请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

  思科 CCO 登录
 找回密码
 立即注册

扫一扫,访问微社区

搜索
热搜: 邮件服务器
查看: 1653|回复: 12

SSLVPN的双机负载分担怎么做?

[复制链接]
发表于 2018-6-29 10:51:58 | 显示全部楼层 |阅读模式
0可用金钱
现在公司两台ASA做SSLvpn,做的failover主备。。现在单设备的license不够了,想把这两台做成负载均衡模式。不知道怎么操作。
是要做成多模式的failover的双主吗?这样相当于两个独立的SSLVPN?

还是有其他方案?

ASA5525硬件的vpn peer是750,我们买的两个license都是1500个的。。授权这块是足够的。

  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分2 (2 评价)
发表于 2018-6-29 17:20:29 | 显示全部楼层
failover AS模式  standby设备无法处理数据包。
需要AA模式。

然后把Anyconnect的域名绑定两个A记录
例如  vpn.test.com绑定到10.1.1.1 和10.1.1.2
利用dns的轮训response来做到一定程度的负载均衡。
以上个人意见。仅供参考。具体变更以网络实际环境为准。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分3 (3 评价)
发表于 2018-6-29 23:13:47 | 显示全部楼层
如一楼所说,failover 是不可能的,备机就是备机,还是要AA模式,不过具体怎么配置负载我也不清楚,建议你Google FQ 查吧,国外帖子肯定有
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分1 (1 评价)
发表于 2018-6-30 11:31:28 | 显示全部楼层
楼主参考一下看看
Cisco ASA 防火墙 双线接入实施策略NAT及VPN server
https://wenku.baidu.com/view/9bfc92f8aef8941ea76e05fe.html

ASA VPN load-balancing配置案例-方法以及原理
https://wenku.baidu.com/view/567e144fe45c3b3567ec8b12.html

配置ASA :SSL数字证书安装和续订
https://www.cisco.com/c/zh_cn/su ... l-Certificate-I.pdf

ASA VPN负载均衡重要的选择进程
https://www.cisco.com/c/zh_cn/su ... technote-vpn-00.pdf

Remote VPN Client Load Balancing on ASA 5500 Configuration Example
https://www.cisco.com/c/en/us/su ... pn-loadbal-asa.html

ASA VPN Load Balancing Master Election Process
https://www.cisco.com/c/en/us/su ... echnote-vpn-00.html
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分1 (1 评价)
 楼主| 发表于 2018-6-30 11:56:36 | 显示全部楼层
Rocky 发表于 2018-6-30 11:31
楼主参考一下看看
Cisco ASA 防火墙 双线接入实施策略NAT及VPN server
https://wenku.baidu.com/view/9bf ...

好的,这两天我看看,感谢
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分1 (1 评价)
 楼主| 发表于 2018-6-30 13:08:09 | 显示全部楼层
本帖最后由 maguanghua2013 于 2018-6-30 13:17 编辑
yuxuliu 发表于 2018-6-29 17:20
failover AS模式  standby设备无法处理数据包。
需要AA模式。

嗯,这种模式我是的知道的。相当于两组独立的sslvpn,各有一个主备的架构。

这就有个问题。ASA5525最多支持750个VPN peer,如果我开了failover AA模式,
一台物理ASA上的两个vFW是共享这750个peer吗,还是说两个vFW是可以各自拥有750个peer?

比如两个active的vFW建立的vpn peer加起来超过750,当一台物理ASA挂掉,那么另一台物理设备的两个vFW都是active状态,这个时候会是一个什么效果??一部分掉线吗?还是两个vfw最多可以1500个peer?

当时我们买设备的时候代理商是说做成负载分担模式的话,1500个license是都可以用上的。
现在主备模式的情况下, show version看到这句话:
The Running Activation Key feature: 1500 AnyConnect Premium sessions exceed the limit on the platform, reduced to 750 AnyConnect Premium sessions.

  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分1 (1 评价)
 楼主| 发表于 2018-6-30 13:23:14 | 显示全部楼层
vsop5207 发表于 2018-6-29 23:13
如一楼所说,failover 是不可能的,备机就是备机,还是要AA模式,不过具体怎么配置负载我也不清楚,建议你G ...

嗯,负载分担这个倒是有很多办法。思科的路由器做 ouside nat,或者硬件的 A10 ,F5,国产的一些防火墙也都支持。
failover A/A我原来也做过,但是只是简单的作为出口设备。没做过做SSLVPN的双A,不知道有没有啥注意点。
另外还有AA模式下有些license限制还不太明白。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分1 (1 评价)
 楼主| 发表于 2018-7-2 16:39:56 | 显示全部楼层
Rocky 发表于 2018-6-30 11:31
楼主参考一下看看
Cisco ASA 防火墙 双线接入实施策略NAT及VPN server
https://wenku.baidu.com/view/9bf ...

试了VPN load-balance, 在配置cluster ip address的时候提示ERROR: Public interface is  is not defined.

应该跟我这个ASA是旁挂的有关系。旁挂只有inside地址,没有outside地址。

看起来load-balance是配置不了了。。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分1 (1 评价)
发表于 2018-7-4 11:05:04 | 显示全部楼层
不用这么复杂,你再找一台ASA做成主备模式,两台设备的vpn license会叠加。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分1 (1 评价)
 楼主| 发表于 2018-7-4 11:16:38 | 显示全部楼层
huoran1234 发表于 2018-7-4 11:05
不用这么复杂,你再找一台ASA做成主备模式,两台设备的vpn license会叠加。

叠加?我现在ASA5525-x就是两台,做的failover主备。这个型号硬件能支持的VPN peer就是750.

我们之全部是买了两个1500的license...

要怎么设置才能量两台设备都用起来,又能相互冗余?
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分1 (1 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科社区  

GMT+8, 2018-9-23 09:27 , Processed in 0.103994 second(s), 53 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表