Надеюсь начать серию публикаций по вашим просьбам :) Начну кратко с новой возможности ASA 8.2 (пусть меня еще раз обвиняют в рекламе :)) В крупных компаниях часто возникает ситуация, когда имеется несколько точек подключения зашифрованных туннелей.
Пользователь подключается к ближайшему к нему оборудованию (настраивается по умолчанию, выбирается динамически).
Раньше приходилось покупать довольно много лицензий на каждую железку.
Это было бы незначительной проблемой, если бы лицензии были недорогими.
Но удобная технология SSLVPN в Cisco стоит дорого.
Кроме того, Cisco официально заявила о тенденции перевести всех на SSLVPN вместо IPSec VPN. В версии ОС 8.2 эта проблема решена.
Появилась функция под названием общие лицензии.
Их суть в том, что вы покупаете один пакет лицензий, и сервер лицензий (ASA) об этом знает. Остальные точки подключения (пока только ASA, но позже и роутеры) при необходимости идут на сервер лицензий и сами просят расширить квоту.
Подробности читайте под катом Итак, что мы имели: разбросанные ASA, на каждую N лицензий SSLVPN. Что мы получаем при покупке общих лицензий: общий пакет лицензий, общий для всех точек подключения.
При этом купленные старые лицензии никуда не теряются: если есть отдельные лицензии, они используются в первую очередь, а уже потом делается запрос к серверу лицензий на дополнительную квоту (запрашивается сразу 50).
Таким образом, оборудование позволит подключить столько клиентов, сколько имеется лицензионного запаса на сервере лицензий, но не более максимального количества SSLVPN-туннелей, для которых предназначена данная платформа.
Ограничения заключаются в следующем: АСА 5505 25 АСА 5510 250 АСА 5520 750 АСА 5540 2500 АСА 5550 5000 АСА 5580 10000 Дополнительно для надежности можно выбрать один ASA в качестве резервного для сервера лицензий.
Он синхронизирует базу лицензий с сервером и в случае сбоя сервера возьмет на себя его функции (но не дольше 5 дней) Как это настроить.
Во-первых, вам необходимо купить необходимую лицензию для всех ASA, чтобы активировать функцию общих лицензий.
Вам будут высланы новые активационные ключи и после их активации сама функция станет доступна.
Во-вторых, необходимо купить необходимое количество лицензий (продаются пакетами по 500 штук при количестве 500-50 000 лицензий, а затем до 545 000 включительно в пакетах по 5 000 лицензий).
В-третьих, вам необходимо настроить сервер лицензий.
asa(config)# секрет сервера лицензий [секретный ключ] В-четвёртых, нужно настроить клиентов (так называемая автономная ASA) asa(config)# сервер лицензий [адрес] секрет [секретный ключ] порт [#] Где адрес — это IP-адрес сервера лицензий, порт — это TCP-порт (по умолчанию — 50544).
Остается только включить эту функцию: asa(config)# включение сервера лицензий [интерфейс] Кроме того, вы можете настроить один из автономных ASA в качестве сервера резервного копирования.
На самом сервере: asa(config)# резервный адрес сервера лицензий [адрес] идентификатор резервной копии [серийный-номер] ha-backup-id [ha-серийный-номер] Где backup-id — это серийный номер запасного ASA, hw-bachup-id — серийный номер активного оборудования в паре аварийного переключения, если пара аварийного переключения «Активный/Резервный» служит резервной.
На запасном ASA нужно включить прослушивание интерфейса asa(config)# включение резервного копирования сервера лицензий [интерфейс] Посмотреть, что произошло, можно с помощью команд asa# показать общую лицензию [резервная копия|клиент|подробности] Пример: 5510-P(config)# показать общую лицензию Использование общей лицензии: SSLVPN: Итого по сети: 200000 В наличии: 200000 Использовано: 0 Это устройство: Лимит платформы: 250 Текущее использование: 0 Высокий уровень использования: 0 Имя хоста использования идентификатора клиента ХХХХХХХХХ 0 5540-А Это будет работать следующим образом: 1. При подключении нового соединения SSLVPN ASA проверит, есть ли у него собственные бесплатные лицензии, и, если да, разрешит соединение.
2. Если лицензий нет, но сервер лицензий настроен, ASA отправит запрос на выделение новой квоты (50 штук).
Тот же запрос он отправит, если останется менее 10 лицензий, ранее взятых с сервера.
3. Если у нее более 60 бесплатных лицензий, она отправит 50 обратно на сервер, чтобы ими могли воспользоваться другие.
Теги: #cisco #cisco #Shared #license #ASA
-
Эволюция Яндекса
19 Oct, 24 -
Изменение Политики Выдачи Ip-Адресов Fastvps
19 Oct, 24 -
С Новым Годом, Дорогие Дамы!
19 Oct, 24 -
Поиск Плагинов Для Разработчиков
19 Oct, 24 -
Avito Data Science Meetup: Персонализация
19 Oct, 24
