ProHoster > blog > Utawala > Inapeleka Kundi la Kusawazisha Mizigo la ASA VPN

Inapeleka Kundi la Kusawazisha Mizigo la ASA VPN

Katika nakala hii, ningependa kutoa maagizo ya hatua kwa hatua juu ya jinsi unavyoweza kupeleka haraka mpango unaoweza kupanuka zaidi kwa sasa. VPN ya Ufikiaji wa Mbali ufikiaji msingi AnyConnect na Cisco ASA - Kundi la Kusawazisha Mzigo wa VPN.

Utangulizi: Kampuni nyingi ulimwenguni, kwa sababu ya hali ya sasa ya COVID-19, zinafanya juhudi kuhamisha wafanyikazi wao hadi kazi za mbali. Kwa sababu ya mpito mkubwa kwa kazi ya mbali, mzigo kwenye lango la VPN lililopo la kampuni unaongezeka sana na uwezo wa haraka sana wa kuziongeza unahitajika. Kwa upande mwingine, makampuni mengi yanalazimika kufahamu haraka dhana ya kazi ya mbali kutoka mwanzo.

Ili kusaidia biashara kufikia ufikiaji rahisi, salama na hatari wa VPN kwa wafanyikazi katika muda mfupi iwezekanavyo, Cisco inatoa leseni kwa mteja wa SSL VPN yenye kipengele cha AnyConnect kwa hadi wiki 13. Unaweza pia kuchukua ASAv kwa majaribio (Virtual ASA ya VMWare/Hyper-V/KVM hypervisors na majukwaa ya wingu ya AWS/Azure) kutoka kwa washirika walioidhinishwa au kwa kuwasiliana na wawakilishi wa Cisco wanaofanya kazi nawe..

Utaratibu wa kutoa leseni za AnyConnect COVID-19 umefafanuliwa hapa.

Nimetayarisha mwongozo wa hatua kwa hatua wa uwekaji rahisi wa Nguzo ya Kusawazisha Mizigo ya VPN kama teknolojia mbaya zaidi ya VPN.

Mfano hapa chini utakuwa rahisi sana katika suala la uthibitishaji na uidhinishaji algorithms kutumika, lakini itakuwa chaguo nzuri kwa ajili ya kuanza haraka (ambayo kwa sasa haitoshi kwa wengi) na uwezekano wa kukabiliana na kina kwa mahitaji yako wakati wa kupelekwa. mchakato.

Taarifa fupi: Teknolojia ya Nguzo ya Kusawazisha Mizigo ya VPN sio kushindwa na sio kazi ya kuunganisha kwa maana yake ya asili, teknolojia hii inaweza kuchanganya miundo tofauti kabisa ya ASA (pamoja na vikwazo fulani) ili kupakia miunganisho ya VPN ya Ufikiaji wa Mbali. Hakuna maingiliano ya vikao na usanidi kati ya nodi za nguzo kama hiyo, lakini inawezekana kupakia kiotomatiki miunganisho ya VPN na kuhakikisha uvumilivu wa makosa ya miunganisho ya VPN hadi angalau nodi moja inayofanya kazi ibaki kwenye nguzo. Mzigo katika nguzo husawazishwa kiotomatiki kulingana na mzigo wa kazi wa nodi kwa idadi ya vipindi vya VPN.

Kwa kushindwa kwa nodi maalum za nguzo (ikiwa inahitajika), faili inaweza kutumika, kwa hivyo unganisho linalotumika litashughulikiwa na nodi ya Msingi ya faili. Uboreshaji wa faili sio hali ya lazima ya kuhakikisha uvumilivu wa makosa ndani ya nguzo ya Kusawazisha Mzigo, nguzo yenyewe, katika tukio la kutofaulu kwa nodi, itahamisha kikao cha mtumiaji hadi nodi nyingine ya moja kwa moja, lakini bila kuhifadhi hali ya unganisho, ambayo ni sawa. iliyotolewa na mtayarishaji. Ipasavyo, inawezekana, ikiwa ni lazima, kuchanganya teknolojia hizi mbili.

Kundi la Kusawazisha Mzigo wa VPN linaweza kuwa na zaidi ya nodi mbili.

Kundi la Kusawazisha Mizigo ya VPN inatumika kwenye ASA 5512-X na matoleo mapya zaidi.

Kwa kuwa kila ASA ndani ya nguzo ya Kusawazisha Mzigo wa VPN ni kitengo huru kulingana na mipangilio, tunatekeleza hatua zote za usanidi mmoja mmoja kwenye kila kifaa.

Maelezo ya teknolojia hapa

Topolojia ya kimantiki ya mfano uliopeanwa:

Inapeleka Kundi la Kusawazisha Mizigo la ASA VPN

Usambazaji Msingi:

  1. Tunatumia matukio ya ASAv ya violezo tunavyohitaji (ASAv5/10/30/50) kutoka kwa picha.

  2. Tunaweka miingiliano ya NDANI / NJE kwa VLAN sawa (Nje katika VLAN yake, NDANI peke yake, lakini kwa ujumla ndani ya nguzo, angalia topolojia), ni muhimu kwamba miingiliano ya aina moja iko katika sehemu sawa ya L2.

  3. Leseni:

    • Kwa sasa usakinishaji wa ASAv hautakuwa na leseni zozote na utazuiliwa kwa 100kbps.
    • Ili kusakinisha leseni, unahitaji kutoa tokeni katika Akaunti yako ya Smart-Akaunti: https://software.cisco.com/ -> Utoaji Leseni wa Programu Mahiri
    • Katika dirisha linalofungua, bonyeza kitufe Ishara Mpya

    Inapeleka Kundi la Kusawazisha Mizigo la ASA VPN

    • Hakikisha kuwa kwenye dirisha linalofungua kuna uwanja unaofanya kazi na alama ya hundi imeangaliwa Ruhusu utendakazi unaodhibitiwa na usafirishaji… Bila uga huu amilifu, hutaweza kutumia vitendakazi vya usimbaji fiche thabiti na, ipasavyo, VPN. Ikiwa sehemu hii haitumiki, tafadhali wasiliana na timu ya akaunti yako kwa ombi la kuwezesha.

    Inapeleka Kundi la Kusawazisha Mizigo la ASA VPN

    • Baada ya kubonyeza kitufe Tengeneza Tokeni, ishara itaundwa ambayo tutatumia kupata leseni ya ASAv, iinakili:

    Inapeleka Kundi la Kusawazisha Mizigo la ASA VPN

    • Rudia hatua C,D,E kwa kila ASAv iliyotumwa.
    • Ili kurahisisha kunakili tokeni, hebu turuhusu telnet kwa muda. Wacha tusanidi kila ASA (mfano hapa chini unaonyesha mipangilio kwenye ASA-1). telnet haifanyi kazi na nje, ikiwa unaihitaji sana, badilisha kiwango cha usalama hadi 100 hadi nje, kisha uirudishe.

    !
ciscoasa(config)# int gi0/0
ciscoasa(config)# nameif outside
ciscoasa(config)# ip address 192.168.31.30 255.255.255.0
ciscoasa(config)# no shut
!
ciscoasa(config)# int gi0/1
ciscoasa(config)# nameif inside
ciscoasa(config)# ip address 192.168.255.2 255.255.255.0
ciscoasa(config)# no shut
!
ciscoasa(config)# telnet 0 0 inside
ciscoasa(config)# username admin password cisco priv 15
ciscoasa(config)# ena password cisco
ciscoasa(config)# aaa authentication telnet console LOCAL
!
ciscoasa(config)# route outside 0 0 192.168.31.1
!
ciscoasa(config)# wr
!

    • Ili kusajili tokeni katika wingu la Smart-Akaunti, lazima utoe ufikiaji wa mtandao kwa ASA, maelezo hapa.

    Kwa kifupi, ASA inahitajika:

    • upatikanaji kupitia HTTPS kwenye mtandao;
    • maingiliano ya wakati (kwa usahihi zaidi, kupitia NTP);
    • seva ya DNS iliyosajiliwa;
      • Tunawasiliana na ASA yetu na kuweka mipangilio ya kuwezesha leseni kupitia Smart-Account.

    !
ciscoasa(config)# clock set 19:21:00 Mar 18 2020
ciscoasa(config)# clock timezone MSK 3
ciscoasa(config)# ntp server 192.168.99.136
!
ciscoasa(config)# dns domain-lookup outside
ciscoasa(config)# DNS server-group DefaultDNS
ciscoasa(config-dns-server-group)# name-server 192.168.99.132 
!
! ΠŸΡ€ΠΎΠ²Π΅Ρ€ΠΈΠΌ Ρ€Π°Π±ΠΎΡ‚Ρƒ DNS:
!
ciscoasa(config-dns-server-group)# ping ya.ru
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 87.250.250.242, timeout is 2 seconds:
!!!!!
!
! ΠŸΡ€ΠΎΠ²Π΅Ρ€ΠΈΠΌ ΡΠΈΠ½Ρ…Ρ€ΠΎΠ½ΠΈΠ·Π°Ρ†ΠΈΡŽ NTP:
!
ciscoasa(config)# show ntp associations 
  address         ref clock     st  when  poll reach  delay  offset    disp
*~192.168.99.136   91.189.94.4       3    63    64    1    36.7    1.85    17.5
* master (synced), # master (unsynced), + selected, - candidate, ~ configured
!
! Установим ΠΊΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€Π°Ρ†ΠΈΡŽ нашСй ASAv для Smart-Licensing (Π² соотвСтствии с Π’Π°ΡˆΠΈΠΌ ΠΏΡ€ΠΎΡ„ΠΈΠ»Π΅ΠΌ, Π² ΠΌΠΎΠ΅ΠΌ случаС 100М для ΠΏΡ€ΠΈΠΌΠ΅Ρ€Π°)
!
ciscoasa(config)# license smart
ciscoasa(config-smart-lic)# feature tier standard
ciscoasa(config-smart-lic)# throughput level 100M
!
! Π’ случаС нСобходимости ΠΌΠΎΠΆΠ½ΠΎ Π½Π°ΡΡ‚Ρ€ΠΎΠΈΡ‚ΡŒ доступ Π² Π˜Π½Ρ‚Π΅Ρ€Π½Π΅Ρ‚ Ρ‡Π΅Ρ€Π΅Π· прокси ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠΉΡ‚Π΅ ΡΠ»Π΅Π΄ΡƒΡŽΡ‰ΠΈΠΉ Π±Π»ΠΎΠΊ ΠΊΠΎΠΌΠ°Π½Π΄:
!call-home
!  http-proxy ip_address port port
!
! Π”Π°Π»Π΅Π΅ ΠΌΡ‹ вставляСм скопированный ΠΈΠ· ΠΏΠΎΡ€Ρ‚Π°Π»Π° Smart-Account Ρ‚ΠΎΠΊΠ΅Π½ (<token>) ΠΈ рСгистрируСм Π»ΠΈΡ†Π΅Π½Π·ΠΈΡŽ
!
ciscoasa(config)# end
ciscoasa# license smart register idtoken <token>

    • Tunahakikisha kuwa kifaa kimesajili leseni kwa ufanisi na chaguzi za usimbaji fiche zinapatikana:

    Inapeleka Kundi la Kusawazisha Mizigo la ASA VPN

    Inapeleka Kundi la Kusawazisha Mizigo la ASA VPN

  4. Sanidi SSL-VPN ya msingi kwenye kila lango

    • Ifuatayo, sanidi ufikiaji kupitia SSH na ASDM:

    ciscoasa(config)# ssh ver 2
ciscoasa(config)# aaa authentication ssh console LOCAL
ciscoasa(config)# aaa authentication http console LOCAL
ciscoasa(config)# hostname vpn-demo-1
vpn-demo-1(config)# domain-name ashes.cc
vpn-demo-1(config)# cry key gen rsa general-keys modulus 4096 
vpn-demo-1(config)# ssh 0 0 inside  
vpn-demo-1(config)# http 0 0 inside
!
! ПоднимСм сСрвСр HTTPS для ASDM Π½Π° ΠΏΠΎΡ€Ρ‚Ρƒ 445 Ρ‡Ρ‚ΠΎΠ±Ρ‹ Π½Π΅ ΠΏΠ΅Ρ€Π΅ΡΠ΅ΠΊΠ°Ρ‚ΡŒΡΡ с SSL-VPN ΠΏΠΎΡ€Ρ‚Π°Π»ΠΎΠΌ
!
vpn-demo-1(config)# http server enable 445 
!

    • Ili ASDM ifanye kazi, lazima kwanza uipakue kutoka kwa wavuti ya cisco.com, kwa upande wangu ni faili ifuatayo:

    Inapeleka Kundi la Kusawazisha Mizigo la ASA VPN

    • Ili mteja wa AnyConnect afanye kazi, unahitaji kupakia picha kwa kila ASA kwa kila OS ya kompyuta ya mezani iliyotumika (iliyopangwa kutumia Linux / Windows / MAC), utahitaji faili iliyo na Kifurushi cha Usambazaji wa Kichwa Katika kichwa:

    Inapeleka Kundi la Kusawazisha Mizigo la ASA VPN

    • Faili zilizopakuliwa zinaweza kupakiwa, kwa mfano, kwa seva ya FTP na kupakiwa kwa kila ASA binafsi:

    Inapeleka Kundi la Kusawazisha Mizigo la ASA VPN

    • Tunasanidi ASDM na cheti cha Kujiandikisha kwa SSL-VPN (inapendekezwa kutumia cheti cha kuaminika katika uzalishaji). Seti ya FQDN ya Anwani ya Nguzo Pekee (vpn-demo.ashes.cc), pamoja na kila FQDN inayohusishwa na anwani ya nje ya kila nodi ya nguzo, lazima isuluhishe katika ukanda wa nje wa DNS kwa anwani ya IP ya kiolesura cha NJE (au kwa anwani iliyopangwa ikiwa usambazaji wa bandari udp/443 unatumika (DTLS) na tcp/443(TLS)). Maelezo ya kina juu ya mahitaji ya cheti yameainishwa katika sehemu hiyo Uthibitishaji wa Cheti nyaraka.

    !
vpn-demo-1(config)# crypto ca trustpoint SELF
vpn-demo-1(config-ca-trustpoint)# enrollment self
vpn-demo-1(config-ca-trustpoint)# fqdn vpn-demo.ashes.cc
vpn-demo-1(config-ca-trustpoint)# subject-name cn=*.ashes.cc, ou=ashes-lab, o=ashes, c=ru
vpn-demo-1(config-ca-trustpoint)# serial-number             
vpn-demo-1(config-ca-trustpoint)# crl configure
vpn-demo-1(config-ca-crl)# cry ca enroll SELF
% The fully-qualified domain name in the certificate will be: vpn-demo.ashes.cc
Generate Self-Signed Certificate? [yes/no]: yes
vpn-demo-1(config)# 
!
vpn-demo-1(config)# sh cry ca certificates 
Certificate
Status: Available
Certificate Serial Number: 4d43725e
Certificate Usage: General Purpose
Public Key Type: RSA (4096 bits)
Signature Algorithm: SHA256 with RSA Encryption
Issuer Name: 
serialNumber=9A439T02F95
hostname=vpn-demo.ashes.cc
cn=*.ashes.cc
ou=ashes-lab
o=ashes
c=ru
Subject Name:
serialNumber=9A439T02F95
hostname=vpn-demo.ashes.cc
cn=*.ashes.cc
ou=ashes-lab
o=ashes
c=ru
Validity Date: 
start date: 00:16:17 MSK Mar 19 2020
end   date: 00:16:17 MSK Mar 17 2030
Storage: config
Associated Trustpoints: SELF 

CA Certificate
Status: Available
Certificate Serial Number: 0509
Certificate Usage: General Purpose
Public Key Type: RSA (4096 bits)
Signature Algorithm: SHA1 with RSA Encryption
Issuer Name: 
cn=QuoVadis Root CA 2
o=QuoVadis Limited
c=BM
Subject Name: 
cn=QuoVadis Root CA 2
o=QuoVadis Limited
c=BM
Validity Date: 
start date: 21:27:00 MSK Nov 24 2006
end   date: 21:23:33 MSK Nov 24 2031
Storage: config
Associated Trustpoints: _SmartCallHome_ServerCA

    • Usisahau kutaja bandari ili kuangalia ASDM inafanya kazi, kwa mfano:

    Inapeleka Kundi la Kusawazisha Mizigo la ASA VPN

    • Wacha tufanye mipangilio ya msingi ya handaki:
    • Wacha tufanye mtandao wa shirika upatikane kupitia handaki, na turuhusu Mtandao uende moja kwa moja (sio njia salama zaidi ikiwa hakuna ulinzi kwenye seva pangishi inayounganisha, inawezekana kupenya kupitia mwenyeji aliyeambukizwa na kuonyesha data ya shirika, chaguo. mgawanyiko wa handaki-sera ya handaki itawaruhusu wasimamizi wote wa trafiki kwenye handaki. Hata hivyo mgawanyiko-handaki inafanya uwezekano wa kupakua lango la VPN na sio kushughulikia trafiki ya mtandao ya mwenyeji)
    • Wacha tutoe anwani kutoka kwa subnet ya 192.168.20.0/24 kwa mwenyeji kwenye handaki (bwawa kutoka kwa anwani 10 hadi 30 (kwa nodi # 1)). Kila nodi ya nguzo ya VPN lazima iwe na bwawa lake.
    • Tutafanya uthibitishaji wa kimsingi na mtumiaji aliyeundwa ndani kwenye ASA (Hii haifai, hii ndiyo njia rahisi), ni bora kufanya uthibitishaji kupitia LDAP/RADIUS, au bora zaidi, tie Uthibitishaji wa Vipengele vingi (MFA)kwa mfano Cisco DUO.

    !
vpn-demo-1(config)# ip local pool vpn-pool 192.168.20.10-192.168.20.30 mask 255.255.255.0
!
vpn-demo-1(config)# access-list split-tunnel standard permit 192.168.0.0 255.255.0.0
!
vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY internal
vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY attributes
vpn-demo-1(config-group-policy)# vpn-tunnel-protocol ssl-client 
vpn-demo-1(config-group-policy)# split-tunnel-policy tunnelspecified
vpn-demo-1(config-group-policy)# split-tunnel-network-list value split-tunnel
vpn-demo-1(config-group-policy)# dns-server value 192.168.99.132
vpn-demo-1(config-group-policy)# default-domain value ashes.cc
vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes
vpn-demo-1(config-tunnel-general)#  default-group-policy SSL-VPN-GROUP-POLICY
vpn-demo-1(config-tunnel-general)#  address-pool vpn-pool
!
vpn-demo-1(config)# username dkazakov password cisco
vpn-demo-1(config)# username dkazakov attributes
vpn-demo-1(config-username)# service-type remote-access
!
vpn-demo-1(config)# ssl trust-point SELF
vpn-demo-1(config)# webvpn
vpn-demo-1(config-webvpn)#  enable outside
vpn-demo-1(config-webvpn)#  anyconnect image disk0:/anyconnect-win-4.8.03036-webdeploy-k9.pkg
vpn-demo-1(config-webvpn)#  anyconnect enable
!

    • (SI LAZIMA): Katika mfano ulio hapo juu, tulitumia mtumiaji wa ndani kwenye ITU ili kuthibitisha watumiaji wa mbali, ambayo bila shaka, isipokuwa katika maabara, haitumiki vizuri. Nitatoa mfano wa jinsi ya kurekebisha haraka mpangilio kwa uthibitishaji RADIUS seva, kwa mfano kutumika Cisco Identity Services Engine:

    vpn-demo-1(config-aaa-server-group)# dynamic-authorization
vpn-demo-1(config-aaa-server-group)# interim-accounting-update
vpn-demo-1(config-aaa-server-group)# aaa-server RADIUS (outside) host 192.168.99.134
vpn-demo-1(config-aaa-server-host)# key cisco
vpn-demo-1(config-aaa-server-host)# exit
vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes
vpn-demo-1(config-tunnel-general)# authentication-server-group  RADIUS 
!

    Ujumuishaji huu ulifanya iwezekane sio tu kuunganisha haraka utaratibu wa uthibitishaji na huduma ya saraka ya AD, lakini pia kutofautisha ikiwa kompyuta iliyounganishwa ni ya AD, kuelewa ikiwa kifaa hiki ni cha ushirika au cha kibinafsi, na kutathmini hali ya kifaa kilichounganishwa. .

    Inapeleka Kundi la Kusawazisha Mizigo la ASA VPN

    Inapeleka Kundi la Kusawazisha Mizigo la ASA VPN

    • Wacha tusanidi NAT ya Uwazi ili trafiki kati ya mteja na rasilimali za mtandao wa shirika zisiandikwe:

    vpn-demo-1(config-network-object)#  subnet 192.168.20.0 255.255.255.0
!
vpn-demo-1(config)# nat (inside,outside) source static any any destination static vpn-users vpn-users no-proxy-arp

    • (SI LAZIMA): Ili kuwafichua wateja wetu kwenye Mtandao kupitia ASA (wakati wa kutumia handaki chaguzi) kwa kutumia PAT, na pia kutoka kupitia kiolesura sawa cha NJE ambayo wameunganishwa, unahitaji kufanya mipangilio ifuatayo.

    vpn-demo-1(config-network-object)# nat (outside,outside) source dynamic vpn-users interface
vpn-demo-1(config)# nat (inside,outside) source dynamic any interface
vpn-demo-1(config)# same-security-traffic permit intra-interface 
!

    • Unapotumia kikundi, ni muhimu sana kuwezesha mtandao wa ndani kuelewa ni ASA ipi ya kuelekeza trafiki ya kurudi kwa watumiaji, kwa hili unahitaji kusambaza tena njia / anwani 32 zilizotolewa kwa wateja.
      Kwa sasa, bado hatujasanidi nguzo, lakini tayari tunayo lango la VPN linalofanya kazi ambalo linaweza kuunganishwa kibinafsi kupitia FQDN au IP.

    Inapeleka Kundi la Kusawazisha Mizigo la ASA VPN

    Tunaona mteja aliyeunganishwa kwenye jedwali la uelekezaji la ASA ya kwanza:

    Inapeleka Kundi la Kusawazisha Mizigo la ASA VPN

    Ili kundi letu lote la VPN na mtandao mzima wa shirika kujua njia ya kuelekea kwa mteja wetu, tutasambaza upya kiambishi awali cha mteja katika itifaki ya uelekezaji inayobadilika, kwa mfano OSPF:

    !
vpn-demo-1(config)# route-map RMAP-VPN-REDISTRIBUTE permit 1
vpn-demo-1(config-route-map)#  match ip address VPN-REDISTRIBUTE
!
vpn-demo-1(config)# router ospf 1
vpn-demo-1(config-router)#  network 192.168.255.0 255.255.255.0 area 0
vpn-demo-1(config-router)#  log-adj-changes
vpn-demo-1(config-router)#  redistribute static metric 5000 subnets route-map RMAP-VPN-REDISTRIBUTE

    Sasa tuna njia ya kwenda kwa mteja kutoka kwa lango la pili la ASA-2 na watumiaji waliounganishwa kwa lango tofauti za VPN ndani ya nguzo wanaweza, kwa mfano, kuwasiliana moja kwa moja kupitia simu laini ya ushirika, na pia kurudisha trafiki kutoka kwa rasilimali zilizoombwa na mtumiaji. njoo kwenye lango la VPN linalohitajika:

    Inapeleka Kundi la Kusawazisha Mizigo la ASA VPN

  5. Wacha tuendelee kusanidi nguzo ya Kusawazisha Mzigo.

    Anwani 192.168.31.40 itatumika kama IP Virtual (VIP - wateja wote wa VPN wataunganishwa nayo mwanzoni), kutoka kwa anwani hii Nguzo Kuu itatengeneza REDIRECT hadi nodi ya nguzo iliyopakiwa kidogo. Usisahau kuandika mbele na ubadilishe rekodi ya DNS zote mbili kwa kila anwani ya nje / FQDN ya kila nodi ya nguzo, na kwa VIP.

    vpn-demo-1(config)# vpn load-balancing
vpn-demo-1(config-load-balancing)# interface lbpublic outside
vpn-demo-1(config-load-balancing)# interface lbprivate inside
vpn-demo-1(config-load-balancing)# priority 10
vpn-demo-1(config-load-balancing)# cluster ip address 192.168.31.40
vpn-demo-1(config-load-balancing)# cluster port 4000
vpn-demo-1(config-load-balancing)# redirect-fqdn enable
vpn-demo-1(config-load-balancing)# cluster key cisco
vpn-demo-1(config-load-balancing)# cluster encryption
vpn-demo-1(config-load-balancing)# cluster port 9023
vpn-demo-1(config-load-balancing)# participate
vpn-demo-1(config-load-balancing)#

    • Tunaangalia uendeshaji wa nguzo na wateja wawili waliounganishwa:

    Inapeleka Kundi la Kusawazisha Mizigo la ASA VPN

    • Wacha tufanye hali ya mteja iwe rahisi zaidi kwa wasifu wa AnyConnect uliopakiwa kiotomatiki kupitia ASDM.

    Inapeleka Kundi la Kusawazisha Mizigo la ASA VPN

    Tunataja wasifu kwa njia rahisi na kuhusisha sera yetu ya kikundi nayo:

    Inapeleka Kundi la Kusawazisha Mizigo la ASA VPN

    Baada ya muunganisho unaofuata wa mteja, wasifu huu utapakuliwa kiotomatiki na kusanikishwa kwenye mteja wa AnyConnect, kwa hivyo ikiwa unahitaji kuunganishwa, chagua tu kutoka kwenye orodha:

    Inapeleka Kundi la Kusawazisha Mizigo la ASA VPN

    Kwa kuwa tuliunda wasifu huu kwenye ASA moja tu kwa kutumia ASDM, usisahau kurudia hatua kwenye ASA zingine kwenye nguzo.

Hitimisho: Kwa hivyo, tulisambaza haraka kundi la lango kadhaa za VPN na kusawazisha upakiaji kiotomatiki. Kuongeza nodi mpya kwenye nguzo ni rahisi, kwa kuongeza ukubwa wa mlalo kwa kupeleka mashine mpya za mtandaoni za ASAv au kutumia ASA za maunzi. Kiteja cha AnyConnect chenye vipengele vingi kinaweza kuimarisha muunganisho salama wa mbali kwa kutumia Mkao (makadirio ya hali), kwa ufanisi zaidi kutumika kwa kushirikiana na mfumo wa udhibiti wa kati na uhasibu wa upatikanaji Injini ya Huduma za Utambulisho.

Chanzo: mapenzi.com

Kuongeza maoni