هن آرٽيڪل ۾، آئون قدم قدم جي هدايتون مهيا ڪرڻ چاهيان ٿو ته توهان هن وقت سڀ کان وڌيڪ اسپيبلبل اسڪيم کي تڪڙو ترتيب ڏئي سگهو ٿا. ريموٽ رسائي VPN رسائي جي بنياد تي AnyConnect ۽ Cisco ASA - وي پي اين لوڊ بيلنسنگ ڪلستر.
تعارف: دنيا جون ڪيتريون ئي ڪمپنيون، COVID-19 جي موجوده صورتحال کي نظر ۾ رکندي، پنهنجن ملازمن کي ريموٽ ڪم تي منتقل ڪرڻ لاءِ ڪوششون ڪري رهيون آهن. ريموٽ ڪم ڏانهن ڪاميٽي جي منتقلي جي ڪري، موجوده وي پي اين گيٽ ويز آف ڪمپنين تي لوڊ نازڪ طور تي وڌي رهيو آهي ۽ انهن کي ماپڻ جي تمام تيز صلاحيت گهربل آهي. ٻئي طرف، ڪيتريون ئي ڪمپنيون تڪڙو تڪڙو ڪم ڪرڻ جي تصور کي ختم ڪرڻ تي مجبور آهن.
مون تيار ڪيو آهي قدم قدم گائيڊ لاءِ هڪ سادي ڊيپلائيشن لاءِ VPN لوڊ-بيلنسنگ ڪلسٽر تمام گهڻي اسپيبلبل VPN ٽيڪنالاجي جي طور تي.
هيٺ ڏنل مثال استعمال ڪيل تصديق ۽ اختيار ڪرڻ واري الگورتھم جي لحاظ کان بلڪل سادو هوندو، پر جلدي شروع ڪرڻ لاءِ سٺو اختيار هوندو (جيڪو في الحال ڪيترن ئي لاءِ ڪافي ناهي) جي امڪاني طور تي توهان جي ضرورتن جي گنجائش سان ترتيب ڏيڻ جي امڪان سان. عمل.
مختصر ڄاڻ: وي پي اين لوڊ بيلنسنگ ڪلسٽر ٽيڪنالاجي هڪ ناڪامي ناهي ۽ نه ئي ڪلسٽرنگ فنڪشن پنهنجي اصلي معنى ۾، هي ٽيڪنالاجي مڪمل طور تي مختلف ASA ماڊلز کي گڏ ڪري سگهي ٿي (ڪجهه پابندين سان) بيلنس لوڊ ڪرڻ لاءِ ريموٽ رسائي وي پي اين ڪنيڪشن. اهڙي قسم جي ڪلستر جي نوڊس جي وچ ۾ سيشن ۽ ترتيبن جي ڪا هم وقت سازي نه آهي، پر اهو ممڪن آهي ته خودڪار لوڊ بيلنس VPN ڪنيڪشن ۽ وي پي اين ڪنيڪشن جي غلطي رواداري کي يقيني بڻائي جيستائين گهٽ ۾ گهٽ هڪ فعال نوڊ ڪلستر ۾ رهي. ڪلستر ۾ لوڊ خودڪار طور تي متوازن آهي نوڊس جي ڪم لوڊ تي منحصر ڪري VPN سيشن جي تعداد جي لحاظ کان.
ڪلستر جي مخصوص نوڊس جي ناڪامي لاءِ (جيڪڏهن گهربل هجي)، هڪ فائيلر استعمال ڪري سگهجي ٿو، تنهنڪري فعال ڪنيڪشن کي فائيلر جي پرائمري نوڊ ذريعي سنڀاليو ويندو. فائل اوور لوڊ بيلنسنگ ڪلستر جي اندر غلطي رواداري کي يقيني بڻائڻ لاءِ ضروري شرط نه آهي، ڪلسٽر پاڻ، نوڊ جي ناڪامي جي صورت ۾، صارف سيشن کي ٻئي لائيو نوڊ ڏانهن منتقل ڪندو، پر ڪنيڪشن اسٽيٽس کي محفوظ ڪرڻ کان سواءِ، جيڪو بلڪل صحيح آهي. فائلر طرفان مهيا ڪيل. تنهن ڪري، اهو ممڪن آهي، جيڪڏهن ضروري هجي ته، انهن ٻن ٽيڪنالاجي کي گڏ ڪرڻ لاء.
جيئن ته هر ASA اندر اندر VPN لوڊ-بيلنسنگ ڪلستر سيٽنگن جي لحاظ کان هڪ آزاد يونٽ آهي، اسان هر هڪ ڊوائيس تي انفرادي طور تي ترتيب ڏيڻ جا سڀئي قدم کڻندا آهيون.
اسان تصويرن مان ASAv مثالن کي ترتيب ڏيون ٿا جن جي اسان کي ضرورت آھي (ASAv5/10/30/50) تصوير مان.
اسان INSIDE/OUTSIDE انٽرفيس کي ساڳي VLANs کي تفويض ڪريون ٿا (ٻاهر ان جي پنهنجي VLAN ۾، INSIDE پنهنجي اندر ۾، پر عام طور تي ڪلستر جي اندر، ٽوپولوجي کي ڏسو)، اهو ضروري آهي ته ساڳئي قسم جا انٽرفيس ساڳئي L2 حصي ۾ هجن.
لائسنس:
هن وقت ASAv انسٽاليشن جو ڪو به لائسنس نه هوندو ۽ 100kbps تائين محدود هوندو.
پڪ ڪريو ته ونڊو ۾ جيڪو کلي ٿو اتي هڪ فعال ميدان آهي ۽ هڪ چيڪ مارڪ چيڪ ٿيل آهي ايڪسپورٽ ڪنٽرول ڪارڪردگي جي اجازت ڏيو… بغير هن فيلڊ کي فعال، توهان استعمال ڪرڻ جي قابل نه هوندا ڪم مضبوط انڪرپشن ۽، مطابق، VPN. جيڪڏهن هي فيلڊ فعال نه آهي، مهرباني ڪري فعال ٿيڻ جي درخواست سان پنهنجي اڪائونٽ ٽيم سان رابطو ڪريو.
بٽڻ د pressائڻ کان پوءِ ٽوڪن ٺاهيو، ھڪڙو ٽوڪن ٺاھيو ويندو جيڪو اسان استعمال ڪنداسين ASAv لاءِ لائسنس حاصل ڪرڻ لاءِ، ان کي نقل ڪريو:
ورجايو قدم C,D,E هر مقرر ڪيل ASAv لاءِ.
ٽوڪن کي نقل ڪرڻ آسان بڻائڻ لاءِ، اچو ته عارضي طور تي telnet کي اجازت ڏيون. اچو ته هر ASA کي ترتيب ڏيو (هيٺ ڏنل مثال ASA-1 تي سيٽنگون بيان ڪري ٿو). telnet ٻاهر سان ڪم نٿو ڪري، جيڪڏهن توهان کي واقعي ان جي ضرورت آهي، سيڪيورٽي سطح کي 100 کان ٻاهر تبديل ڪريو، پوء ان کي واپس ڏيو.
!
ciscoasa(config)# int gi0/0
ciscoasa(config)# nameif outside
ciscoasa(config)# ip address 192.168.31.30 255.255.255.0
ciscoasa(config)# no shut
!
ciscoasa(config)# int gi0/1
ciscoasa(config)# nameif inside
ciscoasa(config)# ip address 192.168.255.2 255.255.255.0
ciscoasa(config)# no shut
!
ciscoasa(config)# telnet 0 0 inside
ciscoasa(config)# username admin password cisco priv 15
ciscoasa(config)# ena password cisco
ciscoasa(config)# aaa authentication telnet console LOCAL
!
ciscoasa(config)# route outside 0 0 192.168.31.1
!
ciscoasa(config)# wr
!
سمارٽ اڪائونٽ ڪلائوڊ ۾ ٽوڪن رجسٽر ڪرڻ لاءِ، توهان کي ASA لاءِ انٽرنيٽ جي رسائي فراهم ڪرڻ گهرجي، تفصيل هتي.
مختصر ۾، ASA جي ضرورت آهي:
HTTPS ذريعي انٽرنيٽ تائين رسائي؛
وقت جي هم وقت سازي (وڌيڪ صحيح، NTP ذريعي)؛
رجسٽرڊ DNS سرور؛
اسان اسان جي ASA ڏانهن ٽيلنٽ ڪيو ۽ اسمارٽ اڪائونٽ ذريعي لائسنس کي چالو ڪرڻ لاءِ سيٽنگون ٺاهيون.
!
ciscoasa(config)# clock set 19:21:00 Mar 18 2020
ciscoasa(config)# clock timezone MSK 3
ciscoasa(config)# ntp server 192.168.99.136
!
ciscoasa(config)# dns domain-lookup outside
ciscoasa(config)# DNS server-group DefaultDNS
ciscoasa(config-dns-server-group)# name-server 192.168.99.132
!
! Проверим работу DNS:
!
ciscoasa(config-dns-server-group)# ping ya.ru
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 87.250.250.242, timeout is 2 seconds:
!!!!!
!
! Проверим синхронизацию NTP:
!
ciscoasa(config)# show ntp associations
address ref clock st when poll reach delay offset disp
*~192.168.99.136 91.189.94.4 3 63 64 1 36.7 1.85 17.5
* master (synced), # master (unsynced), + selected, - candidate, ~ configured
!
! Установим конфигурацию нашей ASAv для Smart-Licensing (в соответствии с Вашим профилем, в моем случае 100М для примера)
!
ciscoasa(config)# license smart
ciscoasa(config-smart-lic)# feature tier standard
ciscoasa(config-smart-lic)# throughput level 100M
!
! В случае необходимости можно настроить доступ в Интернет через прокси используйте следующий блок команд:
!call-home
! http-proxy ip_address port port
!
! Далее мы вставляем скопированный из портала Smart-Account токен (<token>) и регистрируем лицензию
!
ciscoasa(config)# end
ciscoasa# license smart register idtoken <token>
اسان چيڪ ڪريون ٿا ته ڊوائيس ڪاميابي سان لائسنس رجسٽرڊ ڪيو آهي ۽ انڪوشن جا اختيار موجود آهن:
هر گيٽ وي تي بنيادي SSL-VPN سيٽ اپ ڪريو
اڳيون، SSH ۽ ASDM ذريعي رسائي ترتيب ڏيو:
ciscoasa(config)# ssh ver 2
ciscoasa(config)# aaa authentication ssh console LOCAL
ciscoasa(config)# aaa authentication http console LOCAL
ciscoasa(config)# hostname vpn-demo-1
vpn-demo-1(config)# domain-name ashes.cc
vpn-demo-1(config)# cry key gen rsa general-keys modulus 4096
vpn-demo-1(config)# ssh 0 0 inside
vpn-demo-1(config)# http 0 0 inside
!
! Поднимем сервер HTTPS для ASDM на порту 445 чтобы не пересекаться с SSL-VPN порталом
!
vpn-demo-1(config)# http server enable 445
!
ASDM ڪم ڪرڻ لاءِ، توھان کي پھريون ڀيرو ان کي ڊائون لوڊ ڪرڻ گھرجي cisco.com ويب سائيٽ تان، منھنجي صورت ۾ اھو ھيٺ ڏنل فائل آھي.
AnyConnect ڪلائنٽ کي ڪم ڪرڻ لاءِ، توهان کي استعمال ٿيل هر ڊيسڪ ٽاپ ڪلائنٽ OS لاءِ هر ASA تي هڪ تصوير اپ لوڊ ڪرڻ جي ضرورت آهي (لينڪس / ونڊوز / ميڪ استعمال ڪرڻ جي منصوبابندي ڪئي وئي آهي)، توهان کي فائل جي ضرورت پوندي. Headend Deployment Package عنوان ۾:
ڊائون لوڊ ڪيل فائلون اپلوڊ ڪري سگھجن ٿيون، مثال طور، ايف ٽي پي سرور تي ۽ اپلوڊ ٿيل هر فرد ASA تي:
اسان SSL-VPN لاءِ ASDM ۽ Self-Signed سرٽيفڪيٽ ترتيب ڏيون ٿا (اهو تجويز ڪيل آهي ته پيداوار ۾ هڪ قابل اعتماد سرٽيفڪيٽ استعمال ڪيو وڃي). ورچوئل ڪلسٽر ايڊريس جو سيٽ FQDN (vpn-demo.ashes.cc)، انهي سان گڏ هر هڪ FQDN هر ڪلستر نوڊ جي خارجي ايڊريس سان لاڳاپيل آهي، لازمي طور تي حل ڪرڻ گهرجي خارجي DNS زون ۾ ٻاهرئين انٽرفيس جي IP پتي ڏانهن (يا ميپ ٿيل ايڊريس تي جيڪڏهن پورٽ فارورڊنگ udp/443 استعمال ٿئي ٿي (DTLS) ۽ tcp/443(TLS)). سرٽيفڪيٽ جي گهرج تي تفصيلي معلومات سيڪشن ۾ بيان ڪئي وئي آهي سند جي تصديق دستاويز.
!
vpn-demo-1(config)# crypto ca trustpoint SELF
vpn-demo-1(config-ca-trustpoint)# enrollment self
vpn-demo-1(config-ca-trustpoint)# fqdn vpn-demo.ashes.cc
vpn-demo-1(config-ca-trustpoint)# subject-name cn=*.ashes.cc, ou=ashes-lab, o=ashes, c=ru
vpn-demo-1(config-ca-trustpoint)# serial-number
vpn-demo-1(config-ca-trustpoint)# crl configure
vpn-demo-1(config-ca-crl)# cry ca enroll SELF
% The fully-qualified domain name in the certificate will be: vpn-demo.ashes.cc
Generate Self-Signed Certificate? [yes/no]: yes
vpn-demo-1(config)#
!
vpn-demo-1(config)# sh cry ca certificates
Certificate
Status: Available
Certificate Serial Number: 4d43725e
Certificate Usage: General Purpose
Public Key Type: RSA (4096 bits)
Signature Algorithm: SHA256 with RSA Encryption
Issuer Name:
serialNumber=9A439T02F95
hostname=vpn-demo.ashes.cc
cn=*.ashes.cc
ou=ashes-lab
o=ashes
c=ru
Subject Name:
serialNumber=9A439T02F95
hostname=vpn-demo.ashes.cc
cn=*.ashes.cc
ou=ashes-lab
o=ashes
c=ru
Validity Date:
start date: 00:16:17 MSK Mar 19 2020
end date: 00:16:17 MSK Mar 17 2030
Storage: config
Associated Trustpoints: SELF
CA Certificate
Status: Available
Certificate Serial Number: 0509
Certificate Usage: General Purpose
Public Key Type: RSA (4096 bits)
Signature Algorithm: SHA1 with RSA Encryption
Issuer Name:
cn=QuoVadis Root CA 2
o=QuoVadis Limited
c=BM
Subject Name:
cn=QuoVadis Root CA 2
o=QuoVadis Limited
c=BM
Validity Date:
start date: 21:27:00 MSK Nov 24 2006
end date: 21:23:33 MSK Nov 24 2031
Storage: config
Associated Trustpoints: _SmartCallHome_ServerCA
ASDM ڪم ڪري رهيو آهي چيڪ ڪرڻ لاءِ بندرگاهه جي وضاحت ڪرڻ نه وساريو، مثال طور:
اچو ته سرنگ جي بنيادي سيٽنگن کي انجام ڏيو:
اچو ته ڪارپوريٽ نيٽ ورڪ کي سرنگ ذريعي دستياب بڻايون، ۽ انٽرنيٽ کي سڌو سنئون وڃڻ ڏيو (جيڪڏهن ڳنڍيندڙ ميزبان تي ڪو به تحفظ نه هجي ته اهو محفوظ طريقو ناهي، اهو ممڪن آهي ته هڪ متاثر ٿيل ميزبان جي ذريعي داخل ٿئي ۽ ڪارپوريٽ ڊيٽا ڏيکاري، اختيار. split-tunnel-policy tunnelall سڀني ميزبان ٽرئفڪ کي سرنگ ۾ داخل ڪرڻ جي اجازت ڏيندو. تنهن هوندي به ورهايل سرنگ VPN گيٽ وي کي آف لوڊ ڪرڻ ۽ ميزبان انٽرنيٽ ٽرئفڪ کي پروسيس نه ڪرڻ ممڪن بڻائي ٿو)
اچو ته ايڊريس جاري ڪريون 192.168.20.0/24 سب نيٽ تان سرنگ ۾ ميزبانن لاءِ (پول 10 کان 30 پتي تائين (نوڊ #1 لاءِ)). VPN ڪلستر جي هر نوڊ کي پنهنجو تلاءُ هجڻ گهرجي.
اسان ASA تي مقامي طور تي ٺاهيل صارف سان بنيادي تصديق ڪنداسين (اها سفارش نه ڪئي وئي آهي، اهو سڀ کان آسان طريقو آهي)، اهو بهتر آهي ته تصديق ڪرڻ LDAP/RADIUS، يا اڃا بهتر، ٽائي ملٽي فيڪٽر جي تصديق (MFA)مثال طور Cisco DUO.
(اختياري): مٿين مثال ۾، اسان ITU تي مقامي استعمال ڪندڙ کي استعمال ڪيو ريموٽ استعمال ڪندڙن جي تصديق ڪرڻ لاء، جيڪو يقينا، ليبارٽري کان سواء، خراب طور تي لاڳو ناهي. مان هڪ مثال ڏيندس ته ڪيئن جلدي ترتيب ڏيڻ جي سيٽنگ کي تصديق ڪرڻ لاءِ RADIUS سرور، مثال طور استعمال ڪيو سسڪو س Servicesاڻپ سروسز انجڻ:
هن انضمام کي ممڪن بڻائي ٿو ته نه رڳو تصديق جي طريقيڪار کي جلدي AD ڊاريڪٽري سروس سان ضم ڪرڻ، پر اهو پڻ فرق ڪرڻ ته ڇا ڳنڍيل ڪمپيوٽر AD سان تعلق رکي ٿو، اهو سمجهڻ لاء ته هي ڊوائيس ڪارپوريٽ آهي يا ذاتي، ۽ ڳنڍيل ڊوائيس جي حالت جو جائزو وٺڻ لاء. .
اچو ته شفاف NAT کي ترتيب ڏيو ته جيئن ڪلائنٽ ۽ ڪارپوريٽ نيٽ ورڪ نيٽ ورڪ جي وسيلن جي وچ ۾ ٽريفڪ لکيل نه هجي:
vpn-demo-1(config-network-object)# subnet 192.168.20.0 255.255.255.0
!
vpn-demo-1(config)# nat (inside,outside) source static any any destination static vpn-users vpn-users no-proxy-arp
(اختياري): ASA ذريعي انٽرنيٽ تي اسان جي گراهڪن کي بي نقاب ڪرڻ لاء (جڏهن استعمال ڪندي سرنگهه آپشنز) PAT استعمال ڪندي، انهي سان گڏ ٻاهر نڪرڻ واري ساڳي انٽرفيس ذريعي، جتان اهي ڳنڍيل آهن، توهان کي هيٺين سيٽنگون ٺاهڻ جي ضرورت آهي
اسان جي پوري VPN ڪلستر ۽ پوري ڪارپوريٽ نيٽ ورڪ لاءِ اسان جي ڪلائنٽ جي رستي کي ڄاڻڻ لاءِ، اسان ڪلائنٽ جي اڳڪٿي کي متحرڪ روٽنگ پروٽوڪول ۾ ٻيهر ورهائينداسين، مثال طور OSPF:
ھاڻي اسان وٽ ٻئي ASA-2 گيٽ وي کان ڪلائنٽ ڏانھن ھڪڙو رستو آھي ۽ ڪلستر جي اندر مختلف وي پي اين گيٽ ويز سان ڳنڍيل صارف ڪري سگھن ٿا، مثال طور، ھڪڙي ڪارپوريٽ سافٽ فون ذريعي سڌو رابطو ڪري سگھن ٿا، ۽ گڏوگڏ صارف پاران درخواست ڪيل وسيلن مان ٽرئفڪ واپس آڻيندو. مطلوب VPN گيٽ وي تي اچو:
اچو ته لوڊ بيلنسنگ ڪلستر کي ترتيب ڏيڻ تي اڳتي وڌون.
ايڊريس 192.168.31.40 هڪ ورچوئل IP طور استعمال ڪيو ويندو (VIP - سڀ VPN ڪلائنٽ شروعاتي طور تي ان سان ڳنڍيندا)، هن ايڊريس مان ماسٽر ڪلسٽر هڪ گهٽ لوڊ ٿيل ڪلسٽر نوڊ ڏانهن REDIRECT ڪندو. لکڻ نه وساريو DNS رڪارڊ اڳتي ۽ ريورس ٻئي هر خارجي پتي لاءِ / ڪلستر جي هر نوڊ جي FQDN لاءِ، ۽ VIP لاءِ.