セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

ASA 5500 のリモート VPN クライアントのロード バランシングの設定例

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2008 年 12 月 18 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

ロード バランシングとは、ユーザが介入することなく、複数の Adaptive Security Appliance(ASA; 適応型セキュリティ アプライアンス)の間で Cisco VPN Client が共有される機能です。 ロード バランシングを使用すると、ユーザにとってパブリック IP アドレスの可用性が向上します。 たとえば、パブリック IP アドレスを提供する Cisco ASA で障害が発生した場合は、クラスタ内の別の ASA がそのパブリック IP アドレスを引き継ぎます。

前提条件

要件

この設定を行う前に、次の要件が満たされていることを確認します。

  • ASA に IP アドレスが割り当てられていて、デフォルト ゲートウェイが設定されている。

  • VPN Client ユーザ用の ASA に IPSec が設定されている。

  • VPN ユーザは、個別に割り当てられたパブリック IP アドレスを使用してすべての ASA に接続できる。

適格なクライアント

ロード バランシングはこれらのクライアントと始められるリモート セッションでだけ有効です:

  • Cisco VPN Client (リリース 3.0 またはそれ以降)

  • Cisco VPN 3002 Hardware Client (リリース 3.5 またはそれ以降)

  • Easy VPN クライアントとして機能した場合 CiscoASA 5505

他のすべてのクライアントは、LAN-to-LAN接続を含んでロード バランシングが有効に なる、ロード バランシングに加わることができませんセキュリティ アプライアンス モデルに、接続できます。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • VPN Client ソフトウェア リリース 4.6 以降

  • Cisco ASA ソフトウェア リリース 7.0.1 以降

    注: ASA 5510 にロード バランシング サポートを伸ばし、ASA は 8.0(2) バージョンのライセンスとセキュリティがある 5520 より以降を模倣します。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

ネットワーク構成図

このドキュメントでは、次のネットワーク構成を使用しています。

/image/gif/paws/68328/remotevpn-loadbal-asa-1.gif

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

制約事項

  • VPN 仮想クラスタ IP アドレス、User Datagram Protocol(UDP; ユーザ データグラム プロトコル)ポート、および共有シークレットは、仮想クラスタ内のすべてのデバイスでまったく同じである必要があります。

  • 仮想クラスタ内のすべてのデバイスは、同じ Outside および Inside の IP サブネットに属している必要があります。

設定

IP アドレスの割り当て

Outside インターフェイスと Inside インターフェイスに IP アドレスが設定されていること、および ASA からインターネットに到達できることを確認します。

注: Inside インターフェイスと Outside インターフェイスの両方で ISAKMP がイネーブルになっていることを確認します。 これを確認するには、Configuration > Features > VPN > IKE > Global Parameters の順に選択します。

クラスタの設定

この手順では、Cisco Adaptive Security Device Manager(ASDM)を使用してロード バランシングを設定する方法について説明しています。

注: この例に含まれる多くのパラメータには、デフォルト値があります。

  1. Configuration > Features > VPN > Load Balancing の順に選択し、Participate in Load Balancing Cluster にチェックマークを付けて VPN ロード バランシングをイネーブルにします。

    /image/gif/paws/68328/remotevpn-loadbal-asa-2.gif

  2. VPN Cluster Configuration グループ ボックスで次の手順を実行して、クラスタに参加しているすべての ASA のパラメータを設定します。

    1. Cluster IP Address テキスト ボックスにクラスタの IP アドレスを入力します。

    2. Enable IPSec Encryption にチェックマークを付けます。

    3. IPSec Shared Secret テキスト ボックスに暗号化鍵を入力し、Verify Secret テキストボックスに暗号化鍵を再入力します。

  3. VPN Server Configuration グループ ボックスで次のオプションを設定します。

    1. Public リストで、着信 VPN 接続を受け入れるインターフェイスを選択します。

    2. Private リストで、プライベート インターフェイスとして使用するインターフェイスを選択します。

    3. オプション)Priority テキスト ボックスで、クラスタ内での ASA の優先順位を変更します。

    4. NAT を使用するファイアウォールの背後にこのデバイスが配置されている場合は、Network Address Translation(NAT)Assigned IP Address に IP アドレスを入力します。

  4. グループに参加しているすべての ASA で、上記の手順を繰り返します。

このセクションの例では、次の CLI コマンドを使用してロード バランシングを設定します。

VPN-ASA2(config)#vpn load-balancing
VPN-ASA2(config-load-balancing)#priority 10
VPN-ASA2(config-load-balancing)#cluster key cisco123
VPN-ASA2(config-load-balancing)#cluster ip address 172.16.172.54
VPN-ASA2(config-load-balancing)#cluster encryption
VPN-ASA2(config-load-balancing)#participate

監視

ASA でロード バランシング機能を監視するには、Monitoring > Features > VPN > VPN Statistics > Cluster Loads の順に選択します。

/image/gif/paws/68328/remotevpn-loadbal-asa-3.gif

確認

ここでは、設定が正常に動作していることを確認します。

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。

  • show vpn load-balancing:VPN ロード バランシング機能を確認します。

    Status: enabled
    Role: Backup
    Failover: n/a
    Encryption: enabled
    Cluster IP: 172.16.172.54
    Peers: 1
    
    Public IP Role Pri Model Load (%) Sessions
    --------------------------------------------------------------
    * 172.16.172.53 Backup 5 ASA-5520 0 1
    172.16.172.52 Master 4 ASA-5520 n/a n/a

トラブルシューティング

ここでは、設定に関するトラブルシューティングについて説明します。

トラブルシューティングのためのコマンド

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。

注: debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

  • debug vpnlb 250:VPN ロード バランシング機能のトラブルシューティングに使用します。

    VPN-ASA2#
    VPN-ASA2# 5718045: Created peer[172.16.172.54]
    5718012: Sent HELLO request to [172.16.172.54]
    5718016: Received HELLO response from [172.16.172.54]
    7718046: Create group policy [vpnlb-grp-pol]
    7718049: Created secure tunnel to peer[192.168.0.11]
    5718073: Becoming slave of Load Balancing in context 0.
    5718018: Send KEEPALIVE request failure to [192.168.0.11]
    5718018: Send KEEPALIVE request failure to [192.168.0.11]
    5718018: Send KEEPALIVE request failure to [192.168.0.11]
    7718019: Sent KEEPALIVE request to [192.168.0.11]
    7718023: Received KEEPALIVE response from [192.168.0.11]
    7718035: Received TOPOLOGY indicator from [192.168.0.11]
    7718019: Sent KEEPALIVE request to [192.168.0.11]
    7718023: Received KEEPALIVE response from [192.168.0.11]
    7718019: Sent KEEPALIVE request to [192.168.0.11]
    7718023: Received KEEPALIVE response from [192.168.0.11]
    7718019: Sent KEEPALIVE request to [192.168.0.11]
    7718023: Received KEEPALIVE response from [192.168.0.11]
    7718019: Sent KEEPALIVE request to [192.168.0.11]
    7718023: Received KEEPALIVE response from [192.168.0.11]
    7718019: Sent KEEPALIVE request to [192.168.0.11]

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 68328