مرجع تنفيذ AnyConnect والأداء/التطوير للاستعداد لكوفيد-19
المحتويات
المقدمة
في الوقت الذي تكافح فيه البلدان حول العالم جائحة كوفيد-19 العالمية، يقوم المزيد والمزيد من الشركات بتطبيق سياسات العمل عن بعد لمنع انتشار المرض. ونتيجة لذلك، هناك طلب متزايد على شبكة VPN للوصول عن بعد (RAVPN) لتوفير إمكانية وصول الموظفين إلى الموارد الداخلية للشركة. توفر هذه المقالة مراجع إلى أدلة التكوين لإعداد RAVPN بسرعة داخل الشبكة أو تحديد الأداء وعنوانه أو قياس المشاكل ذات الصلة.
التنفيذ
يوضح القسم التالي تفاصيل تكوين الوصول عن بعد من AnyConnect وعمليات النشر على الأنظمة الأساسية المختلفة من Cisco، بالإضافة إلى أدلة تثبيت الشهادات نظرا لأن نشر الشهادة يعد جزءا مكملا للوصول عن بعد من Cisco نظرا لمتطلبات مصادقة الشهادة ل RAPN.
الترخيص
مطلوب التراخيص لإنهاء إتصالات RAVPN على الجهاز. لن تدعم أنظمة ASA الأساسية سوى نظامي VPN بدون ترخيص. لن يسمح FTDs بنشر تكوين AnyConnect على الجهاز دون ترخيص. نظرا لتفشي فيروس كورونا، توفر Cisco تراخيص مؤقتة مجانية لمساعدة المستخدمين في تنفيذ WAPn على أجهزة Cisco الخاصة بهم. يمكن الحصول على مزيد من المعلومات حول هذا الأمر: الحصول على ترخيص AnyConnect للطوارئ في حالات كوفيد-19
أدلة البدء السريع للتكوين الأولي AnyConnect
اتبع أدلة البدء السريع هذه لتنفيذ الوصول عن بعد إلى AnyConnect باستخدام التكوينات الأكثر شيوعا:
- تكوين AnyConnect Secure Mobility Client باستخدام الاتصال النفقي المقسّم على ASA
- تكوين AnyConnect Remote Access VPN على FTD
- تكوين AnyConnect الأولي ل FTD الذي تتم إدارته بواسطة FMC (فيديو)
للحصول على أدلة تهيئة المنتج بالكامل، انظر أدناه.
أدلة التكوين الكامل
ASA:
برنامج FTD:
IOS/IOS-XE:
أدلة تثبيت الشهادات
مشاكل في الأداء والتطوير
مع الزيادة الكبيرة في إستخدام الشبكة المحلية اللاسلكية (WAPN)، قد يواجه مستخدمو AnyConnect مشاكل في الأداء. انظر ما يلي لتحديد كيفية تحديد هذه القضايا واستراتيجيات التخفيف من حدتها.
أعراض المشكلة والتعرف عليها
إستخدام عال لوحدة المعالجة المركزية
يؤثر إستخدام وحدة المعالجة المركزية (CPU) بشكل مباشر على أداء مستخدمي الشبكة الخاصة الظاهرية (VPN). سيزداد إستخدام وحدة المعالجة المركزية (CPU) حيث تتم معالجة المزيد من حركة المرور المشفرة أو التي تم فك تشفيرها بواسطة الجهاز. يمكن أن يواجه الجهاز معالجة عالية لوحدة المعالجة المركزية (CPU) عندما يقترب النظام الأساسي من الحد الأقصى لسعة معالجة الشبكة الخاصة الظاهرية (VPN) التي يمكنه معالجتها. من الضروري تحديد ما إذا كان إستخدام وحدة المعالجة المركزية (CPU) المرتفع يرجع إلى زيادة اشتراك الجهاز أو إلى وجود مشكلة أخرى.
للتحقق من ما إذا كان الجهاز يواجه وحدة معالجة مركزية (CPU) عالية، يقترح تشغيل الأوامر التالية:
إظهار إستخدام وحدة المعالجة المركزية (CPU) غير صفري
إظهار إستخدام وحدة المعالجة المركزية
مثال الإخراج:
asa# show processes cpu-usage non-zero PC Thread 5Sec 1Min 5Min Process 0x00000000019da592 0x00007fffd808b040 0.0% 0.0% 0.5% Logger 0x0000000000844596 0x00007fffd807bd60 0.0% 0.0% 0.1% CP Processing 0x0000000000c0dc8c 0x00007fffd8074960 0.1% 0.1% 0.1% ARP Thread - - 43.8% 43.8% 40.3% DATAPATH-0-2209 - - 43.9% 43.8% 40.3% DATAPATH-1-2210 asa# show cpu usage CPU utilization for 5 seconds = 88%; 1 minute: 88%; 5 minutes: 82%
في المثال المذكور أعلاه، يلاحظ أن DataPath-0 و DataPath-1 يستهلكان 87.7٪ من إجمالي إستخدام وحدة المعالجة المركزية. في هذه الحالة، ASA هو مشترك زائد وهو ضروري لتحديد ما إذا كان هذا العرض بسبب كمية كبيرة من حركة المرور المشفرة والمفك تشفيرها. ويمكن بعد ذلك وضع معايير مرجعية لذلك مقابل قيمة سعة معالجة الشبكة الخاصة الظاهرية (VPN) الموثقة في ورقة البيانات الخاصة بالنظام الأساسي المذكور.
لحساب المقدار الإجمالي لحركة مرور VPN التي تمر عبر الجهاز في الثانية، يمكننا إضافة وحدات بايت الإدخال ووحدات بايت الإخراج داخل قسم الإحصائيات العامة الموجود في الأمر show crypto accelerator statistics. على ASA أو FTD، امسح الإخراج عرض إحصائيات مسرع التشفير باستخدام الأمر مسح إحصائيات مسرع التشفير. انتظر لمدة زمنية معينة، ثم قم بتشغيل الأمر: إظهار إحصائيات مسرع التشفير كما هو موضح في ما يلي:
asa# show crypto accelerator statistics Crypto Accelerator Status ------------------------- [Capability] Supports hardware crypto: True Supports modular hardware crypto: False Max accelerators: 2 Max crypto throughput: 1000 Mbps Max crypto connections: 5000 [Global Statistics] Number of active accelerators: 2 Number of non-operational accelerators: 0 Input packets: 257353 Input bytes: 271730225 <---------------- Output packets: 2740 Output error packets: 0 Output bytes: 57793 <---------------- […]
خذ بعض اللقطات على فواصل زمنية محددة واحصل على معدل إخراج بالبايت يمكن تحويله إلى وحدات بت في الثانية (بت في الثانية). الصيغة للقيام بذلك هي:
في المثال السابق، يتم إصدار أمر إحصائيات مسرع التشفير الواضح في الوقت 0 ثوان. بعد 10 ثانية، تم إصدار أمر show crypto accelerator statistics للحصول على إجمالي وحدات البايت عبر الفاصل الزمني 10 ثانية. بعد ذلك يتم إستخدام هذه القيم لحساب bps مقداره 217 ميجابت في الثانية التي تمت معالجتها عبر فاصل زمني مقداره 10 ثانية. قد يلزم أخذ لقطات متعددة للحصول على متوسط أكثر دقة.
لاحظ أن هذه القيم ستزداد لجميع حركة المرور المشفرة/التي تم فك تشفيرها (HTTPS، SSL، IPsec، SSH، وما إلى ذلك). يمكننا إستخدام هذه القيمة لتحديد معدل خرج الشبكة الخاصة الظاهرية (VPN) ومقارنته بصفحة البيانات. إذا كان معدل الخرج هو تقريبا نفس المقدار كما هو معروض في صحيفة البيانات للنظام الأساسي، فإن اشتراك الجهاز الزائد يتم عن الحد بواسطة حركة مرور مشفرة وغير مشفرة.
وبالإضافة إلى ذلك، لا يمكن إستخدام هذه الطريقة لتحديد سعة معالجة شبكة VPN على الأنظمة الأساسية FirePOWER 2100 نظرا لعدم زيادة العدادات لحركة مرور VPN. يتم تعقب هذا في CSCvt46830 
.
الحد الأقصى لاتصالات VPN
عند الوصول إلى الحد الأقصى لعدد إتصالات الشبكة الخاصة الظاهرية (VPN)، قد يواجه المستخدمون فترات من التعطيل حيث لا يستطيعون الاتصال. على الرغم من أن تنشيط ترخيص AnyConnect Plus أو Apex يقوم بإلغاء تأمين الحد الأقصى لعدد أقران VPN، إذا تم الوصول إلى هذا الحد الأقصى، لن يتم السماح للمستخدمين الإضافيين على الجهاز.
للتحقق من الحد الأقصى لمقدار إتصالات VPN المتاحة على الجهاز، تحقق من إخراج show vpn-sessiondb:
asa# show vpn-sessiondb
---------------------------------------------------------------------------
VPN Session Summary
---------------------------------------------------------------------------
Active : Cumulative : Peak Concur : Inactive
----------------------------------------------
AnyConnect Client : 10 : 218 : 11 : 0
SSL/TLS/DTLS : 10 : 218 : 11 : 0
Clientless VPN : 0 : 73 : 4
Browser : 0 : 73 : 4
---------------------------------------------------------------------------
Total Active and Inactive : 10 Total Cumulative : 291
Device Total VPN Capacity : 250
Device Load : 4%
---------------------------------------------------------------------------
---------------------------------------------------------------------------
Tunnels Summary
---------------------------------------------------------------------------
Active : Cumulative : Peak Concurrent
----------------------------------------------
Clientless : 0 : 73 : 4
AnyConnect-Parent : 10 : 218 : 11
SSL-Tunnel : 10 : 77 : 10
DTLS-Tunnel : 10 : 65 : 10
---------------------------------------------------------------------------
Totals : 30 : 433
---------------------------------------------------------------------------
لتحديد إجمالي عدد المستخدمين المدعومين من قبل النظام الأساسي، راجع ورقة البيانات لمعرفة اسم الجهاز الخاص بك الموجود أدناه.
إذا لم يكن مستخدمو الشبكة الخاصة الظاهرية (VPN) قادرين على الاتصال وقمت بالتحقق من أن الجهاز لا يصل إلى الحد الأقصى لعدد مستخدمي الشبكة الخاصة الظاهرية (VPN)، فيرجى طلب مساعدة إضافية من TAC.
مراجع ورقة البيانات
تلقي أوراق البيانات التالية الضوء على كل من الحد الأقصى لعدد مستخدمي الشبكة الخاصة الظاهرية (VPN) الذين يدعمهم نظام أساسي والحد الأقصى لسعة معالجة الشبكة الخاصة الظاهرية (VPN) استنادا إلى الاختبار. من المتوقع أن يكون لكل من IKEv2 و DTLS AnyConnect إجمالي (مجمع) مماثل لإجمالي سعة معالجة VPN لبروتوكول IPsec المدرج في كل قسم.
تخفيف محتمل
تمكين الاتصال النفقي للتقسيم
بشكل افتراضي، ستقوم سياسات المجموعة على ASA و FTD بتنفيذ tunnelall. هذا سيرسل كل حركة المرور التي تم إنشاؤها بواسطة عملاء RA عبر شبكة VPN لتتم معالجتها بواسطة وحدة الاستقبال والبث. ونظرا لأن تشفير الحزمة وفك تشفيرها متعلقان مباشرة باستخدام وحدة المعالجة المركزية، فمن المهم التأكد من معالجة حركة المرور الضرورية فقط بواسطة وحدة الاستقبال والبث الخاصة بالشبكة الخاصة الظاهرية (VPN) كما هو مسموح به من قبل نهج الأمان للشركة. فكر في إستخدام سياسة تقسيم النفق بدلا من النفق الكامل لحفظ وحدة الاستقبال والبث الخاصة بالشبكة الخاصة الظاهرية (VPN) من الحمل غير الضروري.
ملاحظة: يقوم Tunnel All بتنفيذ سياسة أمان المعلمة على مستوى الشركة بينما يعتمد تقسيم الاتصال النفقي على جهاز العميل للمساعدة في حماية حركة مرور المستخدم على الإنترنت. توفر Cisco أداة أمان إضافية مثل Umbrella لحماية مستخدمي VPN عند إستخدام سياسة نفق تقسيم.
تنفيذ موازنة حمل VPN (ASA فقط)
موازنة حمل VPN هي ميزة مدعومة على أنظمة ASA الأساسية التي تتيح نقطتي ASA أو أكثر إمكانية مشاركة حمل جلسة VPN. إذا كان كلا الجهازين يدعم أقران للشبكة الخاصة الظاهرية (VPN) طراز 500، من خلال تكوين موازنة أحمال الشبكة الخاصة الظاهرية (VPN) فيما بينهم، فسيقوم الجهاز بدعم إجمالي 1000 نظير للشبكة الخاصة الظاهرية (VPN) فيما بينهم. يمكن إستخدام هذه الميزة لزيادة عدد مستخدمي شبكات VPN المتزامنة بما يتجاوز ما يمكن لأي جهاز واحد معالجته. يمكن العثور على مزيد من المعلومات حول موازنة حمل الشبكة الخاصة الظاهرية (VPN) بما في ذلك خوارزمية موازنة التحميل هنا: موازنة حمل الشبكة الخاصة الظاهرية (VPN)
تحسين التكوين
ستزيد الخدمات الإضافية التي تم تمكينها على النظام الأساسي من مقدار المعالجة والتحميل على الجهاز. على سبيل المثال، IPS، فك تشفير SSL، NAT، إلخ. فكر في تكوين الجهاز كمركز VPN الذي ينهي جلسات VPN فقط.
تحديد بروتوكول النفق
وبشكل افتراضي، يتم تكوين سياسات المجموعة على ASAs لمحاولة إنشاء نفق DTLS. إذا تم حظر حركة مرور UDP 443 بين وحدة الاستقبال والبث الخاصة بالشبكة الخاصة الظاهرية (VPN) وعميل AnyConnect، فإنها سترد تلقائيا إلى TLS. يوصى باستخدام DTLS أو IKEv2 لزيادة الحد الأقصى من أداء معالجة شبكة VPN. توفر DTLS أداء أفضل من TLS نظرا لتقليل مصروفات البروتوكول. كما يوفر IKEv2 إنتاجية أفضل من تلك التي توفرها TLS. وبالإضافة إلى ذلك، قد يؤدي إستخدام تشفير AES-GCM إلى تحسين الأداء بدرجة طفيفة. تتوفر هذه التشفير في TLS 1.2 و DTLS 1.2 و IKEv2.
فرض جودة الخدمة لكل نفق (FTD فقط)
يمكن تنفيذ جودة الخدمة للحد من مقدار حركة المرور المرسلة إلى مستخدمي AnyConnect في الإتجاه الصادر. ومن خلال القيام بهذا، يمكن لمحطة الاستقبال والبث الخاصة بالشبكة الخاصة الظاهرية (VPN) فرض حصول كل عميل وصول عن بعد على نصيبه العادل من عرض النطاق الترددي الخاص بالمغادرة. يمكن العثور على مزيد من المعلومات حول هذا الأمر هنا: تكوين FTD
تنفيذ تحيز مسرع محرك التشفير (ASA فقط)
يتم إستخدام انحياز محرك التشفير لإعادة تحديد موقع مراكز التشفير لتفضيل بروتوكول تشفير واحد على الآخر (SSL أو IPsec). والغرض من هذا هو تحسين سعة معالجة AnyConnect إذا كانت غالبية أنفاق شبكات VPN تستخدم إما IPsec أو SSL. قد يؤدي تنفيذ هذا الأمر إلى مقاطعة الخدمة وبالتالي يلزم وجود إطار صيانة. بالإضافة إلى ذلك، قد يختلف الأداء (تحسين سعة معالجة AnyConnect واستخدام وحدة المعالجة المركزية) حسب ملف تعريف حركة مرور البيانات. إذا كانت وحدة الاستقبال والبث الخاصة بالشبكة الخاصة الظاهرية (VPN) تقوم فقط بإنهاء جلسات عمل SSL أو جلسات عمل IPsec فقط، يمكن إعتبار هذا الأمر للحصول على مزيد من تحسين وحدة الاستقبال والبث الخاصة بالشبكة الخاصة الظاهرية (VPN). يمكن العثور على مرجع الأوامر هنا: مرجع الأوامر
لمراجعة تخصيص لب التشفير الحالي، قم بتشغيل الأمر show crypto accelerator load-balance. لا يعرض هذا الأمر المقدار الإجمالي لاستخدام التشفير الذي يمكن للجهاز معالجته - يشير إلى نسبة حركة مرور SSL أو IPsec التي يتم تخصيصها لكل مركز. للعثور على المقدار التقريبي للاستخدام على الجهاز، ارجع إلى القسم أعلاه حول الاستخدام العالي لوحدة المعالجة المركزية وقارن القيمة المحسوبة بالقيمة في ورقة البيانات الخاصة بالنظام الأساسي.
على نظام ASA الذي يقوم غالبا بإنهاء الوصول عن بعد SSLVPN، يوصى بتعديل تخصيص مركز التشفير ليناسب SSL باستخدام الأمر crypto engine accelerator-bias SSL.
يوضح المثال التالي التوزيع الأساسي على ASA5555 باستخدام الأمر crypto engine accelerator-bias ssl لصالح عملاء AnyConnect SSL:
asa# sh run all crypto engine
crypto engine accelerator-bias ssl
asa# show crypto accelerator load-balance
[..]
Crypto SSL Load Balancing Stats:
==================================
Engine Crypto Cores SSL Sessions Active Session
Distribution (%)
====== ============== =========================== ================
0 IPSEC 1, SSL 7 Total: 166714 Active: 205 100.0%
[..]
سيكون توزيع جلسة العمل النشطة دائما 100٪ بغض النظر عن إستخدام تشفير النظام الأساسي الحالي.
ملاحظة: تتوفر إعادة موازنة المحولات المشفرة على الأنظمة الأساسية التالية: ASA 5585 و 5580 و 5545/555 و 4110 و 4120 و 4140 و 4150 و SM-24 و SM-36 و SM-44 و ASM.
أسئلة شائعة
الترخيص
س: لماذا لا يمكنني تنزيل برنامج AnyConnect؟
a: يجب عليك شراء ترخيص AnyConnect Plus أو Apex لتتمكن من تنزيل عميل AnyConnect. بعد ذلك، يجب أن تكون مؤهلا. إذا لم تكن مخولا رغم شراء ترخيص AnyConnect Apex أو Plus، فافتح حالة مستحقة لإصلاح هذه المشكلة.
س: لماذا أرى 99999 تم شراؤها لترخيص AnyConnect في حساب الترخيص الذكي الخاص بي؟
أ: متوقع ذلك مع بعض تراخيص AnyConnect، مثل تراخيص AnyConnect Plus الدائمة أو غير الثابتة من AnyConnect Plus أو Apex.
س: ما الذي يحدد متى يتم إستخدام مراسيم "قيد الاستخدام"؟
a: يتم إجراء عمليات تحديد القيمة هذه كلما تم تسجيل جهاز يستخدم ترخيص AnyConnect. على سبيل المثال، إذا قمت بتسجيل FMC، فقم بإضافة ترخيص AnyConnect Plus إلى جهاز، فستتناقص قيمة "قيد الاستخدام" لترخيص AnyConnect Plus. لا يتم تقليل هذه القيمة استنادا إلى جلسات عمل المستخدم الحالية. لا يقلل تسجيل أجهزة ASAv عدد "قيد الاستخدام". هذه قضية تجميلية معروفة. لا يمكنك تسجيل أجهزة أكثر من عدد المستخدمين المعتمدين الذين قاموا بالشراء.
س: ما الذي يحدد قيمة الشراء؟
ألف: تحدد قيمة الشراء بعدد المستخدمين المعتمدين الذين تم شراؤهم مع الترخيص. على سبيل المثال، سيكون لترخيص AnyConnect Plus الخاص بخمسة وعشرين مستخدما عدد مرات الشراء يبلغ 25.
س: كيف يمكنني تمكين التشفير القوي؟
a: لتمكين التشفير القوي، يجب تحديد المربع "السماح بوظائف التحكم في التصدير للمنتجات المسجلة باستخدام هذا الرمز المميز" عند إنشاء الرمز المميز للتسجيل.
سؤال: كيف يمكنني التحويل من ترخيص باك إلى ترخيص ذكي؟
ج: ينبغي فتح حالة مع منح ترخيص لهذا الغرض.
س: إذا كان لدي ترخيص مستخدم "X"، ماذا سيحدث إذا وصل "X+1" أو المزيد من المستخدمين بالجهاز؟
a: باستخدام ترخيص Apex و Plus، يتم إلغاء تأمين سعة مستخدم شبكة VPN الكاملة للجهاز. ما دام الجهاز لا يبلغ الحد الأقصى لمستخدم VPN الخاص به، سيستمر الجهاز في قبول الاتصالات. لا يوجد فرض على الجهاز لجلسات عمل مستخدم شبكة VPN وهي قائمة على الشرف. تكون من مسؤوليتك شراء تراخيص مستخدم إضافية مصرح بها إذا كانت هناك حاجة إلى زيادة إستخدام جلسة عمل الشبكة الخاصة الظاهرية (VPN) للجهاز. للتحقق من الحد الأقصى لعدد المستخدمين الذين يدعمهم الجهاز، تحقق من صفحة البيانات الخاصة بالجهاز على موقع Cisco على الويب أو قم بتشغيل show vpn-sessiondb وفحص "إجمالي سعة الشبكة الخاصة الظاهرية (VPN) للجهاز". ل ASAs، أنت يستطيع أيضا ركضت العرض صيغة أو أبديت vpn-sessionDB ترخيص-summary أمر.
س: كيف يمكنني التحقق من تنشيط الترخيص على جهازي؟
a: في أنظمة FTD، لن تتمكن من نشر تكوين AnyConnect ما لم يتم تنشيط الترخيص. على ASAs، أنت يستطيع فحصت العرض صيغة أو أبديت vpn-sessiondb ترخيص خلاصة أن يفحص كم مستعمل يسمح. بدون ترخيص تم تنشيطه، سيكون الحد الأقصى لمستخدمين إثنين. لاحظ أن أوامر ASA المذكورة أعلاه لن تعرض معلومات الترخيص Plus/Apex. يتم تعقب هذا الإجراء باستخدام طلب التحسين CSCuw74731.
التكوين
س: ما هي أنظمة ASA الأساسية التي يمكنني إستخدامها لموازنة حمل VPN؟ هل يمكنني إستخدام أنظمة ASA الأساسية المختلفة أو إصدارات البرامج المختلفة في مجموعة موازنة أحمال الشبكة الخاصة الظاهرية (VPN)؟
A: نعم يمكن أن يتكون نظام مجموعة موازنة أحمال الشبكة الخاصة الظاهرية (VPN) من طرز ASA مختلفة مادية أو افتراضية، بما في ذلك ASAv. ومع ذلك، يوصى عموما بأن تكون المجموعة متجانسة. إذا تم إستخدام إصدارات برامج مختلفة في نظام مجموعة موازنة حمل الشبكة الخاصة الظاهرية (VPN)، فسيتم دعم جلسات عمل IPsec فقط. للحصول على تفاصيل، يرجى الرجوع إلى: الإرشادات والقيود الخاصة بموازنة حمل الشبكة الخاصة الظاهرية (VPN).
Q: كيف أنا يشكل انقسام-tunneling؟ وهل يمكنك إستبعاد نوع معين من حركة مرور التطبيقات، مثل Office 365، من أن يتم إنشاء قنوات له في تكوين نفق منقسم؟
a: راجع مقالة مجتمع Cisco اتصال AnyConnect النفقي المنقسم للحصول على أمثلة التكوين الخاصة بحالات الاستخدام المختلفة. يمكنك أيضا إستخدام مزيج من تقسيم النفقي وتقسيم الاتصال النفقي الديناميكي للوصول إلى اتصال نفقي منفصل مستند إلى التطبيق. على سبيل المثال، حول كيفية تحسين اتصال AnyConnect النفقي ل Office 365 و WebEx، راجع كيفية تحسين AnyConnect لاتصالات Microsoft Office365 و Cisco Webex.
س: أرى الخطأ "تحذير شهادة غير موثوق بها" عند الاتصال بمحطة الاستقبال والبث الخاصة ب ASA مع AnyConnect. لماذا يحدث هذا؟
أ: هذا محتمل لأن وحدة الاستقبال والبث تستخدم شهادة موقعة ذاتيا. ولإصلاح ذلك، يمكن شراء شهادة SSL من مرجع مصدق وتثبيتها على ASA لوحدة الاستقبال والبث. للحصول على خطوات التنفيذ التفصيلية، يرجى الرجوع إلى: تكوين ASA: تثبيت وتجديد الشهادة الرقمية ل SSL.
Q: هل شهادات أحرف البدل مدعومة على نهايات RAPN من Cisco؟
A: يتم دعم أحرف البدل والشهادات ذات الأسماء البديلة لموضوع DNS (SANs).
س: هل يمكن لجهاز واحد إستخدام كل من موازنة الأحمال وتجاوز الفشل؟
ج: يتم دعم ميزة التغلب على الأعطال في وضع الاستعداد/النشط من خلال موازنة أحمال الشبكة الخاصة الظاهرية (VPN). وسيتولى الجهاز الاحتياطي الأمر على الفور دون أي تأثير على نفق VPN في حال فشل الوحدة النشطة. موازنة حمل VPN غير مدعوم مع تكوين نشط/نشط لتجاوز الفشل.
مراقبة
س: أي قاعدة معلومات إدارة (MIB) من SNMP يمكنني إستخدامها لمراقبة إستخدام وحدة المعالجة المركزية (CPU) طراز ASA؟
a: يمكن إستخدام Cisco-process-MIB لمراقبة إستخدام وحدة المعالجة المركزية ASA. للحصول على قائمة كاملة من قواعد معلومات الإدارة (MIB) المدعومة، يرجى الرجوع إلى: قائمة دعم قاعدة معلومات الإدارة (MIB) لأجهزة الأمان المعدلة. للحصول أيضا على قائمة بقواعد معلومات الإدارة (MIB) ومعرفات الأجهزة (OID) المدعومة لبروتوكول ASA معين، يمكن للمرء إصدار الأمر التالي: show snmp-server oidlist.
س: كيف يمكنني مراقبة عدد المستخدمين المتصلين حاليا بمحطة الاستقبال والبث الخاصة بالشبكة الخاصة الظاهرية (VPN)؟
a: أستخدم show vpn-sessiondb من واجهة سطر الأوامر للتحقق من العدد الحالي للمستخدمين على ASA أو FTD، أو SNMP MIB
Cisco-Remote-Access-Monitor-MIB.
استكشاف الأخطاء وإصلاحها
س: يبدو أن بعض مستخدمي AnyConnect VPN لديهم حالات قطع اتصال متكررة. كيف يمكنني أستكشاف هذه المشكلات وإصلاحها:
أ: لاستكشاف أخطاء انقطاع الشبكة الخاصة الظاهرية (VPN) وإصلاحها والمشكلات الأخرى الشائعة في AnyConnect، يرجى الرجوع إلى: دليل أستكشاف أخطاء عميل AnyConnect VPN وإصلاحها - المشاكل الشائعة.
س: عندما يتصل عدد معين من المستخدمين بنقطة الاستقبال والبث الخاصة بالشبكة الخاصة الظاهرية (VPN)، لن يتمكن المزيد من المستخدمين من الاتصال. يتم تنشيط الترخيص على الجهاز ويظهر show vpn-sessiondb أن الجهاز يمكنه معالجة المزيد من المستخدمين. ما هي المشكلة؟
a: تحقق من تجمع العناوين المحلي لشبكة VPN لهؤلاء المستخدمين للتأكد من أن عدد المستخدمين الذين يقومون بالاتصال لا يتجاوز مقدار العناوين المتاحة. يمكنك التحقق باستخدام الأمر show ip local pool [pool-name]. سبب آخر محتمل على الأنظمة الأساسية القديمة هو تعيين الأمر vpn-sessiondb max-anyconnect-premium-أو-essentials-limit على قيمة منخفضة. أنت يستطيع دققت هذا مع الأمر عرض يركض all VPN-sessionDB. إذا كان هذا هو الحال، يمكن زيادة القيمة أو يمكن إزالة الأمر لمنع هذا الحد.
الحصول على مساعدة إضافية
للحصول على مساعدة إضافية، يرجى الاتصال ب TAC. سيلزم عقد دعم صالح: جهات اتصال الدعم العالمية من Cisco
يمكنك أيضا زيارة مجتمع Cisco VPN هنا.
وبالإضافة إلى ذلك، يمكنك الاطلاع على رسائل عرض أمان TAC
المراجع
يرجى العثور أدناه على إرتباطات إضافية للموارد الأخرى المفيدة لعمليات نشر AnyConnect ومعالجة المشكلات المتعلقة ب COVOD-19 بشكل عام.
التعليقات