05SANGFOR SSL VPN集群部署模式培训

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

SANGOFRSSLVPN集群部署培训QQ技术群:102025682主讲人:李金涛集群部署模式介绍深信服公司简介集群部署模式配置集群部署注意事项SANGFORSSL集群分布式集群功能介绍集群名词解释集群(cluster)就是一组设备的组合,它们作为一个整体向用户提供一组网络资源服务,这些单个系统就是集群的节点(node)。CIP:集群虚拟IP地址,即所有集群节点对外呈现的一个共同的IP地址。分发器:下发配置策略的主设备。在一个集群环境中,只能有一台能够成为分发器,分发器本身也是一台真实服务器。真实服务器:配置数据从分发器上进行同步,不能修改配置数据。集群名词解释如右图两台SSLVPN设备构建一个集群环境(网关模式多线路部署图)。CIP:192.168.1.1分发器:LAN口地址为192.168.1.2的设备真实服务器:对应LAN地址为192.168.1.3的设备集群部署模式介绍•部署模式_简介SSLVPN集群支持网关(单线路和多线路)、单臂两种工作模式。集群部署模式介绍网关模式(单线路)集群网关模式下工作方式:所有节点配置一个相同的WAN1口CIP地址(外网线路的真实IP或和前置防火墙同网段能通信的IP地址),和LAN口CIP地址,对用户和其他网络中的设备而言,相当于是一个设备在工作。用户通过WAN1口CIP地址登录SSLVPN,通过LAN口CIP与内网服务器通信。每个节点设备仍然需要配置各自的LAN,WAN口真实的IP地址,用来登陆各个节点设备和从分发器同步配置。集群部署模式介绍配置要求:网关模式下要求所有节点的WAN口IP地址必须在同网段(WAN口IP可以随意设置),但和WAN口CIP地址在不同网段;所有节点LAN口IP地址和CIP在同网段。网关模式(单线路)集群部署模式介绍网关模式(多线路)集群网关多线路模式下工作方式:所有节点配置相同的CIP地址(各条公网线路的真实IP地址或和前置防火墙同网段能通信的IP地址),和LAN口CIP地址,对用户和其他网络中的设备而言,相当于是一个设备在工作。用户通过各个WAN口CIP地址登录SSLVPN,通过LAN口CIP与内网服务器通信。每个节点设备仍然需要配置各自的LAN,各个WAN口真实的IP地址,用来登陆各个节点设备和从分发器同步配置。集群部署模式介绍网关模式(多线路)配置要求:网关模式下要求所有节点的WAN1口IP地址必须在同网段(WAN1口IP可随意设置),但和WAN1口CIP地址在不同网段;WAN2口IP地址必须在同网段(WAN2口IP可随意设置,必须和WAN1口IP在不同网段),必须和WAN2口CIP在不同网段…所有节点LAN口IP地址和CIP在同网段。集群部署模式介绍单臂模式集群单臂模式下工作方式:所有节点配置相同的LAN口CIP地址。这种情况下,需要把LAN口CIP地址映射到公网,用于提供SSLVPN用户的登录。对用户和其他网络中的设备而言,相当于是一个设备在工作。每个节点设备仍然需要配置各自的LAN口IP地址,用来登陆各个节点设备和从分发器同步配置。集群部署模式介绍单臂模式配置要求:单臂模式下要求所有节点的LAN口IP地址和CIP地址在同一个网段,LAN口默认网关,DNS需设置正确。单线路多线路单臂模式网关模式集群部署模式配置单臂模式网络环境客户网络已经搭建好,客户不需要做代理上网,为了不改变客户现有网络拓扑,可以采用单臂部署实现应用服务器的发布;注意1:需要防火墙做端口映射发布CIP地址TCP80,443端口到公网注意2:如果设备有开启DOS防御,需要将集群中所有节点设备的LAN口MAC和集群虚拟MAC填入“内网路由器列表”中。单臂部署模式配置单臂部署模式配置单臂模式配置思路1、设备信息检查:确定集群序列号已经开通,确定移动授权已经开通;2、网口配置:确定各节点设备LAN的IP地址(192.168.1.2,192.168.1.3),网关地址(192.168.1.254);在前置NAT设备做集群地址TCP80、443端口映射到公网;3、集群配置:确定LAN口集群IP地址(192.168.1.1);4、DOS防御设置:如果需要开启DOS防御,请把各个节点的MAC和集群虚拟MAC填到“内网路由器列表”中。单臂部署模式配置单臂模式配置截图1、[系统设置]-[序列号],集群配置是通过集群序列号激活集群功能单臂部署模式配置单臂模式配置截图2、配置两台SSLVPN设备工作模式,和LAN口地址,网关地址,DNS地址,外网线路不需要配置。其中,LAN口地址必须和集群IP地址同网段单臂部署模式配置单臂模式配置截图3、【基本配置】--【负载均衡】,启用负载均衡配置,设置两台SSLVPN设备的负载均衡消息密码(两台密码一致)、LAN口CIP192.168.1.1,单臂模式下DMZ、WAN口CIP不需要配置;在分发器选举规则中,优先级高的设备做为分发器,优先级低的则成为真实服务器(优先级要有区分且不能两台设备都勾选做为分发器)单臂部署模式配置单臂模式配置截图4、[防火墙设置]-[防DOS攻击],如果启用防DOS攻击,需要把集群中各个节点设备LAN口的MAC和集群虚拟MAC地址填入【内网路由器列表】网关部署模式配置网关模式单线路网络环境客户想替代现有的防火墙,或者有做代理上网的需求,可以选择网关模式,同时设备本身就具有防火墙功能,可以做防火墙使用;注意1:SSL设备做网关的话,如果设备是用拨号上网,不支持集群。注意2:如果设备有开启DOS防御,需要将集群中所有设备的MAC和集群虚拟MAC填入“内网路由器列表”中。网关部署模式配置网关模式单线路配置思路1、设备信息检查:确定集群序列号已经开通,确定移动授权已经开通;2、网口配置:确定各个SSL设备LAN的IP地址(192.168.1.2,192.168.1.3),保证SSLVPN设备能够和服务器通信(在三层环境下,设备要添加回包路由);确定WAN口的地址和网关地址(WAN口IP可随意设置为10.10.10.2,10.10.10.3,WAN口网关为10.10.10.1,和WAN口IP同网段)3、集群配置:确定LAN口集群IP地址(192.168.1.1,和LAN口IP同网段);确定WAN口的集群IP地址(221.10.133.247)和网关(221.10.133.1),WAN口集群IP实际为公网线路IP,用于和公网通信,必须和WAN口的IP地址在不同网段,所以第二步骤中的WAN口地址和网关可以随意设置。4、DOS防御设置:如果需要开启DOS防御,请把各个节点的MAC和集群虚拟MAC填到“内网路由器列表”中。网关部署模式配置网关模式单线路配置截图1、【系统设置】-【序列号】,集群配置是通过集群序列号激活集群功能网关部署模式配置网关模式单线路配置截图2、配置两台SSLVPN设备LAN口地址,外网线路WAN1的地址以及网关和公网DNS;其中,LAN口地址必须和CIP地址同网段,WAN口IP不能和WAN口CIP在同一个网段,如WAN口CIP地址为:222.10.133.247,则可以将两台SSLVPNWAN口任意配置为:10.10.10.2/10.10.10.3,网关地址10.10.10.1网关部署模式配置网关模式单线路配置截图3、【基本配置】--【负载均衡】,启用负载均衡配置,设置两台SSLVPN设备的负载均衡消息密码、LAN口CIP,WAN口CIP;在分发器选举规则中,优先级高的设备做为分发器,(优先级要有区分且不能两台均勾选始终做为分发器)网关部署模式配置网关模式配置截图4、[防火墙设置]-[防DOS攻击],如果启用防DOS攻击,需要把集群中各个节点设备的MAC和集群虚拟MAC地址填入【内网路由器列表】网关多线路部署模式配置网关模式多线路网络环境一般是客户有两条互联网线路,和网关单线路应用相似,只是多用一条互连网线路发布服务器,增加了链路的稳定性;注意:设备需要开双线路授权,WAN1口的CIP不能和WAN1口真实IP在同一网段,WAN2的真实IP也不能和WAN1的真实IP在同一网段网关多线路部署模式配置网关模式多线路配置思路1、设备信息检查:确定集群序列号已经开通,确定开双线路,移动授权已经开通;2、网口配置:确定设备LAN的IP地址(192.168.1.2,192.168.1.3),保证SSLVPN设备能够和服务器通信(在三层环境下,设备要回包路由);确定WAN1、WAN2口的地址(WAN1和WAN2口IP地址随意配置,不在同网段即可),网关地址(和WAN口IP同网段3、集群配置:确定LAN口集群IP地址(192.168.1.1);确定WAN1口集群IP地址(221.10.133.247)和网关(221.10.133.1),WAN2口的集群IP地址(61.139.10.146)和网关(61.139.10.1);WAN1和WAN2口集群IP地址,实际为两条公网线路的公网IP地址,用于和公网通信。4、DOS防御设置:如果需要开启DOS防御,请把各个节点的MAC和集群虚拟MAC填到“内网路由器列表”中。网关多线路部署模式配置网关模式多线路配置截图网关模式多线路,网口配置和网关单线路配置一样,唯一不同的只是多加一个WAN2CIP地址。集群状态与负载说明1、集群设置成功后如图所示,通过查看节点信息可以看到处于分发器和真实服务器状态的节点及运行状态;当SSLVPN用户访问VPN服务器时,自动分配到真实服务器;当真实服务器出现故障时,分发器自动切换成为真实服务器(实测有2-3个丢包),SSLVPN用户无需重新登陆。分布式集群分布式集群分布式集群简介分布式部署,多设备异地组成集群,是基于Internet的分布式部署,组成分布式部署后,只需要在主节点控制台上操作就可以自动把数据同步到其他从节点上,同时主节点会定时检查从节点的数据是否和自己一致,如果发现不一致会主动去将从节点的数据同步。保持整个集群环境的数据一致性。分布式部署集群通过点对点的数据同步技术,保持节点间配置数据的一致性与完整性,提供如下功能:1、跨区域设备的统一管理2、支持统一域名最快接入3、异地备份容灾功能分布式集群分布式集群部署说明客户有多个分公司和总部内部有专线互联,服务器群在总部,且每个公司都有各自的公网线路,要实现各地移动办公,能用最快的方式接入和访问SSLVPN,那么这个情况可以采用分布式部署。分布式部署的工作方式:分布式部署通过webagent来登记和获取各个节点的配置信息,需要搭建一个webagent服务器(支持asp、php),webagent服务器是用来获取各个节点的公网IP地址,各地访问webagent接入SSLVPN时,会返回最快访问链路的节点IP给客户端,实现整网SSLVPN的统一域名接入和异地容灾。分布式集群用户接入示意图三个点都部署了SANGFORSSLVPN的设备,现在需要做分布式集群部署搭建一个weagent服务器(支持asp、php)用户访问vpn.sangfor.com下载图片比较速度Webagent地址:vpn.sangfor.com上传各节点地址到webagent选择深圳接入SSL分布式集群配置各个地区按照前面部署方式以网关或者单臂方式部署设备,搭建好webagent服务器,各个节点上传节点信息到webagent服务器,其中主节点保证各个节点数据的同步,为了保证SSLVPN接入的稳定,可采用多webagent来实现备份,分布式节点页面也只显示当前进行数据同步的webagent服务上报的节点,可以添加多webagent,节点会向每个webagent上报IP分布式部署配置截图分布式集群一个集群只能有一个主节,如果启用动态分配虚拟IP,需在各节点单独设置虚拟IP池分布式部署配置截图集群部署注意事项1、如果设备有开启DOS防御,需要将集群中所有设备的MAC和集群虚拟MAC填入“内网路由器列表”中。2、IP服务尽量使用SNAT模式3、每个节点的网关序列号、短信序列号、单点登录序列号均需要先单独配置好再加入集群4、

1 / 37
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功