Ushbu maqolada men hozirda eng kengaytiriladigan sxemani qanday tezda o'rnatishingiz mumkinligi haqida bosqichma-bosqich ko'rsatmalar bermoqchiman. Masofaviy kirish VPN kirishga asoslangan AnyConnect va Cisco ASA - VPN yuklarni muvozanatlash klasteri.
Kirish: Dunyo bo'ylab ko'plab kompaniyalar COVID-19 bilan bog'liq mavjud vaziyat tufayli o'z xodimlarini masofaviy ishlashga o'tkazishga harakat qilmoqda. Masofaviy ishlashga keng o'tish tufayli kompaniyalarning mavjud VPN shlyuzlariga yuk keskin oshadi va ularni o'lchash uchun juda tez qobiliyat talab etiladi. Boshqa tomondan, ko'plab kompaniyalar noldan masofadan ishlash kontseptsiyasini shoshilinch ravishda o'zlashtirishga majbur.
Men eng kengaytiriladigan VPN texnologiyasi sifatida VPN Load-Balancing klasterini joylashtirishning oddiy varianti bo'yicha bosqichma-bosqich ko'rsatmalar tayyorladim.
Quyidagi misol autentifikatsiya va avtorizatsiya algoritmlari nuqtai nazaridan juda oddiy bo'ladi, ammo bu tez boshlash uchun yaxshi variant bo'ladi (bu hozir ko'pchilikka etishmayapti) va unga chuqur moslashish imkoniyati joylashtirish jarayonida sizning ehtiyojlaringiz.
Qisqacha ma'lumot: VPN Load Balancing Cluster texnologiyasi o'z ma'nosida uzilish yoki klasterlash funktsiyasi emas; bu texnologiya masofaviy kirish VPN ulanishlarini yuklash uchun butunlay boshqa ASA modellarini (ma'lum cheklovlar bilan) birlashtirishi mumkin. Bunday klasterning tugunlari o'rtasida seanslar va konfiguratsiyalarning sinxronizatsiyasi mavjud emas, lekin klasterda kamida bitta faol tugun qolmaguncha VPN ulanishlarini avtomatik ravishda yuklash va VPN ulanishlarining nosozliklarga chidamliligini ta'minlash mumkin. Klasterdagi yuk VPN seanslari soni bo'yicha tugunlarning ish yukiga qarab avtomatik ravishda muvozanatlanadi.
Muayyan klaster tugunlarining nosozliklarga chidamliligi uchun (agar kerak bo'lsa) siz to'ldiruvchidan foydalanishingiz mumkin, shuning uchun faol ulanish faylning asosiy tuguni tomonidan qayta ishlanadi. Fayllarni o'zgartirish Load-Balancing klasterida nosozliklarga chidamliligini ta'minlash uchun zaruriy shart emas; tugun ishlamay qolganda, klasterning o'zi foydalanuvchi seansini boshqa jonli tugunga o'tkazadi, lekin ulanish holatini saqlamasdan, aynan nima faylni taqdim etadi. Shunga ko'ra, agar kerak bo'lsa, bu ikki texnologiya birlashtirilishi mumkin.
VPN Load-Balancing klasteri ikkitadan ortiq tugunni o'z ichiga olishi mumkin.
VPN Load-Balancing klasteri ASA 5512-X va undan yuqori versiyalarida qo'llab-quvvatlanadi.
VPN Load-Balancing klasteridagi har bir ASA sozlamalar bo'yicha mustaqil birlik bo'lgani uchun biz har bir alohida qurilmada barcha konfiguratsiya bosqichlarini alohida bajaramiz.
Biz rasmdan kerakli shablonlarning ASAv nusxalarini (ASAv5/10/30/50) joylashtiramiz.
Biz bir xil VLAN ga ICHKI/TAShQIRI interfeyslarni tayinlaymiz (tashqarida o'z VLANida, ICHKIDA o'z, lekin klaster ichida keng tarqalgan, topologiyaga qarang), bir xil turdagi interfeyslar bir xil L2 segmentida joylashgan bo'lishi muhim.
Litsenziyalar:
O'rnatish vaqtida ASAv hech qanday litsenziyaga ega bo'lmaydi va 100kbit/s bilan cheklanadi.
Litsenziyani o'rnatish uchun siz Smart-Account hisobingizda token yaratishingiz kerak: https://software.cisco.com/ -> Smart dasturiy ta'minotni litsenziyalash
Ochilgan oynada tugmani bosing Yangi token
Ochilgan oynadagi maydon faol ekanligiga ishonch hosil qiling va katakchani belgilang Eksport tomonidan boshqariladigan funksiyalarga ruxsat bering... Ushbu faol maydonsiz siz kuchli shifrlash funksiyalaridan va shunga mos ravishda VPN-dan foydalana olmaysiz. Agar bu maydon faol bo'lmasa, faollashtirishni so'rash uchun hisob qaydnomangiz jamoasi bilan bog'laning.
Tugmani bosgandan keyin Token yarating, biz ASAv uchun litsenziya olish uchun foydalanadigan token yaratiladi, uni nusxalash:
Har bir joylashtirilgan ASAv uchun C, D, E bosqichlarini takrorlaymiz.
Tokenni nusxalashni osonlashtirish uchun keling, telnetni vaqtincha yoqaylik. Keling, har bir ASA ni sozlaymiz (quyidagi misol ASA-1 sozlamalarini ko'rsatadi). tashqaridan telnet ishlamayapti, agar sizga haqiqatan ham kerak bo'lsa, xavfsizlik darajasini 100 dan tashqariga o'zgartiring, keyin uni qayta o'zgartiring.
!
ciscoasa(config)# int gi0/0
ciscoasa(config)# nameif outside
ciscoasa(config)# ip address 192.168.31.30 255.255.255.0
ciscoasa(config)# no shut
!
ciscoasa(config)# int gi0/1
ciscoasa(config)# nameif inside
ciscoasa(config)# ip address 192.168.255.2 255.255.255.0
ciscoasa(config)# no shut
!
ciscoasa(config)# telnet 0 0 inside
ciscoasa(config)# username admin password cisco priv 15
ciscoasa(config)# ena password cisco
ciscoasa(config)# aaa authentication telnet console LOCAL
!
ciscoasa(config)# route outside 0 0 192.168.31.1
!
ciscoasa(config)# wr
!
Smart-Account bulutida tokenni ro'yxatdan o'tkazish uchun siz ASA-ga Internetga kirishni ta'minlashingiz kerak, tafsilotlar bu yerda.
Qisqasi, ASA kerak:
HTTPS orqali Internetga kirish;
vaqtni sinxronlashtirish (NTP orqali to'g'riroq);
ro'yxatdan o'tgan DNS server;
Biz telnet orqali ASA-ga boramiz va Smart-Account orqali litsenziyani faollashtirish uchun sozlashlarni amalga oshiramiz.
ASDM ishlashi uchun avval uni cisco.com dan yuklab olishingiz kerak, mening holimda bu quyidagi fayl:
AnyConnect mijozi ishlashi uchun har bir mijoz ish stoli OS uchun (Linux/Windows/MAC-dan foydalanish rejalashtirilgan) har bir ASA-ga rasmni yuklab olishingiz kerak, sizga fayl kerak bo'ladi. Headend Deployment Package Sarlavhada:
Yuklab olingan fayllar, masalan, FTP serveriga yuklanishi va har bir alohida ASAga yuklanishi mumkin:
Biz SSL-VPN uchun ASDM va Self-Signed sertifikatini sozlaymiz (ishlab chiqarishda ishonchli sertifikatdan foydalanish tavsiya etiladi). Klasterning o'rnatilgan FQDN Virtual manzili (vpn-demo.ashes.cc), shuningdek har bir klaster tugunining tashqi manzili bilan bog'liq har bir FQDN tashqi DNS zonasida OUTSIDE interfeysining IP manziliga (yoki) hal qilinishi kerak. udp/443 portni yo'naltirish (DTLS) va tcp/443(TLS) ishlatilsa, xaritalangan manzilga. Sertifikatga qo'yiladigan talablar bo'yicha batafsil ma'lumot bo'limda ko'rsatilgan Sertifikatni tasdiqlash hujjatlar.
!
vpn-demo-1(config)# crypto ca trustpoint SELF
vpn-demo-1(config-ca-trustpoint)# enrollment self
vpn-demo-1(config-ca-trustpoint)# fqdn vpn-demo.ashes.cc
vpn-demo-1(config-ca-trustpoint)# subject-name cn=*.ashes.cc, ou=ashes-lab, o=ashes, c=ru
vpn-demo-1(config-ca-trustpoint)# serial-number
vpn-demo-1(config-ca-trustpoint)# crl configure
vpn-demo-1(config-ca-crl)# cry ca enroll SELF
% The fully-qualified domain name in the certificate will be: vpn-demo.ashes.cc
Generate Self-Signed Certificate? [yes/no]: yes
vpn-demo-1(config)#
!
vpn-demo-1(config)# sh cry ca certificates
Certificate
Status: Available
Certificate Serial Number: 4d43725e
Certificate Usage: General Purpose
Public Key Type: RSA (4096 bits)
Signature Algorithm: SHA256 with RSA Encryption
Issuer Name:
serialNumber=9A439T02F95
hostname=vpn-demo.ashes.cc
cn=*.ashes.cc
ou=ashes-lab
o=ashes
c=ru
Subject Name:
serialNumber=9A439T02F95
hostname=vpn-demo.ashes.cc
cn=*.ashes.cc
ou=ashes-lab
o=ashes
c=ru
Validity Date:
start date: 00:16:17 MSK Mar 19 2020
end date: 00:16:17 MSK Mar 17 2030
Storage: config
Associated Trustpoints: SELF
CA Certificate
Status: Available
Certificate Serial Number: 0509
Certificate Usage: General Purpose
Public Key Type: RSA (4096 bits)
Signature Algorithm: SHA1 with RSA Encryption
Issuer Name:
cn=QuoVadis Root CA 2
o=QuoVadis Limited
c=BM
Subject Name:
cn=QuoVadis Root CA 2
o=QuoVadis Limited
c=BM
Validity Date:
start date: 21:27:00 MSK Nov 24 2006
end date: 21:23:33 MSK Nov 24 2031
Storage: config
Associated Trustpoints: _SmartCallHome_ServerCA
ASDM ishlashini tekshirish uchun portni ko'rsatishni unutmang, masalan:
Keling, asosiy tunnel sozlamalarini bajaramiz:
Biz korporativ tarmoqqa tunnel orqali kirish imkoniyatini yaratamiz va Internetni to'g'ridan-to'g'ri ulaymiz (ulanayotgan xostda xavfsizlik choralari mavjud bo'lmaganda eng xavfsiz usul emas, virusli xost orqali kirib, korporativ ma'lumotlarni chiqarish mumkin, variant. split-tunnel-policy tunnelall tunnelga barcha xost trafigiga ruxsat beradi. Shunga qaramasdan Split-tunnel VPN shlyuzini bo'shatish va xost Internet-trafigini qayta ishlamaslik imkonini beradi)
Biz tunnelda 192.168.20.0/24 quyi tarmog'idan (10 dan 30 tagacha manzillar havzasi (1-tugun uchun)) manzillari bilan xostlarni chiqaramiz. Klasterdagi har bir tugun o'z VPN puliga ega bo'lishi kerak.
ASA-da mahalliy yaratilgan foydalanuvchi bilan asosiy autentifikatsiyani amalga oshiramiz (bu tavsiya etilmaydi, bu eng oddiy usul), autentifikatsiyani orqali amalga oshirgan ma'qul. LDAP/RADIUS, yoki yaxshiroq, galstuk bog'lang Ko'p faktorli autentifikatsiya (MFA), masalan Cisco DUO.
(iPLAJIB): Yuqoridagi misolda biz masofaviy foydalanuvchilarni autentifikatsiya qilish uchun xavfsizlik devoridagi mahalliy foydalanuvchidan foydalandik, bu albatta laboratoriyadan tashqari kam foyda keltiradi. Men autentifikatsiya qilish uchun sozlashni qanday tezda moslashtirishga misol keltiraman RADIUS server, masalan, ishlatiladi Cisco Identity Services Engine:
Ushbu integratsiya nafaqat autentifikatsiya protsedurasini AD katalog xizmati bilan tez birlashtirishga, balki ulangan kompyuterning ADga tegishli ekanligini aniqlashga, u korporativ yoki shaxsiy qurilma ekanligini tushunishga va ulangan kompyuterning holatini baholashga imkon berdi. qurilma.
Korporativ tarmoqning mijoz va tarmoq resurslari o'rtasidagi trafik xalaqit bermasligi uchun Transparent NAT ni sozlaymiz:
vpn-demo-1(config-network-object)# subnet 192.168.20.0 255.255.255.0
!
vpn-demo-1(config)# nat (inside,outside) source static any any destination static vpn-users vpn-users no-proxy-arp
(ixtiyoriy): Mijozlarimizni ASA orqali Internetga ta'sir qilish uchun (foydalanayotganda tunnelall variantlari) PAT-dan foydalanib, shuningdek, ular ulangan joydan bir xil OUTSIDE interfeysi orqali chiqish uchun quyidagi sozlamalarni o'rnatishingiz kerak.
Klasterdan foydalanishda ichki tarmoq foydalanuvchilarga qaytariladigan trafikni qaysi ASA ga yo'naltirishini tushunishga imkon berish juda muhim, buning uchun mijozlarga berilgan marshrutlarni /32 manzillarni qayta taqsimlash kerak.
Ayni paytda biz klasterni hali sozlaganimiz yo'q, lekin bizda allaqachon FQDN yoki IP orqali alohida ulanishingiz mumkin bo'lgan ishlaydigan VPN shlyuzlari mavjud.
Biz birinchi ASA ning marshrutlash jadvalida ulangan mijozni ko'ramiz:
Bizning butun VPN klasterimiz va butun korporativ tarmog'imiz mijozimizga boradigan yo'lni bilishi uchun biz mijoz prefiksini dinamik marshrutlash protokoliga qayta taqsimlaymiz, masalan, OSPF:
Endi biz mijozga ikkinchi ASA-2 shlyuzidan marshrutga egamiz va klaster ichidagi turli VPN shlyuzlariga ulangan foydalanuvchilar, masalan, foydalanuvchi tomonidan talab qilingan resurslardan qaytib keladigan trafik kelishi kabi, korporativ dasturiy telefon orqali bevosita muloqot qilishlari mumkin. kerakli VPN shlyuzida:
192.168.31.40 manzili Virtual IP sifatida ishlatiladi (VIP - barcha VPN mijozlari dastlab unga ulanadi), bu manzildan Cluster Master kamroq yuklangan klaster tuguniga REDIRECT qiladi. Ro'yxatdan o'tishni unutmang oldinga va teskari DNS yozuvlari har bir klaster tugunining har bir tashqi manzili/FQDN uchun ham, VIP uchun ham.
Biz ikkita ulangan mijoz bilan klasterning ishlashini tekshiramiz:
ASDM orqali avtomatik yuklab olinadigan AnyConnect profili bilan mijozning tajribasini yanada qulayroq qilaylik.
Biz profilni qulay tarzda nomlaymiz va u bilan guruh siyosatimizni bog'laymiz:
Keyingi mijoz ulanishidan so'ng, ushbu profil avtomatik ravishda yuklab olinadi va AnyConnect mijoziga o'rnatiladi, shuning uchun ulanishingiz kerak bo'lsa, uni ro'yxatdan tanlashingiz kifoya:
ASDM dan foydalanganimiz uchun biz ushbu profilni faqat bitta ASAda yaratdik, klasterdagi qolgan ASAlar bo'yicha qadamlarni takrorlashni unutmang.
xulosa: Shunday qilib, biz tezda yukni avtomatik muvozanatlash bilan bir nechta VPN shlyuzlari klasterini joylashtirdik. Klasterga yangi tugunlarni qo'shish oson, yangi ASAv virtual mashinalarini o'rnatish yoki apparat ASA'larini qo'llash orqali oddiy gorizontal miqyosga erishish. Funksiyalarga boy AnyConnect mijozi yordamida xavfsiz masofaviy ulanish imkoniyatlarini sezilarli darajada oshirishi mumkin Durum (davlat baholashi), markazlashtirilgan kirishni boshqarish va buxgalteriya tizimi bilan birgalikda eng samarali foydalaniladi Identity Services Engine.