ในบทความนี้ ฉันต้องการให้คำแนะนำทีละขั้นตอนเกี่ยวกับวิธีที่คุณสามารถปรับใช้โครงร่างที่ปรับขนาดได้มากที่สุดอย่างรวดเร็วในขณะนี้ VPN การเข้าถึงระยะไกล การเข้าถึงตาม AnyConnect และ Cisco ASA - คลัสเตอร์สมดุลการโหลด VPN.
บทนำ: หลายบริษัททั่วโลกที่ตระหนักถึงสถานการณ์ปัจจุบันของโควิด-19 กำลังพยายามโอนย้ายพนักงานของตนไปทำงานทางไกล เนื่องจากการเปลี่ยนแปลงจำนวนมากไปสู่การทำงานระยะไกล ภาระงานบนเกตเวย์ VPN ของบริษัทที่มีอยู่จึงเพิ่มขึ้นอย่างมาก และต้องการความสามารถที่รวดเร็วมากในการปรับขนาดเกตเวย์เหล่านั้น ในทางกลับกัน หลายๆ บริษัทถูกบังคับให้ต้องรีบฝึกฝนแนวคิดของการทำงานจากระยะไกลตั้งแต่เริ่มต้น
เพื่อช่วยให้ธุรกิจเข้าถึง VPN ที่สะดวก ปลอดภัย และปรับขนาดได้สำหรับพนักงานในเวลาที่สั้นที่สุดเท่าที่จะเป็นไปได้ Cisco อนุญาตให้ใช้สิทธิ์ไคลเอนต์ SSL-VPN ที่มีคุณสมบัติหลากหลายของ AnyConnect ได้นานถึง 13 สัปดาห์ .
.
ฉันได้เตรียมคำแนะนำทีละขั้นตอนสำหรับการปรับใช้อย่างง่ายของ VPN Load-Balancing Cluster เป็นเทคโนโลยี VPN ที่ปรับขนาดได้มากที่สุด
ตัวอย่างด้านล่างจะค่อนข้างง่ายในแง่ของอัลกอริทึมการพิสูจน์ตัวตนและการอนุญาตที่ใช้ แต่จะเป็นตัวเลือกที่ดีสำหรับการเริ่มต้นอย่างรวดเร็ว (ซึ่งปัจจุบันยังไม่เพียงพอสำหรับหลาย ๆ คน) โดยมีความเป็นไปได้ในการปรับเชิงลึกตามความต้องการของคุณระหว่างการปรับใช้ กระบวนการ.
ข้อมูลโดยย่อ: เทคโนโลยี VPN Load Balancing Cluster ไม่ใช่การเฟลโอเวอร์และไม่ใช่ฟังก์ชันการทำคลัสเตอร์ในความหมายดั้งเดิม เทคโนโลยีนี้สามารถรวมโมเดล ASA ที่แตกต่างกันอย่างสิ้นเชิง (โดยมีข้อจำกัดบางประการ) เพื่อโหลดบาลานซ์การเชื่อมต่อ Remote-Access VPN ไม่มีการซิงโครไนซ์เซสชันและการกำหนดค่าระหว่างโหนดของคลัสเตอร์ดังกล่าว แต่เป็นไปได้ที่จะโหลดการเชื่อมต่อ VPN ที่สมดุลโดยอัตโนมัติและตรวจสอบความทนทานต่อข้อผิดพลาดของการเชื่อมต่อ VPN จนกว่าโหนดที่ใช้งานอยู่อย่างน้อยหนึ่งโหนดจะยังคงอยู่ในคลัสเตอร์ โหลดในคลัสเตอร์จะสมดุลโดยอัตโนมัติโดยขึ้นอยู่กับปริมาณงานของโหนดตามจำนวนเซสชัน VPN
สำหรับความล้มเหลวของโหนดเฉพาะของคลัสเตอร์ (หากจำเป็น) สามารถใช้ filer ได้ ดังนั้นการเชื่อมต่อที่ใช้งานอยู่จะถูกจัดการโดยโหนดหลักของ filer ไฟล์โอเวอร์ไม่ใช่เงื่อนไขที่จำเป็นสำหรับการรับรองความทนทานต่อข้อผิดพลาดภายในคลัสเตอร์ Load-Balancing ตัวคลัสเตอร์เอง ในกรณีที่โหนดล้มเหลว จะโอนเซสชันผู้ใช้ไปยังโหนดที่ใช้งานอยู่อื่น แต่จะไม่บันทึกสถานะการเชื่อมต่อ ซึ่งก็คือ จัดทำโดยไฟล์ ดังนั้นจึงเป็นไปได้หากจำเป็นที่จะรวมเทคโนโลยีทั้งสองนี้เข้าด้วยกัน
คลัสเตอร์ VPN Load-Balancing สามารถมีโหนดได้มากกว่าสองโหนด
VPN Load-Balancing Cluster ได้รับการสนับสนุนบน ASA 5512-X ขึ้นไป
เนื่องจาก ASA แต่ละรายการภายในคลัสเตอร์ VPN Load-Balancing เป็นหน่วยอิสระในแง่ของการตั้งค่า เราจึงดำเนินขั้นตอนการกำหนดค่าทั้งหมดแยกจากกันในแต่ละอุปกรณ์
โทโพโลยีเชิงตรรกะของตัวอย่างที่กำหนด:
การปรับใช้หลัก:
-
เราปรับใช้อินสแตนซ์ ASAv ของเทมเพลตที่เราต้องการ (ASAv5/10/30/50) จากอิมเมจ
-
เรากำหนดอินเทอร์เฟซ INSIDE / OUTSIDE ให้กับ VLAN เดียวกัน (ภายนอกใน VLAN ของตัวเอง INSIDE ในตัวของมันเอง แต่โดยทั่วไปภายในคลัสเตอร์ ดูที่โทโพโลยี) สิ่งสำคัญคืออินเทอร์เฟซประเภทเดียวกันอยู่ในส่วน L2 เดียวกัน
-
ใบอนุญาต:
- ในขณะนี้ การติดตั้ง ASAv จะไม่มีใบอนุญาตใด ๆ และจะถูกจำกัดไว้ที่ 100kbps
- ในการติดตั้งใบอนุญาต คุณต้องสร้างโทเค็นในบัญชีสมาร์ทของคุณ: -> การให้สิทธิ์ใช้งานซอฟต์แวร์อัจฉริยะ
- ในหน้าต่างที่เปิดขึ้น ให้คลิกปุ่ม โทเค็นใหม่
- ตรวจสอบให้แน่ใจว่าในหน้าต่างที่เปิดขึ้นมีฟิลด์ที่ใช้งานอยู่และทำเครื่องหมายไว้ อนุญาตฟังก์ชันที่ควบคุมการส่งออก… หากไม่มีการใช้งานฟิลด์นี้ คุณจะไม่สามารถใช้ฟังก์ชันของการเข้ารหัสที่รัดกุมและ VPN ได้ หากฟิลด์นี้ใช้งานไม่ได้ โปรดติดต่อทีมบัญชีของคุณพร้อมคำขอเปิดใช้งาน
- หลังจากกดปุ่ม สร้างโทเค็นโทเค็นจะถูกสร้างขึ้นที่เราจะใช้เพื่อขอรับใบอนุญาตสำหรับ ASAv คัดลอก:
- ทำซ้ำขั้นตอน C,D,E สำหรับแต่ละ ASAv ที่ปรับใช้
- เพื่อให้ง่ายต่อการคัดลอกโทเค็น ให้อนุญาต telnet ชั่วคราว มากำหนดค่า ASA แต่ละรายการ (ตัวอย่างด้านล่างแสดงการตั้งค่าบน ASA-1) telnet ไม่ทำงานกับภายนอก ถ้าคุณต้องการจริงๆ ให้เปลี่ยนระดับความปลอดภัยเป็น 100 เป็นภายนอก จากนั้นส่งคืนกลับ
! ciscoasa(config)# int gi0/0 ciscoasa(config)# nameif outside ciscoasa(config)# ip address 192.168.31.30 255.255.255.0 ciscoasa(config)# no shut ! ciscoasa(config)# int gi0/1 ciscoasa(config)# nameif inside ciscoasa(config)# ip address 192.168.255.2 255.255.255.0 ciscoasa(config)# no shut ! ciscoasa(config)# telnet 0 0 inside ciscoasa(config)# username admin password cisco priv 15 ciscoasa(config)# ena password cisco ciscoasa(config)# aaa authentication telnet console LOCAL ! ciscoasa(config)# route outside 0 0 192.168.31.1 ! ciscoasa(config)# wr !- ในการลงทะเบียนโทเค็นในคลาวด์บัญชีอัจฉริยะคุณต้องให้การเข้าถึงอินเทอร์เน็ตสำหรับ ASA .
ในระยะสั้น ASA เป็นสิ่งจำเป็น:
- เข้าถึงผ่าน HTTPS ไปยังอินเทอร์เน็ต
- การซิงโครไนซ์เวลา (ถูกต้องมากขึ้นผ่าน NTP);
- เซิร์ฟเวอร์ DNS ที่ลงทะเบียน;
- เราเทลเน็ตไปยัง ASA ของเราและทำการตั้งค่าเพื่อเปิดใช้งานใบอนุญาตผ่านบัญชีอัจฉริยะ
! ciscoasa(config)# clock set 19:21:00 Mar 18 2020 ciscoasa(config)# clock timezone MSK 3 ciscoasa(config)# ntp server 192.168.99.136 ! ciscoasa(config)# dns domain-lookup outside ciscoasa(config)# DNS server-group DefaultDNS ciscoasa(config-dns-server-group)# name-server 192.168.99.132 ! ! Проверим работу DNS: ! ciscoasa(config-dns-server-group)# ping ya.ru Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 87.250.250.242, timeout is 2 seconds: !!!!! ! ! Проверим синхронизацию NTP: ! ciscoasa(config)# show ntp associations address ref clock st when poll reach delay offset disp *~192.168.99.136 91.189.94.4 3 63 64 1 36.7 1.85 17.5 * master (synced), # master (unsynced), + selected, - candidate, ~ configured ! ! Установим конфигурацию нашей ASAv для Smart-Licensing (в соответствии с Вашим профилем, в моем случае 100М для примера) ! ciscoasa(config)# license smart ciscoasa(config-smart-lic)# feature tier standard ciscoasa(config-smart-lic)# throughput level 100M ! ! В случае необходимости можно настроить доступ в Интернет через прокси используйте следующий блок команд: !call-home ! http-proxy ip_address port port ! ! Далее мы вставляем скопированный из портала Smart-Account токен (<token>) и регистрируем лицензию ! ciscoasa(config)# end ciscoasa# license smart register idtoken <token>- เราตรวจสอบว่าอุปกรณ์ได้ลงทะเบียนใบอนุญาตและมีตัวเลือกการเข้ารหัสเรียบร้อยแล้ว:
-
ตั้งค่า SSL-VPN พื้นฐานในแต่ละเกตเวย์
- ถัดไป กำหนดค่าการเข้าถึงผ่าน SSH และ ASDM:
ciscoasa(config)# ssh ver 2 ciscoasa(config)# aaa authentication ssh console LOCAL ciscoasa(config)# aaa authentication http console LOCAL ciscoasa(config)# hostname vpn-demo-1 vpn-demo-1(config)# domain-name ashes.cc vpn-demo-1(config)# cry key gen rsa general-keys modulus 4096 vpn-demo-1(config)# ssh 0 0 inside vpn-demo-1(config)# http 0 0 inside ! ! Поднимем сервер HTTPS для ASDM на порту 445 чтобы не пересекаться с SSL-VPN порталом ! vpn-demo-1(config)# http server enable 445 !- เพื่อให้ ASDM ทำงานได้ คุณต้องดาวน์โหลดจากเว็บไซต์ cisco.com ก่อน ในกรณีของฉันคือไฟล์ต่อไปนี้:
- เพื่อให้ไคลเอนต์ AnyConnect ทำงานได้ คุณต้องอัปโหลดรูปภาพไปยัง ASA แต่ละอันสำหรับระบบปฏิบัติการเดสก์ท็อปไคลเอ็นต์ที่ใช้ (วางแผนที่จะใช้ Linux / Windows / MAC) คุณจะต้องใช้ไฟล์ที่มี แพ็คเกจการปรับใช้ Headend ในหัวข้อ:
- ไฟล์ที่ดาวน์โหลดสามารถอัปโหลดได้ เช่น ไปยังเซิร์ฟเวอร์ FTP และอัปโหลดไปยัง ASA แต่ละตัว:
- เรากำหนดค่า ASDM และใบรับรองที่ลงนามด้วยตนเองสำหรับ SSL-VPN (แนะนำให้ใช้ใบรับรองที่เชื่อถือได้ในการผลิต) FQDN ที่ตั้งไว้ของที่อยู่คลัสเตอร์เสมือน (vpn-demo.ashes.cc) รวมถึงแต่ละ FQDN ที่เชื่อมโยงกับที่อยู่ภายนอกของแต่ละโหนดคลัสเตอร์ ต้องแก้ไขในโซน DNS ภายนอกเป็นที่อยู่ IP ของอินเทอร์เฟซภายนอก (หรือ ไปยังที่อยู่ที่แมปหากใช้การส่งต่อพอร์ต udp/443 (DTLS) และ tcp/443(TLS)) ข้อมูลโดยละเอียดเกี่ยวกับข้อกำหนดสำหรับใบรับรองระบุไว้ในส่วนนี้ การตรวจสอบใบรับรอง เอกสาร
! vpn-demo-1(config)# crypto ca trustpoint SELF vpn-demo-1(config-ca-trustpoint)# enrollment self vpn-demo-1(config-ca-trustpoint)# fqdn vpn-demo.ashes.cc vpn-demo-1(config-ca-trustpoint)# subject-name cn=*.ashes.cc, ou=ashes-lab, o=ashes, c=ru vpn-demo-1(config-ca-trustpoint)# serial-number vpn-demo-1(config-ca-trustpoint)# crl configure vpn-demo-1(config-ca-crl)# cry ca enroll SELF % The fully-qualified domain name in the certificate will be: vpn-demo.ashes.cc Generate Self-Signed Certificate? [yes/no]: yes vpn-demo-1(config)# ! vpn-demo-1(config)# sh cry ca certificates Certificate Status: Available Certificate Serial Number: 4d43725e Certificate Usage: General Purpose Public Key Type: RSA (4096 bits) Signature Algorithm: SHA256 with RSA Encryption Issuer Name: serialNumber=9A439T02F95 hostname=vpn-demo.ashes.cc cn=*.ashes.cc ou=ashes-lab o=ashes c=ru Subject Name: serialNumber=9A439T02F95 hostname=vpn-demo.ashes.cc cn=*.ashes.cc ou=ashes-lab o=ashes c=ru Validity Date: start date: 00:16:17 MSK Mar 19 2020 end date: 00:16:17 MSK Mar 17 2030 Storage: config Associated Trustpoints: SELF CA Certificate Status: Available Certificate Serial Number: 0509 Certificate Usage: General Purpose Public Key Type: RSA (4096 bits) Signature Algorithm: SHA1 with RSA Encryption Issuer Name: cn=QuoVadis Root CA 2 o=QuoVadis Limited c=BM Subject Name: cn=QuoVadis Root CA 2 o=QuoVadis Limited c=BM Validity Date: start date: 21:27:00 MSK Nov 24 2006 end date: 21:23:33 MSK Nov 24 2031 Storage: config Associated Trustpoints: _SmartCallHome_ServerCA- อย่าลืมระบุพอร์ตเพื่อตรวจสอบว่า ASDM ใช้งานได้ เช่น:
- มาทำการตั้งค่าพื้นฐานของอุโมงค์:
- มาทำให้เครือข่ายองค์กรพร้อมใช้งานผ่านอุโมงค์และปล่อยให้อินเทอร์เน็ตเชื่อมต่อโดยตรง (ไม่ใช่วิธีที่ปลอดภัยที่สุดหากไม่มีการป้องกันบนโฮสต์ที่เชื่อมต่อ เป็นไปได้ที่จะเจาะผ่านโฮสต์ที่ติดไวรัสและแสดงข้อมูลองค์กร ตัวเลือก อุโมงค์แยกนโยบายอุโมงค์ จะให้ทราฟฟิกโฮสต์ทั้งหมดเข้าสู่อุโมงค์ แต่ถึงอย่างไร แยกอุโมงค์ ทำให้สามารถออฟโหลดเกตเวย์ VPN และไม่ประมวลผลการรับส่งข้อมูลทางอินเทอร์เน็ตของโฮสต์)
- ให้เราส่งที่อยู่จากเครือข่ายย่อย 192.168.20.0/24 ไปยังโฮสต์ในอุโมงค์ (รวมที่อยู่ตั้งแต่ 10 ถึง 30 แห่ง (สำหรับโหนด #1)) แต่ละโหนดของคลัสเตอร์ VPN ต้องมีพูลของตัวเอง
- เราจะดำเนินการตรวจสอบสิทธิ์ขั้นพื้นฐานกับผู้ใช้ที่สร้างขึ้นในเครื่องบน ASA (ไม่แนะนำ นี่เป็นวิธีที่ง่ายที่สุด) ควรทำการตรวจสอบสิทธิ์ผ่าน LDAP/รัศมีหรือดีกว่ายังผูก การยืนยันตัวตนโดยใช้หลายปัจจัย (MFA)เช่น ซิสโก้ ดูโอ.
! vpn-demo-1(config)# ip local pool vpn-pool 192.168.20.10-192.168.20.30 mask 255.255.255.0 ! vpn-demo-1(config)# access-list split-tunnel standard permit 192.168.0.0 255.255.0.0 ! vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY internal vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY attributes vpn-demo-1(config-group-policy)# vpn-tunnel-protocol ssl-client vpn-demo-1(config-group-policy)# split-tunnel-policy tunnelspecified vpn-demo-1(config-group-policy)# split-tunnel-network-list value split-tunnel vpn-demo-1(config-group-policy)# dns-server value 192.168.99.132 vpn-demo-1(config-group-policy)# default-domain value ashes.cc vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes vpn-demo-1(config-tunnel-general)# default-group-policy SSL-VPN-GROUP-POLICY vpn-demo-1(config-tunnel-general)# address-pool vpn-pool ! vpn-demo-1(config)# username dkazakov password cisco vpn-demo-1(config)# username dkazakov attributes vpn-demo-1(config-username)# service-type remote-access ! vpn-demo-1(config)# ssl trust-point SELF vpn-demo-1(config)# webvpn vpn-demo-1(config-webvpn)# enable outside vpn-demo-1(config-webvpn)# anyconnect image disk0:/anyconnect-win-4.8.03036-webdeploy-k9.pkg vpn-demo-1(config-webvpn)# anyconnect enable !- (ไม่จำเป็น): ในตัวอย่างข้างต้น เราใช้ผู้ใช้ภายในเครื่องบน ITU เพื่อรับรองความถูกต้องของผู้ใช้ระยะไกล ซึ่งแน่นอนว่าใช้ไม่ได้ผล ยกเว้นในห้องปฏิบัติการ ฉันจะยกตัวอย่างวิธีปรับการตั้งค่าสำหรับการรับรองความถูกต้องอย่างรวดเร็ว รัศมี เซิร์ฟเวอร์ เช่น ใช้ เครื่องมือบริการข้อมูลประจำตัวของ Cisco:
vpn-demo-1(config-aaa-server-group)# dynamic-authorization vpn-demo-1(config-aaa-server-group)# interim-accounting-update vpn-demo-1(config-aaa-server-group)# aaa-server RADIUS (outside) host 192.168.99.134 vpn-demo-1(config-aaa-server-host)# key cisco vpn-demo-1(config-aaa-server-host)# exit vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes vpn-demo-1(config-tunnel-general)# authentication-server-group RADIUS !การผสานรวมนี้ทำให้ไม่เพียงรวมขั้นตอนการพิสูจน์ตัวตนเข้ากับบริการไดเรกทอรี AD ได้อย่างรวดเร็ว แต่ยังแยกแยะได้ว่าคอมพิวเตอร์ที่เชื่อมต่อเป็นของ AD หรือไม่ เพื่อทำความเข้าใจว่าอุปกรณ์นี้เป็นขององค์กรหรือส่วนบุคคล และเพื่อประเมินสถานะของอุปกรณ์ที่เชื่อมต่อ .
- มากำหนดค่า Transparent NAT เพื่อให้ทราฟฟิกระหว่างไคลเอ็นต์และทรัพยากรของเครือข่ายองค์กรไม่ถูกขีดเขียน:
vpn-demo-1(config-network-object)# subnet 192.168.20.0 255.255.255.0 ! vpn-demo-1(config)# nat (inside,outside) source static any any destination static vpn-users vpn-users no-proxy-arp- (ไม่จำเป็น): เพื่อให้ลูกค้าของเราเข้าถึงอินเทอร์เน็ตผ่าน ASA (เมื่อใช้ อุโมงค์ ตัวเลือก) โดยใช้ PAT รวมถึงออกผ่านอินเทอร์เฟซภายนอกเดียวกันกับที่เชื่อมต่ออยู่ คุณต้องทำการตั้งค่าต่อไปนี้
vpn-demo-1(config-network-object)# nat (outside,outside) source dynamic vpn-users interface vpn-demo-1(config)# nat (inside,outside) source dynamic any interface vpn-demo-1(config)# same-security-traffic permit intra-interface !- เมื่อใช้คลัสเตอร์ สิ่งสำคัญอย่างยิ่งคือต้องเปิดใช้งานเครือข่ายภายในเพื่อทำความเข้าใจว่า ASA ใดที่จะกำหนดเส้นทางการรับส่งข้อมูลกลับไปยังผู้ใช้ สำหรับสิ่งนี้ คุณต้องแจกจ่ายเส้นทาง / ที่อยู่ 32 รายการที่ออกให้กับลูกค้าใหม่
ในขณะนี้ เรายังไม่ได้กำหนดค่าคลัสเตอร์ แต่เรามีเกตเวย์ VPN ที่ใช้งานได้ซึ่งสามารถเชื่อมต่อแยกกันผ่าน FQDN หรือ IP
เราเห็นไคลเอนต์ที่เชื่อมต่อในตารางเส้นทางของ ASA แรก:
เพื่อให้คลัสเตอร์ VPN ทั้งหมดของเราและเครือข่ายองค์กรทั้งหมดทราบเส้นทางไปยังไคลเอนต์ เราจะแจกจ่ายคำนำหน้าไคลเอ็นต์ใหม่เป็นโปรโตคอลการกำหนดเส้นทางแบบไดนามิก ตัวอย่างเช่น OSPF:
! vpn-demo-1(config)# route-map RMAP-VPN-REDISTRIBUTE permit 1 vpn-demo-1(config-route-map)# match ip address VPN-REDISTRIBUTE ! vpn-demo-1(config)# router ospf 1 vpn-demo-1(config-router)# network 192.168.255.0 255.255.255.0 area 0 vpn-demo-1(config-router)# log-adj-changes vpn-demo-1(config-router)# redistribute static metric 5000 subnets route-map RMAP-VPN-REDISTRIBUTEขณะนี้เรามีเส้นทางไปยังไคลเอนต์จากเกตเวย์ ASA-2 ที่สอง และผู้ใช้ที่เชื่อมต่อกับเกตเวย์ VPN ต่างๆ ภายในคลัสเตอร์สามารถ ตัวอย่างเช่น สื่อสารโดยตรงผ่านซอฟต์โฟนขององค์กร เช่นเดียวกับการรับส่งข้อมูลกลับจากทรัพยากรที่ผู้ใช้ร้องขอ มาที่เกตเวย์ VPN ที่ต้องการ:
-
ไปที่การกำหนดค่าคลัสเตอร์ Load-Balancing กัน
ที่อยู่ 192.168.31.40 จะถูกใช้เป็น Virtual IP (วีไอพี - ไคลเอนต์ VPN ทั้งหมดจะเชื่อมต่อในตอนแรก) จากที่อยู่นี้ คลัสเตอร์มาสเตอร์จะทำการ REDIRECT ไปยังโหนดคลัสเตอร์ที่โหลดน้อย อย่าลืมที่จะเขียน ส่งต่อและย้อนกลับระเบียน DNS ทั้งสำหรับแต่ละที่อยู่ภายนอก / FQDN ของแต่ละโหนดของคลัสเตอร์ และสำหรับ VIP
vpn-demo-1(config)# vpn load-balancing vpn-demo-1(config-load-balancing)# interface lbpublic outside vpn-demo-1(config-load-balancing)# interface lbprivate inside vpn-demo-1(config-load-balancing)# priority 10 vpn-demo-1(config-load-balancing)# cluster ip address 192.168.31.40 vpn-demo-1(config-load-balancing)# cluster port 4000 vpn-demo-1(config-load-balancing)# redirect-fqdn enable vpn-demo-1(config-load-balancing)# cluster key cisco vpn-demo-1(config-load-balancing)# cluster encryption vpn-demo-1(config-load-balancing)# cluster port 9023 vpn-demo-1(config-load-balancing)# participate vpn-demo-1(config-load-balancing)#- เราตรวจสอบการทำงานของคลัสเตอร์ด้วยไคลเอนต์ที่เชื่อมต่อสองเครื่อง:
- มาทำให้ประสบการณ์ของลูกค้าสะดวกยิ่งขึ้นด้วยโปรไฟล์ AnyConnect ที่โหลดอัตโนมัติผ่าน ASDM
เราตั้งชื่อโปรไฟล์ด้วยวิธีที่สะดวกและเชื่อมโยงนโยบายกลุ่มของเราเข้ากับ:
หลังจากการเชื่อมต่อไคลเอ็นต์ครั้งถัดไป โปรไฟล์นี้จะถูกดาวน์โหลดและติดตั้งโดยอัตโนมัติในไคลเอนต์ AnyConnect ดังนั้นหากคุณต้องการเชื่อมต่อ คุณเพียงแค่เลือกจากรายการ:
เนื่องจากเราสร้างโปรไฟล์นี้บน ASA เดียวเท่านั้นโดยใช้ ASDM อย่าลืมทำขั้นตอนซ้ำกับ ASA อื่นๆ ในคลัสเตอร์
สรุป: ดังนั้นเราจึงปรับใช้คลัสเตอร์ของเกตเวย์ VPN หลายตัวอย่างรวดเร็วพร้อมการจัดสรรภาระงานอัตโนมัติ การเพิ่มโหนดใหม่ไปยังคลัสเตอร์ทำได้ง่าย ด้วยการปรับขนาดแนวนอนอย่างง่ายโดยการปรับใช้เครื่องเสมือน ASAv ใหม่หรือใช้ ASA ของฮาร์ดแวร์ ไคลเอนต์ AnyConnect ที่มีคุณสมบัติหลากหลายสามารถปรับปรุงการเชื่อมต่อระยะไกลที่ปลอดภัยได้อย่างมากโดยใช้ ท่าทาง (การประมาณสถานะ)ใช้ร่วมกับระบบควบคุมจากส่วนกลางและบัญชีการเข้าถึงอย่างมีประสิทธิภาพสูงสุด เครื่องมือบริการข้อมูลประจำตัว.
ที่มา: will.com