|
ssl vpn单臂集群部署,不可以配置细化路由: 在ssl vpn单臂集群部署时,真实服务器会自动生成一条指向分发器的默认路由,这样当用户请求调度到真实服务器时,真实服务器就会先将数据包回给分发器,再由分发器以集群IP回复用户。如果再配置细化路由,则由于细化路由的优先级高于默认路由,所以会导致真实服务器直接以自己的接口IP为源地址回报给用户,导致用户不接受回来的数据包,造成回包有问题。
案例分析案例1 如下图,
两台vpn 2050连接在两台二层交换机上,二层交换机上游为两台主备部署的负载均衡(两台负载均衡设备的公网接口和内网接口都连接在二层交换机上,所以可以看做是二层交换机的上游设备),下游为两台主备部署的防火墙,负载均衡和防火墙默认情况下都是左边的设备为主设备。
根据上面1中ssl vpn单臂部署的路由原理,在下图中,是不可以将ssl vpn部署在如下图的位置的,因为,首先,ssl vpn上不可以配置静态路由,所以只能使用默认网关。
1)如果默认网关指向上游的负载均衡设备的LAN口地址,那么当内网用户(比如说管理员)要访问ssl vpn时,则根据路由,防火墙会直接将用户数据包发送给vpn 2050,但是vpn 2050在回报的时候,它却会回给负载均衡,然后负载均衡就会把数据包丢弃,导致内网用户访问不到ssl vpn。
2)如果默认网关指向下游的防火前设备,那么当外网用户要通过ssl vpn访问内网资源时,根据路由,负载均衡会将数据包直接发送给vpn 2050,然后vpn 2050在回报的时候,会先回给防火墙,这时防火墙又会将数据包丢弃,导致外网用户访问不到ssl vpn。
所以,解决1)和2)的三角传输的办法就是,将ssl vpn旁挂在三层设备,比如核心交换机上,而不能放在两台三层设备(比如负载均衡和防火墙)之间。
最后,将两台vpn2050旁路部署在两台核心交换机上之后,问题得到了解决。 | 
发表于 2015-3-13 12:05
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2017-5-8 15:55
