文章导航绿软下载站软件下载安卓资源苹果资源专题

您当前所在位置:首页路由交换思科技术 → ASA VPN load-balancing配置案例-方法以及原理

ASA VPN load-balancing配置案例-方法以及原理

时间:2015/6/28来源:IT猫扑网作者:网管联盟我要评论(0)

vpn load-balancing(VCA)(PIX 7.0不支持,只有ASA5520以及以上支持)(不支持A/A)

vpn load-balancing仅对下列client的远程初始化会话有效(仅对remote vpn以及easy vpn能够提供负载)
• Cisco VPN Client (Release 3.0 and later)
• Cisco VPN 3002 Hardware Client (Release 3.5 or later)
• Cisco PIX 501/506E when acting as an Easy VPN client.
Load balancing works with both IPSec clients and WebVPN sessions. All other clients, including
LAN-to-LAN connections, can connect to a security appliance on which load balancing is enabled, but
they cannot participate in load balancing.

原理
VCA需要建立一个远端所连接的虚拟IP地址,簇的主设备将处理这个初始的连接,检查簇成员的负载,并且发回一个簇成员中负荷最低的成员物理IP地址,远端将接着连接到这个物理IP地址,如果一个簇中的一个成员失效了,远端应当能够使用DPD快速的发现这个问题,然后重新连接到这个虚拟IP地址上,从而能够重新被重定向到簇中的另外一个成员上
注意!!!ASA必须允许VCA消息udp9023在任何含有ACL的接口商通过,而且ASA必须要有一个活动的3DES/AES的许可,如果没有,任何已经在ASA上建立的VCA配置都会被忽视
在ASA上建立VCA包括一下命令
asa(config)#vpn load-balancing
asa(config-load-balancing)#cluster ip address virtual_ip_address
asa(config-load-balancing)#cluster port port_#
asa(config-load-balancing)#cluster encryption
asa(config-load-balancing)#cluster key shared_secret_key
asa(config-load-balancing)#interface {lbprivate|lbpublic} locgical_interface_name
asa(config-load-balancing)#nat ip_address
asa(config-load-balancing)#priority priority_#
asa(config-load-balancing)#participate


cluster ip address virtual_ip_address---定义一个虚拟IP.远端设备将使用这个地址作为EASYVPN的服务器地址
cluster port port_#---负载均衡的默认端口号是udp 9023,可以使用这个命令改,改的话所有成员都需要改
cluster encryption---默认所有簇成员之间发送的VCA消息时明文的,这个命令启动了VCA加密
cluster key shared_secret_key---配置用来加密消息的加密密钥
interface {lbprivate|lbpublic} locgical_interface_name---指定ASA上那个接口应到和lbprivate以及那个接口和lbpublic关联
nat ip_address---只在如果一台NAT设备位于粗和远端用户之间时才用,它指定的ASA公网接口的地址
priority priority_#----指定哪台设备被选举委ACTIVE,数字越高越优先,5520默认是5,5540默认是7
participate---启动负载均衡
案例
远程需要连接到192.1.1.3,默认情况下ASA1将处理
ASA1
interface g0/1
ip address 192.1.1.1 255.255.255.0
nameif public
security-level 0

interface g0/2
ip address 192.168.1.1 255.255.255.0
nameif private
security-level 100

asa(config)#vpn load-balancing
asa(config-load-balancing)#cluster ip address 192.1.1.3
asa(config-load-balancing)#cluster encryption
asa(config-load-balancing)#cluster key 123cisco
asa(config-load-balancing)#interface lbprivate private
asa(config-load-balancing)#interface lbpublic public
asa(config-load-balancing)#priority 10
asa(config-load-balancing)#participate


ASA2
interface g0/1
ip address 192.1.1.2 255.255.255.0
nameif public
security-level 0

interface g0/2
ip address 192.168.1.2 255.255.255.0
nameif private
security-level 100

asa(config)#vpn load-balancing
asa(config-load-balancing)#cluster ip address 192.1.1.3
asa(config-load-balancing)#cluster encryption
asa(config-load-balancing)#cluster key 123cisco
asa(config-load-balancing)#interface lbprivate private
asa(config-load-balancing)#interface lbpublic public
asa(config-load-balancing)#participate

关键词标签:VPN

相关阅读

文章评论
发表评论

热门文章 网捷(Foundry)网络公司交换机的命令网捷(Foundry)网络公司交换机的命令IPV4 静态路由 IPV4 Static RouteIPV4 静态路由 IPV4 Static RouteQoS中的限速QoS中的限速路由交换操作系统备份与升级路由交换操作系统备份与升级

相关软件

人气排行 cisco3560三层交换机vlan间路由配置实例使用Cisco Packet Tracer之图解PDUs的使用如何清除交换机配置?网捷(Foundry)网络公司交换机的命令使用Cisco Packer Trace之三层交换机+路由器共享上网清除cisco交换机配置CISCO交换机实现IP地址与MAC地址绑定Cisco access-list 访问控制列表配置全解