پدې مقاله کې ، زه غواړم د ګام په ګام لارښوونې چمتو کړم چې څنګه تاسو کولی شئ دا مهال خورا د توزیع وړ سکیم په چټکۍ سره ځای په ځای کړئ. ریموټ لاسرسی VPN د لاسرسي پر بنسټ AnyConnect او Cisco ASA - د VPN بار بیلانس کلستر.
پیژندنه: په ټوله نړۍ کې ډیری شرکتونه د COVID-19 سره اوسني وضعیت ته په پام سره ، لیرې کار ته د خپلو کارمندانو د لیږدولو هڅې کوي. لیرې کار ته د ډله ایز لیږد له امله، د شرکتونو موجوده VPN ګیټ ویز باندې بار په جدي ډول مخ په ډیریدو دی او د دوی اندازه کولو لپاره خورا ګړندۍ وړتیا ته اړتیا ده. له بلې خوا، ډیری شرکتونه اړ دي چې په چټکۍ سره د لیرې پرتو کار مفهوم د سکریچ څخه ماسټر کړي.
د سوداګرۍ سره د مرستې لپاره په لنډ ممکن وخت کې د کارمندانو لپاره اسانه ، خوندي او د توزیع وړ VPN لاسرسي ترلاسه کولو کې ، سیسکو تر 13 اونیو پورې د AnyConnect ځانګړتیاو لرونکي SSL VPN پیرودونکي جواز ورکوي.
ما د خورا توزیع وړ VPN ټیکنالوژۍ په توګه د VPN لوډ بیلانس کلستر ساده ګمارلو لپاره د ګام په ګام لارښود چمتو کړی دی.
لاندې مثال به د کارول شوي تصدیق او اختیار ورکولو الګوریتمونو له مخې خورا ساده وي ، مګر د ګمارنې پرمهال ستاسو اړتیاو سره د ژور موافقت امکان سره به د ګړندي پیل (کوم چې اوس مهال د ډیری لپاره کافي ندي) لپاره یو ښه انتخاب وي. پروسه
لنډ معلومات: د VPN لوډ بیلانس کلستر ټیکنالوژي ناکامه نه ده او په خپل اصلي معنی کې د کلستر کولو فعالیت نه دی ، دا ټیکنالوژي کولی شي په بشپړ ډول مختلف ASA ماډلونه (د ځینې محدودیتونو سره) سره یوځای کړي ترڅو د ریموټ لاسرسي VPN اتصالونو بارولو لپاره. د داسې کلستر نوډونو تر مینځ د غونډو او تشکیلاتو هیڅ همغږي شتون نلري ، مګر دا ممکنه ده چې په اتوماتيک ډول د VPN اتصالونه بار کړئ او د VPN اتصالاتو غلط برداشت ډاډمن کړئ تر هغه چې لږترلږه یو فعال نوډ په کلستر کې پاتې وي. په کلستر کې بار په اوتومات ډول د VPN غونډو شمیر لخوا د نوډونو کاري بار پورې اړه لري.
د کلستر د ځانګړو نوډونو د ناکامۍ لپاره (که اړتیا وي)، یو فایلر کارول کیدی شي، نو فعال اړیکه به د فایلر لومړني نوډ لخوا اداره شي. فایل اوور د لوډ بیلانس کلستر کې د غلطۍ زغم یقیني کولو لپاره اړین شرط ندی، کلستر پخپله، د نوډ ناکامۍ په صورت کې، د کاروونکي سیشن بل ژوندی نوډ ته لیږدوي، مګر د پیوستون حالت خوندي کولو پرته، کوم چې دقیق دی. د فایلر لخوا چمتو شوی. په دې اساس، دا ممکنه ده، که اړتیا وي، د دې دوو ټیکنالوژیو سره یوځای کول.
د VPN د بار توازن کولو کلستر کولی شي له دوه څخه ډیر نوډونه ولري.
د VPN لوډ بیلانس کلستر په ASA 5512-X او پورته ملاتړ شوی.
څرنګه چې د VPN لوډ بیلانس کلستر کې هر ASA د ترتیباتو له مخې یو خپلواک واحد دی، موږ په هر انفرادي وسیله کې په انفرادي ډول د ترتیب کولو ټول مرحلې ترسره کوو.
د ورکړل شوي مثال منطقي ټوپولوژي:
لومړنۍ ګمارنه:
-
موږ د هغه ټیمپلیټونو ASAv مثالونه ځای په ځای کوو چې موږ ورته اړتیا لرو (ASAv5/10/30/50) له عکس څخه.
-
موږ ورته VLANs ته INSIDE/OUTSIDE انٹرفیسونه ورکوو (په خپل VLAN کې بهر، په خپل ځان کې دننه، مګر عموما په کلستر کې، ټوپولوژي وګورئ)، دا مهمه ده چې د ورته ډول انٹرفیسونه په ورته L2 برخه کې وي.
-
جوازونه:
- اوس مهال د ASav نصب به هیڅ جواز ونلري او د 100kbps پورې به محدود وي.
- د لایسنس نصبولو لپاره، تاسو اړتیا لرئ په خپل سمارټ حساب کې یو نښه تولید کړئ:
https://software.cisco.com/ -> د سمارټ سافټویر جواز ورکول - په هغه کړکۍ کې چې خلاصیږي، تڼۍ کلیک وکړئ نوې نښه
- ډاډ ترلاسه کړئ چې په هغه کړکۍ کې چې خلاصیږي یو فعال ساحه شتون لري او چک مارک چیک شوی د صادراتو کنټرول شوي فعالیت ته اجازه ورکړئ… پرته له دې چې دا ساحه فعاله وي، تاسو به نشئ کولی د قوي کوډ کولو افعال وکاروئ او په وینا یې، VPN. که دا ساحه فعاله نه وي، مهرباني وکړئ د فعالولو غوښتنې سره د خپل حساب ټیم سره اړیکه ونیسئ.
- د ت buttonۍ فشارولو وروسته ټوکن جوړ کړئ، یو نښه به رامینځته شي چې موږ به یې د ASAv لپاره جواز ترلاسه کولو لپاره وکاروو ، کاپي یې کړئ:
- د هر ګمارل شوي ASAv لپاره C,D,E مرحلې تکرار کړئ.
- د دې لپاره چې د ټوکن کاپي کول اسانه شي، راځئ چې په لنډمهاله توګه ټیلنټ ته اجازه ورکړو. راځئ چې هر ASA تنظیم کړو (لاندې مثال په ASA-1 کې تنظیمات روښانه کوي). telnet له بهر سره کار نه کوي، که تاسو واقعیا ورته اړتیا لرئ، د امنیت کچه 100 ته بهر ته بدل کړئ، بیا یې بیرته راستانه کړئ.
! ciscoasa(config)# int gi0/0 ciscoasa(config)# nameif outside ciscoasa(config)# ip address 192.168.31.30 255.255.255.0 ciscoasa(config)# no shut ! ciscoasa(config)# int gi0/1 ciscoasa(config)# nameif inside ciscoasa(config)# ip address 192.168.255.2 255.255.255.0 ciscoasa(config)# no shut ! ciscoasa(config)# telnet 0 0 inside ciscoasa(config)# username admin password cisco priv 15 ciscoasa(config)# ena password cisco ciscoasa(config)# aaa authentication telnet console LOCAL ! ciscoasa(config)# route outside 0 0 192.168.31.1 ! ciscoasa(config)# wr !
- د سمارټ اکاونټ کلاوډ کې د نښه راجستر کولو لپاره، تاسو باید د ASA لپاره انټرنیټ لاسرسی چمتو کړئ،
تفصيل دلته .
په لنډه توګه، ASA ته اړتیا ده:
- انټرنیټ ته د HTTPS له لارې لاسرسی؛
- د وخت همغږي کول (په سمه توګه، د NTP له لارې)؛
- ثبت شوی DNS سرور؛
- موږ خپل ASA ته ټیلینټ کوو او د سمارټ حساب له لارې د جواز فعالولو لپاره تنظیمات کوو.
! ciscoasa(config)# clock set 19:21:00 Mar 18 2020 ciscoasa(config)# clock timezone MSK 3 ciscoasa(config)# ntp server 192.168.99.136 ! ciscoasa(config)# dns domain-lookup outside ciscoasa(config)# DNS server-group DefaultDNS ciscoasa(config-dns-server-group)# name-server 192.168.99.132 ! ! Проверим работу DNS: ! ciscoasa(config-dns-server-group)# ping ya.ru Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 87.250.250.242, timeout is 2 seconds: !!!!! ! ! Проверим синхронизацию NTP: ! ciscoasa(config)# show ntp associations address ref clock st when poll reach delay offset disp *~192.168.99.136 91.189.94.4 3 63 64 1 36.7 1.85 17.5 * master (synced), # master (unsynced), + selected, - candidate, ~ configured ! ! Установим конфигурацию нашей ASAv для Smart-Licensing (в соответствии с Вашим профилем, в моем случае 100М для примера) ! ciscoasa(config)# license smart ciscoasa(config-smart-lic)# feature tier standard ciscoasa(config-smart-lic)# throughput level 100M ! ! В случае необходимости можно настроить доступ в Интернет через прокси используйте следующий блок команд: !call-home ! http-proxy ip_address port port ! ! Далее мы вставляем скопированный из портала Smart-Account токен (<token>) и регистрируем лицензию ! ciscoasa(config)# end ciscoasa# license smart register idtoken <token>
- موږ ګورو چې وسیله په بریالیتوب سره جواز ثبت کړی او د کوډ کولو اختیارونه شتون لري:
-
په هره دروازه کې یو بنسټیز SSL-VPN تنظیم کړئ
- بیا، د SSH او ASDM له لارې لاسرسی تنظیم کړئ:
ciscoasa(config)# ssh ver 2 ciscoasa(config)# aaa authentication ssh console LOCAL ciscoasa(config)# aaa authentication http console LOCAL ciscoasa(config)# hostname vpn-demo-1 vpn-demo-1(config)# domain-name ashes.cc vpn-demo-1(config)# cry key gen rsa general-keys modulus 4096 vpn-demo-1(config)# ssh 0 0 inside vpn-demo-1(config)# http 0 0 inside ! ! Поднимем сервер HTTPS для ASDM на порту 445 чтобы не пересекаться с SSL-VPN порталом ! vpn-demo-1(config)# http server enable 445 !
- د ASDM کار کولو لپاره، تاسو باید لومړی دا د cisco.com ویب پاڼې څخه ډاونلوډ کړئ، زما په قضیه کې دا لاندې فایل دی:
- د دې لپاره چې د AnyConnect پیرودونکي کار وکړي ، تاسو اړتیا لرئ د هر ډیسټاپ پیرودونکي OS لپاره کارول شوي هر ASA ته یو عکس اپلوډ کړئ (د لینکس / وینډوز / MAC کارولو لپاره پلان شوی) ، تاسو به یو فایل ته اړتیا ولرئ. د سرلیک د ځای پرځای کولو بسته په سرلیک کې:
- ډاونلوډ شوي فایلونه اپلوډ کیدی شي، د بیلګې په توګه، د FTP سرور ته او هر فرد ASA ته اپلوډ کیدی شي:
- موږ د SSL-VPN لپاره ASDM او پخپله لاسلیک شوی سند تنظیم کوو (دا سپارښتنه کیږي چې په تولید کې د باور وړ سند وکاروئ). د مجازی کلستر پته ټاکل شوی FQDN (vpn-demo.ashes.cc)، او همدارنګه هر FQDN د کلستر د هر نوډ بهرنۍ پته سره تړاو لري، باید په بهرني DNS زون کې د بهر انٹرفیس IP پتې ته حل کړي. (یا نقشه شوي پته ته که چیرې پورټ فارورډینګ udp/443 کارول کیږي (DTLS) او tcp/443 (TLS)). د سند لپاره د اړتیاو په اړه تفصيلي معلومات په برخه کې مشخص شوي د سند تاييد اسناد.
! vpn-demo-1(config)# crypto ca trustpoint SELF vpn-demo-1(config-ca-trustpoint)# enrollment self vpn-demo-1(config-ca-trustpoint)# fqdn vpn-demo.ashes.cc vpn-demo-1(config-ca-trustpoint)# subject-name cn=*.ashes.cc, ou=ashes-lab, o=ashes, c=ru vpn-demo-1(config-ca-trustpoint)# serial-number vpn-demo-1(config-ca-trustpoint)# crl configure vpn-demo-1(config-ca-crl)# cry ca enroll SELF % The fully-qualified domain name in the certificate will be: vpn-demo.ashes.cc Generate Self-Signed Certificate? [yes/no]: yes vpn-demo-1(config)# ! vpn-demo-1(config)# sh cry ca certificates Certificate Status: Available Certificate Serial Number: 4d43725e Certificate Usage: General Purpose Public Key Type: RSA (4096 bits) Signature Algorithm: SHA256 with RSA Encryption Issuer Name: serialNumber=9A439T02F95 hostname=vpn-demo.ashes.cc cn=*.ashes.cc ou=ashes-lab o=ashes c=ru Subject Name: serialNumber=9A439T02F95 hostname=vpn-demo.ashes.cc cn=*.ashes.cc ou=ashes-lab o=ashes c=ru Validity Date: start date: 00:16:17 MSK Mar 19 2020 end date: 00:16:17 MSK Mar 17 2030 Storage: config Associated Trustpoints: SELF CA Certificate Status: Available Certificate Serial Number: 0509 Certificate Usage: General Purpose Public Key Type: RSA (4096 bits) Signature Algorithm: SHA1 with RSA Encryption Issuer Name: cn=QuoVadis Root CA 2 o=QuoVadis Limited c=BM Subject Name: cn=QuoVadis Root CA 2 o=QuoVadis Limited c=BM Validity Date: start date: 21:27:00 MSK Nov 24 2006 end date: 21:23:33 MSK Nov 24 2031 Storage: config Associated Trustpoints: _SmartCallHome_ServerCA
- د ASDM کار کولو چک کولو لپاره د بندر مشخص کول مه هیروئ، د بیلګې په توګه:
- راځئ چې د تونل اساسي ترتیبات ترسره کړو:
- راځئ چې د تونل له لارې کارپوریټ شبکه چمتو کړو، او انټرنیټ ته مستقیم لاړ شو (خورا خوندي طریقه نه ده که چیرې د نښلونکي کوربه کې هیڅ محافظت شتون نلري، دا ممکنه ده چې د اخته شوي کوربه له لارې ننوځي او د کارپوریټ ډاټا ښکاره کړي، اختیار. split-tunnel-policy tunnelall ټول کوربه ټرافیک به تونل ته پریږدي. بیا هم ویشل شوی تونل دا ممکنه کوي چې د VPN ګیټ وے اپلوډ کړئ او د کوربه انټرنیټ ترافیک پروسس نه کړئ)
- راځئ چې د 192.168.20.0/24 فرعي نیټ څخه په تونل کې کوربه ته ادرسونه صادر کړو (د 10 څخه تر 30 پتو پورې حوض (د نوډ # 1 لپاره)). د VPN کلستر هر نوډ باید خپل حوض ولري.
- موږ به په ASA کې د ځایی جوړ شوي کارونکي سره لومړني تصدیق ترسره کړو (دا وړاندیز نه کیږي ، دا ترټولو اسانه میتود دی) ، دا غوره ده چې د دې له لارې تصدیق وکړئ. LDAP/RADIUS, یا لا تر اوسه ښه، ټی د څو فکتور تصدیق (MFA)د مثال په توګه سیسکو DUO.
! vpn-demo-1(config)# ip local pool vpn-pool 192.168.20.10-192.168.20.30 mask 255.255.255.0 ! vpn-demo-1(config)# access-list split-tunnel standard permit 192.168.0.0 255.255.0.0 ! vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY internal vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY attributes vpn-demo-1(config-group-policy)# vpn-tunnel-protocol ssl-client vpn-demo-1(config-group-policy)# split-tunnel-policy tunnelspecified vpn-demo-1(config-group-policy)# split-tunnel-network-list value split-tunnel vpn-demo-1(config-group-policy)# dns-server value 192.168.99.132 vpn-demo-1(config-group-policy)# default-domain value ashes.cc vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes vpn-demo-1(config-tunnel-general)# default-group-policy SSL-VPN-GROUP-POLICY vpn-demo-1(config-tunnel-general)# address-pool vpn-pool ! vpn-demo-1(config)# username dkazakov password cisco vpn-demo-1(config)# username dkazakov attributes vpn-demo-1(config-username)# service-type remote-access ! vpn-demo-1(config)# ssl trust-point SELF vpn-demo-1(config)# webvpn vpn-demo-1(config-webvpn)# enable outside vpn-demo-1(config-webvpn)# anyconnect image disk0:/anyconnect-win-4.8.03036-webdeploy-k9.pkg vpn-demo-1(config-webvpn)# anyconnect enable !
- (اختیاري): په پورتني مثال کې، موږ په ITU کې یو محلي کارونکي د لیرې پرتو کاروونکو تصدیق کولو لپاره کارولي، کوم چې البته، په لابراتوار کې پرته، په کمزوري توګه پلي کیږي. زه به یو مثال ورکړم چې څنګه د تصدیق کولو لپاره ترتیب ګړندي تنظیم کړئ وړانګې سرور، د مثال په توګه کارول کیږي د سیسکو پیژندنې خدماتو انجن:
vpn-demo-1(config-aaa-server-group)# dynamic-authorization vpn-demo-1(config-aaa-server-group)# interim-accounting-update vpn-demo-1(config-aaa-server-group)# aaa-server RADIUS (outside) host 192.168.99.134 vpn-demo-1(config-aaa-server-host)# key cisco vpn-demo-1(config-aaa-server-host)# exit vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes vpn-demo-1(config-tunnel-general)# authentication-server-group RADIUS !
دې ادغام دا امکان رامینځته کړی چې نه یوازې د AD لارښود خدمت سره د تصدیق پروسې ګړندي مدغم کړي ، بلکه دا هم توپیر کوي چې ایا وصل شوی کمپیوټر د AD پورې اړه لري ، ترڅو پوه شي چې ایا دا وسیله کارپوریټ ده یا شخصي ، او د وصل شوي وسیلې حالت ارزونه .
- راځئ چې شفاف NAT تنظیم کړو ترڅو د پیرودونکي او د کارپوریټ شبکې شبکې سرچینو تر مینځ ترافیک لیکل شوی نه وي:
vpn-demo-1(config-network-object)# subnet 192.168.20.0 255.255.255.0 ! vpn-demo-1(config)# nat (inside,outside) source static any any destination static vpn-users vpn-users no-proxy-arp
- (اختیاري): د دې لپاره چې زموږ پیرودونکي د ASA له لارې انټرنیټ ته افشا کړئ (کله چې کارول کیږي تونل اختیارونه) د PAT په کارولو سره ، او همدارنګه د ورته بهر انٹرفیس له لارې وتل چې له هغې څخه دوی وصل شوي ، تاسو اړتیا لرئ لاندې تنظیمات وکړئ
vpn-demo-1(config-network-object)# nat (outside,outside) source dynamic vpn-users interface vpn-demo-1(config)# nat (inside,outside) source dynamic any interface vpn-demo-1(config)# same-security-traffic permit intra-interface !
- کله چې د کلستر کاروئ، نو دا خورا مهم دي چې داخلي شبکه فعاله کړئ ترڅو پوه شي چې کوم ASA کاروونکو ته ټرافيک بیرته راګرځوي، د دې لپاره تاسو اړتیا لرئ چې مراجعینو ته صادر شوي لارې / 32 پتې بیا توزیع کړئ.
دا مهال، موږ لا تر اوسه کلستر نه دی تنظیم کړی، مګر موږ دمخه د VPN ګیټ ویز کار کوو چې په انفرادي ډول د FQDN یا IP له لارې وصل کیدی شي.
موږ د لومړي ASA روټینګ جدول کې وصل شوي پیرودونکي ګورو:
د دې لپاره چې زموږ د VPN ټول کلستر او ټوله کارپوریټ شبکه زموږ پیرودونکي ته لاره وپیژني، موږ به د پیرودونکي مخکینۍ په متحرک روټینګ پروتوکول کې بیا توزیع کړو، د مثال په توګه OSPF:
! vpn-demo-1(config)# route-map RMAP-VPN-REDISTRIBUTE permit 1 vpn-demo-1(config-route-map)# match ip address VPN-REDISTRIBUTE ! vpn-demo-1(config)# router ospf 1 vpn-demo-1(config-router)# network 192.168.255.0 255.255.255.0 area 0 vpn-demo-1(config-router)# log-adj-changes vpn-demo-1(config-router)# redistribute static metric 5000 subnets route-map RMAP-VPN-REDISTRIBUTE
اوس موږ د دوهم ASA-2 دروازې څخه پیرودونکي ته لاره لرو او کارونکي کولی شي په کلستر کې د مختلف VPN ګیټ ویز سره وصل وي ، د مثال په توګه ، د کارپوریټ سافټ فون له لارې مستقیم اړیکه ونیسي ، او همدارنګه د کارونکي لخوا غوښتل شوي سرچینو څخه ترافیک بیرته راګرځي. مطلوب VPN دروازې ته ورشئ:
-
راځئ چې د لوډ توازن کلستر تنظیم کولو ته لاړ شو.
پته 192.168.31.40 به د مجازی IP په توګه وکارول شي (VIP - ټول VPN پیرودونکي به په پیل کې له دې سره وصل شي) ، له دې پتې څخه ماسټر کلستر به لږ بار شوي کلستر نوډ ته REDIRECT وکړي. لیکل مه هیروئ د DNS ریکارډ وړاندې او بیرته راګرځوي دواړه د هر کلستر د هر نوډ د هر بهرني پتې / FQDN لپاره، او د VIP لپاره.
vpn-demo-1(config)# vpn load-balancing vpn-demo-1(config-load-balancing)# interface lbpublic outside vpn-demo-1(config-load-balancing)# interface lbprivate inside vpn-demo-1(config-load-balancing)# priority 10 vpn-demo-1(config-load-balancing)# cluster ip address 192.168.31.40 vpn-demo-1(config-load-balancing)# cluster port 4000 vpn-demo-1(config-load-balancing)# redirect-fqdn enable vpn-demo-1(config-load-balancing)# cluster key cisco vpn-demo-1(config-load-balancing)# cluster encryption vpn-demo-1(config-load-balancing)# cluster port 9023 vpn-demo-1(config-load-balancing)# participate vpn-demo-1(config-load-balancing)#
- موږ د کلستر عملیات د دوه تړل شوي پیرودونکو سره ګورو:
- راځئ چې د ASDM له لارې په اتوماتيک ډول بار شوي AnyConnect پروفایل سره د پیرودونکي تجربه خورا اسانه کړو.
موږ پروفایل ته په مناسب ډول نوم ورکوو او زموږ د ګروپ پالیسي ورسره شریکوو:
د پیرودونکي د راتلونکي پیوستون وروسته ، دا پروفایل به په اوتومات ډول ډاونلوډ او په AnyConnect پیرودونکي کې نصب شي ، نو که تاسو اړتیا لرئ اړیکه ونیسئ ، یوازې دا له لیست څخه غوره کړئ:
له هغه ځایه چې موږ دا پروفایل د ASDM په کارولو سره یوازې په یوه ASA کې رامینځته کړی ، نو مه هیروئ چې په کلستر کې په نورو ASAs کې مرحلې تکرار کړئ.
پایله: په دې توګه، موږ په چټکۍ سره د اتوماتیک بار توازن سره د څو VPN ګیټ ویز کلستر ځای پرځای کړ. کلستر ته د نوي نوډونو اضافه کول اسانه دي، د نوي ASAv مجازی ماشینونو په ځای کولو یا هارډویر ASAs کارولو سره د ساده افقی اندازه کولو سره. د فیچر بډایه AnyConnect پیرودونکي کولی شي د کارولو له لارې خوندي ریموټ اتصال خورا لوړ کړي حالت (د دولت اټکلونه)، په خورا مؤثره توګه د مرکزي کنټرول او لاسرسي حساب ورکولو سیسټم سره په ګډه کارول کیږي د پیژندنې خدماتو انجن.
سرچینه: www.habr.com