20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Выравнивание нагрузки позволяет совместно использовать VPN-клиент Cisco с несколькими модулями устройства адаптивной защиты (ASA) без вмешательства пользователя. Распределение нагрузки гарантирует, что публичный IP-адрес будет доступен пользователям с высокой степенью уверенности.

Предварительные условия

Требования

Убедитесь, что вы обеспечили выполнение следующих требований, прежде чем попробовать эту конфигурацию:

Имеющие право клиенты

Распределение нагрузки является эффективным только на удаленных сеансах, инициируемых с этими клиентами:

Все другие клиенты, включая прямые соединения локальных сетей, могут соединиться с устройством безопасности, на котором включено распределение нагрузки, но они не могут участвовать в распределении нагрузки.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Схема сети

В настоящем документе используется следующая схема сети:

/image/gif/paws/68328/remotevpn-loadbal-asa-1.gif

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Ограничения

!--- конфигурацию

Назначение IP-адресов

Гарантируйте, что IP-адреса настроены на внутренних и внешних интерфейсах, и вы в состоянии добраться до Интернета от вашего ASA.

Примечание: Гарантируйте, что ISAKMP включен на обоих внутренние и внешние интерфейсы. Выберите Configuration> Features> VPN> IKE> Global Parameters для проверки этого.

Конфигурация кластера

Эта процедура показывает, как использовать Cisco Adaptive Security Device Manager (ASDM) для настройки распределения нагрузки.

Примечание: Многие параметры в данном примере имеют значения по умолчанию.

  1. Выберите Configuration> Features> VPN> Load Balancing, и проверка Участвует в Распределении нагрузки Кластера для включения распределения нагрузки VPN.

    /image/gif/paws/68328/remotevpn-loadbal-asa-2.gif

  2. Выполните эти шаги для настройки параметров для всех ASA, участвующих в кластере в Групповом блоке Конфигурации кластера VPN:

    1. Введите IP-адрес кластера в Кластерном текстовом поле IP-адреса.

    2. Нажмите Enable IPSec Encryption.

    3. Введите ключ шифрования в текстовом поле Общего секрета IPsec и введите его снова в Сверять Секретном текстовом поле.

  3. Настройте опции в коробке Группы конфигурации Сервера VPN:

    1. Выберите интерфейс, который принимает входящие VPN-подключения в Общем списке.

    2. Выберите интерфейс, который является частным интерфейсом в Частном списке.

    3. (Необязательно) Изменяют приоритет, который ASA имеет в кластере в Приоритетном текстовом поле.

    4. Введите IP-адрес для Назначенного IP - адреса Технологии NAT, если это устройство находится позади межсетевого экрана, который использует NAT.

  4. Повторите шаги во все участвующие ASA в группе.

Пример в этом разделе использует эти команды CLI для настройки распределения нагрузки:

VPN-ASA2(config)#vpn load-balancing
VPN-ASA2(config-load-balancing)#priority 10
VPN-ASA2(config-load-balancing)#cluster key cisco123
VPN-ASA2(config-load-balancing)#cluster ip address 172.16.172.54
VPN-ASA2(config-load-balancing)#cluster encryption
VPN-ASA2(config-load-balancing)#participate

Мониторинг

Выберите Monitoring> Features> VPN> VPN Statistics> Cluster Loads для мониторинга функции распределения нагрузки на ASA.

/image/gif/paws/68328/remotevpn-loadbal-asa-3.gif

Проверка

Этот раздел позволяет убедиться, что конфигурация работает правильно.

Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

Устранение неполадок

Используйте этот раздел для устранения неполадок своей конфигурации.

Команды для устранения неполадок

Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

Примечание: Обратитесь к документу Важная информация о командах отладки, прежде чем использовать команды debug.


Дополнительные сведения


Document ID: 68328