Configurar o balanceamento de carga do cliente VPN com rodízio DNS no ASA

Opções de download

  • PDF     (849.3 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (732.2 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (705.6 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:15 de fevereiro de 2024
ID do documento:221691

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve como configurar o balanceamento de carga do cliente vpn anyconnect com rodízio DNS no ASA. 

    Pré-requisitos

    Requisitos

    Certifique-se de atender a estes requisitos antes de tentar esta configuração:

    • Você atribuiu endereços IP em seus ASAs e configurou o gateway padrão.
    • O AnyConnect VPN está configurado nos ASAs.
    • Os usuários de VPN podem se conectar a todos os ASAs com o uso de seus endereços IP atribuídos individualmente.
    • O servidor DNS de usuários VPN é compatível com rodízio.

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software e hardware:

    • Software Anyconnect VPN Client versões 4.10.08025
    • Software Cisco ASA versões 9.18.2
    • Windows Server 2019

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Configurar

    Diagrama de Rede

    Diagrama de RedeDiagrama de Rede

    Configurações

    Etapa 1. Configurar o AnyConnect VPN no ASA

    Para saber como configurar o anyconnect VPN no ASA, consulte este documento:

    Aqui está a configuração de ambos os ASAs neste exemplo:

    ASA1:

    ip local pool anyconnect 10.4.0.100-10.4.0.200 mask 255.255.255.0

    interface GigabitEthernet0/0
     nameif outside
     security-level 0
     ip address 10.1.1.1 255.255.255.0 

    interface GigabitEthernet0/1
     nameif inside
     security-level 100
     ip address 192.168.1.1 255.255.255.0 

    route outside 0.0.0.0 0.0.0.0 10.1.1.2 1

    webvpn
     enable outside
     anyconnect enable
     tunnel-group-list enable

    group-policy anyconnect internal
    group-policy anyconnect attributes
     dns-server value 192.168.1.99
     vpn-tunnel-protocol ssl-client 
     default-domain value example.com

    username example1 password ***** 
    username example1 attributes
     vpn-group-policy anyconnect
     service-type remote-access

    tunnel-group anyconnect-tunnel-group type remote-access
    tunnel-group anyconnect-tunnel-group general-attributes
     address-pool anyconnect
     default-group-policy anyconnect
    tunnel-group anyconnect-tunnel-group webvpn-attributes
     group-alias example enable

    ASA2:

    ip local pool anyconnect 10.4.0.100-10.4.0.200 mask 255.255.255.0

    interface GigabitEthernet0/0
     nameif outside
     security-level 0
     ip address 10.2.1.1 255.255.255.0 

    interface GigabitEthernet0/1
     nameif inside
     security-level 100
     ip address 192.168.1.1 255.255.255.0 

    route outside 0.0.0.0 0.0.0.0 10.2.1.2 1

    webvpn
     enable outside
     anyconnect enable
     tunnel-group-list enable

    group-policy anyconnect internal
    group-policy anyconnect attributes
     dns-server value 192.168.1.99
     vpn-tunnel-protocol ssl-client 
     default-domain value example.com

    username example1 password ***** 
    username example1 attributes
     vpn-group-policy anyconnect
     service-type remote-access

    tunnel-group anyconnect-tunnel-group type remote-access
    tunnel-group anyconnect-tunnel-group general-attributes
     address-pool anyconnect
     default-group-policy anyconnect
    tunnel-group anyconnect-tunnel-group webvpn-attributes
     group-alias example enable

    Você deve conseguir se conectar a ambos os ASAs com o uso de seus endereços IP atribuídos individualmente antes de passar para a etapa 2.

    Etapa 2. Configurar o DNS de rodízio no servidor DNS

    Você pode usar qualquer servidor DNS compatível com rodízio, neste exemplo, o servidor DNS no Windows Server 2019 é usado. Para saber como instalar e configurar o servidor DNS no servidor Windows, consulte este documento:

    Neste exemplo, 10.3.1.4 é o servidor do Windows com o servidor DNS habilitado para o domínio example.com.

    Servidor DNSServidor DNS

    Verifique se o rodízio está habilitado para o servidor DNS:

    1. Na área de trabalho do Windows, abra o menu Iniciar, selecione Ferramentas Administrativas > DNS.
    2. Na árvore do console, escolha o servidor DNS que deseja gerenciar, clique com o botão direito do mouse e selecione Properties.
    3. Na guia Advanced, certifique-se de que Enable round robin esteja marcado.

    Rodízio 1Rodízio 1Rodízio 2Rodízio 2

    Crie dois registros de host para servidores ASA VPN:

    1. Na área de trabalho do Windows, abra o menu Iniciar, selecione Ferramentas Administrativas > DNS.
    2. Na árvore do console, conecte-se ao servidor DNS que deseja gerenciar, expanda o servidor DNS, expanda a Zona de pesquisa direta, clique com o botão direito do mouse e selecione Novo host (A ou AAAA).
    3. Na tela Novo host, especifique o Nome e o endereço IP do registro do host. Neste exemplo, vpn e 10.1.1.1.
    4. Selecione Add Host para criar o registro.

    Criar novo hostCriar novo host

    Registro do host 1Registro do host 1

    Repita etapas semelhantes para criar outro registro de host e certifique-se de que o Nome seja o mesmo; neste exemplo, Nome é vpn, endereço IP é 10.2.1.1.

    Registro de host 2Registro de host 2

    Você pode encontrar dois hosts 10.1.1.1 e 10.2.1.1 associados ao mesmo registro vpn.example.com.

    Dois registros de hostDois registros de host

    Verificar

    Navegue até a máquina do cliente onde o cliente Cisco AnyConnect Secure Mobility está instalado. Neste exemplo, Test-PC-1, verifique se o servidor DNS é 10.3.1.4.

    Endereço IP do PC1Endereço IP do PC1

    note-icon

    Observação: como um certificado autoassinado está sendo usado para que o Gateway se identifique, vários avisos de certificado podem aparecer durante a tentativa de conexão. Eles são esperados e devem ser aceitos para que a conexão continue. Para evitar esses avisos de certificado, o certificado autoassinado apresentado deve ser instalado no repositório de certificados confiáveis da máquina cliente ou, se um certificado de terceiros estiver sendo usado, o certificado da Autoridade de Certificação deverá estar no repositório de certificados confiáveis.

    Conecte-se ao seu headend da VPN vpn.example.com e insira o nome de usuário e as credenciais.

    PC1 Anyconnect VPNPC1 Anyconnect VPN

    Clique no ícone de engrenagem (canto inferior esquerdo) e navegue até a guia Statistics. Verifique a seção Server Address, neste exemplo, se este cliente se conecta ao ASA1 (10.1.1.1).

    PC1 conectadoPC1 Estatísticas do PC1conectadoEstatísticas do PC1

    Repita etapas semelhantes para Test-PC-2. Você pode descobrir que o cliente se conecta ao ASA2 (10.2.1.1), os dois clientes têm balanceamento de carga entre dois headends de VPN.

    Endereço IP do PC2VPN PC2Endereço IP do PC2Estatísticas do PC2 Estatísticas do PC2VPN PC2

    Troubleshooting

    Esta seção disponibiliza informações para a solução de problemas de configuração.

    ícone de aviso

    Aviso: no ASA, você pode definir vários níveis de depuração; por padrão, o nível 1 é usado. Se você alterar o nível de depuração, o detalhamento das depurações aumentará. Faça isso com cuidado, especialmente em ambientes de produção.

    Você pode habilitar a depuração para diagnosticar a conexão VPN no ASA.

    • debug webvpn anyconnect  - Exibe mensagens de depuração sobre conexões com clientes AnyConnect VPN.

    Consulte este documento para solucionar problemas comuns encontrados no lado do cliente.

    Histórico de revisões

    Revisão Data de publicação Comentários
    1.0
    15-Feb-2024
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Chao Feng

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos