ASA VPN لوڈ بیلنسنگ کلسٹر تعینات کرنا

اس مضمون میں، میں مرحلہ وار ہدایات فراہم کرنا چاہوں گا کہ آپ اس وقت سب سے زیادہ قابل توسیع اسکیم کو کس طرح تیزی سے تعینات کر سکتے ہیں۔ ریموٹ رسائی VPN رسائی کی بنیاد پر AnyConnect اور Cisco ASA - VPN لوڈ بیلنسنگ کلسٹر.

تعارف: دنیا بھر میں بہت سی کمپنیاں، COVID-19 کی موجودہ صورتحال کے پیش نظر، اپنے ملازمین کو دور دراز کے کام پر منتقل کرنے کی کوششیں کر رہی ہیں۔ دور دراز کے کاموں میں بڑے پیمانے پر منتقلی کی وجہ سے، کمپنیوں کے موجودہ VPN گیٹ ویز پر بوجھ شدید طور پر بڑھ رہا ہے اور انہیں پیمانہ کرنے کے لیے بہت تیز صلاحیت کی ضرورت ہے۔ دوسری طرف، بہت سی کمپنیاں عجلت میں شروع سے دور دراز کے کام کے تصور میں مہارت حاصل کرنے پر مجبور ہیں۔

کاروباری اداروں کو ملازمین کے لیے کم سے کم وقت میں آسان، محفوظ، اور قابل توسیع VPN رسائی حاصل کرنے میں مدد کرنے کے لیے، Cisco AnyConnect فیچر سے بھرپور SSL-VPN کلائنٹ کو 13 ہفتوں تک لائسنس دے رہا ہے۔ آپ مجاز شراکت داروں سے یا آپ کے ساتھ کام کرنے والے سسکو کے نمائندوں سے رابطہ کرکے ٹیسٹ کے لیے ASAv (VMWare/Hyper-V/KVM ہائپر وائزرز اور AWS/Azure کلاؤڈ پلیٹ فارمز کے لیے ورچوئل ASA) بھی لے سکتے ہیں۔.

AnyConnect COVID-19 لائسنس جاری کرنے کا طریقہ کار یہاں بیان کیا گیا ہے۔.

میں نے VPN لوڈ بیلنسنگ کلسٹر کی سب سے زیادہ توسیع پذیر VPN ٹیکنالوجی کے طور پر سادہ تعیناتی کے لیے مرحلہ وار گائیڈ تیار کیا ہے۔

ذیل میں دی گئی مثال توثیق اور اجازت کے الگورتھم کے استعمال کے لحاظ سے کافی آسان ہو گی، لیکن تعیناتی کے دوران آپ کی ضروریات کے لیے گہرائی سے موافقت کے امکان کے ساتھ فوری آغاز (جو فی الحال بہت سے لوگوں کے لیے کافی نہیں ہے) کے لیے ایک اچھا اختیار ہو گا۔ عمل

مختصر معلومات: VPN لوڈ بیلنسنگ کلسٹر ٹکنالوجی ایک فیل اوور نہیں ہے اور اپنے اصل معنی میں کلسٹرنگ فنکشن نہیں ہے، یہ ٹیکنالوجی ریموٹ-ایکسیس VPN کنکشنز کو بیلنس لوڈ کرنے کے لیے مکمل طور پر مختلف ASA ماڈلز (بعض پابندیوں کے ساتھ) کو یکجا کر سکتی ہے۔ اس طرح کے کلسٹر کے نوڈس کے درمیان سیشنز اور کنفیگریشنز کی کوئی ہم آہنگی نہیں ہے، لیکن یہ خود بخود بیلنس VPN کنکشن لوڈ کرنا اور VPN کنکشنز کی غلطی برداشت کو یقینی بنانا ممکن ہے جب تک کہ کلسٹر میں کم از کم ایک فعال نوڈ باقی نہ رہے۔ کلسٹر میں بوجھ VPN سیشنز کی تعداد کے حساب سے نوڈس کے کام کے بوجھ کے لحاظ سے خود بخود متوازن ہوجاتا ہے۔

کلسٹر کے مخصوص نوڈس کے فیل اوور کے لیے (اگر ضرورت ہو)، ایک فائلر استعمال کیا جا سکتا ہے، لہذا فعال کنکشن فائلر کے پرائمری نوڈ کے ذریعے ہینڈل کیا جائے گا۔ فائل اوور لوڈ بیلنسنگ کلسٹر کے اندر غلطی کی برداشت کو یقینی بنانے کے لیے ضروری شرط نہیں ہے، کلسٹر خود، نوڈ کی ناکامی کی صورت میں، صارف کے سیشن کو دوسرے لائیو نوڈ میں منتقل کر دے گا، لیکن کنکشن کی حیثیت کو محفوظ کیے بغیر، جو بالکل درست ہے۔ فائلر کے ذریعہ فراہم کردہ۔ اس کے مطابق، اگر ضروری ہو تو، ان دو ٹیکنالوجیوں کو یکجا کرنا ممکن ہے۔

VPN لوڈ بیلنسنگ کلسٹر دو سے زیادہ نوڈس پر مشتمل ہو سکتا ہے۔

VPN لوڈ بیلنسنگ کلسٹر ASA 5512-X اور اس سے اوپر پر تعاون یافتہ ہے۔

چونکہ VPN لوڈ بیلنسنگ کلسٹر کے اندر ہر ASA سیٹنگز کے لحاظ سے ایک آزاد اکائی ہے، اس لیے ہم ہر انفرادی ڈیوائس پر کنفیگریشن کے تمام مراحل کو انفرادی طور پر انجام دیتے ہیں۔

ٹیکنالوجی کی تفصیلات یہاں

دی گئی مثال کی منطقی ٹوپولوجی:

بنیادی تعیناتی:

1. ہم تصویر سے ان ٹیمپلیٹس کی ASAv مثالیں تعینات کرتے ہیں جن کی ہمیں ضرورت ہے (ASAv5/10/30/50)۔

2. ہم INSIDE/OUTSIDE انٹرفیس کو ایک ہی VLANs کو تفویض کرتے ہیں (اس کے اپنے VLAN کے باہر، اپنے اندر اندر، لیکن عام طور پر کلسٹر کے اندر، ٹوپولوجی دیکھیں)، یہ ضروری ہے کہ ایک ہی قسم کے انٹرفیس ایک ہی L2 سیگمنٹ میں ہوں۔

3. لائسنس:

   • اس وقت ASav انسٹالیشن کے پاس کوئی لائسنس نہیں ہوگا اور یہ 100Kbps تک محدود ہوگی۔
   • لائسنس انسٹال کرنے کے لیے، آپ کو اپنے سمارٹ اکاؤنٹ میں ایک ٹوکن بنانا ہوگا: https://software.cisco.com/ -> اسمارٹ سافٹ ویئر لائسنسنگ
   • کھلنے والی ونڈو میں، بٹن پر کلک کریں۔ نیا ٹوکن

   

   • اس بات کو یقینی بنائیں کہ کھلی ونڈو میں ایک فعال فیلڈ ہے اور چیک باکس کو نشان زد کیا گیا ہے۔ ایکسپورٹ کنٹرول شدہ فعالیت کی اجازت دیں۔… اس فیلڈ کے فعال ہونے کے بغیر، آپ مضبوط انکرپشن اور اس کے مطابق، VPN کے افعال استعمال نہیں کر پائیں گے۔ اگر یہ فیلڈ فعال نہیں ہے، تو براہ کرم ایکٹیویشن کی درخواست کے ساتھ اپنی اکاؤنٹ ٹیم سے رابطہ کریں۔

   

   • بٹن دبانے کے بعد۔ ٹوکن بنائیں، ایک ٹوکن بنایا جائے گا جسے ہم ASAv کے لیے لائسنس حاصل کرنے کے لیے استعمال کریں گے، اسے کاپی کریں:

   

   • ہر تعینات ASAv کے لیے C,D,E اقدامات کو دہرائیں۔
   • ٹوکن کاپی کرنا آسان بنانے کے لیے، آئیے عارضی طور پر ٹیل نیٹ کو اجازت دیں۔ آئیے ہر ASA کو ترتیب دیں (ذیل کی مثال ASA-1 کی ترتیبات کو واضح کرتی ہے)۔ ٹیل نیٹ باہر کے ساتھ کام نہیں کرتا، اگر آپ کو واقعی اس کی ضرورت ہے، تو سیکیورٹی لیول کو 100 سے باہر کر دیں، پھر اسے واپس کر دیں۔

   !
   ciscoasa(config)# int gi0/0
   ciscoasa(config)# nameif outside
   ciscoasa(config)# ip address 192.168.31.30 255.255.255.0
   ciscoasa(config)# no shut
   !
   ciscoasa(config)# int gi0/1
   ciscoasa(config)# nameif inside
   ciscoasa(config)# ip address 192.168.255.2 255.255.255.0
   ciscoasa(config)# no shut
   !
   ciscoasa(config)# telnet 0 0 inside
   ciscoasa(config)# username admin password cisco priv 15
   ciscoasa(config)# ena password cisco
   ciscoasa(config)# aaa authentication telnet console LOCAL
   !
   ciscoasa(config)# route outside 0 0 192.168.31.1
   !
   ciscoasa(config)# wr
   !

   • اسمارٹ اکاؤنٹ کلاؤڈ میں ایک ٹوکن رجسٹر کرنے کے لیے، آپ کو ASA کے لیے انٹرنیٹ تک رسائی فراہم کرنا ضروری ہے، تفصیلات یہاں.

   مختصر میں، ASA کی ضرورت ہے:

   • HTTPS کے ذریعے انٹرنیٹ تک رسائی؛
   • وقت کی مطابقت پذیری (زیادہ درست طریقے سے، NTP کے ذریعے)؛
   • رجسٹرڈ DNS سرور؛
     • ہم اپنے ASA کو ٹیلی نیٹ کرتے ہیں اور اسمارٹ اکاؤنٹ کے ذریعے لائسنس کو چالو کرنے کے لیے سیٹنگ کرتے ہیں۔

   !
   ciscoasa(config)# clock set 19:21:00 Mar 18 2020
   ciscoasa(config)# clock timezone MSK 3
   ciscoasa(config)# ntp server 192.168.99.136
   !
   ciscoasa(config)# dns domain-lookup outside
   ciscoasa(config)# DNS server-group DefaultDNS
   ciscoasa(config-dns-server-group)# name-server 192.168.99.132 
   !
   ! Проверим работу DNS:
   !
   ciscoasa(config-dns-server-group)# ping ya.ru
   Type escape sequence to abort.
   Sending 5, 100-byte ICMP Echos to 87.250.250.242, timeout is 2 seconds:
   !!!!!
   !
   ! Проверим синхронизацию NTP:
   !
   ciscoasa(config)# show ntp associations 
     address         ref clock     st  when  poll reach  delay  offset    disp
   *~192.168.99.136   91.189.94.4       3    63    64    1    36.7    1.85    17.5
   * master (synced), # master (unsynced), + selected, - candidate, ~ configured
   !
   ! Установим конфигурацию нашей ASAv для Smart-Licensing (в соответствии с Вашим профилем, в моем случае 100М для примера)
   !
   ciscoasa(config)# license smart
   ciscoasa(config-smart-lic)# feature tier standard
   ciscoasa(config-smart-lic)# throughput level 100M
   !
   ! В случае необходимости можно настроить доступ в Интернет через прокси используйте следующий блок команд:
   !call-home
   !  http-proxy ip_address port port
   !
   ! Далее мы вставляем скопированный из портала Smart-Account токен (<token>) и регистрируем лицензию
   !
   ciscoasa(config)# end
   ciscoasa# license smart register idtoken <token>

   • ہم چیک کرتے ہیں کہ ڈیوائس نے کامیابی کے ساتھ لائسنس رجسٹر کر لیا ہے اور خفیہ کاری کے اختیارات دستیاب ہیں:

   

   

4. ہر گیٹ وے پر ایک بنیادی SSL-VPN سیٹ اپ کریں۔

   • اگلا، SSH اور ASDM کے ذریعے رسائی کو ترتیب دیں:

   ciscoasa(config)# ssh ver 2
   ciscoasa(config)# aaa authentication ssh console LOCAL
   ciscoasa(config)# aaa authentication http console LOCAL
   ciscoasa(config)# hostname vpn-demo-1
   vpn-demo-1(config)# domain-name ashes.cc
   vpn-demo-1(config)# cry key gen rsa general-keys modulus 4096 
   vpn-demo-1(config)# ssh 0 0 inside  
   vpn-demo-1(config)# http 0 0 inside
   !
   ! Поднимем сервер HTTPS для ASDM на порту 445 чтобы не пересекаться с SSL-VPN порталом
   !
   vpn-demo-1(config)# http server enable 445 
   !

   • ASDM کے کام کرنے کے لیے، آپ کو پہلے اسے cisco.com ویب سائٹ سے ڈاؤن لوڈ کرنا چاہیے، میرے معاملے میں یہ درج ذیل فائل ہے:

   

   • AnyConnect کلائنٹ کے کام کرنے کے لیے، آپ کو ہر استعمال شدہ کلائنٹ ڈیسک ٹاپ OS (Linux/Windows/MAC استعمال کرنے کا منصوبہ ہے) کے لیے ہر ASA پر ایک تصویر اپ لوڈ کرنے کی ضرورت ہے، آپ کو اس کے ساتھ ایک فائل کی ضرورت ہوگی۔ ہیڈ اینڈ تعیناتی پیکیج عنوان میں:

   

   • ڈاؤن لوڈ کی گئی فائلوں کو اپ لوڈ کیا جا سکتا ہے، مثال کے طور پر، ایک FTP سرور پر اور ہر فرد ASA پر اپ لوڈ کیا جا سکتا ہے:

   

   • ہم SSL-VPN کے لیے ASDM اور خود دستخط شدہ سرٹیفکیٹ تشکیل دیتے ہیں (پروڈکشن میں قابل اعتماد سرٹیفکیٹ استعمال کرنے کی سفارش کی جاتی ہے)۔ ورچوئل کلسٹر ایڈریس (vpn-demo.ashes.cc) کا سیٹ FQDN، نیز ہر کلسٹر نوڈ کے بیرونی ایڈریس سے منسلک ہر FQDN کو بیرونی DNS زون میں باہر کے انٹرفیس کے IP ایڈریس پر حل کرنا چاہیے (یا میپڈ ایڈریس پر اگر پورٹ فارورڈنگ udp/443 (DTLS) اور tcp/443(TLS)) استعمال کیا جاتا ہے۔ سرٹیفکیٹ کی ضروریات کے بارے میں تفصیلی معلومات سیکشن میں بیان کی گئی ہیں۔ سرٹیفکیٹ کی توثیق دستاویزات

   !
   vpn-demo-1(config)# crypto ca trustpoint SELF
   vpn-demo-1(config-ca-trustpoint)# enrollment self
   vpn-demo-1(config-ca-trustpoint)# fqdn vpn-demo.ashes.cc
   vpn-demo-1(config-ca-trustpoint)# subject-name cn=*.ashes.cc, ou=ashes-lab, o=ashes, c=ru
   vpn-demo-1(config-ca-trustpoint)# serial-number             
   vpn-demo-1(config-ca-trustpoint)# crl configure
   vpn-demo-1(config-ca-crl)# cry ca enroll SELF
   % The fully-qualified domain name in the certificate will be: vpn-demo.ashes.cc
   Generate Self-Signed Certificate? [yes/no]: yes
   vpn-demo-1(config)# 
   !
   vpn-demo-1(config)# sh cry ca certificates 
   Certificate
   Status: Available
   Certificate Serial Number: 4d43725e
   Certificate Usage: General Purpose
   Public Key Type: RSA (4096 bits)
   Signature Algorithm: SHA256 with RSA Encryption
   Issuer Name: 
   serialNumber=9A439T02F95
   hostname=vpn-demo.ashes.cc
   cn=*.ashes.cc
   ou=ashes-lab
   o=ashes
   c=ru
   Subject Name:
   serialNumber=9A439T02F95
   hostname=vpn-demo.ashes.cc
   cn=*.ashes.cc
   ou=ashes-lab
   o=ashes
   c=ru
   Validity Date: 
   start date: 00:16:17 MSK Mar 19 2020
   end   date: 00:16:17 MSK Mar 17 2030
   Storage: config
   Associated Trustpoints: SELF 
   
   CA Certificate
   Status: Available
   Certificate Serial Number: 0509
   Certificate Usage: General Purpose
   Public Key Type: RSA (4096 bits)
   Signature Algorithm: SHA1 with RSA Encryption
   Issuer Name: 
   cn=QuoVadis Root CA 2
   o=QuoVadis Limited
   c=BM
   Subject Name: 
   cn=QuoVadis Root CA 2
   o=QuoVadis Limited
   c=BM
   Validity Date: 
   start date: 21:27:00 MSK Nov 24 2006
   end   date: 21:23:33 MSK Nov 24 2031
   Storage: config
   Associated Trustpoints: _SmartCallHome_ServerCA               

   • ASDM کام کر رہا ہے چیک کرنے کے لیے پورٹ کی وضاحت کرنا نہ بھولیں، مثال کے طور پر:

   

   • آئیے سرنگ کی بنیادی ترتیبات کو انجام دیتے ہیں:
   • آئیے کارپوریٹ نیٹ ورک کو سرنگ کے ذریعے دستیاب کریں، اور انٹرنیٹ کو براہ راست جانے دیں (سب سے محفوظ طریقہ نہیں ہے اگر کنیکٹنگ ہوسٹ پر کوئی تحفظات نہ ہوں، تو یہ ممکن ہے کہ کسی متاثرہ میزبان کے ذریعے گھس کر کارپوریٹ ڈیٹا ڈسپلے کریں، آپشن split-tunnel-policy tunnelall تمام میزبان ٹریفک کو سرنگ میں جانے دے گا۔ بہر حال سپلٹ ٹنل VPN گیٹ وے کو آف لوڈ کرنا اور میزبان انٹرنیٹ ٹریفک پر کارروائی نہ کرنا ممکن بناتا ہے)
   • آئیے 192.168.20.0/24 سب نیٹ سے سرنگ میں میزبانوں کے لیے پتے جاری کرتے ہیں (10 سے 30 پتوں تک کا پول (نوڈ #1 کے لیے))۔ VPN کلسٹر کے ہر نوڈ کا اپنا پول ہونا ضروری ہے۔
   • ہم ASA پر مقامی طور پر بنائے گئے صارف کے ساتھ بنیادی تصدیق کریں گے (اس کی سفارش نہیں کی جاتی ہے، یہ سب سے آسان طریقہ ہے)، اس کے ذریعے توثیق کرنا بہتر ہے۔ LDAP/RADIUS، یا بہتر ابھی تک، ٹائی کثیر فیکٹر توثیق (ایم ایف اے)مثال کے طور پر سسکو DUO.

   !
   vpn-demo-1(config)# ip local pool vpn-pool 192.168.20.10-192.168.20.30 mask 255.255.255.0
   !
   vpn-demo-1(config)# access-list split-tunnel standard permit 192.168.0.0 255.255.0.0
   !
   vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY internal
   vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY attributes
   vpn-demo-1(config-group-policy)# vpn-tunnel-protocol ssl-client 
   vpn-demo-1(config-group-policy)# split-tunnel-policy tunnelspecified
   vpn-demo-1(config-group-policy)# split-tunnel-network-list value split-tunnel
   vpn-demo-1(config-group-policy)# dns-server value 192.168.99.132
   vpn-demo-1(config-group-policy)# default-domain value ashes.cc
   vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes
   vpn-demo-1(config-tunnel-general)#  default-group-policy SSL-VPN-GROUP-POLICY
   vpn-demo-1(config-tunnel-general)#  address-pool vpn-pool
   !
   vpn-demo-1(config)# username dkazakov password cisco
   vpn-demo-1(config)# username dkazakov attributes
   vpn-demo-1(config-username)# service-type remote-access
   !
   vpn-demo-1(config)# ssl trust-point SELF
   vpn-demo-1(config)# webvpn
   vpn-demo-1(config-webvpn)#  enable outside
   vpn-demo-1(config-webvpn)#  anyconnect image disk0:/anyconnect-win-4.8.03036-webdeploy-k9.pkg
   vpn-demo-1(config-webvpn)#  anyconnect enable
   !

   • (اختیاری): اوپر کی مثال میں، ہم نے دور دراز کے صارفین کی تصدیق کے لیے ITU پر ایک مقامی صارف کا استعمال کیا، جو یقیناً لیبارٹری کے علاوہ، ناقص طور پر لاگو ہوتا ہے۔ میں ایک مثال دوں گا کہ کس طرح تصدیق کے لیے ترتیب کو تیزی سے اپنانا ہے۔ رداس سرور، مثال کے طور پر استعمال کیا جاتا ہے سسکو شناختی خدمات انجن:

   vpn-demo-1(config-aaa-server-group)# dynamic-authorization
   vpn-demo-1(config-aaa-server-group)# interim-accounting-update
   vpn-demo-1(config-aaa-server-group)# aaa-server RADIUS (outside) host 192.168.99.134
   vpn-demo-1(config-aaa-server-host)# key cisco
   vpn-demo-1(config-aaa-server-host)# exit
   vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes
   vpn-demo-1(config-tunnel-general)# authentication-server-group  RADIUS 
   !

   اس انضمام نے نہ صرف AD ڈائرکٹری سروس کے ساتھ تصدیق کے طریقہ کار کو تیزی سے مربوط کرنا ممکن بنایا، بلکہ یہ فرق بھی ممکن بنایا کہ آیا منسلک کمپیوٹر AD سے تعلق رکھتا ہے، یہ سمجھنا کہ یہ آلہ کارپوریٹ ہے یا ذاتی، اور منسلک ڈیوائس کی حیثیت کا اندازہ لگانا۔ .

   

   

   • آئیے شفاف NAT کو ترتیب دیں تاکہ کلائنٹ اور کارپوریٹ نیٹ ورک نیٹ ورک کے وسائل کے درمیان ٹریفک کو لکھا نہ جائے:

   vpn-demo-1(config-network-object)#  subnet 192.168.20.0 255.255.255.0
   !
   vpn-demo-1(config)# nat (inside,outside) source static any any destination static vpn-users vpn-users no-proxy-arp

   • (اختیاری): تاکہ اے ایس اے کے ذریعے اپنے کلائنٹس کو انٹرنیٹ سے روشناس کرایا جا سکے۔ ٹنلال اختیارات) PAT کا استعمال کرتے ہوئے، اور ساتھ ہی باہر کے اسی انٹرفیس سے باہر نکلیں جہاں سے وہ جڑے ہوئے ہیں، آپ کو درج ذیل ترتیبات بنانے کی ضرورت ہے۔

   vpn-demo-1(config-network-object)# nat (outside,outside) source dynamic vpn-users interface
   vpn-demo-1(config)# nat (inside,outside) source dynamic any interface
   vpn-demo-1(config)# same-security-traffic permit intra-interface 
   !

   • کلسٹر کا استعمال کرتے وقت، یہ سمجھنے کے لیے اندرونی نیٹ ورک کو فعال کرنا انتہائی ضروری ہے کہ کون سا ASA صارفین کو واپسی ٹریفک کو روٹ کرے، اس کے لیے آپ کو کلائنٹس کو جاری کردہ روٹس / 32 ایڈریسز کو دوبارہ تقسیم کرنے کی ضرورت ہے۔
     اس وقت، ہم نے ابھی تک کلسٹر کو کنفیگر نہیں کیا ہے، لیکن ہمارے پاس پہلے سے ہی کام کرنے والے VPN گیٹ ویز ہیں جنہیں انفرادی طور پر FQDN یا IP کے ذریعے منسلک کیا جا سکتا ہے۔

   

   ہم پہلے ASA کے روٹنگ ٹیبل میں منسلک کلائنٹ کو دیکھتے ہیں:

   

   ہمارے پورے VPN کلسٹر اور پورے کارپوریٹ نیٹ ورک کو اپنے کلائنٹ کا راستہ جاننے کے لیے، ہم کلائنٹ کے سابقہ ​​کو ایک متحرک روٹنگ پروٹوکول میں دوبارہ تقسیم کریں گے، مثال کے طور پر OSPF:

   !
   vpn-demo-1(config)# route-map RMAP-VPN-REDISTRIBUTE permit 1
   vpn-demo-1(config-route-map)#  match ip address VPN-REDISTRIBUTE
   !
   vpn-demo-1(config)# router ospf 1
   vpn-demo-1(config-router)#  network 192.168.255.0 255.255.255.0 area 0
   vpn-demo-1(config-router)#  log-adj-changes
   vpn-demo-1(config-router)#  redistribute static metric 5000 subnets route-map RMAP-VPN-REDISTRIBUTE

   اب ہمارے پاس دوسرے ASA-2 گیٹ وے سے کلائنٹ کے لیے ایک راستہ ہے اور کلسٹر کے اندر مختلف VPN گیٹ وے سے جڑے ہوئے صارفین، مثال کے طور پر، ایک کارپوریٹ سافٹ فون کے ذریعے براہ راست بات چیت کر سکتے ہیں، اور ساتھ ہی صارف کے ذریعہ درخواست کردہ وسائل سے ٹریفک واپس کر سکتے ہیں۔ مطلوبہ VPN گیٹ وے پر آئیں:

   

5. آئیے لوڈ بیلنسنگ کلسٹر کو ترتیب دینے کی طرف بڑھتے ہیں۔

   ایڈریس 192.168.31.40 کو ایک ورچوئل آئی پی کے طور پر استعمال کیا جائے گا (VIP - تمام VPN کلائنٹس ابتدائی طور پر اس سے جڑیں گے)، اس ایڈریس سے ماسٹر کلسٹر کم بوجھ والے کلسٹر نوڈ پر REDIRECT کرے گا۔ لکھنا نہ بھولیں۔ DNS ریکارڈ کو آگے اور ریورس کریں۔ کلسٹر کے ہر نوڈ کے ہر ایک بیرونی ایڈریس / FQDN کے لیے، اور VIP کے لیے۔

   vpn-demo-1(config)# vpn load-balancing
   vpn-demo-1(config-load-balancing)# interface lbpublic outside
   vpn-demo-1(config-load-balancing)# interface lbprivate inside
   vpn-demo-1(config-load-balancing)# priority 10
   vpn-demo-1(config-load-balancing)# cluster ip address 192.168.31.40
   vpn-demo-1(config-load-balancing)# cluster port 4000
   vpn-demo-1(config-load-balancing)# redirect-fqdn enable
   vpn-demo-1(config-load-balancing)# cluster key cisco
   vpn-demo-1(config-load-balancing)# cluster encryption
   vpn-demo-1(config-load-balancing)# cluster port 9023
   vpn-demo-1(config-load-balancing)# participate
   vpn-demo-1(config-load-balancing)#

   • ہم دو منسلک کلائنٹس کے ساتھ کلسٹر کے آپریشن کو چیک کرتے ہیں:

   

   • آئیے ASDM کے ذریعے خودکار طور پر بھری ہوئی AnyConnect پروفائل کے ساتھ کسٹمر کے تجربے کو مزید آسان بنائیں۔

   

   ہم پروفائل کا نام آسان طریقے سے رکھتے ہیں اور اپنی گروپ پالیسی کو اس کے ساتھ منسلک کرتے ہیں:

   

   کلائنٹ کے اگلے کنکشن کے بعد، یہ پروفائل خود بخود کسی بھی کنیکٹ کلائنٹ میں ڈاؤن لوڈ اور انسٹال ہو جائے گا، لہذا اگر آپ کو کنیکٹ کرنے کی ضرورت ہے، تو آپ کو اسے فہرست سے منتخب کرنے کی ضرورت ہے:

   

   چونکہ ہم نے یہ پروفائل ASDM کا استعمال کرتے ہوئے صرف ایک ASA پر بنایا ہے، اس لیے کلسٹر میں موجود دیگر ASAs پر اقدامات کو دہرانا نہ بھولیں۔

: اختتام اس طرح، ہم نے خودکار لوڈ بیلنسنگ کے ساتھ بہت سے VPN گیٹ ویز کے کلسٹر کو تیزی سے تعینات کیا۔ نئی ASAv ورچوئل مشینیں تعینات کرکے یا ہارڈویئر ASAs کا استعمال کرکے سادہ افقی اسکیلنگ کے ساتھ، کلسٹر میں نئے نوڈس شامل کرنا آسان ہے۔ خصوصیت سے مالا مال AnyConnect کلائنٹ استعمال کرکے محفوظ ریموٹ کنکشن کو بہت زیادہ بڑھا سکتا ہے۔ کرنسی (ریاست کا تخمینہ)مرکزی کنٹرول اور رسائی اکاؤنٹنگ کے نظام کے ساتھ مل کر سب سے زیادہ مؤثر طریقے سے استعمال کیا جاتا ہے۔ شناختی خدمات کا انجن.

ماخذ: www.habr.com