דיפּלייינג אַן ASA VPN מאַסע-באַלאַנסינג קנויל

אין דעם אַרטיקל איך וואָלט ווי צו צושטעלן שריט-דורך-שריט ינסטראַקשאַנז אויף ווי איר קענען געשווינד צעוויקלען די מערסט סקאַלאַבלע סכעמע אין דעם מאָמענט ווייַט אַקסעס וופּן צוטריט באזירט AnyConnect און Cisco ASA - VPN מאַסע באַלאַנסינג קנויל.

הקדמה: פילע קאָמפּאַניעס אַרום די וועלט, רעכט צו דער קראַנט סיטואַציע מיט COVID-19, מאַכן השתדלות צו אַריבערפירן זייער עמפּלוייז צו ווייַט אַרבעט. רעכט צו דער וויידספּרעד יבערגאַנג צו ווייַט אַרבעט, די מאַסע אויף יגזיסטינג VPN גייטווייז פון קאָמפּאַניעס ינקריסיז קריטיקאַלי און אַ זייער שנעל פיייקייט צו וואָג זיי איז פארלאנגט. אויף די אנדערע האַנט, פילע קאָמפּאַניעס זענען געצווונגען צו כייסטאַלי בעל דער באַגריף פון ווייַט אַרבעט פֿון קראַצן.

צו העלפֿן געשעפטן געשווינד ינסטרומענט באַקוועם, זיכער און סקאַלאַבלע וופּן אַקסעס פֿאַר עמפּלוייז, Cisco גיט אַרויף צו 13-וואָך לייסאַנסיז פֿאַר די שטריך-רייַך AnyConnect SSL-VPN קליענט. איר קענט אויך נעמען ASAv פֿאַר טעסטינג (ווירטואַל אַסאַ פֿאַר VMWare / Hyper-V / KVM כייפּערווייזערז און AWS / Azure וואָלקן פּלאַטפאָרמס) פֿון אָטערייזד פּאַרטנערס אָדער דורך קאָנטאַקט סיסקאָ פארשטייערס ארבעטן מיט איר.

דער פּראָצעדור פֿאַר ארויסגעבן AnyConnect COVID-19 לייסאַנסיז איז דיסקרייבד דאָ.

איך האָבן צוגעגרייט שריט-דורך-שריט ינסטראַקשאַנז פֿאַר אַ פּשוט אָפּציע פֿאַר דיפּלויינג אַ וופּן לאָוד-באַלאַנסינג קנויל ווי די מערסט סקאַלאַבלע וופּן טעכנאָלאָגיע.

דער ביישפּיל אונטן וועט זיין גאַנץ פּשוט אין די פונט פון מיינונג פון די אָטענטאַקיישאַן און דערלויבעניש אַלגערידאַמז געניצט, אָבער עס וועט זיין אַ גוט אָפּציע פֿאַר אַ שנעל אָנהייב (וואָס איז עפּעס וואָס פילע מענטשן פעלן איצט) מיט די מעגלעכקייט פון טיף אַדאַפּטיישאַן צו דיין באדערפענישן בעשאַס די דיפּלוימאַנט פּראָצעס.

קורץ אינפֿאָרמאַציע: VPN לאָוד באַלאַנסינג קלאַסטער טעכנאָלאָגיע איז נישט אַ פיילאָווער אָדער אַ קלאַסטערינג פֿונקציע אין זיין געבוירן זינען; די טעכנאָלאָגיע קענען פאַרבינדן גאָר פאַרשידענע ASA מאָדעלס (מיט זיכער ריסטריקשאַנז) אין סדר צו מאַסע וואָג רימאָוט אַקסעס VPN קאַנעקשאַנז. עס איז קיין סינגקראַנאַזיישאַן פון סעשאַנז און קאַנפיגיעריישאַנז צווישן די נאָודז פון אַזאַ אַ קנויל, אָבער עס איז מעגלעך צו אויטאָמאַטיש מאַסע וופּן קאַנעקשאַנז און ענשור שולד טאָלעראַנץ פון VPN קאַנעקשאַנז ביז לפּחות איין אַקטיוו נאָדע בלייבט אין דעם קנויל. די מאַסע אין דעם קנויל איז באַלאַנסט אויטאָמאַטיש דיפּענדינג אויף די ווערקלאָוד פון די נאָודז דורך די נומער פון וופּן סעשאַנז.

פֿאַר שולד טאָלעראַנץ פון ספּעציפיש קנויל נאָודז (אויב פארלאנגט), איר קענען נוצן אַ פילער, אַזוי די אַקטיוו קשר וועט זיין פּראַסעסט דורך די ערשטיק נאָדע פון ​​די פילער. דער טעקעאָווער איז ניט אַ נויטיק צושטאַנד פֿאַר ינשורינג שולד טאָלעראַנץ אין די מאַסע-באַלאַנסינג קנויל; אין די געשעעניש פון אַ נאָדע דורכפאַל, דער קנויל זיך וועט אַריבערפירן די באַניצער סעסיע צו אן אנדער לעבן נאָדע, אָבער אָן מיינטיינינג די קשר סטאַטוס, וואָס איז פּונקט וואָס די פילער גיט. דעריבער, די צוויי טעקנאַלאַדזשיז קענען זיין קאַמביינד אויב נייטיק.

א VPN מאַסע-באַלאַנסינג קנויל קענען אַנטהאַלטן מער ווי צוויי נאָודז.

VPN לאָדן-באַלאַנסינג קנויל איז געשטיצט אויף ASA 5512-X און העכער.

זינט יעדער ASA אין די VPN לאָדן-באַלאַנסינג קנויל איז אַ פרייַ אַפּאַראַט אין טערמינען פון סעטטינגס, מיר דורכפירן אַלע קאַנפיגיעריישאַן סטעפּס ינדיווידזשואַלי אויף יעדער יחיד מיטל.

דעטאַילס פון די טעכנאָלאָגיע דאָ

די לאַדזשיקאַל טאָפּאָלאָגי פון דעם בייַשפּיל איז:

ערשט דיפּלוימאַנט:

1. מיר צעוויקלען אַסאַוו ינסטאַנסיז פון די טעמפּלאַטעס וואָס מיר דאַרפֿן (ASAv5/10/30/50) פֿון די בילד.

2. מיר באַשטימען INSIDE / OUTSIDE ינטערפייסיז צו דער זעלביקער וולאַן (אַרויס אין זייַן אייגן וולאַן, INSIDE אין זיין אייגן, אָבער פּראָסט אין די קנויל, זען טאַפּאַלאַדזשי), עס איז וויכטיק אַז ינטערפייסיז פון דער זעלביקער טיפּ זענען ליגן אין דער זעלביקער ל 2 אָפּשניט.

3. ליסענסעס:

   • אין דער צייט פון ינסטאַלירונג, ASAv וועט נישט האָבן קיין לייסאַנסיז און וועט זיין לימיטעד צו 100 קביט / סעק.
   • צו ינסטאַלירן אַ דערלויבעניש, איר דאַרפֿן צו דזשענערייט אַ סימען אין דיין סמאַרט אַקאַונט חשבון: https://software.cisco.com/ -> סמאַרט ווייכווארג ליסענסינג
   • אין די פֿענצטער וואָס אָפּענס, גיט די קנעפּל ניו טאָקען

   

   • מאַכן זיכער אַז די פעלד אין די פֿענצטער וואָס אָפּענס איז אַקטיוו און די טשעקקבאָקס איז אָפּגעשטעלט לאָזן אַרויספירן-קאַנטראָולד פאַנגקשאַנאַליטי... אָן דעם אַקטיוו פעלד, איר וועט נישט קענען צו נוצן שטאַרק ענקריפּשאַן פאַנגקשאַנז און, אַקאָרדינגלי, VPN. אויב דאָס פעלד איז נישט אַקטיוו, ביטע קאָנטאַקט דיין חשבון מאַנשאַפֿט צו בעטן אַקטאַוויישאַן.

   

   • נאָך דרינגלעך דעם קנעפּל שאַפֿן טאָקען, אַ סימען וועט זיין באשאפן וואָס מיר וועלן נוצן צו קריגן אַ דערלויבעניש פֿאַר ASAv, קאָפּיע עס:

   

   • לאָמיר איבערחזרן סטעפּס C,D,E פֿאַר יעדער דיפּלויד אַסאַוו.
   • צו מאַכן עס גרינגער צו נאָכמאַכן די סימען, לאָזן אונדז טעמפּערעראַלי געבן טעלנעט. לאָמיר קאַנפיגיער יעדער ASA (די ביישפּיל אונטן ילאַסטרייץ די סעטטינגס אויף ASA-1). טעלנעט פֿון אַרויס טוט נישט אַרבעטן, אויב איר טאַקע דאַרפֿן עס, טוישן די זיכערהייט מדרגה צו 100 צו אַרויס, און טוישן עס צוריק.

   !
   ciscoasa(config)# int gi0/0
   ciscoasa(config)# nameif outside
   ciscoasa(config)# ip address 192.168.31.30 255.255.255.0
   ciscoasa(config)# no shut
   !
   ciscoasa(config)# int gi0/1
   ciscoasa(config)# nameif inside
   ciscoasa(config)# ip address 192.168.255.2 255.255.255.0
   ciscoasa(config)# no shut
   !
   ciscoasa(config)# telnet 0 0 inside
   ciscoasa(config)# username admin password cisco priv 15
   ciscoasa(config)# ena password cisco
   ciscoasa(config)# aaa authentication telnet console LOCAL
   !
   ciscoasa(config)# route outside 0 0 192.168.31.1
   !
   ciscoasa(config)# wr
   !

   • צו פאַרשרייַבן אַ סימען אין די סמאַרט אַקאַונט וואָלקן, איר מוזן צושטעלן אינטערנעט אַקסעס צו ASA, פרטים דאָ.

   אין קורץ, ASA איז דארף:

   • אינטערנעט אַקסעס דורך הטטפּס;
   • צייט סינגקראַנאַזיישאַן (מער ריכטיק דורך NTP);
   • רעגיסטרירט דנס סערווער;
     • מיר גיין דורך טעלנעט צו אונדזער ASA און מאַכן סעטטינגס צו אַקטאַווייט די דערלויבעניש דורך Smart-Account.

   !
   ciscoasa(config)# clock set 19:21:00 Mar 18 2020
   ciscoasa(config)# clock timezone MSK 3
   ciscoasa(config)# ntp server 192.168.99.136
   !
   ciscoasa(config)# dns domain-lookup outside
   ciscoasa(config)# DNS server-group DefaultDNS
   ciscoasa(config-dns-server-group)# name-server 192.168.99.132 
   !
   ! Проверим работу DNS:
   !
   ciscoasa(config-dns-server-group)# ping ya.ru
   Type escape sequence to abort.
   Sending 5, 100-byte ICMP Echos to 87.250.250.242, timeout is 2 seconds:
   !!!!!
   !
   ! Проверим синхронизацию NTP:
   !
   ciscoasa(config)# show ntp associations 
     address         ref clock     st  when  poll reach  delay  offset    disp
   *~192.168.99.136   91.189.94.4       3    63    64    1    36.7    1.85    17.5
   * master (synced), # master (unsynced), + selected, - candidate, ~ configured
   !
   ! Установим конфигурацию нашей ASAv для Smart-Licensing (в соответствии с Вашим профилем, в моем случае 100М для примера)
   !
   ciscoasa(config)# license smart
   ciscoasa(config-smart-lic)# feature tier standard
   ciscoasa(config-smart-lic)# throughput level 100M
   !
   ! В случае необходимости можно настроить доступ в Интернет через прокси используйте следующий блок команд:
   !call-home
   !  http-proxy ip_address port port
   !
   ! Далее мы вставляем скопированный из портала Smart-Account токен (<token>) и регистрируем лицензию
   !
   ciscoasa(config)# end
   ciscoasa# license smart register idtoken <token>

   • מיר קאָנטראָלירן אַז דער מיטל האט הצלחה רעגיסטרירט אַ דערלויבעניש און ענקריפּשאַן אָפּציעס זענען בנימצא:

   

   

4. קאַנפיגיער יקערדיק SSL-VPN אויף יעדער גייטוויי

   • דערנאָך, מיר קאַנפיגיער אַקסעס דורך SSH און ASDM:

   ciscoasa(config)# ssh ver 2
   ciscoasa(config)# aaa authentication ssh console LOCAL
   ciscoasa(config)# aaa authentication http console LOCAL
   ciscoasa(config)# hostname vpn-demo-1
   vpn-demo-1(config)# domain-name ashes.cc
   vpn-demo-1(config)# cry key gen rsa general-keys modulus 4096 
   vpn-demo-1(config)# ssh 0 0 inside  
   vpn-demo-1(config)# http 0 0 inside
   !
   ! Поднимем сервер HTTPS для ASDM на порту 445 чтобы не пересекаться с SSL-VPN порталом
   !
   vpn-demo-1(config)# http server enable 445 
   !

   • פֿאַר ASDM צו אַרבעטן, איר מוזן ערשטער אראפקאפיע עס פֿון cisco.com, אין מיין פאַל, דאָס איז די פאלגענדע טעקע:

   

   • פֿאַר די AnyConnect קליענט צו אַרבעטן, איר דאַרפֿן צו אָפּלאָדירן אַ בילד צו יעדער ASA פֿאַר יעדער קליענט דעסקטאַפּ אַס געוויינט (פּלאַננעד צו נוצן לינוקס / Windows / MAC), איר דאַרפֿן אַ טעקע מיט העאַדענד דיפּלוימאַנט פּאַקקאַגע אין דעם טיטל:

   

   • די דאַונלאָודיד טעקעס קענען זיין ופּלאָאַדעד, למשל, צו אַ פטפּ סערווער און ופּלאָאַדעד צו יעדער יחיד אַסאַ:

   

   • מיר קאַנפיגיער ASDM און זיך-געחתמעט באַווייַזן פֿאַר SSL-VPN (עס איז רעקאַמענדיד צו נוצן אַ טראַסטיד באַווייַזן אין פּראָדוקציע). די געגרינדעט FQDN פון די קנויל ווירטואַל אַדרעס (vpn-demo.ashes.cc), און יעדער FQDN פֿאַרבונדן מיט די פונדרויסנדיק אַדרעס פון יעדער קנויל נאָדע מוזן זיין ריזאַלווד אין די פונדרויסנדיק דנס זאָנע צו די IP אַדרעס פון די OUTSIDE צובינד (אָדער צו די מאַפּט אַדרעס אויב ודפּ / 443 פּאָרט פאָרווערדינג איז געניצט (DTLS) און tcp/443 (TLS)). דיטיילד אינפֿאָרמאַציע וועגן די באדערפענישן פֿאַר די באַווייַזן איז ספּעסיפיעד אין די אָפּטיילונג סערטיפיקאַט וועראַפאַקיישאַן דאַקיומענטיישאַן.

   !
   vpn-demo-1(config)# crypto ca trustpoint SELF
   vpn-demo-1(config-ca-trustpoint)# enrollment self
   vpn-demo-1(config-ca-trustpoint)# fqdn vpn-demo.ashes.cc
   vpn-demo-1(config-ca-trustpoint)# subject-name cn=*.ashes.cc, ou=ashes-lab, o=ashes, c=ru
   vpn-demo-1(config-ca-trustpoint)# serial-number             
   vpn-demo-1(config-ca-trustpoint)# crl configure
   vpn-demo-1(config-ca-crl)# cry ca enroll SELF
   % The fully-qualified domain name in the certificate will be: vpn-demo.ashes.cc
   Generate Self-Signed Certificate? [yes/no]: yes
   vpn-demo-1(config)# 
   !
   vpn-demo-1(config)# sh cry ca certificates 
   Certificate
   Status: Available
   Certificate Serial Number: 4d43725e
   Certificate Usage: General Purpose
   Public Key Type: RSA (4096 bits)
   Signature Algorithm: SHA256 with RSA Encryption
   Issuer Name: 
   serialNumber=9A439T02F95
   hostname=vpn-demo.ashes.cc
   cn=*.ashes.cc
   ou=ashes-lab
   o=ashes
   c=ru
   Subject Name:
   serialNumber=9A439T02F95
   hostname=vpn-demo.ashes.cc
   cn=*.ashes.cc
   ou=ashes-lab
   o=ashes
   c=ru
   Validity Date: 
   start date: 00:16:17 MSK Mar 19 2020
   end   date: 00:16:17 MSK Mar 17 2030
   Storage: config
   Associated Trustpoints: SELF 
   
   CA Certificate
   Status: Available
   Certificate Serial Number: 0509
   Certificate Usage: General Purpose
   Public Key Type: RSA (4096 bits)
   Signature Algorithm: SHA1 with RSA Encryption
   Issuer Name: 
   cn=QuoVadis Root CA 2
   o=QuoVadis Limited
   c=BM
   Subject Name: 
   cn=QuoVadis Root CA 2
   o=QuoVadis Limited
   c=BM
   Validity Date: 
   start date: 21:27:00 MSK Nov 24 2006
   end   date: 21:23:33 MSK Nov 24 2031
   Storage: config
   Associated Trustpoints: _SmartCallHome_ServerCA               

   • צו קאָנטראָלירן די אָפּעראַציע פון ​​ASDM, טאָן ניט פאַרגעסן צו ספּעציפיצירן די פּאָרט, למשל:

   

   • לאָמיר דורכפירן יקערדיק טונעל סעטטינגס:
   • מיר וועלן מאַכן די פֿירמע נעץ צוטריטלעך דורך אַ טונעל און פאַרבינדן די אינטערנעט גלייַך (נישט די מערסט זיכער אופֿן אין דער אַוועק פון זיכערהייט מיטלען אויף די קאַנעקטינג באַלעבאָס, עס איז מעגלעך צו דורכנעמען דורך אַ ינפעקטאַד באַלעבאָס און רעזולטאַט פֿירמע דאַטן, אָפּציע. שפּאַלטן-טונעל-פּאָליטיק טונעלאַלל וועט לאָזן אַלע באַלעבאָס פאַרקער אין דעם טונעל. דאך שפּאַלטן-טונעל מאכט עס מעגלעך צו באַפרייַען די VPN גייטוויי און נישט פּראַסעסינג באַלעבאָס אינטערנעט פאַרקער)
   • מיר וועלן אַרויסגעבן מחנות אין דעם טונעל מיט אַדרעסעס פֿון די סובנעט 192.168.20.0/24 (אַ בעקן פון 10 צו 30 אַדרעסעס (פֿאַר נאָדע #1)). יעדער נאָדע אין דעם קנויל מוזן האָבן זיין אייגענע VPN בעקן.
   • לאָמיר דורכפירן יקערדיק אָטענטאַקיישאַן מיט אַ לאָוקאַלי באשאפן באַניצער אויף די ASA (דאָס איז נישט רעקאַמענדיד, דאָס איז די סימפּלאַסט אופֿן), עס איז בעסער צו טאָן אָטענטאַקיישאַן דורך LDAP/RADIUS, אָדער בעסער נאָך, בונד מולטי-פאַקטאָר אָטענטאַקיישאַן (MFA)פֿאַר בייַשפּיל סיסקאָ דואָ.

   !
   vpn-demo-1(config)# ip local pool vpn-pool 192.168.20.10-192.168.20.30 mask 255.255.255.0
   !
   vpn-demo-1(config)# access-list split-tunnel standard permit 192.168.0.0 255.255.0.0
   !
   vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY internal
   vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY attributes
   vpn-demo-1(config-group-policy)# vpn-tunnel-protocol ssl-client 
   vpn-demo-1(config-group-policy)# split-tunnel-policy tunnelspecified
   vpn-demo-1(config-group-policy)# split-tunnel-network-list value split-tunnel
   vpn-demo-1(config-group-policy)# dns-server value 192.168.99.132
   vpn-demo-1(config-group-policy)# default-domain value ashes.cc
   vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes
   vpn-demo-1(config-tunnel-general)#  default-group-policy SSL-VPN-GROUP-POLICY
   vpn-demo-1(config-tunnel-general)#  address-pool vpn-pool
   !
   vpn-demo-1(config)# username dkazakov password cisco
   vpn-demo-1(config)# username dkazakov attributes
   vpn-demo-1(config-username)# service-type remote-access
   !
   vpn-demo-1(config)# ssl trust-point SELF
   vpn-demo-1(config)# webvpn
   vpn-demo-1(config-webvpn)#  enable outside
   vpn-demo-1(config-webvpn)#  anyconnect image disk0:/anyconnect-win-4.8.03036-webdeploy-k9.pkg
   vpn-demo-1(config-webvpn)#  anyconnect enable
   !

   • (אַפּשאַנאַל): אין די אויבן בייַשפּיל, מיר געוויינט אַ היגע באַניצער אויף די פיירוואַל צו אָטענטאַקייט ווייַט ניצערס, וואָס פון קורס איז פון קליין נוצן אַחוץ אין דער לאַבאָראַטאָריע. איך וועט געבן אַ בייַשפּיל פון ווי צו געשווינד אַדאַפּט די סעטאַפּ פֿאַר אָטענטאַקיישאַן אויף ראַדיוס סערווער, פֿאַר בייַשפּיל Cisco Identity Services Engine:

   vpn-demo-1(config-aaa-server-group)# dynamic-authorization
   vpn-demo-1(config-aaa-server-group)# interim-accounting-update
   vpn-demo-1(config-aaa-server-group)# aaa-server RADIUS (outside) host 192.168.99.134
   vpn-demo-1(config-aaa-server-host)# key cisco
   vpn-demo-1(config-aaa-server-host)# exit
   vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes
   vpn-demo-1(config-tunnel-general)# authentication-server-group  RADIUS 
   !

   די ינאַגריישאַן האט עס מעגלעך נישט בלויז צו געשווינד ויסשטימען די אָטענטאַקיישאַן פּראָצעדור מיט די AD Directory דינסט, אָבער אויך צו ויסטיילן צי די קאָננעקטעד קאָמפּיוטער געהערט צו AD, פֿאַרשטיין צי עס איז אַ פֿירמע מיטל אָדער אַ פערזענלעכע מיטל, און אַססעסס די שטאַט פון די קאָננעקטעד. מיטל.

   

   

   • לאָמיר קאַנפיגיער טראַנספּאַרענט NAT אַזוי אַז פאַרקער צווישן די קליענט און נעץ רעסורסן פון די פֿירמע נעץ איז נישט ינטערפירד מיט:

   vpn-demo-1(config-network-object)#  subnet 192.168.20.0 255.255.255.0
   !
   vpn-demo-1(config)# nat (inside,outside) source static any any destination static vpn-users vpn-users no-proxy-arp

   • (אָפּטיאָנאַל): צו ויסשטעלן אונדזער קלייאַנץ צו די אינטערנעט דורך ASA (ווען ניצן tunnelall אָפּציעס) ניצן PAT, און אויך אַרויסגאַנג דורך דער זעלביקער OUTSIDE צובינד פֿון ווו זיי זענען קאָננעקטעד, איר דאַרפֿן צו מאַכן די פאלגענדע סעטטינגס

   vpn-demo-1(config-network-object)# nat (outside,outside) source dynamic vpn-users interface
   vpn-demo-1(config)# nat (inside,outside) source dynamic any interface
   vpn-demo-1(config)# same-security-traffic permit intra-interface 
   !

   • עס איז גאָר וויכטיק ווען ניצן אַ קנויל צו געבן די ינערלעך נעץ צו פֿאַרשטיין וואָס ASA צו מאַרשרוט צוריקקומען פאַרקער צו וסערס; פֿאַר דעם עס איז נייטיק צו רידיסטריביוטינג די רוץ / 32 אַדרעסעס ארויס צו קלייאַנץ.
     אין דער מאָמענט, מיר האָבן נישט נאָך קאַנפיגיערד די קנויל, אָבער מיר האָבן שוין ארבעטן VPN גייטווייז צו וואָס איר קענען ינדיווידזשואַלי פאַרבינדן דורך FQDN אָדער IP.

   

   מיר זען די קאָננעקטעד קליענט אין די רוטינג טיש פון דער ערשטער ASA:

   

   אַזוי אַז אונדזער גאַנץ וופּן קנויל און די גאנצע פֿירמע נעץ וויסן די מאַרשרוט צו אונדזער קליענט, מיר וועלן רידיסטריביוט דעם קליענט פּרעפיקס אין אַ דינאַמיש רוטינג פּראָטאָקאָל, למשל OSPF:

   !
   vpn-demo-1(config)# route-map RMAP-VPN-REDISTRIBUTE permit 1
   vpn-demo-1(config-route-map)#  match ip address VPN-REDISTRIBUTE
   !
   vpn-demo-1(config)# router ospf 1
   vpn-demo-1(config-router)#  network 192.168.255.0 255.255.255.0 area 0
   vpn-demo-1(config-router)#  log-adj-changes
   vpn-demo-1(config-router)#  redistribute static metric 5000 subnets route-map RMAP-VPN-REDISTRIBUTE

   איצט מיר האָבן אַ מאַרשרוט צו דעם קליענט פֿון די רגע ASA-2 גייטוויי און יוזערז קאָננעקטעד צו פאַרשידענע VPN גייטווייז אין דעם קנויל קענען, למשל, יבערגעבן גלייַך דורך אַ פֿירמע סאָפטפאָנע, פּונקט ווי די צוריקקער פאַרקער פון די רעסורסן געבעטן דורך דער באַניצער וועט אָנקומען. אין די געבעטן VPN גייטוויי:

   

5. לאָמיר פאָרזעצן צו באַשטעטיקן די מאַסע-באַלאַנסינג קנויל.

   די אַדרעס 192.168.31.40 וועט ווערן גענוצט ווי אַ ווירטואַל IP (וויפּ - אַלע VPN קלייאַנץ וועלן טכילעס פאַרבינדן צו עס), פֿון דעם אַדרעס, דער קלאַסטער האר וועט רידערעקט צו אַ ווייניקער לאָודיד קנויל נאָדע. דו זאלסט נישט פאַרגעסן צו רעגיסטרירן פאָרויס און פאַרקערט דנס רעקאָרדס ביידע פֿאַר יעדער פונדרויסנדיק אַדרעס / FQDN פון יעדער קנויל נאָדע, און פֿאַר וויפּ.

   vpn-demo-1(config)# vpn load-balancing
   vpn-demo-1(config-load-balancing)# interface lbpublic outside
   vpn-demo-1(config-load-balancing)# interface lbprivate inside
   vpn-demo-1(config-load-balancing)# priority 10
   vpn-demo-1(config-load-balancing)# cluster ip address 192.168.31.40
   vpn-demo-1(config-load-balancing)# cluster port 4000
   vpn-demo-1(config-load-balancing)# redirect-fqdn enable
   vpn-demo-1(config-load-balancing)# cluster key cisco
   vpn-demo-1(config-load-balancing)# cluster encryption
   vpn-demo-1(config-load-balancing)# cluster port 9023
   vpn-demo-1(config-load-balancing)# participate
   vpn-demo-1(config-load-balancing)#

   • מיר קאָנטראָלירן די אָפּעראַציע פון ​​די קנויל מיט צוויי קאָננעקטעד קלייאַנץ:

   

   • לאָזן אונדז מאַכן די קונה דערפאַרונג מער באַקוועם מיט אַן אויטאָמאַטיש דאַונלאָודיד AnyConnect פּראָפיל דורך ASDM.

   

   מיר נעמען דעם פּראָפיל אויף אַ באַקוועם וועג און פאַרבינדן אונדזער גרופּע פּאָליטיק מיט אים:

   

   נאָך דער ווייַטער קליענט פֿאַרבינדונג, דעם פּראָפיל וועט זיין אויטאָמאַטיש דאַונלאָודיד און אינסטאַלירן אין די AnyConnect קליענט, אַזוי אויב איר דאַרפֿן צו פאַרבינדן, איר נאָר דאַרפֿן צו סעלעקטירן עס פֿון דער רשימה:

   

   זינט די נוצן פון ASDM מיר באשאפן דעם פּראָפיל אויף בלויז איין אַסאַ, טאָן ניט פאַרגעסן צו איבערחזרן די סטעפּס אויף די רוען אַסאַס אין דעם קנויל.

מסקנא: אזוי, מיר געשווינד דיפּלויד אַ קנויל פון עטלעכע VPN גייטווייז מיט אָטאַמאַטיק מאַסע באַלאַנסינג. עס איז גרינג צו לייגן נייַע נאָודז צו דעם קנויל, אַטשיווינג פּשוט האָריזאָנטאַל סקיילינג דורך דיפּלויינג נייַ אַסאַוו ווירטואַל מאשינען אָדער ניצן ייַזנוואַרג אַסאַס. דער שטריך-רייַך AnyConnect קליענט קענען שטארק פאַרבעסערן דיין זיכער ווייַט קשר קייפּאַבילאַטיז מיט די האַלטנ זיך (שטאַט אַסעסמאַנץ), רובֿ יפעקטיוולי געניצט אין קאַנדזשאַנגקשאַן מיט אַ סענטראַלייזד אַקסעס קאָנטראָל און אַקאַונטינג סיסטעם אידענטיטעט באַדינונגס מאָטאָר.

מקור: www.habr.com