🥇 ਇੱਕ ASA VPN ਲੋਡ-ਬੈਲੈਂਸਿੰਗ ਕਲੱਸਟਰ ਨੂੰ ਤੈਨਾਤ ਕਰਨਾ

ਇਸ ਲੇਖ ਵਿੱਚ, ਮੈਂ ਇਸ ਬਾਰੇ ਕਦਮ-ਦਰ-ਕਦਮ ਨਿਰਦੇਸ਼ ਪ੍ਰਦਾਨ ਕਰਨਾ ਚਾਹਾਂਗਾ ਕਿ ਤੁਸੀਂ ਇਸ ਸਮੇਂ ਸਭ ਤੋਂ ਵੱਧ ਸਕੇਲੇਬਲ ਸਕੀਮ ਨੂੰ ਤੇਜ਼ੀ ਨਾਲ ਕਿਵੇਂ ਲਾਗੂ ਕਰ ਸਕਦੇ ਹੋ। ਰਿਮੋਟ ਐਕਸੈਸ VPN ਪਹੁੰਚ ਆਧਾਰਿਤ AnyConnect ਅਤੇ Cisco ASA - VPN ਲੋਡ ਬੈਲੇਂਸਿੰਗ ਕਲੱਸਟਰ.

ਜਾਣ-ਪਛਾਣ: ਦੁਨੀਆ ਭਰ ਦੀਆਂ ਕਈ ਕੰਪਨੀਆਂ, ਕੋਵਿਡ-19 ਦੀ ਮੌਜੂਦਾ ਸਥਿਤੀ ਦੇ ਕਾਰਨ, ਆਪਣੇ ਕਰਮਚਾਰੀਆਂ ਨੂੰ ਰਿਮੋਟ ਕੰਮ 'ਤੇ ਤਬਦੀਲ ਕਰਨ ਲਈ ਯਤਨ ਕਰ ਰਹੀਆਂ ਹਨ। ਰਿਮੋਟ ਕੰਮ ਲਈ ਪੁੰਜ ਤਬਦੀਲੀ ਦੇ ਕਾਰਨ, ਕੰਪਨੀਆਂ ਦੇ ਮੌਜੂਦਾ VPN ਗੇਟਵੇਜ਼ 'ਤੇ ਲੋਡ ਗੰਭੀਰ ਰੂਪ ਨਾਲ ਵੱਧ ਰਿਹਾ ਹੈ ਅਤੇ ਉਹਨਾਂ ਨੂੰ ਸਕੇਲ ਕਰਨ ਲਈ ਬਹੁਤ ਤੇਜ਼ ਸਮਰੱਥਾ ਦੀ ਲੋੜ ਹੈ। ਦੂਜੇ ਪਾਸੇ, ਬਹੁਤ ਸਾਰੀਆਂ ਕੰਪਨੀਆਂ ਨੂੰ ਛੇਤੀ ਤੋਂ ਛੇਤੀ ਰਿਮੋਟ ਕੰਮ ਦੇ ਸੰਕਲਪ ਵਿੱਚ ਮੁਹਾਰਤ ਹਾਸਲ ਕਰਨ ਲਈ ਮਜਬੂਰ ਕੀਤਾ ਜਾਂਦਾ ਹੈ.

ਸਭ ਤੋਂ ਘੱਟ ਸਮੇਂ ਵਿੱਚ ਕਰਮਚਾਰੀਆਂ ਲਈ ਸੁਵਿਧਾਜਨਕ, ਸੁਰੱਖਿਅਤ, ਅਤੇ ਸਕੇਲੇਬਲ VPN ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨ ਵਿੱਚ ਕਾਰੋਬਾਰਾਂ ਦੀ ਮਦਦ ਕਰਨ ਲਈ, Cisco 13 ਹਫ਼ਤਿਆਂ ਤੱਕ AnyConnect ਵਿਸ਼ੇਸ਼ਤਾ-ਅਮੀਰ SSL VPN ਕਲਾਇੰਟ ਨੂੰ ਲਾਇਸੰਸ ਦੇ ਰਿਹਾ ਹੈ। ਤੁਸੀਂ ਅਧਿਕਾਰਤ ਭਾਈਵਾਲਾਂ ਤੋਂ ਜਾਂ ਤੁਹਾਡੇ ਨਾਲ ਕੰਮ ਕਰ ਰਹੇ ਸਿਸਕੋ ਪ੍ਰਤੀਨਿਧਾਂ ਨਾਲ ਸੰਪਰਕ ਕਰਕੇ ਟੈਸਟ (VMWare/Hyper-V/KVM ਹਾਈਪਰਵਾਈਜ਼ਰ ਅਤੇ AWS/Azure ਕਲਾਉਡ ਪਲੇਟਫਾਰਮਾਂ ਲਈ ਵਰਚੁਅਲ ASA) ਲਈ ASAv ਵੀ ਲੈ ਸਕਦੇ ਹੋ.

AnyConnect COVID-19 ਲਾਇਸੰਸ ਜਾਰੀ ਕਰਨ ਦੀ ਪ੍ਰਕਿਰਿਆ ਦਾ ਇੱਥੇ ਵਰਣਨ ਕੀਤਾ ਗਿਆ ਹੈ.

ਮੈਂ ਸਭ ਤੋਂ ਵੱਧ ਸਕੇਲੇਬਲ VPN ਤਕਨਾਲੋਜੀ ਵਜੋਂ VPN ਲੋਡ-ਬੈਲੈਂਸਿੰਗ ਕਲੱਸਟਰ ਦੀ ਸਧਾਰਨ ਤੈਨਾਤੀ ਲਈ ਇੱਕ ਕਦਮ-ਦਰ-ਕਦਮ ਗਾਈਡ ਤਿਆਰ ਕੀਤੀ ਹੈ।

ਹੇਠਾਂ ਦਿੱਤੀ ਉਦਾਹਰਣ ਵਰਤੇ ਗਏ ਪ੍ਰਮਾਣਿਕਤਾ ਅਤੇ ਪ੍ਰਮਾਣਿਕਤਾ ਐਲਗੋਰਿਦਮ ਦੇ ਸੰਦਰਭ ਵਿੱਚ ਕਾਫ਼ੀ ਸਰਲ ਹੋਵੇਗੀ, ਪਰ ਤੈਨਾਤੀ ਦੌਰਾਨ ਤੁਹਾਡੀਆਂ ਜ਼ਰੂਰਤਾਂ ਲਈ ਡੂੰਘਾਈ ਨਾਲ ਅਨੁਕੂਲਤਾ ਦੀ ਸੰਭਾਵਨਾ ਦੇ ਨਾਲ ਇੱਕ ਤੇਜ਼ ਸ਼ੁਰੂਆਤ (ਜੋ ਵਰਤਮਾਨ ਵਿੱਚ ਬਹੁਤਿਆਂ ਲਈ ਕਾਫ਼ੀ ਨਹੀਂ ਹੈ) ਲਈ ਇੱਕ ਵਧੀਆ ਵਿਕਲਪ ਹੋਵੇਗਾ। ਪ੍ਰਕਿਰਿਆ

ਸੰਖੇਪ ਜਾਣਕਾਰੀ: VPN ਲੋਡ ਬੈਲੇਂਸਿੰਗ ਕਲੱਸਟਰ ਤਕਨਾਲੋਜੀ ਇੱਕ ਫੇਲਓਵਰ ਨਹੀਂ ਹੈ ਅਤੇ ਇਸਦੇ ਮੂਲ ਅਰਥਾਂ ਵਿੱਚ ਇੱਕ ਕਲੱਸਟਰਿੰਗ ਫੰਕਸ਼ਨ ਨਹੀਂ ਹੈ, ਇਹ ਤਕਨਾਲੋਜੀ ਰਿਮੋਟ-ਐਕਸੈਸ VPN ਕਨੈਕਸ਼ਨਾਂ ਨੂੰ ਲੋਡ ਕਰਨ ਲਈ ਪੂਰੀ ਤਰ੍ਹਾਂ ਵੱਖਰੇ ASA ਮਾਡਲਾਂ (ਕੁਝ ਪਾਬੰਦੀਆਂ ਦੇ ਨਾਲ) ਨੂੰ ਜੋੜ ਸਕਦੀ ਹੈ। ਅਜਿਹੇ ਕਲੱਸਟਰ ਦੇ ਨੋਡਾਂ ਦੇ ਵਿਚਕਾਰ ਸੈਸ਼ਨਾਂ ਅਤੇ ਸੰਰਚਨਾਵਾਂ ਦਾ ਕੋਈ ਸਮਕਾਲੀਕਰਨ ਨਹੀਂ ਹੈ, ਪਰ ਇਹ ਸਵੈਚਲਿਤ ਤੌਰ 'ਤੇ ਸੰਤੁਲਨ VPN ਕਨੈਕਸ਼ਨਾਂ ਨੂੰ ਲੋਡ ਕਰਨਾ ਅਤੇ VPN ਕਨੈਕਸ਼ਨਾਂ ਦੀ ਨੁਕਸ ਸਹਿਣਸ਼ੀਲਤਾ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਣਾ ਸੰਭਵ ਹੈ ਜਦੋਂ ਤੱਕ ਕਿ ਘੱਟੋ-ਘੱਟ ਇੱਕ ਕਿਰਿਆਸ਼ੀਲ ਨੋਡ ਕਲੱਸਟਰ ਵਿੱਚ ਰਹਿੰਦਾ ਹੈ। ਕਲੱਸਟਰ ਵਿੱਚ ਲੋਡ VPN ਸੈਸ਼ਨਾਂ ਦੀ ਗਿਣਤੀ ਦੁਆਰਾ ਨੋਡਾਂ ਦੇ ਵਰਕਲੋਡ ਦੇ ਅਧਾਰ ਤੇ ਆਪਣੇ ਆਪ ਹੀ ਸੰਤੁਲਿਤ ਹੁੰਦਾ ਹੈ।

ਕਲੱਸਟਰ ਦੇ ਖਾਸ ਨੋਡਾਂ ਦੇ ਫੇਲਓਵਰ ਲਈ (ਜੇ ਲੋੜ ਹੋਵੇ), ਇੱਕ ਫਾਈਲਰ ਵਰਤਿਆ ਜਾ ਸਕਦਾ ਹੈ, ਇਸਲਈ ਕਿਰਿਆਸ਼ੀਲ ਕਨੈਕਸ਼ਨ ਫਾਈਲਰ ਦੇ ਪ੍ਰਾਇਮਰੀ ਨੋਡ ਦੁਆਰਾ ਹੈਂਡਲ ਕੀਤਾ ਜਾਵੇਗਾ। ਲੋਡ-ਬੈਲੈਂਸਿੰਗ ਕਲੱਸਟਰ ਦੇ ਅੰਦਰ ਨੁਕਸ ਸਹਿਣਸ਼ੀਲਤਾ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਫਾਈਲਓਵਰ ਜ਼ਰੂਰੀ ਸ਼ਰਤ ਨਹੀਂ ਹੈ, ਕਲੱਸਟਰ ਖੁਦ, ਨੋਡ ਦੀ ਅਸਫਲਤਾ ਦੀ ਸਥਿਤੀ ਵਿੱਚ, ਉਪਭੋਗਤਾ ਸੈਸ਼ਨ ਨੂੰ ਕਿਸੇ ਹੋਰ ਲਾਈਵ ਨੋਡ ਵਿੱਚ ਟ੍ਰਾਂਸਫਰ ਕਰੇਗਾ, ਪਰ ਕੁਨੈਕਸ਼ਨ ਸਥਿਤੀ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕੀਤੇ ਬਿਨਾਂ, ਜੋ ਕਿ ਬਿਲਕੁਲ ਸਹੀ ਹੈ। ਫਾਈਲਰ ਦੁਆਰਾ ਪ੍ਰਦਾਨ ਕੀਤਾ ਗਿਆ। ਇਸ ਅਨੁਸਾਰ, ਇਹ ਸੰਭਵ ਹੈ, ਜੇ ਜਰੂਰੀ ਹੈ, ਇਹਨਾਂ ਦੋ ਤਕਨਾਲੋਜੀਆਂ ਨੂੰ ਜੋੜਨਾ.

ਇੱਕ VPN ਲੋਡ-ਬੈਲੈਂਸਿੰਗ ਕਲੱਸਟਰ ਵਿੱਚ ਦੋ ਤੋਂ ਵੱਧ ਨੋਡ ਹੋ ਸਕਦੇ ਹਨ।

VPN ਲੋਡ-ਬੈਲੈਂਸਿੰਗ ਕਲੱਸਟਰ ASA 5512-X ਅਤੇ ਇਸਤੋਂ ਉੱਪਰ ਸਮਰਥਿਤ ਹੈ।

ਕਿਉਂਕਿ VPN ਲੋਡ-ਬੈਲੈਂਸਿੰਗ ਕਲੱਸਟਰ ਦੇ ਅੰਦਰ ਹਰੇਕ ASA ਸੈਟਿੰਗਾਂ ਦੇ ਰੂਪ ਵਿੱਚ ਇੱਕ ਸੁਤੰਤਰ ਇਕਾਈ ਹੈ, ਅਸੀਂ ਹਰੇਕ ਵਿਅਕਤੀਗਤ ਡਿਵਾਈਸ 'ਤੇ ਵੱਖਰੇ ਤੌਰ 'ਤੇ ਸਾਰੇ ਸੰਰਚਨਾ ਕਦਮਾਂ ਨੂੰ ਪੂਰਾ ਕਰਦੇ ਹਾਂ।

ਤਕਨਾਲੋਜੀ ਵੇਰਵੇ ਇੱਥੇ

ਦਿੱਤੀ ਗਈ ਉਦਾਹਰਨ ਦੀ ਲਾਜ਼ੀਕਲ ਟੌਪੋਲੋਜੀ:

ਪ੍ਰਾਇਮਰੀ ਤੈਨਾਤੀ:

ਅਸੀਂ ਚਿੱਤਰ ਤੋਂ ਸਾਨੂੰ ਲੋੜੀਂਦੇ ਟੈਂਪਲੇਟਾਂ (ASAv5/10/30/50) ਦੇ ASAv ਉਦਾਹਰਨਾਂ ਨੂੰ ਤੈਨਾਤ ਕਰਦੇ ਹਾਂ।
ਅਸੀਂ INSIDE/OUTSIDE ਇੰਟਰਫੇਸਾਂ ਨੂੰ ਉਸੇ VLANs ਨੂੰ ਨਿਰਧਾਰਤ ਕਰਦੇ ਹਾਂ (ਇਸਦੇ ਆਪਣੇ VLAN ਵਿੱਚ ਬਾਹਰ, ਇਸਦੇ ਆਪਣੇ ਅੰਦਰ, ਪਰ ਆਮ ਤੌਰ 'ਤੇ ਕਲੱਸਟਰ ਦੇ ਅੰਦਰ, ਟੌਪੋਲੋਜੀ ਵੇਖੋ), ਇਹ ਮਹੱਤਵਪੂਰਨ ਹੈ ਕਿ ਇੱਕੋ ਕਿਸਮ ਦੇ ਇੰਟਰਫੇਸ ਇੱਕੋ L2 ਹਿੱਸੇ ਵਿੱਚ ਹੋਣ।
ਲਾਇਸੰਸ:
- ਫਿਲਹਾਲ ASav ਇੰਸਟਾਲੇਸ਼ਨ ਦਾ ਕੋਈ ਲਾਇਸੈਂਸ ਨਹੀਂ ਹੋਵੇਗਾ ਅਤੇ ਇਹ 100kbps ਤੱਕ ਸੀਮਿਤ ਹੋਵੇਗਾ।
- ਲਾਇਸੰਸ ਸਥਾਪਤ ਕਰਨ ਲਈ, ਤੁਹਾਨੂੰ ਆਪਣੇ ਸਮਾਰਟ-ਖਾਤੇ ਵਿੱਚ ਇੱਕ ਟੋਕਨ ਬਣਾਉਣ ਦੀ ਲੋੜ ਹੈ: https://software.cisco.com/ -> ਸਮਾਰਟ ਸਾਫਟਵੇਅਰ ਲਾਇਸੰਸਿੰਗ
- ਖੁੱਲਣ ਵਾਲੀ ਵਿੰਡੋ ਵਿੱਚ, ਬਟਨ ਤੇ ਕਲਿਕ ਕਰੋ ਨਵਾਂ ਟੋਕਨ
- ਇਹ ਸੁਨਿਸ਼ਚਿਤ ਕਰੋ ਕਿ ਖੁੱਲਣ ਵਾਲੀ ਵਿੰਡੋ ਵਿੱਚ ਇੱਕ ਕਿਰਿਆਸ਼ੀਲ ਖੇਤਰ ਹੈ ਅਤੇ ਇੱਕ ਚੈਕਮਾਰਕ ਦੀ ਜਾਂਚ ਕੀਤੀ ਗਈ ਹੈ ਨਿਰਯਾਤ-ਨਿਯੰਤਰਿਤ ਕਾਰਜਕੁਸ਼ਲਤਾ ਦੀ ਆਗਿਆ ਦਿਓ… ਇਸ ਖੇਤਰ ਨੂੰ ਸਰਗਰਮ ਕੀਤੇ ਬਿਨਾਂ, ਤੁਸੀਂ ਮਜ਼ਬੂਤ ਏਨਕ੍ਰਿਪਸ਼ਨ ਦੇ ਫੰਕਸ਼ਨਾਂ ਦੀ ਵਰਤੋਂ ਕਰਨ ਦੇ ਯੋਗ ਨਹੀਂ ਹੋਵੋਗੇ ਅਤੇ, ਇਸਦੇ ਅਨੁਸਾਰ, VPN। ਜੇਕਰ ਇਹ ਖੇਤਰ ਕਿਰਿਆਸ਼ੀਲ ਨਹੀਂ ਹੈ, ਤਾਂ ਕਿਰਪਾ ਕਰਕੇ ਇੱਕ ਐਕਟੀਵੇਸ਼ਨ ਬੇਨਤੀ ਨਾਲ ਆਪਣੀ ਖਾਤਾ ਟੀਮ ਨਾਲ ਸੰਪਰਕ ਕਰੋ।
- ਬਟਨ ਦਬਾਉਣ ਤੋਂ ਬਾਅਦ ਟੋਕਨ ਬਣਾਓ, ਇੱਕ ਟੋਕਨ ਬਣਾਇਆ ਜਾਵੇਗਾ ਜਿਸਦੀ ਵਰਤੋਂ ਅਸੀਂ ASAv ਲਈ ਲਾਇਸੈਂਸ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਕਰਾਂਗੇ, ਇਸਦੀ ਨਕਲ ਕਰੋ:
- ਹਰੇਕ ਤੈਨਾਤ ASAv ਲਈ ਕਦਮ C, D, E ਨੂੰ ਦੁਹਰਾਓ।
- ਟੋਕਨ ਦੀ ਨਕਲ ਕਰਨਾ ਆਸਾਨ ਬਣਾਉਣ ਲਈ, ਆਓ ਅਸਥਾਈ ਤੌਰ 'ਤੇ ਟੇਲਨੈੱਟ ਦੀ ਇਜਾਜ਼ਤ ਦੇਈਏ। ਆਓ ਹਰੇਕ ASA ਨੂੰ ਸੰਰਚਿਤ ਕਰੀਏ (ਹੇਠਾਂ ਦਿੱਤੀ ਗਈ ਉਦਾਹਰਣ ASA-1 'ਤੇ ਸੈਟਿੰਗਾਂ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ)। ਟੈਲਨੈੱਟ ਬਾਹਰ ਦੇ ਨਾਲ ਕੰਮ ਨਹੀਂ ਕਰਦਾ, ਜੇਕਰ ਤੁਹਾਨੂੰ ਸੱਚਮੁੱਚ ਇਸਦੀ ਲੋੜ ਹੈ, ਤਾਂ ਸੁਰੱਖਿਆ-ਪੱਧਰ ਨੂੰ 100 ਤੋਂ ਬਾਹਰ ਬਦਲੋ, ਫਿਰ ਇਸਨੂੰ ਵਾਪਸ ਕਰੋ।
```
!
ciscoasa(config)# int gi0/0
ciscoasa(config)# nameif outside
ciscoasa(config)# ip address 192.168.31.30 255.255.255.0
ciscoasa(config)# no shut
!
ciscoasa(config)# int gi0/1
ciscoasa(config)# nameif inside
ciscoasa(config)# ip address 192.168.255.2 255.255.255.0
ciscoasa(config)# no shut
!
ciscoasa(config)# telnet 0 0 inside
ciscoasa(config)# username admin password cisco priv 15
ciscoasa(config)# ena password cisco
ciscoasa(config)# aaa authentication telnet console LOCAL
!
ciscoasa(config)# route outside 0 0 192.168.31.1
!
ciscoasa(config)# wr
!
```
- ਸਮਾਰਟ-ਅਕਾਉਂਟ ਕਲਾਉਡ ਵਿੱਚ ਇੱਕ ਟੋਕਨ ਰਜਿਸਟਰ ਕਰਨ ਲਈ, ਤੁਹਾਨੂੰ ASA ਲਈ ਇੰਟਰਨੈਟ ਪਹੁੰਚ ਪ੍ਰਦਾਨ ਕਰਨੀ ਚਾਹੀਦੀ ਹੈ, ਵੇਰਵੇ ਇੱਥੇ.
ਸੰਖੇਪ ਵਿੱਚ, ASA ਦੀ ਲੋੜ ਹੈ:
- HTTPS ਦੁਆਰਾ ਇੰਟਰਨੈਟ ਤੱਕ ਪਹੁੰਚ;
- ਸਮਾਂ ਸਮਕਾਲੀਕਰਨ (ਵਧੇਰੇ ਸਹੀ ਢੰਗ ਨਾਲ, NTP ਦੁਆਰਾ);
- ਰਜਿਸਟਰਡ DNS ਸਰਵਰ;
  - ਅਸੀਂ ਆਪਣੇ ASA ਨੂੰ ਟੇਲਨੈੱਟ ਕਰਦੇ ਹਾਂ ਅਤੇ ਸਮਾਰਟ-ਅਕਾਊਂਟ ਰਾਹੀਂ ਲਾਇਸੈਂਸ ਨੂੰ ਸਰਗਰਮ ਕਰਨ ਲਈ ਸੈਟਿੰਗਾਂ ਬਣਾਉਂਦੇ ਹਾਂ।
```
!
ciscoasa(config)# clock set 19:21:00 Mar 18 2020
ciscoasa(config)# clock timezone MSK 3
ciscoasa(config)# ntp server 192.168.99.136
!
ciscoasa(config)# dns domain-lookup outside
ciscoasa(config)# DNS server-group DefaultDNS
ciscoasa(config-dns-server-group)# name-server 192.168.99.132 
!
! Проверим работу DNS:
!
ciscoasa(config-dns-server-group)# ping ya.ru
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 87.250.250.242, timeout is 2 seconds:
!!!!!
!
! Проверим синхронизацию NTP:
!
ciscoasa(config)# show ntp associations 
  address         ref clock     st  when  poll reach  delay  offset    disp
*~192.168.99.136   91.189.94.4       3    63    64    1    36.7    1.85    17.5
* master (synced), # master (unsynced), + selected, - candidate, ~ configured
!
! Установим конфигурацию нашей ASAv для Smart-Licensing (в соответствии с Вашим профилем, в моем случае 100М для примера)
!
ciscoasa(config)# license smart
ciscoasa(config-smart-lic)# feature tier standard
ciscoasa(config-smart-lic)# throughput level 100M
!
! В случае необходимости можно настроить доступ в Интернет через прокси используйте следующий блок команд:
!call-home
!  http-proxy ip_address port port
!
! Далее мы вставляем скопированный из портала Smart-Account токен (<token>) и регистрируем лицензию
!
ciscoasa(config)# end
ciscoasa# license smart register idtoken <token>
```
- ਅਸੀਂ ਜਾਂਚ ਕਰਦੇ ਹਾਂ ਕਿ ਡਿਵਾਈਸ ਨੇ ਸਫਲਤਾਪੂਰਵਕ ਲਾਇਸੈਂਸ ਰਜਿਸਟਰ ਕਰ ਲਿਆ ਹੈ ਅਤੇ ਏਨਕ੍ਰਿਪਸ਼ਨ ਵਿਕਲਪ ਉਪਲਬਧ ਹਨ:
ਹਰੇਕ ਗੇਟਵੇ 'ਤੇ ਇੱਕ ਬੁਨਿਆਦੀ SSL-VPN ਸੈਟ ਅਪ ਕਰੋ
- ਅੱਗੇ, SSH ਅਤੇ ASDM ਦੁਆਰਾ ਪਹੁੰਚ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰੋ:
```
ciscoasa(config)# ssh ver 2
ciscoasa(config)# aaa authentication ssh console LOCAL
ciscoasa(config)# aaa authentication http console LOCAL
ciscoasa(config)# hostname vpn-demo-1
vpn-demo-1(config)# domain-name ashes.cc
vpn-demo-1(config)# cry key gen rsa general-keys modulus 4096 
vpn-demo-1(config)# ssh 0 0 inside  
vpn-demo-1(config)# http 0 0 inside
!
! Поднимем сервер HTTPS для ASDM на порту 445 чтобы не пересекаться с SSL-VPN порталом
!
vpn-demo-1(config)# http server enable 445 
!
```
- ASDM ਦੇ ਕੰਮ ਕਰਨ ਲਈ, ਤੁਹਾਨੂੰ ਪਹਿਲਾਂ ਇਸਨੂੰ cisco.com ਵੈੱਬਸਾਈਟ ਤੋਂ ਡਾਊਨਲੋਡ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ, ਮੇਰੇ ਕੇਸ ਵਿੱਚ ਇਹ ਹੇਠ ਦਿੱਤੀ ਫਾਈਲ ਹੈ:
- AnyConnect ਕਲਾਇੰਟ ਦੇ ਕੰਮ ਕਰਨ ਲਈ, ਤੁਹਾਨੂੰ ਹਰੇਕ ਵਰਤੇ ਗਏ ਕਲਾਇੰਟ ਡੈਸਕਟੌਪ OS (ਲੀਨਕਸ / ਵਿੰਡੋਜ਼ / ਮੈਕ ਦੀ ਵਰਤੋਂ ਕਰਨ ਦੀ ਯੋਜਨਾ ਬਣਾਈ ਗਈ ਹੈ) ਲਈ ਹਰੇਕ ASA ਵਿੱਚ ਇੱਕ ਚਿੱਤਰ ਅੱਪਲੋਡ ਕਰਨ ਦੀ ਲੋੜ ਹੈ, ਤੁਹਾਨੂੰ ਇਸ ਨਾਲ ਇੱਕ ਫਾਈਲ ਦੀ ਲੋੜ ਪਵੇਗੀ ਹੈਡਐਂਡ ਡਿਪਲਾਇਮੈਂਟ ਪੈਕੇਜ ਸਿਰਲੇਖ ਵਿੱਚ:
- ਡਾਊਨਲੋਡ ਕੀਤੀਆਂ ਫ਼ਾਈਲਾਂ ਨੂੰ ਅੱਪਲੋਡ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ, ਉਦਾਹਰਨ ਲਈ, ਇੱਕ FTP ਸਰਵਰ 'ਤੇ ਅਤੇ ਹਰੇਕ ਵਿਅਕਤੀਗਤ ASA 'ਤੇ ਅੱਪਲੋਡ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ:
- ਅਸੀਂ SSL-VPN ਲਈ ASDM ਅਤੇ ਸਵੈ-ਦਸਤਖਤ ਸਰਟੀਫਿਕੇਟ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰਦੇ ਹਾਂ (ਉਤਪਾਦਨ ਵਿੱਚ ਇੱਕ ਭਰੋਸੇਯੋਗ ਸਰਟੀਫਿਕੇਟ ਦੀ ਵਰਤੋਂ ਕਰਨ ਦੀ ਸਿਫਾਰਸ਼ ਕੀਤੀ ਜਾਂਦੀ ਹੈ)। ਵਰਚੁਅਲ ਕਲੱਸਟਰ ਐਡਰੈੱਸ (vpn-demo.ashes.cc) ਦਾ ਸੈੱਟ FQDN, ਅਤੇ ਨਾਲ ਹੀ ਹਰੇਕ ਕਲੱਸਟਰ ਨੋਡ ਦੇ ਬਾਹਰੀ ਪਤੇ ਨਾਲ ਸੰਬੰਧਿਤ ਹਰੇਕ FQDN, ਨੂੰ ਬਾਹਰੀ DNS ਜ਼ੋਨ ਵਿੱਚ ਬਾਹਰੀ ਇੰਟਰਫੇਸ ਦੇ IP ਪਤੇ (ਜਾਂ ਮੈਪ ਕੀਤੇ ਪਤੇ 'ਤੇ ਜੇਕਰ ਪੋਰਟ ਫਾਰਵਰਡਿੰਗ udp/443 (DTLS) ਅਤੇ tcp/443(TLS)) ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਜਾਂਦੀ ਹੈ। ਸਰਟੀਫਿਕੇਟ ਲਈ ਲੋੜਾਂ ਬਾਰੇ ਵਿਸਤ੍ਰਿਤ ਜਾਣਕਾਰੀ ਭਾਗ ਵਿੱਚ ਦਰਸਾਈ ਗਈ ਹੈ ਸਰਟੀਫਿਕੇਟ ਤਸਦੀਕ ਦਸਤਾਵੇਜ਼
```
!
vpn-demo-1(config)# crypto ca trustpoint SELF
vpn-demo-1(config-ca-trustpoint)# enrollment self
vpn-demo-1(config-ca-trustpoint)# fqdn vpn-demo.ashes.cc
vpn-demo-1(config-ca-trustpoint)# subject-name cn=*.ashes.cc, ou=ashes-lab, o=ashes, c=ru
vpn-demo-1(config-ca-trustpoint)# serial-number             
vpn-demo-1(config-ca-trustpoint)# crl configure
vpn-demo-1(config-ca-crl)# cry ca enroll SELF
% The fully-qualified domain name in the certificate will be: vpn-demo.ashes.cc
Generate Self-Signed Certificate? [yes/no]: yes
vpn-demo-1(config)# 
!
vpn-demo-1(config)# sh cry ca certificates 
Certificate
Status: Available
Certificate Serial Number: 4d43725e
Certificate Usage: General Purpose
Public Key Type: RSA (4096 bits)
Signature Algorithm: SHA256 with RSA Encryption
Issuer Name: 
serialNumber=9A439T02F95
hostname=vpn-demo.ashes.cc
cn=*.ashes.cc
ou=ashes-lab
o=ashes
c=ru
Subject Name:
serialNumber=9A439T02F95
hostname=vpn-demo.ashes.cc
cn=*.ashes.cc
ou=ashes-lab
o=ashes
c=ru
Validity Date: 
start date: 00:16:17 MSK Mar 19 2020
end   date: 00:16:17 MSK Mar 17 2030
Storage: config
Associated Trustpoints: SELF 

CA Certificate
Status: Available
Certificate Serial Number: 0509
Certificate Usage: General Purpose
Public Key Type: RSA (4096 bits)
Signature Algorithm: SHA1 with RSA Encryption
Issuer Name: 
cn=QuoVadis Root CA 2
o=QuoVadis Limited
c=BM
Subject Name: 
cn=QuoVadis Root CA 2
o=QuoVadis Limited
c=BM
Validity Date: 
start date: 21:27:00 MSK Nov 24 2006
end   date: 21:23:33 MSK Nov 24 2031
Storage: config
Associated Trustpoints: _SmartCallHome_ServerCA               
```
- ASDM ਕੰਮ ਕਰ ਰਿਹਾ ਹੈ ਦੀ ਜਾਂਚ ਕਰਨ ਲਈ ਪੋਰਟ ਨੂੰ ਨਿਸ਼ਚਿਤ ਕਰਨਾ ਨਾ ਭੁੱਲੋ, ਉਦਾਹਰਨ ਲਈ:
- ਆਉ ਸੁਰੰਗ ਦੀਆਂ ਬੁਨਿਆਦੀ ਸੈਟਿੰਗਾਂ ਨੂੰ ਪੂਰਾ ਕਰੀਏ:
- ਚਲੋ ਕਾਰਪੋਰੇਟ ਨੈਟਵਰਕ ਨੂੰ ਸੁਰੰਗ ਰਾਹੀਂ ਉਪਲਬਧ ਕਰਾਈਏ, ਅਤੇ ਇੰਟਰਨੈਟ ਨੂੰ ਸਿੱਧਾ ਜਾਣ ਦਿਓ (ਸਭ ਤੋਂ ਸੁਰੱਖਿਅਤ ਤਰੀਕਾ ਨਹੀਂ ਜੇਕਰ ਕਨੈਕਟਿੰਗ ਹੋਸਟ 'ਤੇ ਕੋਈ ਸੁਰੱਖਿਆ ਨਹੀਂ ਹੈ, ਤਾਂ ਸੰਕਰਮਿਤ ਹੋਸਟ ਦੁਆਰਾ ਪ੍ਰਵੇਸ਼ ਕਰਨਾ ਅਤੇ ਕਾਰਪੋਰੇਟ ਡੇਟਾ ਨੂੰ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਨਾ ਸੰਭਵ ਹੈ, ਵਿਕਲਪ split-tunnel-policy tunnelall ਸਾਰੇ ਹੋਸਟ ਟ੍ਰੈਫਿਕ ਨੂੰ ਸੁਰੰਗ ਵਿੱਚ ਜਾਣ ਦੇਵੇਗਾ। ਫਿਰ ਵੀ ਸਪਲਿਟ-ਸੁਰੰਗ VPN ਗੇਟਵੇ ਨੂੰ ਆਫਲੋਡ ਕਰਨਾ ਅਤੇ ਹੋਸਟ ਇੰਟਰਨੈਟ ਟ੍ਰੈਫਿਕ ਦੀ ਪ੍ਰਕਿਰਿਆ ਨਾ ਕਰਨਾ ਸੰਭਵ ਬਣਾਉਂਦਾ ਹੈ)
- ਆਉ ਸੁਰੰਗ ਵਿੱਚ ਮੇਜ਼ਬਾਨਾਂ ਨੂੰ 192.168.20.0/24 ਸਬਨੈੱਟ ਤੋਂ ਐਡਰੈੱਸ ਜਾਰੀ ਕਰੀਏ (10 ਤੋਂ 30 ਪਤਿਆਂ ਤੱਕ ਪੂਲ (ਨੋਡ #1 ਲਈ))। VPN ਕਲੱਸਟਰ ਦੇ ਹਰੇਕ ਨੋਡ ਦਾ ਆਪਣਾ ਪੂਲ ਹੋਣਾ ਚਾਹੀਦਾ ਹੈ।
- ਅਸੀਂ ਏਐਸਏ 'ਤੇ ਸਥਾਨਕ ਤੌਰ 'ਤੇ ਬਣਾਏ ਉਪਭੋਗਤਾ ਨਾਲ ਬੁਨਿਆਦੀ ਪ੍ਰਮਾਣਿਕਤਾ ਨੂੰ ਪੂਰਾ ਕਰਾਂਗੇ (ਇਸਦੀ ਸਿਫ਼ਾਰਿਸ਼ ਨਹੀਂ ਕੀਤੀ ਜਾਂਦੀ, ਇਹ ਸਭ ਤੋਂ ਆਸਾਨ ਤਰੀਕਾ ਹੈ), ਇਸ ਦੁਆਰਾ ਪ੍ਰਮਾਣੀਕਰਨ ਕਰਨਾ ਬਿਹਤਰ ਹੈ LDAP/RADIUS, ਜਾਂ ਬਿਹਤਰ ਅਜੇ ਤੱਕ, ਟਾਈ ਮਲਟੀ-ਫੈਕਟਰ ਪ੍ਰਮਾਣਿਕਤਾ (ਐਮਐਫਏ)ਉਦਾਹਰਨ ਲਈ ਸਿਸਕੋ ਡੀ.ਯੂ.ਓ.
```
!
vpn-demo-1(config)# ip local pool vpn-pool 192.168.20.10-192.168.20.30 mask 255.255.255.0
!
vpn-demo-1(config)# access-list split-tunnel standard permit 192.168.0.0 255.255.0.0
!
vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY internal
vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY attributes
vpn-demo-1(config-group-policy)# vpn-tunnel-protocol ssl-client 
vpn-demo-1(config-group-policy)# split-tunnel-policy tunnelspecified
vpn-demo-1(config-group-policy)# split-tunnel-network-list value split-tunnel
vpn-demo-1(config-group-policy)# dns-server value 192.168.99.132
vpn-demo-1(config-group-policy)# default-domain value ashes.cc
vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes
vpn-demo-1(config-tunnel-general)#  default-group-policy SSL-VPN-GROUP-POLICY
vpn-demo-1(config-tunnel-general)#  address-pool vpn-pool
!
vpn-demo-1(config)# username dkazakov password cisco
vpn-demo-1(config)# username dkazakov attributes
vpn-demo-1(config-username)# service-type remote-access
!
vpn-demo-1(config)# ssl trust-point SELF
vpn-demo-1(config)# webvpn
vpn-demo-1(config-webvpn)#  enable outside
vpn-demo-1(config-webvpn)#  anyconnect image disk0:/anyconnect-win-4.8.03036-webdeploy-k9.pkg
vpn-demo-1(config-webvpn)#  anyconnect enable
!
```
- (ਵਿਕਲਪਿਕ): ਉਪਰੋਕਤ ਉਦਾਹਰਨ ਵਿੱਚ, ਅਸੀਂ ਰਿਮੋਟ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਪ੍ਰਮਾਣਿਤ ਕਰਨ ਲਈ ITU 'ਤੇ ਇੱਕ ਸਥਾਨਕ ਉਪਭੋਗਤਾ ਦੀ ਵਰਤੋਂ ਕੀਤੀ, ਜੋ ਕਿ ਬੇਸ਼ਕ, ਪ੍ਰਯੋਗਸ਼ਾਲਾ ਨੂੰ ਛੱਡ ਕੇ, ਮਾੜੀ ਤਰ੍ਹਾਂ ਲਾਗੂ ਹੈ। ਮੈਂ ਇੱਕ ਉਦਾਹਰਣ ਦੇਵਾਂਗਾ ਕਿ ਕਿਵੇਂ ਪ੍ਰਮਾਣਿਕਤਾ ਲਈ ਸੈਟਿੰਗ ਨੂੰ ਤੇਜ਼ੀ ਨਾਲ ਅਨੁਕੂਲ ਬਣਾਇਆ ਜਾਵੇ RADIUS ਸਰਵਰ, ਉਦਾਹਰਨ ਲਈ ਵਰਤਿਆ ਸਿਸਕੋ ਪਛਾਣ ਸੇਵਾਵਾਂ ਇੰਜਣ:
```
vpn-demo-1(config-aaa-server-group)# dynamic-authorization
vpn-demo-1(config-aaa-server-group)# interim-accounting-update
vpn-demo-1(config-aaa-server-group)# aaa-server RADIUS (outside) host 192.168.99.134
vpn-demo-1(config-aaa-server-host)# key cisco
vpn-demo-1(config-aaa-server-host)# exit
vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes
vpn-demo-1(config-tunnel-general)# authentication-server-group  RADIUS 
!
```
ਇਸ ਏਕੀਕਰਣ ਨੇ ਨਾ ਸਿਰਫ਼ AD ਡਾਇਰੈਕਟਰੀ ਸੇਵਾ ਨਾਲ ਪ੍ਰਮਾਣਿਕਤਾ ਪ੍ਰਕਿਰਿਆ ਨੂੰ ਤੇਜ਼ੀ ਨਾਲ ਏਕੀਕ੍ਰਿਤ ਕਰਨਾ ਸੰਭਵ ਬਣਾਇਆ, ਸਗੋਂ ਇਹ ਵੀ ਵੱਖਰਾ ਕਰਨਾ ਕਿ ਕਨੈਕਟ ਕੀਤਾ ਕੰਪਿਊਟਰ AD ਨਾਲ ਸਬੰਧਤ ਹੈ, ਇਹ ਸਮਝਣ ਲਈ ਕਿ ਇਹ ਡਿਵਾਈਸ ਕਾਰਪੋਰੇਟ ਹੈ ਜਾਂ ਨਿੱਜੀ ਹੈ, ਅਤੇ ਕਨੈਕਟ ਕੀਤੀ ਡਿਵਾਈਸ ਦੀ ਸਥਿਤੀ ਦਾ ਮੁਲਾਂਕਣ ਕਰਨਾ। .
- ਆਉ ਪਾਰਦਰਸ਼ੀ NAT ਨੂੰ ਕੌਂਫਿਗਰ ਕਰੀਏ ਤਾਂ ਕਿ ਕਲਾਇੰਟ ਅਤੇ ਕਾਰਪੋਰੇਟ ਨੈਟਵਰਕ ਨੈਟਵਰਕ ਦੇ ਸਰੋਤਾਂ ਵਿਚਕਾਰ ਆਵਾਜਾਈ ਨੂੰ ਲਿਖਿਆ ਨਾ ਜਾਵੇ:
```
vpn-demo-1(config-network-object)#  subnet 192.168.20.0 255.255.255.0
!
vpn-demo-1(config)# nat (inside,outside) source static any any destination static vpn-users vpn-users no-proxy-arp
```
- (ਵਿਕਲਪਿਕ): ਏ.ਐੱਸ.ਏ. (ਵਰਤੋਂ ਕਰਦੇ ਸਮੇਂ ਸੁਰੰਗ ਵਿਕਲਪ) PAT ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ, ਅਤੇ ਨਾਲ ਹੀ ਉਸੇ ਬਾਹਰੀ ਇੰਟਰਫੇਸ ਤੋਂ ਬਾਹਰ ਨਿਕਲੋ ਜਿੱਥੋਂ ਉਹ ਜੁੜੇ ਹੋਏ ਹਨ, ਤੁਹਾਨੂੰ ਹੇਠ ਲਿਖੀਆਂ ਸੈਟਿੰਗਾਂ ਕਰਨ ਦੀ ਲੋੜ ਹੈ
```
vpn-demo-1(config-network-object)# nat (outside,outside) source dynamic vpn-users interface
vpn-demo-1(config)# nat (inside,outside) source dynamic any interface
vpn-demo-1(config)# same-security-traffic permit intra-interface 
!
```
- ਅੰਦਰੂਨੀ ਨੈੱਟਵਰਕ ਨੂੰ ਇਹ ਸਮਝਣ ਲਈ ਇੱਕ ਕਲੱਸਟਰ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਸਮੇਂ ਇਹ ਬਹੁਤ ਮਹੱਤਵਪੂਰਨ ਹੁੰਦਾ ਹੈ ਕਿ ਕਿਹੜਾ ASA ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਟ੍ਰੈਫਿਕ ਵਾਪਸੀ ਲਈ ਰੂਟ ਕਰਨਾ ਹੈ, ਇਸਦੇ ਲਈ ਤੁਹਾਨੂੰ ਗਾਹਕਾਂ ਨੂੰ ਜਾਰੀ ਕੀਤੇ ਰੂਟਾਂ / 32 ਪਤਿਆਂ ਨੂੰ ਮੁੜ ਵੰਡਣ ਦੀ ਲੋੜ ਹੈ।
  ਇਸ ਸਮੇਂ, ਅਸੀਂ ਅਜੇ ਤੱਕ ਕਲੱਸਟਰ ਨੂੰ ਕੌਂਫਿਗਰ ਨਹੀਂ ਕੀਤਾ ਹੈ, ਪਰ ਸਾਡੇ ਕੋਲ ਪਹਿਲਾਂ ਹੀ ਕੰਮ ਕਰ ਰਹੇ VPN ਗੇਟਵੇ ਹਨ ਜੋ FQDN ਜਾਂ IP ਦੁਆਰਾ ਵੱਖਰੇ ਤੌਰ 'ਤੇ ਕਨੈਕਟ ਕੀਤੇ ਜਾ ਸਕਦੇ ਹਨ।
ਅਸੀਂ ਪਹਿਲੇ ASA ਦੇ ਰੂਟਿੰਗ ਟੇਬਲ ਵਿੱਚ ਜੁੜੇ ਹੋਏ ਕਲਾਇੰਟ ਨੂੰ ਦੇਖਦੇ ਹਾਂ:

ਸਾਡੇ ਪੂਰੇ VPN ਕਲੱਸਟਰ ਅਤੇ ਪੂਰੇ ਕਾਰਪੋਰੇਟ ਨੈੱਟਵਰਕ ਨੂੰ ਸਾਡੇ ਕਲਾਇੰਟ ਦਾ ਰਸਤਾ ਜਾਣਨ ਲਈ, ਅਸੀਂ ਕਲਾਇੰਟ ਪ੍ਰੀਫਿਕਸ ਨੂੰ ਇੱਕ ਡਾਇਨਾਮਿਕ ਰੂਟਿੰਗ ਪ੍ਰੋਟੋਕੋਲ ਵਿੱਚ ਮੁੜ ਵੰਡਾਂਗੇ, ਉਦਾਹਰਨ ਲਈ OSPF:
```
!
vpn-demo-1(config)# route-map RMAP-VPN-REDISTRIBUTE permit 1
vpn-demo-1(config-route-map)#  match ip address VPN-REDISTRIBUTE
!
vpn-demo-1(config)# router ospf 1
vpn-demo-1(config-router)#  network 192.168.255.0 255.255.255.0 area 0
vpn-demo-1(config-router)#  log-adj-changes
vpn-demo-1(config-router)#  redistribute static metric 5000 subnets route-map RMAP-VPN-REDISTRIBUTE
```
ਹੁਣ ਸਾਡੇ ਕੋਲ ਦੂਜੇ ASA-2 ਗੇਟਵੇ ਤੋਂ ਕਲਾਇੰਟ ਲਈ ਇੱਕ ਰੂਟ ਹੈ ਅਤੇ ਕਲੱਸਟਰ ਦੇ ਅੰਦਰ ਵੱਖ-ਵੱਖ VPN ਗੇਟਵੇ ਨਾਲ ਜੁੜੇ ਉਪਭੋਗਤਾ, ਉਦਾਹਰਨ ਲਈ, ਇੱਕ ਕਾਰਪੋਰੇਟ ਸਾਫਟਫੋਨ ਰਾਹੀਂ ਸਿੱਧਾ ਸੰਚਾਰ ਕਰ ਸਕਦੇ ਹਨ, ਅਤੇ ਨਾਲ ਹੀ ਉਪਭੋਗਤਾ ਦੁਆਰਾ ਬੇਨਤੀ ਕੀਤੇ ਸਰੋਤਾਂ ਤੋਂ ਟ੍ਰੈਫਿਕ ਵਾਪਸ ਕਰ ਸਕਦੇ ਹਨ। ਲੋੜੀਂਦੇ VPN ਗੇਟਵੇ 'ਤੇ ਆਓ:
ਆਉ ਲੋਡ-ਬੈਲੈਂਸਿੰਗ ਕਲੱਸਟਰ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰਨ ਲਈ ਅੱਗੇ ਵਧੀਏ।

ਐਡਰੈੱਸ 192.168.31.40 ਇੱਕ ਵਰਚੁਅਲ IP (VIP - ਸਾਰੇ VPN ਕਲਾਇੰਟਸ ਸ਼ੁਰੂ ਵਿੱਚ ਇਸ ਨਾਲ ਕਨੈਕਟ ਹੋਣਗੇ) ਦੇ ਤੌਰ 'ਤੇ ਵਰਤਿਆ ਜਾਵੇਗਾ, ਇਸ ਪਤੇ ਤੋਂ ਮਾਸਟਰ ਕਲੱਸਟਰ ਇੱਕ ਘੱਟ ਲੋਡ ਕੀਤੇ ਕਲੱਸਟਰ ਨੋਡ ਲਈ ਰੀਡਾਇਰੈਕਟ ਕਰੇਗਾ। ਲਿਖਣਾ ਨਾ ਭੁੱਲੋ ਅੱਗੇ ਅਤੇ ਉਲਟ DNS ਰਿਕਾਰਡ ਕਲੱਸਟਰ ਦੇ ਹਰੇਕ ਨੋਡ ਦੇ ਹਰੇਕ ਬਾਹਰੀ ਪਤੇ / FQDN ਲਈ, ਅਤੇ VIP ਲਈ।
```
vpn-demo-1(config)# vpn load-balancing
vpn-demo-1(config-load-balancing)# interface lbpublic outside
vpn-demo-1(config-load-balancing)# interface lbprivate inside
vpn-demo-1(config-load-balancing)# priority 10
vpn-demo-1(config-load-balancing)# cluster ip address 192.168.31.40
vpn-demo-1(config-load-balancing)# cluster port 4000
vpn-demo-1(config-load-balancing)# redirect-fqdn enable
vpn-demo-1(config-load-balancing)# cluster key cisco
vpn-demo-1(config-load-balancing)# cluster encryption
vpn-demo-1(config-load-balancing)# cluster port 9023
vpn-demo-1(config-load-balancing)# participate
vpn-demo-1(config-load-balancing)#
```
- ਅਸੀਂ ਦੋ ਜੁੜੇ ਗਾਹਕਾਂ ਨਾਲ ਕਲੱਸਟਰ ਦੇ ਸੰਚਾਲਨ ਦੀ ਜਾਂਚ ਕਰਦੇ ਹਾਂ:
- ਆਉ ASDM ਦੁਆਰਾ ਆਟੋਮੈਟਿਕ ਲੋਡ ਕੀਤੇ AnyConnect ਪ੍ਰੋਫਾਈਲ ਨਾਲ ਗਾਹਕ ਅਨੁਭਵ ਨੂੰ ਵਧੇਰੇ ਸੁਵਿਧਾਜਨਕ ਬਣਾਈਏ।
ਅਸੀਂ ਪ੍ਰੋਫਾਈਲ ਨੂੰ ਇੱਕ ਸੁਵਿਧਾਜਨਕ ਤਰੀਕੇ ਨਾਲ ਨਾਮ ਦਿੰਦੇ ਹਾਂ ਅਤੇ ਇਸ ਨਾਲ ਸਾਡੀ ਸਮੂਹ ਨੀਤੀ ਨੂੰ ਜੋੜਦੇ ਹਾਂ:

ਕਲਾਇੰਟ ਦੇ ਅਗਲੇ ਕਨੈਕਸ਼ਨ ਤੋਂ ਬਾਅਦ, ਇਹ ਪ੍ਰੋਫਾਈਲ ਕਿਸੇ ਵੀ ਕਨੈਕਟ ਕਲਾਇੰਟ ਵਿੱਚ ਆਪਣੇ ਆਪ ਡਾਊਨਲੋਡ ਅਤੇ ਸਥਾਪਿਤ ਹੋ ਜਾਵੇਗਾ, ਇਸ ਲਈ ਜੇਕਰ ਤੁਹਾਨੂੰ ਕਨੈਕਟ ਕਰਨ ਦੀ ਲੋੜ ਹੈ, ਤਾਂ ਇਸਨੂੰ ਸੂਚੀ ਵਿੱਚੋਂ ਚੁਣੋ:

ਕਿਉਂਕਿ ਅਸੀਂ ASDM ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਸਿਰਫ਼ ਇੱਕ ASA 'ਤੇ ਇਹ ਪ੍ਰੋਫਾਈਲ ਬਣਾਇਆ ਹੈ, ਇਸ ਲਈ ਕਲੱਸਟਰ ਵਿੱਚ ਦੂਜੇ ASAs 'ਤੇ ਕਦਮਾਂ ਨੂੰ ਦੁਹਰਾਉਣਾ ਨਾ ਭੁੱਲੋ।

ਸਿੱਟਾ: ਇਸ ਤਰ੍ਹਾਂ, ਅਸੀਂ ਆਟੋਮੈਟਿਕ ਲੋਡ ਸੰਤੁਲਨ ਦੇ ਨਾਲ ਕਈ VPN ਗੇਟਵੇਜ਼ ਦੇ ਇੱਕ ਕਲੱਸਟਰ ਨੂੰ ਤੇਜ਼ੀ ਨਾਲ ਤੈਨਾਤ ਕੀਤਾ ਹੈ। ਨਵੀਂ ASAv ਵਰਚੁਅਲ ਮਸ਼ੀਨਾਂ ਨੂੰ ਤੈਨਾਤ ਕਰਕੇ ਜਾਂ ਹਾਰਡਵੇਅਰ ASAs ਦੀ ਵਰਤੋਂ ਕਰਕੇ, ਸਧਾਰਨ ਹਰੀਜੱਟਲ ਸਕੇਲਿੰਗ ਦੇ ਨਾਲ, ਕਲੱਸਟਰ ਵਿੱਚ ਨਵੇਂ ਨੋਡਸ ਨੂੰ ਜੋੜਨਾ ਆਸਾਨ ਹੈ। ਵਿਸ਼ੇਸ਼ਤਾ ਨਾਲ ਭਰਪੂਰ AnyConnect ਕਲਾਇੰਟ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਸੁਰੱਖਿਅਤ ਰਿਮੋਟ ਕਨੈਕਸ਼ਨ ਨੂੰ ਬਹੁਤ ਵਧਾ ਸਕਦਾ ਹੈ ਆਸਣ (ਰਾਜ ਅਨੁਮਾਨ), ਕੇਂਦਰੀਕ੍ਰਿਤ ਨਿਯੰਤਰਣ ਅਤੇ ਪਹੁੰਚ ਲੇਖਾਕਾਰੀ ਦੀ ਪ੍ਰਣਾਲੀ ਦੇ ਨਾਲ ਸਭ ਤੋਂ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ ਪਛਾਣ ਸੇਵਾਵਾਂ ਇੰਜਣ.

ਸਰੋਤ: www.habr.com

ASA VPN ਲੋਡ-ਬੈਲੈਂਸਿੰਗ ਕਲੱਸਟਰ ਨੂੰ ਤੈਨਾਤ ਕਰਨਾ

ਇੱਕ ਟਿੱਪਣੀ ਜੋੜੋ Отменить ответ