مستندات تنظیم شده برای این محصول تلاش می کند تا از زبان بدون تعصب استفاده کند. برای اهداف این مجموعه اسناد و مدارک, تعصب رایگان به عنوان زبان است که تبعیض بر اساس سن معنا نیست تعریف, ناتوانی, جنس, هویت نژادی, هویت قومی, گرایش جنسی, وضعیت اجتماعی و اقتصادی, و تقاطع. استثنا ممکن است در حال حاضر در اسناد و مدارک با توجه به زبان است که در رابط کاربر از نرم افزار محصول سخت کد, زبان مورد استفاده در مستندات رادیویی بر اساس, یا زبان است که توسط یک محصول شخص ثالث اشاره استفاده. درباره نحوه استفاده سیسکو از زبان فراگیر بیشتر بدانید.
عنوان کتاب
سیسکو امنیت لوازم خانگی خط فرمان راهنمای پیکربندی, نسخه 7.2
تنظیم پارامترهای عمومی وی پی ان
مشاهده با ادوبی ریدر در انواع دستگاه ها
نتایج
فصل: تنظیم پارامترهای عمومی وی پی ان
تنظیم پارامترهای عمومی ایپسک/اس اس ال وی پی ان
دستگاه امنیتی پیاده سازی شبکه خصوصی مجازی شامل ویژگی های مفیدی است که به طور مرتب در دسته ها قرار نمی گیرند. این فصل برخی از این ویژگی ها را شرح می دهد. این شامل بخش های زیر است:
پیکربندی وی پی ان ها در حالت تک روت
وی پی ان ها فقط در حالت تک و روت کار می کنند. قابلیت شبکه اختصاصی مجازی در تنظیمات که شامل هر دو زمینه های امنیتی در دسترس نیست, همچنین به عنوان چند حالت فایروال اشاره, یا فعال/فعال عدم موفقیت حالت.
استثنا در این اخطار است که شما می توانید پیکربندی و استفاده از یک اتصال برای مقاصد اداری به (نه از طریق) دستگاه امنیتی در حالت شفاف.
پیکربندی ایپسک/اس اس ال برای دور زدن ای سی ال
توجه داشته باشید مگر اینکه مشتری (مرورگر حالت) شبکه اختصاصی مجازی اس اس ال مشخص شده است, اصطلاح شبکه اختصاصی مجازی اس اس ال در این فصل اشاره به مشتری اس اس ال وی پی ان (هر اتصال 2.ایکس یا سی وی سی قبلی 1.ایکس).
برای اجازه دادن به هر بستهای که از یک تونل ایپسک/اس اس ال بیاید بدون بررسی رابطهای مبدا و مقصد وارد دستور اتصال سیسوپت-وی پی ان در حالت پیکربندی جهانی شوید.
اگر از یک متمرکز کننده وی پی ان جداگانه در پشت دستگاه امنیتی استفاده می کنید و می خواهید عملکرد دستگاه امنیتی را به حداکثر برسانید. به طور معمول شما یک سی سی ایجاد می کنید که بسته های ایپسک/اس اس ال را با استفاده از دستور لیست دسترسی مجاز می کند و روی رابط منبع اعمال می کند. چون شما می توانید ترافیک دقیق شما می خواهید اجازه می دهد تا از طریق دستگاه امنیتی با استفاده از ر.ک. ک امن تر است.
نحو است سیسوپت مجوز اتصال-وی پی ان . این دستور هیچ کلمه کلیدی یا استدلالی ندارد.
مثال زیر ترافیک ایپسک/اس اس ال را از طریق دستگاه امنیتی بدون بررسی ای سی ال امکان پذیر می سازد:
اجازه ترافیک داخل رابط (پیچاندن مو)
دستگاه امنیتی شامل یک ویژگی است که اجازه می دهد تا یک مشتری شبکه اختصاصی مجازی ارسال ترافیک محافظت ایپسک به کاربر شبکه اختصاصی مجازی دیگر با اجازه می دهد چنین ترافیک در داخل و خارج از رابط همان. همچنین به نام "پیچاندن مو", این ویژگی را می توان از به عنوان پره شبکه اختصاصی مجازی فکر (مشتریان) اتصال از طریق یک مرکز شبکه اختصاصی مجازی (لوازم امنیتی).
در برنامه دیگری, این ویژگی می تواند ترافیک ورودی وی پی ان را از طریق همان رابط ترافیک رمزگذاری نشده هدایت کند. این امر می تواند مفید باشد, برای مثال, به یک شبکه اختصاصی مجازی مشتری است که تقسیم تونل زنی ندارد اما نیاز به هر دو دسترسی به شبکه اختصاصی مجازی و فهرست وب.
شکل 29-1 نشان می دهد مشتری اختصاصی مجازی 1 ارسال ترافیک امن به مشتری شبکه اختصاصی مجازی 2 در حالی که همچنین ارسال ترافیک تکه تکه کردن به یک وب سرور عمومی.
شکل 29-1 مشتری اختصاصی مجازی با استفاده از ویژگی های داخل رابط برای سنجاق سر
برای پیکربندی این ویژگی, استفاده از همان-امنیت-ترافیک فرمان در حالت پیکربندی جهانی با استدلال داخل رابط.
دستور دستور همان است-امنیت-مجوز ترافیک< inter-interface | intra-interface >.
مثال زیر نحوه فعال کردن ترافیک درون رابط را نشان می دهد:
توجه داشته باشید شما با استفاده از همان-امنیت-ترافیک فرمان, اما با استدلال بین رابط, به اجازه ارتباط بین رابط که دارای سطح امنیتی همان. این ویژگی مختص اتصالات ایپسک/اس اس ال نیست. برای کسب اطلاعات بیشتر, دیدن "پارامترهای رابط پیکربندی" فصل از این راهنمای.
برای استفاده از پیچاندن مو, شما باید قوانین مناسب نات به رابط دستگاه امنیتی اعمال, همانطور که در بخش زیر مورد بحث.
ملاحظات نات برای ترافیک درون رابط
برای اینکه دستگاه امنیتی بتواند ترافیک رمزگذاری نشده را از طریق رابط ارسال کند باید نات را برای رابط فعال کنید تا نشانیهای قابل رویت عمومی جایگزین نشانیهای اینترنتی خصوصی شما شوند (مگر اینکه قبلا از نشانیهای اینترنتی عمومی در استخر نشانی اینترنتی محلی خود استفاده کنید). مثال زیر یک قانون رابط کاربری را برای ترافیک تهیه شده از استخر تحت شبکه مشتری اعمال می کند:
هنگامی که دستگاه امنیتی ترافیک رمزگذاری شده شبکه اختصاصی مجازی می فرستد به خارج از این رابط همان, با این حال, نات اختیاری است. وی پی ان به وی پی ان پیچاندن مو با یا بدون نات کار می کند. برای اعمال نات به تمام ترافیک خروجی, پیاده سازی تنها دستورات بالا. برای معاف کردن ترافیک شبکه اختصاصی مجازی به شبکه اختصاصی مجازی از نات, اضافه کردن دستورات (به مثال بالا) که پیاده سازی معافیت نات برای ترافیک شبکه اختصاصی مجازی به شبکه اختصاصی مجازی, مانند:
برای کسب اطلاعات بیشتر در قوانین نات, دیدن "استفاده از نات" فصل از این راهنمای.
تنظیم حداکثر جلسات فعال ایپسک/اس اس ال وی پی ان
برای محدود کردن جلسات شبکه اختصاصی مجازی به یک مقدار پایین تر از دستگاه امنیتی اجازه می دهد تا, وارد دستور شبکه اختصاصی مجازی-سسندب حداکثر جلسه حد در حالت پیکربندی جهانی.
* این دستور برای همه انواع جلسات وی پی ان از جمله اس اس ال وی پی ان (هر نوع اتصال و بدون مشتری) اعمال می شود.
* این محدودیت بر درصد بار محاسبه شده برای تعادل بار وی پی ان تاثیر می گذارد.
نحو وی پی ان-سسندب حداکثر جلسه-حد است< session-limit >.
مثال زیر نحوه تنظیم حداکثر محدودیت جلسه وی پی ان 450 را نشان می دهد:
برای تنظیم هر دو سرویس گیرنده اس اس ال وی پی ان و بی مشتری حداکثر جلسات, وارد شبکه اختصاصی مجازی-سسندب حداکثر-وب وی پی ان-جلسه-محدود< session-limit >فرماندهی در حالت پیکربندی جهانی.
با استفاده از به روز رسانی مشتری برای اطمینان از سطح تجدید نظر مشتری قابل قبول
قابلیت به روز رسانی مشتری اجازه می دهد تا مدیران در یک محل مرکزی به طور خودکار کاربران شبکه اختصاصی مجازی کلاینت اطلاع است که زمان برای به روز رسانی نرم افزار سرویس گیرنده شبکه اختصاصی مجازی و تصویر مشتری سخت افزار 3002 است.
کاربران از راه دور ممکن است از نسخه های قدیمی نرم افزار یا سخت افزار سرویس گیرنده استفاده کنند. شما میتوانید در هر زمانی از دستور بروزرسانی کلاینت استفاده کنید تا بهروزرسانی نسخههای کلاینت را فعال کنید.انواع و شمارههای تجدیدنظر کلاینتهایی که بهروزرسانی اعمال میشود را مشخص کنید. یک نشانی اینترنتی یا نشانی اینترنتی برای دریافت بهروزرسانی فراهم کنید. و در مورد کلاینتهای ویندوز بهصورت اختیاری به کاربران اطلاع دهید که باید نسخه کلاینت ویپیان خود را بهروزرسانی کنند. برای کلاینت های ویندوز می توانید مکانیزمی را برای کاربران فراهم کنید تا این به روزرسانی را انجام دهند. برای کاربران شبکه اختصاصی مجازی 3002 سخت افزار مشتری, به روز رسانی به طور خودکار رخ می دهد, بدون اطلاع رسانی. این دستور فقط برای نوع گروه تونل دسترسی از راه دور ایپسک اعمال می شود.
برای انجام به روز رسانی مشتری, دستور مشتری به روز رسانی در هر دو حالت پیکربندی عمومی و یا تونل گروه ایپسک صفات حالت پیکربندی را وارد کنید. اگر مشتری در حال حاضر در حال اجرا یک نسخه نرم افزار در لیست شماره تجدید نظر, لازم نیست برای به روز رسانی نرم افزار خود را. اگر مشتری در حال اجرا نیست یک نسخه نرم افزار در لیست, باید به روز رسانی. روش زیر نحوه انجام به روزرسانی مشتری را بیان می کند:
مرحله 1 در حالت پیکربندی جهانی, فعال کردن به روز رسانی مشتری با وارد کردن دستور:
گام 2 در حالت پیکربندی جهانی, مشخص پارامترهای برای به روز رسانی مشتری که شما می خواهید به درخواست به تمام مشتریان از یک نوع خاص. به این معنا که, مشخص کردن نوع مشتری, نشانی اینترنتی یا نشانی اینترنتی از که برای دریافت تصویر به روز, و تعداد تجدید نظر قابل قبول و یا اعداد برای مشتری که. می توانید حداکثر چهار شماره تجدید نظر را مشخص کنید که با کاما از هم جدا شده اند.
اگر تعداد تجدید نظر مشتری کاربر یکی از شماره های تجدید نظر مشخص منطبق, بدون نیاز به به روز رسانی مشتری وجود دارد. این دستور مقادیر به روزرسانی مشتری را برای همه مشتریان از نوع مشخص شده در کل دستگاه امنیتی مشخص می کند
نحو دستور انجام این کار به شرح زیر است:
انواع کلاینت در دسترس هستند وین9ایکس (شامل ویندوز 95, ویندوز 98 و ویندوز من سیستم عامل), وین (شامل ویندوز ان تی 4.0, ویندوز 2000 و ویندوز ایکس پی سیستم عامل), ویندوز (شامل تمام سیستم عامل های مبتنی بر ویندوز), و وی پی ان 3002 (وی پی ان 3002 سخت افزار مشتری).
اگر مشتری در حال حاضر در حال اجرا یک نسخه نرم افزار در لیست شماره تجدید نظر, لازم نیست برای به روز رسانی نرم افزار خود را. اگر مشتری در حال اجرا نیست یک نسخه نرم افزار در لیست, باید به روز رسانی. می توانید حداکثر سه مورد از این ورودی های به روزرسانی مشتری را مشخص کنید. پنجره کلمه کلیدی را پوشش می دهد تمام سیستم عامل های مجاز ویندوز. اگر شما ویندوز مشخص, انجام انواع مشتری ویندوز فرد مشخص نیست.
توجه داشته باشید برای تمام مشتریان ویندوز, شما باید پروتکل قام استفاده:// یا قام:// به عنوان پیشوند برای نشانی وب. برای شبکه اختصاصی مجازی 3002 مشتری سخت افزار, شما باید پروتکل مشخص:// در عوض.
مثال زیر پارامترهای به روزرسانی مشتری را برای گروه تونل دسترسی از راه دور پیکربندی می کند. این شماره تجدید نظر 4.6.1 و نشانی اینترنتی برای بازیابی به روز رسانی را تعیین می کند https://support/updates:
متناوبا, شما می توانید به روز رسانی مشتری فقط برای فرد تونل گروه پیکربندی, به جای برای همه مشتریان از یک نوع خاص. (مرحله 3 را ببینید.)
شبکه اختصاصی مجازی 3002 مشتریان بدون دخالت کاربر به روز رسانی و کاربران هیچ پیام اطلاع رسانی دریافت خواهید کرد. مثال زیر تنها به مشتریان سخت افزار وی پی ان 3002 اعمال می شود. وارد شده در تونل-گروه ایپسک-ویژگی های حالت پیکربندی, این پیکربندی پارامترهای به روز رسانی مشتری برای ایپسک از راه دور دسترسی تونل گروه "فروش". این شماره نسخه 4.7 را تعیین می کند و از پروتکل تی اف تی پی برای بازیابی نرم افزار به روز شده از سایت با نشانی اینترنتی 192.168.1.1 استفاده می کند:
توجه داشته باشید شما می توانید مرورگر را به طور خودکار یک برنامه را با درج نام برنامه در انتهای نشانی اینترنتی شروع کنید. مثلا: https://support/updates/vpnclient.سابق.
گام 3 برای تعریف مجموعه ای از پارامترهای مشتری به روز رسانی برای یک گروه تونل ایپسک رادیوم خاص, زیر را انجام دهید. در حالت تونل-گروه ایپسک-ویژگی, مشخص کردن نام تونل-گروه و نوع خود, نشانی وب یا نشانی اینترنتی از که برای دریافت تصویر به روز, و یک شماره تجدید نظر. اگر تعداد تجدید نظر مشتری کاربر منطبق با یکی از شماره های تجدید نظر مشخص, بدون نیاز به به روز رسانی مشتری وجود دارد; مثلا, برای یک کلاینت ویندوز:
گام 4 به صورت اختیاری, شما می توانید یک اخطار به کاربران فعال با مشتریان ویندوز از رده خارج که مشتری خود را نیاز به روز رسانی ارسال. برای این کاربران یک پنجره بازشو ظاهر می شود که به شما امکان می دهد مرورگری را راه اندازی کرده و نرم افزار به روز شده را از سایتی که در نشانی اینترنتی مشخص کرده اید بارگیری کنید. تنها بخشی از این پیام که می توانید پیکربندی کنید نشانی اینترنتی است. (مرحله 2 یا 3 را ببینید.) کاربرانی که فعال نیستند دفعه بعد که وارد سیستم می شوند پیام اعلان دریافت می کنند. شما می توانید این اطلاعیه را به تمام مشتریان فعال در تمام گروه های تونل ارسال کنید یا می توانید به مشتریان در یک گروه تونل خاص ارسال کنید. مثلا, به اطلاع تمام مشتریان فعال در تمام گروه تونل, شما را از دستور زیر در حالت اعدام ممتاز وارد کنید:
اگر تعداد تجدید نظر مشتری کاربر یکی از شماره های تجدید نظر مشخص منطبق, بدون نیاز به به روز رسانی مشتری وجود دارد, و هیچ پیام اطلاع رسانی به کاربر ارسال. شبکه اختصاصی مجازی 3002 مشتریان بدون دخالت کاربر به روز رسانی و کاربران هیچ پیام اطلاع رسانی دریافت خواهید کرد.
توجه داشته باشید اگر شما نوع مشتری به روز رسانی به عنوان ویندوز مشخص (مشخص کردن تمام سیستم عامل مبتنی بر ویندوز) و بعد می خواهید برای ورود به یک نوع مشتری به روز رسانی از وین9ایکس یا وینت برای همان نهاد, شما ابتدا باید نوع ویندوز مشتری با هیچ شکلی از دستور حذف, سپس با استفاده از دستورات جدید مشتری به روز رسانی برای مشخص کردن انواع مشتری جدید.
درک تعادل بار
اگر پیکربندی دسترسی از راه دور دارید که از دو یا چند دستگاه امنیتی یا متمرکز کننده شبکه اختصاصی مجازی متصل به یک شبکه برای مدیریت جلسات از راه دور استفاده می کنید, می توانید این دستگاه ها را برای به اشتراک گذاشتن بار جلسه خود پیکربندی کنید. این ویژگی تعادل بار نامیده می شود . برای پیاده سازی تعادل بار, شما گروه با هم منطقی دو یا چند دستگاه در همان شبکه خصوصی شبکه به شبکه خصوصی, زیرشبکه خصوصی, و زیرشبکه عمومی را به یک خوشه مجازی.
همه دستگاه های موجود در خوشه مجازی بارهای جلسه را حمل می کنند. تعادل بار ترافیک جلسه را به کمترین بارگذاری دستگاه در خوشه هدایت می کند و بنابراین بار را بین همه دستگاه ها توزیع می کند. این باعث می شود استفاده موثر از منابع سیستم و افزایش عملکرد و در دسترس بودن بالا فراهم می کند.
یک دستگاه در خوشه مجازی, استاد خوشه مجازی, هدایت ترافیک ورودی به دستگاه های دیگر, به نام دستگاه های ثانویه . استاد خوشه مجازی نظارت بر تمام دستگاه های در خوشه, نگه می دارد ردیابی چگونه مشغول هر است, و توزیع بار جلسه بر این اساس. نقش استاد خوشه مجازی به یک دستگاه فیزیکی گره خورده است. مثلا, اگر در حال حاضر مجازی خوشه استاد با شکست مواجه, یکی از دستگاه های ثانویه در خوشه طول می کشد بیش از این نقش و بلافاصله می شود جدید خوشه مجازی استاد.
توجه داشته باشید که خروجی یک دستور نشان می دهد ممکن است دستگاه های ثانویه در خوشه به عنوان دستگاه های پشتیبان را نشان می دهد.
خوشه مجازی برای مشتریان خارجی به عنوان یک نشانی اینترنتی خوشه مجازی ظاهر می شود . این نشانی اینترنتی به یک دستگاه فیزیکی خاص گره خورده است. متعلق به استاد خوشه مجازی فعلی است. یک کلاینت وی پی ان که سعی در برقراری ارتباط دارد ابتدا به این نشانی اینترنتی خوشه مجازی متصل می شود. استاد خوشه مجازی سپس نشانی اینترنتی عمومی میزبان کم بار موجود در خوشه را برای مشتری ارسال می کند. در یک معامله دوم (شفاف به کاربر), مشتری متصل به طور مستقیم به میزبان. به این ترتیب استاد خوشه مجازی ترافیک را به طور مساوی و موثر در منابع هدایت می کند.
توجه داشته باشید تمام مشتریان سیسکو ایپسک (نرم افزار و شبکه اختصاصی مجازی 3002, پیکس-501, سری 800, اسا 5505 مشتریان سخت افزار) و مشتریان اس اس ال وی پی ان.
اگر یک ماشین در خوشه نتواند, جلسات خاتمه بلافاصله می توانید به نشانی اینترنتی خوشه مجازی دوباره به هم متصل. استاد خوشه مجازی سپس این اتصالات را به دستگاه فعال دیگری در خوشه هدایت می کند. باید استاد خوشه مجازی خود را شکست, یک دستگاه ثانویه در خوشه بلافاصله و به طور خودکار طول می کشد بیش به عنوان استاد جلسه مجازی جدید. حتی اگر چندین دستگاه در خوشه شکست, کاربران می توانند همچنان به اتصال به خوشه تا زمانی که هر یک دستگاه در خوشه است و در دسترس.
اجرای تعادل بار
فعال کردن تعادل بار شامل موارد زیر است:
•پیکربندی خوشه متعادل کننده بار با ایجاد یک خوشه مجازی مشترک, نشانی اینترنتی, پورت بی سیم (در صورت لزوم), و ایپسک/اس اس ال راز مشترک برای خوشه. این مقادیر باید به طور عام برای هر دستگاه در خوشه پیکربندی شده است.
•پیکربندی دستگاه شرکت کننده با فعال کردن تعادل بار بر روی دستگاه و تعریف خواص خاص دستگاه. این مقادیر از دستگاهی به دستگاه دیگر متفاوت است.
توجه داشته باشید که متعادل سازی بار وی پی ان نیاز به مجوز فعال 3 بعدی دارد. دستگاه امنیتی قبل از فعال کردن تعادل بار وجود این مجوز رمزنگاری را بررسی می کند. دستگاه امنیتی از امکان تعادل بار جلوگیری می کند و همچنین از پیکربندی داخلی 3 دس توسط سیستم تعادل بار جلوگیری می کند مگر اینکه مجوز این استفاده را مجاز کند.
پیش نیازها
تعادل بار به طور پیش فرض غیرفعال است. شما باید به صراحت تعادل بار را فعال کنید.
شما باید ابتدا رابط های عمومی (خارج) و خصوصی (داخل) را پیکربندی کرده باشید و همچنین قبلا رابط کاربری مورد نظر خوشه مجازی را پیکربندی کرده اید. برای پیکربندی نام های مختلف برای این رابط ها می توانید از رابط و دستورات نام استفاده کنید. منابع بعدی در این بخش از نام های خارج و داخل استفاده می کنند.
همه دستگاههایی که در یک خوشه شرکت می کنند باید مقادیر خاص خوشه یکسانی را به اشتراک بگذارند: نشانی اینترنتی, تنظیمات رمزگذاری, کلید رمزگذاری, و پورت.
الگوریتم تعادل بار
تعادل بار با درصدی از بار کاربر محاسبه می شود. هیچ اولویت برای رفتن با یک دستگاه و یا دیگر وجود دارد; درصد بار کاربر تنها عامل در نظر گرفته شده با توجه به بالانکینگ بار است. اگر می خواهید درصد بار کاربر برای افزایش سریع تر بر روی دستگاه, شما نیاز به پیکربندی حداکثر تعداد کاربران که این دستگاه خاص می تواند پشتیبانی. به خاطر داشته باشید که طول می کشد 50 کاربران به برابر 1% از بار اگر شما پیکربندی شده برای حمایت از حداکثر تعداد کاربران (5000).
پلتفرم های واجد شرایط
یک خوشه متعادل کننده بار می تواند شامل مدل های لوازم امنیتی به عنوان 5520 و بالاتر باشد. همچنین می توانید متمرکز کننده های سری 3000 را در خوشه قرار دهید. در حالی که تنظیمات مخلوط امکان پذیر است, دولت به طور کلی ساده تر اگر خوشه همگن است.
مشتریان واجد شرایط
تعادل بار فقط در جلسات از راه دور با مشتریان زیر موثر است:
* مشتری شبکه اختصاصی مجازی سیسکو (انتشار 3.0 و بعد از)
* سیسکو شبکه اختصاصی مجازی 3002 سخت افزار مشتری (انتشار 3.5 و یا بعد از)
•سیسکو پیکس 501/506الکترونیکی (زمانی که اقدام به عنوان یک مشتری وی پی ان ساده).
* سیسکو هر اتصال مشتری شبکه اختصاصی مجازی (انتشار 2.0 و بعد از)
* سیسکو 5505 امنیت لوازم خانگی (هنگامی که اقدام به عنوان یک مشتری وی پی ان)
* دستگاه های مشتری پشتیبانی از تغییر مسیر (به عنوان مثال. 831/871)
* شبکه اختصاصی مجازی اس اس ال بدون مشتری (حالت مرورگر; یک مشتری)
تعادل بار با هر دو مشتری ایپسک/اس اس ال و جلسات اس اس ال وی پی ان (هر اتصال و بدون مشتری) کار می کند. همه مشتریان دیگر از جمله اتصالات شبکه به شبکه می توانند به یک دستگاه امنیتی متصل شوند که تعادل بار را فعال می کند اما نمی توانند در تعادل بار شرکت کنند.
تنظیمات خوشه متعادل کننده بار وی پی ان
یک خوشه متعادل کننده بار می تواند شامل همه لوازم امنیتی 7.0(ایکس) و همه لوازم امنیتی 7.1(1) و همه متمرکز کننده های وی پی ان 3000 یا مخلوطی از این موارد با رعایت محدودیت های زیر باشد:
* خوشه های متعادل کننده بار که شامل همه لوازم امنیتی 7.0(ایکس) و همه وسایل امنیتی 7.1(1) یا همه متمرکز کننده های وی پی ان 3000 می توانند تعادل بار را برای مخلوطی از جلسات ایپسک/اس اس ال و اس اس ال (هر نوع اتصال و بدون مشتری) اجرا کنند.
* خوشه های متعادل کننده بار که شامل هر دو دستگاه امنیتی 7.0(ایکس) و کنسانتره های وی پی ان 3000 می توانند تعادل بار را برای مخلوطی از جلسات ایپسک/اس اس ال و اس اس ال وی پی ان (هر نوع اتصال و بدون مشتری) اجرا کنند.
با انتشار 7.1 (1) جلسات ایپسک/اس اس اس ال و اس اس ال وی پی ان (هر اتصال و بدون مشتری) در تعیین بار هر دستگاه در خوشه به طور مساوی محاسبه یا وزن می کنند. این نشان دهنده یک خروج از محاسبه توازن بار برای نسخه 7.0(ایکس) نرم افزار و وی پی ان 3000 متمرکز, در این که این سیستم عامل هر دو استفاده از یک الگوریتم وزن که, در برخی از سیستم عامل های سخت افزاری, محاسبه وی پی ان (هر اتصال و بدون مشتری) بار جلسه متفاوت از بار جلسه ایپسک/اس اس ال.
استاد مجازی خوشه درخواست های جلسه را به اعضای خوشه اختصاص می دهد. یک دستگاه امنیتی 7.1(1) تمام جلسات را با هم مقایسه می کند و بر این اساس اختصاص می دهد. یک دستگاه امنیتی 7.0(ایکس) یا یک متمرکز کننده وی پی ان 3000 محاسبه وزن را در تعیین بارهای جلسه انجام می دهد.
توجه داشته باشید شما می توانید تعداد جلسات شبکه اختصاصی مجازی پیکربندی (هر اتصال و بدون مشتری) اجازه می دهد تا, تا حداکثر مجاز توسط پیکربندی و مجوز خود را. مشاهده پیکربندی محدودیت جلسه شبکه اختصاصی مجازی برای شرح چگونه به مجموعه ای از این محدودیت ها.
برخی از حالات خوشه مخلوط معمولی
اگر شما یک پیکربندی مختلط دارید-یعنی اگر خوشه متعادل کننده بار شما شامل دستگاههایی است که ترکیبی از نسخه های نرم افزاری اسا یا حداقل یک دستگاه امنیتی در حال اجرا با نسخه 7.1(1) و یک متمرکز کننده وی پی ان 3000 را اجرا می کنند—تفاوت در الگوریتم های وزن در صورت خرابی استاد خوشه اولیه و دستگاه دیگر به عنوان استاد تبدیل می شود.
سناریوهای زیر استفاده از تعادل بار وی پی ان را در خوشه های متشکل از ترکیبی از وسایل امنیتی در حال اجرا با نسخه 7.1(1) و نرم افزار با نسخه 7.0(ایکس) و همچنین متمرکز کننده های سری 3000 نشان می دهد.
سناریو 1: خوشه مخلوط با هیچ شبکه اختصاصی مجازی اس اس ال (هر اتصال و بدون مشتری) اتصالات
در این سناریو, خوشه متشکل از مخلوطی از لوازم امنیتی و وی پی ان 3000 کنسانتره. برخی از همتایان خوشه لوازم امنیتی در نسخه 7.0(ایکس) و برخی دیگر در نسخه 7.1(1) در حال اجرا هستند. همتایان پیش-7.1 (1) و وی پی ان 3000 هیچ اتصال اس اس ال وی پی ان ندارند و همتایان خوشه ای 7.1(1) تنها مجوز پایه اس اس ال وی پی ان را دارند که به دو جلسه اس اس ال وی پی ان (هر اتصال و بدون مشتری) اجازه می دهد اما هیچ اتصال اس اس ال وی پی ان وجود ندارد. در این حالت تمام اتصالات ایپسک/اس اس ال هستند و تعادل بار به خوبی کار می کند.
دو مجوز اس اس ال وی پی ان (هر اتصال و بدون مشتری) تاثیر بسیار کمی بر استفاده کاربر از حداکثر محدودیت جلسه ایپسک/اس اس ال دارند و سپس تنها زمانی که یک متمرکز کننده 3000 خوشه استاد است. به طور کلی هرچه تعداد مجوزهای اس اس ال وی پی ان (هر نوع اتصال و بدون مشتری) بر روی یک دستگاه امنیتی در یک خوشه مختلط کوچکتر باشد اثر دستگاه اس اس ال 7.1(1) کمتر است که بتواند در سناریویی که فقط جلسات ایپسک/اس اس ال وجود دارد به حد مجاز برسد.
سناریو 2: دست زدن به خوشه مخلوط شبکه اختصاصی مجازی (هر اتصال و بدون مشتری) اتصالات
به عنوان مثال فرض کنید یک دستگاه امنیتی که از نرم افزار نسخه 7.1(1) استفاده می کند اولین خوشه اصلی است. دستگاه دیگری در خوشه به طور خودکار به عنوان استاد کار می کند و الگوریتم متعادل کننده بار خود را برای تعیین بارهای پردازنده در خوشه اعمال می کند. یک استاد خوشه در حال اجرا با انتشار 7.1 (1) نرم افزار نمی تواند بارهای جلسه را به هیچ وجه غیر از چیزی که نرم افزار فراهم می کند وزن کند. بنابراین نمی تواند ترکیبی از بارهای جلسه ایپسک/اس اس ال و اس اس ال (هر نوع اتصال و بدون مشتری) را به درستی به دستگاههایی که نسخه های قبلی را اجرا می کنند و نه به متمرکز کننده های وی پی ان 3000 اختصاص دهد. برعکس یک متمرکز کننده وی پی ان 3000 که به عنوان استاد خوشه عمل می کند نمی تواند بارها را به درستی به یک دستگاه امنیتی 7.1(1) اختصاص دهد. سناریوی زیر این معضل را نشان می دهد.
این سناریو شبیه به یکی از قبلی است, در که خوشه متشکل از مخلوطی از لوازم امنیتی و وی پی ان 3000 کنسانتره. برخی از همتایان خوشه لوازم امنیتی در حال اجرا هستند انتشار 7.0, (ایکس) و برخی دیگر در حال اجرا هستند انتشار 7.1(1). اما در این حالت خوشه از اتصالات اس اس ال وی پی ان و همچنین اتصالات ایپسک/اس اس ال استفاده می کند.
اگر یک دستگاه است که در حال اجرا نرم افزار قبل از انتشار 7.1(1) خوشه استاد است, استاد اعمال پروتکل و منطق در اثر قبل از انتشار 7.1(1). یعنی جلسات ممکن است به همسالان متعادل کننده بار که از حد جلسه خود فراتر رفته اند هدایت شوند. در این صورت از دسترسی کاربر محروم می شود.
اگر استاد خوشه یک دستگاه در حال اجرا به عنوان یک نسخه 7.0(ایکس) نرم افزار, الگوریتم جلسه وزن قدیمی تنها به قبل از اعمال-7.1(1) همسالان در خوشه. در این مورد هیچ کس نباید از دسترسی محروم شود. زیرا همسالان قبل از 7.1 (1) از الگوریتم وزن گیری جلسه استفاده می کنند.
با این وجود مشکلی مطرح می شود زیرا شما نمی توانید تضمین کنید که همکار 7.1(1) همیشه استاد خوشه است. اگر استاد خوشه نتواند, یکی دیگر از همکار فرض نقش استاد. استاد جدید ممکن است هر یک از همسالان واجد شرایط. به دلیل غیر قابل پیش بینی بودن نتایج, توصیه می کنیم از پیکربندی این نوع خوشه ها خودداری کنید.
پیکربندی تعادل بار
برای استفاده از تعادل بار, پیکربندی عناصر زیر را برای هر دستگاه که در خوشه شرکت.
* رابط های عمومی و خصوصی
* ویژگی های خوشه متعادل کننده بار وی پی ان
توجه داشته باشید همه شرکت کنندگان در خوشه باید یک پیکربندی خوشه یکسان دارند, به جز برای اولویت دستگاه در خوشه.
پیکربندی رابط های عمومی و خصوصی برای تعادل بار
برای پیکربندی رابط های عمومی (خارج) و خصوصی (داخل) برای دستگاه های خوشه متعادل کننده بار مراحل زیر را انجام دهید:
گام 1 پیکربندی رابط عمومی بر روی دستگاه های امنیتی با وارد کردن دستور رابط با کلمه کلیدی عمومی در حالت پیکربندی شبکه اختصاصی مجازی بار متعادل. این دستور نام یا نشانی اینترنتی رابط عمومی را برای تعادل بار برای این دستگاه مشخص می کند:
گام 2 پیکربندی رابط خصوصی در دستگاه های امنیتی با وارد کردن دستور رابط با کلمه کلیدی اختصاصی در حالت پیکربندی شبکه اختصاصی مجازی بار متعادل. این دستور نام یا نشانی اینترنتی رابط خصوصی را برای تعادل بار برای این دستگاه مشخص می کند:
مرحله 3 اولویت را برای اختصاص دادن به این دستگاه در خوشه تنظیم کنید. محدوده از 1 تا 10 است. اولویت نشان دهنده احتمال تبدیل شدن این دستگاه به استاد خوشه مجازی یا در هنگام راه اندازی یا عدم موفقیت استاد موجود است. هرچه اولویت را بالاتر تعیین کنید (مثلا 10) احتمال اینکه این دستگاه به استاد خوشه مجازی تبدیل شود بیشتر است.
به عنوان مثال برای اختصاص دادن اولویت 6 به این دستگاه در داخل خوشه دستور زیر را وارد کنید:
گام 4 اگر شما می خواهید به درخواست ترجمه نشانی شبکه برای این دستگاه, وارد دستور نات با نشانی نات اختصاص داده شده برای دستگاه:
به عنوان مثال برای اختصاص این دستگاه نشانی نات 192.168.30.3 دستور زیر را وارد کنید:
پیکربندی ویژگی های خوشه متعادل کننده بار
برای پیکربندی ویژگی های خوشه متعادل کننده بار برای هر دستگاه در خوشه مراحل زیر را انجام دهید:
مرحله 1 تنظیم وی پی ان تعادل بار با وارد کردن وی پی ان دستور متعادل کننده بار در حالت پیکربندی جهانی:
این وارد حالت پیکربندی متعادل کننده بار می شود که می توانید ویژگی های متعادل کننده بار باقی مانده را پیکربندی کنید.
گام 2 پیکربندی نشانی اینترنتی از خوشه که این دستگاه متعلق. این دستور نشانی اینترنتی منفرد را مشخص می کند که کل خوشه مجازی را نشان می دهد. یک نشانی اینترنتی را انتخاب کنید که در محدوده نشانی زیرشبکه عمومی باشد که توسط همه دستگاههای امنیتی در خوشه مجازی به اشتراک گذاشته شده است
برای مثال برای تنظیم نشانی تحت شبکه خوشه روی 192.168.10.10 دستور زیر را وارد کنید:
گام 3 پیکربندی پورت خوشه.این دستور پورت بی سیم را برای خوشه مجازی که این دستگاه شرکت می کند مشخص می کند. مقدار پیش فرض 9023 است. اگر برنامه دیگری است با استفاده از این پورت, شماره پورت مقصد بی سیم شما می خواهید به استفاده از برای تعادل بار را وارد کنید.
به عنوان مثال برای تنظیم پورت خوشه روی 4444 دستور زیر را وارد کنید:
گام 4 به صورت اختیاری, فعال کردن ایپسک/اس اس ال رمزگذاری برای خوشه. به طور پیش فرض بدون رمزگذاری است. این دستور رمزگذاری را فعال یا غیرفعال می کند. اگر شما پیکربندی این ویژگی چک, شما ابتدا باید مشخص و بررسی یک راز به اشتراک گذاشته.دستگاه های امنیتی در خوشه مجازی از طریق تونل های شبکه به شبکه با استفاده از ایپسک/اس اس ال ارتباط برقرار می کنند. برای اطمینان از اینکه تمام اطلاعات متعادل کننده بار ارتباط برقرار بین دستگاه های رمزگذاری شده است, فعال کردن این ویژگی.
توجه داشته باشید در هنگام استفاده از رمزگذاری, شما باید قبلا پیکربندی بار متعادل در داخل رابط. در صورتی که رابط بر روی رابط بار متعادل در داخل فعال نیست, شما یک پیغام خطا زمانی که شما سعی می کنید برای پیکربندی رمزگذاری خوشه.
اگر بار متعادل در داخل رابط فعال شد زمانی که شما پیکربندی رمزگذاری خوشه, اما غیر فعال شد قبل از اینکه شما از مشارکت دستگاه در خوشه مجازی پیکربندی, شما یک پیغام خطا زمانی که شما وارد دستور شرکت (یا, در اسدم, انتخاب کنید شرکت در بار متعادل خوشه جعبه چک), و رمزگذاری برای خوشه فعال نیست.
برای استفاده از رمزگذاری خوشه ای, شما باید ایساکمپ را در رابط داخلی فعال کنید, با استفاده از دستور فعال سازی ایساکمپ رمزنگاری با رابط داخلی مشخص شده.
گام 5 اگر شما رمزگذاری خوشه را فعال کنید, شما همچنین باید ایپسک/اس اس ال راز مشترک با وارد کردن دستور کلید خوشه مشخص. این دستور راز به اشتراک گذاشته به بین همسالان ایپسک/اس اس ال مشخص زمانی که شما رمزگذاری ایپسک/اس اس ال را فعال کرده اند. مقداری که در کادر وارد می کنید به صورت نویسه های ستاره متوالی ظاهر می شود
به عنوان مثال برای تنظیم راز مشترک روی 123456789 دستور زیر را وارد کنید:
مرحله 6 مشارکت این دستگاه را در خوشه با وارد کردن دستور شرکت فعال کنید:
پیکربندی محدودیت های جلسه وی پی ان
شما می توانید به عنوان بسیاری از جلسات وی پی ان ایپسک/اس اس اس ال / اس اس ال (هر اتصال و بدون مشتری) به عنوان پلت فرم و مجوز خود را برای پشتیبانی از دستگاه های امنیتی را اجرا کنید. برای مشاهده اطلاعات صدور مجوز برای دستگاه های امنیتی خود را وارد کنید دستور نمایش نسخه در حالت پیکربندی جهانی. مثال زیر دستور و اطلاعات صدور مجوز از خروجی این دستور را نشان می دهد:
برای محدود کردن حداکثر تعداد جلسات فعال ایپسک/اس اس ال وی پی ان به یک مقدار پایین تر از دستگاه امنیتی اجازه می دهد تا, وارد دستور شبکه اختصاصی مجازی-سسندب حداکثر جلسه حد در حالت پیکربندی جهانی. این محدودیت بر درصد بار محاسبه شده برای تعادل بار وی پی ان تاثیر می گذارد. r
به عنوان مثال اگر مجوز لوازم امنیتی اجازه 750 جلسه ایپسک/اس اس ال را داده باشد و شما بخواهید تعداد جلسات ایپسک/اس اس ال را به 500 جلسه محدود کنید دستور زیر را وارد کنید:
برای حذف حد جلسه, استفاده از هیچ نسخه ای از این دستور:
برای محدود کردن جلسات اس اس ال وی پی ان (هر اتصال و بدون مشتری) به یک مقدار پایین تر از دستگاه امنیتی اجازه می دهد تا, استفاده از دستور شبکه اختصاصی مجازی-سسندب حداکثر-وب وی پی ان-جلسه محدود در حالت پیکربندی جهانی. برای حذف حد جلسه, استفاده از هیچ نسخه ای از این دستور.
به عنوان مثال اگر مجوز دستگاه امنیتی اجازه 500 جلسه اس اس ال وی پی ان (هر نوع اتصال و بدون مشتری) را بدهد و شما می خواهید تعداد جلسات اس اس ال وی پی ان (هر نوع اتصال و بدون مشتری) را به 250 جلسه محدود کنید دستور زیر را وارد کنید:
برای حذف حد جلسه, استفاده از هیچ نسخه ای از این دستور:
برای شرح کامل از ویژگی های موجود با هر مجوز, دیدن ضمیمه, مجوز ویژگی و مشخصات.
ملاحظات عمومی
بخش زیر پرسش و پاسخ است که شما باید در نظر به شما در تنظیم شبکه اختصاصی مجازی تعادل بار فراهم می کند.
س. اسا فرسودگی استخر تحت شبکه را به عنوان بخشی از مکانیسم تعادل بار وی پی ان خود در نظر می گیرد?
ا.نه. اگر جلسه دسترسی از راه دور وی پی ان به واحد کمترین بارگذاری شده هدایت شود, که استخرهای تحت شبکه خود را خسته کرده است, سپس جلسه ایجاد نمی شود. الگوریتم بر اساس بار است و به عنوان یک درصد صحیح (# جلسات فعال/حداکثر) توسط هر عضو خوشه ثانویه محاسبه می شود.
س.چهار اساس در یک خوشه با استفاده از یک پرنیان از طریق تعادل بار داخلی خود اسا وجود دارد. می توانید ما با استفاده از همان گروه نشانی اینترنتی در هر چهار نفر از اعضای خوشه عرض/ای موضوع? و از دیدگاه دی ان اس, می توانید ما فقط ایجاد یک رکورد اشاره در پرنیان; یا ما باید برای انجام کار دیگری?
الف) به نظر می رسد که در هر عضو خوشه نمی توانیم از نشانی وب گروه استفاده کنیم https://vpn. rob. com/eng فعال کردن . در عوض ما باید از نشانی اینترنتی واقعی (نه ویژه) اسا استفاده کنیم. اگر ما از نشانی اینترنتی و / یا وی پی وی پی استفاده کنیم هیچ ارتباطی قادر به اتصال نیست.
به عنوان مثال: من یک تنظیم خوشه 2 دارم و معلوم می شود که من هم نشانی اینترنتی و هم نشانی اینترنتی گروهی دارم. هنگام تلاش برای دسترسی به خوشه اسا از نشانی اینترنتی ماشین های موجود در خوشه استفاده می کند. من گروه نشانی اینترنتی را حذف کردم و دیگر کار نکرد.
اسا 1 با گروه-نشانی وب گروه-نشانی وب https://10.94.147.93/BasicGroup
اسا2 با گروه-نشانی وب گروه-نشانی وب https://10.94.147.92/BasicGroup
سپس می توانم با استفاده از نام خوشه و نشانی وب گروه به خوشه و گروه اصلی دسترسی پیدا کنم: cvc-asa. cisco. com/BasicGroup .
پرسش: هنگامی که ما تعادل بار شبکه اختصاصی مجازی را پیاده سازی, نباید استخر نشانی برای هر مشتریان اتصال (و یا مشتریان ایپسک/اس اس ال) در شرکت های مختلف اسا در خوشه متفاوت باشد?
الف-درست است. در صورت استفاده از استخرهای نشانی باید در هر دستگاه منحصر به فرد باشند
س. می توانید تعادل بار بار و عدم موفقیت ترکیب شود?
همچنین می توانید پیکربندی داشته باشید که هم تعادل بار و هم عدم موفقیت را با هم ترکیب کند. به عنوان مثال کلاینت به نشانی اینترنتی خوشه متصل شده و به کمترین بارگذاری در خوشه هدایت می شود. در صورتی که اسا پایین می رود, واحد استندبای طول می کشد بیش بلافاصله, و هیچ تاثیری به تونل مشتری وجود دارد.
توجه داشته باشید که فقط واحدهای فعال در تعادل بار شرکت می کنند. اگر واحد فعال یک جفت خرابی پایین بیاید, سپس همسر استندبای خود فعال می شود و سپس به مکانیزم خوشه متعادل کننده بار می پیوندد تا بار جلسه وی پی ان توزیع شود.
س. اگر ما وی پی ان اس اس ال (هر اتصال و بدون مشتری) را فعال کنید در رابط های متعدد, ممکن است به شبکه اختصاصی مجازی تعادل بار اجرا شده برای هر دو?
شما فقط می توانید یک رابط را برای شرکت در خوشه به عنوان رابط `عمومی' تعریف کنید. ایده این است که بارهای پردازنده را متعادل کنید. رابط های چندگانه هنوز در همان پردازنده همگرا هستند بنابراین مفهوم تعادل بار در رابط ها هیچ ارزشی ندارد. در حال حاضر هیچ برنامه ای برای حمایت از این وجود ندارد.
س.به طور پیشفرض هنگامی که یک خوشه مستر یک اتصال ورودی را هدایت میکند با نشانی اینترنتی هدایت میشود تا با نشانی اینترنتی به جای نشانی اینترنتی نمایش داده شود.
گزینه ها برای اضافه کردن یک گروه نشانی وب برای محلی است https://ip_address/group-url یا دستور زیر را به اسا اضافه کنید تا بتوانند به جای نشانی اینترنتی به جلو ارسال کنند:
س. هنگام تلاش برای پیاده سازی اس اس ال صدور مجوز و عدم موفقیت, استقرار زیر را در نظر بگیرید:
دو اسا 5520, هر کدام با 100 کاربر مجوز شبکه اختصاصی مجازی, در یک خوشه متعادل کننده بار.
حداکثر تعداد کل کاربران اجازه می دهد 200 کاربران به طور همزمان و یا تنها حداکثر 100? اگر شما یک دستگاه سوم اضافه کنید بعد با 100 کاربران, می تواند به شما در حال حاضر پشتیبانی 300 کاربران به طور همزمان?
با توازن بار شبکه اختصاصی مجازی, تمام دستگاه های فعال هستند. این به شما امکان می دهد مبلغ مجاز هر دستگاه را بگیرید و با هم جمع کنید تا حداکثر تعداد کاربرانی را که خوشه شما می تواند پشتیبانی کند تعیین کنید. برای این مثال به ترتیب 200 جلسه برای دو جلسه و 300 جلسه برای سه عنوان.
س. محدودیتی در تعداد وسایلی وجود دارد که می توانند در خوشه بندی متعادل کننده بار شرکت کنند?
الف) محدودیت سختی وجود ندارد. مهندسی تا ده گره را در یک خوشه تست می کند. گره های اضافی ممکن است کار, اما ما رسما پشتیبانی نمی کند که توپولوژی.
س. تعادل بار برای دستگاه امنیتی تطبیقی چگونه کار می کند?
الف) اساسا تعادل بار به این صورت عمل می کند:
* مذاکره فاز 1 بر روی استاد مجازی انجام می شود.
* یک بسته تغییر مسیر با دستگاه برده توسط استاد مجازی برای مشتری ارسال شده است.
* مشتری یک فاز جدید شروع خواهد شد 1 و 2 مذاکره بر روی دستگاه برده درست مثل یک اتصال به شبکه اختصاصی مجازی مستقل.
برای دسترسی از راه دور, بدون نیاز به راه اندازی هر مسیر دستی وجود دارد. وضعیت برای یک تونل مستقل و همچنین یک تونل هدایت شده متعادل کننده بار یکسان است. اساسا یک مسیر میزبان از نشانی اینترنتی اختصاص داده شده با اشاره به اینترنت عمومی دستگاه مشتری در رابط داخلی اسا نصب شده است. "نمایش مسیر" مسیر میزبان را نمایش می دهد. به دلیل این مسیر معکوس, رابط داخلی اسا به درخواست مشتری تحت شبکه اختصاص داده شده پاسخ می دهد و از این رو می تواند ترافیک را از یک سرور در شبکه داخلی به مشتری از طریق تونل برگرداند.
توازن بار برای مشتریان سخت افزار ایپسک/اس اس ال کار می کند (وی پی ان 3002, پیکس501, اسا 5505)حالت مشتری/پت و حالت فرمت شبکه(نم) و همچنین.
