L-iskjerament ta' Cluster tal-Ibbilanċjar tat-Tagħbija ASA VPN
F'dan l-artikolu, nixtieq nipprovdi struzzjonijiet pass pass dwar kif tista 'malajr tuża l-aktar skema skalabbli bħalissa. VPN Aċċess Remot aċċess ibbażat AnyConnect u Cisco ASA - Cluster tal-Ibbilanċjar tat-Tagħbija VPN.
Introduzzjoni: Bosta kumpaniji madwar id-dinja, fid-dawl tas-sitwazzjoni attwali bil-COVID-19, qed jagħmlu sforzi biex jittrasferixxu l-impjegati tagħhom għal xogħol mill-bogħod. Minħabba t-tranżizzjoni tal-massa għal xogħol remot, it-tagħbija fuq il-gateways VPN eżistenti tal-kumpaniji qed tiżdied b'mod kritiku u hija meħtieġa kapaċità mgħaġġla ħafna biex tiskalahom. Min-naħa l-oħra, ħafna kumpaniji huma sfurzati biex jaħkmu bil-għaġla l-kunċett ta 'xogħol mill-bogħod mill-bidu.
Ħejjejt gwida pass pass għal skjerament sempliċi ta 'VPN Load-Balancing Cluster bħala l-aktar teknoloġija VPN skalabbli.
L-eżempju hawn taħt se jkun pjuttost sempliċi f'termini tal-algoritmi ta' awtentikazzjoni u awtorizzazzjoni użati, iżda se jkun għażla tajba għal bidu ta' malajr (li bħalissa mhux biżżejjed għal ħafna) bil-possibbiltà ta' adattament fil-fond għall-bżonnijiet tiegħek waqt l-iskjerament proċess.
Informazzjoni fil-qosor: It-teknoloġija tal-Cluster tal-Ibbilanċjar tat-Tagħbija VPN mhijiex failover u mhux funzjoni ta 'raggruppament fis-sens nattiv tagħha, din it-teknoloġija tista' tgħaqqad mudelli ASA kompletament differenti (b'ċerti restrizzjonijiet) sabiex tibbilanċja l-konnessjonijiet VPN b'Aċċess Remot. M'hemm l-ebda sinkronizzazzjoni ta 'sessjonijiet u konfigurazzjonijiet bejn in-nodi ta' raggruppament bħal dan, iżda huwa possibbli li tgħabbi b'mod awtomatiku l-konnessjonijiet VPN tal-bilanċ u tiżgura t-tolleranza tal-ħsarat tal-konnessjonijiet VPN sakemm jibqa 'mill-inqas nodu attiv wieħed fil-cluster. It-tagħbija fil-cluster hija awtomatikament ibbilanċjata skont l-ammont ta 'xogħol tan-nodi bin-numru ta' sessjonijiet VPN.
Għal failover ta 'nodi speċifiċi tal-cluster (jekk meħtieġ), jista' jintuża filer, għalhekk il-konnessjoni attiva tiġi mmaniġġjata min-nodu Primarju tal-filer. Il-fileover mhix kundizzjoni meħtieġa biex tiġi żgurata t-tolleranza tal-ħsarat fi ħdan il-cluster Load-Balancing, il-cluster innifsu, f'każ ta 'falliment tan-node, se jittrasferixxi s-sessjoni tal-utent għal nodu ħaj ieħor, iżda mingħajr ma jsalva l-istatus tal-konnessjoni, li huwa preċiżament ipprovdut mill-filer. Għaldaqstant, huwa possibbli, jekk meħtieġ, li dawn iż-żewġ teknoloġiji jiġu kkombinati.
Cluster tal-Ibbilanċjar tat-Tagħbija VPN jista' jkun fih aktar minn żewġ nodi.
VPN Load-Balancing Cluster huwa appoġġjat fuq ASA 5512-X u aktar.
Peress li kull ASA fi ħdan il-cluster tal-Ibbilanċjar tat-Tagħbija VPN hija unità indipendenti f'termini ta 'settings, aħna nwettqu l-passi kollha tal-konfigurazzjoni individwalment fuq kull apparat individwali.
Aħna niskjeraw istanzi ASAv tal-mudelli li neħtieġu (ASAv5/10/30/50) mill-immaġni.
Aħna jassenjaw l-interfaces ĠEWWA / BARRA lill-istess VLANs (Barra fil-VLAN tagħha stess, ĠEWWA fiha stess, iżda ġeneralment fi ħdan il-cluster, ara t-topoloġija), huwa importanti li l-interfaces tal-istess tip ikunu fl-istess segment L2.
Liċenzji:
Bħalissa l-installazzjoni ASAv mhux se jkollha l-ebda liċenzja u se tkun limitata għal 100kbps.
Biex tinstalla liċenzja, trid tiġġenera token fl-Smart-Account tiegħek: https://software.cisco.com/ -> Liċenzjar tas-Softwer Smart
Fit-tieqa li tiftaħ, ikklikkja l-buttuna Token Ġdid
Kun żgur li fit-tieqa li tiftaħ hemm qasam attiv u marka ta 'kontroll hija ċċekkjata Ippermetti funzjonalità kkontrollata mill-esportazzjoni… Mingħajr dan il-qasam attiv, ma tkunx tista' tuża l-funzjonijiet ta' kriptaġġ qawwi u, għaldaqstant, VPN. Jekk dan il-qasam mhuwiex attiv, jekk jogħġbok ikkuntattja lit-tim tal-kont tiegħek b'talba għall-attivazzjoni.
Wara li tagħfas il-buttuna Oħloq Token, se jinħoloq token li se nużaw biex niksbu liċenzja għal ASAv, ikkopjaha:
Irrepeti l-passi C,D,E għal kull ASAv skjerat.
Biex tagħmilha aktar faċli li tikkopja t-token, ejja nħallu temporanjament it-telnet. Ejja kkonfiguraw kull ASA (l-eżempju hawn taħt juri s-settings fuq ASA-1). telnet ma jaħdimx ma 'barra, jekk verament għandek bżonnha, ibdel il-livell tas-sigurtà għal 100 għal barra, imbagħad erġa' lura.
!
ciscoasa(config)# int gi0/0
ciscoasa(config)# nameif outside
ciscoasa(config)# ip address 192.168.31.30 255.255.255.0
ciscoasa(config)# no shut
!
ciscoasa(config)# int gi0/1
ciscoasa(config)# nameif inside
ciscoasa(config)# ip address 192.168.255.2 255.255.255.0
ciscoasa(config)# no shut
!
ciscoasa(config)# telnet 0 0 inside
ciscoasa(config)# username admin password cisco priv 15
ciscoasa(config)# ena password cisco
ciscoasa(config)# aaa authentication telnet console LOCAL
!
ciscoasa(config)# route outside 0 0 192.168.31.1
!
ciscoasa(config)# wr
!
Biex tirreġistra token fis-sħab tal-Smart-Account, trid tipprovdi aċċess għall-Internet għall-ASA, dettalji hawn.
Fil-qosor, ASA hija meħtieġa:
aċċess permezz ta' HTTPS għall-Internet;
sinkronizzazzjoni tal-ħin (b'mod aktar korrett, permezz NTP);
server DNS irreġistrat;
Aħna telnet lill-ASA tagħna u nagħmlu settings biex nattivaw il-liċenzja permezz ta 'Smart-Account.
!
ciscoasa(config)# clock set 19:21:00 Mar 18 2020
ciscoasa(config)# clock timezone MSK 3
ciscoasa(config)# ntp server 192.168.99.136
!
ciscoasa(config)# dns domain-lookup outside
ciscoasa(config)# DNS server-group DefaultDNS
ciscoasa(config-dns-server-group)# name-server 192.168.99.132
!
! Проверим работу DNS:
!
ciscoasa(config-dns-server-group)# ping ya.ru
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 87.250.250.242, timeout is 2 seconds:
!!!!!
!
! Проверим синхронизацию NTP:
!
ciscoasa(config)# show ntp associations
address ref clock st when poll reach delay offset disp
*~192.168.99.136 91.189.94.4 3 63 64 1 36.7 1.85 17.5
* master (synced), # master (unsynced), + selected, - candidate, ~ configured
!
! Установим конфигурацию нашей ASAv для Smart-Licensing (в соответствии с Вашим профилем, в моем случае 100М для примера)
!
ciscoasa(config)# license smart
ciscoasa(config-smart-lic)# feature tier standard
ciscoasa(config-smart-lic)# throughput level 100M
!
! В случае необходимости можно настроить доступ в Интернет через прокси используйте следующий блок команд:
!call-home
! http-proxy ip_address port port
!
! Далее мы вставляем скопированный из портала Smart-Account токен (<token>) и регистрируем лицензию
!
ciscoasa(config)# end
ciscoasa# license smart register idtoken <token>
Aħna niċċekkjaw li l-apparat irreġistra b'suċċess liċenzja u l-għażliet ta 'kodifikazzjoni huma disponibbli:
Stabbilixxi SSL-VPN bażiku fuq kull gateway
Sussegwentement, ikkonfigura l-aċċess permezz ta' SSH u ASDM:
ciscoasa(config)# ssh ver 2
ciscoasa(config)# aaa authentication ssh console LOCAL
ciscoasa(config)# aaa authentication http console LOCAL
ciscoasa(config)# hostname vpn-demo-1
vpn-demo-1(config)# domain-name ashes.cc
vpn-demo-1(config)# cry key gen rsa general-keys modulus 4096
vpn-demo-1(config)# ssh 0 0 inside
vpn-demo-1(config)# http 0 0 inside
!
! Поднимем сервер HTTPS для ASDM на порту 445 чтобы не пересекаться с SSL-VPN порталом
!
vpn-demo-1(config)# http server enable 445
!
Biex l-ASDM jaħdem, l-ewwel trid tniżżlu mill-websajt cisco.com, fil-każ tiegħi huwa l-fajl li ġej:
Biex il-klijent AnyConnect jaħdem, għandek bżonn ittella' immaġni għal kull ASA għal kull OS desktop tal-klijent użat (ppjanat li juża Linux / Windows / MAC), ser ikollok bżonn fajl b' Pakkett ta' Skjerament ta' Headend Fit-titlu:
Il-fajls imniżżla jistgħu jittellgħu, pereżempju, fuq server FTP u jittellgħu fuq kull ASA individwali:
Aħna kkonfiguraw ċertifikat ASDM u Self-Signed għal SSL-VPN (huwa rakkomandat li tuża ċertifikat fdat fil-produzzjoni). Is-sett FQDN tal-Indirizz tal-Cluster Virtwali (vpn-demo.ashes.cc), kif ukoll kull FQDN assoċjat mal-indirizz estern ta 'kull node tal-cluster, għandhom isolvu fiż-żona DNS esterna għall-indirizz IP tal-interface BARRA (jew għall-indirizz immappjat jekk jintuża port forwarding udp/443 (DTLS) u tcp/443(TLS)). Informazzjoni dettaljata dwar ir-rekwiżiti għaċ-ċertifikat hija speċifikata fit-taqsima Verifika taċ-Ċertifikat dokumentazzjoni.
!
vpn-demo-1(config)# crypto ca trustpoint SELF
vpn-demo-1(config-ca-trustpoint)# enrollment self
vpn-demo-1(config-ca-trustpoint)# fqdn vpn-demo.ashes.cc
vpn-demo-1(config-ca-trustpoint)# subject-name cn=*.ashes.cc, ou=ashes-lab, o=ashes, c=ru
vpn-demo-1(config-ca-trustpoint)# serial-number
vpn-demo-1(config-ca-trustpoint)# crl configure
vpn-demo-1(config-ca-crl)# cry ca enroll SELF
% The fully-qualified domain name in the certificate will be: vpn-demo.ashes.cc
Generate Self-Signed Certificate? [yes/no]: yes
vpn-demo-1(config)#
!
vpn-demo-1(config)# sh cry ca certificates
Certificate
Status: Available
Certificate Serial Number: 4d43725e
Certificate Usage: General Purpose
Public Key Type: RSA (4096 bits)
Signature Algorithm: SHA256 with RSA Encryption
Issuer Name:
serialNumber=9A439T02F95
hostname=vpn-demo.ashes.cc
cn=*.ashes.cc
ou=ashes-lab
o=ashes
c=ru
Subject Name:
serialNumber=9A439T02F95
hostname=vpn-demo.ashes.cc
cn=*.ashes.cc
ou=ashes-lab
o=ashes
c=ru
Validity Date:
start date: 00:16:17 MSK Mar 19 2020
end date: 00:16:17 MSK Mar 17 2030
Storage: config
Associated Trustpoints: SELF
CA Certificate
Status: Available
Certificate Serial Number: 0509
Certificate Usage: General Purpose
Public Key Type: RSA (4096 bits)
Signature Algorithm: SHA1 with RSA Encryption
Issuer Name:
cn=QuoVadis Root CA 2
o=QuoVadis Limited
c=BM
Subject Name:
cn=QuoVadis Root CA 2
o=QuoVadis Limited
c=BM
Validity Date:
start date: 21:27:00 MSK Nov 24 2006
end date: 21:23:33 MSK Nov 24 2031
Storage: config
Associated Trustpoints: _SmartCallHome_ServerCA
Tinsiex tispeċifika l-port biex tivverifika li l-ASDM qed jaħdem, pereżempju:
Ejja nwettqu s-settings bażiċi tal-mina:
Ejja nagħmlu n-netwerk korporattiv disponibbli permezz tal-mina, u ħalli l-Internet imur direttament (mhux l-iktar metodu sikur jekk ma jkunx hemm protezzjonijiet fuq il-host li jgħaqqad, huwa possibbli li tippenetra minn host infettat u turi data korporattiva, għażla split-tunnel-politika tunnelall se jħalli t-traffiku kollu jospita fil-mina. Madankollu maqsuma-mina jagħmilha possibbli li tħoll il-portal VPN u ma tipproċessax it-traffiku tal-Internet ospitanti)
Ejja noħorġu indirizzi mis-subnet 192.168.20.0/24 għal hosts fil-mina (pool minn 10 sa 30 indirizz (għal node #1)). Kull nodu tal-cluster VPN għandu jkollu l-grupp tiegħu stess.
Aħna se nwettqu awtentikazzjoni bażika ma 'utent maħluq lokalment fuq l-ASA (Dan mhux rakkomandat, dan huwa l-eħfef metodu), huwa aħjar li tagħmel l-awtentikazzjoni permezz LDAP/RAJJU, jew aħjar, tie Awtentikazzjoni Multi-Fatturi (MFA), E.ż. Cisco DUO.
(FACULTATI): Fl-eżempju ta 'hawn fuq, użajna utent lokali fuq l-ITU biex jawtentikaw utenti remoti, li ovvjament, ħlief fil-laboratorju, huwa applikabbli ħażin. Se nagħti eżempju ta' kif naddatta malajr is-setting għall-awtentikazzjoni RADIUS server, pereżempju użat Magna tas-Servizzi tal-Identità ta' Cisco:
Din l-integrazzjoni għamlitha possibbli mhux biss li tiġi integrata malajr il-proċedura ta’ awtentikazzjoni mas-servizz tad-direttorju AD, iżda wkoll li ssir distinzjoni dwar jekk il-kompjuter konness jappartjenix lil AD, biex tifhem jekk dan l-apparat huwiex korporattiv jew personali, u biex jiġi evalwat l-istatus tal-apparat konness. .
Ejja kkonfiguraw NAT Trasparenti sabiex it-traffiku bejn il-klijent u r-riżorsi tan-netwerk tan-netwerk korporattiv ma jitħarrabx:
vpn-demo-1(config-network-object)# subnet 192.168.20.0 255.255.255.0
!
vpn-demo-1(config)# nat (inside,outside) source static any any destination static vpn-users vpn-users no-proxy-arp
(FACULTATI): Sabiex nesponi lill-klijenti tagħna għall-Internet permezz tal-ASA (meta tuża tunnelall għażliet) billi tuża PAT, kif ukoll toħroġ mill-istess interface BARRA li minnha huma konnessi, trid tagħmel is-settings li ġejjin
Meta tuża raggruppament, huwa estremament importanti li n-netwerk intern ikun jista' jifhem liema ASA se rotta traffiku lura lill-utenti, għal dan għandek bżonn tqassam mill-ġdid ir-rotot / indirizzi 32 maħruġa lill-klijenti.
Bħalissa, għadna ma kkonfiguraniex il-cluster, iżda diġà għandna bieb VPN li jaħdmu li jistgħu jiġu konnessi individwalment permezz ta 'FQDN jew IP.
Naraw il-klijent konness fit-tabella tar-routing tal-ewwel ASA:
Sabiex il-cluster VPN kollu tagħna u n-netwerk korporattiv kollu jkunu jafu r-rotta lejn il-klijent tagħna, aħna se nqassmu mill-ġdid il-prefiss tal-klijent fi protokoll ta’ routing dinamiku, pereżempju OSPF:
Issa għandna rotta lejn il-klijent mit-tieni portal ASA-2 u l-utenti konnessi ma 'gateways VPN differenti fi ħdan il-cluster jistgħu, pereżempju, jikkomunikaw direttament permezz ta' softphone korporattiv, kif ukoll jirritornaw it-traffiku mir-riżorsi mitluba mill-utent. wasal għall-portal VPN mixtieq:
L-indirizz 192.168.31.40 se jintuża bħala IP Virtwali (VIP - il-klijenti VPN kollha se jgħaqqdu inizjalment miegħu), minn dan l-indirizz il-grupp Master se jagħmel REDIRECT għal node ta 'cluster inqas mgħobbi. Tinsiex tikteb rekord DNS 'il quddiem u lura kemm għal kull indirizz estern / FQDN ta 'kull nodu tal-cluster, kif ukoll għal VIP.
Aħna niċċekkjaw it-tħaddim tal-cluster b'żewġ klijenti konnessi:
Ejja nagħmlu l-esperjenza tal-klijent aktar konvenjenti bil-profil AnyConnect mgħobbi awtomatikament permezz tal-ASDM.
Aħna nsemmu l-profil b'mod konvenjenti u nassoċjaw il-politika tal-grupp tagħna miegħu:
Wara l-konnessjoni li jmiss tal-klijent, dan il-profil jitniżżlu u jiġi installat awtomatikament fil-klijent AnyConnect, għalhekk jekk għandek bżonn tikkonnettja, agħżelha biss mil-lista:
Peress li ħloqna dan il-profil fuq ASA wieħed biss bl-użu tal-ASDM, tinsiex li tirrepeti l-passi fuq l-ASAs l-oħra fil-cluster.
Konklużjoni: Għalhekk, aħna skjerati malajr grupp ta 'diversi gateways VPN b'ibbilanċjar awtomatiku tat-tagħbija. Iż-żieda ta 'nodi ġodda mal-cluster hija faċli, bi skala orizzontali sempliċi billi jiġu skjerati magni virtwali ASAv ġodda jew bl-użu ta' ASAs tal-ħardwer. Il-klijent AnyConnect b'ħafna karatteristiċi jista 'jtejjeb ħafna konnessjoni remota sigura billi juża l- Pożizzjoni (stmi tal-istat), użat l-aktar b'mod effettiv flimkien mas-sistema ta 'kontroll ċentralizzat u kontabilità ta' aċċess Magna tas-Servizzi tal-Identità.