Giải pháp cân bằng tải cho VPN Client-to-Site

Thảo luận trong 'Firewall Cisco Meraki' bắt đầu bởi ConGaithtot, 25/6/24.

  1. ConGaithtot

    ConGaithtot New Member

    - Khi nhu cầu truy cập từ xa liên tục gia tăng, quản trị viên có thể cần xem xét các cách để mở rộng số lượng lớn người dùng hoặc chia tải VPN Client giữa nhiều thiết bị Meraki MX. Sau đây là hai cách để mở rộng quy mô người dùng và chia tải kết nối Client VPN.

    Phân phối tải qua nhiều địa điểm:
    [​IMG]
    - Nếu bạn có nhiều thiết bị Bảo mật & SD-WAN Meraki MX, bạn có thể chia các người dùng qua các vị trí địa lý khác nhau. Người dùng đơn giản kết nối tới các địa điểm vật lý khác nhau để truy cập được vào mạng doanh nghiệp. Việc này cho phép chia tải qua nhiều thiết bị MX thay vì kết nối truyền thông tới một VPN Server/Meraki MX, tuy nhiên mỗi thiết bị cuối sẽ cần được cấu hình để trỏ tới thiết bị MX mà chúng ta sẽ kết nối tới.

    - Hãy chú ý bạn cũng phải cần phải xử lý vấn đề nghẽn cổ chai tại "site chính" nếu tất cả các người dùng cùng lúc truy cập vào các tài nguyên ở trụ sở (vd. Datacenter hoặc Trụ sở).
    Phân phối tải qua với nhiều Hub:

    - Mô hình này truyền thống hơn nhưng có một chút thay đổi. Điều này yêu cầu triển khai bộ cân bằng tải DNS để chia tải các yêu cầu VPN Client giữa các thiết bị MX với nhau. Hiện nay có rất nhiều giải pháp cân bằng tải DNS, ví dụ như: AWS Route 53, Azure Traffic Manager, StackPath… hãy chọn giải pháp phù hợp với mô hình của bạn.
    [​IMG]
    - Các thiết bị đầu cuối sẽ được cấu hình kết nối với VPN Client bằng hostname được cấu hình trên DNS cân tải, thiết bị này sẽ cần phải biết các IP của mỗi MX. Khi các user kết nối tới VPN Client, thiết bị cân tải sẽ phân chia các yêu cầu giữa MX A, MX B và MX C, điều này lý tưởng cho các mô hình triển khai có số lượng user rất lớn.
     
    ConGaithtot, 25/6/24
    #1
  2. boybn1994

    boybn1994 New Member

    Cân bằng tải với AnyConnect VPN và Meraki MX (SSL VPN)
    -------------------------------

    - Cân chia tải là yêu cầu khi có nhiều người dùng hơn mức mà một thiết bị Meraki MX có thể hỗ trợ, ngoài việc cung cấp khả năng dự phòng và tối ưu hiệu suất. Hướng dẫn này mô tả cách bạn có thể cân bằng tải giữa các thiết bị MX khi sử dụng certificate riêng (Custom Certificates) hoặc certificate được tạo tự động (Auto-generated) được Meraki hỗ trợ. Tất cả các mô hình trong bài viết này đều dựa trên thiết kế Active-Active.

    - Bảng bên dưới đây cho biết số lượng phiên AnyConnect VPn tối đa hỗ trợ trên mỗi MX model.
    [​IMG]
    - Khai cài đặt cân chia tải, phương thức certificate AnyConnect Server được sử dụng rất quan trong tới thiết kế của bạn và sẽ xác định những gì có thể đạt được.

    Cân bằng tải với certificate được tạo tự động (Auto-generated):
    - Lợi ích chính của việc sử dụng được tạo tự động là DNS và việc đăng ký/gia hạn public certificate do Meraki quản lý. Giới hạn của tùy chọn là này là bạn không thể tùy chỉnh toàn bộ AnyConnect Server hostname của bạn. Bạn cũng không thể sử dụng một thiết bị cân bằng tải phía trước tường lửa Meraki MX để giúp quản lý các kết nối. Tùy chọn này là phương án Server certificate tự tạo mặc định.
    [​IMG]
    - Ví dụ, Meraki MX250 có thể hỗ trợ tới 1000 phiên kết nối AnyConnect. Giả sử bạn cần hỗ trợ kết nối cho 1000 người dùng từ xa. Thì bạn nên triển khai 2 thiết bị MX250. Trong mô hình này nếu bạn hư mất một MX250, bạn vẫn có thể xử lý 1000 session trước khi dịch vụ trên thiết bị MX lỗi được khôi phục.
    [​IMG]
    Cấu hình Server:
    • Thiết bị MX nên được cài đặt trong chế độ Routed hoặc VPN Concentrator
    • Server Certificate Generation Method : lựa chọn "Auto-generated"
    Cấu hình Client:
    • AnyConnect Profile 1 với Server 1 [Primary]Server 2 [Backup] cho một user group.
    • AnyConnect Profile 1 với Server 2 [Primary]Server 1 [Backup] cho một user group khác.
    • Đẩy các profile này tới các group user tương ứng.
    Quá trình hoạt động:
    - Tất cả người dùng sẽ kết nối với Primary Server tương ứng của họ. Khi Primary Server bị lỗi, AnyConnect Client sẽ tự động kết nối chúng với Backup Server. Những thông tin xác thực sẽ được yêu cầu từ người dùng để hoàn tất xác thực với Backup Server.

    Cân bằng tải với Custom certificate:
    - Lợi ích chính của việc sử dụng Custom Certificate là bạn có thể thay đổi hostname của mình (vd: xyz.com). Bạn cũng có thể ký certificate với một alias (tên thay thế chủ đề) mà cho phép bạn sử dụng một thiết bị cân bằng tải phía trước thiết bị MX nhằm giúp quản lý các kết nối tới AnyConnect Server của bạn. Chú ý rằng bạn sẽ cũng phải có quyền để quản lý bản ghi "DNS record" và renew lại certificate ghi chúng hết hạn.
    [​IMG]
    - Trong ví dụ dưới đây, thiết bị Cisco Meraki MX450 có thể hỗ trợ lên đến 1500 phiên kết nối AnyConnect. Giả sử bạn cần hỗ trợ lên tới khoảng 3000 remote user. Hãy triển (3) thiết bị MX450. Trong trường hợp bạn bị hư mất một MX450, bạn vẫn có khả năng để xử lý 3000 phiên trước khi hệ thống được khôi phục lại hoàn toàn.
    [​IMG]
    Cấu hình Server:
    • Thiết bị MX nên được cài đặt trong chế Routed hoặc VPN Concentrator
    • Server Certificate Generation Method : lựa chọn "Custom"
      • Tạo một CSR (Certificate Signing Request) với 'Subject Alt Name' giống với hostname của thiết bị cân bằng tải (vd: vpn.abc.com).
      • Common Name : nên đặt thành tên của AnyConnect Server riêng biệt.
      • Tải Certificate đã được ký lên.
    [​IMG]
    Cấu hình Client:
    • AnyConnect profile với 'vpn.abc.com' là hostname của VPN Server.
    Quá trình hoạt động:
    - Khi các user thực hiện kết nối, với DNS cân bằng tải sẽ trả về địa chỉ IP của Server gần nhất cho user. Các yêu cầu kết nối sẽ được chia sẻ qua các Server đang sẵn sàng tùy vào thiết bị cân bằng tải của bạn làm việc.


    --- Cám ơn các bạn đã xem bài viết ---
     
    boybn1994, 26/6/24
    #2

trang này