安全 : Cisco ASA 5500 系列自适应安全设备

ASA 5500 上的远程 VPN 客户端负载平衡配置示例

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈


目录


简介

负载均衡是一种功能,使用该功能可以在多个自适应安全设备 (ASA) 上共享 Cisco VPN 客户端而无需用户干涉。负载均衡可确保公用 IP 地址是对用户高度可用的。例如,如果为公用 IP 地址提供服务的 Cisco ASA 发生故障,集群中的另一个 ASA 将采用该公用 IP 地址。

先决条件

要求

尝试进行此配置之前,请确保满足以下要求:

  • 您已在 ASA 上分配了 IP 地址并配置了默认网关。

  • ASA 上已为 VPN 客户端用户配置了 IPsec。

  • VPN 用户能够使用为所有 ASA 分别分配的公用 IP 地址连接到这些 ASA。

合格客户端

负载均衡是仅有效在远程会话启动与这些客户端:

  • Cisco VPN Client (版本3.0或以上)

  • Cisco VPN 3002硬件客户端(版本3.5或以上)

  • Ciscoasa 5505,当作为Easy VPN客户机时

其他客户端,包括LAN-to-LAN连接,能连接到负载均衡启用的安全工具,但是他们不能参加负载均衡。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • VPN 客户端软件版本 4.6 及更高版本

  • Cisco ASA 软件版本 7.0.1 及更高版本

    注意: 将负载均衡支持扩展到 ASA 5510 和晚于 5520 的 ASA 型号(具有 8.0(2) 版本 Security Plus 许可证)。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

网络图

本文档使用以下网络设置:

/image/gif/paws/68328/remotevpn-loadbal-asa-1.gif

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

限制

  • VPN虚拟群集IP地址,用户数据报协议(UDP)端口和共享机密一定是相同的在虚拟群集的每个设备。

  • 虚拟集群中的所有设备必须在相同的外部和内部 IP 子网上。

配置

IP 地址分配

确保在外部和内部接口上配置 IP 地址,并且您能够从 ASA 到达 Internet。

注意: 确保内部和外部接口上均启用了 ISAKMP。选择 Configuration > Features > VPN > IKE > Global Parameters 以对此进行验证。

集群配置

此步骤显示如何使用Cisco Adaptive Security Device Manager (ASDM)配置负载均衡。

注意: 本示例中的许多参数都有默认值。

  1. 选择 Configuration > Features > VPN > Load Balancing,并选中 Participate in Load Balancing Cluster 以启用 VPN 负载均衡。

    /image/gif/paws/68328/remotevpn-loadbal-asa-2.gif

  2. 完成这些步骤,以在 VPN Cluster Configuration 分组框中为参与集群的所有 ASA 配置参数:

    1. 在 Cluster IP Address 文本框中键入集群的 IP 地址。

    2. 单击 Enable IPSec Encryption

    3. 在 IPSec Shared Secret 文本框中键入加密密钥,并在 Verify Secret 文本框中再次键入它。

  3. 配置 VPN Server Configuration 分组框中的选项:

    1. 在 Public 列表中选择接受传入 VPN 连接的接口。

    2. 在 Private 列表中选择作为专用接口的接口。

    3. 可选)在 Priority 文本框中更改 ASA 在集群中的优先级。

    4. 请键入网络地址转换(NAT)指定的IP地址的一个IP地址,如果此设备是在使用NAT的防火墙后。

  4. 对组中所有参与的 ASA 重复以上步骤。

此部分中的示例使用这些 CLI 命令配置负载均衡:

VPN-ASA2(config)#vpn load-balancing
VPN-ASA2(config-load-balancing)#priority 10
VPN-ASA2(config-load-balancing)#cluster key cisco123
VPN-ASA2(config-load-balancing)#cluster ip address 172.16.172.54
VPN-ASA2(config-load-balancing)#cluster encryption
VPN-ASA2(config-load-balancing)#participate

监控

选择 Monitoring > Features > VPN > VPN Statistics > Cluster Loads 监控 ASA 上的负载均衡功能。

/image/gif/paws/68328/remotevpn-loadbal-asa-3.gif

验证

使用本部分可确认配置能否正常运行。

命令输出解释程序仅限注册用户)(OIT) 支持某些 show 命令。使用 OIT 可查看对 show 命令输出的分析。

  • show vpn load-balancing - 验证 VPN 负载均衡功能。

    Status: enabled
    Role: Backup
    Failover: n/a
    Encryption: enabled
    Cluster IP: 172.16.172.54
    Peers: 1
    
    Public IP Role Pri Model Load (%) Sessions
    --------------------------------------------------------------
    * 172.16.172.53 Backup 5 ASA-5520 0 1
    172.16.172.52 Master 4 ASA-5520 n/a n/a

故障排除

使用本部分可排除配置故障。

故障排除命令

命令输出解释程序仅限注册用户)(OIT) 支持某些 show 命令。使用 OIT 可查看对 show 命令输出的分析。

注意: 使用 debug 命令之前,请参阅有关 Debug 命令的重要信息

  • debug vpnlb 250 - 用于排除 VPN 负载均衡功能的故障。

    VPN-ASA2#
    VPN-ASA2# 5718045: Created peer[172.16.172.54]
    5718012: Sent HELLO request to [172.16.172.54]
    5718016: Received HELLO response from [172.16.172.54]
    7718046: Create group policy [vpnlb-grp-pol]
    7718049: Created secure tunnel to peer[192.168.0.11]
    5718073: Becoming slave of Load Balancing in context 0.
    5718018: Send KEEPALIVE request failure to [192.168.0.11]
    5718018: Send KEEPALIVE request failure to [192.168.0.11]
    5718018: Send KEEPALIVE request failure to [192.168.0.11]
    7718019: Sent KEEPALIVE request to [192.168.0.11]
    7718023: Received KEEPALIVE response from [192.168.0.11]
    7718035: Received TOPOLOGY indicator from [192.168.0.11]
    7718019: Sent KEEPALIVE request to [192.168.0.11]
    7718023: Received KEEPALIVE response from [192.168.0.11]
    7718019: Sent KEEPALIVE request to [192.168.0.11]
    7718023: Received KEEPALIVE response from [192.168.0.11]
    7718019: Sent KEEPALIVE request to [192.168.0.11]
    7718023: Received KEEPALIVE response from [192.168.0.11]
    7718019: Sent KEEPALIVE request to [192.168.0.11]
    7718023: Received KEEPALIVE response from [192.168.0.11]
    7718019: Sent KEEPALIVE request to [192.168.0.11]

相关信息


Document ID: 68328