashes.cc ou=ashes-lab o=ashes c=ru Subject Name: serialNumber=9A439T02F95 hostname=vpn-demo.ashes.cc cn=*.ashes.cc ou=ashes-lab o=ashes c=ru Validity Date: start date: 00:16:17 MSK Mar 19 2020 end date: 00:16:17 MSK Mar 17 2030 Storage: config Associated Trustpoints: SELF CA Certificate Status: Available Certificate Serial Number: 0509 Certificate Usage: General Purpose Public Key Type: RSA (4096 bits) Signature Algorithm: SHA1 with RSA Encryption Issuer Name: cn=QuoVadis Root CA 2 o=QuoVadis Limited c=BM Subject Name: cn=QuoVadis Root CA 2 o=QuoVadis Limited c=BM Validity Date: start date: 21:27:00 MSK Nov 24 2006 end date: 21:23:33 MSK Nov 24 2031 Storage: config Associated Trustpoints: _SmartCallHome_ServerCA- Jangan lupa untuk menentukan port untuk memeriksa ASDM berfungsi, sebagai contoh:
- Mari kita lakukan tetapan asas terowong:
- Mari jadikan rangkaian korporat tersedia melalui terowong, dan biarkan Internet pergi terus (bukan kaedah paling selamat jika tiada perlindungan pada hos penyambung, adalah mungkin untuk menembusi melalui hos yang dijangkiti dan memaparkan data korporat, pilihan terowong-terowong-terowong berpecah akan membenarkan semua trafik hos masuk ke dalam terowong. Namun begitu terowong terbelah memungkinkan untuk memunggah gerbang VPN dan tidak memproses trafik Internet hos)
- Mari keluarkan alamat daripada subnet 192.168.20.0/24 kepada hos dalam terowong (kumpulan daripada 10 hingga 30 alamat (untuk nod #1)). Setiap nod kluster VPN mesti mempunyai kumpulan sendiri.
- Kami akan menjalankan pengesahan asas dengan pengguna ciptaan tempatan pada ASA (Ini tidak disyorkan, ini adalah kaedah yang paling mudah), adalah lebih baik untuk melakukan pengesahan melalui LDAP/RADIUS, atau lebih baik lagi, seri Pengesahan Pelbagai Faktor (MFA), Mis Cisco DUO.
! vpn-demo-1(config)# ip local pool vpn-pool 192.168.20.10-192.168.20.30 mask 255.255.255.0 ! vpn-demo-1(config)# access-list split-tunnel standard permit 192.168.0.0 255.255.0.0 ! vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY internal vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY attributes vpn-demo-1(config-group-policy)# vpn-tunnel-protocol ssl-client vpn-demo-1(config-group-policy)# split-tunnel-policy tunnelspecified vpn-demo-1(config-group-policy)# split-tunnel-network-list value split-tunnel vpn-demo-1(config-group-policy)# dns-server value 192.168.99.132 vpn-demo-1(config-group-policy)# default-domain value ashes.cc vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes vpn-demo-1(config-tunnel-general)# default-group-policy SSL-VPN-GROUP-POLICY vpn-demo-1(config-tunnel-general)# address-pool vpn-pool ! vpn-demo-1(config)# username dkazakov password cisco vpn-demo-1(config)# username dkazakov attributes vpn-demo-1(config-username)# service-type remote-access ! vpn-demo-1(config)# ssl trust-point SELF vpn-demo-1(config)# webvpn vpn-demo-1(config-webvpn)# enable outside vpn-demo-1(config-webvpn)# anyconnect image disk0:/anyconnect-win-4.8.03036-webdeploy-k9.pkg vpn-demo-1(config-webvpn)# anyconnect enable !- (PILIHAN): Dalam contoh di atas, kami menggunakan pengguna tempatan di ITU untuk mengesahkan pengguna jauh, yang sudah tentu, kecuali di makmal, kurang sesuai. Saya akan memberikan contoh cara menyesuaikan tetapan dengan cepat untuk pengesahan RADIUS pelayan, digunakan sebagai contoh Enjin Perkhidmatan Identiti Cisco:
vpn-demo-1(config-aaa-server-group)# dynamic-authorization vpn-demo-1(config-aaa-server-group)# interim-accounting-update vpn-demo-1(config-aaa-server-group)# aaa-server RADIUS (outside) host 192.168.99.134 vpn-demo-1(config-aaa-server-host)# key cisco vpn-demo-1(config-aaa-server-host)# exit vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes vpn-demo-1(config-tunnel-general)# authentication-server-group RADIUS !Penyepaduan ini membolehkan bukan sahaja untuk menyepadukan prosedur pengesahan dengan cepat dengan perkhidmatan direktori AD, tetapi juga untuk membezakan sama ada komputer yang disambungkan adalah milik AD, untuk memahami sama ada peranti ini adalah korporat atau peribadi, dan untuk menilai status peranti yang disambungkan. .
- Mari konfigurasikan NAT Telus supaya trafik antara pelanggan dan sumber rangkaian rangkaian korporat tidak dicoretkan:
vpn-demo-1(config-network-object)# subnet 192.168.20.0 255.255.255.0 ! vpn-demo-1(config)# nat (inside,outside) source static any any destination static vpn-users vpn-users no-proxy-arp- (PILIHAN): Untuk mendedahkan pelanggan kami kepada Internet melalui ASA (apabila menggunakan tunnelall pilihan) menggunakan PAT, serta keluar melalui antara muka LUAR yang sama dari mana ia disambungkan, anda perlu membuat tetapan berikut
vpn-demo-1(config-network-object)# nat (outside,outside) source dynamic vpn-users interface vpn-demo-1(config)# nat (inside,outside) source dynamic any interface vpn-demo-1(config)# same-security-traffic permit intra-interface !- Apabila menggunakan kluster, adalah sangat penting untuk membolehkan rangkaian dalaman memahami ASA yang mana untuk menghalakan trafik kembali kepada pengguna, untuk ini anda perlu mengagihkan semula laluan / 32 alamat yang dikeluarkan kepada pelanggan.
Pada masa ini, kami masih belum mengkonfigurasi kluster, tetapi kami sudah mempunyai gerbang VPN yang berfungsi yang boleh disambungkan secara individu melalui FQDN atau IP.
Kami melihat klien yang disambungkan dalam jadual penghalaan ASA pertama:
Agar keseluruhan kluster VPN kami dan keseluruhan rangkaian korporat mengetahui laluan kepada pelanggan kami, kami akan mengagihkan semula awalan klien ke dalam protokol penghalaan dinamik, contohnya OSPF:
! vpn-demo-1(config)# route-map RMAP-VPN-REDISTRIBUTE permit 1 vpn-demo-1(config-route-map)# match ip address VPN-REDISTRIBUTE ! vpn-demo-1(config)# router ospf 1 vpn-demo-1(config-router)# network 192.168.255.0 255.255.255.0 area 0 vpn-demo-1(config-router)# log-adj-changes vpn-demo-1(config-router)# redistribute static metric 5000 subnets route-map RMAP-VPN-REDISTRIBUTEKini kami mempunyai laluan kepada pelanggan dari gerbang ASA-2 kedua dan pengguna yang disambungkan ke gerbang VPN yang berbeza dalam kelompok boleh, sebagai contoh, berkomunikasi secara terus melalui telefon lembut korporat, serta mengembalikan trafik daripada sumber yang diminta oleh pengguna akan datang ke gerbang VPN yang dikehendaki:
-
Mari kita teruskan untuk mengkonfigurasi kelompok Pengimbangan Beban.
Alamat 192.168.31.40 akan digunakan sebagai IP Maya (VIP - semua klien VPN pada mulanya akan menyambung kepadanya), dari alamat ini kluster Master akan membuat REDRECT ke nod kluster yang kurang dimuatkan. Jangan lupa menulis rekod DNS hadapan dan belakang kedua-duanya untuk setiap alamat luaran / FQDN bagi setiap nod kluster, dan untuk VIP.
vpn-demo-1(config)# vpn load-balancing vpn-demo-1(config-load-balancing)# interface lbpublic outside vpn-demo-1(config-load-balancing)# interface lbprivate inside vpn-demo-1(config-load-balancing)# priority 10 vpn-demo-1(config-load-balancing)# cluster ip address 192.168.31.40 vpn-demo-1(config-load-balancing)# cluster port 4000 vpn-demo-1(config-load-balancing)# redirect-fqdn enable vpn-demo-1(config-load-balancing)# cluster key cisco vpn-demo-1(config-load-balancing)# cluster encryption vpn-demo-1(config-load-balancing)# cluster port 9023 vpn-demo-1(config-load-balancing)# participate vpn-demo-1(config-load-balancing)#- Kami menyemak operasi kluster dengan dua pelanggan yang disambungkan:
- Mari jadikan pengalaman pelanggan lebih mudah dengan profil AnyConnect yang dimuatkan secara automatik melalui ASDM.
Kami menamakan profil dengan cara yang mudah dan mengaitkan dasar kumpulan kami dengannya:
Selepas sambungan klien seterusnya, profil ini akan dimuat turun dan dipasang secara automatik dalam klien AnyConnect, jadi jika anda perlu menyambung, pilih sahaja dari senarai:
Memandangkan kami mencipta profil ini pada satu ASA sahaja menggunakan ASDM, jangan lupa untuk mengulangi langkah pada ASA lain dalam kelompok.
Kesimpulan: Oleh itu, kami dengan cepat menggunakan sekumpulan beberapa get laluan VPN dengan pengimbangan beban automatik. Menambah nod baharu pada kluster adalah mudah, dengan penskalaan mendatar yang mudah dengan menggunakan mesin maya ASAv baharu atau menggunakan ASA perkakasan. Pelanggan AnyConnect yang kaya dengan ciri boleh meningkatkan sambungan jauh selamat dengan menggunakan Postur (anggaran keadaan), paling berkesan digunakan bersama dengan sistem kawalan berpusat dan perakaunan akses Enjin Perkhidmatan Identiti.
Sumber: www.habr.com