ASA VPN లోడ్-బ్యాలెన్సింగ్ క్లస్టర్ని అమలు చేస్తోంది
ఈ ఆర్టికల్లో, ప్రస్తుతానికి అత్యంత స్కేలబుల్ స్కీమ్ను మీరు త్వరగా ఎలా అమలు చేయవచ్చనే దానిపై నేను దశల వారీ సూచనలను అందించాలనుకుంటున్నాను. రిమోట్ యాక్సెస్ VPN యాక్సెస్ ఆధారంగా AnyConnect మరియు Cisco ASA - VPN లోడ్ బ్యాలెన్సింగ్ క్లస్టర్.
పరిచయం: COVID-19తో ఉన్న ప్రస్తుత పరిస్థితుల దృష్ట్యా ప్రపంచవ్యాప్తంగా చాలా కంపెనీలు తమ ఉద్యోగులను రిమోట్ వర్క్కు బదిలీ చేయడానికి ప్రయత్నాలు చేస్తున్నాయి. రిమోట్ పనికి భారీ మార్పు కారణంగా, కంపెనీల ప్రస్తుత VPN గేట్వేలపై లోడ్ తీవ్రంగా పెరుగుతోంది మరియు వాటిని స్కేల్ చేయడానికి చాలా వేగంగా సామర్థ్యం అవసరం. మరోవైపు, చాలా కంపెనీలు మొదటి నుండి రిమోట్ వర్క్ భావనను త్వరితగతిన ప్రావీణ్యం పొందవలసి వస్తుంది.
నేను అత్యంత స్కేలబుల్ VPN సాంకేతికత వలె VPN లోడ్-బ్యాలెన్సింగ్ క్లస్టర్ యొక్క సరళమైన విస్తరణ కోసం దశల వారీ మార్గదర్శిని సిద్ధం చేసాను.
ఉపయోగించిన ధృవీకరణ మరియు అధికార అల్గారిథమ్ల పరంగా దిగువ ఉదాహరణ చాలా సరళంగా ఉంటుంది, కానీ విస్తరణ సమయంలో మీ అవసరాలకు లోతైన అనుసరణ అవకాశంతో త్వరిత ప్రారంభానికి (ప్రస్తుతం చాలా మందికి ఇది సరిపోదు) మంచి ఎంపిక. ప్రక్రియ.
సంక్షిప్త సమాచారం: VPN లోడ్ బ్యాలెన్సింగ్ క్లస్టర్ టెక్నాలజీ విఫలమైంది కాదు మరియు దాని స్థానిక అర్థంలో క్లస్టరింగ్ ఫంక్షన్ కాదు, ఈ సాంకేతికత బ్యాలెన్స్ రిమోట్-యాక్సెస్ VPN కనెక్షన్లను లోడ్ చేయడానికి పూర్తిగా భిన్నమైన ASA మోడల్లను (నిర్దిష్ట పరిమితులతో) మిళితం చేస్తుంది. అటువంటి క్లస్టర్ యొక్క నోడ్ల మధ్య సెషన్లు మరియు కాన్ఫిగరేషన్ల సమకాలీకరణ లేదు, అయితే స్వయంచాలకంగా బ్యాలెన్స్ VPN కనెక్షన్లను లోడ్ చేయడం మరియు క్లస్టర్లో కనీసం ఒక సక్రియ నోడ్ మిగిలిపోయే వరకు VPN కనెక్షన్ల యొక్క తప్పు సహనాన్ని నిర్ధారించడం సాధ్యమవుతుంది. VPN సెషన్ల సంఖ్య ద్వారా నోడ్ల పనిభారాన్ని బట్టి క్లస్టర్లోని లోడ్ స్వయంచాలకంగా సమతుల్యమవుతుంది.
క్లస్టర్ యొక్క నిర్దిష్ట నోడ్ల వైఫల్యం కోసం (అవసరమైతే), ఫైలర్ను ఉపయోగించవచ్చు, కాబట్టి సక్రియ కనెక్షన్ ఫైలర్ యొక్క ప్రైమరీ నోడ్ ద్వారా నిర్వహించబడుతుంది. లోడ్-బ్యాలెన్సింగ్ క్లస్టర్లో తప్పు సహనాన్ని నిర్ధారించడానికి ఫైల్ఓవర్ అవసరమైన షరతు కాదు, నోడ్ వైఫల్యం సంభవించినప్పుడు క్లస్టర్, వినియోగదారు సెషన్ను మరొక లైవ్ నోడ్కి బదిలీ చేస్తుంది, కానీ కనెక్షన్ స్థితిని సేవ్ చేయకుండానే, ఖచ్చితంగా ఫైలర్ అందించారు. దీని ప్రకారం, అవసరమైతే, ఈ రెండు సాంకేతికతలను కలపడం సాధ్యమవుతుంది.
VPN లోడ్-బ్యాలెన్సింగ్ క్లస్టర్ రెండు కంటే ఎక్కువ నోడ్లను కలిగి ఉంటుంది.
VPN లోడ్-బ్యాలెన్సింగ్ క్లస్టర్కు ASA 5512-X మరియు అంతకంటే ఎక్కువ మద్దతు ఉంది.
VPN లోడ్-బ్యాలెన్సింగ్ క్లస్టర్లోని ప్రతి ASA సెట్టింగ్ల పరంగా ఒక స్వతంత్ర యూనిట్ కాబట్టి, మేము ఒక్కొక్క పరికరంలో ఒక్కొక్కటిగా అన్ని కాన్ఫిగరేషన్ దశలను నిర్వహిస్తాము.
మేము చిత్రం నుండి మనకు అవసరమైన (ASAv5/10/30/50) టెంప్లేట్ల యొక్క ASAv ఉదాహరణలను అమలు చేస్తాము.
మేము అదే VLAN లకు ఇన్సైడ్ / అవుట్సైడ్ ఇంటర్ఫేస్లను కేటాయిస్తాము (దాని స్వంత VLAN వెలుపల, లోపల దాని స్వంత, కానీ సాధారణంగా క్లస్టర్లో, టోపోలాజీని చూడండి), ఒకే రకమైన ఇంటర్ఫేస్లు ఒకే L2 విభాగంలో ఉండటం ముఖ్యం.
లైసెన్స్లు:
ప్రస్తుతానికి ASAv ఇన్స్టాలేషన్కు ఎలాంటి లైసెన్స్లు లేవు మరియు 100kbpsకి పరిమితం చేయబడుతుంది.
లైసెన్స్ని ఇన్స్టాల్ చేయడానికి, మీరు మీ స్మార్ట్-ఖాతాలో టోకెన్ను రూపొందించాలి: https://software.cisco.com/ -> స్మార్ట్ సాఫ్ట్వేర్ లైసెన్సింగ్
తెరుచుకునే విండోలో, బటన్ను క్లిక్ చేయండి కొత్త టోకెన్
తెరిచే విండోలో యాక్టివ్ ఫీల్డ్ ఉందని మరియు చెక్మార్క్ తనిఖీ చేయబడిందని నిర్ధారించుకోండి ఎగుమతి-నియంత్రిత కార్యాచరణను అనుమతించండి… ఈ ఫీల్డ్ సక్రియంగా లేకుండా, మీరు బలమైన ఎన్క్రిప్షన్ ఫంక్షన్లను ఉపయోగించలేరు మరియు తదనుగుణంగా VPN. ఈ ఫీల్డ్ సక్రియంగా లేకుంటే, దయచేసి యాక్టివేషన్ అభ్యర్థనతో మీ ఖాతా బృందాన్ని సంప్రదించండి.
బటన్ని నొక్కిన తర్వాత టోకెన్ సృష్టించండి, మేము ASAv కోసం లైసెన్స్ పొందేందుకు ఉపయోగించే టోకెన్ సృష్టించబడుతుంది, దానిని కాపీ చేయండి:
ప్రతి అమలు చేసిన ASAv కోసం C,D,E దశలను పునరావృతం చేయండి.
టోకెన్ని కాపీ చేయడం సులభతరం చేయడానికి, టెల్నెట్ను తాత్కాలికంగా అనుమతిద్దాం. ప్రతి ASAని కాన్ఫిగర్ చేద్దాం (క్రింద ఉన్న ఉదాహరణ ASA-1లోని సెట్టింగ్లను వివరిస్తుంది). టెల్నెట్ బయటితో పని చేయదు, మీకు నిజంగా ఇది అవసరమైతే, భద్రతా స్థాయిని 100 నుండి బయటకి మార్చండి, ఆపై దాన్ని తిరిగి ఇవ్వండి.
!
ciscoasa(config)# int gi0/0
ciscoasa(config)# nameif outside
ciscoasa(config)# ip address 192.168.31.30 255.255.255.0
ciscoasa(config)# no shut
!
ciscoasa(config)# int gi0/1
ciscoasa(config)# nameif inside
ciscoasa(config)# ip address 192.168.255.2 255.255.255.0
ciscoasa(config)# no shut
!
ciscoasa(config)# telnet 0 0 inside
ciscoasa(config)# username admin password cisco priv 15
ciscoasa(config)# ena password cisco
ciscoasa(config)# aaa authentication telnet console LOCAL
!
ciscoasa(config)# route outside 0 0 192.168.31.1
!
ciscoasa(config)# wr
!
స్మార్ట్-ఖాతా క్లౌడ్లో టోకెన్ను నమోదు చేయడానికి, మీరు తప్పనిసరిగా ASA కోసం ఇంటర్నెట్ యాక్సెస్ను అందించాలి, వివరాలు ఇక్కడ.
సంక్షిప్తంగా, ASA అవసరం:
ఇంటర్నెట్కు HTTPS ద్వారా యాక్సెస్;
సమయ సమకాలీకరణ (మరింత సరిగ్గా, NTP ద్వారా);
నమోదిత DNS సర్వర్;
మేము మా ASAకి టెల్నెట్ చేస్తాము మరియు స్మార్ట్-ఖాతా ద్వారా లైసెన్స్ని సక్రియం చేయడానికి సెట్టింగ్లను చేస్తాము.
!
ciscoasa(config)# clock set 19:21:00 Mar 18 2020
ciscoasa(config)# clock timezone MSK 3
ciscoasa(config)# ntp server 192.168.99.136
!
ciscoasa(config)# dns domain-lookup outside
ciscoasa(config)# DNS server-group DefaultDNS
ciscoasa(config-dns-server-group)# name-server 192.168.99.132
!
! Проверим работу DNS:
!
ciscoasa(config-dns-server-group)# ping ya.ru
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 87.250.250.242, timeout is 2 seconds:
!!!!!
!
! Проверим синхронизацию NTP:
!
ciscoasa(config)# show ntp associations
address ref clock st when poll reach delay offset disp
*~192.168.99.136 91.189.94.4 3 63 64 1 36.7 1.85 17.5
* master (synced), # master (unsynced), + selected, - candidate, ~ configured
!
! Установим конфигурацию нашей ASAv для Smart-Licensing (в соответствии с Вашим профилем, в моем случае 100М для примера)
!
ciscoasa(config)# license smart
ciscoasa(config-smart-lic)# feature tier standard
ciscoasa(config-smart-lic)# throughput level 100M
!
! В случае необходимости можно настроить доступ в Интернет через прокси используйте следующий блок команд:
!call-home
! http-proxy ip_address port port
!
! Далее мы вставляем скопированный из портала Smart-Account токен (<token>) и регистрируем лицензию
!
ciscoasa(config)# end
ciscoasa# license smart register idtoken <token>
పరికరం విజయవంతంగా లైసెన్స్ని నమోదు చేసిందని మరియు ఎన్క్రిప్షన్ ఎంపికలు అందుబాటులో ఉన్నాయని మేము తనిఖీ చేస్తాము:
ప్రతి గేట్వేపై ప్రాథమిక SSL-VPNని సెటప్ చేయండి
తరువాత, SSH మరియు ASDM ద్వారా యాక్సెస్ను కాన్ఫిగర్ చేయండి:
ciscoasa(config)# ssh ver 2
ciscoasa(config)# aaa authentication ssh console LOCAL
ciscoasa(config)# aaa authentication http console LOCAL
ciscoasa(config)# hostname vpn-demo-1
vpn-demo-1(config)# domain-name ashes.cc
vpn-demo-1(config)# cry key gen rsa general-keys modulus 4096
vpn-demo-1(config)# ssh 0 0 inside
vpn-demo-1(config)# http 0 0 inside
!
! Поднимем сервер HTTPS для ASDM на порту 445 чтобы не пересекаться с SSL-VPN порталом
!
vpn-demo-1(config)# http server enable 445
!
ASDM పని చేయడానికి, మీరు దీన్ని ముందుగా cisco.com వెబ్సైట్ నుండి డౌన్లోడ్ చేసుకోవాలి, నా విషయంలో ఇది క్రింది ఫైల్:
AnyConnect క్లయింట్ పని చేయడానికి, మీరు ఉపయోగించిన ప్రతి డెస్క్టాప్ క్లయింట్ OS కోసం ప్రతి ASAకి ఒక చిత్రాన్ని అప్లోడ్ చేయాలి (Linux / Windows / MACని ఉపయోగించడానికి ప్లాన్ చేయబడింది), మీకు దీనితో ఫైల్ అవసరం హెడ్ఎండ్ డిప్లాయ్మెంట్ ప్యాకేజీ శీర్షికలో:
డౌన్లోడ్ చేయబడిన ఫైల్లను అప్లోడ్ చేయవచ్చు, ఉదాహరణకు, FTP సర్వర్కు మరియు ప్రతి ఒక్క ASAకి అప్లోడ్ చేయబడుతుంది:
మేము SSL-VPN కోసం ASDM మరియు స్వీయ సంతకం చేసిన ప్రమాణపత్రాన్ని కాన్ఫిగర్ చేస్తాము (ఉత్పత్తిలో విశ్వసనీయ ప్రమాణపత్రాన్ని ఉపయోగించమని సిఫార్సు చేయబడింది). వర్చువల్ క్లస్టర్ చిరునామా యొక్క సెట్ FQDN (vpn-demo.ashes.cc), అలాగే ప్రతి క్లస్టర్ నోడ్ యొక్క బాహ్య చిరునామాతో అనుబంధించబడిన ప్రతి FQDN, తప్పనిసరిగా బాహ్య DNS జోన్లో అవుట్సైడ్ ఇంటర్ఫేస్ యొక్క IP చిరునామాకు (లేదా పోర్ట్ ఫార్వార్డింగ్ udp/443 ఉపయోగించబడితే మ్యాప్ చేయబడిన చిరునామాకు (DTLS) మరియు tcp/443(TLS)). సర్టిఫికేట్ కోసం అవసరాలపై వివరణాత్మక సమాచారం విభాగంలో పేర్కొనబడింది సర్టిఫికెట్ ధృవీకరణ డాక్యుమెంటేషన్.
!
vpn-demo-1(config)# crypto ca trustpoint SELF
vpn-demo-1(config-ca-trustpoint)# enrollment self
vpn-demo-1(config-ca-trustpoint)# fqdn vpn-demo.ashes.cc
vpn-demo-1(config-ca-trustpoint)# subject-name cn=*.ashes.cc, ou=ashes-lab, o=ashes, c=ru
vpn-demo-1(config-ca-trustpoint)# serial-number
vpn-demo-1(config-ca-trustpoint)# crl configure
vpn-demo-1(config-ca-crl)# cry ca enroll SELF
% The fully-qualified domain name in the certificate will be: vpn-demo.ashes.cc
Generate Self-Signed Certificate? [yes/no]: yes
vpn-demo-1(config)#
!
vpn-demo-1(config)# sh cry ca certificates
Certificate
Status: Available
Certificate Serial Number: 4d43725e
Certificate Usage: General Purpose
Public Key Type: RSA (4096 bits)
Signature Algorithm: SHA256 with RSA Encryption
Issuer Name:
serialNumber=9A439T02F95
hostname=vpn-demo.ashes.cc
cn=*.ashes.cc
ou=ashes-lab
o=ashes
c=ru
Subject Name:
serialNumber=9A439T02F95
hostname=vpn-demo.ashes.cc
cn=*.ashes.cc
ou=ashes-lab
o=ashes
c=ru
Validity Date:
start date: 00:16:17 MSK Mar 19 2020
end date: 00:16:17 MSK Mar 17 2030
Storage: config
Associated Trustpoints: SELF
CA Certificate
Status: Available
Certificate Serial Number: 0509
Certificate Usage: General Purpose
Public Key Type: RSA (4096 bits)
Signature Algorithm: SHA1 with RSA Encryption
Issuer Name:
cn=QuoVadis Root CA 2
o=QuoVadis Limited
c=BM
Subject Name:
cn=QuoVadis Root CA 2
o=QuoVadis Limited
c=BM
Validity Date:
start date: 21:27:00 MSK Nov 24 2006
end date: 21:23:33 MSK Nov 24 2031
Storage: config
Associated Trustpoints: _SmartCallHome_ServerCA
ASDM పని చేస్తుందో లేదో తనిఖీ చేయడానికి పోర్ట్ను పేర్కొనడం మర్చిపోవద్దు, ఉదాహరణకు:
సొరంగం యొక్క ప్రాథమిక సెట్టింగ్లను చేద్దాం:
సొరంగం ద్వారా కార్పొరేట్ నెట్వర్క్ను అందుబాటులో ఉంచుదాం మరియు ఇంటర్నెట్ను నేరుగా వెళ్లనివ్వండి (కనెక్ట్ చేసే హోస్ట్లో ఎటువంటి రక్షణలు లేకుంటే సురక్షితమైన పద్ధతి కాదు, సోకిన హోస్ట్ ద్వారా చొరబడి కార్పొరేట్ డేటా, ఎంపికను ప్రదర్శించడం సాధ్యమవుతుంది స్ప్లిట్-టన్నెల్-పాలసీ సొరంగం అన్ని హోస్ట్ ట్రాఫిక్ను సొరంగంలోకి అనుమతిస్తుంది. అయినప్పటికీ స్ప్లిట్-టన్నెల్ VPN గేట్వేని ఆఫ్లోడ్ చేయడం మరియు హోస్ట్ ఇంటర్నెట్ ట్రాఫిక్ను ప్రాసెస్ చేయడం సాధ్యం కాదు)
టన్నెల్లోని హోస్ట్లకు 192.168.20.0/24 సబ్నెట్ నుండి చిరునామాలను జారీ చేద్దాం (పూల్ 10 నుండి 30 చిరునామాలు (నోడ్ #1 కోసం)). VPN క్లస్టర్లోని ప్రతి నోడ్కు దాని స్వంత పూల్ ఉండాలి.
మేము ASAలో స్థానికంగా సృష్టించబడిన వినియోగదారుతో ప్రాథమిక ప్రమాణీకరణను నిర్వహిస్తాము (ఇది సిఫార్సు చేయబడలేదు, ఇది సులభమైన పద్ధతి), దీని ద్వారా ప్రామాణీకరణ చేయడం మంచిది LDAP/RADIUS, లేదా ఇంకా మంచిది, టై మల్టీ-ఫాక్టర్ అథెంటికేషన్ (MFA)ఉదాహరణకు సిస్కో DUO.
(ఐచ్ఛికం): పై ఉదాహరణలో, మేము రిమోట్ యూజర్లను ప్రామాణీకరించడానికి ITUలో స్థానిక వినియోగదారుని ఉపయోగించాము, అయితే ఇది ప్రయోగశాలలో తప్ప, సరిగ్గా వర్తించదు. ప్రమాణీకరణ కోసం సెట్టింగ్ను త్వరగా ఎలా స్వీకరించాలో నేను ఒక ఉదాహరణ ఇస్తాను RADIUS సర్వర్, ఉదాహరణకు ఉపయోగించబడుతుంది సిస్కో ఐడెంటిటీ సర్వీసెస్ ఇంజిన్:
ఈ ఏకీకరణ AD డైరెక్టరీ సేవతో ప్రామాణీకరణ విధానాన్ని త్వరగా ఏకీకృతం చేయడమే కాకుండా, కనెక్ట్ చేయబడిన కంప్యూటర్ ADకి చెందినదా అని గుర్తించడం, ఈ పరికరం కార్పొరేట్ లేదా వ్యక్తిగతమా అని అర్థం చేసుకోవడం మరియు కనెక్ట్ చేయబడిన పరికరం యొక్క స్థితిని అంచనా వేయడం కూడా సాధ్యం చేసింది. .
పారదర్శక NATని కాన్ఫిగర్ చేద్దాం, తద్వారా క్లయింట్ మరియు కార్పొరేట్ నెట్వర్క్ నెట్వర్క్ వనరుల మధ్య ట్రాఫిక్ స్క్రైబుల్ చేయబడదు:
vpn-demo-1(config-network-object)# subnet 192.168.20.0 255.255.255.0
!
vpn-demo-1(config)# nat (inside,outside) source static any any destination static vpn-users vpn-users no-proxy-arp
(ఐచ్ఛికం): ASA ద్వారా మా క్లయింట్లను ఇంటర్నెట్కు బహిర్గతం చేయడానికి (ఉపయోగిస్తున్నప్పుడు సొరంగం ఎంపికలు) PATని ఉపయోగించడం, అలాగే అవి కనెక్ట్ చేయబడిన అదే బాహ్య ఇంటర్ఫేస్ ద్వారా నిష్క్రమించడం, మీరు ఈ క్రింది సెట్టింగ్లను చేయాలి
క్లస్టర్ను ఉపయోగిస్తున్నప్పుడు, వినియోగదారులకు ఏ ASA రిటర్న్ ట్రాఫిక్ను రూట్ చేయాలో అర్థం చేసుకోవడానికి అంతర్గత నెట్వర్క్ను ప్రారంభించడం చాలా ముఖ్యం, దీని కోసం మీరు క్లయింట్లకు జారీ చేసిన మార్గాలు / 32 చిరునామాలను పునఃపంపిణీ చేయాలి.
ప్రస్తుతానికి, మేము ఇంకా క్లస్టర్ను కాన్ఫిగర్ చేయలేదు, కానీ మేము ఇప్పటికే పని చేస్తున్న VPN గేట్వేలను కలిగి ఉన్నాము, వీటిని వ్యక్తిగతంగా FQDN లేదా IP ద్వారా కనెక్ట్ చేయవచ్చు.
మేము మొదటి ASA యొక్క రూటింగ్ పట్టికలో కనెక్ట్ చేయబడిన క్లయింట్ని చూస్తాము:
మా మొత్తం VPN క్లస్టర్ మరియు మొత్తం కార్పొరేట్ నెట్వర్క్ మా క్లయింట్కు వెళ్లే మార్గాన్ని తెలుసుకోవడం కోసం, మేము క్లయింట్ ఉపసర్గను డైనమిక్ రూటింగ్ ప్రోటోకాల్గా పునఃపంపిణీ చేస్తాము, ఉదాహరణకు OSPF:
ఇప్పుడు మేము రెండవ ASA-2 గేట్వే నుండి క్లయింట్కి ఒక మార్గాన్ని కలిగి ఉన్నాము మరియు క్లస్టర్లోని వివిధ VPN గేట్వేలకు కనెక్ట్ చేయబడిన వినియోగదారులు, ఉదాహరణకు, కార్పొరేట్ సాఫ్ట్ఫోన్ ద్వారా నేరుగా కమ్యూనికేట్ చేయవచ్చు, అలాగే వినియోగదారు అభ్యర్థించిన వనరుల నుండి ట్రాఫిక్ను తిరిగి పొందవచ్చు. కావలసిన VPN గేట్వేకి రండి:
లోడ్-బ్యాలెన్సింగ్ క్లస్టర్ను కాన్ఫిగర్ చేయడానికి ముందుకు వెళ్దాం.
192.168.31.40 చిరునామా వర్చువల్ IPగా ఉపయోగించబడుతుంది (VIP - అన్ని VPN క్లయింట్లు మొదట దీనికి కనెక్ట్ అవుతాయి), ఈ చిరునామా నుండి మాస్టర్ క్లస్టర్ తక్కువ లోడ్ చేయబడిన క్లస్టర్ నోడ్కి రీడైరెక్ట్ చేస్తుంది. రాయడం మర్చిపోవద్దు ఫార్వర్డ్ మరియు రివర్స్ DNS రికార్డ్ క్లస్టర్ యొక్క ప్రతి నోడ్ యొక్క ప్రతి బాహ్య చిరునామా / FQDN మరియు VIP కోసం.
మేము రెండు కనెక్ట్ చేయబడిన క్లయింట్లతో క్లస్టర్ యొక్క ఆపరేషన్ను తనిఖీ చేస్తాము:
ASDM ద్వారా ఆటోమేటిక్గా లోడ్ చేయబడిన AnyConnect ప్రొఫైల్తో కస్టమర్ అనుభవాన్ని మరింత సౌకర్యవంతంగా చేద్దాం.
మేము అనుకూలమైన మార్గంలో ప్రొఫైల్కు పేరు పెట్టాము మరియు మా సమూహ విధానాన్ని దానితో అనుబంధిస్తాము:
క్లయింట్ యొక్క తదుపరి కనెక్షన్ తర్వాత, ఈ ప్రొఫైల్ స్వయంచాలకంగా డౌన్లోడ్ చేయబడుతుంది మరియు AnyConnect క్లయింట్లో ఇన్స్టాల్ చేయబడుతుంది, కాబట్టి మీరు కనెక్ట్ చేయవలసి వస్తే, మీరు దీన్ని జాబితా నుండి ఎంచుకోవాలి:
మేము ASDMని ఉపయోగించి ఒక ASAలో మాత్రమే ఈ ప్రొఫైల్ని సృష్టించాము కాబట్టి, క్లస్టర్లోని ఇతర ASAలపై దశలను పునరావృతం చేయడం మర్చిపోవద్దు.
తీర్మానం: అందువలన, మేము ఆటోమేటిక్ లోడ్ బ్యాలెన్సింగ్తో అనేక VPN గేట్వేల క్లస్టర్ను త్వరగా అమలు చేసాము. కొత్త ASAv వర్చువల్ మిషన్లను అమలు చేయడం లేదా హార్డ్వేర్ ASAలను ఉపయోగించడం ద్వారా సాధారణ క్షితిజ సమాంతర స్కేలింగ్తో క్లస్టర్కి కొత్త నోడ్లను జోడించడం సులభం. ఫీచర్-రిచ్ AnyConnect క్లయింట్ సురక్షిత రిమోట్ కనెక్షన్ని ఉపయోగించడం ద్వారా గొప్పగా మెరుగుపరుస్తుంది భంగిమ (రాష్ట్ర అంచనాలు), కేంద్రీకృత నియంత్రణ మరియు యాక్సెస్ అకౌంటింగ్ వ్యవస్థతో కలిపి అత్యంత ప్రభావవంతంగా ఉపయోగించబడుతుంది గుర్తింపు సేవల ఇంజిన్.