年度渠道高級認證培訓(xùn)-集群部署模式培訓(xùn)

1、SANGFOR SSL VPN集群部署培訓(xùn)第一頁，共三十八頁。培訓(xùn)內(nèi)容培訓(xùn)目標(biāo)集群部署模式1、了解集群的相關(guān)概念2、掌握集群支持的部署模式負載均衡集群1、掌握負載均衡集群的部署模式及各模式下 的工作方式。2、掌握負載均衡集群各個模式的配置思路及 配置步驟。分布式集群1、了解分布式集群的功能及工作方式。2、了解分布式集群的配置步驟。集群部署的注意事項1、掌握集群部署的注意事項第二頁，共三十八頁。集群部署模式介紹深信服公司簡介集群部署模式配置集群授權(quán)及部署注意事項SANGFORSSL集群分布式集群功能介紹第三頁，共三十八頁。集群名詞解釋集群(cluster)就是一組設(shè)備的組合，它們作為一個整體向用

2、戶提供一組網(wǎng)絡(luò)資源服務(wù)，這些單個系統(tǒng)就是集群的節(jié)點(node)。CIP：集群虛擬IP地址，即所有集群節(jié)點對外呈現(xiàn)的一個共同的IP地址。分發(fā)器：下發(fā)配置策略的主設(shè)備。在一個集群環(huán)境中，只能有一臺能夠成為分發(fā)器。真實服務(wù)器：配置數(shù)據(jù)從分發(fā)器上進行同步，不能修改配置數(shù)據(jù)，分發(fā)器本身也是一臺真實服務(wù)器。第四頁，共三十八頁。集群名詞解釋 如右圖兩臺SSL VPN設(shè)備構(gòu)建一個集群環(huán)境（網(wǎng)關(guān)模式多線路部署圖）。CIP：分發(fā)器：LAN口地址為的設(shè)備真實服務(wù)器：對應(yīng)LAN地址為的設(shè)備第五頁，共三十八頁。集群部署模式介紹部署模式_簡介1、部署模式是指設(shè)備以什么樣的工作模式部署到客戶網(wǎng)絡(luò)中去，不同的部署方式對客戶的

3、網(wǎng)絡(luò)影響各有不同，具體以何種部署方式需要綜合客戶具體的網(wǎng)絡(luò)環(huán)境和客戶的功能需求而定。2、SSL VPN集群支持網(wǎng)關(guān)（單線路和多線路）、單臂（單線路和多線路）兩種工作模式。由于集群單臂多線路的使用場景比較少見，故本PPT中不給予介紹。第六頁，共三十八頁。集群部署模式介紹網(wǎng)關(guān)模式（單線路） 集群網(wǎng)關(guān)模式下工作方式： 所有節(jié)點配置一個相同的WAN1口CIP地址（外網(wǎng)線路的真實IP或和前置防火墻同網(wǎng)段能通信的IP地址），和相同的LAN口CIP地址，對用戶和其他網(wǎng)絡(luò)中的設(shè)備而言，相當(dāng)于是一個設(shè)備在工作。 用戶通過WAN1口CIP地址登錄SSL VPN。 每個節(jié)點設(shè)備仍然需要配置各自的LAN、WAN口真實

4、的IP地址，用來登錄各個節(jié)點設(shè)備和從分發(fā)器同步配置。第七頁，共三十八頁。集群部署模式介紹配置要求：網(wǎng)關(guān)模式下要求所有節(jié)點的WAN口IP地址必須在同網(wǎng)段（WAN口IP可以隨意設(shè)置），但和WAN口CIP地址在不同網(wǎng)段； 所有節(jié)點的LAN口IP地址和CIP在同網(wǎng)段。網(wǎng)關(guān)模式（單線路）第八頁，共三十八頁。集群部署模式介紹網(wǎng)關(guān)模式（多線路） 集群網(wǎng)關(guān)多線路模式下工作方式： 所有節(jié)點配置相同的WAN1，WAN2等CIP地址（各條公網(wǎng)線路的真實IP地址或和前置防火墻同網(wǎng)段能通信的IP地址），和LAN口CIP地址，對用戶和其他網(wǎng)絡(luò)中的設(shè)備而言，相當(dāng)于是一個設(shè)備在工作。 用戶通過各個WAN口CIP地址登錄SSL

5、 VPN。 每個節(jié)點設(shè)備仍然需要配置各自的LAN、WAN口真實的IP地址，用來登陸各個節(jié)點設(shè)備和從分發(fā)器同步配置。第九頁，共三十八頁。集群部署模式介紹網(wǎng)關(guān)模式（多線路）配置要求：網(wǎng)關(guān)模式下要求所有節(jié)點的WAN1口IP地址必須在同網(wǎng)段（WAN1口IP可隨意設(shè)置），但和WAN1口CIP地址在不同網(wǎng)段；WAN2口IP地址必須在同網(wǎng)段（WAN2口IP可隨意設(shè)置，必須和WAN1口IP在不同網(wǎng)段），但和WAN2口CIP在不同網(wǎng)段。所有節(jié)點LAN口IP地址和CIP地址在同網(wǎng)段。第十頁，共三十八頁。集群部署模式介紹單臂模式 集群單臂模式下工作方式： 所有節(jié)點配置相同的LAN口CIP地址。這種情況下，需要把LA

6、N口CIP地址映射到公網(wǎng)，用于提供SSL VPN用戶的登錄。對用戶和其他網(wǎng)絡(luò)中的設(shè)備而言，相當(dāng)于是一個設(shè)備在工作。 每個節(jié)點設(shè)備仍然需要配置各自的LAN口IP地址，用來登陸各個節(jié)點設(shè)備和從分發(fā)器同步配置。第十一頁，共三十八頁。集群部署模式介紹單臂模式配置要求：單臂模式下要求所有節(jié)點的LAN口IP地址和CIP地址在同一個網(wǎng)段，LAN口默認網(wǎng)關(guān)，DNS需設(shè)置正確。第十二頁，共三十八頁。單線路多線路單臂模式網(wǎng)關(guān)模式集群部署模式配置第十三頁，共三十八頁。單臂模式網(wǎng)絡(luò)環(huán)境客戶網(wǎng)絡(luò)已經(jīng)搭建好，客戶已有防火墻做網(wǎng)關(guān)，代理內(nèi)網(wǎng)用戶上網(wǎng)，為了不改變客戶現(xiàn)有網(wǎng)絡(luò)拓撲，可以采用單臂部署實現(xiàn)應(yīng)用服務(wù)器的發(fā)布；注意事項

7、：需要防火墻做端口映射發(fā)布CIP地址TCP80, 443端口到公網(wǎng)單臂部署模式配置第十四頁，共三十八頁。單臂部署模式配置單臂模式配置思路1、設(shè)備信息檢查：確定集群序列號已經(jīng)開通，確定移動授權(quán)已經(jīng)開通；2、網(wǎng)口配置：確定各節(jié)點設(shè)備LAN口的IP地址（，），網(wǎng)關(guān)地址（54）；3、集群配置：確定LAN口集群IP地址（）；在前置NAT設(shè)備做集群地址的TCP80、 443端口映射到公網(wǎng)；第十五頁，共三十八頁。單臂部署模式配置 單臂模式配置截圖1、系統(tǒng)配置-序列號管理，集群配置是通過集群序列號激活集群功能第十六頁，共三十八頁。單臂部署模式配置 單臂模式配置截圖2、配置兩臺SSL VPN設(shè)備的工作模式、LA

8、N口地址、網(wǎng)關(guān)地址和DNS地址，外網(wǎng)線路不需要配置。其中，LAN口地址必須和集群IP地址同網(wǎng)段第十七頁，共三十八頁。單臂部署模式配置 單臂模式配置截圖3、【系統(tǒng)設(shè)置】-【SSL VPN選項】-【集群部署】，啟用集群部署功能，設(shè)置兩臺SSL VPN設(shè)備的集群部署密鑰（兩臺密鑰一致）、LAN口CIP，單臂模式下DMZ、WAN口CIP不需要配置；在分發(fā)器選舉規(guī)則中，優(yōu)先級高的設(shè)備做為分發(fā)器，優(yōu)先級低的則成為真實服務(wù)器（優(yōu)先級要有區(qū)分且不能兩臺設(shè)備都勾選作為分發(fā)器）第十八頁，共三十八頁。網(wǎng)關(guān)部署模式配置網(wǎng)關(guān)模式單線路網(wǎng)絡(luò)環(huán)境客戶想替代現(xiàn)有的防火墻，或者有做代理上網(wǎng)的需求，可以選擇網(wǎng)關(guān)模式，同時設(shè)備本身

9、就具有防火墻功能，可以做防火墻使用；注意事項：SSL設(shè)備做網(wǎng)關(guān)的話，如果設(shè)備是用撥號上網(wǎng)，不支持集群。 第十九頁，共三十八頁。網(wǎng)關(guān)部署模式配置網(wǎng)關(guān)模式單線路配置思路1、設(shè)備信息檢查：確定集群序列號已經(jīng)開通，并且有足夠的移動用戶授權(quán)。2、網(wǎng)口配置：確定各個SSL設(shè)備LAN的IP地址（，），保證SSL VPN設(shè)備能夠和服務(wù)器通信（在三層環(huán)境下，設(shè)備要添加回包路由）；確定WAN口的地址和網(wǎng)關(guān)地址（WAN口IP可隨意設(shè)置為，WAN口網(wǎng)關(guān)為，和WAN口IP同網(wǎng)段）3、集群配置：確定LAN口集群IP地址（， 和LAN口IP同網(wǎng)段）；確定WAN口的集群IP地址（47）和網(wǎng)關(guān)（），WAN口集群IP實際為公網(wǎng)線

10、路IP，用于和公網(wǎng)通信，必須和WAN口的IP地址在不同網(wǎng)段，所以第二步驟中的WAN口地址和網(wǎng)關(guān)可以隨意設(shè)置。第二十頁，共三十八頁。網(wǎng)關(guān)部署模式配置 網(wǎng)關(guān)模式單線路配置截圖1、系統(tǒng)配置-序列號管理，集群配置是通過集群序列號激活集群功能第二十一頁，共三十八頁。網(wǎng)關(guān)部署模式配置 網(wǎng)關(guān)模式單線路配置截圖2、配置兩臺SSL VPN設(shè)備LAN口地址，外網(wǎng)線路WAN1的地址以及網(wǎng)關(guān)和公網(wǎng)DNS；其中，LAN口地址必須和CIP地址同網(wǎng)段，WAN口IP不能和WAN口CIP 在同一個網(wǎng)段,如WAN口CIP地址為：47，則可以將兩臺SSLVPN WAN口任意配置為：/，網(wǎng)關(guān)地址第二十二頁，共三十八頁。網(wǎng)關(guān)部署模式配

11、置 網(wǎng)關(guān)模式單線路配置截圖3、【系統(tǒng)設(shè)置】-【SSL VPN選項】-【集群部署】，啟用集群部署功能，設(shè)置兩臺SSL VPN設(shè)備的集群部署密鑰、LAN口CIP，WAN口CIP；在分發(fā)器選舉規(guī)則中，優(yōu)先級高的設(shè)備做為分發(fā)器，（優(yōu)先級要有區(qū)分且不能兩臺均勾選始終做為分發(fā)器）第二十三頁，共三十八頁。網(wǎng)關(guān)多線路部署模式配置網(wǎng)關(guān)模式多線路網(wǎng)絡(luò)環(huán)境一般是客戶有兩條互聯(lián)網(wǎng)線路，和網(wǎng)關(guān)單線路應(yīng)用相似，只是多用一條互聯(lián)網(wǎng)線路發(fā)布服務(wù)器，增加了鏈路的穩(wěn)定性；注意： 設(shè)備需要開雙線路授權(quán), WAN1口的CIP不能和WAN1口真實IP在同一網(wǎng)段，WAN2的真實IP也不能和WAN1的真實IP在同一網(wǎng)段第二十四頁，共三十八

12、頁。網(wǎng)關(guān)多線路部署模式配置網(wǎng)關(guān)模式多線路配置思路1、設(shè)備信息檢查：確定集群序列號已經(jīng)開通，確定開雙線路，移動授權(quán)已經(jīng)開通；2、網(wǎng)口配置：確定設(shè)備LAN的IP地址（，），保證SSLVPN設(shè)備能夠和服務(wù)器通信（在三層環(huán)境下，設(shè)備要回包路由） ；確定WAN1、WAN2口的地址（WAN1和WAN2口IP地址隨意配置，不在同網(wǎng)段即可），網(wǎng)關(guān)地址（和WAN口IP同網(wǎng)段3、集群配置：確定LAN口集群IP地址（）；確定WAN1口集群IP地址（47）和網(wǎng)關(guān)（），WAN2口的集群IP地址（46）和網(wǎng)關(guān)（）；WAN1和WAN2口集群IP地址，實際為兩條公網(wǎng)線路的公網(wǎng)IP地址，用于和公網(wǎng)通信。第二十五頁，共三十八頁。

13、網(wǎng)關(guān)多線路部署模式配置 網(wǎng)關(guān)模式多線路配置截圖網(wǎng)關(guān)模式多線路，網(wǎng)口配置和網(wǎng)關(guān)單線路配置一樣，唯一不同的只是多加一個WAN2口CIP地址。第二十六頁，共三十八頁。集群狀態(tài)與負載說明 集群設(shè)置成功后如圖所示，通過查看集群部署狀態(tài)可以看到處于分發(fā)器和真實服務(wù)器狀態(tài)的節(jié)點IP、節(jié)點類型、運行狀態(tài)以及接入的移動用戶數(shù)目。第二十七頁，共三十八頁。分布式集群第二十八頁，共三十八頁。分布式集群分布式集群簡介 分布式部署，多設(shè)備異地組成集群，是基于Internet的分布式部署，組成分布式部署后，只需要在主節(jié)點控制臺上操作就可以自動把數(shù)據(jù)同步到其他從節(jié)點上，同時主節(jié)點會定時檢查從節(jié)點的數(shù)據(jù)是否和自己一致，如果發(fā)現(xiàn)

14、不一致會主動去將從節(jié)點的數(shù)據(jù)同步。保持整個集群環(huán)境的數(shù)據(jù)一致性。分布式部署集群通過點對點的數(shù)據(jù)同步技術(shù)，保持節(jié)點間配置數(shù)據(jù)的一致性與完整性，提供如下功能： 1、跨區(qū)域設(shè)備的統(tǒng)一管理 2、支持統(tǒng)一域名最快接入 3、異地備份容災(zāi)功能第二十九頁，共三十八頁。分布式集群分布式集群部署說明客戶有多個分公司和總部內(nèi)部有專線互聯(lián)，服務(wù)器群在總部，且每個公司都有各自的公網(wǎng)線路，要實現(xiàn)各地移動辦公，能用最快的方式接入和訪問SSL VPN，那么這個情況可以采用分布式部署。分布式部署的工作方式：分布式部署通過webagent來登記和獲取各個節(jié)點的配置信息，需要搭建一個webagent服務(wù)器（支持asp、php），w

15、ebagent服務(wù)器是用來獲取各個節(jié)點的公網(wǎng)IP地址，各地訪問webagent接入SSL VPN時，會返回最快訪問鏈路的節(jié)點IP給客戶端，實現(xiàn)整網(wǎng)SSL VPN的統(tǒng)一域名接入和異地容災(zāi)。第三十頁，共三十八頁。分布式集群用戶接入示意圖搭建一個webagent服務(wù)器（支持asp、php）用戶訪問下載圖片比較速度Webagent地址：上傳各節(jié)點地址到webagent選擇深圳接入SSL三個點都部署了SANGFOR SSL VPN的設(shè)備，現(xiàn)在需要做分布式集群部署第三十一頁，共三十八頁。分布式集群配置各個地區(qū)按照前面部署方式以網(wǎng)關(guān)或者單臂方式部署設(shè)備，搭建好webagent服務(wù)器，各個節(jié)點上傳節(jié)點信息到w

16、ebagent服務(wù)器，其中主節(jié)點保證各個節(jié)點數(shù)據(jù)的同步，為了保證SSLVPN接入的穩(wěn)定，可采用多webagent來實現(xiàn)備份，分布式節(jié)點頁面也只顯示當(dāng)前進行數(shù)據(jù)同步的webagent服務(wù)上報的節(jié)點，可以添加多個webagent，節(jié)點會向每個webagent上報IP分布式部署配置截圖第三十二頁，共三十八頁。分布式集群一個集群只能有一個主節(jié)點，如果啟用動態(tài)分配虛擬IP，需在各節(jié)點單獨設(shè)置虛擬IP池分布式部署配置截圖第三十三頁，共三十八頁。集群授權(quán)1、集群部署環(huán)境中，移動用戶的總授權(quán)數(shù)目為加入該集群部署的各SSL VPN設(shè)備移動用戶數(shù)目的總和。2、集群部署環(huán)境中，當(dāng)某個SSL VPN設(shè)備由于宕機退出集

17、群后，另外一臺設(shè)備可以使用移動用戶的總授權(quán)數(shù)目，為期60天，60天后，如果該宕機設(shè)備仍然不能加入集群，則正常運行的設(shè)備恢復(fù)原有授權(quán)數(shù)目。第三十四頁，共三十八頁。集群部署注意事項1、每個節(jié)點的網(wǎng)關(guān)序列號、短信序列號、單點登錄序列號等均需要先單獨配置好再加入集群。2、建議將集群中性能最好的設(shè)備配置為始終成為分發(fā)器。DMZ口的CIP不提供分發(fā)功能，只有LAN口和WAN口會提供分發(fā)功能。3、使用RADIUS認證時， RADIUS服務(wù)端需要將集群環(huán)境中每個節(jié)點的真實LAN口IP加入到驗證通過的列表中。4、集群中代理上網(wǎng)功能由集群IP來實現(xiàn)，退出集群后恢復(fù)由WAN口真實IP來代理。第三十五頁，共三十八頁。1.什么是分發(fā)器？假如客戶一共部署了5臺SNAGFOR SSL設(shè)備做成集群，那么這5臺設(shè)備可以同時成為分發(fā)器嗎？2.請描述兩臺SANGFOR SSL設(shè)備做成單臂模式集群需要怎么設(shè)置？3.請描述分布式集群如何保證用戶的接入選擇的是最快的SSL設(shè)備？問題思考第三十六頁，共三十八頁。第三十七頁，共三十八頁。內(nèi)容總結(jié)SANGFOR SSL VPN。1、掌握負載均衡集群的