年度渠道高级认证培训04_集群部署模式培训

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

SANGFORSSLVPN集群部署培训培训内容培训目标集群部署模式1、了解集群的相关概念2、掌握集群支持的部署模式负载均衡集群1、掌握负载均衡集群的部署模式及各模式下的工作方式。2、掌握负载均衡集群各个模式的配置思路及配置步骤。分布式集群1、了解分布式集群的功能及工作方式。2、了解分布式集群的配置步骤。集群部署的注意事项1、掌握集群部署的注意事项集群部署模式介绍深信服公司简介集群部署模式配置集群授权及部署注意事项SANGFORSSL集群分布式集群功能介绍集群名词解释集群(cluster)就是一组设备的组合,它们作为一个整体向用户提供一组网络资源服务,这些单个系统就是集群的节点(node)。CIP:集群虚拟IP地址,即所有集群节点对外呈现的一个共同的IP地址。分发器:下发配置策略的主设备。在一个集群环境中,只能有一台能够成为分发器。真实服务器:配置数据从分发器上进行同步,不能修改配置数据,分发器本身也是一台真实服务器。集群名词解释如右图两台SSLVPN设备构建一个集群环境(网关模式多线路部署图)。CIP:192.168.1.1分发器:LAN口地址为192.168.1.2的设备真实服务器:对应LAN地址为192.168.1.3的设备集群部署模式介绍•部署模式_简介1、部署模式是指设备以什么样的工作模式部署到客户网络中去,不同的部署方式对客户的网络影响各有不同,具体以何种部署方式需要综合客户具体的网络环境和客户的功能需求而定。2、SSLVPN集群支持网关(单线路和多线路)、单臂(单线路和多线路)两种工作模式。由于集群单臂多线路的使用场景比较少见,故本PPT中不给予介绍。集群部署模式介绍网关模式(单线路)集群网关模式下工作方式:所有节点配置一个相同的WAN1口CIP地址(外网线路的真实IP或和前置防火墙同网段能通信的IP地址),和相同的LAN口CIP地址,对用户和其他网络中的设备而言,相当于是一个设备在工作。用户通过WAN1口CIP地址登录SSLVPN。每个节点设备仍然需要配置各自的LAN、WAN口真实的IP地址,用来登录各个节点设备和从分发器同步配置。集群部署模式介绍配置要求:网关模式下要求所有节点的WAN口IP地址必须在同网段(WAN口IP可以随意设置),但和WAN口CIP地址在不同网段;所有节点的LAN口IP地址和CIP在同网段。网关模式(单线路)集群部署模式介绍网关模式(多线路)集群网关多线路模式下工作方式:所有节点配置相同的WAN1,WAN2等CIP地址(各条公网线路的真实IP地址或和前置防火墙同网段能通信的IP地址),和LAN口CIP地址,对用户和其他网络中的设备而言,相当于是一个设备在工作。用户通过各个WAN口CIP地址登录SSLVPN。每个节点设备仍然需要配置各自的LAN、WAN口真实的IP地址,用来登陆各个节点设备和从分发器同步配置。集群部署模式介绍网关模式(多线路)配置要求:网关模式下要求所有节点的WAN1口IP地址必须在同网段(WAN1口IP可随意设置),但和WAN1口CIP地址在不同网段;WAN2口IP地址必须在同网段(WAN2口IP可随意设置,必须和WAN1口IP在不同网段),但和WAN2口CIP在不同网段。所有节点LAN口IP地址和CIP地址在同网段。集群部署模式介绍单臂模式集群单臂模式下工作方式:所有节点配置相同的LAN口CIP地址。这种情况下,需要把LAN口CIP地址映射到公网,用于提供SSLVPN用户的登录。对用户和其他网络中的设备而言,相当于是一个设备在工作。每个节点设备仍然需要配置各自的LAN口IP地址,用来登陆各个节点设备和从分发器同步配置。集群部署模式介绍单臂模式配置要求:单臂模式下要求所有节点的LAN口IP地址和CIP地址在同一个网段,LAN口默认网关,DNS需设置正确。单线路多线路单臂模式网关模式集群部署模式配置单臂模式网络环境客户网络已经搭建好,客户已有防火墙做网关,代理内网用户上网,为了不改变客户现有网络拓扑,可以采用单臂部署实现应用服务器的发布;注意事项:需要防火墙做端口映射发布CIP地址TCP80,443端口到公网单臂部署模式配置单臂部署模式配置单臂模式配置思路1、设备信息检查:确定集群序列号已经开通,确定移动授权已经开通;2、网口配置:确定各节点设备LAN口的IP地址(192.168.1.2,192.168.1.3),网关地址(192.168.1.254);3、集群配置:确定LAN口集群IP地址(192.168.1.1);在前置NAT设备做集群地址的TCP80、443端口映射到公网;单臂部署模式配置单臂模式配置截图1、[系统配置]-[序列号管理],集群配置是通过集群序列号激活集群功能单臂部署模式配置单臂模式配置截图2、配置两台SSLVPN设备的工作模式、LAN口地址、网关地址和DNS地址,外网线路不需要配置。其中,LAN口地址必须和集群IP地址同网段单臂部署模式配置单臂模式配置截图3、【系统设置】--【SSLVPN选项】--【集群部署】,启用集群部署功能,设置两台SSLVPN设备的集群部署密钥(两台密钥一致)、LAN口CIP192.168.1.1,单臂模式下DMZ、WAN口CIP不需要配置;在分发器选举规则中,优先级高的设备做为分发器,优先级低的则成为真实服务器(优先级要有区分且不能两台设备都勾选作为分发器)网关部署模式配置网关模式单线路网络环境客户想替代现有的防火墙,或者有做代理上网的需求,可以选择网关模式,同时设备本身就具有防火墙功能,可以做防火墙使用;注意事项:SSL设备做网关的话,如果设备是用拨号上网,不支持集群。网关部署模式配置网关模式单线路配置思路1、设备信息检查:确定集群序列号已经开通,并且有足够的移动用户授权。2、网口配置:确定各个SSL设备LAN的IP地址(192.168.1.2,192.168.1.3),保证SSLVPN设备能够和服务器通信(在三层环境下,设备要添加回包路由);确定WAN口的地址和网关地址(WAN口IP可随意设置为10.10.10.2,10.10.10.3,WAN口网关为10.10.10.1,和WAN口IP同网段)3、集群配置:确定LAN口集群IP地址(192.168.1.1,和LAN口IP同网段);确定WAN口的集群IP地址(221.10.133.247)和网关(221.10.133.1),WAN口集群IP实际为公网线路IP,用于和公网通信,必须和WAN口的IP地址在不同网段,所以第二步骤中的WAN口地址和网关可以随意设置。网关部署模式配置网关模式单线路配置截图1、[系统配置]-[序列号管理],集群配置是通过集群序列号激活集群功能网关部署模式配置网关模式单线路配置截图2、配置两台SSLVPN设备LAN口地址,外网线路WAN1的地址以及网关和公网DNS;其中,LAN口地址必须和CIP地址同网段,WAN口IP不能和WAN口CIP在同一个网段,如WAN口CIP地址为:222.10.133.247,则可以将两台SSLVPNWAN口任意配置为:10.10.10.2/10.10.10.3,网关地址10.10.10.1网关部署模式配置网关模式单线路配置截图3、【系统设置】--【SSLVPN选项】--【集群部署】,启用集群部署功能,设置两台SSLVPN设备的集群部署密钥、LAN口CIP,WAN口CIP;在分发器选举规则中,优先级高的设备做为分发器,(优先级要有区分且不能两台均勾选始终做为分发器)网关多线路部署模式配置网关模式多线路网络环境一般是客户有两条互联网线路,和网关单线路应用相似,只是多用一条互联网线路发布服务器,增加了链路的稳定性;注意:设备需要开双线路授权,WAN1口的CIP不能和WAN1口真实IP在同一网段,WAN2的真实IP也不能和WAN1的真实IP在同一网段网关多线路部署模式配置网关模式多线路配置思路1、设备信息检查:确定集群序列号已经开通,确定开双线路,移动授权已经开通;2、网口配置:确定设备LAN的IP地址(192.168.1.2,192.168.1.3),保证SSLVPN设备能够和服务器通信(在三层环境下,设备要回包路由);确定WAN1、WAN2口的地址(WAN1和WAN2口IP地址随意配置,不在同网段即可),网关地址(和WAN口IP同网段3、集群配置:确定LAN口集群IP地址(192.168.1.1);确定WAN1口集群IP地址(221.10.133.247)和网关(221.10.133.1),WAN2口的集群IP地址(61.139.10.146)和网关(61.139.10.1);WAN1和WAN2口集群IP地址,实际为两条公网线路的公网IP地址,用于和公网通信。网关多线路部署模式配置网关模式多线路配置截图网关模式多线路,网口配置和网关单线路配置一样,唯一不同的只是多加一个WAN2口CIP地址。集群状态与负载说明集群设置成功后如图所示,通过查看集群部署状态可以看到处于分发器和真实服务器状态的节点IP、节点类型、运行状态以及接入的移动用户数目。分布式集群分布式集群分布式集群简介分布式部署,多设备异地组成集群,是基于Internet的分布式部署,组成分布式部署后,只需要在主节点控制台上操作就可以自动把数据同步到其他从节点上,同时主节点会定时检查从节点的数据是否和自己一致,如果发现不一致会主动去将从节点的数据同步。保持整个集群环境的数据一致性。分布式部署集群通过点对点的数据同步技术,保持节点间配置数据的一致性与完整性,提供如下功能:1、跨区域设备的统一管理2、支持统一域名最快接入3、异地备份容灾功能分布式集群分布式集群部署说明客户有多个分公司和总部内部有专线互联,服务器群在总部,且每个公司都有各自的公网线路,要实现各地移动办公,能用最快的方式接入和访问SSLVPN,那么这个情况可以采用分布式部署。分布式部署的工作方式:分布式部署通过webagent来登记和获取各个节点的配置信息,需要搭建一个webagent服务器(支持asp、php),webagent服务器是用来获取各个节点的公网IP地址,各地访问webagent接入SSLVPN时,会返回最快访问链路的节点IP给客户端,实现整网SSLVPN的统一域名接入和异地容灾。分布式集群用户接入示意图搭建一个webagent服务器(支持asp、php)用户访问vpn.sangfor.com下载图片比较速度Webagent地址:vpn.sangfor.com上传各节点地址到webagent选择深圳接入SSL三个点都部署了SANGFORSSLVPN的设备,现在需要做分布式集群部署分布式集群配置各个地区按照前面部署方式以网关或者单臂方式部署设备,搭建好webagent服务器,各个节点上传节点信息到webagent服务器,其中主节点保证各个节点数据的同步,为了保证SSLVPN接入的稳定,可采用多webagent来实现备份,分布式节点页面也只显示当前进行数据同步的webagent服务上报的节点,可以添加多个webagent,节点会向每个webagent上报IP分布式部署配置截图分布式集群一个集群只能有一个主节点,如果启用动态分配虚拟IP,需在各节点单独设置虚拟IP池分布式部署配置截图集群授权1、集群部署环境中,移动用户的总授权数目为加入该集群部署的各SSLVPN设备移动用户数目的总和。2、集群部署环境中,当某个SSLVPN设备由于宕机退出集群后,另外一台设备可以使用移动用户的总授权数目,为期60天,60天后,如果该宕机设备仍然不能加入集群,则正常运行的设备恢复原有授权数目。集群部署注意事项1、每个节点的网关序列号、短信序列号、单点登录序列号等均需要先单独配置好再加入集群。2、建议将集群中性能最好的设备配置为始终成为分发器。DMZ口的CIP不提供分发功能,只有LAN口和WAN口会提供分发功能。3、使用RADIUS认证时,RADIUS服务端需要将集群环境中每个节点的真实LAN口IP加入到验证通过的列表中。4、集群中代理上网功能由集群IP来实现,退出集群后恢复

1 / 37
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功