单臂集群部署SSL VPN时IPSEC VPN配置的同步和主备冗余

环境说明

SSL VPN设备全部单臂部署，映射443 80 4009端口到公网，总部两台设备做集群部署，映射CIP的443 80 4009端口到公网，通过CIP来与分支建立IPSEC VPN连接。设置172.17.1.231为分发器，172.17.1.232为真实服务器但有抢占权限（即分发器挂掉时可以接替分发器进行工作）

1、做SSL VPN集群部署时IPSEC VPN配置能否同步的问题。

①  思维误区：SSL VPN集群应该是和IPSECVPN无关的，所以只同步SSL VPN的配置到真实服务器。不能使用CIP来建立IPSEC VPN连接。

②  实际情况下的正确配置：SSL VPN集群部署时可以对IPSEC VPN的配置进行同步，可以参见用户手册有关服务一直性的第五点：一下配置和数据不会在集群间同步，只在集群中每个节点单独操作有效：快速配置、网卡设置、日志查看（可以使用日志中心）、序列号、网关运行情况（在节点信息页面中显示）、重启网关（在节点信息页面中有对每个节点的重启）、保存配置和恢复配置、DHCP状态。

③  由于CIP默认是承载在分发器上的，所以可以通过映射CIP的地址来实现IPSEC VPN的互联，由于当集群分发器故障时真实服务器有权限成为分发器时，可以成为新的分发器来承载CIP工作，从而保证了CIP的一直可用来起到IPSEC VPN连接的主备实现。

SSLVPN集群部署时IPSEC VPN主备切换的过程

实施验证情况：通过分支来长ping总部的CIP地址，然后将分发器的LAN口接线拔掉，通过ping包状态我们可以发现一般会先丢4个包左右，然后会继续通4个包（这是CIP切换起来的时间）然后会有一段时间的ping包不通，在ping包状态里可以看到ping包的目的地址变成了真实服务器的IP。从一开始的切换到服务正常访问会有10秒左右的间歇。当把原来的一直指定为分发器的设备再次接入网络时，因为他的优先级高所以会再一次取代现有的分发器工作，所以将会有一个同样的过程来完成服务的切换。

总结：综上所述SSL VPN在单臂集群时可以实现IPSEC VPN配置的同步和主备负载，其切换间歇在10秒之间，不能做到无缝切换。

写得很详细，谢谢楼主分享

那集群模式下，什么情况下可以判断A机器故障，所有连接全部自动切换到B机器呢？

现在的社区真好，解决了很多问题

学习一下，谢谢分享。         

学习一下，谢谢分享。