د ASA VPN د بار توازن کولو کلستر ځای په ځای کول

پدې مقاله کې ، زه غواړم د ګام په ګام لارښوونې چمتو کړم چې څنګه تاسو کولی شئ دا مهال خورا د توزیع وړ سکیم په چټکۍ سره ځای په ځای کړئ. ریموټ لاسرسی VPN د لاسرسي پر بنسټ AnyConnect او Cisco ASA - د VPN بار بیلانس کلستر.

پیژندنه: په ټوله نړۍ کې ډیری شرکتونه د COVID-19 سره اوسني وضعیت ته په پام سره ، لیرې کار ته د خپلو کارمندانو د لیږدولو هڅې کوي. لیرې کار ته د ډله ایز لیږد له امله، د شرکتونو موجوده VPN ګیټ ویز باندې بار په جدي ډول مخ په ډیریدو دی او د دوی اندازه کولو لپاره خورا ګړندۍ وړتیا ته اړتیا ده. له بلې خوا، ډیری شرکتونه اړ دي چې په چټکۍ سره د لیرې پرتو کار مفهوم د سکریچ څخه ماسټر کړي.

د سوداګرۍ سره د مرستې لپاره په لنډ ممکن وخت کې د کارمندانو لپاره اسانه ، خوندي او د توزیع وړ VPN لاسرسي ترلاسه کولو کې ، سیسکو تر 13 اونیو پورې د AnyConnect ځانګړتیاو لرونکي SSL VPN پیرودونکي جواز ورکوي. تاسو کولی شئ د آزموینې لپاره ASAv هم واخلئ (د VMWare/Hyper-V/KVM هایپروایزرونو او AWS/Azure کلاوډ پلیټ فارمونو لپاره مجازی ASA) د مجاز شریکانو څخه یا د سیسکو استازو سره په اړیکه کولو سره چې تاسو سره کار کوي.

د AnyConnect COVID-19 جوازونو جاري کولو طرزالعمل دلته تشریح شوی.

ما د خورا توزیع وړ VPN ټیکنالوژۍ په توګه د VPN لوډ بیلانس کلستر ساده ګمارلو لپاره د ګام په ګام لارښود چمتو کړی دی.

لاندې مثال به د کارول شوي تصدیق او اختیار ورکولو الګوریتمونو له مخې خورا ساده وي ، مګر د ګمارنې پرمهال ستاسو اړتیاو سره د ژور موافقت امکان سره به د ګړندي پیل (کوم چې اوس مهال د ډیری لپاره کافي ندي) لپاره یو ښه انتخاب وي. پروسه

لنډ معلومات: د VPN لوډ بیلانس کلستر ټیکنالوژي ناکامه نه ده او په خپل اصلي معنی کې د کلستر کولو فعالیت نه دی ، دا ټیکنالوژي کولی شي په بشپړ ډول مختلف ASA ماډلونه (د ځینې محدودیتونو سره) سره یوځای کړي ترڅو د ریموټ لاسرسي VPN اتصالونو بارولو لپاره. د داسې کلستر نوډونو تر مینځ د غونډو او تشکیلاتو هیڅ همغږي شتون نلري ، مګر دا ممکنه ده چې په اتوماتيک ډول د VPN اتصالونه بار کړئ او د VPN اتصالاتو غلط برداشت ډاډمن کړئ تر هغه چې لږترلږه یو فعال نوډ په کلستر کې پاتې وي. په کلستر کې بار په اوتومات ډول د VPN غونډو شمیر لخوا د نوډونو کاري بار پورې اړه لري.

د کلستر د ځانګړو نوډونو د ناکامۍ لپاره (که اړتیا وي)، یو فایلر کارول کیدی شي، نو فعال اړیکه به د فایلر لومړني نوډ لخوا اداره شي. فایل اوور د لوډ بیلانس کلستر کې د غلطۍ زغم یقیني کولو لپاره اړین شرط ندی، کلستر پخپله، د نوډ ناکامۍ په صورت کې، د کاروونکي سیشن بل ژوندی نوډ ته لیږدوي، مګر د پیوستون حالت خوندي کولو پرته، کوم چې دقیق دی. د فایلر لخوا چمتو شوی. په دې اساس، دا ممکنه ده، که اړتیا وي، د دې دوو ټیکنالوژیو سره یوځای کول.

د VPN د بار توازن کولو کلستر کولی شي له دوه څخه ډیر نوډونه ولري.

د VPN لوډ بیلانس کلستر په ASA 5512-X او پورته ملاتړ شوی.

څرنګه چې د VPN لوډ بیلانس کلستر کې هر ASA د ترتیباتو له مخې یو خپلواک واحد دی، موږ په هر انفرادي وسیله کې په انفرادي ډول د ترتیب کولو ټول مرحلې ترسره کوو.

د ټیکنالوژۍ توضیحات دلته

د ورکړل شوي مثال منطقي ټوپولوژي:

لومړنۍ ګمارنه:

1. موږ د هغه ټیمپلیټونو ASAv مثالونه ځای په ځای کوو چې موږ ورته اړتیا لرو (ASAv5/10/30/50) له عکس څخه.

2. موږ ورته VLANs ته INSIDE/OUTSIDE انٹرفیسونه ورکوو (په خپل VLAN کې بهر، په خپل ځان کې دننه، مګر عموما په کلستر کې، ټوپولوژي وګورئ)، دا مهمه ده چې د ورته ډول انٹرفیسونه په ورته L2 برخه کې وي.

3. جوازونه:

   • اوس مهال د ASav نصب به هیڅ جواز ونلري او د 100kbps پورې به محدود وي.
   • د لایسنس نصبولو لپاره، تاسو اړتیا لرئ په خپل سمارټ حساب کې یو نښه تولید کړئ: https://software.cisco.com/ -> د سمارټ سافټویر جواز ورکول
   • په هغه کړکۍ کې چې خلاصیږي، تڼۍ کلیک وکړئ نوې نښه

   

   • ډاډ ترلاسه کړئ چې په هغه کړکۍ کې چې خلاصیږي یو فعال ساحه شتون لري او چک مارک چیک شوی د صادراتو کنټرول شوي فعالیت ته اجازه ورکړئ… پرته له دې چې دا ساحه فعاله وي، تاسو به نشئ کولی د قوي کوډ کولو افعال وکاروئ او په وینا یې، VPN. که دا ساحه فعاله نه وي، مهرباني وکړئ د فعالولو غوښتنې سره د خپل حساب ټیم سره اړیکه ونیسئ.

   

   • د ت buttonۍ فشارولو وروسته ټوکن جوړ کړئ، یو نښه به رامینځته شي چې موږ به یې د ASAv لپاره جواز ترلاسه کولو لپاره وکاروو ، کاپي یې کړئ:

   

   • د هر ګمارل شوي ASAv لپاره C,D,E مرحلې تکرار کړئ.
   • د دې لپاره چې د ټوکن کاپي کول اسانه شي، راځئ چې په لنډمهاله توګه ټیلنټ ته اجازه ورکړو. راځئ چې هر ASA تنظیم کړو (لاندې مثال په ASA-1 کې تنظیمات روښانه کوي). telnet له بهر سره کار نه کوي، که تاسو واقعیا ورته اړتیا لرئ، د امنیت کچه ​​100 ته بهر ته بدل کړئ، بیا یې بیرته راستانه کړئ.

   !
   ciscoasa(config)# int gi0/0
   ciscoasa(config)# nameif outside
   ciscoasa(config)# ip address 192.168.31.30 255.255.255.0
   ciscoasa(config)# no shut
   !
   ciscoasa(config)# int gi0/1
   ciscoasa(config)# nameif inside
   ciscoasa(config)# ip address 192.168.255.2 255.255.255.0
   ciscoasa(config)# no shut
   !
   ciscoasa(config)# telnet 0 0 inside
   ciscoasa(config)# username admin password cisco priv 15
   ciscoasa(config)# ena password cisco
   ciscoasa(config)# aaa authentication telnet console LOCAL
   !
   ciscoasa(config)# route outside 0 0 192.168.31.1
   !
   ciscoasa(config)# wr
   !

   • د سمارټ اکاونټ کلاوډ کې د نښه راجستر کولو لپاره، تاسو باید د ASA لپاره انټرنیټ لاسرسی چمتو کړئ، تفصيل دلته.

   په لنډه توګه، ASA ته اړتیا ده:

   • انټرنیټ ته د HTTPS له لارې لاسرسی؛
   • د وخت همغږي کول (په سمه توګه، د NTP له لارې)؛
   • ثبت شوی DNS سرور؛
     • موږ خپل ASA ته ټیلینټ کوو او د سمارټ حساب له لارې د جواز فعالولو لپاره تنظیمات کوو.

   !
   ciscoasa(config)# clock set 19:21:00 Mar 18 2020
   ciscoasa(config)# clock timezone MSK 3
   ciscoasa(config)# ntp server 192.168.99.136
   !
   ciscoasa(config)# dns domain-lookup outside
   ciscoasa(config)# DNS server-group DefaultDNS
   ciscoasa(config-dns-server-group)# name-server 192.168.99.132 
   !
   ! Проверим работу DNS:
   !
   ciscoasa(config-dns-server-group)# ping ya.ru
   Type escape sequence to abort.
   Sending 5, 100-byte ICMP Echos to 87.250.250.242, timeout is 2 seconds:
   !!!!!
   !
   ! Проверим синхронизацию NTP:
   !
   ciscoasa(config)# show ntp associations 
     address         ref clock     st  when  poll reach  delay  offset    disp
   *~192.168.99.136   91.189.94.4       3    63    64    1    36.7    1.85    17.5
   * master (synced), # master (unsynced), + selected, - candidate, ~ configured
   !
   ! Установим конфигурацию нашей ASAv для Smart-Licensing (в соответствии с Вашим профилем, в моем случае 100М для примера)
   !
   ciscoasa(config)# license smart
   ciscoasa(config-smart-lic)# feature tier standard
   ciscoasa(config-smart-lic)# throughput level 100M
   !
   ! В случае необходимости можно настроить доступ в Интернет через прокси используйте следующий блок команд:
   !call-home
   !  http-proxy ip_address port port
   !
   ! Далее мы вставляем скопированный из портала Smart-Account токен (<token>) и регистрируем лицензию
   !
   ciscoasa(config)# end
   ciscoasa# license smart register idtoken <token>

   • موږ ګورو چې وسیله په بریالیتوب سره جواز ثبت کړی او د کوډ کولو اختیارونه شتون لري:

   

   

4. په هره دروازه کې یو بنسټیز SSL-VPN تنظیم کړئ

   • بیا، د SSH او ASDM له لارې لاسرسی تنظیم کړئ:

   ciscoasa(config)# ssh ver 2
   ciscoasa(config)# aaa authentication ssh console LOCAL
   ciscoasa(config)# aaa authentication http console LOCAL
   ciscoasa(config)# hostname vpn-demo-1
   vpn-demo-1(config)# domain-name ashes.cc
   vpn-demo-1(config)# cry key gen rsa general-keys modulus 4096 
   vpn-demo-1(config)# ssh 0 0 inside  
   vpn-demo-1(config)# http 0 0 inside
   !
   ! Поднимем сервер HTTPS для ASDM на порту 445 чтобы не пересекаться с SSL-VPN порталом
   !
   vpn-demo-1(config)# http server enable 445 
   !

   • د ASDM کار کولو لپاره، تاسو باید لومړی دا د cisco.com ویب پاڼې څخه ډاونلوډ کړئ، زما په قضیه کې دا لاندې فایل دی:

   

   • د دې لپاره چې د AnyConnect پیرودونکي کار وکړي ، تاسو اړتیا لرئ د هر ډیسټاپ پیرودونکي OS لپاره کارول شوي هر ASA ته یو عکس اپلوډ کړئ (د لینکس / وینډوز / MAC کارولو لپاره پلان شوی) ، تاسو به یو فایل ته اړتیا ولرئ. د سرلیک د ځای پرځای کولو بسته په سرلیک کې:

   

   • ډاونلوډ شوي فایلونه اپلوډ کیدی شي، د بیلګې په توګه، د FTP سرور ته او هر فرد ASA ته اپلوډ کیدی شي:

   

   • موږ د SSL-VPN لپاره ASDM او پخپله لاسلیک شوی سند تنظیم کوو (دا سپارښتنه کیږي چې په تولید کې د باور وړ سند وکاروئ). د مجازی کلستر پته ټاکل شوی FQDN (vpn-demo.ashes.cc)، او همدارنګه هر FQDN د کلستر د هر نوډ بهرنۍ پته سره تړاو لري، باید په بهرني DNS زون کې د بهر انٹرفیس IP پتې ته حل کړي. (یا نقشه شوي پته ته که چیرې پورټ فارورډینګ udp/443 کارول کیږي (DTLS) او tcp/443 (TLS)). د سند لپاره د اړتیاو په اړه تفصيلي معلومات په برخه کې مشخص شوي د سند تاييد اسناد.

   !
   vpn-demo-1(config)# crypto ca trustpoint SELF
   vpn-demo-1(config-ca-trustpoint)# enrollment self
   vpn-demo-1(config-ca-trustpoint)# fqdn vpn-demo.ashes.cc
   vpn-demo-1(config-ca-trustpoint)# subject-name cn=*.ashes.cc, ou=ashes-lab, o=ashes, c=ru
   vpn-demo-1(config-ca-trustpoint)# serial-number             
   vpn-demo-1(config-ca-trustpoint)# crl configure
   vpn-demo-1(config-ca-crl)# cry ca enroll SELF
   % The fully-qualified domain name in the certificate will be: vpn-demo.ashes.cc
   Generate Self-Signed Certificate? [yes/no]: yes
   vpn-demo-1(config)# 
   !
   vpn-demo-1(config)# sh cry ca certificates 
   Certificate
   Status: Available
   Certificate Serial Number: 4d43725e
   Certificate Usage: General Purpose
   Public Key Type: RSA (4096 bits)
   Signature Algorithm: SHA256 with RSA Encryption
   Issuer Name: 
   serialNumber=9A439T02F95
   hostname=vpn-demo.ashes.cc
   cn=*.ashes.cc
   ou=ashes-lab
   o=ashes
   c=ru
   Subject Name:
   serialNumber=9A439T02F95
   hostname=vpn-demo.ashes.cc
   cn=*.ashes.cc
   ou=ashes-lab
   o=ashes
   c=ru
   Validity Date: 
   start date: 00:16:17 MSK Mar 19 2020
   end   date: 00:16:17 MSK Mar 17 2030
   Storage: config
   Associated Trustpoints: SELF 
   
   CA Certificate
   Status: Available
   Certificate Serial Number: 0509
   Certificate Usage: General Purpose
   Public Key Type: RSA (4096 bits)
   Signature Algorithm: SHA1 with RSA Encryption
   Issuer Name: 
   cn=QuoVadis Root CA 2
   o=QuoVadis Limited
   c=BM
   Subject Name: 
   cn=QuoVadis Root CA 2
   o=QuoVadis Limited
   c=BM
   Validity Date: 
   start date: 21:27:00 MSK Nov 24 2006
   end   date: 21:23:33 MSK Nov 24 2031
   Storage: config
   Associated Trustpoints: _SmartCallHome_ServerCA               

   • د ASDM کار کولو چک کولو لپاره د بندر مشخص کول مه هیروئ، د بیلګې په توګه:

   

   • راځئ چې د تونل اساسي ترتیبات ترسره کړو:
   • راځئ چې د تونل له لارې کارپوریټ شبکه چمتو کړو، او انټرنیټ ته مستقیم لاړ شو (خورا خوندي طریقه نه ده که چیرې د نښلونکي کوربه کې هیڅ محافظت شتون نلري، دا ممکنه ده چې د اخته شوي کوربه له لارې ننوځي او د کارپوریټ ډاټا ښکاره کړي، اختیار. split-tunnel-policy tunnelall ټول کوربه ټرافیک به تونل ته پریږدي. بیا هم ویشل شوی تونل دا ممکنه کوي چې د VPN ګیټ وے اپلوډ کړئ او د کوربه انټرنیټ ترافیک پروسس نه کړئ)
   • راځئ چې د 192.168.20.0/24 فرعي نیټ څخه په تونل کې کوربه ته ادرسونه صادر کړو (د 10 څخه تر 30 پتو پورې حوض (د نوډ # 1 لپاره)). د VPN کلستر هر نوډ باید خپل حوض ولري.
   • موږ به په ASA کې د ځایی جوړ شوي کارونکي سره لومړني تصدیق ترسره کړو (دا وړاندیز نه کیږي ، دا ترټولو اسانه میتود دی) ، دا غوره ده چې د دې له لارې تصدیق وکړئ. LDAP/RADIUS, یا لا تر اوسه ښه، ټی د څو فکتور تصدیق (MFA)د مثال په توګه سیسکو DUO.

   !
   vpn-demo-1(config)# ip local pool vpn-pool 192.168.20.10-192.168.20.30 mask 255.255.255.0
   !
   vpn-demo-1(config)# access-list split-tunnel standard permit 192.168.0.0 255.255.0.0
   !
   vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY internal
   vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY attributes
   vpn-demo-1(config-group-policy)# vpn-tunnel-protocol ssl-client 
   vpn-demo-1(config-group-policy)# split-tunnel-policy tunnelspecified
   vpn-demo-1(config-group-policy)# split-tunnel-network-list value split-tunnel
   vpn-demo-1(config-group-policy)# dns-server value 192.168.99.132
   vpn-demo-1(config-group-policy)# default-domain value ashes.cc
   vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes
   vpn-demo-1(config-tunnel-general)#  default-group-policy SSL-VPN-GROUP-POLICY
   vpn-demo-1(config-tunnel-general)#  address-pool vpn-pool
   !
   vpn-demo-1(config)# username dkazakov password cisco
   vpn-demo-1(config)# username dkazakov attributes
   vpn-demo-1(config-username)# service-type remote-access
   !
   vpn-demo-1(config)# ssl trust-point SELF
   vpn-demo-1(config)# webvpn
   vpn-demo-1(config-webvpn)#  enable outside
   vpn-demo-1(config-webvpn)#  anyconnect image disk0:/anyconnect-win-4.8.03036-webdeploy-k9.pkg
   vpn-demo-1(config-webvpn)#  anyconnect enable
   !

   • (اختیاري): په پورتني مثال کې، موږ په ITU کې یو محلي کارونکي د لیرې پرتو کاروونکو تصدیق کولو لپاره کارولي، کوم چې البته، په لابراتوار کې پرته، په کمزوري توګه پلي کیږي. زه به یو مثال ورکړم چې څنګه د تصدیق کولو لپاره ترتیب ګړندي تنظیم کړئ وړانګې سرور، د مثال په توګه کارول کیږي د سیسکو پیژندنې خدماتو انجن:

   vpn-demo-1(config-aaa-server-group)# dynamic-authorization
   vpn-demo-1(config-aaa-server-group)# interim-accounting-update
   vpn-demo-1(config-aaa-server-group)# aaa-server RADIUS (outside) host 192.168.99.134
   vpn-demo-1(config-aaa-server-host)# key cisco
   vpn-demo-1(config-aaa-server-host)# exit
   vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes
   vpn-demo-1(config-tunnel-general)# authentication-server-group  RADIUS 
   !

   دې ادغام دا امکان رامینځته کړی چې نه یوازې د AD لارښود خدمت سره د تصدیق پروسې ګړندي مدغم کړي ، بلکه دا هم توپیر کوي چې ایا وصل شوی کمپیوټر د AD پورې اړه لري ، ترڅو پوه شي چې ایا دا وسیله کارپوریټ ده یا شخصي ، او د وصل شوي وسیلې حالت ارزونه .

   

   

   • راځئ چې شفاف NAT تنظیم کړو ترڅو د پیرودونکي او د کارپوریټ شبکې شبکې سرچینو تر مینځ ترافیک لیکل شوی نه وي:

   vpn-demo-1(config-network-object)#  subnet 192.168.20.0 255.255.255.0
   !
   vpn-demo-1(config)# nat (inside,outside) source static any any destination static vpn-users vpn-users no-proxy-arp

   • (اختیاري): د دې لپاره چې زموږ پیرودونکي د ASA له لارې انټرنیټ ته افشا کړئ (کله چې کارول کیږي تونل اختیارونه) د PAT په کارولو سره ، او همدارنګه د ورته بهر انٹرفیس له لارې وتل چې له هغې څخه دوی وصل شوي ، تاسو اړتیا لرئ لاندې تنظیمات وکړئ

   vpn-demo-1(config-network-object)# nat (outside,outside) source dynamic vpn-users interface
   vpn-demo-1(config)# nat (inside,outside) source dynamic any interface
   vpn-demo-1(config)# same-security-traffic permit intra-interface 
   !

   • کله چې د کلستر کاروئ، نو دا خورا مهم دي چې داخلي شبکه فعاله کړئ ترڅو پوه شي چې کوم ASA کاروونکو ته ټرافيک بیرته راګرځوي، د دې لپاره تاسو اړتیا لرئ چې مراجعینو ته صادر شوي لارې / 32 پتې بیا توزیع کړئ.
     دا مهال، موږ لا تر اوسه کلستر نه دی تنظیم کړی، مګر موږ دمخه د VPN ګیټ ویز کار کوو چې په انفرادي ډول د FQDN یا IP له لارې وصل کیدی شي.

   

   موږ د لومړي ASA روټینګ جدول کې وصل شوي پیرودونکي ګورو:

   

   د دې لپاره چې زموږ د VPN ټول کلستر او ټوله کارپوریټ شبکه زموږ پیرودونکي ته لاره وپیژني، موږ به د پیرودونکي مخکینۍ په متحرک روټینګ پروتوکول کې بیا توزیع کړو، د مثال په توګه OSPF:

   !
   vpn-demo-1(config)# route-map RMAP-VPN-REDISTRIBUTE permit 1
   vpn-demo-1(config-route-map)#  match ip address VPN-REDISTRIBUTE
   !
   vpn-demo-1(config)# router ospf 1
   vpn-demo-1(config-router)#  network 192.168.255.0 255.255.255.0 area 0
   vpn-demo-1(config-router)#  log-adj-changes
   vpn-demo-1(config-router)#  redistribute static metric 5000 subnets route-map RMAP-VPN-REDISTRIBUTE

   اوس موږ د دوهم ASA-2 دروازې څخه پیرودونکي ته لاره لرو او کارونکي کولی شي په کلستر کې د مختلف VPN ګیټ ویز سره وصل وي ، د مثال په توګه ، د کارپوریټ سافټ فون له لارې مستقیم اړیکه ونیسي ، او همدارنګه د کارونکي لخوا غوښتل شوي سرچینو څخه ترافیک بیرته راګرځي. مطلوب VPN دروازې ته ورشئ:

   

5. راځئ چې د لوډ توازن کلستر تنظیم کولو ته لاړ شو.

   پته 192.168.31.40 به د مجازی IP په توګه وکارول شي (VIP - ټول VPN پیرودونکي به په پیل کې له دې سره وصل شي) ، له دې پتې څخه ماسټر کلستر به لږ بار شوي کلستر نوډ ته REDIRECT وکړي. لیکل مه هیروئ د DNS ریکارډ وړاندې او بیرته راګرځوي دواړه د هر کلستر د هر نوډ د هر بهرني پتې / FQDN لپاره، او د VIP لپاره.

   vpn-demo-1(config)# vpn load-balancing
   vpn-demo-1(config-load-balancing)# interface lbpublic outside
   vpn-demo-1(config-load-balancing)# interface lbprivate inside
   vpn-demo-1(config-load-balancing)# priority 10
   vpn-demo-1(config-load-balancing)# cluster ip address 192.168.31.40
   vpn-demo-1(config-load-balancing)# cluster port 4000
   vpn-demo-1(config-load-balancing)# redirect-fqdn enable
   vpn-demo-1(config-load-balancing)# cluster key cisco
   vpn-demo-1(config-load-balancing)# cluster encryption
   vpn-demo-1(config-load-balancing)# cluster port 9023
   vpn-demo-1(config-load-balancing)# participate
   vpn-demo-1(config-load-balancing)#

   • موږ د کلستر عملیات د دوه تړل شوي پیرودونکو سره ګورو:

   

   • راځئ چې د ASDM له لارې په اتوماتيک ډول بار شوي AnyConnect پروفایل سره د پیرودونکي تجربه خورا اسانه کړو.

   

   موږ پروفایل ته په مناسب ډول نوم ورکوو او زموږ د ګروپ پالیسي ورسره شریکوو:

   

   د پیرودونکي د راتلونکي پیوستون وروسته ، دا پروفایل به په اوتومات ډول ډاونلوډ او په AnyConnect پیرودونکي کې نصب شي ، نو که تاسو اړتیا لرئ اړیکه ونیسئ ، یوازې دا له لیست څخه غوره کړئ:

   

   له هغه ځایه چې موږ دا پروفایل د ASDM په کارولو سره یوازې په یوه ASA کې رامینځته کړی ، نو مه هیروئ چې په کلستر کې په نورو ASAs کې مرحلې تکرار کړئ.

پایله: په دې توګه، موږ په چټکۍ سره د اتوماتیک بار توازن سره د څو VPN ګیټ ویز کلستر ځای پرځای کړ. کلستر ته د نوي نوډونو اضافه کول اسانه دي، د نوي ASAv مجازی ماشینونو په ځای کولو یا هارډویر ASAs کارولو سره د ساده افقی اندازه کولو سره. د فیچر بډایه AnyConnect پیرودونکي کولی شي د کارولو له لارې خوندي ریموټ اتصال خورا لوړ کړي حالت (د دولت اټکلونه)، په خورا مؤثره توګه د مرکزي کنټرول او لاسرسي حساب ورکولو سیسټم سره په ګډه کارول کیږي د پیژندنې خدماتو انجن.

سرچینه: www.habr.com