Начинаю надеюсь серию публикаций по Вашим просьбам :)
Начну вкратце с новой фичи ASA 8.2 (пусть опять обвинят в рекламе :))
В крупных компаниях часто возникает ситуация, когда точек подключения шифрованных туннелей — несколько. Пользователь подключается к той железке, которая ему ближе (настроена по умолчанию, динамически выбирается). Раньше приходилось на каждую железяку покупать довольно много лицензий. Это была бы небольшая проблема, если бы лицензии стоили недорого. Но удобная технология SSLVPN у циски стоит дорого.
К тому же циска официально объявила тендецию к переводу всех на SSLVPN, вместо IPSec VPN.
В версии ОС 8.2 эта проблема была решена.
Появилась такая фича, как разделяемые лицензии (shared licenses). Их суть в том, что покупается одна пачка лицензий, о ней знает сервер лицензий (АСАшка). Остальные точки подключения (пока только АСАшки, но впоследствии и рутеры) по необходимости лезут на сервер лицензий и просят себе расширить квоту.
Итак, что мы имели: разрозненные АСАшки, на каждой N SSLVPN лицензий.
Что мы получаем при покупке разделяемых лицензий: общий бандл лицензий, совместно используемый всеми точками подключения. При этом купленные старые лицензии никуда не теряются: при наличии отдельных лицензий сначала используются они, и только потом идёт запрос на сервер лицензий за дополнительной квотой (запрашивается сразу 50 штук).
Таким образом железка позволит подключить к себе столько клиентов, на сколько хватает запаса лицензий на сервере лицензий, но не более чем максимальное кол-во SSLVPN туннелей, на которое рассчитана данная платформа.
Ограничения следующие:
ASA 5505 25
ASA 5510 250
ASA 5520 750
ASA 5540 2500
ASA 5550 5000
ASA 5580 10000
Дополнительно, для надёжности, можно выбрать одну АСАшку, как backup для сервера лицензий. Она будет синхронизировать базу данных лицензий с сервером и в случае падения сервера возьмет на себя его функции (но не дольше, чем на 5 дней)
Как это настроить.
Во-первых, надо купить необходимую лицензию для всех АСАшек, чтобы активировать фичу shared licenses. Вам пришлют новые activation-key и после их активирования станет доступной сама фича.
Во-вторых, надо купить необходимое кол-во лицензий (продаются пакетами по 500 штук при кол-ве 500-50000 лицензий, а далее до 545000 включительно пакетами по 5000 лицензий).
В-третьих надо настроить сервер лицензий
asa(config)# license-server secret [секретный ключ]
В-четвертых, надо настроить клиентов (т.н. stand-alone ASA)
asa(config)# license-server [address] secret [секретный ключ] port [#]
Где address — IP адрес сервера лицензий, port — TCP порт (по умолчанию — 50544)
Осталось включить фичу:
asa(config)# license-server enable [interface]
Дополнительно можно настроить одну из standalone ASA как backup сервер
На самом сервере:
asa(config)# license-server backup address [address] backup-id [serial-num] ha-backup-id [ha-serial-num]
Где backup-id — серийный номер запасной АСАшки,
hw-bachup-id — серийный номер активной железки в фейловерной паре, если в качестве backup выступает пара Active/Stanby failover
На запасной АСАшке надо включить прослушивание на интерфейсе
asa(config)# license-server backup enable [interface]
Посмотреть, что получилось, можно командами
asa# show shared license [backup|client|detail]
Пример:
5510-P(config)# show shared license
Shared license utilization:
SSLVPN:
Total for network: 200000
Available: 200000
Utilized: 0
This device:
Platform limit: 250
Current usage: 0
High usage: 0
Client ID Usage Hostname
XXXXXXXXXXX 0 5540-A
Работать это будет так:
1. При подключении нового SSLVPN соединения АСАшка проверит, есть ли у нее свободные её собственные лицензии и разрешит подключение, если есть.
2. Если нет лицензий, но настроен license-server, АСАшка пошлёт запрос на выделение новой квоты (50 штук). Такой же запрос она пошлёт и если осталось меньше 10 лицензий, взятых ранее с сервера.
3. Если у неё накопится более 60 свободных лицензий, то она отошлёт 50 штук обратно на сервер, дабы другие могли воспользоваться.
Начну вкратце с новой фичи ASA 8.2 (пусть опять обвинят в рекламе :))
В крупных компаниях часто возникает ситуация, когда точек подключения шифрованных туннелей — несколько. Пользователь подключается к той железке, которая ему ближе (настроена по умолчанию, динамически выбирается). Раньше приходилось на каждую железяку покупать довольно много лицензий. Это была бы небольшая проблема, если бы лицензии стоили недорого. Но удобная технология SSLVPN у циски стоит дорого.
К тому же циска официально объявила тендецию к переводу всех на SSLVPN, вместо IPSec VPN.
В версии ОС 8.2 эта проблема была решена.
Появилась такая фича, как разделяемые лицензии (shared licenses). Их суть в том, что покупается одна пачка лицензий, о ней знает сервер лицензий (АСАшка). Остальные точки подключения (пока только АСАшки, но впоследствии и рутеры) по необходимости лезут на сервер лицензий и просят себе расширить квоту.
Подробнее читаем под катом
Итак, что мы имели: разрозненные АСАшки, на каждой N SSLVPN лицензий.
Что мы получаем при покупке разделяемых лицензий: общий бандл лицензий, совместно используемый всеми точками подключения. При этом купленные старые лицензии никуда не теряются: при наличии отдельных лицензий сначала используются они, и только потом идёт запрос на сервер лицензий за дополнительной квотой (запрашивается сразу 50 штук).
Таким образом железка позволит подключить к себе столько клиентов, на сколько хватает запаса лицензий на сервере лицензий, но не более чем максимальное кол-во SSLVPN туннелей, на которое рассчитана данная платформа.
Ограничения следующие:
ASA 5505 25
ASA 5510 250
ASA 5520 750
ASA 5540 2500
ASA 5550 5000
ASA 5580 10000
Дополнительно, для надёжности, можно выбрать одну АСАшку, как backup для сервера лицензий. Она будет синхронизировать базу данных лицензий с сервером и в случае падения сервера возьмет на себя его функции (но не дольше, чем на 5 дней)
Как это настроить.
Во-первых, надо купить необходимую лицензию для всех АСАшек, чтобы активировать фичу shared licenses. Вам пришлют новые activation-key и после их активирования станет доступной сама фича.
Во-вторых, надо купить необходимое кол-во лицензий (продаются пакетами по 500 штук при кол-ве 500-50000 лицензий, а далее до 545000 включительно пакетами по 5000 лицензий).
В-третьих надо настроить сервер лицензий
asa(config)# license-server secret [секретный ключ]
В-четвертых, надо настроить клиентов (т.н. stand-alone ASA)
asa(config)# license-server [address] secret [секретный ключ] port [#]
Где address — IP адрес сервера лицензий, port — TCP порт (по умолчанию — 50544)
Осталось включить фичу:
asa(config)# license-server enable [interface]
Дополнительно можно настроить одну из standalone ASA как backup сервер
На самом сервере:
asa(config)# license-server backup address [address] backup-id [serial-num] ha-backup-id [ha-serial-num]
Где backup-id — серийный номер запасной АСАшки,
hw-bachup-id — серийный номер активной железки в фейловерной паре, если в качестве backup выступает пара Active/Stanby failover
На запасной АСАшке надо включить прослушивание на интерфейсе
asa(config)# license-server backup enable [interface]
Посмотреть, что получилось, можно командами
asa# show shared license [backup|client|detail]
Пример:
5510-P(config)# show shared license
Shared license utilization:
SSLVPN:
Total for network: 200000
Available: 200000
Utilized: 0
This device:
Platform limit: 250
Current usage: 0
High usage: 0
Client ID Usage Hostname
XXXXXXXXXXX 0 5540-A
Работать это будет так:
1. При подключении нового SSLVPN соединения АСАшка проверит, есть ли у нее свободные её собственные лицензии и разрешит подключение, если есть.
2. Если нет лицензий, но настроен license-server, АСАшка пошлёт запрос на выделение новой квоты (50 штук). Такой же запрос она пошлёт и если осталось меньше 10 лицензий, взятых ранее с сервера.
3. Если у неё накопится более 60 свободных лицензий, то она отошлёт 50 штук обратно на сервер, дабы другие могли воспользоваться.
