SSL VPN集群实施分享
  

Travelnight 16352

{{ttag.title}}
昨天实施了一个VPN集群的项目,给大家分享分享。

0x001 客户需求
     客户原先用的是天某xin的VPN,刚到客户就和我吐槽不好用,卡的一匹。到现场我自己也试了下,确实不行,登录OA系统非常慢,兼容性不好,手机上也不好用。客户之前也测试过某公司 SSL VPN,感觉非常不错。所以,现在就是上我们的设备,撤其他厂家的!


0x002 准备工作
      客户内网有将近3000多个用户,所以采购了两台VPN做集群部署。我们是替换其他VPN设备,为了不改变原有的使用习惯,我们使用原来设备的IP作为我们的CIP (集群IP)。再使用两个同网段的IP作为两个VPN设备的真实IP。

       部署模式介绍如图:

       最终部署拓扑是这样的:

         

0x003 配置步骤


       确认序列号:

1.两个设备的基础网络配置:网关模式部署,配置好LAN口IP。DNS等等。

2.开启集群模式部署:配置好CIP,集群部署密钥等等。这里我们指定一台VPN作为分发器。

另外一台作为真实服务器。所以优先级设置为低。

VPN a: 优先作为分发器

            

VPN b:作为真实服务器

              


3.由于客户一开始还是不放心我们的VPN集群,要求先上一台。那么我们就先在分发器上做好配               置吧!
把之前的用户信息导出来,转换成SSL的格式。然后导入进去。

               

根据需求配置好资源:

                 


配置好角色授权,并且关联到通用户组级相应的资源。

               


配置完成了,测试可以很方便的登录到VPN并且看到相应的资源。

               


测试完成后。我们只需要将真实服务器关机,接入到交换机上,再开机。就会自动从真实服务器上去同步配置。不需要再做重复配置了。

0x004  最终效果

集群起来以后。我们可以通过查看集群部署状态,看到处于分发器和真实服务器状态的节点IP、节点类型、运行状态以及接入的移动用户数目。用户也可以正常的接入使用。

               


0x005  部署总结&注意

1.配置集群的时候只有一台VPN能勾选为优先作为分发器。

2.单臂集群环境,不要配置到内网的静态回包路由。

3.如果是先上单台设备,后期再组集群的话,一定要注意把配置最新的那个VPN作为分发器。假如不是分发器,那么他会从旧配置设备分发器上去同步配置,配置被覆盖那就悲剧了。我就差点被坑。

0x006  客户评价

        整个过程中,客户还是很满意的。简单好用,比其他厂家的快多了只需要网页登陆就会自动安装控件,对于大用户量来说,省去了信息中心管理员的很大一部分工作量。 ssl的EMM功能也方便他们后期手机OA app的上线。不过客 户还是吐槽了下某公司的授权太多了,一开始都没弄明白授权是干啥的。。。。。

最后,期待与想要了解SSL 集群和使用了SSL 集群的小伙伴们一起来交流学习,有任何使用的心得体会,想法建议,欢迎跟帖!

           

打赏鼓励作者,期待更多好文!

打赏
2人已打赏

Sangfor_闪电回_朱丽 发表于 2017-7-21 15:03
  
用了集群,体验果然不一样,用户说的好才是真的好!
Hising 发表于 2017-7-26 21:44
  
这篇文章必须收藏,实战经验分享对于我等刚刚入行的小辈来说很有用
SLY 发表于 2017-7-27 09:43
  
新手观摩大牛,学习经验!
zoonctrl 发表于 2017-7-31 08:59
  
之前部署了集群,但是原理不是特别清晰,现在看了看,还不错。
常永玲 发表于 2017-7-31 11:23
  
观摩学习~介绍的通俗易懂
周文龙 发表于 2017-9-12 16:57
  
棒棒哒。
新手669092 发表于 2017-9-13 08:52
  
观摩学习~介绍的通俗易懂
新手669092 发表于 2017-9-13 08:52
  

棒棒哒
励志成为咸鱼王 发表于 2017-12-1 09:18
  
上面的集群布置,到底是网关模式还是单臂模式?怎么图上是单臂,文字解说是网关模式?
发表新帖
热门标签
全部标签>
技术盲盒
西北区每日一问
安全效果
每日一问
干货满满
新版本体验
【 社区to talk】
技术笔记
功能体验
技术咨询
产品连连看
标准化排查
GIF动图学习
2023技术争霸赛专题
每周精选
信服课堂视频
通用技术
自助服务平台操作指引
秒懂零信任
技术晨报
安装部署配置
答题自测
原创分享
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版版主

3
0
3

发帖

粉丝

关注

27
77
84

发帖

粉丝

关注

本版达人

新手24268...

本周建议达人

阿凯

本周分享达人

新手39341...

本周提问达人