ASA AnyConnect VPN & ISP load balance: Настройка подключения с резервированием провайдеров
5 года 10 мес. назад - 3 года 3 мес. назад #118
от TOLLIFi
IT и Телеком: IP-телефония, интернет-технологии, программирование, web-сервисы.
TOLLIFi создал эту тему: ASA AnyConnect VPN & ISP load balance: Настройка подключения с резервировани
В данной теме будет рассмотрен вопрос организации Remote Access VPN (на клиенте AnyConnect и сетевом оборудовании Cisco ASA) с параллельным подключением через несколько провайдеров (ISP), а также приведены основные настройки конфигурации и профилей для VPN клиентов (AnyConnect Client Profile, ACCP). Для SSL при таком подключении может понадобиться сертификат UCC/SAN, описание и процедура установки которого приведена в статье
Cisco + OpenSSL Windows: установка мульти-доменных сертификатов UCC/SAN (Subject Alternative Name)
.
Схема сети:
Основные элементы сети и их назначение:
- NAT extended (Cisco 1811) - маршрутизатор, имеющий доступ в Интернет сразу через несколько провайдеров и выступающий в качестве шлюза по-умолчанию для ASA (поскольку в ASA можно создать лишь единственный маршрут по умолчанию, 0.0.0.0/0). Все SSL-запросы (https: //...) транслируются на ASA (стандартная трансляция адресов ip nat inside/outside, без NVI/'ip nat enable'!). Здесь подразумеваетя доступ к внутренним ресурсам из вне (для доступа внутренних пользователей в Интернет необходима дополнительная конфигурация NAT).
- AnyConnect VPN Gateway (ASA5510) - VPN-концентратор, осуществляющий подключение клиентов по следующим правилам:
шаг 1: при SSL-запросе, ASA использует сертификат TRUSTPOINT-ASA, по которому пользователь принимает решение, доверять узлу VPN или нет (обычно, при конфигурации сети 'multiple ISP', используется сертификат UCC/SAN );
шаг 2: после подтверждения клиентом сертификата узла VPN, ASA пытается аутентифицировать клиента по 'личному сертификату пользователя' с помощью сертификата CA TRUSTPOINT-USER;
шаг 2.1 (успешная аутентификация по сертификату): в зависимости от того к какому домену принадлежит сертификат пользователя (subdomain1.rus или subdomain2.rus) происходит подключение с параметрами той или иной 'tunnel-group' с назначением DNS-суффикса по-умолчанию, соответствующего личному сертификату. Далее шаг 3;
шаг 2.2 (в случае неудачной аутентификация по сертификату): ASA пытается осуществить RADIUS-аутентификацию клиента по логину и паролю, и в случае успеха подключить с параметрами 'tunnel-group' для этого способа аутентификации (AAA), назначается DNS-суффикс по-умолчанию SUBDOMAIN1.RUS. Далее шаг 3;
шаг 3: присваивается IP-адрес запрошенный с внешнего DHCP. Устанавливаются модули AnyConnect SBL ('vpngina' - Start Befor Logon, возможность подключиться к VPN-сети до входа в Windows) и AnyConnect DART ('dart' - Diagnostic AnyConnect Reporting Tool, модуль сбора диагностической информации для анализа сбоев при подключении, обычно требуется при обращении к специалистам тех.поддержки Cisco TAC). Обновляется/скачивается AnyConnect профиль (ACCP, '*.xml') для клиентского приложения, позволяющий настроить в автоматическом режиме Cisco AnyConnect Client, так как задумал администратор сети.
PrintScreen's:
--- ПРИМЕР КОНФИГУРАЦИИ CISCO 1811 >>>
--- ПРИМЕР КОНФИГУРАЦИИ CISCO ASA >>>
Схема сети:
Основные элементы сети и их назначение:
- NAT extended (Cisco 1811) - маршрутизатор, имеющий доступ в Интернет сразу через несколько провайдеров и выступающий в качестве шлюза по-умолчанию для ASA (поскольку в ASA можно создать лишь единственный маршрут по умолчанию, 0.0.0.0/0). Все SSL-запросы (https: //...) транслируются на ASA (стандартная трансляция адресов ip nat inside/outside, без NVI/'ip nat enable'!). Здесь подразумеваетя доступ к внутренним ресурсам из вне (для доступа внутренних пользователей в Интернет необходима дополнительная конфигурация NAT).
- AnyConnect VPN Gateway (ASA5510) - VPN-концентратор, осуществляющий подключение клиентов по следующим правилам:
шаг 1: при SSL-запросе, ASA использует сертификат TRUSTPOINT-ASA, по которому пользователь принимает решение, доверять узлу VPN или нет (обычно, при конфигурации сети 'multiple ISP', используется сертификат UCC/SAN );
шаг 2: после подтверждения клиентом сертификата узла VPN, ASA пытается аутентифицировать клиента по 'личному сертификату пользователя' с помощью сертификата CA TRUSTPOINT-USER;
шаг 2.1 (успешная аутентификация по сертификату): в зависимости от того к какому домену принадлежит сертификат пользователя (subdomain1.rus или subdomain2.rus) происходит подключение с параметрами той или иной 'tunnel-group' с назначением DNS-суффикса по-умолчанию, соответствующего личному сертификату. Далее шаг 3;
шаг 2.2 (в случае неудачной аутентификация по сертификату): ASA пытается осуществить RADIUS-аутентификацию клиента по логину и паролю, и в случае успеха подключить с параметрами 'tunnel-group' для этого способа аутентификации (AAA), назначается DNS-суффикс по-умолчанию SUBDOMAIN1.RUS. Далее шаг 3;
шаг 3: присваивается IP-адрес запрошенный с внешнего DHCP. Устанавливаются модули AnyConnect SBL ('vpngina' - Start Befor Logon, возможность подключиться к VPN-сети до входа в Windows) и AnyConnect DART ('dart' - Diagnostic AnyConnect Reporting Tool, модуль сбора диагностической информации для анализа сбоев при подключении, обычно требуется при обращении к специалистам тех.поддержки Cisco TAC). Обновляется/скачивается AnyConnect профиль (ACCP, '*.xml') для клиентского приложения, позволяющий настроить в автоматическом режиме Cisco AnyConnect Client, так как задумал администратор сети.
PrintScreen's:
ВНИМАНИЕ: Спойлер!
--- ПРИМЕР КОНФИГУРАЦИИ CISCO 1811 >>>
ВНИМАНИЕ: Спойлер!
--- ПРИМЕР КОНФИГУРАЦИИ CISCO ASA >>>
ВНИМАНИЕ: Спойлер!
IT и Телеком: IP-телефония, интернет-технологии, программирование, web-сервисы.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Forum Login
- Вы здесь:
-
Главная
-
Форум
-
IT и телекоммуникации
-
Конфигурация сетевого оборудования
- ASA AnyConnect VPN & ISP load balance: Настройка подключения с резервированием провайдеров