×

【SSL VPN】网关模式下负载均衡集群部署
  

王旭泽 1074

{{ttag.title}}
本帖最后由 王旭泽 于 2024-4-8 17:32 编辑

一、需求描述:
客户有三台SSL VPN,现在只有一台在跑业务,其余两台已经停掉了,想通过组建集群的方式让三台设备都利用起来。

二、集群部署优势:集群可以使一组相互独立的服务器在网络中表现为单一的系统,并以单一系统的模式加以管理。集群的各个节点(SSL 设备)由一个分发器和一组真实服务器组成,分发器和真实服务器都是 SSL 设备(分发器本身也是一台真实服务器)。网络客户接入 SSL VPN的时候,会由分发器合理的分配给集群中最空闲的真实服务器为客户提供服务。集群可以达到提高容量和性能的目的,为客户提供更高可靠性的服务。
三、现网拓扑:
运营商光纤进交换机后甩出三根网线到VPN外网口,每台设备都有独立的公网IP,VPN以网关模式部署
四、组建前评估:
这一步很关键,SSL VPN组建集群的条件较多,需要一条一条对照实际情况判断设备能否组建成功。
1、组建集群的两台SSL VPN详细版本信息需要完全一致,版本信息查看方式:在SSL VPN管理界面登录框下有一个查看版本,点开即可看到详细的版本信息

2、组建集群的两台SSL VPN所开功能模块一致,(PS:功能模块序列号不是填写的数值一致,而是比如,A设备有短信认证序列号,那B设备建议开启短信认证序列号)序列号查询位置:在【系统设置】-【系统配置】-【序列号管理】-【模块序列号管理】查看SSL VPN设备的所开功能模块;
3、组建集群的两台SSL VPN的SSL VPN用户总数目授权加起来必须有一个以上的授权,在【系统设置】-【系统配置】-【序列号管理】-【设备序列号管理】查看SSL VPN用户授权;

4.标准版本M7.6.7R1及之前的版本以及标准版本M7.6.8R2,EMM授权等级不一致的两台设备无法组建集群;(如不支持开通了EMM基础版授权和EMM标准版授权的两台设备组成集群)标准版本M7.6.7R2、M7.6.8R1、M7.6.9R1及以上版本,支持不同EMM授权组建集群。组建集群的设备必须开通集群序列号

5、组建集群的两台SSL VPN【系统设置】-【系统配置】-【系统选项】-【控制台设置】配置的https端口和http端口要求一致;
6、网关集群部署要求WAN口集群IP与WAN口真实IP不能同网段,截止标准版本M7.6.9R1,SSL设备网关集群部署暂不支持拨号;
7、只支持SSD设备与SSD设备组集群,CF卡设备与CF卡设备组集群,其中7.1版本允许SSD设备与CF卡设备组建集群,7.1之后版本都不允许SSD设备与CF卡设备组集群;
7、组建集群的两台SSL VPN/EMM硬件型号需要为相邻的型号或者同型号,否则集群配置同步会发生问题,(同一个颜色且上下相邻型号,比如VPN7050跟VPN6050是可以组集群,但是VPN7150跟VPN7050不能组集群)文末有型号对照表,可以参考;
9、支持SSL设备与EMM设备组集群;
10、截止标准版本M7.6.9R1,暂不支持国密设备与非国密设备组集群
11、-Q设备与非-Q型号设备若不使用流缓存/EMM等需要使用机械硬盘的功能可以组集群;
12、截止标准版本M7.6.9R1,暂不支持硬件SSL与vSSL组集群,支持硬件SSL与vSSL组分布式集群;
13、SSL组建集群必须部署模式相同,单臂模式只能和单臂模式部署集群,网关模式只能和网关模式部署集群。

五、各元素定义解释:
1、分发器:分发器是SSL VPN集群中用于分发内容请求的节点,将用户请求平均调度到集群中的各个节点。集群的配置都是通过分发器进行配置并且将数据同步给真实服务器。(一个集群只允许有一个分发器)。
2、真实服务器:真实服务器作为主机提供SSL服务,真实服务器只能修改集群模块以及接口配置,其他的配置只能在分发器上修改,且真实服务器的DLAN服务是处于停止状态,只有分发器的DLAN服务是运行的。真实服务器会实时同步分发器的配置(除了网络配置和一些特殊配置外都会同步,且无法设置不同步)。
3、DLAN:DLAN是指深信服设备的IPSec VPN模块,包含标准IPSEC VPN和自主开发的SANGFOR VPN
4、节点:分发器和真实服务器的泛称。
5、集群IP:集群真实对外发布的IP,外部用户通过该IP访问SSL VPN。
6、权值:节点性能指标,为 0 时表示不接收服务。
7、动态加权最小连接调度:各个服务器用相应的权值表示其处理性能。各节点动态地上报自身的权值。加权最小连接调度在调度新连接时尽可能使服务器的已建立连接数和其权值成比例。

六、实施步骤
1、确认当前VPN业务可中断。分别将三台SSL VPN的现有wan接口地址配置成同网段IP,例如:192.168.10.10/24、192.168.10.11/24、192.168.10.12/24,网关192.168.10.254。
2、开启集群功能,选择负载均衡,设置集群部署秘钥,填写LAN口集群IP和WAN1口集群IP,WAN口集群IP任意选择一个之前的wan接口地址就可以,LAN口集群IP填写和三台设备lan口同段的地址即可(三台都需要同样配置)。
3、设置分发器优先级,两种方法:(1)选择一台性能高的设备优先作为分发器,其余设备设置优先级选举,值越小优先级越高;(2)全部设置优先级选举,同样值越小优先级越高;一个集群中只允许一台设备成为分发器,这一步配置完后点击保存并生效配置。
4、登录集群IP查看集群状态,成功后会看到相应节点IP。

VPN新老型号集群条件及集群型号推荐表.zip

10.11 KB, 下载次数: 1

打赏鼓励作者,期待更多好文!

打赏
暂无人打赏

发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
【 社区to talk】
技术笔记
干货满满
每日一问
信服课堂视频
新版本体验
GIF动图学习
技术咨询
功能体验
2023技术争霸赛专题
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
POC测试案例
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版版主

10
17
3

发帖

粉丝

关注

124
74
30

发帖

粉丝

关注

26
8
0

发帖

粉丝

关注

70
36
1

发帖

粉丝

关注

6
14
0

发帖

粉丝

关注

18
10
5

发帖

粉丝

关注

本版达人