VPN-taakverdeling voor client configureren met DNS Round Robin op ASA

Downloadopties

  • PDF     (848.8 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (731.7 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (705.2 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:15 februari 2024
Document-id:221691

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft hoe u een taakverdeling voor de VPN-client kunt configureren met DNS-round robin op ASA. 

    Voorwaarden

    Vereisten

    Voordat u deze configuratie uitvoert, moet aan de volgende vereisten worden voldaan:

    • U hebt IP-adressen aan uw ASA's toegewezen en de standaardgateway geconfigureerd.
    • AnyConnect VPN is geconfigureerd op de ASA’s.
    • VPN-gebruikers kunnen verbinding maken met alle ASA's met behulp van hun individueel toegewezen IP-adres.
    • DNS server van VPN-gebruikers is ronde robin geschikt.

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • AnyConnect VPN-clientsoftwarereleases 4.10.08025
    • Cisco ASA-softwarereleases 9.18.2
    • Windows Server 2019

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Configureren

    Netwerkdiagram

    NetwerkdiagramNetwerkdiagram

    Configuraties

    Stap 1. AnyConnect VPN configureren op ASA

    Raadpleeg dit document voor het configureren van een verbinding met VPN via ASA:

    Hier is de configuratie van beide ASA's in dit voorbeeld:

    ASA1:

    ip local pool anyconnect 10.4.0.100-10.4.0.200 mask 255.255.255.0

    interface GigabitEthernet0/0
     nameif outside
     security-level 0
     ip address 10.1.1.1 255.255.255.0 

    interface GigabitEthernet0/1
     nameif inside
     security-level 100
     ip address 192.168.1.1 255.255.255.0 

    route outside 0.0.0.0 0.0.0.0 10.1.1.2 1

    webvpn
     enable outside
     anyconnect enable
     tunnel-group-list enable

    group-policy anyconnect internal
    group-policy anyconnect attributes
     dns-server value 192.168.1.99
     vpn-tunnel-protocol ssl-client 
     default-domain value example.com

    username example1 password ***** 
    username example1 attributes
     vpn-group-policy anyconnect
     service-type remote-access

    tunnel-group anyconnect-tunnel-group type remote-access
    tunnel-group anyconnect-tunnel-group general-attributes
     address-pool anyconnect
     default-group-policy anyconnect
    tunnel-group anyconnect-tunnel-group webvpn-attributes
     group-alias example enable

    ASA2:

    ip local pool anyconnect 10.4.0.100-10.4.0.200 mask 255.255.255.0

    interface GigabitEthernet0/0
     nameif outside
     security-level 0
     ip address 10.2.1.1 255.255.255.0 

    interface GigabitEthernet0/1
     nameif inside
     security-level 100
     ip address 192.168.1.1 255.255.255.0 

    route outside 0.0.0.0 0.0.0.0 10.2.1.2 1

    webvpn
     enable outside
     anyconnect enable
     tunnel-group-list enable

    group-policy anyconnect internal
    group-policy anyconnect attributes
     dns-server value 192.168.1.99
     vpn-tunnel-protocol ssl-client 
     default-domain value example.com

    username example1 password ***** 
    username example1 attributes
     vpn-group-policy anyconnect
     service-type remote-access

    tunnel-group anyconnect-tunnel-group type remote-access
    tunnel-group anyconnect-tunnel-group general-attributes
     address-pool anyconnect
     default-group-policy anyconnect
    tunnel-group anyconnect-tunnel-group webvpn-attributes
     group-alias example enable

    U moet met beide ASA’s verbinding kunnen maken met het gebruik van hun individueel toegewezen IP-adres voordat u naar stap 2 gaat.

    Stap 2. Round Robin DNS op DNS-server configureren

    U kunt elke ronde robin capble DNS-server gebruiken, in dit voorbeeld wordt DNS-server op Windows-server 2019 gebruikt. Raadpleeg dit document voor het installeren en configureren van DNS-server op Windows-server:

    In dit voorbeeld, 10.3.1.4 is de Windows server met DNS server toelaten voor domein example.com.

    DNS-serverDNS-server

    Zorg ervoor dat round robin is ingeschakeld voor uw DNS-server:

    1. Open vanuit het bureaublad van Windows het menu Start en selecteer Beheertools > DNS.
    2. Kies in de consolestructuur de DNS-server die u wilt beheren, klik met de rechtermuisknop en kies vervolgens Eigenschappen.
    3. Zorg ervoor dat onder het tabblad Advanced het vakje Enable round robin is ingeschakeld.

    Rond Robin 1Rond Robin 1Rond Robin 2Ronde Robin 2

    Maak twee hostrecords voor ASA VPN-servers:

    1. Open vanuit het bureaublad van Windows het menu Start en selecteer Gereedschappen > DNS.
    2. In de consoleboom, verbind met de DNS server u wenst te beheren, breid de DNS server uit, breid uw Voorwaartse Raadplegingszone uit, klik met de rechtermuisknop, dan selecteer Nieuwe Gastheer (A of AAA).
    3. Specificeer in het scherm Nieuwe host de naam en het IP-adres van de hostrecord. In dit voorbeeld, vpn en 10.1.1.1.
    4. Selecteer Add Host om de record te maken.

    Nieuwe host makenNieuwe host maken

    Host Record 1Host Record 1

    Herhaal vergelijkbare stappen om een andere host record te maken en zorg ervoor dat Naam hetzelfde is, in dit voorbeeld is Naam VPN, IP-adres is 10.2.1.1.

    Host Record 2Host Record 2

    U kunt vinden er twee hosts 10.1.1.1 en 10.2.1.1 associëren met dezelfde record vpn.example.com.

    Twee hostrecordsTwee hostrecords

    Verifiëren

    Navigeer naar uw clientcomputer waarop de Cisco AnyConnect Secure Mobility-client is geïnstalleerd. Controleer in dit voorbeeld Test-PC-1 of uw DNS-server 10.3.1.4 is.

    PC1 IP-adresPC1 IP-adres

    pictogram van opmerking

    Opmerking: aangezien een zelfondertekend certificaat wordt gebruikt voor de gateway om zichzelf te identificeren, kunnen er meerdere certificaatwaarschuwingen verschijnen tijdens de verbindingspoging. Deze worden verwacht en moeten worden geaccepteerd om de verbinding te kunnen voortzetten. Om deze certificaatwaarschuwingen te voorkomen, moet het zelfondertekende certificaat dat wordt overgelegd, worden geïnstalleerd in het vertrouwde certificaatarchief van de clientmachine of moet, als een certificaat van een derde wordt gebruikt, het certificaat van de certificeringsinstantie worden opgeslagen in het vertrouwde certificaatarchief.

    Maak verbinding met uw VPN-head-end vpn.example.com en voer de gebruikersnaam en referenties in.

    PC1 AnyConnect VPNPC1 AnyConnect VPN

    Klik op het tandwielpictogram (linker benedenhoek) en navigeer naar het tabblad Statistieken. Controleer in het gedeelte Serveradres. In dit voorbeeld maakt deze client verbinding met ASA1 (10.1.1.1).

    PC1 ConnectedPC1 PC1-statistiekenConnected PC1-statistieken

    Herhaal vergelijkbare stappen voor Test-PC-2. U kunt vinden dat de client verbinding maakt met ASA2 (10.2.1.1), de twee clients zijn taakverdeling tussen twee VPN-headends.

    PC2 IP-adresPC2 IP-PC2 VPN-routeradresPC2 PC2 StatistiekenVPN2-statistieken

    Problemen oplossen

    Deze sectie bevat informatie die u kunt gebruiken om problemen met de configuratie te troubleshooten.

    waarschuwing-pictogram

    Waarschuwing: op de ASA kunt u verschillende debug-niveaus instellen; standaard wordt niveau 1 gebruikt. Als u het debug-niveau wijzigt, neemt de breedheid van de debugs toe. Wees hier voorzichtig mee, vooral in productieomgevingen.

    U kunt debug in diagnostische VPN-verbinding via ASA inschakelen.

    • debug webvpn anyconnect  - Hier worden debug-berichten weergegeven over verbindingen met AnyConnect VPN-clients.

    Raadpleeg dit document om gebruikelijke problemen op te lossen die u aan de clientzijde vindt.

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    15-Feb-2024
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Chao Feng

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten