Configurazione del bilanciamento del carico del client VPN con Round Robin DNS su ASA

Opzioni per il download

  • PDF     (848.5 KB)
    Visualizza con Adobe Reader su diversi dispositivi
Aggiornato:15 febbraio 2024
ID documento:221691

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    In questo documento viene descritto come configurare il bilanciamento del carico del client vpn anyconnect con round robin DNS su un'appliance ASA. 

    Prerequisiti

    Requisiti

    Prima di provare questa configurazione, accertarsi di soddisfare i seguenti requisiti:

    • Gli indirizzi IP sono stati assegnati alle appliance ASA e il gateway predefinito è stato configurato.
    • Anyconnect VPN è configurata sulle appliance ASA.
    • Gli utenti VPN sono in grado di connettersi a tutte le appliance ASA con l'uso dell'indirizzo IP assegnato singolarmente.
    • Il server DNS degli utenti VPN supporta la funzionalità round robin.

    Componenti usati

    Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

    • Software Anyconnect VPN Client release 4.10.08025
    • Software Cisco ASA release 9.18.2
    • Windows Server 2019

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Configurazione

    Esempio di rete

    Esempio di reteEsempio di rete

    Configurazioni

    Passaggio 1. Configurazione di Anyconnect VPN su ASA

    Per informazioni su come configurare anyconnect VPN su ASA, fare riferimento a questo documento:

    Di seguito è riportata la configurazione di entrambe le appliance ASA nell'esempio:

    ASA1:

    ip local pool anyconnect 10.4.0.100-10.4.0.200 mask 255.255.255.0

    interface GigabitEthernet0/0
     nameif outside
     security-level 0
     ip address 10.1.1.1 255.255.255.0 

    interface GigabitEthernet0/1
     nameif inside
     security-level 100
     ip address 192.168.1.1 255.255.255.0 

    route outside 0.0.0.0 0.0.0.0 10.1.1.2 1

    webvpn
     enable outside
     anyconnect enable
     tunnel-group-list enable

    group-policy anyconnect internal
    group-policy anyconnect attributes
     dns-server value 192.168.1.99
     vpn-tunnel-protocol ssl-client 
     default-domain value example.com

    username example1 password ***** 
    username example1 attributes
     vpn-group-policy anyconnect
     service-type remote-access

    tunnel-group anyconnect-tunnel-group type remote-access
    tunnel-group anyconnect-tunnel-group general-attributes
     address-pool anyconnect
     default-group-policy anyconnect
    tunnel-group anyconnect-tunnel-group webvpn-attributes
     group-alias example enable

    ASA2:

    ip local pool anyconnect 10.4.0.100-10.4.0.200 mask 255.255.255.0

    interface GigabitEthernet0/0
     nameif outside
     security-level 0
     ip address 10.2.1.1 255.255.255.0 

    interface GigabitEthernet0/1
     nameif inside
     security-level 100
     ip address 192.168.1.1 255.255.255.0 

    route outside 0.0.0.0 0.0.0.0 10.2.1.2 1

    webvpn
     enable outside
     anyconnect enable
     tunnel-group-list enable

    group-policy anyconnect internal
    group-policy anyconnect attributes
     dns-server value 192.168.1.99
     vpn-tunnel-protocol ssl-client 
     default-domain value example.com

    username example1 password ***** 
    username example1 attributes
     vpn-group-policy anyconnect
     service-type remote-access

    tunnel-group anyconnect-tunnel-group type remote-access
    tunnel-group anyconnect-tunnel-group general-attributes
     address-pool anyconnect
     default-group-policy anyconnect
    tunnel-group anyconnect-tunnel-group webvpn-attributes
     group-alias example enable

    Prima di passare al punto 2, è necessario poter connettersi a entrambe le appliance ASA usando l'indirizzo IP assegnato singolarmente.

    Passaggio 2. Configurare il DNS Round Robin nel server DNS

    È possibile utilizzare qualsiasi server DNS round robin, in questo esempio viene utilizzato il server DNS in Windows Server 2019. Per informazioni su come installare e configurare il server DNS nel server Windows, fare riferimento a questo documento:

    In questo esempio, 10.3.1.4 è il server Windows con il server DNS abilitato per il dominio example.com.

    Server DNSServer DNS

    Verificare che round robin sia abilitato per il server DNS:

    1. Dal desktop di Windows, aprire il menu Start, selezionare Strumenti di amministrazione > DNS.
    2. Nell'albero della console scegliere il server DNS che si desidera gestire, fare clic con il pulsante destro del mouse e quindi scegliere Proprietà.
    3. Nella scheda Avanzate, assicuratevi che l'opzione Attiva round robin (Enable round robin) sia selezionata.

    Round Robin 1Round Robin 1Round Robin 2Round Robin 2

    Creare due record host per i server VPN ASA:

    1. Dal desktop di Windows, aprire il menu Start, selezionare Strumenti di amministrazione > DNS.
    2. Nell'albero della console connettersi al server DNS che si desidera gestire, espandere il server DNS, espandere la zona di ricerca diretta, fare clic con il pulsante destro del mouse, quindi selezionare Nuovo host (A o AAAA).
    3. Nella schermata Nuovo host, specificare il nome e l'indirizzo IP del record dell'host. Nell'esempio, vpn e 10.1.1.1.
    4. Selezionare Aggiungi host per creare il record.

    Crea nuovo hostCrea nuovo host

    Record host 1Record host 1

    Ripetere passaggi simili per creare un altro record host e assicurarsi che Nome sia lo stesso, in questo esempio Nome è vpn, Indirizzo IP è 10.2.1.1.

    Record host 2Record host 2

    Sono disponibili due host 10.1.1.1 e 10.2.1.1 associati allo stesso record vpn.example.com.

    Due record hostDue record host

    Verifica

    Passare al computer client in cui è installato il client Cisco AnyConnect Secure Mobility. Nell'esempio Test-PC-1 verificare che il server DNS sia 10.3.1.4.

    Indirizzo IP PC1Indirizzo IP PC1

    note-icon

    Nota: poiché per l'identificazione del gateway viene utilizzato un certificato autofirmato, è possibile che durante il tentativo di connessione vengano visualizzati più avvisi relativi al certificato. Questi elementi sono previsti e devono essere accettati affinché la connessione possa continuare. Per evitare la visualizzazione di questi avvisi relativi ai certificati, è necessario che il certificato autofirmato presentato sia installato nell'archivio certificati attendibile del computer client oppure, se viene utilizzato un certificato di terze parti, il certificato dell'autorità di certificazione deve trovarsi nell'archivio certificati attendibile.

    Connettersi all'headend VPN vpn.example.com e immettere il nome utente e le credenziali.

    PC1 Anyconnect VPNPC1 Anyconnect VPN

    Fare clic sull'icona dell'ingranaggio (angolo inferiore sinistro) e passare alla scheda Statistiche. Controllare la sezione Indirizzo server. In questo esempio, il client si connette ad ASA1 (10.1.1.1).

    PC1 connessoPC1 Statistiche PC1ConnectedPC1 Statistiche

    Ripetere le stesse operazioni per Test-PC-2. È possibile verificare che il client si connetta ad ASA2 (10.2.1.1) e che il carico dei due client sia bilanciato tra due headend VPN.

    Indirizzo IP PC2Indirizzo IP PC VPN PC22Statistiche PC2VPNPC2 Statistiche

    Risoluzione dei problemi

    Le informazioni contenute in questa sezione permettono di risolvere i problemi relativi alla configurazione.

    icona di avviso

    Avviso: sull'appliance ASA, è possibile impostare vari livelli di debug; per impostazione predefinita, viene utilizzato il livello 1. Se si modifica il livello di debug, il livello di dettaglio dei debug aumenta. Procedere con cautela, soprattutto negli ambienti di produzione.

    È possibile abilitare il debug sulla connessione VPN di diagnostica sull'appliance ASA.

    • debug webvpn anyconnect  - Visualizza i messaggi di debug sulle connessioni ai client VPN Anyconnect.

    Fare riferimento a questo documento per la risoluzione dei problemi più comuni rilevati sul lato client.

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    1.0
    15-Feb-2024
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Chao Feng

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti