Introduzione
In questo documento viene descritto come configurare il bilanciamento del carico del client vpn anyconnect con round robin DNS su un'appliance ASA.
Prerequisiti
Requisiti
Prima di provare questa configurazione, accertarsi di soddisfare i seguenti requisiti:
- Gli indirizzi IP sono stati assegnati alle appliance ASA e il gateway predefinito è stato configurato.
- Anyconnect VPN è configurata sulle appliance ASA.
- Gli utenti VPN sono in grado di connettersi a tutte le appliance ASA con l'uso dell'indirizzo IP assegnato singolarmente.
- Il server DNS degli utenti VPN supporta la funzionalità round robin.
Componenti usati
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
- Software Anyconnect VPN Client release 4.10.08025
- Software Cisco ASA release 9.18.2
- Windows Server 2019
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Configurazione
Esempio di rete
Esempio di rete
Configurazioni
Passaggio 1. Configurazione di Anyconnect VPN su ASA
Per informazioni su come configurare anyconnect VPN su ASA, fare riferimento a questo documento:
Di seguito è riportata la configurazione di entrambe le appliance ASA nell'esempio:
ASA1:
ip local pool anyconnect 10.4.0.100-10.4.0.200 mask 255.255.255.0
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 10.1.1.1 255.255.255.0
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
route outside 0.0.0.0 0.0.0.0 10.1.1.2 1
webvpn
enable outside
anyconnect enable
tunnel-group-list enable
group-policy anyconnect internal
group-policy anyconnect attributes
dns-server value 192.168.1.99
vpn-tunnel-protocol ssl-client
default-domain value example.com
username example1 password *****
username example1 attributes
vpn-group-policy anyconnect
service-type remote-access
tunnel-group anyconnect-tunnel-group type remote-access
tunnel-group anyconnect-tunnel-group general-attributes
address-pool anyconnect
default-group-policy anyconnect
tunnel-group anyconnect-tunnel-group webvpn-attributes
group-alias example enable
ASA2:
ip local pool anyconnect 10.4.0.100-10.4.0.200 mask 255.255.255.0
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 10.2.1.1 255.255.255.0
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
route outside 0.0.0.0 0.0.0.0 10.2.1.2 1
webvpn
enable outside
anyconnect enable
tunnel-group-list enable
group-policy anyconnect internal
group-policy anyconnect attributes
dns-server value 192.168.1.99
vpn-tunnel-protocol ssl-client
default-domain value example.com
username example1 password *****
username example1 attributes
vpn-group-policy anyconnect
service-type remote-access
tunnel-group anyconnect-tunnel-group type remote-access
tunnel-group anyconnect-tunnel-group general-attributes
address-pool anyconnect
default-group-policy anyconnect
tunnel-group anyconnect-tunnel-group webvpn-attributes
group-alias example enable
Prima di passare al punto 2, è necessario poter connettersi a entrambe le appliance ASA usando l'indirizzo IP assegnato singolarmente.
Passaggio 2. Configurare il DNS Round Robin nel server DNS
È possibile utilizzare qualsiasi server DNS round robin, in questo esempio viene utilizzato il server DNS in Windows Server 2019. Per informazioni su come installare e configurare il server DNS nel server Windows, fare riferimento a questo documento:
In questo esempio, 10.3.1.4 è il server Windows con il server DNS abilitato per il dominio example.com.
Server DNS
Verificare che round robin sia abilitato per il server DNS:
- Dal desktop di Windows, aprire il menu Start, selezionare Strumenti di amministrazione > DNS.
- Nell'albero della console scegliere il server DNS che si desidera gestire, fare clic con il pulsante destro del mouse e quindi scegliere Proprietà.
- Nella scheda Avanzate, assicuratevi che l'opzione Attiva round robin (Enable round robin) sia selezionata.
Round Robin 1Round Robin 2
Creare due record host per i server VPN ASA:
- Dal desktop di Windows, aprire il menu Start, selezionare Strumenti di amministrazione > DNS.
- Nell'albero della console connettersi al server DNS che si desidera gestire, espandere il server DNS, espandere la zona di ricerca diretta, fare clic con il pulsante destro del mouse, quindi selezionare Nuovo host (A o AAAA).
- Nella schermata Nuovo host, specificare il nome e l'indirizzo IP del record dell'host. Nell'esempio, vpn e 10.1.1.1.
- Selezionare Aggiungi host per creare il record.
Crea nuovo host
Record host 1
Ripetere passaggi simili per creare un altro record host e assicurarsi che Nome sia lo stesso, in questo esempio Nome è vpn, Indirizzo IP è 10.2.1.1.
Record host 2
Sono disponibili due host 10.1.1.1 e 10.2.1.1 associati allo stesso record vpn.example.com.
Due record host
Verifica
Passare al computer client in cui è installato il client Cisco AnyConnect Secure Mobility. Nell'esempio Test-PC-1 verificare che il server DNS sia 10.3.1.4.
Indirizzo IP PC1
Nota: poiché per l'identificazione del gateway viene utilizzato un certificato autofirmato, è possibile che durante il tentativo di connessione vengano visualizzati più avvisi relativi al certificato. Questi elementi sono previsti e devono essere accettati affinché la connessione possa continuare. Per evitare la visualizzazione di questi avvisi relativi ai certificati, è necessario che il certificato autofirmato presentato sia installato nell'archivio certificati attendibile del computer client oppure, se viene utilizzato un certificato di terze parti, il certificato dell'autorità di certificazione deve trovarsi nell'archivio certificati attendibile.
Connettersi all'headend VPN vpn.example.com e immettere il nome utente e le credenziali.
PC1 Anyconnect VPN
Fare clic sull'icona dell'ingranaggio (angolo inferiore sinistro) e passare alla scheda Statistiche. Controllare la sezione Indirizzo server. In questo esempio, il client si connette ad ASA1 (10.1.1.1).
PC1 ConnectedPC1 Statistiche
Ripetere le stesse operazioni per Test-PC-2. È possibile verificare che il client si connetta ad ASA2 (10.2.1.1) e che il carico dei due client sia bilanciato tra due headend VPN.
Indirizzo IP PC 2VPNPC2 Statistiche
Risoluzione dei problemi
Le informazioni contenute in questa sezione permettono di risolvere i problemi relativi alla configurazione.
Avviso: sull'appliance ASA, è possibile impostare vari livelli di debug; per impostazione predefinita, viene utilizzato il livello 1. Se si modifica il livello di debug, il livello di dettaglio dei debug aumenta. Procedere con cautela, soprattutto negli ambienti di produzione.
È possibile abilitare il debug sulla connessione VPN di diagnostica sull'appliance ASA.
debug webvpn anyconnect - Visualizza i messaggi di debug sulle connessioni ai client VPN Anyconnect.
Fare riferimento a questo documento per la risoluzione dei problemi più comuni rilevati sul lato client.