پرو هوسٽر > بلاگ > انتظاميه > ASA VPN لوڊ-بيلنسنگ ڪلستر کي ترتيب ڏيڻ

ASA VPN لوڊ-بيلنسنگ ڪلستر کي ترتيب ڏيڻ

هن آرٽيڪل ۾، آئون قدم قدم جي هدايتون مهيا ڪرڻ چاهيان ٿو ته توهان هن وقت سڀ کان وڌيڪ اسپيبلبل اسڪيم کي تڪڙو ترتيب ڏئي سگهو ٿا. ريموٽ رسائي VPN رسائي جي بنياد تي AnyConnect ۽ Cisco ASA - وي پي اين لوڊ بيلنسنگ ڪلستر.

تعارف: دنيا جون ڪيتريون ئي ڪمپنيون، COVID-19 جي موجوده صورتحال کي نظر ۾ رکندي، پنهنجن ملازمن کي ريموٽ ڪم تي منتقل ڪرڻ لاءِ ڪوششون ڪري رهيون آهن. ريموٽ ڪم ڏانهن ڪاميٽي جي منتقلي جي ڪري، موجوده وي پي اين گيٽ ويز آف ڪمپنين تي لوڊ نازڪ طور تي وڌي رهيو آهي ۽ انهن کي ماپڻ جي تمام تيز صلاحيت گهربل آهي. ٻئي طرف، ڪيتريون ئي ڪمپنيون تڪڙو تڪڙو ڪم ڪرڻ جي تصور کي ختم ڪرڻ تي مجبور آهن.

ڪاروبار کي آسان، محفوظ، ۽ اسپيبلبل VPN رسائي حاصل ڪرڻ ۾ مدد ڏيڻ لاءِ ملازمن لاءِ گهٽ ۾ گهٽ وقت ۾، Cisco 13 هفتن تائين AnyConnect فيچر سان مالا مال SSL-VPN ڪلائنٽ کي لائسنس ڏئي رهيو آهي. توهان پڻ وٺي ​​سگهو ٿا ASAv ٽيسٽ لاءِ (VMWare/Hyper-V/KVM hypervisors ۽ AWS/Azure ڪلائوڊ پليٽ فارمز لاءِ مجازي ASA) بااختيار ڀائيوارن کان يا توهان سان ڪم ڪندڙ Cisco نمائندن سان رابطو ڪندي.

AnyConnect COVID-19 لائسنس جاري ڪرڻ جو طريقو هتي بيان ڪيو ويو آهي.

مون تيار ڪيو آهي قدم قدم گائيڊ لاءِ هڪ سادي ڊيپلائيشن لاءِ VPN لوڊ-بيلنسنگ ڪلسٽر تمام گهڻي اسپيبلبل VPN ٽيڪنالاجي جي طور تي.

هيٺ ڏنل مثال استعمال ڪيل تصديق ۽ اختيار ڪرڻ واري الگورتھم جي لحاظ کان بلڪل سادو هوندو، پر جلدي شروع ڪرڻ لاءِ سٺو اختيار هوندو (جيڪو في الحال ڪيترن ئي لاءِ ڪافي ناهي) جي امڪاني طور تي توهان جي ضرورتن جي گنجائش سان ترتيب ڏيڻ جي امڪان سان. عمل.

مختصر ڄاڻ: وي پي اين لوڊ بيلنسنگ ڪلسٽر ٽيڪنالاجي هڪ ناڪامي ناهي ۽ نه ئي ڪلسٽرنگ فنڪشن پنهنجي اصلي معنى ۾، هي ٽيڪنالاجي مڪمل طور تي مختلف ASA ماڊلز کي گڏ ڪري سگهي ٿي (ڪجهه پابندين سان) بيلنس لوڊ ڪرڻ لاءِ ريموٽ رسائي وي پي اين ڪنيڪشن. اهڙي قسم جي ڪلستر جي نوڊس جي وچ ۾ سيشن ۽ ترتيبن جي ڪا هم وقت سازي نه آهي، پر اهو ممڪن آهي ته خودڪار لوڊ بيلنس VPN ڪنيڪشن ۽ وي پي اين ڪنيڪشن جي غلطي رواداري کي يقيني بڻائي جيستائين گهٽ ۾ گهٽ هڪ فعال نوڊ ڪلستر ۾ رهي. ڪلستر ۾ لوڊ خودڪار طور تي متوازن آهي نوڊس جي ڪم لوڊ تي منحصر ڪري VPN سيشن جي تعداد جي لحاظ کان.

ڪلستر جي مخصوص نوڊس جي ناڪامي لاءِ (جيڪڏهن گهربل هجي)، هڪ فائيلر استعمال ڪري سگهجي ٿو، تنهنڪري فعال ڪنيڪشن کي فائيلر جي پرائمري نوڊ ذريعي سنڀاليو ويندو. فائل اوور لوڊ بيلنسنگ ڪلستر جي اندر غلطي رواداري کي يقيني بڻائڻ لاءِ ضروري شرط نه آهي، ڪلسٽر پاڻ، نوڊ جي ناڪامي جي صورت ۾، صارف سيشن کي ٻئي لائيو نوڊ ڏانهن منتقل ڪندو، پر ڪنيڪشن اسٽيٽس کي محفوظ ڪرڻ کان سواءِ، جيڪو بلڪل صحيح آهي. فائلر طرفان مهيا ڪيل. تنهن ڪري، اهو ممڪن آهي، جيڪڏهن ضروري هجي ته، انهن ٻن ٽيڪنالاجي کي گڏ ڪرڻ لاء.

هڪ وي پي اين لوڊ بيلنسنگ ڪلستر ٻن کان وڌيڪ نوڊس تي مشتمل ٿي سگھي ٿو.

VPN لوڊ-بيلنسنگ ڪلستر ASA 5512-X ۽ مٿي تي سپورٽ ڪئي وئي آهي.

جيئن ته هر ASA اندر اندر VPN لوڊ-بيلنسنگ ڪلستر سيٽنگن جي لحاظ کان هڪ آزاد يونٽ آهي، اسان هر هڪ ڊوائيس تي انفرادي طور تي ترتيب ڏيڻ جا سڀئي قدم کڻندا آهيون.

ٽيڪنالاجي تفصيل هتي

ڏنل مثال جي منطقي ٽوپولوجي:

ASA VPN لوڊ-بيلنسنگ ڪلستر کي ترتيب ڏيڻ

پرائمري تعیناتي:

  1. اسان تصويرن مان ASAv مثالن کي ترتيب ڏيون ٿا جن جي اسان کي ضرورت آھي (ASAv5/10/30/50) تصوير مان.

  2. اسان INSIDE/OUTSIDE انٽرفيس کي ساڳي VLANs کي تفويض ڪريون ٿا (ٻاهر ان جي پنهنجي VLAN ۾، INSIDE پنهنجي اندر ۾، پر عام طور تي ڪلستر جي اندر، ٽوپولوجي کي ڏسو)، اهو ضروري آهي ته ساڳئي قسم جا انٽرفيس ساڳئي L2 حصي ۾ هجن.

  3. لائسنس:

    • هن وقت ASAv انسٽاليشن جو ڪو به لائسنس نه هوندو ۽ 100kbps تائين محدود هوندو.
    • لائسنس انسٽال ڪرڻ لاءِ، توهان کي پنهنجي سمارٽ اڪائونٽ ۾ هڪ ٽوڪن ٺاهڻ جي ضرورت آهي: https://software.cisco.com/ -> سمارٽ سافٽ ويئر لائسنسنگ
    • کليل ونڊو ۾، بٽڻ تي ڪلڪ ڪريو نئون ٽوڪن

    ASA VPN لوڊ-بيلنسنگ ڪلستر کي ترتيب ڏيڻ

    • پڪ ڪريو ته ونڊو ۾ جيڪو کلي ٿو اتي هڪ فعال ميدان آهي ۽ هڪ چيڪ مارڪ چيڪ ٿيل آهي ايڪسپورٽ ڪنٽرول ڪارڪردگي جي اجازت ڏيو… بغير هن فيلڊ کي فعال، توهان استعمال ڪرڻ جي قابل نه هوندا ڪم مضبوط انڪرپشن ۽، مطابق، VPN. جيڪڏهن هي فيلڊ فعال نه آهي، مهرباني ڪري فعال ٿيڻ جي درخواست سان پنهنجي اڪائونٽ ٽيم سان رابطو ڪريو.

    ASA VPN لوڊ-بيلنسنگ ڪلستر کي ترتيب ڏيڻ

    • بٽڻ د pressائڻ کان پوءِ ٽوڪن ٺاهيو، ھڪڙو ٽوڪن ٺاھيو ويندو جيڪو اسان استعمال ڪنداسين ASAv لاءِ لائسنس حاصل ڪرڻ لاءِ، ان کي نقل ڪريو:

    ASA VPN لوڊ-بيلنسنگ ڪلستر کي ترتيب ڏيڻ

    • ورجايو قدم C,D,E هر مقرر ڪيل ASAv لاءِ.
    • ٽوڪن کي نقل ڪرڻ آسان بڻائڻ لاءِ، اچو ته عارضي طور تي telnet کي اجازت ڏيون. اچو ته هر ASA کي ترتيب ڏيو (هيٺ ڏنل مثال ASA-1 تي سيٽنگون بيان ڪري ٿو). telnet ٻاهر سان ڪم نٿو ڪري، جيڪڏهن توهان کي واقعي ان جي ضرورت آهي، سيڪيورٽي سطح کي 100 کان ٻاهر تبديل ڪريو، پوء ان کي واپس ڏيو.

    !
ciscoasa(config)# int gi0/0
ciscoasa(config)# nameif outside
ciscoasa(config)# ip address 192.168.31.30 255.255.255.0
ciscoasa(config)# no shut
!
ciscoasa(config)# int gi0/1
ciscoasa(config)# nameif inside
ciscoasa(config)# ip address 192.168.255.2 255.255.255.0
ciscoasa(config)# no shut
!
ciscoasa(config)# telnet 0 0 inside
ciscoasa(config)# username admin password cisco priv 15
ciscoasa(config)# ena password cisco
ciscoasa(config)# aaa authentication telnet console LOCAL
!
ciscoasa(config)# route outside 0 0 192.168.31.1
!
ciscoasa(config)# wr
!

    • سمارٽ اڪائونٽ ڪلائوڊ ۾ ٽوڪن رجسٽر ڪرڻ لاءِ، توهان کي ASA لاءِ انٽرنيٽ جي رسائي فراهم ڪرڻ گهرجي، تفصيل هتي.

    مختصر ۾، ASA جي ضرورت آهي:

    • HTTPS ذريعي انٽرنيٽ تائين رسائي؛
    • وقت جي هم وقت سازي (وڌيڪ صحيح، NTP ذريعي)؛
    • رجسٽرڊ DNS سرور؛
      • اسان اسان جي ASA ڏانهن ٽيلنٽ ڪيو ۽ اسمارٽ اڪائونٽ ذريعي لائسنس کي چالو ڪرڻ لاءِ سيٽنگون ٺاهيون.

    !
ciscoasa(config)# clock set 19:21:00 Mar 18 2020
ciscoasa(config)# clock timezone MSK 3
ciscoasa(config)# ntp server 192.168.99.136
!
ciscoasa(config)# dns domain-lookup outside
ciscoasa(config)# DNS server-group DefaultDNS
ciscoasa(config-dns-server-group)# name-server 192.168.99.132 
!
! Проверим работу DNS:
!
ciscoasa(config-dns-server-group)# ping ya.ru
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 87.250.250.242, timeout is 2 seconds:
!!!!!
!
! Проверим синхронизацию NTP:
!
ciscoasa(config)# show ntp associations 
  address         ref clock     st  when  poll reach  delay  offset    disp
*~192.168.99.136   91.189.94.4       3    63    64    1    36.7    1.85    17.5
* master (synced), # master (unsynced), + selected, - candidate, ~ configured
!
! Установим конфигурацию нашей ASAv для Smart-Licensing (в соответствии с Вашим профилем, в моем случае 100М для примера)
!
ciscoasa(config)# license smart
ciscoasa(config-smart-lic)# feature tier standard
ciscoasa(config-smart-lic)# throughput level 100M
!
! В случае необходимости можно настроить доступ в Интернет через прокси используйте следующий блок команд:
!call-home
!  http-proxy ip_address port port
!
! Далее мы вставляем скопированный из портала Smart-Account токен (<token>) и регистрируем лицензию
!
ciscoasa(config)# end
ciscoasa# license smart register idtoken <token>

    • اسان چيڪ ڪريون ٿا ته ڊوائيس ڪاميابي سان لائسنس رجسٽرڊ ڪيو آهي ۽ انڪوشن جا اختيار موجود آهن:

    ASA VPN لوڊ-بيلنسنگ ڪلستر کي ترتيب ڏيڻ

    ASA VPN لوڊ-بيلنسنگ ڪلستر کي ترتيب ڏيڻ

  4. هر گيٽ وي تي بنيادي SSL-VPN سيٽ اپ ڪريو

    • اڳيون، SSH ۽ ASDM ذريعي رسائي ترتيب ڏيو:

    ciscoasa(config)# ssh ver 2
ciscoasa(config)# aaa authentication ssh console LOCAL
ciscoasa(config)# aaa authentication http console LOCAL
ciscoasa(config)# hostname vpn-demo-1
vpn-demo-1(config)# domain-name ashes.cc
vpn-demo-1(config)# cry key gen rsa general-keys modulus 4096 
vpn-demo-1(config)# ssh 0 0 inside  
vpn-demo-1(config)# http 0 0 inside
!
! Поднимем сервер HTTPS для ASDM на порту 445 чтобы не пересекаться с SSL-VPN порталом
!
vpn-demo-1(config)# http server enable 445 
!

    • ASDM ڪم ڪرڻ لاءِ، توھان کي پھريون ڀيرو ان کي ڊائون لوڊ ڪرڻ گھرجي cisco.com ويب سائيٽ تان، منھنجي صورت ۾ اھو ھيٺ ڏنل فائل آھي.

    ASA VPN لوڊ-بيلنسنگ ڪلستر کي ترتيب ڏيڻ

    • AnyConnect ڪلائنٽ کي ڪم ڪرڻ لاءِ، توهان کي استعمال ٿيل هر ڊيسڪ ٽاپ ڪلائنٽ OS لاءِ هر ASA تي هڪ تصوير اپ لوڊ ڪرڻ جي ضرورت آهي (لينڪس / ونڊوز / ميڪ استعمال ڪرڻ جي منصوبابندي ڪئي وئي آهي)، توهان کي فائل جي ضرورت پوندي. Headend Deployment Package عنوان ۾:

    ASA VPN لوڊ-بيلنسنگ ڪلستر کي ترتيب ڏيڻ

    • ڊائون لوڊ ڪيل فائلون اپلوڊ ڪري سگھجن ٿيون، مثال طور، ايف ٽي پي سرور تي ۽ اپلوڊ ٿيل هر فرد ASA تي:

    ASA VPN لوڊ-بيلنسنگ ڪلستر کي ترتيب ڏيڻ

    • اسان SSL-VPN لاءِ ASDM ۽ Self-Signed سرٽيفڪيٽ ترتيب ڏيون ٿا (اهو تجويز ڪيل آهي ته پيداوار ۾ هڪ قابل اعتماد سرٽيفڪيٽ استعمال ڪيو وڃي). ورچوئل ڪلسٽر ايڊريس جو سيٽ FQDN (vpn-demo.ashes.cc)، انهي سان گڏ هر هڪ FQDN هر ڪلستر نوڊ جي خارجي ايڊريس سان لاڳاپيل آهي، لازمي طور تي حل ڪرڻ گهرجي خارجي DNS زون ۾ ٻاهرئين انٽرفيس جي IP پتي ڏانهن (يا ميپ ٿيل ايڊريس تي جيڪڏهن پورٽ فارورڊنگ udp/443 استعمال ٿئي ٿي (DTLS) ۽ tcp/443(TLS)). سرٽيفڪيٽ جي گهرج تي تفصيلي معلومات سيڪشن ۾ بيان ڪئي وئي آهي سند جي تصديق دستاويز.

    !
vpn-demo-1(config)# crypto ca trustpoint SELF
vpn-demo-1(config-ca-trustpoint)# enrollment self
vpn-demo-1(config-ca-trustpoint)# fqdn vpn-demo.ashes.cc
vpn-demo-1(config-ca-trustpoint)# subject-name cn=*.ashes.cc, ou=ashes-lab, o=ashes, c=ru
vpn-demo-1(config-ca-trustpoint)# serial-number             
vpn-demo-1(config-ca-trustpoint)# crl configure
vpn-demo-1(config-ca-crl)# cry ca enroll SELF
% The fully-qualified domain name in the certificate will be: vpn-demo.ashes.cc
Generate Self-Signed Certificate? [yes/no]: yes
vpn-demo-1(config)# 
!
vpn-demo-1(config)# sh cry ca certificates 
Certificate
Status: Available
Certificate Serial Number: 4d43725e
Certificate Usage: General Purpose
Public Key Type: RSA (4096 bits)
Signature Algorithm: SHA256 with RSA Encryption
Issuer Name: 
serialNumber=9A439T02F95
hostname=vpn-demo.ashes.cc
cn=*.ashes.cc
ou=ashes-lab
o=ashes
c=ru
Subject Name:
serialNumber=9A439T02F95
hostname=vpn-demo.ashes.cc
cn=*.ashes.cc
ou=ashes-lab
o=ashes
c=ru
Validity Date: 
start date: 00:16:17 MSK Mar 19 2020
end   date: 00:16:17 MSK Mar 17 2030
Storage: config
Associated Trustpoints: SELF 

CA Certificate
Status: Available
Certificate Serial Number: 0509
Certificate Usage: General Purpose
Public Key Type: RSA (4096 bits)
Signature Algorithm: SHA1 with RSA Encryption
Issuer Name: 
cn=QuoVadis Root CA 2
o=QuoVadis Limited
c=BM
Subject Name: 
cn=QuoVadis Root CA 2
o=QuoVadis Limited
c=BM
Validity Date: 
start date: 21:27:00 MSK Nov 24 2006
end   date: 21:23:33 MSK Nov 24 2031
Storage: config
Associated Trustpoints: _SmartCallHome_ServerCA

    • ASDM ڪم ڪري رهيو آهي چيڪ ڪرڻ لاءِ بندرگاهه جي وضاحت ڪرڻ نه وساريو، مثال طور:

    ASA VPN لوڊ-بيلنسنگ ڪلستر کي ترتيب ڏيڻ

    • اچو ته سرنگ جي بنيادي سيٽنگن کي انجام ڏيو:
    • اچو ته ڪارپوريٽ نيٽ ورڪ کي سرنگ ذريعي دستياب بڻايون، ۽ انٽرنيٽ کي سڌو سنئون وڃڻ ڏيو (جيڪڏهن ڳنڍيندڙ ميزبان تي ڪو به تحفظ نه هجي ته اهو محفوظ طريقو ناهي، اهو ممڪن آهي ته هڪ متاثر ٿيل ميزبان جي ذريعي داخل ٿئي ۽ ڪارپوريٽ ڊيٽا ڏيکاري، اختيار. split-tunnel-policy tunnelall سڀني ميزبان ٽرئفڪ کي سرنگ ۾ داخل ڪرڻ جي اجازت ڏيندو. تنهن هوندي به ورهايل سرنگ VPN گيٽ وي کي آف لوڊ ڪرڻ ۽ ميزبان انٽرنيٽ ٽرئفڪ کي پروسيس نه ڪرڻ ممڪن بڻائي ٿو)
    • اچو ته ايڊريس جاري ڪريون 192.168.20.0/24 سب نيٽ تان سرنگ ۾ ميزبانن لاءِ (پول 10 کان 30 پتي تائين (نوڊ #1 لاءِ)). VPN ڪلستر جي هر نوڊ کي پنهنجو تلاءُ هجڻ گهرجي.
    • اسان ASA تي مقامي طور تي ٺاهيل صارف سان بنيادي تصديق ڪنداسين (اها سفارش نه ڪئي وئي آهي، اهو سڀ کان آسان طريقو آهي)، اهو بهتر آهي ته تصديق ڪرڻ LDAP/RADIUS، يا اڃا بهتر، ٽائي ملٽي فيڪٽر جي تصديق (MFA)مثال طور Cisco DUO.

    !
vpn-demo-1(config)# ip local pool vpn-pool 192.168.20.10-192.168.20.30 mask 255.255.255.0
!
vpn-demo-1(config)# access-list split-tunnel standard permit 192.168.0.0 255.255.0.0
!
vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY internal
vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY attributes
vpn-demo-1(config-group-policy)# vpn-tunnel-protocol ssl-client 
vpn-demo-1(config-group-policy)# split-tunnel-policy tunnelspecified
vpn-demo-1(config-group-policy)# split-tunnel-network-list value split-tunnel
vpn-demo-1(config-group-policy)# dns-server value 192.168.99.132
vpn-demo-1(config-group-policy)# default-domain value ashes.cc
vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes
vpn-demo-1(config-tunnel-general)#  default-group-policy SSL-VPN-GROUP-POLICY
vpn-demo-1(config-tunnel-general)#  address-pool vpn-pool
!
vpn-demo-1(config)# username dkazakov password cisco
vpn-demo-1(config)# username dkazakov attributes
vpn-demo-1(config-username)# service-type remote-access
!
vpn-demo-1(config)# ssl trust-point SELF
vpn-demo-1(config)# webvpn
vpn-demo-1(config-webvpn)#  enable outside
vpn-demo-1(config-webvpn)#  anyconnect image disk0:/anyconnect-win-4.8.03036-webdeploy-k9.pkg
vpn-demo-1(config-webvpn)#  anyconnect enable
!

    • (اختياري): مٿين مثال ۾، اسان ITU تي مقامي استعمال ڪندڙ کي استعمال ڪيو ريموٽ استعمال ڪندڙن جي تصديق ڪرڻ لاء، جيڪو يقينا، ليبارٽري کان سواء، خراب طور تي لاڳو ناهي. مان هڪ مثال ڏيندس ته ڪيئن جلدي ترتيب ڏيڻ جي سيٽنگ کي تصديق ڪرڻ لاءِ RADIUS سرور، مثال طور استعمال ڪيو سسڪو س Servicesاڻپ سروسز انجڻ:

    vpn-demo-1(config-aaa-server-group)# dynamic-authorization
vpn-demo-1(config-aaa-server-group)# interim-accounting-update
vpn-demo-1(config-aaa-server-group)# aaa-server RADIUS (outside) host 192.168.99.134
vpn-demo-1(config-aaa-server-host)# key cisco
vpn-demo-1(config-aaa-server-host)# exit
vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes
vpn-demo-1(config-tunnel-general)# authentication-server-group  RADIUS 
!

    هن انضمام کي ممڪن بڻائي ٿو ته نه رڳو تصديق جي طريقيڪار کي جلدي AD ڊاريڪٽري سروس سان ضم ڪرڻ، پر اهو پڻ فرق ڪرڻ ته ڇا ڳنڍيل ڪمپيوٽر AD سان تعلق رکي ٿو، اهو سمجهڻ لاء ته هي ڊوائيس ڪارپوريٽ آهي يا ذاتي، ۽ ڳنڍيل ڊوائيس جي حالت جو جائزو وٺڻ لاء. .

    ASA VPN لوڊ-بيلنسنگ ڪلستر کي ترتيب ڏيڻ

    ASA VPN لوڊ-بيلنسنگ ڪلستر کي ترتيب ڏيڻ

    • اچو ته شفاف NAT کي ترتيب ڏيو ته جيئن ڪلائنٽ ۽ ڪارپوريٽ نيٽ ورڪ نيٽ ورڪ جي وسيلن جي وچ ۾ ٽريفڪ لکيل نه هجي:

    vpn-demo-1(config-network-object)#  subnet 192.168.20.0 255.255.255.0
!
vpn-demo-1(config)# nat (inside,outside) source static any any destination static vpn-users vpn-users no-proxy-arp

    • (اختياري): ASA ذريعي انٽرنيٽ تي اسان جي گراهڪن کي بي نقاب ڪرڻ لاء (جڏهن استعمال ڪندي سرنگهه آپشنز) PAT استعمال ڪندي، انهي سان گڏ ٻاهر نڪرڻ واري ساڳي انٽرفيس ذريعي، جتان اهي ڳنڍيل آهن، توهان کي هيٺين سيٽنگون ٺاهڻ جي ضرورت آهي

    vpn-demo-1(config-network-object)# nat (outside,outside) source dynamic vpn-users interface
vpn-demo-1(config)# nat (inside,outside) source dynamic any interface
vpn-demo-1(config)# same-security-traffic permit intra-interface 
!

    • ڪلستر استعمال ڪرڻ وقت، اندروني نيٽ ورڪ کي فعال ڪرڻ تمام ضروري آھي سمجھڻ لاءِ ته ڪھڙي ASA کي ٽريفڪ ڏانھن موٽڻ لاءِ صارفين ڏانھن، ان لاءِ توھان کي ضرورت آھي ورهائڻ وارا رستا / 32 ايڊريس جيڪي ڪلائنٽ کي جاري ڪيا ويا آھن.
      هن وقت، اسان اڃا تائين ڪلستر کي ترتيب نه ڏنو آهي، پر اسان وٽ اڳ ۾ ئي ڪم ڪري رهيا آهن VPN گيٽ ويز جيڪي انفرادي طور تي FQDN يا IP ذريعي ڳنڍيل هوندا.

    ASA VPN لوڊ-بيلنسنگ ڪلستر کي ترتيب ڏيڻ

    اسان پهرين ASA جي روٽنگ ٽيبل ۾ ڳنڍيل ڪلائنٽ ڏسون ٿا:

    ASA VPN لوڊ-بيلنسنگ ڪلستر کي ترتيب ڏيڻ

    اسان جي پوري VPN ڪلستر ۽ پوري ڪارپوريٽ نيٽ ورڪ لاءِ اسان جي ڪلائنٽ جي رستي کي ڄاڻڻ لاءِ، اسان ڪلائنٽ جي اڳڪٿي کي متحرڪ روٽنگ پروٽوڪول ۾ ٻيهر ورهائينداسين، مثال طور OSPF:

    !
vpn-demo-1(config)# route-map RMAP-VPN-REDISTRIBUTE permit 1
vpn-demo-1(config-route-map)#  match ip address VPN-REDISTRIBUTE
!
vpn-demo-1(config)# router ospf 1
vpn-demo-1(config-router)#  network 192.168.255.0 255.255.255.0 area 0
vpn-demo-1(config-router)#  log-adj-changes
vpn-demo-1(config-router)#  redistribute static metric 5000 subnets route-map RMAP-VPN-REDISTRIBUTE

    ھاڻي اسان وٽ ٻئي ASA-2 گيٽ وي کان ڪلائنٽ ڏانھن ھڪڙو رستو آھي ۽ ڪلستر جي اندر مختلف وي پي اين گيٽ ويز سان ڳنڍيل صارف ڪري سگھن ٿا، مثال طور، ھڪڙي ڪارپوريٽ سافٽ فون ذريعي سڌو رابطو ڪري سگھن ٿا، ۽ گڏوگڏ صارف پاران درخواست ڪيل وسيلن مان ٽرئفڪ واپس آڻيندو. مطلوب VPN گيٽ وي تي اچو:

    ASA VPN لوڊ-بيلنسنگ ڪلستر کي ترتيب ڏيڻ

  5. اچو ته لوڊ بيلنسنگ ڪلستر کي ترتيب ڏيڻ تي اڳتي وڌون.

    ايڊريس 192.168.31.40 هڪ ورچوئل IP طور استعمال ڪيو ويندو (VIP - سڀ VPN ڪلائنٽ شروعاتي طور تي ان سان ڳنڍيندا)، هن ايڊريس مان ماسٽر ڪلسٽر هڪ گهٽ لوڊ ٿيل ڪلسٽر نوڊ ڏانهن REDIRECT ڪندو. لکڻ نه وساريو DNS رڪارڊ اڳتي ۽ ريورس ٻئي هر خارجي پتي لاءِ / ڪلستر جي هر نوڊ جي FQDN لاءِ، ۽ VIP لاءِ.

    vpn-demo-1(config)# vpn load-balancing
vpn-demo-1(config-load-balancing)# interface lbpublic outside
vpn-demo-1(config-load-balancing)# interface lbprivate inside
vpn-demo-1(config-load-balancing)# priority 10
vpn-demo-1(config-load-balancing)# cluster ip address 192.168.31.40
vpn-demo-1(config-load-balancing)# cluster port 4000
vpn-demo-1(config-load-balancing)# redirect-fqdn enable
vpn-demo-1(config-load-balancing)# cluster key cisco
vpn-demo-1(config-load-balancing)# cluster encryption
vpn-demo-1(config-load-balancing)# cluster port 9023
vpn-demo-1(config-load-balancing)# participate
vpn-demo-1(config-load-balancing)#

    • اسان چيڪ ڪريون ٿا ڪلستر جي آپريشن کي ٻن ڳنڍيل ڪلائنٽ سان:

    ASA VPN لوڊ-بيلنسنگ ڪلستر کي ترتيب ڏيڻ

    • اچو ته ASDM ذريعي خودڪار لوڊ ٿيل AnyConnect پروفائل سان ڪسٽمر جي تجربي کي وڌيڪ آسان بڻايون.

    ASA VPN لوڊ-بيلنسنگ ڪلستر کي ترتيب ڏيڻ

    اسان پروفائل کي آسان طريقي سان نالو ڏيون ٿا ۽ اسان جي گروپ پاليسي کي ان سان ملائي ٿو:

    ASA VPN لوڊ-بيلنسنگ ڪلستر کي ترتيب ڏيڻ

    ڪلائنٽ جي ايندڙ ڪنيڪشن کان پوء، هي پروفائل خودڪار طريقي سان ڊائون لوڊ ۽ انسٽال ڪيو ويندو AnyConnect ڪلائنٽ ۾، تنهنڪري جيڪڏهن توهان کي ڳنڍڻ جي ضرورت آهي، صرف فهرست مان چونڊيو:

    ASA VPN لوڊ-بيلنسنگ ڪلستر کي ترتيب ڏيڻ

    جتان اسان ھي پروفائل ٺاھيو آھي صرف ھڪڙي ASA تي ASDM استعمال ڪندي، ڪلستر ۾ ٻين ASAs تي مرحلا ورجائڻ نه وساريو.

نتيجو: اهڙيء طرح، اسان جلدي ڪيترن ئي وي پي اين گيٽ ويز جو ڪلستر خودڪار لوڊ بيلنس سان گڏ ڪيو. نون نوڊس کي ڪلستر ۾ شامل ڪرڻ آسان آھي، نئين ASAv ورچوئل مشين کي ترتيب ڏيڻ يا هارڊويئر ASAs استعمال ڪندي سادي افقي اسڪيلنگ سان. خصوصيت سان مالا مال AnyConnect ڪلائنٽ استعمال ڪندي محفوظ ريموٽ ڪنيڪشن کي تمام گهڻو وڌائي سگھي ٿو پوزيشن (رياست تخمينو)مرڪزي ڪنٽرول ۽ رسائي اڪائونٽنگ جي سسٽم سان گڏ سڀ کان وڌيڪ مؤثر طريقي سان استعمال ڪيو ويو آهي سڃاڻپ سروس انجڻ.

جو ذريعو: www.habr.com

تبصرو شامل ڪريو