මෙම ලිපියෙන්, ඔබට මේ මොහොතේ වඩාත්ම පරිමාණය කළ හැකි යෝජනා ක්රමය ඉක්මනින් යෙදවිය හැකි ආකාරය පිළිබඳ පියවරෙන් පියවර උපදෙස් ලබා දීමට මම කැමැත්තෙමි. දුරස්ථ ප්රවේශ VPN ප්රවේශය පදනම් කරගත් AnyConnect සහ Cisco ASA - VPN පැටවුම් තුලනය කිරීමේ පොකුර.
හැදින්වීම: ලොව පුරා බොහෝ සමාගම්, COVID-19 සමඟ ඇති වර්තමාන තත්ත්වය සැලකිල්ලට ගනිමින්, ඔවුන්ගේ සේවකයින් දුරස්ථ වැඩකට මාරු කිරීමට උත්සාහ කරයි. දුරස්ථ වැඩ සඳහා විශාල සංක්රමණය හේතුවෙන්, සමාගම්වල පවතින VPN ද්වාරවල බර විවේචනාත්මක ලෙස වැඩි වන අතර ඒවා පරිමාණය කිරීමට ඉතා වේගවත් හැකියාවක් අවශ්ය වේ. අනෙක් අතට, බොහෝ සමාගම් මුල සිටම දුරස්ථ වැඩ පිළිබඳ සංකල්පය කඩිමුඩියේ ප්රගුණ කිරීමට බල කෙරෙයි.
ව්යාපාරවලට හැකි කෙටිම කාලය තුළ සේවකයින් සඳහා පහසු, ආරක්ෂිත සහ පරිමාණය කළ හැකි VPN ප්රවේශය ලබා ගැනීමට උදවු කිරීමට, Cisco AnyConnect විශේෂාංගයෙන් පොහොසත් SSL-VPN සේවාලාභියාට සති 13ක් දක්වා බලපත්ර ලබා දෙයි.
වඩාත්ම පරිමාණය කළ හැකි VPN තාක්ෂණය ලෙස VPN Load-Balancing Cluster සරලව යෙදවීම සඳහා මම පියවරෙන් පියවර මාර්ගෝපදේශනයක් සකස් කර ඇත්තෙමි.
භාවිතා කරන සත්යාපනය සහ අවසර ඇල්ගොරිතම අනුව පහත උදාහරණය තරමක් සරල වනු ඇත, නමුත් යෙදවීමේදී ඔබගේ අවශ්යතා වලට ගැඹුරින් අනුවර්තනය වීමේ හැකියාව සහිත ඉක්මන් ආරම්භයක් සඳහා (බොහෝ දෙනෙකුට එය ප්රමාණවත් නොවේ) හොඳ විකල්පයක් වනු ඇත. ක්රියාවලිය.
කෙටි තොරතුරු: VPN ලෝඩ් බැලන්සින් ක්ලස්ටර් තාක්ෂණය අසමත් වීමක් නොවන අතර එහි ස්වදේශික අර්ථයෙන් පොකුරු කාර්යයක් නොවේ, මෙම තාක්ෂණයට ශේෂය පූරණය කිරීම සඳහා සම්පූර්ණයෙන්ම වෙනස් ASA මාදිලි (ඇතැම් සීමාවන් සමඟ) ඒකාබද්ධ කළ හැකිය දුරස්ථ ප්රවේශ VPN සම්බන්ධතා. එවැනි පොකුරක නෝඩ් අතර සැසි සහ වින්යාසයන් සමමුහුර්ත කිරීමක් නොමැත, නමුත් පොකුරේ අවම වශයෙන් එක් සක්රීය නෝඩයක්වත් පවතින තුරු ස්වයංක්රීයව සමතුලිත VPN සම්බන්ධතා පැටවීමට සහ VPN සම්බන්ධතා වල දෝෂ ඉවසීම සහතික කිරීමට හැකි වේ. VPN සැසි ගණන අනුව නෝඩ් වල කාර්ය භාරය මත පදනම්ව පොකුරේ ඇති භාරය ස්වයංක්රීයව සමතුලිත වේ.
පොකුරේ නිශ්චිත නෝඩ් අසමත් වීම සඳහා (අවශ්ය නම්), ගොනු කරන්නෙකු භාවිතා කළ හැක, එබැවින් සක්රිය සම්බන්ධතාවය ගොනුකරුගේ ප්රාථමික නෝඩය මඟින් හසුරුවනු ලැබේ. පැටවීම තුලනය කිරීමේ පොකුර තුළ දෝෂ ඉවසීම සහතික කිරීම සඳහා ගොනු කිරීම අත්යවශ්ය කොන්දේසියක් නොවේ, පොකුරම, නෝඩය අසාර්ථක වූ විට, පරිශීලක සැසිය වෙනත් සජීවී නෝඩයකට මාරු කරනු ඇත, නමුත් සම්බන්ධතා තත්ත්වය සුරැකීමකින් තොරව, එය හරියටම වේ. ගොනු කරන්නා විසින් සපයනු ලැබේ. ඒ අනුව, අවශ්ය නම්, මෙම තාක්ෂණයන් දෙක ඒකාබද්ධ කිරීමට හැකි ය.
VPN ලෝඩ්-බැලන්සින් පොකුරක නෝඩ් දෙකකට වඩා අඩංගු විය හැක.
VPN Load-Balancing Cluster ASA 5512-X සහ ඉහළ මත සහය දක්වයි.
VPN Load-Balancing පොකුර තුළ ඇති සෑම ASA එකක්ම සිටුවම් අනුව ස්වාධීන ඒකකයක් වන බැවින්, අපි එක් එක් උපාංගය මත තනි තනිව සියලුම වින්යාස කිරීමේ පියවරයන් සිදු කරන්නෙමු.
ලබා දී ඇති උදාහරණයේ තාර්කික ස්ථලකය:
මූලික යෙදවීම:
-
අපි රූපයෙන් අපට අවශ්ය (ASAv5/10/30/50) සැකිලිවල ASAv අවස්ථා යොදන්නෙමු.
-
අපි INSIDE / OUTSIDE අතුරුමුහුණත් එකම VLAN වලට පවරමු (එහිම VLAN වලින් පිටත, එහි ඇතුළත, නමුත් සාමාන්යයෙන් පොකුර තුළ, ස්ථලකය බලන්න), එකම වර්ගයේ අතුරුමුහුණත් එකම L2 කොටසෙහි තිබීම වැදගත් වේ.
-
බලපත්ර:
- මේ මොහොතේ ASAv ස්ථාපනයට බලපත්රයක් නොමැති අතර 100kbps දක්වා සීමා වේ.
- බලපත්රයක් ස්ථාපනය කිරීමට, ඔබ ඔබේ Smart-ගිණුමේ ටෝකනයක් ජනනය කළ යුතුය:
https://software.cisco.com/ -> ස්මාර්ට් මෘදුකාංග බලපත්ර ලබා දීම - විවෘත වන කවුළුව තුළ, බොත්තම ක්ලික් කරන්න නව ටෝකනය
- විවෘත වන කවුළුව තුළ ක්රියාකාරී ක්ෂේත්රයක් ඇති බවටත්, චෙක් සලකුණක් පරීක්ෂා කර ඇති බවටත් වග බලා ගන්න අපනයන-පාලිත ක්රියාකාරීත්වයට ඉඩ දෙන්න… මෙම ක්ෂේත්රය සක්රියව නොමැතිව, ඔබට ශක්තිමත් සංකේතනයක ක්රියාකාරකම් සහ ඒ අනුව VPN භාවිතා කිරීමට නොහැකි වනු ඇත. මෙම ක්ෂේත්රය සක්රිය නොවේ නම්, කරුණාකර සක්රිය කිරීමේ ඉල්ලීමක් සමඟ ඔබේ ගිණුම් කණ්ඩායම අමතන්න.
- බොත්තම එබීමෙන් පසු ටෝකන් සාදන්න, ASAv සඳහා බලපත්රයක් ලබා ගැනීමට අපි භාවිතා කරන ටෝකනයක් සාදනු ලැබේ, එය පිටපත් කරන්න:
- එක් එක් යෙදවූ ASAv සඳහා C,D,E පියවර නැවත කරන්න.
- ටෝකනය පිටපත් කිරීම පහසු කිරීම සඳහා, අපි ටෙල්නෙට් වෙත තාවකාලිකව ඉඩ දෙමු. අපි එක් එක් ASA වින්යාස කරමු (පහත උදාහරණය ASA-1 හි සිටුවම් පෙන්වයි). telnet පිටතින් ක්රියා නොකරයි, ඔබට එය සැබවින්ම අවශ්ය නම්, ආරක්ෂක මට්ටම 100 සිට පිටත දක්වා වෙනස් කරන්න, ඉන්පසු එය ආපසු ලබා දෙන්න.
! ciscoasa(config)# int gi0/0 ciscoasa(config)# nameif outside ciscoasa(config)# ip address 192.168.31.30 255.255.255.0 ciscoasa(config)# no shut ! ciscoasa(config)# int gi0/1 ciscoasa(config)# nameif inside ciscoasa(config)# ip address 192.168.255.2 255.255.255.0 ciscoasa(config)# no shut ! ciscoasa(config)# telnet 0 0 inside ciscoasa(config)# username admin password cisco priv 15 ciscoasa(config)# ena password cisco ciscoasa(config)# aaa authentication telnet console LOCAL ! ciscoasa(config)# route outside 0 0 192.168.31.1 ! ciscoasa(config)# wr !
- Smart-Account cloud හි ටෝකනයක් ලියාපදිංචි කිරීම සඳහා, ඔබ ASA සඳහා අන්තර්ජාල ප්රවේශය සැපයිය යුතුය,
විස්තර මෙතනින් .
කෙටියෙන් කිවහොත්, ASA අවශ්ය වේ:
- HTTPS හරහා අන්තර්ජාලයට පිවිසීම;
- කාලය සමමුහුර්ත කිරීම (වඩාත් නිවැරදිව, NTP හරහා);
- ලියාපදිංචි DNS සේවාදායකය;
- අපි අපගේ ASA වෙත දුරකථන ඇමතුමක් ලබා දී Smart-Account හරහා බලපත්රය සක්රිය කිරීමට සැකසුම් සකස් කරමු.
! ciscoasa(config)# clock set 19:21:00 Mar 18 2020 ciscoasa(config)# clock timezone MSK 3 ciscoasa(config)# ntp server 192.168.99.136 ! ciscoasa(config)# dns domain-lookup outside ciscoasa(config)# DNS server-group DefaultDNS ciscoasa(config-dns-server-group)# name-server 192.168.99.132 ! ! Проверим работу DNS: ! ciscoasa(config-dns-server-group)# ping ya.ru Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 87.250.250.242, timeout is 2 seconds: !!!!! ! ! Проверим синхронизацию NTP: ! ciscoasa(config)# show ntp associations address ref clock st when poll reach delay offset disp *~192.168.99.136 91.189.94.4 3 63 64 1 36.7 1.85 17.5 * master (synced), # master (unsynced), + selected, - candidate, ~ configured ! ! Установим конфигурацию нашей ASAv для Smart-Licensing (в соответствии с Вашим профилем, в моем случае 100М для примера) ! ciscoasa(config)# license smart ciscoasa(config-smart-lic)# feature tier standard ciscoasa(config-smart-lic)# throughput level 100M ! ! В случае необходимости можно настроить доступ в Интернет через прокси используйте следующий блок команд: !call-home ! http-proxy ip_address port port ! ! Далее мы вставляем скопированный из портала Smart-Account токен (<token>) и регистрируем лицензию ! ciscoasa(config)# end ciscoasa# license smart register idtoken <token>
- උපාංගය සාර්ථකව බලපත්රයක් ලියාපදිංචි කර ඇති බව අපි පරීක්ෂා කරන අතර සංකේතාංකන විකල්ප තිබේ:
-
සෑම ද්වාරයකම මූලික SSL-VPN එකක් සකසන්න
- ඊළඟට, SSH සහ ASDM හරහා ප්රවේශය වින්යාස කරන්න:
ciscoasa(config)# ssh ver 2 ciscoasa(config)# aaa authentication ssh console LOCAL ciscoasa(config)# aaa authentication http console LOCAL ciscoasa(config)# hostname vpn-demo-1 vpn-demo-1(config)# domain-name ashes.cc vpn-demo-1(config)# cry key gen rsa general-keys modulus 4096 vpn-demo-1(config)# ssh 0 0 inside vpn-demo-1(config)# http 0 0 inside ! ! Поднимем сервер HTTPS для ASDM на порту 445 чтобы не пересекаться с SSL-VPN порталом ! vpn-demo-1(config)# http server enable 445 !
- ASDM ක්රියා කිරීමට නම්, ඔබ මුලින්ම එය cisco.com වෙබ් අඩවියෙන් බාගත කළ යුතුය, මගේ නඩුවේදී එය පහත ගොනුව වේ:
- AnyConnect සේවාලාභියා ක්රියා කිරීම සඳහා, ඔබ භාවිතා කරන එක් එක් සේවාදායක ඩෙස්ක්ටොප් OS සඳහා එක් එක් ASA වෙත රූපයක් උඩුගත කළ යුතුය (ලිනක්ස් / වින්ඩෝස් / MAC භාවිතා කිරීමට සැලසුම් කර ඇත), ඔබට ගොනුවක් අවශ්ය වනු ඇත. Headend Deployment Package මාතෘකාව තුළ:
- බාගත කළ ගොනු උඩුගත කළ හැක, උදාහරණයක් ලෙස, FTP සේවාදායකයකට සහ එක් එක් ASA වෙත උඩුගත කළ හැක:
- අපි SSL-VPN සඳහා ASDM සහ ස්වයං-අත්සන් කළ සහතිකය වින්යාස කරමු (නිෂ්පාදනයේදී විශ්වාසදායක සහතිකයක් භාවිතා කිරීම රෙකමදාරු කරනු ලැබේ). අතථ්ය පොකුරු ලිපිනයේ (vpn-demo.ashes.cc) FQDN කට්ටලය මෙන්ම, එක් එක් පොකුරු නෝඩයේ බාහිර ලිපිනය හා සම්බන්ධ එක් එක් FQDN, බාහිර අතුරු මුහුණතේ IP ලිපිනයට (හෝ) බාහිර DNS කලාපයේ විසඳිය යුතුය. port forwarding udp/443 භාවිතා කරන්නේ නම් සිතියම්ගත කළ ලිපිනයට (DTLS) සහ tcp/443(TLS)). සහතිකය සඳහා වන අවශ්යතා පිළිබඳ සවිස්තරාත්මක තොරතුරු කොටසෙහි දක්වා ඇත සහතික සත්යාපනය ලේඛනගත කිරීම.
! vpn-demo-1(config)# crypto ca trustpoint SELF vpn-demo-1(config-ca-trustpoint)# enrollment self vpn-demo-1(config-ca-trustpoint)# fqdn vpn-demo.ashes.cc vpn-demo-1(config-ca-trustpoint)# subject-name cn=*.ashes.cc, ou=ashes-lab, o=ashes, c=ru vpn-demo-1(config-ca-trustpoint)# serial-number vpn-demo-1(config-ca-trustpoint)# crl configure vpn-demo-1(config-ca-crl)# cry ca enroll SELF % The fully-qualified domain name in the certificate will be: vpn-demo.ashes.cc Generate Self-Signed Certificate? [yes/no]: yes vpn-demo-1(config)# ! vpn-demo-1(config)# sh cry ca certificates Certificate Status: Available Certificate Serial Number: 4d43725e Certificate Usage: General Purpose Public Key Type: RSA (4096 bits) Signature Algorithm: SHA256 with RSA Encryption Issuer Name: serialNumber=9A439T02F95 hostname=vpn-demo.ashes.cc cn=*.ashes.cc ou=ashes-lab o=ashes c=ru Subject Name: serialNumber=9A439T02F95 hostname=vpn-demo.ashes.cc cn=*.ashes.cc ou=ashes-lab o=ashes c=ru Validity Date: start date: 00:16:17 MSK Mar 19 2020 end date: 00:16:17 MSK Mar 17 2030 Storage: config Associated Trustpoints: SELF CA Certificate Status: Available Certificate Serial Number: 0509 Certificate Usage: General Purpose Public Key Type: RSA (4096 bits) Signature Algorithm: SHA1 with RSA Encryption Issuer Name: cn=QuoVadis Root CA 2 o=QuoVadis Limited c=BM Subject Name: cn=QuoVadis Root CA 2 o=QuoVadis Limited c=BM Validity Date: start date: 21:27:00 MSK Nov 24 2006 end date: 21:23:33 MSK Nov 24 2031 Storage: config Associated Trustpoints: _SmartCallHome_ServerCA
- ASDM ක්රියා කරන්නේදැයි පරීක්ෂා කිරීමට වරාය සඳහන් කිරීමට අමතක නොකරන්න, උදාහරණයක් ලෙස:
- අපි උමගෙහි මූලික සැකසුම් සිදු කරමු:
- ආයතනික ජාලය උමග හරහා ලබා ගත හැකි බවට පත් කරමු, සහ අන්තර්ජාලය කෙලින්ම යාමට ඉඩ දෙමු (සම්බන්ධ කරන ධාරකයේ ආරක්ෂාවක් නොමැති නම් ආරක්ෂිතම ක්රමය නොවේ, ආසාදිත ධාරකයක් හරහා විනිවිද ගොස් ආයතනික දත්ත ප්රදර්ශනය කළ හැකිය, විකල්පය split-tunnel-policy tunnelall සියලුම සත්කාරක ගමනාගමනය උමග තුළට ඉඩ දෙනු ඇත. කෙසේ වෙතත් බෙදීම්-උමග VPN ද්වාරය අක්රිය කිරීමට සහ සත්කාරක අන්තර්ජාල ගමනාගමනය සැකසීමට නොහැකි කරයි)
- අපි 192.168.20.0/24 උපජාලයෙන් උමං මාර්ගයේ ධාරක වෙත ලිපින නිකුත් කරමු (ලිපින 10 සිට 30 දක්වා සංචිතය (node #1 සඳහා)). VPN පොකුරේ සෑම නෝඩයකටම තමන්ගේම සංචිතයක් තිබිය යුතුය.
- අපි ASA හි දේශීයව සාදන ලද පරිශීලකයෙකු සමඟ මූලික සත්යාපනය සිදු කරන්නෙමු (මෙය නිර්දේශ නොකරයි, මෙය පහසුම ක්රමයයි), එය හරහා සත්යාපනය කිරීම වඩා හොඳය. LDAP/RADIUS, හෝ වඩා හොඳ, ගැට බහු සාධක සත්යාපනය (MFA)උදාහරණයක් ලෙස Cisco DUO.
! vpn-demo-1(config)# ip local pool vpn-pool 192.168.20.10-192.168.20.30 mask 255.255.255.0 ! vpn-demo-1(config)# access-list split-tunnel standard permit 192.168.0.0 255.255.0.0 ! vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY internal vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY attributes vpn-demo-1(config-group-policy)# vpn-tunnel-protocol ssl-client vpn-demo-1(config-group-policy)# split-tunnel-policy tunnelspecified vpn-demo-1(config-group-policy)# split-tunnel-network-list value split-tunnel vpn-demo-1(config-group-policy)# dns-server value 192.168.99.132 vpn-demo-1(config-group-policy)# default-domain value ashes.cc vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes vpn-demo-1(config-tunnel-general)# default-group-policy SSL-VPN-GROUP-POLICY vpn-demo-1(config-tunnel-general)# address-pool vpn-pool ! vpn-demo-1(config)# username dkazakov password cisco vpn-demo-1(config)# username dkazakov attributes vpn-demo-1(config-username)# service-type remote-access ! vpn-demo-1(config)# ssl trust-point SELF vpn-demo-1(config)# webvpn vpn-demo-1(config-webvpn)# enable outside vpn-demo-1(config-webvpn)# anyconnect image disk0:/anyconnect-win-4.8.03036-webdeploy-k9.pkg vpn-demo-1(config-webvpn)# anyconnect enable !
- (විකල්පමය): ඉහත උදාහරණයේ දී, අපි දුරස්ථ පරිශීලකයින් සත්යාපනය කිරීමට ITU හි දේශීය පරිශීලකයෙකු භාවිතා කළෙමු, ඇත්ත වශයෙන්ම, රසායනාගාරයේ හැර, දුර්වල ලෙස අදාළ වේ. සත්යාපනය සඳහා සැකසුම ඉක්මනින් අනුවර්තනය කරන්නේ කෙසේද යන්න පිළිබඳ උදාහරණයක් මම දෙන්නෙමි රේඩියස් සේවාදායකය, උදාහරණයක් ලෙස භාවිතා වේ Cisco Identity Services එන්ජිම:
vpn-demo-1(config-aaa-server-group)# dynamic-authorization vpn-demo-1(config-aaa-server-group)# interim-accounting-update vpn-demo-1(config-aaa-server-group)# aaa-server RADIUS (outside) host 192.168.99.134 vpn-demo-1(config-aaa-server-host)# key cisco vpn-demo-1(config-aaa-server-host)# exit vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes vpn-demo-1(config-tunnel-general)# authentication-server-group RADIUS !
මෙම ඒකාබද්ධ කිරීම මඟින් AD නාමාවලි සේවාව සමඟ සත්යාපන ක්රියා පටිපාටිය ඉක්මනින් ඒකාබද්ධ කිරීමට පමණක් නොව, සම්බන්ධිත පරිගණකය AD ට අයත් දැයි වෙන්කර හඳුනා ගැනීමට, මෙම උපාංගය ආයතනික හෝ පුද්ගලිකද යන්න තේරුම් ගැනීමට සහ සම්බන්ධිත උපාංගයේ තත්ත්වය තක්සේරු කිරීමට හැකි විය. .
- සේවාලාභියා සහ ආයතනික ජාල ජාලයේ සම්පත් අතර ගමනාගමනය සටහන් නොවන පරිදි විනිවිද පෙනෙන NAT වින්යාස කරමු:
vpn-demo-1(config-network-object)# subnet 192.168.20.0 255.255.255.0 ! vpn-demo-1(config)# nat (inside,outside) source static any any destination static vpn-users vpn-users no-proxy-arp
- (විකල්ප): ASA හරහා අපගේ ගනුදෙනුකරුවන් අන්තර්ජාලයට නිරාවරණය කිරීම සඳහා (භාවිතා කරන විට උමග විකල්ප) PAT භාවිතා කිරීම මෙන්ම ඒවා සම්බන්ධ කර ඇති එම බාහිර අතුරු මුහුණත හරහා පිටවීම, ඔබ පහත සැකසුම් සිදු කළ යුතුය
vpn-demo-1(config-network-object)# nat (outside,outside) source dynamic vpn-users interface vpn-demo-1(config)# nat (inside,outside) source dynamic any interface vpn-demo-1(config)# same-security-traffic permit intra-interface !
- පොකුරක් භාවිතා කරන විට, පරිශීලකයින් වෙත ආපසු ගමනාගමනය යොමු කරන්නේ කුමන ASA දැයි තේරුම් ගැනීමට අභ්යන්තර ජාලය සක්රීය කිරීම අතිශයින්ම වැදගත් වේ, මේ සඳහා ඔබ සේවාදායකයින්ට නිකුත් කරන ලද මාර්ග / ලිපින 32 නැවත බෙදා හැරිය යුතුය.
මේ මොහොතේ, අපි තවම පොකුර වින්යාස කර නැත, නමුත් අප සතුව දැනටමත් ක්රියාකාරී VPN ද්වාර තිබේ ඒවා FQDN හෝ IP හරහා තනි තනිව සම්බන්ධ කළ හැකිය.
පළමු ASA හි මාර්ගගත කිරීමේ වගුවේ සම්බන්ධිත සේවාදායකයා අපි දකිමු:
අපගේ සම්පූර්ණ VPN පොකුරට සහ සමස්ත ආයතනික ජාලයට අපගේ සේවාදායකයා වෙත යන මාර්ගය දැනගැනීම සඳහා, අපි සේවාදායක උපසර්ගය ගතික රවුටින් ප්රොටෝකෝලයකට යලි බෙදාහරින්නෙමු, උදාහරණයක් ලෙස OSPF:
! vpn-demo-1(config)# route-map RMAP-VPN-REDISTRIBUTE permit 1 vpn-demo-1(config-route-map)# match ip address VPN-REDISTRIBUTE ! vpn-demo-1(config)# router ospf 1 vpn-demo-1(config-router)# network 192.168.255.0 255.255.255.0 area 0 vpn-demo-1(config-router)# log-adj-changes vpn-demo-1(config-router)# redistribute static metric 5000 subnets route-map RMAP-VPN-REDISTRIBUTE
දැන් අපට දෙවන ASA-2 ද්වාරයෙන් සේවාදායකයා වෙත මාර්ගයක් ඇති අතර පොකුර තුළ විවිධ VPN ද්වාරවලට සම්බන්ධ පරිශීලකයින්ට, උදාහරණයක් ලෙස, ආයතනික මෘදුකාංගයක් හරහා සෘජුවම සන්නිවේදනය කළ හැකි අතර, පරිශීලකයා ඉල්ලා සිටින සම්පත් වලින් ගමනාගමනය ආපසු ලබා දෙනු ඇත. අපේක්ෂිත VPN ද්වාරය වෙත පැමිණෙන්න:
-
අපි Load-Balancing පොකුර වින්යාස කිරීමට ඉදිරියට යමු.
192.168.31.40 ලිපිනය අතථ්ය IP එකක් ලෙස භාවිතා කරනු ඇත (VIP - සියලුම VPN සේවාලාභීන් මුලින් එයට සම්බන්ධ වනු ඇත), මෙම ලිපිනයෙන් ප්රධාන පොකුර අඩු පටවන ලද පොකුරු නෝඩයකට ආපසු හරවා යැවීමක් සිදු කරයි. ලියන්න අමතක කරන්න එපා ඉදිරියට සහ ප්රතිලෝම DNS වාර්තාව පොකුරු එක් එක් නෝඩයේ එක් එක් බාහිර ලිපිනය / FQDN සඳහා සහ VIP සඳහා.
vpn-demo-1(config)# vpn load-balancing vpn-demo-1(config-load-balancing)# interface lbpublic outside vpn-demo-1(config-load-balancing)# interface lbprivate inside vpn-demo-1(config-load-balancing)# priority 10 vpn-demo-1(config-load-balancing)# cluster ip address 192.168.31.40 vpn-demo-1(config-load-balancing)# cluster port 4000 vpn-demo-1(config-load-balancing)# redirect-fqdn enable vpn-demo-1(config-load-balancing)# cluster key cisco vpn-demo-1(config-load-balancing)# cluster encryption vpn-demo-1(config-load-balancing)# cluster port 9023 vpn-demo-1(config-load-balancing)# participate vpn-demo-1(config-load-balancing)#
- සම්බන්ධිත සේවාදායකයින් දෙදෙනෙකු සමඟ අපි පොකුරේ ක්රියාකාරිත්වය පරීක්ෂා කරමු:
- ASDM හරහා ස්වයංක්රීයව පූරණය වන AnyConnect පැතිකඩ සමඟ පාරිභෝගික අත්දැකීම වඩාත් පහසු කරමු.
අපි පහසු ආකාරයකින් පැතිකඩ නම් කර අපගේ කණ්ඩායම් ප්රතිපත්තිය එයට සම්බන්ධ කරමු:
සේවාලාභියාගේ ඊළඟ සම්බන්ධතාවයෙන් පසු, මෙම පැතිකඩ ස්වයංක්රීයව බාගත කර AnyConnect සේවාලාභියා තුළ ස්ථාපනය කරනු ඇත, එබැවින් ඔබට සම්බන්ධ වීමට අවශ්ය නම්, එය ලැයිස්තුවෙන් තෝරන්න:
අපි මෙම පැතිකඩ නිර්මාණය කළේ ASDM භාවිතයෙන් එක් ASA මත පමණක් බැවින්, පොකුරේ ඇති අනෙකුත් ASA වල පියවර නැවත කිරීමට අමතක නොකරන්න.
නිගමනය: මේ අනුව, අපි ඉක්මනින් ස්වයංක්රීය පැටවුම් තුලනය සහිත VPN ද්වාර කිහිපයක පොකුරක් යෙදුවෙමු. නව ASAv අතථ්ය යන්ත්ර යෙදවීමෙන් හෝ දෘඪාංග ASA භාවිතා කිරීමෙන් සරල තිරස් පරිමාණයන් සමඟ පොකුරට නව නෝඩ් එකතු කිරීම පහසුය. විශේෂාංග-පොහොසත් AnyConnect සේවාලාභියාට ආරක්ෂිත දුරස්ථ සම්බන්ධතාව භාවිතයෙන් විශාල ලෙස වැඩිදියුණු කළ හැක ඉරියව් (රාජ්ය ඇස්තමේන්තු), මධ්යගත පාලන සහ ප්රවේශ ගිණුම්කරණ පද්ධතිය සමඟ ඒකාබද්ධව වඩාත් ඵලදායී ලෙස භාවිතා වේ අනන්යතා සේවා එන්ජිම.
මූලාශ්රය: www.habr.com