Дар ин мақола, ман мехоҳам дастурҳои зина ба зина пешниҳод кунам, ки чӣ гуна шумо метавонед схемаи миқёспазиртаринро дар айни замон зуд ҷойгир кунед. Дастрасии дурдаст VPN дастрасӣ дар асоси AnyConnect ва Cisco ASA - Кластери мувозинати сарбории VPN.
Муқаддима: Бисёре аз ширкатҳо дар саросари ҷаҳон ба далели вазъи кунунии COVID-19 талош мекунанд, ки кормандони худро ба кори фосилавӣ интиқол диҳанд. Аз сабаби гузариши васеъ ба кори дурдаст, сарборӣ ба шлюзҳои мавҷудаи VPN-и ширкатҳо ба таври ҷиддӣ меафзояд ва қобилияти хеле зуд барои миқёси онҳо талаб карда мешавад. Аз тарафи дигар, бисьёр ширкатхо мачбуранд, ки шитобкорона консепсияи кори дурдастро аз сифр азхуд кунанд.
Барои кӯмак ба тиҷорат ба зудӣ дар татбиқи дастрасии қулай, бехатар ва миқёспазири VPN барои кормандон, Cisco иҷозатномаҳои то 13-ҳафтаина барои муштарии дорои хусусияти AnyConnect SSL-VPN медиҳад.
Ман як дастури зина ба зина барои ҷойгиркунии оддии VPN Cluster Load-Balancing ҳамчун технологияи миқёспазиртарин VPN омода кардам.
Намунаи дар поён овардашуда аз нуқтаи назари алгоритмҳои аутентификатсия ва авторизатсия истифодашаванда хеле содда хоҳад буд, аммо он як варианти хуб барои оғози зуд хоҳад буд (ки ҳоло он чизест, ки бисёр одамон намерасанд) бо имкони мутобиқсозии амиқ ба эҳтиёҷоти шумо дар ҷараёни ҷойгиркунӣ.
Маълумоти мухтасар: Технологияи VPN Load Balancing Cluster ба маънои аслии худ нокомӣ ё функсияи кластерӣ нест; ин технология метавонад моделҳои комилан гуногуни ASA-ро (бо маҳдудиятҳои муайян) муттаҳид кунад, то тавозуни пайвастҳои дурдаст-дастрасии VPN-ро бор кунад. Дар байни гиреҳҳои чунин кластер синхронизатсияи сессияҳо ва конфигуратсияҳо вуҷуд надорад, аммо имкон дорад, ки ба таври худкор пайвастҳои VPN-и мувозинатро бор кунанд ва то дар кластер ҳадди аққал як гиреҳи фаъол боқӣ намонад, таҳаммулпазирии хатогиҳои пайвастҳои VPN-ро таъмин кард. Сарборӣ дар кластер ба таври худкор вобаста ба сарбории гиреҳҳо аз рӯи шумораи сессияҳои VPN мутавозин карда мешавад.
Барои нокомии гиреҳҳои мушаххаси кластер (агар лозим бошад) файлро истифода бурдан мумкин аст, бинобар ин пайвасти фаъол аз ҷониби гиреҳи ибтидоии файлкунанда идора карда мешавад. Fileover шарти зарурӣ барои таъмини таҳаммулпазирии хатогиҳо дар кластери Load-Balancing нест, худи кластер дар сурати нокомии гиреҳ сеанси корбарро ба дигар гиреҳи зинда интиқол медиҳад, аммо бидуни нигоҳ доштани ҳолати пайвастшавӣ, ки дақиқ аст аз ҷониби файлкунанда пешниҳод карда мешавад. Мувофиқи он, агар лозим бошад, ин ду технологияро якҷоя кардан мумкин аст.
Кластери VPN Load-Balancing метавонад зиёда аз ду гиреҳ дошта бошад.
VPN Cluster Load-Balancing дар ASA 5512-X ва болотар дастгирӣ карда мешавад.
Азбаски ҳар як ASA дар дохили кластери VPN Load-Balancing аз ҷиҳати танзимот як воҳиди мустақил аст, мо ҳама қадамҳои конфигуратсияро дар ҳар як дастгоҳи алоҳида иҷро мекунем.
Топологияи мантиқии мисоли додашуда:
Ҷойгиркунии ибтидоӣ:
-
Мо намунаҳои ASAv-и қолибҳои ба мо лозимиро (ASAv5/10/30/50) аз тасвир ҷойгир мекунем.
-
Мо интерфейсҳои INSIDE/BEUNSIDE-ро ба ҳамон VLAN таъин мекунем (Дар берун дар VLAN-и худ, INSIDE дар худ, аммо дар дохили кластер маъмул аст, ба топология нигаред), муҳим аст, ки интерфейсҳои як навъ дар як сегменти L2 ҷойгир бошанд.
-
Литсензияҳо:
- Ҳангоми насбкунӣ, ASAv ягон иҷозатнома надорад ва бо 100 кбит/с маҳдуд мешавад.
- Барои насб кардани литсензия, шумо бояд дар ҳисоби Smart-Account-и худ нишона тавлид кунед:
https://software.cisco.com/ -> Иҷозатномаи нармафзори Smart - Дар равзанаи кушодашуда тугмаро пахш кунед Токени нав
- Боварӣ ҳосил кунед, ки дар равзанаи кушодашуда майдони фаъол мавҷуд аст ва аломати чек гузошта шудааст Ба функсионалии аз ҷониби содирот назоратшаванда иҷозат диҳед... Бе ин майдони фаъол, шумо наметавонед функсияҳои рамзгузории қавӣ ва мувофиқан VPN-ро истифода баред. Агар ин майдон фаъол набошад, лутфан бо дастаи ҳисоби худ тамос гиред, то фаъолсозӣ дархост кунед.
- Пас аз пахш кардани тугма Токенро эҷод кунед, нишонае сохта мешавад, ки мо барои гирифтани литсензия барои ASAv истифода хоҳем кард, онро нусхабардорӣ кунед:
- Қадамҳои C, D, E -ро барои ҳар як ASAv ҷойгиршуда такрор кунед.
- Барои осон кардани нусхабардории аломат, биёед муваққатан ба telnet иҷозат диҳем. Биёед ҳар як ASA-ро танзим кунем (мисоли зер танзимотро дар ASA-1 нишон медиҳад). telnet аз берун кор намекунад, агар ба шумо воқеан лозим бошад, сатҳи амниятро ба 100 ба берун иваз кунед, пас онро дубора иваз кунед.
! ciscoasa(config)# int gi0/0 ciscoasa(config)# nameif outside ciscoasa(config)# ip address 192.168.31.30 255.255.255.0 ciscoasa(config)# no shut ! ciscoasa(config)# int gi0/1 ciscoasa(config)# nameif inside ciscoasa(config)# ip address 192.168.255.2 255.255.255.0 ciscoasa(config)# no shut ! ciscoasa(config)# telnet 0 0 inside ciscoasa(config)# username admin password cisco priv 15 ciscoasa(config)# ena password cisco ciscoasa(config)# aaa authentication telnet console LOCAL ! ciscoasa(config)# route outside 0 0 192.168.31.1 ! ciscoasa(config)# wr !
- Барои сабти нишона дар абри Smart-Account, шумо бояд дастрасии интернетро ба ASA таъмин кунед,
тафсилот дар ин ҷо .
Дар кӯтоҳ, ASA лозим аст:
- дастрасии интернет тавассути HTTPS;
- ҳамоҳангсозии вақт (дурусттар, тавассути NTP);
- сервери DNS сабтшуда;
- Мо тавассути телнет ба ASA-и худ меравем ва барои фаъол кардани иҷозатнома тавассути Smart-Account танзимот месозем.
! ciscoasa(config)# clock set 19:21:00 Mar 18 2020 ciscoasa(config)# clock timezone MSK 3 ciscoasa(config)# ntp server 192.168.99.136 ! ciscoasa(config)# dns domain-lookup outside ciscoasa(config)# DNS server-group DefaultDNS ciscoasa(config-dns-server-group)# name-server 192.168.99.132 ! ! Проверим работу DNS: ! ciscoasa(config-dns-server-group)# ping ya.ru Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 87.250.250.242, timeout is 2 seconds: !!!!! ! ! Проверим синхронизацию NTP: ! ciscoasa(config)# show ntp associations address ref clock st when poll reach delay offset disp *~192.168.99.136 91.189.94.4 3 63 64 1 36.7 1.85 17.5 * master (synced), # master (unsynced), + selected, - candidate, ~ configured ! ! Установим конфигурацию нашей ASAv для Smart-Licensing (в соответствии с Вашим профилем, в моем случае 100М для примера) ! ciscoasa(config)# license smart ciscoasa(config-smart-lic)# feature tier standard ciscoasa(config-smart-lic)# throughput level 100M ! ! В случае необходимости можно настроить доступ в Интернет через прокси используйте следующий блок команд: !call-home ! http-proxy ip_address port port ! ! Далее мы вставляем скопированный из портала Smart-Account токен (<token>) и регистрируем лицензию ! ciscoasa(config)# end ciscoasa# license smart register idtoken <token>
- Мо тафтиш мекунем, ки дастгоҳ иҷозатномаро бомуваффақият сабт кардааст ва имконоти рамзгузорӣ мавҷуд аст:
-
Дар ҳар як дарвоза SSL-VPN-и асосӣ насб кунед
- Баъдан, дастрасиро тавассути SSH ва ASDM танзим кунед:
ciscoasa(config)# ssh ver 2 ciscoasa(config)# aaa authentication ssh console LOCAL ciscoasa(config)# aaa authentication http console LOCAL ciscoasa(config)# hostname vpn-demo-1 vpn-demo-1(config)# domain-name ashes.cc vpn-demo-1(config)# cry key gen rsa general-keys modulus 4096 vpn-demo-1(config)# ssh 0 0 inside vpn-demo-1(config)# http 0 0 inside ! ! Поднимем сервер HTTPS для ASDM на порту 445 чтобы не пересекаться с SSL-VPN порталом ! vpn-demo-1(config)# http server enable 445 !
- Барои кор кардани ASDM, шумо бояд аввал онро аз вебсайти cisco.com зеркашӣ кунед, дар ҳолати ман ин файли зерин аст:
- Барои кор кардани муштарии AnyConnect, шумо бояд тасвиреро ба ҳар як ASA барои ҳар як мизоҷи мизи кории OS бор кунед (ба нақша гирифта шудааст, ки истифодаи Linux / Windows / MAC), ба шумо файле лозим аст Бастаи густариши Headend Дар сарлавҳа:
- Файлҳои зеркашида метавонанд, масалан, ба сервери FTP бор карда шаванд ва ба ҳар як ASA инфиродӣ бор карда шаванд:
- Мо ASDM ва сертификати худидоракунии имзошударо барои SSL-VPN танзим мекунем (дар истеҳсолот истифода бурдани сертификати боэътимод тавсия дода мешавад). FQDN-и муқарраршудаи Суроғаи виртуалии кластер (vpn-demo.ashes.cc), инчунин ҳар як FQDN, ки бо суроғаи берунии ҳар як гиреҳи кластер алоқаманд аст, бояд дар минтақаи DNS беруна ба суроғаи IP интерфейси OUTSIDE (ё) ҳал карда шавад. ба суроғаи хариташуда, агар интиқоли порти udp/443 (DTLS) ва tcp/443 (TLS) истифода шавад). Маълумоти муфассал дар бораи талабот ба сертификат дар боб нишон дода шудааст Тасдиқи шаҳодатнома ҳуҷҷатгузорӣ.
! vpn-demo-1(config)# crypto ca trustpoint SELF vpn-demo-1(config-ca-trustpoint)# enrollment self vpn-demo-1(config-ca-trustpoint)# fqdn vpn-demo.ashes.cc vpn-demo-1(config-ca-trustpoint)# subject-name cn=*.ashes.cc, ou=ashes-lab, o=ashes, c=ru vpn-demo-1(config-ca-trustpoint)# serial-number vpn-demo-1(config-ca-trustpoint)# crl configure vpn-demo-1(config-ca-crl)# cry ca enroll SELF % The fully-qualified domain name in the certificate will be: vpn-demo.ashes.cc Generate Self-Signed Certificate? [yes/no]: yes vpn-demo-1(config)# ! vpn-demo-1(config)# sh cry ca certificates Certificate Status: Available Certificate Serial Number: 4d43725e Certificate Usage: General Purpose Public Key Type: RSA (4096 bits) Signature Algorithm: SHA256 with RSA Encryption Issuer Name: serialNumber=9A439T02F95 hostname=vpn-demo.ashes.cc cn=*.ashes.cc ou=ashes-lab o=ashes c=ru Subject Name: serialNumber=9A439T02F95 hostname=vpn-demo.ashes.cc cn=*.ashes.cc ou=ashes-lab o=ashes c=ru Validity Date: start date: 00:16:17 MSK Mar 19 2020 end date: 00:16:17 MSK Mar 17 2030 Storage: config Associated Trustpoints: SELF CA Certificate Status: Available Certificate Serial Number: 0509 Certificate Usage: General Purpose Public Key Type: RSA (4096 bits) Signature Algorithm: SHA1 with RSA Encryption Issuer Name: cn=QuoVadis Root CA 2 o=QuoVadis Limited c=BM Subject Name: cn=QuoVadis Root CA 2 o=QuoVadis Limited c=BM Validity Date: start date: 21:27:00 MSK Nov 24 2006 end date: 21:23:33 MSK Nov 24 2031 Storage: config Associated Trustpoints: _SmartCallHome_ServerCA
- Фаромӯш накунед, ки портро барои санҷиши кор кардани ASDM муайян кунед, масалан:
- Биёед танзимоти асосии нақбро иҷро кунем:
- Биёед шабакаи корпоративиро тавассути нақб дастрас кунем ва бигзоред, ки Интернет мустақиман равад (на усули бехавф, агар дар ҳости пайвасткунанда муҳофизат мавҷуд набошад, тавассути ҳости сироятшуда ворид шудан ва намоиш додани маълумоти корпоративӣ имконпазир аст. нақби тақсимкунӣ-сиёсати tunnelall ҳамаи трафики мизбонро ба туннел иҷозат медиҳад. Бо вучуди ин Туннели тақсимшуда имкон медиҳад, ки шлюзи VPN бор карда шавад ва трафики интернетии мизбонро коркард накунад)
- Мо дар туннел ҳостҳоро бо суроғаҳои зершабакаи 192.168.20.0/24 мебарорем (ҳавзи аз 10 то 30 суроға (барои гиреҳи №1)). Ҳар як гиреҳи кластери VPN бояд ҳавзи худро дошта бошад.
- Биёед аутентификатсияи асосиро бо корбари ба таври маҳаллӣ сохташуда дар ASA иҷро кунем (Ин тавсия дода намешавад, ин соддатарин усул аст), беҳтар аст аутентификатсия тавассути LDAP/РАДИУС, ё беҳтар, галстук Аутентификатсияи бисёрфакторӣ (МФА), барои мисол Cisco DUO.
! vpn-demo-1(config)# ip local pool vpn-pool 192.168.20.10-192.168.20.30 mask 255.255.255.0 ! vpn-demo-1(config)# access-list split-tunnel standard permit 192.168.0.0 255.255.0.0 ! vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY internal vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY attributes vpn-demo-1(config-group-policy)# vpn-tunnel-protocol ssl-client vpn-demo-1(config-group-policy)# split-tunnel-policy tunnelspecified vpn-demo-1(config-group-policy)# split-tunnel-network-list value split-tunnel vpn-demo-1(config-group-policy)# dns-server value 192.168.99.132 vpn-demo-1(config-group-policy)# default-domain value ashes.cc vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes vpn-demo-1(config-tunnel-general)# default-group-policy SSL-VPN-GROUP-POLICY vpn-demo-1(config-tunnel-general)# address-pool vpn-pool ! vpn-demo-1(config)# username dkazakov password cisco vpn-demo-1(config)# username dkazakov attributes vpn-demo-1(config-username)# service-type remote-access ! vpn-demo-1(config)# ssl trust-point SELF vpn-demo-1(config)# webvpn vpn-demo-1(config-webvpn)# enable outside vpn-demo-1(config-webvpn)# anyconnect image disk0:/anyconnect-win-4.8.03036-webdeploy-k9.pkg vpn-demo-1(config-webvpn)# anyconnect enable !
- (Ихтиёрӣ): Дар мисоли дар боло овардашуда, мо як корбари маҳаллиро дар брандмауэр барои тасдиқи корбарони дурдаст истифода бурдем, ки ин албатта ба ҷуз дар лаборатория истифода намешавад. Ман як мисол меорам, ки чӣ тавр ба зудӣ танзимотро барои аутентификатсия мутобиқ кардан мумкин аст радиус сервер, масалан истифода бурда мешавад Engine Cisco Identity Services:
vpn-demo-1(config-aaa-server-group)# dynamic-authorization vpn-demo-1(config-aaa-server-group)# interim-accounting-update vpn-demo-1(config-aaa-server-group)# aaa-server RADIUS (outside) host 192.168.99.134 vpn-demo-1(config-aaa-server-host)# key cisco vpn-demo-1(config-aaa-server-host)# exit vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes vpn-demo-1(config-tunnel-general)# authentication-server-group RADIUS !
Ин ҳамгироӣ имкон дод, ки на танҳо раванди аутентификатсияро бо хидмати директорияи AD зуд муттаҳид созад, балки инчунин фарқ кунад, ки оё компютери пайвастшуда ба AD тааллуқ дорад, фаҳмад, ки он дастгоҳи корпоративӣ аст ё шахси шахсӣ ва баҳодиҳии ҳолати пайвастшуда. дастгоҳ.
- Биёед Transparent NAT-ро танзим кунем, то трафик байни муштарӣ ва захираҳои шабакавии шабакаи корпоративӣ халал нарасонад:
vpn-demo-1(config-network-object)# subnet 192.168.20.0 255.255.255.0 ! vpn-demo-1(config)# nat (inside,outside) source static any any destination static vpn-users vpn-users no-proxy-arp
- (Ихтиёрӣ): Бо мақсади фош кардани мизоҷони мо ба Интернет тавассути ASA (ҳангоми истифода туннелл имконоти) бо истифода аз PAT ва инчунин тавассути ҳамон интерфейси БЕРУНЕ, ки онҳо аз он пайвастанд, баромадан, шумо бояд танзимоти зеринро иҷро кунед
vpn-demo-1(config-network-object)# nat (outside,outside) source dynamic vpn-users interface vpn-demo-1(config)# nat (inside,outside) source dynamic any interface vpn-demo-1(config)# same-security-traffic permit intra-interface !
- Ҳангоми истифодаи кластер хеле муҳим аст, то ба шабакаи дохилӣ фаҳмад, ки кадом ASA трафики баргардонидани трафикро ба корбарон равона кунад; барои ин аз нав тақсим кардани хатсайрҳо /32 суроғаҳои ба мизоҷон додашуда зарур аст.
Дар айни замон, мо то ҳол кластерро танзим накардаем, аммо мо аллакай шлюзҳои коркунандаи VPN дорем, ки шумо метавонед ба таври инфиродӣ тавассути FQDN ё IP пайваст шавед.
Мо муштарии пайвастшударо дар ҷадвали масири аввалин ASA мебинем:
Барои он ки тамоми кластери VPN ва тамоми шабакаи корпоративии мо масир ба муштарии моро донад, мо префикси муштариро ба протоколи масиркунии динамикӣ аз нав тақсим мекунем, масалан OSPF:
! vpn-demo-1(config)# route-map RMAP-VPN-REDISTRIBUTE permit 1 vpn-demo-1(config-route-map)# match ip address VPN-REDISTRIBUTE ! vpn-demo-1(config)# router ospf 1 vpn-demo-1(config-router)# network 192.168.255.0 255.255.255.0 area 0 vpn-demo-1(config-router)# log-adj-changes vpn-demo-1(config-router)# redistribute static metric 5000 subnets route-map RMAP-VPN-REDISTRIBUTE
Ҳоло мо аз шлюзи дуюми ASA-2 ба муштарӣ роҳ дорем ва корбароне, ки ба шлюзҳои гуногуни VPN дар дохили кластер пайваст шудаанд, метавонанд, масалан, тавассути нармафзори корпоративӣ мустақиман муошират кунанд, ҳамон тавре ки трафики бозгашт аз захираҳои дархосткардаи корбар мерасад. дар дарвозаи VPN дилхоҳ:
-
Биёед ба конфигуратсияи кластери Load-Balancing гузарем.
Суроғаи 192.168.31.40 ҳамчун IP-и виртуалӣ истифода мешавад (VIP - ҳама муштариёни VPN дар аввал ба он пайваст мешаванд), аз ин суроға Мастер Кластер ба гиреҳи кластери камтар боршуда REDIRECT мекунад. Сабти номро фаромӯш накунед сабтҳои DNS пеш ва баръакс ҳам барои ҳар як суроғаи беруна / FQDN ҳар як гиреҳи кластер ва барои VIP.
vpn-demo-1(config)# vpn load-balancing vpn-demo-1(config-load-balancing)# interface lbpublic outside vpn-demo-1(config-load-balancing)# interface lbprivate inside vpn-demo-1(config-load-balancing)# priority 10 vpn-demo-1(config-load-balancing)# cluster ip address 192.168.31.40 vpn-demo-1(config-load-balancing)# cluster port 4000 vpn-demo-1(config-load-balancing)# redirect-fqdn enable vpn-demo-1(config-load-balancing)# cluster key cisco vpn-demo-1(config-load-balancing)# cluster encryption vpn-demo-1(config-load-balancing)# cluster port 9023 vpn-demo-1(config-load-balancing)# participate vpn-demo-1(config-load-balancing)#
- Мо кори кластерро бо ду муштарии пайваст тафтиш мекунем:
- Биёед таҷрибаи муштариро бо профили ба таври худкор зеркашидашудаи AnyConnect тавассути ASDM қулайтар кунем.
Мо профилро ба таври қулай ном мебарем ва сиёсати гурӯҳи худро бо он алоқаманд мекунем:
Пас аз пайвасти навбатии муштарӣ, ин профил ба таври худкор дар мизоҷи AnyConnect зеркашӣ ва насб карда мешавад, бинобар ин, агар ба шумо пайваст шудан лозим бошад, шумо бояд онро аз рӯйхат интихоб кунед:
Азбаски истифодаи ASDM мо ин профилро танҳо дар як ASA офаридаем, фаромӯш накунед, ки қадамҳои боқимондаи ASA-ҳои кластерро такрор кунед.
Хулоса: Ҳамин тариқ, мо зуд кластери якчанд шлюзи VPN-ро бо мутавозуни автоматии сарборӣ ҷойгир кардем. Илова кардани гиреҳҳои нав ба кластер осон аст, ба даст овардани миқёси оддии уфуқӣ тавассути ҷойгиркунии мошинҳои нави виртуалии ASAv ё истифодаи сахтафзори ASAs. Мизоҷи дорои хусусияти бойи AnyConnect метавонад бо истифода аз пайвасти дурдасти амниро хеле беҳтар созад Ҳолат (баҳодиҳии давлатӣ), дар якчоягй бо системаи назорати мутамарказ ва бахисобгирии дастрасй бештар самаранок истифода бурда мешавад Муҳаррики хидматҳои шахсият.
Манбаъ: will.com