Inapeleka Kundi la Kusawazisha Mizigo la ASA VPN

Katika makala hii, ningependa kutoa maagizo ya hatua kwa hatua juu ya jinsi ya kupeleka haraka mpango unaoweza kuharibiwa kwa sasa. VPN ya Ufikiaji wa Mbali ufikiaji kulingana na AnyConnect na Cisco ASA - Kundi la Kusawazisha Mzigo wa VPN.

Utangulizi: Kwa sababu ya hali ya sasa ya COVID-19, kampuni nyingi ulimwenguni zinafanya juhudi kubadilisha wafanyikazi wao kufanya kazi za mbali. Kwa sababu ya kupitishwa kwa kazi kwa mbali, mzigo kwenye lango la VPN lililopo unaongezeka sana, unaohitaji uboreshaji wa haraka. Wakati huo huo, makampuni mengi yanalazimika kufahamu haraka dhana ya kazi ya mbali kutoka mwanzo.

Ili kusaidia biashara kutekeleza kwa haraka ufikiaji rahisi, salama na hatari wa VPN kwa wafanyakazi, Cisco inatoa leseni kwa mteja wa AnyConnect SSL VPN mwenye vipengele vingi kwa hadi wiki 13. Unaweza pia kujaribu ASAv (Virtual ASA ya VMWare/Hyper-V/KVM hypervisors na majukwaa ya wingu ya AWS/Azure) kutoka kwa washirika walioidhinishwa au kwa kuwasiliana na mwakilishi wako wa Cisco..

Utaratibu wa utoaji wa leseni ya AnyConnect COVID-19 umefafanuliwa hapa..

Nimetayarisha mwongozo wa hatua kwa hatua wa chaguo rahisi la uwekaji la nguzo ya Kusawazisha Mzigo wa VPN kama teknolojia mbaya zaidi ya VPN.

Mfano ulio hapa chini utakuwa rahisi katika suala la uthibitishaji na uidhinishaji algorithms kutumika, lakini itakuwa chaguo nzuri kwa ajili ya kuanza haraka (jambo ambalo wengi wanakosa kwa sasa) na uwezekano wa kukabiliana na kina kwa mahitaji yako wakati wa mchakato wa kupeleka.

Taarifa fupi: Teknolojia ya Nguzo ya Kusawazisha Mizigo ya VPN sio kipengele cha kushindwa au cha kuunganisha kwa maana yake asili. Teknolojia hii inaweza kutumika kuchanganya miundo tofauti kabisa ya ASA (pamoja na vikwazo fulani) kusawazisha mzigo wa miunganisho ya Ufikiaji wa Mbali wa VPN. Usawazishaji wa vipindi na usanidi kati ya nodi kwenye nguzo kama hiyo hauwezekani, lakini kusawazisha kiotomatiki kwa miunganisho ya VPN na kuhakikisha uvumilivu wa makosa kwa miunganisho ya VPN inawezekana hadi angalau nodi moja inayotumika ibaki kwenye nguzo. Mzigo wa nguzo husawazishwa kiotomatiki kulingana na upakiaji wa nodi kulingana na idadi ya vipindi vya VPN.

Kwa uvumilivu wa makosa ya nodi maalum za nguzo (ikiwa inahitajika), kiweka faili kinaweza kutumika, ikimaanisha kuwa unganisho amilifu utashughulikiwa na nodi ya msingi ya mtayarishaji. Filerover sio sharti la kuhakikisha uvumilivu wa makosa ndani ya nguzo ya kusawazisha mzigo; katika tukio la kushindwa kwa nodi, nguzo yenyewe itahamisha kikao cha mtumiaji kwenye nodi nyingine ya moja kwa moja, lakini bila kuhifadhi hali ya uunganisho, ambayo ni hasa ambayo filer hutoa. Kwa hiyo, teknolojia hizi mbili zinaweza kuunganishwa ikiwa ni lazima.

Kundi la Kusawazisha Mzigo wa VPN linaweza kuwa na zaidi ya nodi mbili.

Kundi la Kusawazisha Mizigo ya VPN linatumika kwenye ASA 5512-X na matoleo mapya zaidi.

Kwa kuwa kila ASA ndani ya kundi la Kusawazisha Mzigo wa VPN ni kitengo huru kulingana na mipangilio iliyofanywa, tunatekeleza hatua zote za usanidi mmoja mmoja kwenye kila kifaa.

Maelezo ya teknolojia haya hapa

Topolojia ya kimantiki ya mfano uliopeanwa:

Inapeleka Kundi la Kusawazisha Mizigo la ASA VPN

Usambazaji wa awali:

  1. Tunatumia matukio ya ASAv ya violezo tunavyohitaji kutoka kwa picha (ASAv5/10/30/50).

  2. Tunaweka violesura vya NDANI/NJE kwa VLAN sawa (Nje katika VLAN yake, NDANI peke yake, lakini kawaida ndani ya nguzo, angalia topolojia), ni muhimu kwamba violesura vya aina moja viko katika sehemu sawa ya L2.

  3. Leseni:

    • Wakati wa usakinishaji, ASAv haitakuwa na leseni zozote na itawekewa kikomo utendakazi wa kbps 100.
    • Ili kusakinisha leseni, unahitaji kutoa tokeni katika Akaunti yako ya Smart-Akaunti: https://software.cisco.com/ -> Utoaji Leseni wa Programu Mahiri
    • Katika dirisha linalofungua, bonyeza kitufe Ishara Mpya

    Inapeleka Kundi la Kusawazisha Mizigo la ASA VPN

    • Hakikisha kuwa sehemu inayofunguliwa ina sehemu inayotumika na kisanduku cha kuteua kimechaguliwa. Ruhusu utendakazi unaodhibitiwa na usafirishaji… Bila uga huu kuwezeshwa, hutaweza kutumia vipengele vikali vya usimbaji fiche na, hivyo basi, VPN. Ikiwa sehemu hii haijawashwa, tafadhali wasiliana na timu ya akaunti yako ili uombe kuwezesha.

    Inapeleka Kundi la Kusawazisha Mizigo la ASA VPN

    • Baada ya kubonyeza kitufe Tengeneza Tokeni, ishara itaundwa ambayo tutatumia kupata leseni ya ASAv, wacha tuinakili:

    Inapeleka Kundi la Kusawazisha Mizigo la ASA VPN

    • Rudia hatua C,D,E kwa kila ASAv iliyopanuliwa.
    • Ili kurahisisha kunakili tokeni, tutawasha telnet kwa muda. Tutasanidi kila ASA (mfano ulio hapa chini unaonyesha mipangilio kwenye ASA-1). Telnet kutoka nje haifanyi kazi. Ikiwa unaihitaji kweli, badilisha kiwango cha usalama hadi 100 nje, kisha uibadilishe tena.

    !
    ciscoasa(config)# int gi0/0
    ciscoasa(config)# nameif outside
    ciscoasa(config)# ip address 192.168.31.30 255.255.255.0
    ciscoasa(config)# no shut
    !
    ciscoasa(config)# int gi0/1
    ciscoasa(config)# nameif inside
    ciscoasa(config)# ip address 192.168.255.2 255.255.255.0
    ciscoasa(config)# no shut
    !
    ciscoasa(config)# telnet 0 0 inside
    ciscoasa(config)# username admin password cisco priv 15
    ciscoasa(config)# ena password cisco
    ciscoasa(config)# aaa authentication telnet console LOCAL
    !
    ciscoasa(config)# route outside 0 0 192.168.31.1
    !
    ciscoasa(config)# wr
    !

    • Ili kusajili tokeni katika wingu la Smart-Akaunti, lazima utoe ufikiaji wa mtandao kwa ASA, maelezo hapa.

    Kwa kifupi, ASA inahitajika:

    • ufikiaji wa HTTPS kwenye Mtandao;
    • maingiliano ya wakati (kwa usahihi zaidi kwa kutumia NTP);
    • seva ya DNS iliyosajiliwa;
      • Tunaingia kwenye ASA yetu kupitia Telnet na kusanidi mipangilio ili kuwezesha leseni kupitia Smart-Account.

    !
    ciscoasa(config)# clock set 19:21:00 Mar 18 2020
    ciscoasa(config)# clock timezone MSK 3
    ciscoasa(config)# ntp server 192.168.99.136
    !
    ciscoasa(config)# dns domain-lookup outside
    ciscoasa(config)# DNS server-group DefaultDNS
    ciscoasa(config-dns-server-group)# name-server 192.168.99.132 
    !
    ! ΠŸΡ€ΠΎΠ²Π΅Ρ€ΠΈΠΌ Ρ€Π°Π±ΠΎΡ‚Ρƒ DNS:
    !
    ciscoasa(config-dns-server-group)# ping ya.ru
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 87.250.250.242, timeout is 2 seconds:
    !!!!!
    !
    ! ΠŸΡ€ΠΎΠ²Π΅Ρ€ΠΈΠΌ ΡΠΈΠ½Ρ…Ρ€ΠΎΠ½ΠΈΠ·Π°Ρ†ΠΈΡŽ NTP:
    !
    ciscoasa(config)# show ntp associations 
      address         ref clock     st  when  poll reach  delay  offset    disp
    *~192.168.99.136   91.189.94.4       3    63    64    1    36.7    1.85    17.5
    * master (synced), # master (unsynced), + selected, - candidate, ~ configured
    !
    ! Установим ΠΊΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€Π°Ρ†ΠΈΡŽ нашСй ASAv для Smart-Licensing (Π² соотвСтствии с Π’Π°ΡˆΠΈΠΌ ΠΏΡ€ΠΎΡ„ΠΈΠ»Π΅ΠΌ, Π² ΠΌΠΎΠ΅ΠΌ случаС 100М для ΠΏΡ€ΠΈΠΌΠ΅Ρ€Π°)
    !
    ciscoasa(config)# license smart
    ciscoasa(config-smart-lic)# feature tier standard
    ciscoasa(config-smart-lic)# throughput level 100M
    !
    ! Π’ случаС нСобходимости ΠΌΠΎΠΆΠ½ΠΎ Π½Π°ΡΡ‚Ρ€ΠΎΠΈΡ‚ΡŒ доступ Π² Π˜Π½Ρ‚Π΅Ρ€Π½Π΅Ρ‚ Ρ‡Π΅Ρ€Π΅Π· прокси ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠΉΡ‚Π΅ ΡΠ»Π΅Π΄ΡƒΡŽΡ‰ΠΈΠΉ Π±Π»ΠΎΠΊ ΠΊΠΎΠΌΠ°Π½Π΄:
    !call-home
    !  http-proxy ip_address port port
    !
    ! Π”Π°Π»Π΅Π΅ ΠΌΡ‹ вставляСм скопированный ΠΈΠ· ΠΏΠΎΡ€Ρ‚Π°Π»Π° Smart-Account Ρ‚ΠΎΠΊΠ΅Π½ (<token>) ΠΈ рСгистрируСм Π»ΠΈΡ†Π΅Π½Π·ΠΈΡŽ
    !
    ciscoasa(config)# end
    ciscoasa# license smart register idtoken <token>

    • Tunahakikisha kuwa kifaa kimesajili leseni kwa ufanisi na chaguzi za usimbaji fiche zinapatikana:

    Inapeleka Kundi la Kusawazisha Mizigo la ASA VPN

    Inapeleka Kundi la Kusawazisha Mizigo la ASA VPN

  4. Kuweka VPN ya msingi ya SSL kwenye kila lango

    • Ifuatayo, tunasanidi ufikiaji kupitia SSH na ASDM:

    ciscoasa(config)# ssh ver 2
    ciscoasa(config)# aaa authentication ssh console LOCAL
    ciscoasa(config)# aaa authentication http console LOCAL
    ciscoasa(config)# hostname vpn-demo-1
    vpn-demo-1(config)# domain-name ashes.cc
    vpn-demo-1(config)# cry key gen rsa general-keys modulus 4096 
    vpn-demo-1(config)# ssh 0 0 inside  
    vpn-demo-1(config)# http 0 0 inside
    !
    ! ПоднимСм сСрвСр HTTPS для ASDM Π½Π° ΠΏΠΎΡ€Ρ‚Ρƒ 445 Ρ‡Ρ‚ΠΎΠ±Ρ‹ Π½Π΅ ΠΏΠ΅Ρ€Π΅ΡΠ΅ΠΊΠ°Ρ‚ΡŒΡΡ с SSL-VPN ΠΏΠΎΡ€Ρ‚Π°Π»ΠΎΠΌ
    !
    vpn-demo-1(config)# http server enable 445 
    !

    • Ili kutumia ASDM, kwanza unahitaji kuipakua kutoka kwa cisco.com. Kwa upande wangu, ni faili ifuatayo:

    Inapeleka Kundi la Kusawazisha Mizigo la ASA VPN

    • Ili mteja wa AnyConnect afanye kazi, unahitaji kupakua picha kwa kila mfumo wa uendeshaji wa mteja wa eneo-kazi unaotumika (uliopangwa kutumika) kwa kila ASA. Linux/Windows/MAC) utahitaji faili yenye Kifurushi cha Usambazaji wa Kichwa katika kichwa:

    Inapeleka Kundi la Kusawazisha Mizigo la ASA VPN

    • Faili zilizopakuliwa zinaweza kuwekwa, kwa mfano, kwenye seva ya FTP na kupakiwa kwa kila ASA:

    Inapeleka Kundi la Kusawazisha Mizigo la ASA VPN

    • Sanidi ASDM na cheti cha kujiandikisha cha SSL-VPN (inapendekezwa kutumia cheti cha kuaminika kwa uzalishaji). FQDN iliyosanidiwa ya Anwani ya Mtandaoni ya nguzo (vpn-demo.ashes.cc), pamoja na kila FQDN inayohusishwa na anwani ya nje ya kila nodi ya nguzo, lazima isuluhishe katika ukanda wa nje wa DNS hadi anwani ya IP ya kiolesura cha OUTSIDE (au kwa anwani iliyopangwa ikiwa unatumia UDP/443 (DTLS4 porting) na TCP3 mbele (TCP/TL). Maelezo ya kina juu ya mahitaji ya cheti hutolewa katika sehemu Uthibitishaji wa Cheti nyaraka.

    !
    vpn-demo-1(config)# crypto ca trustpoint SELF
    vpn-demo-1(config-ca-trustpoint)# enrollment self
    vpn-demo-1(config-ca-trustpoint)# fqdn vpn-demo.ashes.cc
    vpn-demo-1(config-ca-trustpoint)# subject-name cn=*.ashes.cc, ou=ashes-lab, o=ashes, c=ru
    vpn-demo-1(config-ca-trustpoint)# serial-number             
    vpn-demo-1(config-ca-trustpoint)# crl configure
    vpn-demo-1(config-ca-crl)# cry ca enroll SELF
    % The fully-qualified domain name in the certificate will be: vpn-demo.ashes.cc
    Generate Self-Signed Certificate? [yes/no]: yes
    vpn-demo-1(config)# 
    !
    vpn-demo-1(config)# sh cry ca certificates 
    Certificate
    Status: Available
    Certificate Serial Number: 4d43725e
    Certificate Usage: General Purpose
    Public Key Type: RSA (4096 bits)
    Signature Algorithm: SHA256 with RSA Encryption
    Issuer Name: 
    serialNumber=9A439T02F95
    hostname=vpn-demo.ashes.cc
    cn=*.ashes.cc
    ou=ashes-lab
    o=ashes
    c=ru
    Subject Name:
    serialNumber=9A439T02F95
    hostname=vpn-demo.ashes.cc
    cn=*.ashes.cc
    ou=ashes-lab
    o=ashes
    c=ru
    Validity Date: 
    start date: 00:16:17 MSK Mar 19 2020
    end   date: 00:16:17 MSK Mar 17 2030
    Storage: config
    Associated Trustpoints: SELF 
    
    CA Certificate
    Status: Available
    Certificate Serial Number: 0509
    Certificate Usage: General Purpose
    Public Key Type: RSA (4096 bits)
    Signature Algorithm: SHA1 with RSA Encryption
    Issuer Name: 
    cn=QuoVadis Root CA 2
    o=QuoVadis Limited
    c=BM
    Subject Name: 
    cn=QuoVadis Root CA 2
    o=QuoVadis Limited
    c=BM
    Validity Date: 
    start date: 21:27:00 MSK Nov 24 2006
    end   date: 21:23:33 MSK Nov 24 2031
    Storage: config
    Associated Trustpoints: _SmartCallHome_ServerCA               

    • Ili kujaribu uendeshaji wa ASDM, usisahau kutaja bandari, kwa mfano:

    Inapeleka Kundi la Kusawazisha Mizigo la ASA VPN

    • Wacha tutekeleze mipangilio ya msingi ya handaki:
    • Tutafanya mtandao wa shirika kupatikana kwa njia ya handaki, na kuruhusu Mtandao kwenda moja kwa moja (sio njia salama zaidi kwa kukosekana kwa zana za usalama kwenye mwenyeji wa kuunganisha, kupenya kupitia mwenyeji aliyeambukizwa na matokeo ya data ya shirika inawezekana, chaguo. mgawanyiko-handaki-sera ya handaki itaweka trafiki yote ya mwenyeji kwenye handaki. Hata hivyo, Mgawanyiko wa Tunnel hukuruhusu kupakua lango la VPN na sio kuchakata trafiki ya mtandao ya mwenyeji)
    • Tutatoa anwani kutoka kwa subnet ya 192.168.20.0/24 kwa majeshi kwenye handaki (bwawa la anwani 10 hadi 30 (kwa nodi # 1)). Kila nodi ya nguzo ya VPN lazima iwe na bwawa lake.
    • Wacha tufanye uthibitishaji wa kimsingi na mtumiaji aliyeundwa ndani kwenye ASA (Hii haifai, hii ndio njia rahisi), ni bora kufanya uthibitishaji kupitia LDAP/RADIUS, au hata bora zaidi, funga Uthibitishaji wa Vipengele vingi (MFA)kwa mfano Cisco DUO.

    !
    vpn-demo-1(config)# ip local pool vpn-pool 192.168.20.10-192.168.20.30 mask 255.255.255.0
    !
    vpn-demo-1(config)# access-list split-tunnel standard permit 192.168.0.0 255.255.0.0
    !
    vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY internal
    vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY attributes
    vpn-demo-1(config-group-policy)# vpn-tunnel-protocol ssl-client 
    vpn-demo-1(config-group-policy)# split-tunnel-policy tunnelspecified
    vpn-demo-1(config-group-policy)# split-tunnel-network-list value split-tunnel
    vpn-demo-1(config-group-policy)# dns-server value 192.168.99.132
    vpn-demo-1(config-group-policy)# default-domain value ashes.cc
    vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes
    vpn-demo-1(config-tunnel-general)#  default-group-policy SSL-VPN-GROUP-POLICY
    vpn-demo-1(config-tunnel-general)#  address-pool vpn-pool
    !
    vpn-demo-1(config)# username dkazakov password cisco
    vpn-demo-1(config)# username dkazakov attributes
    vpn-demo-1(config-username)# service-type remote-access
    !
    vpn-demo-1(config)# ssl trust-point SELF
    vpn-demo-1(config)# webvpn
    vpn-demo-1(config-webvpn)#  enable outside
    vpn-demo-1(config-webvpn)#  anyconnect image disk0:/anyconnect-win-4.8.03036-webdeploy-k9.pkg
    vpn-demo-1(config-webvpn)#  anyconnect enable
    !

    • (SI LAZIMA)Katika mfano ulio hapo juu, tulitumia mtumiaji wa ndani kwenye ngome ili kuthibitisha watumiaji wa mbali, ambayo bila shaka haifai sana isipokuwa katika maabara. Nitatoa mfano wa jinsi ya kurekebisha haraka usanidi kwa uthibitishaji RADIUS seva, inayotumika kama mfano Cisco Identity Services Engine:

    vpn-demo-1(config-aaa-server-group)# dynamic-authorization
    vpn-demo-1(config-aaa-server-group)# interim-accounting-update
    vpn-demo-1(config-aaa-server-group)# aaa-server RADIUS (outside) host 192.168.99.134
    vpn-demo-1(config-aaa-server-host)# key cisco
    vpn-demo-1(config-aaa-server-host)# exit
    vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes
    vpn-demo-1(config-tunnel-general)# authentication-server-group  RADIUS 
    !

    Ushirikiano huu ulifanya iwezekanavyo sio tu kuunganisha haraka utaratibu wa uthibitishaji na huduma ya saraka ya AD, lakini pia kutofautisha uhusiano wa AD wa kompyuta iliyounganishwa, kuelewa ikiwa ni kifaa cha ushirika au cha kibinafsi, na kutathmini hali ya kifaa kilichounganishwa.

    Inapeleka Kundi la Kusawazisha Mizigo la ASA VPN

    Inapeleka Kundi la Kusawazisha Mizigo la ASA VPN

    • Wacha tusanidi NAT ya Uwazi ili trafiki kati ya mteja na rasilimali za mtandao wa shirika isipitishwe:

    vpn-demo-1(config-network-object)#  subnet 192.168.20.0 255.255.255.0
    !
    vpn-demo-1(config)# nat (inside,outside) source static any any destination static vpn-users vpn-users no-proxy-arp

    • (SI LAZIMA): Ili kupata wateja wetu mtandaoni kupitia ASA (kwa kutumia handaki chaguzi) kwa kutumia PAT, na pia utoke kupitia kiolesura sawa cha NJE kutoka mahali wanapounganisha, unahitaji kufanya mipangilio ifuatayo.

    vpn-demo-1(config-network-object)# nat (outside,outside) source dynamic vpn-users interface
    vpn-demo-1(config)# nat (inside,outside) source dynamic any interface
    vpn-demo-1(config)# same-security-traffic permit intra-interface 
    !

    • Unapotumia kundi, ni muhimu sana kuwezesha mtandao wa ndani kuelewa ni ASA ipi ya kuelekeza trafiki ya kurudi kwa watumiaji. Ili kufanya hivyo, ni muhimu kusambaza upya anwani /32 iliyotolewa kwa wateja.
      Bado hatujasanidi kikundi, lakini tayari tuna lango la VPN linalofanya kazi ambalo linaweza kuunganishwa kivyake kupitia FQDN au IP.

    Inapeleka Kundi la Kusawazisha Mizigo la ASA VPN

    Tunaona mteja aliyeunganishwa kwenye jedwali la uelekezaji la ASA ya kwanza:

    Inapeleka Kundi la Kusawazisha Mizigo la ASA VPN

    Ili kuhakikisha kundi letu lote la VPN na mtandao wa shirika unajua njia ya kuelekea kwa mteja wetu, tutasambaza upya kiambishi awali cha mteja kwa itifaki ya uelekezaji inayobadilika, kama vile OSPF:

    !
    vpn-demo-1(config)# route-map RMAP-VPN-REDISTRIBUTE permit 1
    vpn-demo-1(config-route-map)#  match ip address VPN-REDISTRIBUTE
    !
    vpn-demo-1(config)# router ospf 1
    vpn-demo-1(config-router)#  network 192.168.255.0 255.255.255.0 area 0
    vpn-demo-1(config-router)#  log-adj-changes
    vpn-demo-1(config-router)#  redistribute static metric 5000 subnets route-map RMAP-VPN-REDISTRIBUTE

    Sasa tuna njia ya kwenda kwa mteja kutoka lango la pili la ASA-2, na watumiaji waliounganishwa kwenye lango tofauti za VPN ndani ya nguzo wanaweza, kwa mfano, kuwasiliana moja kwa moja kupitia simu laini ya shirika, huku trafiki ya kurudi kutoka kwa rasilimali zilizoombwa na mtumiaji pia itaelekezwa kwenye lango lifaalo la VPN:

    Inapeleka Kundi la Kusawazisha Mizigo la ASA VPN

  5. Wacha tuendelee kusanidi Usawazishaji wa Mzigo kwa nguzo.

    Anwani 192.168.31.40 itatumika kama IP Virtual (VIP - wateja wote wa VPN wataunganishwa nayo mwanzoni), kutoka kwa anwani hii Nguzo Kuu ITARUDISHA UPYA hadi kwenye nodi ya nguzo iliyopakiwa kidogo. Usisahau kubainisha mbele na ubadilishe rekodi za DNS zote mbili kwa kila anwani ya nje/FQDN ya kila nodi ya nguzo na kwa VIP.

    vpn-demo-1(config)# vpn load-balancing
    vpn-demo-1(config-load-balancing)# interface lbpublic outside
    vpn-demo-1(config-load-balancing)# interface lbprivate inside
    vpn-demo-1(config-load-balancing)# priority 10
    vpn-demo-1(config-load-balancing)# cluster ip address 192.168.31.40
    vpn-demo-1(config-load-balancing)# cluster port 4000
    vpn-demo-1(config-load-balancing)# redirect-fqdn enable
    vpn-demo-1(config-load-balancing)# cluster key cisco
    vpn-demo-1(config-load-balancing)# cluster encryption
    vpn-demo-1(config-load-balancing)# cluster port 9023
    vpn-demo-1(config-load-balancing)# participate
    vpn-demo-1(config-load-balancing)#

    • Tunajaribu uendeshaji wa nguzo na wateja wawili waliounganishwa:

    Inapeleka Kundi la Kusawazisha Mizigo la ASA VPN

    • Tutafanya utumiaji wa mteja kuwa rahisi zaidi kwa wasifu wa AnyConnect uliopakuliwa kiotomatiki kupitia ASDM.

    Inapeleka Kundi la Kusawazisha Mizigo la ASA VPN

    Tunataja wasifu kwa njia rahisi na kuhusisha sera yetu ya kikundi nayo:

    Inapeleka Kundi la Kusawazisha Mizigo la ASA VPN

    Baada ya muunganisho unaofuata wa mteja, wasifu huu utapakuliwa kiotomatiki na kusanikishwa kwenye mteja wa AnyConnect, kwa hivyo unapohitaji kuunganisha, unahitaji tu kuichagua kutoka kwenye orodha:

    Inapeleka Kundi la Kusawazisha Mizigo la ASA VPN

    Kwa kuwa tulitengeneza wasifu huu kwenye ASA moja tu kwa kutumia ASDM, hakikisha kwamba unarudia hatua za ASA zingine kwenye nguzo.

Hitimisho: Kwa hivyo, tulisambaza haraka kundi la lango kadhaa za VPN na kusawazisha upakiaji kiotomatiki. Kuongeza nodi mpya kwenye nguzo ni rahisi, kuruhusu kuongeza ukubwa wa mlalo kwa kupeleka mashine mpya za mtandaoni za ASAv au kutumia ASA za maunzi. Kiteja cha AnyConnect chenye vipengele vingi kinaweza kupanua sana uwezo salama wa muunganisho wa mbali kwa kutumia Mkao (tathmini ya hali), kutumika kwa ufanisi zaidi kwa kushirikiana na udhibiti wa upatikanaji wa kati na mfumo wa uhasibu Injini ya Huduma za Utambulisho.

Chanzo: mapenzi.com

Nunua upangishaji wa kuaminika wa tovuti zilizo na ulinzi wa DDoS, seva za VPS VDS πŸ”₯ Nunua upangishaji wa tovuti unaoaminika kwa ulinzi wa DDoS, seva za VPS VDS | ProHoster