Картинка

БЛОГ про

все цікаве у світі телекомунікацій

Оптимізація хмарних сервісів в AnyConnect VPN тунелі на Cisco ASA

2020-03-27
Автор: Телесфера

Багато компаній переходять на використання хмарних сервісів в своєму бізнесі по всьому світу, це і офісні додатки, сервіси BigData, чат/відео/аудіо комунікація з метою проведення мітингів/навчання і багато інших. Однак з огляду на масове переведення на віддалену роботу співробітників так чи інакше потрібно отримувати доступ до корпоративної мережі (якщо звичайно замовник не повністю працює на хмарній платформі), для того щоб зробити доступ безпечним, як правило, використовуються сервіси типу Remote-Access VPN.

Класично такі сервіси можуть або повністю направляти весь трафік віддаленого клієнта в VPN тунель, або вибірково направляти або виключати з тунелю трафік грунтуючись на IPv4/IPv6 підмережах.

Багато безпечників вирішать, що найбільш оптимальним було б використовувати опцію повного тунелювання (tunnelall) трафіку для повного контролю за всім трафіком користувача в момент підключення до корпоративної мережі і відсутністю можливості паралельного виводу даних через неконтрольоване інтернет-з'єднання. Однак є й інша чаша вагів ...

  • Як організувати файлообмін Box/Dropbox/SharePoint безпосередньо в хмару зі швидкістю домашнього каналу інтернет, минаючи повільний корпоративний VPN?
  • Як організувати з'єднання Webex/Skype безпосередньо з абонентом, не проводячи його через HQ VPN-шлюз, створюючи затримки зв'язку і знижуючи якість зв'язку?
  • Як змусити тільки певні хмарні сервіси працювати поза VPN тунелем, щоб користувач їх використовував безпосередньо через домашній інтернет і контролювати інші не довірені служби централізовано?
  • Як ефективно знизити навантаження на VPN-шлюз не проводячи через нього трафік довірених хмарних додатків?

З початком масового використання віддаленого доступу у багатьох замовників почалася перевантаження VPN-шлюзів, які не були розраховані на таку хвилю використання при їх проектуванні і будь-який додатковий трафік від клієнтів може запросто перевантажити можливості перевантаженого VPN-шлюзу, таким чином, компанії починають селективно підходити до питання вибору направляємих сервісів в VPN. З іншого боку направляючи весь трафік додатків в VPN, ми:

  • Тунелюємо трафік вже довірених додатків (наприклад Office365, Webex і т.д.)
  • Створюємо часом критичні затримки у клієнта при спілкуванні через сервіси спільного спілкування (Webex, Skype, Jabber і т.д.), які  використовують аудіо/відео потоки критичні до затримок і втрат.

Таким чином ми навантажуємо VPN шлюз абсолютно не потрібним трафіком на шкоду загальній продуктивності шлюзу і якості роботи додатків.

Нам хочеться виключити дані сервіси з тунелювання VPN, але тут встає делемма:

  • безліч хмарних сервісів може хоститься на одній і тій самій IP адресі і не виходить селективно вибрати один сервіс по IP;
  • IP адреси хостингу можуть змінюватися якщо навіть не кожен день, то іноді і кілька разів за день.

Потрібен більш гнучкий спосіб динамічного виключення з тунелю трафіку даних додатків і для вирішення цієї проблеми я б хотів розповісти про функцію Dynamic Split Tunneling, доступну в тому вигляді про який я буду розповідати, починаючи з версії Cisco AnyConnect 4.6 і шлюзом VPN ми використовуємо Cisco ASA.

Функція Dynamic Split Tunneling надає можливість динамічно як додавати, так і виключати з VPN-тунелювання певний трафік, грунтуючись на домені приналежності.

Як це працює.

Ви налаштовуєте на стороні Cisco ASA список доменів для включення/виключення тунелювання і призначаєте цей список як атрибут AnyConnect на цікаву для Вас Group-Policy. Після з'єднання, VPN клієнт скачує дану настройку та при отриманні звернення на домен зі списку резолвіт його (отримує відповідно список IP адрес на запитуваний домен) і динамічно переписує таблицю маршрутизації хоста для включення/виключення трафіку в тунель.

Як це налаштовується

1. Задаємо атрибут AnyConnect, який буде використовувати для виключення трафіку

!

ASA(config)# webvpn

ASA(config-webvpn)#

anyconnect-custom-attr dynamic-split-exclude-domains description dynamic-split-exclude-domains

!

2. Налаштовуємо списки доменів для потрібного нам сценарію фільтрації, я навів приклад кількох списків спираючись на документацію виробників для сервісів (MS Skype for Business, MS Exchange Online, MS Sharepoint Online, MS O365, Cisco AMP for Endpoints, Cisco Webex) (в одній Group-Policy можна використовувати тільки один список! один список не може перевищувати 510 символів):

  • Вимоги для Microsoft сервісів;
  • Вимоги для Cisco AMP;
  • Вимоги для Cisco Webex Teams і Cisco Webex Meetings

!

ASA(config)# anyconnect-custom-data dynamic-split-exclude-domains SKYPE skype.com, lync.com, teams.microsoft.com, skypeforbusiness.com

!

ASA(config)# anyconnect-custom-data dynamic-split-exclude-domains EXCHANGE-ONLINE outlook.office.com, outlook.office365.com, smtp.office365.com, outlook.com, office.com

!

ASA(config)# anyconnect-custom-data dynamic-split-exclude-domains SHAREPOINT-ONLINE sharepoint.com

!

ASA(config)# anyconnect-custom-data dynamic-split-exclude-domains O365 online.office.com, officeapps.live.com, msappproxy.net, msftidentity.com, account.activedirectory.windowsazure.com, windows.net, microsoftonline.com, autologon.microsoftazuread-sso.com, microsoftonline-p.net, graph.microsoft.com, graph.windows.net, login.microsoft.com, login.windows.net, office.com, cloudappsecurity.com, admin.microsoft.com

!

ASA(config)# anyconnect-custom-data dynamic-split-exclude-domains CISCO-AMP amp.cisco.com, amp.sourcefire.com, panacea.threatgrid.com, panacea.threatgrid.eu

!

ASA(config)# anyconnect-custom-data dynamic-split-exclude-domains CISCO-WEBEX wbx2.com, webex.com, ciscospark.com, webexcontent.com, activate.cisco.com, webapps.cisco.com, accompany.com, huron-dev.com, sparkpostmail1.com, giphy.com, safebrowsing.googleapis.com, walkme.com, s3.walkmeusercontent.com, speech.googleapis.com, texttospeech.googleapis.com, crashlytics.com, eum-appdynamics.com, amplitiude.com, segment.com, segment.io

!

Я для прикладу буду використовувати список для Webex, AMP і Skype

!

ASA(config)# anyconnect-custom-data dynamic-split-exclude-domains CLOUD-SERVICES webex.com, wbx2.com, webexcontent.com, amp.cisco.com, amp.sourcefire.com, panacea.threatgrid.com, panacea.threatgrid.eu, skype.com, lync.com, teams.microsoft.com, skypeforbusiness.com

!

Хочу окремо відзначити, що для сервісів, що використовують динамічні імена для доменів нижнього рівня, можна просто додати в список домен верхнього рівня. Наприклад, якщо в списку фігурує webex.com, то і cisco.webex.com також підпаде в фільтр.

3. Призначаємо налаштований список на Group-Policy, що нас цікавить:

!

ASA(config)# group-policy ASHES-VPN attributes ASA(config-group-policy)# anyconnect-custom dynamic-split-exclude-domains value CLOUD-SERVICES

!

4. З'єднуємось через VPN, клієнт скачує нову настройку і вуаля, ми акуратно вивели хмарні сервіси з під VPN!

  • Подивимось як зміниться таблиця маршрутизації хоста після підключення VPN і спроби звернення до сервісу у вийнятку:

  • Подивимось як відпрацює фільтр по домену верхнього рівня webex.com при запиті на cisco.webex.com:

  • Подивимося як зміниться трасування для виключеного сервісу в порівнянні з рештою, що йдуть в tunelall політику:

Резюмуючи хочеться окремо відзначити, що за прості чотири (три) крокb віддалені співробітники використовують Office365 безпосередньо з хмари, Skype і Webex виклики йдуть безпосередньо без затримок і Ви різко знизили навантаження на VPN-шлюз виключивши з тунелю довірені хмарні додатки. Крім цього дана технологія дає можливість і динамічно включати тунелювання за тим же принципом.

Всім міцного здоров'я!

Джерело: https://habr.com/ru/company/cisco/blog/493774/


Про компанію Телесфера Інтеграція.

Телесфера Інтеграція заснована в 2012 році та являється інтегратором новітніх технологічних рішень для бізнесу.  Ми розробляємо рішення, що роблять Ваш бізнес успішним.

Основні напрямки роботи компанії:

  • Побудова локальних обчислювальних мереж;
  • Налаштування мережевого обладнання передових виробників (Cisco Systems, Aruba Networks та інших);
  • Продаж телекомунікаційного обладнання;
  • Аудит локальних обчислювальних мереж;

e-mail: office@telesphera.net
Телефон: (093) 198-11-82

КОММЕНТАРІ ДО СТАТТІ

Нові рішення Cisco допоможуть малому бізнесу в умовах «нової нормальності»

Нові рішення Cisco допоможуть малому бізнесу в умовах «нової нормальності»
Cisco,cisco,cisco безпека,новини,Продуктивність,Послуги Телесфера Інтеграція,Налаштування Cisco

Наступного тижня на конференції CiscoLive!, яка вперше проведиться в онлайн форматі, Cisco представить нові продукти для портфоліо Cisco Designed, покликані допомогти в рішенні п'яти ключових технологічних проблем малого бізнесу та допомогти повернутися до нормального функціонування після зняття карантинних заходів.

Ієрархічна модель мережі від Cisco

Ієрархічна модель мережі від Cisco
Cisco,Cisco Network,cisco,Блог Телесфера,Налаштування Cisco,Продуктивність

3-рівнева ієрархічна модель Cisco націлена на побудову надійної, масштабованої і високопродуктивної мережевої конструкції. Цей високоефективний мережевий ієрархічний підхід забезпечує економічний, модульний, структурований і простий метод (забезпечує нескладний і однаковий проект) для задоволення існуючих і майбутніх потреб зростання мережі. Кожен з рівнів має свої особливості і функціональність, що ще більше спрощує мережі.

Навіщо Штучний Інтелект при впровадженні Wi-Fi 6?

Навіщо Штучний Інтелект при впровадженні Wi-Fi 6?
Cisco,cisco,cisco безпека,Налаштування Cisco,Cisco Network,Wi-Fi,Блог Телесфера

Плануючи перехід до Wi-Fi6 важливо почати з тих зон, де можливості Wi-Fi 6 істотно поліпшать продуктивність мережі і якість підключення користувача. У цьому нам допоможе Штучний Інтелект/Машинне Навчання (ШІ/МН), впроваджені в Cisco DNA Center - центр управління мережею. ПЗ ШІ/МН спостерігає за конфігураціями, збирає телеметрію і дозволяє робити цікаві вимірювання за користувачами, пристроями і додатками. Алгоритми МН роблять складну кореляцію подій і дозволяють оцінити ситуацію з урахуванням контексту, допомагаючи вирішити конкретні завдання.