取消
显示结果 
搜索替代 
您的意思是: 
cancel
13517
查看次数
46
有帮助
12
回复

SSLVPN的双机负载分担怎么做?

Mansur
Spotlight
Spotlight
现在公司两台ASA做SSLvpn,做的failover主备。。现在单设备的license不够了,想把这两台做成负载均衡模式。不知道怎么操作。
是要做成多模式的failover的双主吗?这样相当于两个独立的SSLVPN?
还是有其他方案?
ASA5525硬件的vpn peer是750,我们买的两个license都是1500个的。。授权这块是足够的。
12 条回复12

Bruce Liu
Cisco Employee
Cisco Employee
failover AS模式 standby设备无法处理数据包。
需要AA模式。
然后把Anyconnect的域名绑定两个A记录
例如 vpn.test.com绑定到10.1.1.1 和10.1.1.2
利用dns的轮训response来做到一定程度的负载均衡。
以上个人意见。仅供参考。具体变更以网络实际环境为准。

fortune
VIP Alumni
VIP Alumni
如一楼所说,failover 是不可能的,备机就是备机,还是要AA模式,不过具体怎么配置负载我也不清楚,建议你Google FQ 查吧,国外帖子肯定有

Rockyw
Spotlight
Spotlight
楼主参考一下看看
Cisco ASA 防火墙 双线接入实施策略NAT及VPN server
https://wenku.baidu.com/view/9bfc92f8aef8941ea76e05fe.html
ASA VPN load-balancing配置案例-方法以及原理
https://wenku.baidu.com/view/567e144fe45c3b3567ec8b12.html
配置ASA :SSL数字证书安装和续订
https://www.cisco.com/c/zh_cn/support/docs/security-vpn/public-key-infrastructure-pki/200339-Configure-ASA-SSL-Digital-Certificate-I.pdf
ASA VPN负载均衡重要的选择进程
https://www.cisco.com/c/zh_cn/support/docs/security/asa-5500-x-series-next-generation-firewalls/118078-technote-vpn-00.pdf
Remote VPN Client Load Balancing on ASA 5500 Configuration Example
https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/68328-remotevpn-loadbal-asa.html
ASA VPN Load Balancing Master Election Process
https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/118078-technote-vpn-00.html
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rockyw | If it solves your problem, please mark as answer. Thanks !

Mansur
Spotlight
Spotlight
Rocky 发表于 2018-6-30 11:31
楼主参考一下看看
Cisco ASA 防火墙 双线接入实施策略NAT及VPN server
https://wenku.baidu.com/view/9bf ...

好的,这两天我看看,感谢

Mansur
Spotlight
Spotlight
本帖最后由 maguanghua2013 于 2018-6-30 13:17 编辑
yuxuliu 发表于 2018-6-29 17:20
failover AS模式 standby设备无法处理数据包。
需要AA模式。

嗯,这种模式我是的知道的。相当于两组独立的sslvpn,各有一个主备的架构。
这就有个问题。ASA5525最多支持750个VPN peer,如果我开了failover AA模式,
一台物理ASA上的两个vFW是共享这750个peer吗,还是说两个vFW是可以各自拥有750个peer?
比如两个active的vFW建立的vpn peer加起来超过750,当一台物理ASA挂掉,那么另一台物理设备的两个vFW都是active状态,这个时候会是一个什么效果??一部分掉线吗?还是两个vfw最多可以1500个peer?
当时我们买设备的时候代理商是说做成负载分担模式的话,1500个license是都可以用上的。
现在主备模式的情况下, show version看到这句话:
The Running Activation Key feature: 1500 AnyConnect Premium sessions exceed the limit on the platform, reduced to 750 AnyConnect Premium sessions.

Mansur
Spotlight
Spotlight
vsop5207 发表于 2018-6-29 23:13
如一楼所说,failover 是不可能的,备机就是备机,还是要AA模式,不过具体怎么配置负载我也不清楚,建议你G ...

嗯,负载分担这个倒是有很多办法。思科的路由器做 ouside nat,或者硬件的 A10 ,F5,国产的一些防火墙也都支持。
failover A/A我原来也做过,但是只是简单的作为出口设备。没做过做SSLVPN的双A,不知道有没有啥注意点。
另外还有AA模式下有些license限制还不太明白。

Mansur
Spotlight
Spotlight
Rocky 发表于 2018-6-30 11:31
楼主参考一下看看
Cisco ASA 防火墙 双线接入实施策略NAT及VPN server
https://wenku.baidu.com/view/9bf ...

试了VPN load-balance, 在配置cluster ip address的时候提示ERROR: Public interface is is not defined.
应该跟我这个ASA是旁挂的有关系。旁挂只有inside地址,没有outside地址。
看起来load-balance是配置不了了。。

huoran1234
Spotlight
Spotlight
不用这么复杂,你再找一台ASA做成主备模式,两台设备的vpn license会叠加。

Mansur
Spotlight
Spotlight
huoran1234 发表于 2018-7-4 11:05
不用这么复杂,你再找一台ASA做成主备模式,两台设备的vpn license会叠加。

叠加?我现在ASA5525-x就是两台,做的failover主备。这个型号硬件能支持的VPN peer就是750.
我们之全部是买了两个1500的license...
要怎么设置才能量两台设备都用起来,又能相互冗余?

huoran1234
Spotlight
Spotlight
maguanghua2013 发表于 2018-7-4 11:16
叠加?我现在ASA5525-x就是两台,做的failover主备。这个型号硬件能支持的VPN peer就是750.
我们之全 ...

正常来说硬件只能支持750的话不应该能买到1500的License啊。。你这个1500应该是两个已经叠加在一起了吧?做完failover之后显示的可是加在一起的数量。
抛开license不说,双活的墙我记得是不能做remote-access vpn的,只能做site-to-site,cisco的双活墙是multiple-context,然后每个context有独立的路由表。现在有个cluster技术还没太了解,但是5525-x肯定也做不了。。
如果是Active-Active做site-to-site,那就需要大改了。。因为要把路由什么的要重新规划,考虑的还挺多的。
如果是remote-access vpn,俩设备都利用起来就只能当两台墙这么做,但是互相冗余。。可能需要一些别的手段再想想别的办法了。

Mansur
Spotlight
Spotlight
本帖最后由 maguanghua2013 于 2018-7-5 14:04 编辑
huoran1234 发表于 2018-7-5 13:09
正常来说硬件只能支持750的话不应该能买到1500的License啊。。你这个1500应该是两个已经叠加在一起了吧? ...

是ssl vpn, 就是remote access.
现在我把failover断开了,两台设备独立的。license显示的还是1500,跟之前一样。
看起来是没办法冗余了,先独立跑着吧。
本来想看下vpn loadbalance的,就是你说的vpn cluster,但是我这边asav 931的模拟器敲不了。。

gang liu
Level 1
Level 1
1、你被集成商坑了 2、可以把两台设备单独用,这样可以达到750+750=1500个VPN并发。3、至于相互冗余,有一个前提条件,你的ASA只做VPN用。可以在客户端的xml配置文件中把二台ASA互为VPN backup server,用户通过域名分流,这样任何一台挂了,可以上备的,冗余了。不过比较复杂,也不能完全负载均衡。
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









快捷链接