Katika makala hii, ningependa kutoa maagizo ya hatua kwa hatua juu ya jinsi ya kupeleka haraka mpango unaoweza kuharibiwa kwa sasa. VPN ya Ufikiaji wa Mbali ufikiaji kulingana na AnyConnect na Cisco ASA - Kundi la Kusawazisha Mzigo wa VPN.
Utangulizi: Kwa sababu ya hali ya sasa ya COVID-19, kampuni nyingi ulimwenguni zinafanya juhudi kubadilisha wafanyikazi wao kufanya kazi za mbali. Kwa sababu ya kupitishwa kwa kazi kwa mbali, mzigo kwenye lango la VPN lililopo unaongezeka sana, unaohitaji uboreshaji wa haraka. Wakati huo huo, makampuni mengi yanalazimika kufahamu haraka dhana ya kazi ya mbali kutoka mwanzo.
Ili kusaidia biashara kutekeleza kwa haraka ufikiaji rahisi, salama na hatari wa VPN kwa wafanyakazi, Cisco inatoa leseni kwa mteja wa AnyConnect SSL VPN mwenye vipengele vingi kwa hadi wiki 13. .
.
Nimetayarisha mwongozo wa hatua kwa hatua wa chaguo rahisi la uwekaji la nguzo ya Kusawazisha Mzigo wa VPN kama teknolojia mbaya zaidi ya VPN.
Mfano ulio hapa chini utakuwa rahisi katika suala la uthibitishaji na uidhinishaji algorithms kutumika, lakini itakuwa chaguo nzuri kwa ajili ya kuanza haraka (jambo ambalo wengi wanakosa kwa sasa) na uwezekano wa kukabiliana na kina kwa mahitaji yako wakati wa mchakato wa kupeleka.
Taarifa fupi: Teknolojia ya Nguzo ya Kusawazisha Mizigo ya VPN sio kipengele cha kushindwa au cha kuunganisha kwa maana yake asili. Teknolojia hii inaweza kutumika kuchanganya miundo tofauti kabisa ya ASA (pamoja na vikwazo fulani) kusawazisha mzigo wa miunganisho ya Ufikiaji wa Mbali wa VPN. Usawazishaji wa vipindi na usanidi kati ya nodi kwenye nguzo kama hiyo hauwezekani, lakini kusawazisha kiotomatiki kwa miunganisho ya VPN na kuhakikisha uvumilivu wa makosa kwa miunganisho ya VPN inawezekana hadi angalau nodi moja inayotumika ibaki kwenye nguzo. Mzigo wa nguzo husawazishwa kiotomatiki kulingana na upakiaji wa nodi kulingana na idadi ya vipindi vya VPN.
Kwa uvumilivu wa makosa ya nodi maalum za nguzo (ikiwa inahitajika), kiweka faili kinaweza kutumika, ikimaanisha kuwa unganisho amilifu utashughulikiwa na nodi ya msingi ya mtayarishaji. Filerover sio sharti la kuhakikisha uvumilivu wa makosa ndani ya nguzo ya kusawazisha mzigo; katika tukio la kushindwa kwa nodi, nguzo yenyewe itahamisha kikao cha mtumiaji kwenye nodi nyingine ya moja kwa moja, lakini bila kuhifadhi hali ya uunganisho, ambayo ni hasa ambayo filer hutoa. Kwa hiyo, teknolojia hizi mbili zinaweza kuunganishwa ikiwa ni lazima.
Kundi la Kusawazisha Mzigo wa VPN linaweza kuwa na zaidi ya nodi mbili.
Kundi la Kusawazisha Mizigo ya VPN linatumika kwenye ASA 5512-X na matoleo mapya zaidi.
Kwa kuwa kila ASA ndani ya kundi la Kusawazisha Mzigo wa VPN ni kitengo huru kulingana na mipangilio iliyofanywa, tunatekeleza hatua zote za usanidi mmoja mmoja kwenye kila kifaa.
Topolojia ya kimantiki ya mfano uliopeanwa:

Usambazaji wa awali:
-
Tunatumia matukio ya ASAv ya violezo tunavyohitaji kutoka kwa picha (ASAv5/10/30/50).
-
Tunaweka violesura vya NDANI/NJE kwa VLAN sawa (Nje katika VLAN yake, NDANI peke yake, lakini kawaida ndani ya nguzo, angalia topolojia), ni muhimu kwamba violesura vya aina moja viko katika sehemu sawa ya L2.
-
Leseni:
- Wakati wa usakinishaji, ASAv haitakuwa na leseni zozote na itawekewa kikomo utendakazi wa kbps 100.
- Ili kusakinisha leseni, unahitaji kutoa tokeni katika Akaunti yako ya Smart-Akaunti: -> Utoaji Leseni wa Programu Mahiri
- Katika dirisha linalofungua, bonyeza kitufe Ishara Mpya

- Hakikisha kuwa sehemu inayofunguliwa ina sehemu inayotumika na kisanduku cha kuteua kimechaguliwa. Ruhusu utendakazi unaodhibitiwa na usafirishaji⦠Bila uga huu kuwezeshwa, hutaweza kutumia vipengele vikali vya usimbaji fiche na, hivyo basi, VPN. Ikiwa sehemu hii haijawashwa, tafadhali wasiliana na timu ya akaunti yako ili uombe kuwezesha.

- Baada ya kubonyeza kitufe Tengeneza Tokeni, ishara itaundwa ambayo tutatumia kupata leseni ya ASAv, wacha tuinakili:

- Rudia hatua C,D,E kwa kila ASAv iliyopanuliwa.
- Ili kurahisisha kunakili tokeni, tutawasha telnet kwa muda. Tutasanidi kila ASA (mfano ulio hapa chini unaonyesha mipangilio kwenye ASA-1). Telnet kutoka nje haifanyi kazi. Ikiwa unaihitaji kweli, badilisha kiwango cha usalama hadi 100 nje, kisha uibadilishe tena.
! ciscoasa(config)# int gi0/0 ciscoasa(config)# nameif outside ciscoasa(config)# ip address 192.168.31.30 255.255.255.0 ciscoasa(config)# no shut ! ciscoasa(config)# int gi0/1 ciscoasa(config)# nameif inside ciscoasa(config)# ip address 192.168.255.2 255.255.255.0 ciscoasa(config)# no shut ! ciscoasa(config)# telnet 0 0 inside ciscoasa(config)# username admin password cisco priv 15 ciscoasa(config)# ena password cisco ciscoasa(config)# aaa authentication telnet console LOCAL ! ciscoasa(config)# route outside 0 0 192.168.31.1 ! ciscoasa(config)# wr !- Ili kusajili tokeni katika wingu la Smart-Akaunti, lazima utoe ufikiaji wa mtandao kwa ASA, .
Kwa kifupi, ASA inahitajika:
- ufikiaji wa HTTPS kwenye Mtandao;
- maingiliano ya wakati (kwa usahihi zaidi kwa kutumia NTP);
- seva ya DNS iliyosajiliwa;
- Tunaingia kwenye ASA yetu kupitia Telnet na kusanidi mipangilio ili kuwezesha leseni kupitia Smart-Account.
! ciscoasa(config)# clock set 19:21:00 Mar 18 2020 ciscoasa(config)# clock timezone MSK 3 ciscoasa(config)# ntp server 192.168.99.136 ! ciscoasa(config)# dns domain-lookup outside ciscoasa(config)# DNS server-group DefaultDNS ciscoasa(config-dns-server-group)# name-server 192.168.99.132 ! ! ΠΡΠΎΠ²Π΅ΡΠΈΠΌ ΡΠ°Π±ΠΎΡΡ DNS: ! ciscoasa(config-dns-server-group)# ping ya.ru Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 87.250.250.242, timeout is 2 seconds: !!!!! ! ! ΠΡΠΎΠ²Π΅ΡΠΈΠΌ ΡΠΈΠ½Ρ ΡΠΎΠ½ΠΈΠ·Π°ΡΠΈΡ NTP: ! ciscoasa(config)# show ntp associations address ref clock st when poll reach delay offset disp *~192.168.99.136 91.189.94.4 3 63 64 1 36.7 1.85 17.5 * master (synced), # master (unsynced), + selected, - candidate, ~ configured ! ! Π£ΡΡΠ°Π½ΠΎΠ²ΠΈΠΌ ΠΊΠΎΠ½ΡΠΈΠ³ΡΡΠ°ΡΠΈΡ Π½Π°ΡΠ΅ΠΉ ASAv Π΄Π»Ρ Smart-Licensing (Π² ΡΠΎΠΎΡΠ²Π΅ΡΡΡΠ²ΠΈΠΈ Ρ ΠΠ°ΡΠΈΠΌ ΠΏΡΠΎΡΠΈΠ»Π΅ΠΌ, Π² ΠΌΠΎΠ΅ΠΌ ΡΠ»ΡΡΠ°Π΅ 100Π Π΄Π»Ρ ΠΏΡΠΈΠΌΠ΅ΡΠ°) ! ciscoasa(config)# license smart ciscoasa(config-smart-lic)# feature tier standard ciscoasa(config-smart-lic)# throughput level 100M ! ! Π ΡΠ»ΡΡΠ°Π΅ Π½Π΅ΠΎΠ±Ρ ΠΎΠ΄ΠΈΠΌΠΎΡΡΠΈ ΠΌΠΎΠΆΠ½ΠΎ Π½Π°ΡΡΡΠΎΠΈΡΡ Π΄ΠΎΡΡΡΠΏ Π² ΠΠ½ΡΠ΅ΡΠ½Π΅Ρ ΡΠ΅ΡΠ΅Π· ΠΏΡΠΎΠΊΡΠΈ ΠΈΡΠΏΠΎΠ»ΡΠ·ΡΠΉΡΠ΅ ΡΠ»Π΅Π΄ΡΡΡΠΈΠΉ Π±Π»ΠΎΠΊ ΠΊΠΎΠΌΠ°Π½Π΄: !call-home ! http-proxy ip_address port port ! ! ΠΠ°Π»Π΅Π΅ ΠΌΡ Π²ΡΡΠ°Π²Π»ΡΠ΅ΠΌ ΡΠΊΠΎΠΏΠΈΡΠΎΠ²Π°Π½Π½ΡΠΉ ΠΈΠ· ΠΏΠΎΡΡΠ°Π»Π° Smart-Account ΡΠΎΠΊΠ΅Π½ (<token>) ΠΈ ΡΠ΅Π³ΠΈΡΡΡΠΈΡΡΠ΅ΠΌ Π»ΠΈΡΠ΅Π½Π·ΠΈΡ ! ciscoasa(config)# end ciscoasa# license smart register idtoken <token>- Tunahakikisha kuwa kifaa kimesajili leseni kwa ufanisi na chaguzi za usimbaji fiche zinapatikana:


-
Kuweka VPN ya msingi ya SSL kwenye kila lango
- Ifuatayo, tunasanidi ufikiaji kupitia SSH na ASDM:
ciscoasa(config)# ssh ver 2 ciscoasa(config)# aaa authentication ssh console LOCAL ciscoasa(config)# aaa authentication http console LOCAL ciscoasa(config)# hostname vpn-demo-1 vpn-demo-1(config)# domain-name ashes.cc vpn-demo-1(config)# cry key gen rsa general-keys modulus 4096 vpn-demo-1(config)# ssh 0 0 inside vpn-demo-1(config)# http 0 0 inside ! ! ΠΠΎΠ΄Π½ΠΈΠΌΠ΅ΠΌ ΡΠ΅ΡΠ²Π΅Ρ HTTPS Π΄Π»Ρ ASDM Π½Π° ΠΏΠΎΡΡΡ 445 ΡΡΠΎΠ±Ρ Π½Π΅ ΠΏΠ΅ΡΠ΅ΡΠ΅ΠΊΠ°ΡΡΡΡ Ρ SSL-VPN ΠΏΠΎΡΡΠ°Π»ΠΎΠΌ ! vpn-demo-1(config)# http server enable 445 !- Ili kutumia ASDM, kwanza unahitaji kuipakua kutoka kwa cisco.com. Kwa upande wangu, ni faili ifuatayo:

- Ili mteja wa AnyConnect afanye kazi, unahitaji kupakua picha kwa kila mfumo wa uendeshaji wa mteja wa eneo-kazi unaotumika (uliopangwa kutumika) kwa kila ASA. Linux/Windows/MAC) utahitaji faili yenye Kifurushi cha Usambazaji wa Kichwa katika kichwa:

- Faili zilizopakuliwa zinaweza kuwekwa, kwa mfano, kwenye seva ya FTP na kupakiwa kwa kila ASA:

- Sanidi ASDM na cheti cha kujiandikisha cha SSL-VPN (inapendekezwa kutumia cheti cha kuaminika kwa uzalishaji). FQDN iliyosanidiwa ya Anwani ya Mtandaoni ya nguzo (vpn-demo.ashes.cc), pamoja na kila FQDN inayohusishwa na anwani ya nje ya kila nodi ya nguzo, lazima isuluhishe katika ukanda wa nje wa DNS hadi anwani ya IP ya kiolesura cha OUTSIDE (au kwa anwani iliyopangwa ikiwa unatumia UDP/443 (DTLS4 porting) na TCP3 mbele (TCP/TL). Maelezo ya kina juu ya mahitaji ya cheti hutolewa katika sehemu Uthibitishaji wa Cheti nyaraka.
! vpn-demo-1(config)# crypto ca trustpoint SELF vpn-demo-1(config-ca-trustpoint)# enrollment self vpn-demo-1(config-ca-trustpoint)# fqdn vpn-demo.ashes.cc vpn-demo-1(config-ca-trustpoint)# subject-name cn=*.ashes.cc, ou=ashes-lab, o=ashes, c=ru vpn-demo-1(config-ca-trustpoint)# serial-number vpn-demo-1(config-ca-trustpoint)# crl configure vpn-demo-1(config-ca-crl)# cry ca enroll SELF % The fully-qualified domain name in the certificate will be: vpn-demo.ashes.cc Generate Self-Signed Certificate? [yes/no]: yes vpn-demo-1(config)# ! vpn-demo-1(config)# sh cry ca certificates Certificate Status: Available Certificate Serial Number: 4d43725e Certificate Usage: General Purpose Public Key Type: RSA (4096 bits) Signature Algorithm: SHA256 with RSA Encryption Issuer Name: serialNumber=9A439T02F95 hostname=vpn-demo.ashes.cc cn=*.ashes.cc ou=ashes-lab o=ashes c=ru Subject Name: serialNumber=9A439T02F95 hostname=vpn-demo.ashes.cc cn=*.ashes.cc ou=ashes-lab o=ashes c=ru Validity Date: start date: 00:16:17 MSK Mar 19 2020 end date: 00:16:17 MSK Mar 17 2030 Storage: config Associated Trustpoints: SELF CA Certificate Status: Available Certificate Serial Number: 0509 Certificate Usage: General Purpose Public Key Type: RSA (4096 bits) Signature Algorithm: SHA1 with RSA Encryption Issuer Name: cn=QuoVadis Root CA 2 o=QuoVadis Limited c=BM Subject Name: cn=QuoVadis Root CA 2 o=QuoVadis Limited c=BM Validity Date: start date: 21:27:00 MSK Nov 24 2006 end date: 21:23:33 MSK Nov 24 2031 Storage: config Associated Trustpoints: _SmartCallHome_ServerCA- Ili kujaribu uendeshaji wa ASDM, usisahau kutaja bandari, kwa mfano:

- Wacha tutekeleze mipangilio ya msingi ya handaki:
- Tutafanya mtandao wa shirika kupatikana kwa njia ya handaki, na kuruhusu Mtandao kwenda moja kwa moja (sio njia salama zaidi kwa kukosekana kwa zana za usalama kwenye mwenyeji wa kuunganisha, kupenya kupitia mwenyeji aliyeambukizwa na matokeo ya data ya shirika inawezekana, chaguo. mgawanyiko-handaki-sera ya handaki itaweka trafiki yote ya mwenyeji kwenye handaki. Hata hivyo, Mgawanyiko wa Tunnel hukuruhusu kupakua lango la VPN na sio kuchakata trafiki ya mtandao ya mwenyeji)
- Tutatoa anwani kutoka kwa subnet ya 192.168.20.0/24 kwa majeshi kwenye handaki (bwawa la anwani 10 hadi 30 (kwa nodi # 1)). Kila nodi ya nguzo ya VPN lazima iwe na bwawa lake.
- Wacha tufanye uthibitishaji wa kimsingi na mtumiaji aliyeundwa ndani kwenye ASA (Hii haifai, hii ndio njia rahisi), ni bora kufanya uthibitishaji kupitia LDAP/RADIUS, au hata bora zaidi, funga Uthibitishaji wa Vipengele vingi (MFA)kwa mfano Cisco DUO.
! vpn-demo-1(config)# ip local pool vpn-pool 192.168.20.10-192.168.20.30 mask 255.255.255.0 ! vpn-demo-1(config)# access-list split-tunnel standard permit 192.168.0.0 255.255.0.0 ! vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY internal vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY attributes vpn-demo-1(config-group-policy)# vpn-tunnel-protocol ssl-client vpn-demo-1(config-group-policy)# split-tunnel-policy tunnelspecified vpn-demo-1(config-group-policy)# split-tunnel-network-list value split-tunnel vpn-demo-1(config-group-policy)# dns-server value 192.168.99.132 vpn-demo-1(config-group-policy)# default-domain value ashes.cc vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes vpn-demo-1(config-tunnel-general)# default-group-policy SSL-VPN-GROUP-POLICY vpn-demo-1(config-tunnel-general)# address-pool vpn-pool ! vpn-demo-1(config)# username dkazakov password cisco vpn-demo-1(config)# username dkazakov attributes vpn-demo-1(config-username)# service-type remote-access ! vpn-demo-1(config)# ssl trust-point SELF vpn-demo-1(config)# webvpn vpn-demo-1(config-webvpn)# enable outside vpn-demo-1(config-webvpn)# anyconnect image disk0:/anyconnect-win-4.8.03036-webdeploy-k9.pkg vpn-demo-1(config-webvpn)# anyconnect enable !- (SI LAZIMA)Katika mfano ulio hapo juu, tulitumia mtumiaji wa ndani kwenye ngome ili kuthibitisha watumiaji wa mbali, ambayo bila shaka haifai sana isipokuwa katika maabara. Nitatoa mfano wa jinsi ya kurekebisha haraka usanidi kwa uthibitishaji RADIUS seva, inayotumika kama mfano Cisco Identity Services Engine:
vpn-demo-1(config-aaa-server-group)# dynamic-authorization vpn-demo-1(config-aaa-server-group)# interim-accounting-update vpn-demo-1(config-aaa-server-group)# aaa-server RADIUS (outside) host 192.168.99.134 vpn-demo-1(config-aaa-server-host)# key cisco vpn-demo-1(config-aaa-server-host)# exit vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes vpn-demo-1(config-tunnel-general)# authentication-server-group RADIUS !Ushirikiano huu ulifanya iwezekanavyo sio tu kuunganisha haraka utaratibu wa uthibitishaji na huduma ya saraka ya AD, lakini pia kutofautisha uhusiano wa AD wa kompyuta iliyounganishwa, kuelewa ikiwa ni kifaa cha ushirika au cha kibinafsi, na kutathmini hali ya kifaa kilichounganishwa.


- Wacha tusanidi NAT ya Uwazi ili trafiki kati ya mteja na rasilimali za mtandao wa shirika isipitishwe:
vpn-demo-1(config-network-object)# subnet 192.168.20.0 255.255.255.0 ! vpn-demo-1(config)# nat (inside,outside) source static any any destination static vpn-users vpn-users no-proxy-arp- (SI LAZIMA): Ili kupata wateja wetu mtandaoni kupitia ASA (kwa kutumia handaki chaguzi) kwa kutumia PAT, na pia utoke kupitia kiolesura sawa cha NJE kutoka mahali wanapounganisha, unahitaji kufanya mipangilio ifuatayo.
vpn-demo-1(config-network-object)# nat (outside,outside) source dynamic vpn-users interface vpn-demo-1(config)# nat (inside,outside) source dynamic any interface vpn-demo-1(config)# same-security-traffic permit intra-interface !- Unapotumia kundi, ni muhimu sana kuwezesha mtandao wa ndani kuelewa ni ASA ipi ya kuelekeza trafiki ya kurudi kwa watumiaji. Ili kufanya hivyo, ni muhimu kusambaza upya anwani /32 iliyotolewa kwa wateja.
Bado hatujasanidi kikundi, lakini tayari tuna lango la VPN linalofanya kazi ambalo linaweza kuunganishwa kivyake kupitia FQDN au IP.

Tunaona mteja aliyeunganishwa kwenye jedwali la uelekezaji la ASA ya kwanza:

Ili kuhakikisha kundi letu lote la VPN na mtandao wa shirika unajua njia ya kuelekea kwa mteja wetu, tutasambaza upya kiambishi awali cha mteja kwa itifaki ya uelekezaji inayobadilika, kama vile OSPF:
! vpn-demo-1(config)# route-map RMAP-VPN-REDISTRIBUTE permit 1 vpn-demo-1(config-route-map)# match ip address VPN-REDISTRIBUTE ! vpn-demo-1(config)# router ospf 1 vpn-demo-1(config-router)# network 192.168.255.0 255.255.255.0 area 0 vpn-demo-1(config-router)# log-adj-changes vpn-demo-1(config-router)# redistribute static metric 5000 subnets route-map RMAP-VPN-REDISTRIBUTESasa tuna njia ya kwenda kwa mteja kutoka lango la pili la ASA-2, na watumiaji waliounganishwa kwenye lango tofauti za VPN ndani ya nguzo wanaweza, kwa mfano, kuwasiliana moja kwa moja kupitia simu laini ya shirika, huku trafiki ya kurudi kutoka kwa rasilimali zilizoombwa na mtumiaji pia itaelekezwa kwenye lango lifaalo la VPN:

-
Wacha tuendelee kusanidi Usawazishaji wa Mzigo kwa nguzo.
Anwani 192.168.31.40 itatumika kama IP Virtual (VIP - wateja wote wa VPN wataunganishwa nayo mwanzoni), kutoka kwa anwani hii Nguzo Kuu ITARUDISHA UPYA hadi kwenye nodi ya nguzo iliyopakiwa kidogo. Usisahau kubainisha mbele na ubadilishe rekodi za DNS zote mbili kwa kila anwani ya nje/FQDN ya kila nodi ya nguzo na kwa VIP.
vpn-demo-1(config)# vpn load-balancing vpn-demo-1(config-load-balancing)# interface lbpublic outside vpn-demo-1(config-load-balancing)# interface lbprivate inside vpn-demo-1(config-load-balancing)# priority 10 vpn-demo-1(config-load-balancing)# cluster ip address 192.168.31.40 vpn-demo-1(config-load-balancing)# cluster port 4000 vpn-demo-1(config-load-balancing)# redirect-fqdn enable vpn-demo-1(config-load-balancing)# cluster key cisco vpn-demo-1(config-load-balancing)# cluster encryption vpn-demo-1(config-load-balancing)# cluster port 9023 vpn-demo-1(config-load-balancing)# participate vpn-demo-1(config-load-balancing)#- Tunajaribu uendeshaji wa nguzo na wateja wawili waliounganishwa:

- Tutafanya utumiaji wa mteja kuwa rahisi zaidi kwa wasifu wa AnyConnect uliopakuliwa kiotomatiki kupitia ASDM.

Tunataja wasifu kwa njia rahisi na kuhusisha sera yetu ya kikundi nayo:

Baada ya muunganisho unaofuata wa mteja, wasifu huu utapakuliwa kiotomatiki na kusanikishwa kwenye mteja wa AnyConnect, kwa hivyo unapohitaji kuunganisha, unahitaji tu kuichagua kutoka kwenye orodha:

Kwa kuwa tulitengeneza wasifu huu kwenye ASA moja tu kwa kutumia ASDM, hakikisha kwamba unarudia hatua za ASA zingine kwenye nguzo.
Hitimisho: Kwa hivyo, tulisambaza haraka kundi la lango kadhaa za VPN na kusawazisha upakiaji kiotomatiki. Kuongeza nodi mpya kwenye nguzo ni rahisi, kuruhusu kuongeza ukubwa wa mlalo kwa kupeleka mashine mpya za mtandaoni za ASAv au kutumia ASA za maunzi. Kiteja cha AnyConnect chenye vipengele vingi kinaweza kupanua sana uwezo salama wa muunganisho wa mbali kwa kutumia Mkao (tathmini ya hali), kutumika kwa ufanisi zaidi kwa kushirikiana na udhibiti wa upatikanaji wa kati na mfumo wa uhasibu Injini ya Huduma za Utambulisho.
Chanzo: mapenzi.com
