vpn load-balancing配置方法以及原理

network

vpn load-balancing配置方法以及原理

vpn load-balancing(VCA)(PIX 7.0不支持,只有ASA5520以及以上支持)(不支持A/A)

vpn load-balancing仅对下列client的远程初始化会话有效(仅对remote vpn以及easy vpn能够提供负载)
• Cisco VPN Client (Release 3.0 and later)
• Cisco VPN 3002 Hardware Client (Release 3.5 or later)
• Cisco PIX 501/506E when acting as an Easy VPN client.
Load balancing works with both IPSec clients and WebVPN sessions. All other clients, including
LAN-to-LAN connections, can connect to a security appliance on which load balancing is enabled, but
they cannot participate in load balancing.

原理
VCA需要建立一个远端所连接的虚拟IP地址,簇的主设备将处理这个初始的连接,检查簇成员的负载,并且发回一个簇成员中负荷最低的成员物理IP地址,远端将接着连接到这个物理IP地址,如果一个簇中的一个成员失效了,远端应当能够使用DPD快速的发现这个问题,然后重新连接到这个虚拟IP地址上,从而能够重新被重定向到簇中的另外一个成员上

注意!!!ASA必须允许VCA消息udp9023在任何含有ACL的接口商通过,而且ASA必须要有一个活动的3DES/AES的许可,如果没有,任何已经在ASA上建立的VCA配置都会被忽视

在ASA上建立VCA包括一下命令
asa(config)#vpn load-balancing
asa(config-load-balancing)#cluster ip address virtual_ip_address
asa(config-load-balancing)#cluster port port_#
asa(config-load-balancing)#cluster encryption
asa(config-load-balancing)#cluster key shared_secret_key
asa(config-load-balancing)#interface {lbprivate|lbpublic} locgical_interface_name
asa(config-load-balancing)#nat ip_address
asa(config-load-balancing)#priority priority_#
asa(config-load-balancing)#participate


cluster ip address virtual_ip_address---定义一个虚拟IP.远端设备将使用这个地址作为EASYVPN的服务器地址
cluster port port_#---负载均衡的默认端口号是udp 9023,可以使用这个命令改,改的话所有成员都需要改
cluster encryption---默认所有簇成员之间发送的VCA消息时明文的,这个命令启动了VCA加密
cluster key shared_secret_key---配置用来加密消息的加密密钥
interface {lbprivate|lbpublic} locgical_interface_name---指定ASA上那个接口应到和lbprivate以及那个接口和lbpublic关联
nat ip_address---只在如果一台NAT设备位于粗和远端用户之间时才用,它指定的ASA公网接口的地址
priority priority_#----指定哪台设备被选举委ACTIVE,数字越高越优先,5520默认是5,5540默认是7
participate---启动负载均衡


案例
远程需要连接到192.1.1.3,默认情况下ASA1将处理
ASA1
interface g0/1
ip address 192.1.1.1 255.255.255.0
nameif public
security-level 0

interface g0/2
ip address 192.168.1.1 255.255.255.0
nameif private
security-level 100

asa(config)#vpn load-balancing
asa(config-load-balancing)#cluster ip address 192.1.1.3
asa(config-load-balancing)#cluster encryption
asa(config-load-balancing)#cluster key 123cisco
asa(config-load-balancing)#interface lbprivate private
asa(config-load-balancing)#interface lbpublic public
asa(config-load-balancing)#priority 10
asa(config-load-balancing)#participate


ASA2
interface g0/1
ip address 192.1.1.2 255.255.255.0
nameif public
security-level 0

interface g0/2
ip address 192.168.1.2 255.255.255.0
nameif private
security-level 100

asa(config)#vpn load-balancing
asa(config-load-balancing)#cluster ip address 192.1.1.3
asa(config-load-balancing)#cluster encryption
asa(config-load-balancing)#cluster key 123cisco
asa(config-load-balancing)#interface lbprivate private
asa(config-load-balancing)#interface lbpublic public
asa(config-load-balancing)#participate