இந்த கட்டுரையில், இந்த நேரத்தில் மிகவும் அளவிடக்கூடிய திட்டத்தை நீங்கள் எவ்வாறு விரைவாக வரிசைப்படுத்தலாம் என்பதற்கான படிப்படியான வழிமுறைகளை வழங்க விரும்புகிறேன் தொலைநிலை அணுகல் VPN அணுகல் அடிப்படையிலானது AnyConnect மற்றும் Cisco ASA - VPN சுமை சமநிலை கிளஸ்டர்.
அறிமுகம்: உலகெங்கிலும் உள்ள பல நிறுவனங்கள், COVID-19 இன் தற்போதைய சூழ்நிலையின் காரணமாக, தங்கள் ஊழியர்களை தொலைதூர வேலைக்கு மாற்றுவதற்கான முயற்சிகளை மேற்கொண்டு வருகின்றன. தொலைதூர பணிக்கான பரவலான மாற்றம் காரணமாக, நிறுவனங்களின் தற்போதைய VPN நுழைவாயில்களின் சுமை விமர்சன ரீதியாக அதிகரிக்கிறது மற்றும் அவற்றை அளவிடுவதற்கான மிக விரைவான திறன் தேவைப்படுகிறது. மறுபுறம், பல நிறுவனங்கள் புதிதாக தொலைதூர வேலை என்ற கருத்தை அவசரமாக மாஸ்டர் செய்ய வேண்டிய கட்டாயத்தில் உள்ளன.
பணியாளர்களுக்கு வசதியான, பாதுகாப்பான மற்றும் அளவிடக்கூடிய VPN அணுகலை விரைவாக செயல்படுத்த வணிகங்களுக்கு உதவ, அம்சம் நிறைந்த AnyConnect SSL-VPN கிளையண்டிற்கு 13 வார உரிமங்களை சிஸ்கோ வழங்குகிறது. .
.
VPN லோட்-பேலன்சிங் கிளஸ்டரை மிகவும் அளவிடக்கூடிய VPN தொழில்நுட்பமாக பயன்படுத்துவதற்கான எளிய விருப்பத்திற்கான படிப்படியான வழிமுறைகளை நான் தயார் செய்துள்ளேன்.
பயன்படுத்தப்படும் அங்கீகாரம் மற்றும் அங்கீகார வழிமுறைகளின் பார்வையில் கீழே உள்ள எடுத்துக்காட்டு மிகவும் எளிமையானதாக இருக்கும், ஆனால் ஆழமான தழுவல் சாத்தியத்துடன் விரைவான தொடக்கத்திற்கு (இது இப்போது பலருக்கு இல்லாத ஒன்று) ஒரு நல்ல தேர்வாக இருக்கும். வரிசைப்படுத்தல் செயல்பாட்டின் போது உங்கள் தேவைகள்.
சுருக்கமான தகவல்: VPN லோட் பேலன்சிங் க்ளஸ்டர் தொழில்நுட்பம் தோல்வியுற்றது அல்லது அதன் சொந்த அர்த்தத்தில் ஒரு கிளஸ்டரிங் செயல்பாடு அல்ல; இந்த தொழில்நுட்பம் சமநிலை ரிமோட்-அக்சஸ் VPN இணைப்புகளை ஏற்றுவதற்கு முற்றிலும் மாறுபட்ட ASA மாதிரிகளை (சில கட்டுப்பாடுகளுடன்) இணைக்க முடியும். அத்தகைய கிளஸ்டரின் முனைகளுக்கு இடையில் அமர்வுகள் மற்றும் உள்ளமைவுகளின் ஒத்திசைவு இல்லை, ஆனால் குறைந்தபட்சம் ஒரு செயலில் உள்ள முனை கிளஸ்டரில் இருக்கும் வரை தானாகவே சமநிலை VPN இணைப்புகளை ஏற்றுவது மற்றும் VPN இணைப்புகளின் தவறு சகிப்புத்தன்மையை உறுதி செய்வது சாத்தியமாகும். VPN அமர்வுகளின் எண்ணிக்கையால் கணுக்களின் பணிச்சுமையைப் பொறுத்து கிளஸ்டரில் உள்ள சுமை தானாகவே சமப்படுத்தப்படுகிறது.
குறிப்பிட்ட கிளஸ்டர் முனைகளின் தவறு சகிப்புத்தன்மைக்கு (தேவைப்பட்டால்), நீங்கள் ஒரு ஃபைலரைப் பயன்படுத்தலாம், எனவே செயலில் உள்ள இணைப்பு ஃபைலரின் முதன்மை முனையால் செயலாக்கப்படும். லோட்-பேலன்சிங் க்ளஸ்டருக்குள் தவறு சகிப்புத்தன்மையை உறுதி செய்வதற்கு ஃபைல்ஓவர் ஒரு அவசியமான நிபந்தனை அல்ல; முனை தோல்வியுற்றால், கிளஸ்டரே பயனர் அமர்வை மற்றொரு நேரடி முனைக்கு மாற்றும், ஆனால் இணைப்பு நிலையை பராமரிக்காமல், இது துல்லியமாக என்ன தாக்கல் செய்பவர் வழங்குகிறது. அதன்படி, தேவைப்பட்டால் இந்த இரண்டு தொழில்நுட்பங்களையும் இணைக்க முடியும்.
ஒரு VPN லோட்-பேலன்சிங் கிளஸ்டரில் இரண்டு முனைகளுக்கு மேல் இருக்கலாம்.
VPN லோட்-பேலன்சிங் கிளஸ்டர் ASA 5512-X மற்றும் அதற்கு மேற்பட்டவற்றில் ஆதரிக்கப்படுகிறது.
VPN லோட்-பேலன்சிங் கிளஸ்டரில் உள்ள ஒவ்வொரு ASA அமைப்புகளின் அடிப்படையில் ஒரு சுயாதீனமான அலகு என்பதால், ஒவ்வொரு சாதனத்திலும் தனித்தனியாக அனைத்து உள்ளமைவு நடவடிக்கைகளையும் நாங்கள் செய்கிறோம்.
கொடுக்கப்பட்ட உதாரணத்தின் தருக்க இடவியல்:
ஆரம்ப வரிசைப்படுத்தல்:
-
படத்திலிருந்து நமக்குத் தேவையான (ASAv5/10/30/50) டெம்ப்ளேட்களின் ASAv நிகழ்வுகளை நாங்கள் பயன்படுத்துகிறோம்.
-
ஒரே VLAN க்கு உள்ளே/வெளிப்புற இடைமுகங்களை ஒதுக்குகிறோம் (வெளியே அதன் சொந்த VLAN இல், உள்ளே அதன் சொந்த, ஆனால் கிளஸ்டருக்குள் பொதுவானது, இடவியல் பார்க்கவும்), அதே வகையின் இடைமுகங்கள் ஒரே L2 பிரிவில் இருப்பது முக்கியம்.
-
உரிமங்கள்:
- நிறுவும் நேரத்தில், ASAv எந்த உரிமத்தையும் கொண்டிருக்காது மற்றும் 100kbit/sec என வரையறுக்கப்படும்.
- உரிமத்தை நிறுவ, உங்கள் ஸ்மார்ட்-அக்கவுண்ட் கணக்கில் டோக்கனை உருவாக்க வேண்டும்: -> ஸ்மார்ட் மென்பொருள் உரிமம்
- திறக்கும் சாளரத்தில், பொத்தானைக் கிளிக் செய்யவும் புதிய டோக்கன்
- திறக்கும் சாளரத்தில், புலம் செயலில் உள்ளதா மற்றும் தேர்வுப்பெட்டி சரிபார்க்கப்பட்டதா என்பதை உறுதிப்படுத்தவும் ஏற்றுமதி-கட்டுப்படுத்தப்பட்ட செயல்பாட்டை அனுமதிக்கவும்... இந்த செயலில் உள்ள புலம் இல்லாமல், நீங்கள் வலுவான குறியாக்க செயல்பாடுகளை பயன்படுத்த முடியாது, அதன்படி, VPN. இந்தப் புலம் செயலில் இல்லை என்றால், செயல்படுத்தக் கோர உங்கள் கணக்குக் குழுவைத் தொடர்பு கொள்ளவும்.
- பொத்தானை அழுத்திய பிறகு டோக்கனை உருவாக்கவும், ஒரு டோக்கன் உருவாக்கப்படும், அதை நாங்கள் ASAv க்கான உரிமத்தைப் பெறப் பயன்படுத்துவோம், அதை நகலெடுக்கவும்:
- ஒவ்வொரு ASAv க்கும் C,D,E படிகளை மீண்டும் செய்வோம்.
- டோக்கனை நகலெடுப்பதை எளிதாக்க, டெல்நெட்டை தற்காலிகமாக இயக்குவோம். ஒவ்வொரு ASA ஐயும் உள்ளமைப்போம் (கீழே உள்ள எடுத்துக்காட்டு ASA-1 இல் உள்ள அமைப்புகளை விளக்குகிறது). வெளியில் இருந்து டெல்நெட் வேலை செய்யாது, உங்களுக்கு உண்மையிலேயே தேவைப்பட்டால், பாதுகாப்பு-நிலையை 100-க்கு வெளியே மாற்றவும், பின்னர் அதை மீண்டும் மாற்றவும்.
! ciscoasa(config)# int gi0/0 ciscoasa(config)# nameif outside ciscoasa(config)# ip address 192.168.31.30 255.255.255.0 ciscoasa(config)# no shut ! ciscoasa(config)# int gi0/1 ciscoasa(config)# nameif inside ciscoasa(config)# ip address 192.168.255.2 255.255.255.0 ciscoasa(config)# no shut ! ciscoasa(config)# telnet 0 0 inside ciscoasa(config)# username admin password cisco priv 15 ciscoasa(config)# ena password cisco ciscoasa(config)# aaa authentication telnet console LOCAL ! ciscoasa(config)# route outside 0 0 192.168.31.1 ! ciscoasa(config)# wr !- ஸ்மார்ட்-கணக்கு கிளவுட்டில் டோக்கனை பதிவு செய்ய, நீங்கள் ASA க்கு இணைய அணுகலை வழங்க வேண்டும், .
சுருக்கமாக, ASA தேவை:
- HTTPS வழியாக இணைய அணுகல்;
- நேர ஒத்திசைவு (இன்னும் சரியாக NTP வழியாக);
- பதிவுசெய்யப்பட்ட DNS சேவையகம்;
- நாங்கள் டெல்நெட் வழியாக எங்கள் ASA க்கு சென்று ஸ்மார்ட்-கணக்கு மூலம் உரிமத்தை செயல்படுத்த அமைப்புகளை உருவாக்குகிறோம்.
! ciscoasa(config)# clock set 19:21:00 Mar 18 2020 ciscoasa(config)# clock timezone MSK 3 ciscoasa(config)# ntp server 192.168.99.136 ! ciscoasa(config)# dns domain-lookup outside ciscoasa(config)# DNS server-group DefaultDNS ciscoasa(config-dns-server-group)# name-server 192.168.99.132 ! ! Проверим работу DNS: ! ciscoasa(config-dns-server-group)# ping ya.ru Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 87.250.250.242, timeout is 2 seconds: !!!!! ! ! Проверим синхронизацию NTP: ! ciscoasa(config)# show ntp associations address ref clock st when poll reach delay offset disp *~192.168.99.136 91.189.94.4 3 63 64 1 36.7 1.85 17.5 * master (synced), # master (unsynced), + selected, - candidate, ~ configured ! ! Установим конфигурацию нашей ASAv для Smart-Licensing (в соответствии с Вашим профилем, в моем случае 100М для примера) ! ciscoasa(config)# license smart ciscoasa(config-smart-lic)# feature tier standard ciscoasa(config-smart-lic)# throughput level 100M ! ! В случае необходимости можно настроить доступ в Интернет через прокси используйте следующий блок команд: !call-home ! http-proxy ip_address port port ! ! Далее мы вставляем скопированный из портала Smart-Account токен (<token>) и регистрируем лицензию ! ciscoasa(config)# end ciscoasa# license smart register idtoken <token>- சாதனம் வெற்றிகரமாக உரிமத்தைப் பதிவுசெய்துள்ளதா என்பதை நாங்கள் சரிபார்க்கிறோம் மற்றும் குறியாக்க விருப்பங்கள் உள்ளன:
-
ஒவ்வொரு நுழைவாயிலிலும் அடிப்படை SSL-VPN ஐ கட்டமைக்கிறது
- அடுத்து, SSH மற்றும் ASDM வழியாக அணுகலை உள்ளமைக்கிறோம்:
ciscoasa(config)# ssh ver 2 ciscoasa(config)# aaa authentication ssh console LOCAL ciscoasa(config)# aaa authentication http console LOCAL ciscoasa(config)# hostname vpn-demo-1 vpn-demo-1(config)# domain-name ashes.cc vpn-demo-1(config)# cry key gen rsa general-keys modulus 4096 vpn-demo-1(config)# ssh 0 0 inside vpn-demo-1(config)# http 0 0 inside ! ! Поднимем сервер HTTPS для ASDM на порту 445 чтобы не пересекаться с SSL-VPN порталом ! vpn-demo-1(config)# http server enable 445 !- ASDM வேலை செய்ய, நீங்கள் முதலில் அதை cisco.com இலிருந்து பதிவிறக்கம் செய்ய வேண்டும், என் விஷயத்தில் இது பின்வரும் கோப்பு:
- AnyConnect கிளையண்ட் வேலை செய்ய, நீங்கள் பயன்படுத்தும் ஒவ்வொரு கிளையன்ட் டெஸ்க்டாப் OS க்கும் ஒவ்வொரு ASA க்கும் ஒரு படத்தைப் பதிவிறக்க வேண்டும் (Linux/Windows/MAC ஐப் பயன்படுத்தத் திட்டமிடப்பட்டுள்ளது), உங்களுக்கு ஒரு கோப்பு தேவைப்படும். ஹெட்எண்ட் வரிசைப்படுத்தல் தொகுப்பு தலைப்பில்:
- பதிவிறக்கம் செய்யப்பட்ட கோப்புகளை ஒரு FTP சேவையகத்திற்கு பதிவேற்றலாம் மற்றும் ஒவ்வொரு தனிப்பட்ட ASA க்கும் பதிவேற்றலாம்:
- SSL-VPNக்கு ASDM மற்றும் சுய கையொப்பமிடப்பட்ட சான்றிதழை உள்ளமைக்கிறோம் (உற்பத்தியில் நம்பகமான சான்றிதழைப் பயன்படுத்த பரிந்துரைக்கப்படுகிறது). கிளஸ்டர் மெய்நிகர் முகவரியின் (vpn-demo.ashes.cc) நிறுவப்பட்ட FQDN, அத்துடன் ஒவ்வொரு கிளஸ்டர் முனையின் வெளிப்புற முகவரியுடன் தொடர்புடைய ஒவ்வொரு FQDN ஆனது வெளிப்புற DNS மண்டலத்தில் வெளிப்புற இடைமுகத்தின் IP முகவரிக்கு (அல்லது udp/443 போர்ட் பகிர்தல் பயன்படுத்தப்பட்டால் வரைபட முகவரிக்கு (DTLS) மற்றும் tcp/443(TLS)). சான்றிதழுக்கான தேவைகள் குறித்த விரிவான தகவல்கள் பிரிவில் குறிப்பிடப்பட்டுள்ளன சான்றிதழ் சரிபார்ப்பு ஆவணங்கள்.
! vpn-demo-1(config)# crypto ca trustpoint SELF vpn-demo-1(config-ca-trustpoint)# enrollment self vpn-demo-1(config-ca-trustpoint)# fqdn vpn-demo.ashes.cc vpn-demo-1(config-ca-trustpoint)# subject-name cn=*.ashes.cc, ou=ashes-lab, o=ashes, c=ru vpn-demo-1(config-ca-trustpoint)# serial-number vpn-demo-1(config-ca-trustpoint)# crl configure vpn-demo-1(config-ca-crl)# cry ca enroll SELF % The fully-qualified domain name in the certificate will be: vpn-demo.ashes.cc Generate Self-Signed Certificate? [yes/no]: yes vpn-demo-1(config)# ! vpn-demo-1(config)# sh cry ca certificates Certificate Status: Available Certificate Serial Number: 4d43725e Certificate Usage: General Purpose Public Key Type: RSA (4096 bits) Signature Algorithm: SHA256 with RSA Encryption Issuer Name: serialNumber=9A439T02F95 hostname=vpn-demo.ashes.cc cn=*.ashes.cc ou=ashes-lab o=ashes c=ru Subject Name: serialNumber=9A439T02F95 hostname=vpn-demo.ashes.cc cn=*.ashes.cc ou=ashes-lab o=ashes c=ru Validity Date: start date: 00:16:17 MSK Mar 19 2020 end date: 00:16:17 MSK Mar 17 2030 Storage: config Associated Trustpoints: SELF CA Certificate Status: Available Certificate Serial Number: 0509 Certificate Usage: General Purpose Public Key Type: RSA (4096 bits) Signature Algorithm: SHA1 with RSA Encryption Issuer Name: cn=QuoVadis Root CA 2 o=QuoVadis Limited c=BM Subject Name: cn=QuoVadis Root CA 2 o=QuoVadis Limited c=BM Validity Date: start date: 21:27:00 MSK Nov 24 2006 end date: 21:23:33 MSK Nov 24 2031 Storage: config Associated Trustpoints: _SmartCallHome_ServerCA- ASDM இன் செயல்பாட்டைச் சரிபார்க்க, போர்ட்டைக் குறிப்பிட மறக்காதீர்கள், எடுத்துக்காட்டாக:
- அடிப்படை சுரங்கப்பாதை அமைப்புகளை மேற்கொள்வோம்:
- கார்ப்பரேட் நெட்வொர்க்கை ஒரு சுரங்கப்பாதை வழியாக அணுகி, இணையத்தை நேரடியாக இணைப்போம் (இணைக்கும் ஹோஸ்டில் பாதுகாப்பு நடவடிக்கைகள் இல்லாத நிலையில் மிகவும் பாதுகாப்பான முறை அல்ல, பாதிக்கப்பட்ட ஹோஸ்ட் மூலம் ஊடுருவி கார்ப்பரேட் தரவை வெளியிடலாம், விருப்பம் பிளவு-சுரங்கப்பாதை-கொள்கை சுரங்கப்பாதை சுரங்கப்பாதையில் அனைத்து ஹோஸ்ட் போக்குவரத்தையும் அனுமதிக்கும். இருப்பினும் பிளவு-சுரங்கப்பாதை VPN நுழைவாயிலிலிருந்து விடுபடுவதை சாத்தியமாக்குகிறது மற்றும் ஹோஸ்ட் இணைய போக்குவரத்தை செயலாக்க முடியாது)
- சப்நெட் 192.168.20.0/24 (10 முதல் 30 முகவரிகள் (நோட் #1க்கு)) இலிருந்து முகவரிகளுடன் சுரங்கப்பாதையில் ஹோஸ்ட்களை வழங்குவோம். கிளஸ்டரில் உள்ள ஒவ்வொரு முனைக்கும் அதன் சொந்த VPN பூல் இருக்க வேண்டும்.
- ASA இல் உள்நாட்டில் உருவாக்கப்பட்ட பயனருடன் அடிப்படை அங்கீகாரத்தைச் செய்வோம் (இது பரிந்துரைக்கப்படவில்லை, இது எளிமையான முறை), இதன் மூலம் அங்கீகாரம் செய்வது நல்லது LDAP/RADIUS, அல்லது இன்னும் சிறப்பாக, டை பல காரணி அங்கீகாரம் (MFA)உதாரணமாக சிஸ்கோ DUO.
! vpn-demo-1(config)# ip local pool vpn-pool 192.168.20.10-192.168.20.30 mask 255.255.255.0 ! vpn-demo-1(config)# access-list split-tunnel standard permit 192.168.0.0 255.255.0.0 ! vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY internal vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY attributes vpn-demo-1(config-group-policy)# vpn-tunnel-protocol ssl-client vpn-demo-1(config-group-policy)# split-tunnel-policy tunnelspecified vpn-demo-1(config-group-policy)# split-tunnel-network-list value split-tunnel vpn-demo-1(config-group-policy)# dns-server value 192.168.99.132 vpn-demo-1(config-group-policy)# default-domain value ashes.cc vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes vpn-demo-1(config-tunnel-general)# default-group-policy SSL-VPN-GROUP-POLICY vpn-demo-1(config-tunnel-general)# address-pool vpn-pool ! vpn-demo-1(config)# username dkazakov password cisco vpn-demo-1(config)# username dkazakov attributes vpn-demo-1(config-username)# service-type remote-access ! vpn-demo-1(config)# ssl trust-point SELF vpn-demo-1(config)# webvpn vpn-demo-1(config-webvpn)# enable outside vpn-demo-1(config-webvpn)# anyconnect image disk0:/anyconnect-win-4.8.03036-webdeploy-k9.pkg vpn-demo-1(config-webvpn)# anyconnect enable !- (விரும்பினால்): மேலே உள்ள எடுத்துக்காட்டில், ரிமோட் பயனர்களை அங்கீகரிக்க, ஃபயர்வாலில் உள்ளூர் பயனரைப் பயன்படுத்தினோம், இது ஆய்வகத்தைத் தவிர வேறு எந்தப் பயனும் இல்லை. அங்கீகாரத்திற்கான அமைப்பை விரைவாக மாற்றியமைப்பது எப்படி என்பதற்கு ஒரு உதாரணம் தருகிறேன் வரம்பு RADIUS சேவையகம், எடுத்துக்காட்டாக பயன்படுத்தப்படுகிறது சிஸ்கோ அடையாள சேவைகள் இயந்திரம்:
vpn-demo-1(config-aaa-server-group)# dynamic-authorization vpn-demo-1(config-aaa-server-group)# interim-accounting-update vpn-demo-1(config-aaa-server-group)# aaa-server RADIUS (outside) host 192.168.99.134 vpn-demo-1(config-aaa-server-host)# key cisco vpn-demo-1(config-aaa-server-host)# exit vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes vpn-demo-1(config-tunnel-general)# authentication-server-group RADIUS !இந்த ஒருங்கிணைப்பு AD டைரக்டரி சேவையுடன் அங்கீகார செயல்முறையை விரைவாக ஒருங்கிணைக்க மட்டுமல்லாமல், இணைக்கப்பட்ட கணினி AD க்கு சொந்தமானதா என்பதை வேறுபடுத்தி, அது ஒரு கார்ப்பரேட் சாதனமா அல்லது தனிப்பட்டதா என்பதைப் புரிந்துகொள்வது மற்றும் இணைக்கப்பட்ட நிலையை மதிப்பிடுவது ஆகியவற்றை சாத்தியமாக்கியது. சாதனம்.
- கார்ப்பரேட் நெட்வொர்க்கின் கிளையன்ட் மற்றும் நெட்வொர்க் ஆதாரங்களுக்கு இடையேயான போக்குவரத்து இடையூறு ஏற்படாதவாறு வெளிப்படையான NATஐ உள்ளமைப்போம்:
vpn-demo-1(config-network-object)# subnet 192.168.20.0 255.255.255.0 ! vpn-demo-1(config)# nat (inside,outside) source static any any destination static vpn-users vpn-users no-proxy-arp- (விரும்பினால்): ASA வழியாக எங்கள் வாடிக்கையாளர்களை இணையத்தில் வெளிப்படுத்த (பயன்படுத்தும் போது சுரங்கப்பாதை விருப்பங்கள்) PAT ஐப் பயன்படுத்தி, அவை இணைக்கப்பட்டுள்ள அதே வெளிப்புற இடைமுகத்தின் வழியாக வெளியேறவும், நீங்கள் பின்வரும் அமைப்புகளைச் செய்ய வேண்டும்
vpn-demo-1(config-network-object)# nat (outside,outside) source dynamic vpn-users interface vpn-demo-1(config)# nat (inside,outside) source dynamic any interface vpn-demo-1(config)# same-security-traffic permit intra-interface !- ஒரு கிளஸ்டரைப் பயன்படுத்தும் போது, பயனர்களுக்கு எந்த ASA திரும்பும் போக்குவரத்தை வழிநடத்த வேண்டும் என்பதைப் புரிந்துகொள்ள உள் நெட்வொர்க்கை இயக்குவது மிகவும் முக்கியமானது; இதற்காக வாடிக்கையாளர்களுக்கு வழங்கப்பட்ட வழிகள் / 32 முகவரிகளை மறுபகிர்வு செய்வது அவசியம்.
இந்த நேரத்தில், நாங்கள் இன்னும் கிளஸ்டரை உள்ளமைக்கவில்லை, ஆனால் எங்களிடம் ஏற்கனவே VPN நுழைவாயில்கள் உள்ளன, அதை நீங்கள் தனிப்பட்ட முறையில் FQDN அல்லது IP வழியாக இணைக்க முடியும்.
முதல் ASA இன் ரூட்டிங் அட்டவணையில் இணைக்கப்பட்ட கிளையண்டை நாங்கள் காண்கிறோம்:
எங்களுடைய முழு VPN கிளஸ்டரும் முழு கார்ப்பரேட் நெட்வொர்க்கும் எங்கள் கிளையண்டிற்கான வழியை அறியும் வகையில், கிளையன்ட் முன்னொட்டை டைனமிக் ரூட்டிங் நெறிமுறையாக மறுபகிர்வு செய்வோம், எடுத்துக்காட்டாக OSPF:
! vpn-demo-1(config)# route-map RMAP-VPN-REDISTRIBUTE permit 1 vpn-demo-1(config-route-map)# match ip address VPN-REDISTRIBUTE ! vpn-demo-1(config)# router ospf 1 vpn-demo-1(config-router)# network 192.168.255.0 255.255.255.0 area 0 vpn-demo-1(config-router)# log-adj-changes vpn-demo-1(config-router)# redistribute static metric 5000 subnets route-map RMAP-VPN-REDISTRIBUTEஇப்போது இரண்டாவது ASA-2 கேட்வேயில் இருந்து கிளையண்டிற்கு ஒரு வழி உள்ளது, மேலும் க்ளஸ்டருக்குள் இருக்கும் வெவ்வேறு VPN கேட்வேகளுடன் இணைக்கப்பட்ட பயனர்கள், எடுத்துக்காட்டாக, கார்ப்பரேட் சாஃப்ட்ஃபோன் மூலம் நேரடியாகத் தொடர்புகொள்ள முடியும், பயனர் கோரிய ஆதாரங்களில் இருந்து டிராஃபிக்கைத் திரும்பப் பெறுவது போல. விரும்பிய VPN நுழைவாயிலில்:
-
லோட்-பேலன்சிங் கிளஸ்டரை அமைப்பதற்கு செல்லலாம்.
192.168.31.40 என்ற முகவரி மெய்நிகர் ஐபியாகப் பயன்படுத்தப்படும் (விஐபி - அனைத்து விபிஎன் கிளையண்டுகளும் முதலில் அதனுடன் இணைக்கப்படும்), இந்த முகவரியிலிருந்து கிளஸ்டர் மாஸ்டர் குறைந்த ஏற்றப்பட்ட கிளஸ்டர் முனைக்கு திருப்பி விடுவார். பதிவு செய்ய மறக்காதீர்கள் முன்னோக்கி மற்றும் தலைகீழ் DNS பதிவுகள் ஒவ்வொரு கிளஸ்டர் முனையின் ஒவ்வொரு வெளிப்புற முகவரி/FQDN மற்றும் விஐபி.
vpn-demo-1(config)# vpn load-balancing vpn-demo-1(config-load-balancing)# interface lbpublic outside vpn-demo-1(config-load-balancing)# interface lbprivate inside vpn-demo-1(config-load-balancing)# priority 10 vpn-demo-1(config-load-balancing)# cluster ip address 192.168.31.40 vpn-demo-1(config-load-balancing)# cluster port 4000 vpn-demo-1(config-load-balancing)# redirect-fqdn enable vpn-demo-1(config-load-balancing)# cluster key cisco vpn-demo-1(config-load-balancing)# cluster encryption vpn-demo-1(config-load-balancing)# cluster port 9023 vpn-demo-1(config-load-balancing)# participate vpn-demo-1(config-load-balancing)#- இணைக்கப்பட்ட இரண்டு வாடிக்கையாளர்களுடன் கிளஸ்டரின் செயல்பாட்டை நாங்கள் சரிபார்க்கிறோம்:
- ஏஎஸ்டிஎம் வழியாக தானாக பதிவிறக்கம் செய்யப்பட்ட AnyConnect சுயவிவரத்துடன் வாடிக்கையாளரின் அனுபவத்தை மிகவும் வசதியாக மாற்றுவோம்.
நாங்கள் ஒரு வசதியான வழியில் சுயவிவரத்தை பெயரிடுகிறோம் மற்றும் அதனுடன் எங்கள் குழு கொள்கையை இணைக்கிறோம்:
அடுத்த கிளையன்ட் இணைப்புக்குப் பிறகு, இந்த சுயவிவரம் தானாக பதிவிறக்கம் செய்யப்பட்டு AnyConnect கிளையண்டில் நிறுவப்படும், எனவே நீங்கள் இணைக்க வேண்டும் என்றால், பட்டியலிலிருந்து அதைத் தேர்ந்தெடுக்க வேண்டும்:
ASDM ஐப் பயன்படுத்துவதால், ஒரே ஒரு ASA இல் இந்த சுயவிவரத்தை உருவாக்கியுள்ளோம், கிளஸ்டரில் மீதமுள்ள ASAகளின் படிகளை மீண்டும் செய்ய மறக்காதீர்கள்.
முடிவுக்கு: எனவே, தானியங்கி சுமை சமநிலையுடன் கூடிய பல VPN கேட்வேகளின் தொகுப்பை விரைவாகப் பயன்படுத்தினோம். கிளஸ்டரில் புதிய முனைகளைச் சேர்ப்பது எளிதானது, புதிய ASAv மெய்நிகர் இயந்திரங்களைப் பயன்படுத்துவதன் மூலமோ அல்லது வன்பொருள் ASAகளைப் பயன்படுத்துவதன் மூலமோ எளிய கிடைமட்ட அளவை அடையலாம். அம்சம் நிறைந்த AnyConnect கிளையண்ட், இதைப் பயன்படுத்தி உங்கள் பாதுகாப்பான தொலை இணைப்பு திறன்களை பெரிதும் மேம்படுத்தலாம் தோரணை (மாநில மதிப்பீடுகள்), ஒரு மையப்படுத்தப்பட்ட அணுகல் கட்டுப்பாடு மற்றும் கணக்கியல் அமைப்புடன் இணைந்து மிகவும் திறம்பட பயன்படுத்தப்படுகிறது அடையாள சேவைகள் இயந்திரம்.
ஆதாரம்: www.habr.com