【2022争霸赛*干货满满】SSL VPN集群部署新增设备之补丁版本不一致，克隆工具使用

一、    需求背景

近年来，因疫情原因，时不时会有被迫居家隔离情况，导致居家办公需求越来越大，某公司由于使用的是深信服SSL VPN设备，由于居家办公人员增多，设备对外提供的接入并发不满足，怕目前VPN设备性能不足支撑不住，需要新增VPN设备加入集群需求

二、    方案介绍

2.1、当前环境是两台设备单臂部署做集群，新增一台设备加入集群，加入集群需要以下条件：

2.1.1、组建集群的两台SSL VPN详细版本信息需要完全一；

2.1.2、组建集群的两台SSL VPN所开功能模块一致，（PS:功能模块序列号不是填写的数值一致，而是比如，A设备有短信认证序列号，那B设备建议开启短信认证序列号）；

2.1.3、组建集群的两台SSL VPN的SSL VPN用户总数目授权加起来必须有一个以上的授权，在

2.1.4标准版本M7.6.7R1及之前的版本以及标准版本M7.6.8R2，EMM授权等级不一致的两台设备无法组建集群；

2.1.5、组建集群的两台SSL VPN【系统设置】-【系统配置】-【系统选项】-【接入选项】配置的https端口和http端口要求一致；

2.1.6、只支持SSD设备与SSD设备组集群，CF卡设备与CF卡设备组集群，其中7.1版本允许SSD设备与CF卡设备组建集群，7.1之后版本都不允许SSD设备与CF卡设备组集群

2.1.7、组建集群的两台SSL VPN/EMM硬件型号需要为相邻的型号或者同型号，否则集群配置同步会发生问题

2.1.8、支持SSL设备与EMM设备组集群；

2.1.9、截止标准版本M7.6.9R1，暂不支持国密设备与非国密设备组集群；

2.1.10、-Q设备与非-Q型号设备若不使用流缓存/EMM等需要使用机械硬盘的功能可以组集群；

2.1.11、截止标准版本M7.6.9R1，暂不支持硬件SSL与vSSL组集群，支持硬件SSL与vSSL组分布式集群；

2.2、方案实施之前，先确认新增设备的是否满足以上要求，例如：软件要求、授权要求、硬件要求、硬件端口是否为一致

2.2.1、确认之后，发现新增设备与目前集群的软件大版本一致，补丁包不一致情况，其他的条件满足做集群，但还是做不了集群，需要把新增设备的版本补丁包与集群的补丁包同步

   

  

三、    实现步骤

3.1、 由于新增设备的补丁包与集群补丁包相差太多，单个去包与打包时间较久，效率太低；

3.2、 借助VPN版本克隆工具sslvpnbakoop工具进行实施；将集群的版本补丁包克隆到新增设备上

注意：使用svpnbacktool工具前，被还原的新设备要刷机到干净的正式版本（不能有定制、HW包、TD包，可以通过降级版本在升级版本或者返厂重刷母盘方式实现）；

3.3、 克隆前先备份集群配置全局配置

   

3.4、 Svpnbaktool工具使用步骤---开始克隆

工具使用前注意事项

①  此工具并不备份和还原配置，请在sslvpn控制台备份和还原配置；

②  建议克隆前将备份设备做好备份

③  备份设备和还原设备需要是同一个大版本，如M7.6.3；

④  备份设备和还原设备需要都是 CF卡 设备，或都为 SSD 设备；

⑤  备份或还原前请关闭sslvpn控制台；

⑥  备份或还原前先用升级工具打通sslvpn设备的ssh通道；

⑦  -pw参数为管理员密码，如果不是默认后缀，可不加-pw参数，然后手动输入ssh通道密码；

⑧  sslvpn设备整点可能会关闭ssh通道，请不要在整点前后10分钟内进行，整个备份或还原过程请保持网络畅通；

⑨  还原后导入备份设备的全局配置，并重启被还原的设备；

⑩  被还原设备恢复全局配置后，设备ip会变为备份设备的ip，建议提前修改备份设备ip

⑪  请勿开启多个工具对同一设备进行备份或还原

⑫  如果用户手动修改过设备证书，需要导入两次全局配置

⑬  ids补丁包不会克隆，需要删除被还原设备上ids的appversion，重新打ids补丁包

⑭  如果工具运行报错，请尝试重新执行

⑮  sslupdateV2脚本会在整点运行，如过遇到此类报错，请在设备后台结束sslupdateV2进程后再进行克隆 ps aux | grepsslupdateV2

开始克隆

3.4.1、找社区人工客服拿到sslbaktool工具后，使用Win7或Win10系统电脑

3.4.2、解压备份还原工具svpnbaktool.zip至D:\svpnbaktool

3.4.3、在D:\svpnbaktool目录空白处“按住shift键后右击鼠标”出现如下界面点击“在此处打开命令窗口”

   

3.4.4、运行 svpnbaktool 后出现如下界面

   

3.4.5、备份集群设备，窗口输入命令svpnbaktool-s admin@<设备ip> -pw<ssh密码> -fb

例如：svpnbaktool -s admin@10.251.251.251-pwpassword-fb

注意：此处输入的命令IP地址与密码为均为集群的信息

   

3.4.6、列出备份名称，窗口输入命令：svpnbaktool -s admin@<设备ip> -pw <ssh密码> -l

例如：svpnbaktool -s admin@10.251.251.251 -pwpassword-l

备份的名称格式为：M7.6.9_<IP地址>_<网关序号>_<备份时间>.bvpn

例如M7.6.9_10.251.251.251_ABCDEFG_20220927-090909.bvpn

   

注意：备份过程较长，需要等待20-30分钟，可以在ssh后台通过输入sshftp命令测试与设备是否端口连接；另外该备份过程中会消耗集群VPN设备性能，建议业务空闲期间操作

   

3.4.7、还原备份到新增设备，输入命令：svpnbaktool-sadmin@<设备ip> -pw<ssh密码>-r <备份名>

例如：svpnbaktool -s admin@10.251.251.252-pwpassword-r M7.6.9_10.251.251.251_ABCDEFG_20220927-090909.bvpn

注意：还原备份到新设备时，此处的命令IP地址与密码均为新设备的信息

      

3.4.8、还原之后，检查版本信息，对比之后，版本信息完全一致

      

3.5、将克隆前集群备份的配置导入到新增设备上后重启设备

注意：导入完配置后务必重启新设备，此时先不把新增设备接入网络，重启后修改IP地址后再接入网络，否则会与集群IP冲突，修改的IP地址务必与集群的LAN口同一网段

     

3.6、将新增设备加入集群

【系统配置】-【SSLVPN选型】-【集群部署】-【集群部署设置】，启用集群部署功能，输入集群部署密钥，必须选择【通过优先选举分发器-优先级别】，以真实服务器身份加入集群

   

3.7、加入集群后，查看状态

在【系统设置】-【SSL VPN选项】-【集群部署】-【集群部署状态】中。可查看新增设备加入情况，如果上线为后角色为真实服务器，且日志中心没有任何报错，那就证明新增设备成功；测试VPN接入与访问业务是否正常，测试正常后该方案实施完成。

   

感谢楼主分享，文章记录了SSL VPN结合克隆工具快速克隆补丁包使得版本信息一致，从而组集群的案例，整体需求背景、工具使用介绍、注意点总结都比较清晰，期待楼主带来更多有价值的案例分享

逐句地看完这个帖子以后，我的心久久不能平静，震撼啊!为什么会有如此好的帖子!我纵横社区多年，自以为再也不会有任何帖子能打动我，没想到今天看到了如此精妙绝伦的这样一篇帖子。

逐句地看完这个帖子以后，我的心久久不能平静，震撼啊!为什么会有如此好的帖子!我纵横社区多年，自以为再也不会有任何帖子能打动我，没想到今天看到了如此精妙绝伦的这样一篇帖子。

感谢楼主无私奉献，图文并茂，步骤清晰

很容易就上手。谢谢分享！

每天学习一点点，每天进步一点点！

坚持每日学习打卡

坚持学习，坚持打卡 。。。。。。。。。。。。。

每日一学，坚持打卡。