اس مضمون میں، میں مرحلہ وار ہدایات فراہم کرنا چاہوں گا کہ آپ اس وقت سب سے زیادہ قابل توسیع اسکیم کو کس طرح تیزی سے تعینات کر سکتے ہیں۔ ریموٹ رسائی VPN رسائی کی بنیاد پر AnyConnect اور Cisco ASA - VPN لوڈ بیلنسنگ کلسٹر.
تعارف: دنیا بھر میں بہت سی کمپنیاں، COVID-19 کی موجودہ صورتحال کے پیش نظر، اپنے ملازمین کو دور دراز کے کام پر منتقل کرنے کی کوششیں کر رہی ہیں۔ دور دراز کے کاموں میں بڑے پیمانے پر منتقلی کی وجہ سے، کمپنیوں کے موجودہ VPN گیٹ ویز پر بوجھ شدید طور پر بڑھ رہا ہے اور انہیں پیمانہ کرنے کے لیے بہت تیز صلاحیت کی ضرورت ہے۔ دوسری طرف، بہت سی کمپنیاں عجلت میں شروع سے دور دراز کے کام کے تصور میں مہارت حاصل کرنے پر مجبور ہیں۔
میں نے VPN لوڈ بیلنسنگ کلسٹر کی سب سے زیادہ توسیع پذیر VPN ٹیکنالوجی کے طور پر سادہ تعیناتی کے لیے مرحلہ وار گائیڈ تیار کیا ہے۔
ذیل میں دی گئی مثال توثیق اور اجازت کے الگورتھم کے استعمال کے لحاظ سے کافی آسان ہو گی، لیکن تعیناتی کے دوران آپ کی ضروریات کے لیے گہرائی سے موافقت کے امکان کے ساتھ فوری آغاز (جو فی الحال بہت سے لوگوں کے لیے کافی نہیں ہے) کے لیے ایک اچھا اختیار ہو گا۔ عمل
مختصر معلومات: VPN لوڈ بیلنسنگ کلسٹر ٹکنالوجی ایک فیل اوور نہیں ہے اور اپنے اصل معنی میں کلسٹرنگ فنکشن نہیں ہے، یہ ٹیکنالوجی ریموٹ-ایکسیس VPN کنکشنز کو بیلنس لوڈ کرنے کے لیے مکمل طور پر مختلف ASA ماڈلز (بعض پابندیوں کے ساتھ) کو یکجا کر سکتی ہے۔ اس طرح کے کلسٹر کے نوڈس کے درمیان سیشنز اور کنفیگریشنز کی کوئی ہم آہنگی نہیں ہے، لیکن یہ خود بخود بیلنس VPN کنکشن لوڈ کرنا اور VPN کنکشنز کی غلطی برداشت کو یقینی بنانا ممکن ہے جب تک کہ کلسٹر میں کم از کم ایک فعال نوڈ باقی نہ رہے۔ کلسٹر میں بوجھ VPN سیشنز کی تعداد کے حساب سے نوڈس کے کام کے بوجھ کے لحاظ سے خود بخود متوازن ہوجاتا ہے۔
کلسٹر کے مخصوص نوڈس کے فیل اوور کے لیے (اگر ضرورت ہو)، ایک فائلر استعمال کیا جا سکتا ہے، لہذا فعال کنکشن فائلر کے پرائمری نوڈ کے ذریعے ہینڈل کیا جائے گا۔ فائل اوور لوڈ بیلنسنگ کلسٹر کے اندر غلطی کی برداشت کو یقینی بنانے کے لیے ضروری شرط نہیں ہے، کلسٹر خود، نوڈ کی ناکامی کی صورت میں، صارف کے سیشن کو دوسرے لائیو نوڈ میں منتقل کر دے گا، لیکن کنکشن کی حیثیت کو محفوظ کیے بغیر، جو بالکل درست ہے۔ فائلر کے ذریعہ فراہم کردہ۔ اس کے مطابق، اگر ضروری ہو تو، ان دو ٹیکنالوجیوں کو یکجا کرنا ممکن ہے۔
VPN لوڈ بیلنسنگ کلسٹر دو سے زیادہ نوڈس پر مشتمل ہو سکتا ہے۔
VPN لوڈ بیلنسنگ کلسٹر ASA 5512-X اور اس سے اوپر پر تعاون یافتہ ہے۔
چونکہ VPN لوڈ بیلنسنگ کلسٹر کے اندر ہر ASA سیٹنگز کے لحاظ سے ایک آزاد اکائی ہے، اس لیے ہم ہر انفرادی ڈیوائس پر کنفیگریشن کے تمام مراحل کو انفرادی طور پر انجام دیتے ہیں۔
ہم تصویر سے ان ٹیمپلیٹس کی ASAv مثالیں تعینات کرتے ہیں جن کی ہمیں ضرورت ہے (ASAv5/10/30/50)۔
ہم INSIDE/OUTSIDE انٹرفیس کو ایک ہی VLANs کو تفویض کرتے ہیں (اس کے اپنے VLAN کے باہر، اپنے اندر اندر، لیکن عام طور پر کلسٹر کے اندر، ٹوپولوجی دیکھیں)، یہ ضروری ہے کہ ایک ہی قسم کے انٹرفیس ایک ہی L2 سیگمنٹ میں ہوں۔
لائسنس:
اس وقت ASav انسٹالیشن کے پاس کوئی لائسنس نہیں ہوگا اور یہ 100Kbps تک محدود ہوگی۔
لائسنس انسٹال کرنے کے لیے، آپ کو اپنے سمارٹ اکاؤنٹ میں ایک ٹوکن بنانا ہوگا: https://software.cisco.com/ -> اسمارٹ سافٹ ویئر لائسنسنگ
کھلنے والی ونڈو میں، بٹن پر کلک کریں۔ نیا ٹوکن
اس بات کو یقینی بنائیں کہ کھلی ونڈو میں ایک فعال فیلڈ ہے اور چیک باکس کو نشان زد کیا گیا ہے۔ ایکسپورٹ کنٹرول شدہ فعالیت کی اجازت دیں۔… اس فیلڈ کے فعال ہونے کے بغیر، آپ مضبوط انکرپشن اور اس کے مطابق، VPN کے افعال استعمال نہیں کر پائیں گے۔ اگر یہ فیلڈ فعال نہیں ہے، تو براہ کرم ایکٹیویشن کی درخواست کے ساتھ اپنی اکاؤنٹ ٹیم سے رابطہ کریں۔
بٹن دبانے کے بعد۔ ٹوکن بنائیں، ایک ٹوکن بنایا جائے گا جسے ہم ASAv کے لیے لائسنس حاصل کرنے کے لیے استعمال کریں گے، اسے کاپی کریں:
ہر تعینات ASAv کے لیے C,D,E اقدامات کو دہرائیں۔
ٹوکن کاپی کرنا آسان بنانے کے لیے، آئیے عارضی طور پر ٹیل نیٹ کو اجازت دیں۔ آئیے ہر ASA کو ترتیب دیں (ذیل کی مثال ASA-1 کی ترتیبات کو واضح کرتی ہے)۔ ٹیل نیٹ باہر کے ساتھ کام نہیں کرتا، اگر آپ کو واقعی اس کی ضرورت ہے، تو سیکیورٹی لیول کو 100 سے باہر کر دیں، پھر اسے واپس کر دیں۔
!
ciscoasa(config)# int gi0/0
ciscoasa(config)# nameif outside
ciscoasa(config)# ip address 192.168.31.30 255.255.255.0
ciscoasa(config)# no shut
!
ciscoasa(config)# int gi0/1
ciscoasa(config)# nameif inside
ciscoasa(config)# ip address 192.168.255.2 255.255.255.0
ciscoasa(config)# no shut
!
ciscoasa(config)# telnet 0 0 inside
ciscoasa(config)# username admin password cisco priv 15
ciscoasa(config)# ena password cisco
ciscoasa(config)# aaa authentication telnet console LOCAL
!
ciscoasa(config)# route outside 0 0 192.168.31.1
!
ciscoasa(config)# wr
!
اسمارٹ اکاؤنٹ کلاؤڈ میں ایک ٹوکن رجسٹر کرنے کے لیے، آپ کو ASA کے لیے انٹرنیٹ تک رسائی فراہم کرنا ضروری ہے، تفصیلات یہاں.
مختصر میں، ASA کی ضرورت ہے:
HTTPS کے ذریعے انٹرنیٹ تک رسائی؛
وقت کی مطابقت پذیری (زیادہ درست طریقے سے، NTP کے ذریعے)؛
رجسٹرڈ DNS سرور؛
ہم اپنے ASA کو ٹیلی نیٹ کرتے ہیں اور اسمارٹ اکاؤنٹ کے ذریعے لائسنس کو چالو کرنے کے لیے سیٹنگ کرتے ہیں۔
!
ciscoasa(config)# clock set 19:21:00 Mar 18 2020
ciscoasa(config)# clock timezone MSK 3
ciscoasa(config)# ntp server 192.168.99.136
!
ciscoasa(config)# dns domain-lookup outside
ciscoasa(config)# DNS server-group DefaultDNS
ciscoasa(config-dns-server-group)# name-server 192.168.99.132
!
! Проверим работу DNS:
!
ciscoasa(config-dns-server-group)# ping ya.ru
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 87.250.250.242, timeout is 2 seconds:
!!!!!
!
! Проверим синхронизацию NTP:
!
ciscoasa(config)# show ntp associations
address ref clock st when poll reach delay offset disp
*~192.168.99.136 91.189.94.4 3 63 64 1 36.7 1.85 17.5
* master (synced), # master (unsynced), + selected, - candidate, ~ configured
!
! Установим конфигурацию нашей ASAv для Smart-Licensing (в соответствии с Вашим профилем, в моем случае 100М для примера)
!
ciscoasa(config)# license smart
ciscoasa(config-smart-lic)# feature tier standard
ciscoasa(config-smart-lic)# throughput level 100M
!
! В случае необходимости можно настроить доступ в Интернет через прокси используйте следующий блок команд:
!call-home
! http-proxy ip_address port port
!
! Далее мы вставляем скопированный из портала Smart-Account токен (<token>) и регистрируем лицензию
!
ciscoasa(config)# end
ciscoasa# license smart register idtoken <token>
ہم چیک کرتے ہیں کہ ڈیوائس نے کامیابی کے ساتھ لائسنس رجسٹر کر لیا ہے اور خفیہ کاری کے اختیارات دستیاب ہیں:
ہر گیٹ وے پر ایک بنیادی SSL-VPN سیٹ اپ کریں۔
اگلا، SSH اور ASDM کے ذریعے رسائی کو ترتیب دیں:
ciscoasa(config)# ssh ver 2
ciscoasa(config)# aaa authentication ssh console LOCAL
ciscoasa(config)# aaa authentication http console LOCAL
ciscoasa(config)# hostname vpn-demo-1
vpn-demo-1(config)# domain-name ashes.cc
vpn-demo-1(config)# cry key gen rsa general-keys modulus 4096
vpn-demo-1(config)# ssh 0 0 inside
vpn-demo-1(config)# http 0 0 inside
!
! Поднимем сервер HTTPS для ASDM на порту 445 чтобы не пересекаться с SSL-VPN порталом
!
vpn-demo-1(config)# http server enable 445
!
ASDM کے کام کرنے کے لیے، آپ کو پہلے اسے cisco.com ویب سائٹ سے ڈاؤن لوڈ کرنا چاہیے، میرے معاملے میں یہ درج ذیل فائل ہے:
AnyConnect کلائنٹ کے کام کرنے کے لیے، آپ کو ہر استعمال شدہ کلائنٹ ڈیسک ٹاپ OS (Linux/Windows/MAC استعمال کرنے کا منصوبہ ہے) کے لیے ہر ASA پر ایک تصویر اپ لوڈ کرنے کی ضرورت ہے، آپ کو اس کے ساتھ ایک فائل کی ضرورت ہوگی۔ ہیڈ اینڈ تعیناتی پیکیج عنوان میں:
ڈاؤن لوڈ کی گئی فائلوں کو اپ لوڈ کیا جا سکتا ہے، مثال کے طور پر، ایک FTP سرور پر اور ہر فرد ASA پر اپ لوڈ کیا جا سکتا ہے:
ہم SSL-VPN کے لیے ASDM اور خود دستخط شدہ سرٹیفکیٹ تشکیل دیتے ہیں (پروڈکشن میں قابل اعتماد سرٹیفکیٹ استعمال کرنے کی سفارش کی جاتی ہے)۔ ورچوئل کلسٹر ایڈریس (vpn-demo.ashes.cc) کا سیٹ FQDN، نیز ہر کلسٹر نوڈ کے بیرونی ایڈریس سے منسلک ہر FQDN کو بیرونی DNS زون میں باہر کے انٹرفیس کے IP ایڈریس پر حل کرنا چاہیے (یا میپڈ ایڈریس پر اگر پورٹ فارورڈنگ udp/443 (DTLS) اور tcp/443(TLS)) استعمال کیا جاتا ہے۔ سرٹیفکیٹ کی ضروریات کے بارے میں تفصیلی معلومات سیکشن میں بیان کی گئی ہیں۔ سرٹیفکیٹ کی توثیق دستاویزات
!
vpn-demo-1(config)# crypto ca trustpoint SELF
vpn-demo-1(config-ca-trustpoint)# enrollment self
vpn-demo-1(config-ca-trustpoint)# fqdn vpn-demo.ashes.cc
vpn-demo-1(config-ca-trustpoint)# subject-name cn=*.ashes.cc, ou=ashes-lab, o=ashes, c=ru
vpn-demo-1(config-ca-trustpoint)# serial-number
vpn-demo-1(config-ca-trustpoint)# crl configure
vpn-demo-1(config-ca-crl)# cry ca enroll SELF
% The fully-qualified domain name in the certificate will be: vpn-demo.ashes.cc
Generate Self-Signed Certificate? [yes/no]: yes
vpn-demo-1(config)#
!
vpn-demo-1(config)# sh cry ca certificates
Certificate
Status: Available
Certificate Serial Number: 4d43725e
Certificate Usage: General Purpose
Public Key Type: RSA (4096 bits)
Signature Algorithm: SHA256 with RSA Encryption
Issuer Name:
serialNumber=9A439T02F95
hostname=vpn-demo.ashes.cc
cn=*.ashes.cc
ou=ashes-lab
o=ashes
c=ru
Subject Name:
serialNumber=9A439T02F95
hostname=vpn-demo.ashes.cc
cn=*.ashes.cc
ou=ashes-lab
o=ashes
c=ru
Validity Date:
start date: 00:16:17 MSK Mar 19 2020
end date: 00:16:17 MSK Mar 17 2030
Storage: config
Associated Trustpoints: SELF
CA Certificate
Status: Available
Certificate Serial Number: 0509
Certificate Usage: General Purpose
Public Key Type: RSA (4096 bits)
Signature Algorithm: SHA1 with RSA Encryption
Issuer Name:
cn=QuoVadis Root CA 2
o=QuoVadis Limited
c=BM
Subject Name:
cn=QuoVadis Root CA 2
o=QuoVadis Limited
c=BM
Validity Date:
start date: 21:27:00 MSK Nov 24 2006
end date: 21:23:33 MSK Nov 24 2031
Storage: config
Associated Trustpoints: _SmartCallHome_ServerCA
ASDM کام کر رہا ہے چیک کرنے کے لیے پورٹ کی وضاحت کرنا نہ بھولیں، مثال کے طور پر:
آئیے سرنگ کی بنیادی ترتیبات کو انجام دیتے ہیں:
آئیے کارپوریٹ نیٹ ورک کو سرنگ کے ذریعے دستیاب کریں، اور انٹرنیٹ کو براہ راست جانے دیں (سب سے محفوظ طریقہ نہیں ہے اگر کنیکٹنگ ہوسٹ پر کوئی تحفظات نہ ہوں، تو یہ ممکن ہے کہ کسی متاثرہ میزبان کے ذریعے گھس کر کارپوریٹ ڈیٹا ڈسپلے کریں، آپشن split-tunnel-policy tunnelall تمام میزبان ٹریفک کو سرنگ میں جانے دے گا۔ بہر حال سپلٹ ٹنل VPN گیٹ وے کو آف لوڈ کرنا اور میزبان انٹرنیٹ ٹریفک پر کارروائی نہ کرنا ممکن بناتا ہے)
آئیے 192.168.20.0/24 سب نیٹ سے سرنگ میں میزبانوں کے لیے پتے جاری کرتے ہیں (10 سے 30 پتوں تک کا پول (نوڈ #1 کے لیے))۔ VPN کلسٹر کے ہر نوڈ کا اپنا پول ہونا ضروری ہے۔
ہم ASA پر مقامی طور پر بنائے گئے صارف کے ساتھ بنیادی تصدیق کریں گے (اس کی سفارش نہیں کی جاتی ہے، یہ سب سے آسان طریقہ ہے)، اس کے ذریعے توثیق کرنا بہتر ہے۔ LDAP/RADIUS، یا بہتر ابھی تک، ٹائی کثیر فیکٹر توثیق (ایم ایف اے)مثال کے طور پر سسکو DUO.
(اختیاری): اوپر کی مثال میں، ہم نے دور دراز کے صارفین کی تصدیق کے لیے ITU پر ایک مقامی صارف کا استعمال کیا، جو یقیناً لیبارٹری کے علاوہ، ناقص طور پر لاگو ہوتا ہے۔ میں ایک مثال دوں گا کہ کس طرح تصدیق کے لیے ترتیب کو تیزی سے اپنانا ہے۔ رداس سرور، مثال کے طور پر استعمال کیا جاتا ہے سسکو شناختی خدمات انجن:
اس انضمام نے نہ صرف AD ڈائرکٹری سروس کے ساتھ تصدیق کے طریقہ کار کو تیزی سے مربوط کرنا ممکن بنایا، بلکہ یہ فرق بھی ممکن بنایا کہ آیا منسلک کمپیوٹر AD سے تعلق رکھتا ہے، یہ سمجھنا کہ یہ آلہ کارپوریٹ ہے یا ذاتی، اور منسلک ڈیوائس کی حیثیت کا اندازہ لگانا۔ .
آئیے شفاف NAT کو ترتیب دیں تاکہ کلائنٹ اور کارپوریٹ نیٹ ورک نیٹ ورک کے وسائل کے درمیان ٹریفک کو لکھا نہ جائے:
vpn-demo-1(config-network-object)# subnet 192.168.20.0 255.255.255.0
!
vpn-demo-1(config)# nat (inside,outside) source static any any destination static vpn-users vpn-users no-proxy-arp
(اختیاری): تاکہ اے ایس اے کے ذریعے اپنے کلائنٹس کو انٹرنیٹ سے روشناس کرایا جا سکے۔ ٹنلال اختیارات) PAT کا استعمال کرتے ہوئے، اور ساتھ ہی باہر کے اسی انٹرفیس سے باہر نکلیں جہاں سے وہ جڑے ہوئے ہیں، آپ کو درج ذیل ترتیبات بنانے کی ضرورت ہے۔
کلسٹر کا استعمال کرتے وقت، یہ سمجھنے کے لیے اندرونی نیٹ ورک کو فعال کرنا انتہائی ضروری ہے کہ کون سا ASA صارفین کو واپسی ٹریفک کو روٹ کرے، اس کے لیے آپ کو کلائنٹس کو جاری کردہ روٹس / 32 ایڈریسز کو دوبارہ تقسیم کرنے کی ضرورت ہے۔
اس وقت، ہم نے ابھی تک کلسٹر کو کنفیگر نہیں کیا ہے، لیکن ہمارے پاس پہلے سے ہی کام کرنے والے VPN گیٹ ویز ہیں جنہیں انفرادی طور پر FQDN یا IP کے ذریعے منسلک کیا جا سکتا ہے۔
ہم پہلے ASA کے روٹنگ ٹیبل میں منسلک کلائنٹ کو دیکھتے ہیں:
ہمارے پورے VPN کلسٹر اور پورے کارپوریٹ نیٹ ورک کو اپنے کلائنٹ کا راستہ جاننے کے لیے، ہم کلائنٹ کے سابقہ کو ایک متحرک روٹنگ پروٹوکول میں دوبارہ تقسیم کریں گے، مثال کے طور پر OSPF:
اب ہمارے پاس دوسرے ASA-2 گیٹ وے سے کلائنٹ کے لیے ایک راستہ ہے اور کلسٹر کے اندر مختلف VPN گیٹ وے سے جڑے ہوئے صارفین، مثال کے طور پر، ایک کارپوریٹ سافٹ فون کے ذریعے براہ راست بات چیت کر سکتے ہیں، اور ساتھ ہی صارف کے ذریعہ درخواست کردہ وسائل سے ٹریفک واپس کر سکتے ہیں۔ مطلوبہ VPN گیٹ وے پر آئیں:
آئیے لوڈ بیلنسنگ کلسٹر کو ترتیب دینے کی طرف بڑھتے ہیں۔
ایڈریس 192.168.31.40 کو ایک ورچوئل آئی پی کے طور پر استعمال کیا جائے گا (VIP - تمام VPN کلائنٹس ابتدائی طور پر اس سے جڑیں گے)، اس ایڈریس سے ماسٹر کلسٹر کم بوجھ والے کلسٹر نوڈ پر REDIRECT کرے گا۔ لکھنا نہ بھولیں۔ DNS ریکارڈ کو آگے اور ریورس کریں۔ کلسٹر کے ہر نوڈ کے ہر ایک بیرونی ایڈریس / FQDN کے لیے، اور VIP کے لیے۔
ہم دو منسلک کلائنٹس کے ساتھ کلسٹر کے آپریشن کو چیک کرتے ہیں:
آئیے ASDM کے ذریعے خودکار طور پر بھری ہوئی AnyConnect پروفائل کے ساتھ کسٹمر کے تجربے کو مزید آسان بنائیں۔
ہم پروفائل کا نام آسان طریقے سے رکھتے ہیں اور اپنی گروپ پالیسی کو اس کے ساتھ منسلک کرتے ہیں:
کلائنٹ کے اگلے کنکشن کے بعد، یہ پروفائل خود بخود کسی بھی کنیکٹ کلائنٹ میں ڈاؤن لوڈ اور انسٹال ہو جائے گا، لہذا اگر آپ کو کنیکٹ کرنے کی ضرورت ہے، تو آپ کو اسے فہرست سے منتخب کرنے کی ضرورت ہے:
چونکہ ہم نے یہ پروفائل ASDM کا استعمال کرتے ہوئے صرف ایک ASA پر بنایا ہے، اس لیے کلسٹر میں موجود دیگر ASAs پر اقدامات کو دہرانا نہ بھولیں۔
: اختتام اس طرح، ہم نے خودکار لوڈ بیلنسنگ کے ساتھ بہت سے VPN گیٹ ویز کے کلسٹر کو تیزی سے تعینات کیا۔ نئی ASAv ورچوئل مشینیں تعینات کرکے یا ہارڈویئر ASAs کا استعمال کرکے سادہ افقی اسکیلنگ کے ساتھ، کلسٹر میں نئے نوڈس شامل کرنا آسان ہے۔ خصوصیت سے مالا مال AnyConnect کلائنٹ استعمال کرکے محفوظ ریموٹ کنکشن کو بہت زیادہ بڑھا سکتا ہے۔ کرنسی (ریاست کا تخمینہ)مرکزی کنٹرول اور رسائی اکاؤنٹنگ کے نظام کے ساتھ مل کر سب سے زیادہ مؤثر طریقے سے استعمال کیا جاتا ہے۔ شناختی خدمات کا انجن.