年度渠道高級認證培訓(xùn)-集群部署模式培訓(xùn)

SANGFORSSLVPN集群部署培訓(xùn)培訓(xùn)內(nèi)容培訓(xùn)目標(biāo)集群部署模式1、了解集群的相關(guān)概念2、掌握集群支持的部署模式負載均衡集群1、掌握負載均衡集群的部署模式及各模式下

的工作方式。2、掌握負載均衡集群各個模式的配置思路及

配置步驟。分布式集群1、了解分布式集群的功能及工作方式。2、了解分布式集群的配置步驟。集群部署的注意事項1、掌握集群部署的注意事項集群部署模式介紹深信服公司簡介集群部署模式配置集群授權(quán)及部署注意事項SANGFORSSL集群分布式集群功能介紹集群名詞解釋集群(cluster)就是一組設(shè)備的組合，它們作為一個整體向用戶提供一組網(wǎng)絡(luò)資源服務(wù)，這些單個系統(tǒng)就是集群的節(jié)點(node)。CIP：集群虛擬IP地址，即所有集群節(jié)點對外呈現(xiàn)的一個共同的IP地址。分發(fā)器：下發(fā)配置策略的主設(shè)備。在一個集群環(huán)境中，只能有一臺能夠成為分發(fā)器。真實服務(wù)器：配置數(shù)據(jù)從分發(fā)器上進行同步，不能修改配置數(shù)據(jù)，分發(fā)器本身也是一臺真實服務(wù)器。集群名詞解釋

如右圖兩臺SSLVPN設(shè)備構(gòu)建一個集群環(huán)境（網(wǎng)關(guān)模式多線路部署圖）。CIP：分發(fā)器：LAN口地址為的設(shè)備真實服務(wù)器：對應(yīng)LAN地址為的設(shè)備集群部署模式介紹部署模式_簡介

1、部署模式是指設(shè)備以什么樣的工作模式部署到客戶網(wǎng)絡(luò)中去，不同的部署方式對客戶的網(wǎng)絡(luò)影響各有不同，具體以何種部署方式需要綜合客戶具體的網(wǎng)絡(luò)環(huán)境和客戶的功能需求而定。

2、SSLVPN集群支持網(wǎng)關(guān)（單線路和多線路）、單臂（單線路和多線路）兩種工作模式。由于集群單臂多線路的使用場景比較少見，故本PPT中不給予介紹。集群部署模式介紹網(wǎng)關(guān)模式（單線路）集群網(wǎng)關(guān)模式下工作方式：

所有節(jié)點配置一個相同的WAN1口CIP地址（外網(wǎng)線路的真實IP或和前置防火墻同網(wǎng)段能通信的IP地址），和相同的LAN口CIP地址，對用戶和其他網(wǎng)絡(luò)中的設(shè)備而言，相當(dāng)于是一個設(shè)備在工作。用戶通過WAN1口CIP地址登錄SSLVPN。每個節(jié)點設(shè)備仍然需要配置各自的LAN、WAN口真實的IP地址，用來登錄各個節(jié)點設(shè)備和從分發(fā)器同步配置。集群部署模式介紹配置要求：網(wǎng)關(guān)模式下要求所有節(jié)點的WAN口IP地址必須在同網(wǎng)段（WAN口IP可以隨意設(shè)置），但和WAN口CIP地址在不同網(wǎng)段；所有節(jié)點的LAN口IP地址和CIP在同網(wǎng)段。網(wǎng)關(guān)模式（單線路）集群部署模式介紹網(wǎng)關(guān)模式（多線路）集群網(wǎng)關(guān)多線路模式下工作方式：

所有節(jié)點配置相同的WAN1，WAN2等CIP地址（各條公網(wǎng)線路的真實IP地址或和前置防火墻同網(wǎng)段能通信的IP地址），和LAN口CIP地址，對用戶和其他網(wǎng)絡(luò)中的設(shè)備而言，相當(dāng)于是一個設(shè)備在工作。用戶通過各個WAN口CIP地址登錄SSLVPN。每個節(jié)點設(shè)備仍然需要配置各自的LAN、WAN口真實的IP地址，用來登陸各個節(jié)點設(shè)備和從分發(fā)器同步配置。集群部署模式介紹網(wǎng)關(guān)模式（多線路）配置要求：網(wǎng)關(guān)模式下要求所有節(jié)點的WAN1口IP地址必須在同網(wǎng)段（WAN1口IP可隨意設(shè)置），但和WAN1口CIP地址在不同網(wǎng)段；WAN2口IP地址必須在同網(wǎng)段（WAN2口IP可隨意設(shè)置，必須和WAN1口IP在不同網(wǎng)段），但和WAN2口CIP在不同網(wǎng)段。所有節(jié)點LAN口IP地址和CIP地址在同網(wǎng)段。集群部署模式式介紹單臂模式集群單臂模式式下工作方式式：所有節(jié)點配置置相同的LAN口CIP地址。這種情情況下，需要要把LAN口CIP地址映射到公公網(wǎng)，用于提提供SSLVPN用戶的登錄。。對用戶和其其他網(wǎng)絡(luò)中的的設(shè)備而言，，相當(dāng)于是一一個設(shè)備在工工作。每個節(jié)點設(shè)備備仍然需要配配置各自的LAN口IP地址，用來登登陸各個節(jié)點點設(shè)備和從分分發(fā)器同步配配置。集群部署模式式介紹單臂模式配置要求：單臂模式下要要求所有節(jié)點點的LAN口IP地址和CIP地址在同一個個網(wǎng)段，LAN口默認網(wǎng)關(guān)，，DNS需設(shè)置正確。。單線路多線路單臂模式網(wǎng)關(guān)模模式集群部部署模模式配配置單臂模模式網(wǎng)網(wǎng)絡(luò)環(huán)環(huán)境客戶網(wǎng)網(wǎng)絡(luò)已已經(jīng)搭搭建好好，客客戶已已有防防火墻墻做網(wǎng)網(wǎng)關(guān)，，代理理內(nèi)網(wǎng)網(wǎng)用戶戶上網(wǎng)網(wǎng)，為為了不不改變變客戶戶現(xiàn)有有網(wǎng)絡(luò)絡(luò)拓撲撲，可可以采采用單單臂部部署實實現(xiàn)應(yīng)應(yīng)用服服務(wù)器器的發(fā)發(fā)布；；注意事事項：：需要要防火火墻做做端口口映射射發(fā)布布CIP地址TCP80,443端口到到公網(wǎng)網(wǎng)單臂部部署模模式配配置單臂部部署模模式配配置單臂模模式配配置思思路1、設(shè)備備信息息檢查查：確確定集集群序序列號號已經(jīng)經(jīng)開通通，確確定移移動授授權(quán)已已經(jīng)開開通；；2、網(wǎng)口口配置置：確確定各各節(jié)點點設(shè)備備LAN口的IP地址（（，），網(wǎng)網(wǎng)關(guān)地地址（（）；3、集群群配置置：確確定LAN口集群群IP地址（（）；在在前置置NAT設(shè)備做做集群群地址址的TCP80、443端口映映射到到公網(wǎng)網(wǎng)；單臂部部署模模式配配置單臂模模式配配置截截圖1、[系統(tǒng)配配置]-[序列號號管理理]，集群群配置置是通通過集集群序序列號號激活活集群群功能能單臂部部署模模式配配置單臂模模式配配置截截圖2、配置置兩臺臺SSLVPN設(shè)備的的工作作模式式、LAN口地址址、網(wǎng)網(wǎng)關(guān)地地址和和DNS地址，，外網(wǎng)線線路不不需要要配置置。其其中，，LAN口地址址必須須和集集群IP地址同同網(wǎng)段段單臂部部署模模式配配置單臂模模式配配置截截圖3、【系統(tǒng)設(shè)設(shè)置】--【SSLVPN選項】--【集群部部署】，啟用用集群群部署署功能能，設(shè)設(shè)置兩兩臺SSLVPN設(shè)備的的集群群部署署密鑰鑰（兩兩臺密密鑰一一致））、LAN口，單臂臂模式式下DMZ、WAN口CIP不需要要配置置；在分發(fā)發(fā)器選選舉規(guī)規(guī)則中中，優(yōu)優(yōu)先級級高的的設(shè)備備做為為分發(fā)發(fā)器，，優(yōu)先先級低低的則則成為為真實實服務(wù)務(wù)器（優(yōu)先先級要要有區(qū)區(qū)分且且不能能兩臺臺設(shè)備備都勾勾選作作為分分發(fā)器器）網(wǎng)關(guān)部部署模模式配配置網(wǎng)關(guān)模模式單單線路路網(wǎng)絡(luò)絡(luò)環(huán)境境客戶想想替代代現(xiàn)有有的防防火墻墻，或或者有有做代代理上上網(wǎng)的的需求求，可可以選選擇網(wǎng)網(wǎng)關(guān)模模式，，同時時設(shè)備備本身身就具具有防防火墻墻功能能，可可以做做防火火墻使使用；；注意事事項：：SSL設(shè)備做做網(wǎng)關(guān)關(guān)的話話，如如果設(shè)設(shè)備是是用撥撥號上上網(wǎng)，，不支支持集集群。。網(wǎng)關(guān)部部署模模式配配置網(wǎng)關(guān)模模式單單線路路配置置思路路1、設(shè)備備信息息檢查查：確確定集集群序序列號號已經(jīng)經(jīng)開通通，并并且有有足夠夠的移移動用用戶授授權(quán)。。2、網(wǎng)口口配置置：確確定各各個SSL設(shè)備LAN的IP地址（（，），保保證SSLVPN設(shè)備能能夠和和服務(wù)務(wù)器通通信（（在三三層環(huán)環(huán)境下下，設(shè)設(shè)備要要添加加回包包路由由）；；確定定WAN口的地地址和和網(wǎng)關(guān)關(guān)地址址（WAN口IP可隨意意設(shè)置置為，，WAN口網(wǎng)關(guān)關(guān)為，和WAN口IP同網(wǎng)段段）3、集群群配置置：確確定LAN口集群群IP地址（（，和和LAN口IP同網(wǎng)段段）；；確定定WAN口的集集群IP地址（（）和網(wǎng)網(wǎng)關(guān)（（），WAN口集群群IP實際為為公網(wǎng)網(wǎng)線路路IP，用于于和公公網(wǎng)通通信，，必須須和WAN口的IP地址在在不同同網(wǎng)段段，所所以第第二步步驟中中的WAN口地址址和網(wǎng)網(wǎng)關(guān)可可以隨隨意設(shè)設(shè)置。。網(wǎng)關(guān)部部署模模式配配置網(wǎng)關(guān)模模式單單線路路配置置截圖圖1、[系統(tǒng)配配置]-[序列號號管理理]，集群群配置置是通通過集集群序序列號號激活活集群群功能能網(wǎng)關(guān)部部署模模式配配置網(wǎng)關(guān)模模式單單線路路配置置截圖圖2、配置置兩臺臺SSLVPN設(shè)備LAN口地址址，外外網(wǎng)線線路WAN1的地址址以及及網(wǎng)關(guān)關(guān)和公公網(wǎng)DNS；其中，，LAN口地址址必須須和CIP地址同同網(wǎng)段段，WAN口IP不能和和WAN口CIP在同一一個網(wǎng)網(wǎng)段,如WAN口CIP地址為為：，則可可以將將兩臺臺SSLVPNWAN口任意意配置置為：：，網(wǎng)關(guān)關(guān)地址址網(wǎng)關(guān)部部署模模式配配置網(wǎng)關(guān)模模式單單線路路配置置截圖圖3、【系統(tǒng)設(shè)設(shè)置】--【SSLVPN選項】--【集群部部署】，啟用用集群群部署署功能能，設(shè)設(shè)置兩兩臺SSLVPN設(shè)備的的集群群部署署密鑰鑰、LAN口CIP，WAN口CIP；在分分發(fā)器器選舉舉規(guī)則則中，，優(yōu)先先級高高的設(shè)設(shè)備做做為分分發(fā)器器，（（優(yōu)先先級要要有區(qū)區(qū)分且且不能能兩臺臺均勾勾選始始終做做為分分發(fā)器器）網(wǎng)關(guān)多多線路路部署署模式式配置置網(wǎng)關(guān)模模式多多線路路網(wǎng)絡(luò)絡(luò)環(huán)境境一般是是客戶戶有兩兩條互互聯(lián)網(wǎng)網(wǎng)線路路，和和網(wǎng)關(guān)關(guān)單線線路應(yīng)應(yīng)用相相似，，只是是多用用一條條互聯(lián)聯(lián)網(wǎng)線線路發(fā)發(fā)布服服務(wù)器器，增增加了了鏈路路的穩(wěn)穩(wěn)定性性；注意：：設(shè)設(shè)備需需要開開雙線線路授授權(quán),WAN1口的CIP不能和和WAN1口真實實IP在同一一網(wǎng)段段，WAN2的真實IP也不能能和WAN1的真實實IP在同一一網(wǎng)段段網(wǎng)關(guān)多多線路路部署署模式式配置置網(wǎng)關(guān)模模式多多線路路配置置思路路1、設(shè)備備信息息檢查查：確確定集集群序序列號號已經(jīng)經(jīng)開通通，確確定開開雙線線路，，移動動授權(quán)權(quán)已經(jīng)經(jīng)開通通；2、網(wǎng)口口配置置：確確定設(shè)設(shè)備LAN的IP地址（（，），保保證SSLVPN設(shè)備能能夠和和服務(wù)務(wù)器通通信（（在三三層環(huán)環(huán)境下下，設(shè)設(shè)備要要回包包路由由）；；確確定WAN1、WAN2口的地地址（（WAN1和WAN2口IP地址隨隨意配配置，，不在在同網(wǎng)網(wǎng)段即即可）），網(wǎng)網(wǎng)關(guān)地地址（（和WAN口IP同網(wǎng)段段3、集群群配置置：確確定LAN口集群群IP地址（（）；確確定WAN1口集群群IP地址（（）和網(wǎng)網(wǎng)關(guān)（（），WAN2口的集群IP地址（）和網(wǎng)關(guān)（（）；WAN1和WAN2口集群IP地址，實際際為兩條公公網(wǎng)線路的的公網(wǎng)IP地址，用于于和公網(wǎng)通通信。網(wǎng)關(guān)多線路路部署模式式配置網(wǎng)關(guān)模式多多線路配置置截圖網(wǎng)關(guān)模式多多線路，網(wǎng)網(wǎng)口配置和和網(wǎng)關(guān)單線線路配置一一樣，唯一一不同的只只是多加一一個WAN2口CIP地址。集群狀態(tài)與與負載說明明集群設(shè)置成成功后如圖圖所示，通通過查看集集群部署狀狀態(tài)可以看看到處于分分發(fā)器和真真實服務(wù)器器狀態(tài)的節(jié)節(jié)點IP、節(jié)點類型型、運行狀狀態(tài)以及接接入的移動動用戶數(shù)目目。分布式集群群分布式集群群分布式集群群簡介分布式部署署，多設(shè)備備異地組成成集群，是是基于Internet的分布式部部署，組成成分布式部部署后，只只需要在主主節(jié)點控制制臺上操作作就可以自自動把數(shù)據(jù)據(jù)同步到其其他從節(jié)點點上，同時時主節(jié)點會會定時檢查查從節(jié)點的的數(shù)據(jù)是否否和自己一一致，如果果發(fā)現(xiàn)不一一致會主動動去將從節(jié)節(jié)點的數(shù)據(jù)據(jù)同步。保保持整個集集群環(huán)境的的數(shù)據(jù)一致致性。分布布式部署集集群通過點點對點的數(shù)數(shù)據(jù)同步技技術(shù)，保持持節(jié)點間配配置數(shù)據(jù)的的一致性與與完整性，，提供如下下功能：1、跨區(qū)域設(shè)設(shè)備的統(tǒng)一一管理2、支持統(tǒng)一一域名最快快接入3、異地備份份容災(zāi)功能能分布式集群群分布式集群群部署說明明客戶有多個個分公司和和總部內(nèi)部部有專線互互聯(lián)，服務(wù)務(wù)器群在總總部，且每每個公司都都有各自的的公網(wǎng)線路路，要實現(xiàn)現(xiàn)各地移動動辦公，能能用最快的的方式接入入和訪問SSLVPN，那么這個個情況可以以采用分布布式部署。。分布式部署署的工作方方式：分布式部署署通過webagent來登記和獲獲取各個節(jié)節(jié)點的配置置信息，需需要搭建一一個webagent服務(wù)器（支支持asp、php），webagent服務(wù)器是用用來獲取各各個節(jié)點的的公網(wǎng)IP地址，各地地訪問webagent接入SSLVPN時，會返回回最快訪問問鏈路的節(jié)節(jié)點IP給客戶端，，實現(xiàn)整網(wǎng)網(wǎng)SSLVPN的統(tǒng)一域名名接入和異異地容災(zāi)。。分布式集群群用戶接入入示意圖搭建一個webagent服務(wù)器（支支持asp、php）用戶訪問下載圖片比比較速度Webagent地址：上傳各節(jié)點點地址到webagent選擇深圳接接入SSL三個點都部部署了SANGFORSSLVPN的設(shè)備，現(xiàn)現(xiàn)在需要做做分布式集集群部署分布式集群群配置各個地區(qū)按按照前面部部署方式以以網(wǎng)關(guān)或者者單臂方式式部署設(shè)備備，搭建好好webagent服務(wù)器，各各個節(jié)點上上傳節(jié)點信信息到webagent服務(wù)器，其其中主節(jié)點點保證各個個節(jié)點數(shù)據(jù)據(jù)的同步，，為了保證證SSLVPN接入的穩(wěn)定定，可采用用多webagent來實現(xiàn)備份份，分布式式節(jié)點頁面面也只顯示示當(dāng)前進行行數(shù)據(jù)同步步的webagent服務(wù)上報的的節(jié)點，可可以添加多多個webagent，節(jié)點會向向每個webagent上報IP分布式部署署配置截圖圖分布式集群群一個集群只只能有一個個主節(jié)點，，如果啟用用動態(tài)分配配虛擬IP，需在各節(jié)節(jié)點單獨設(shè)設(shè)置虛擬IP池分布式部署署配置截圖圖集群授權(quán)1、集群部署署環(huán)境中，，移動用戶戶的總授權(quán)權(quán)數(shù)目為加加入該集群群部署的各各SSLVPN設(shè)備移動用用戶數(shù)目的的總和。2、集群部署署環(huán)境中，，當(dāng)某個SSLVPN設(shè)備由于宕宕機退出集集群后，另另外一臺設(shè)設(shè)備可以使使用移動用用戶的總授授權(quán)數(shù)目，，為期60天，60天后，如果果該宕機設(shè)設(shè)備仍然不不能加入集集群，則正正常運行的的設(shè)備恢復(fù)復(fù)原有授權(quán)權(quán)數(shù)目。集群部署注注意事項1、每個節(jié)點點的網(wǎng)關(guān)序序列號、短短信序列號號、單點登登錄序列號號等均需要要先單獨配配置好再加加入集群。。2、建議將集集群中性能能最好的設(shè)設(shè)備配置為為始終成為為分發(fā)器。。DMZ口的CIP不提供分發(fā)發(fā)功能，只只有LAN口和WAN口會提供分分發(fā)功能。。3、使用RADIUS認證時，RADIUS服務(wù)端需要要將集群環(huán)環(huán)境中每個個節(jié)點的真真實LAN口IP加入到驗證證通過的列列表中。4、集群中代代理上網(wǎng)功功能由集群群IP來實現(xiàn)，退退出集群后后恢復(fù)由WAN口真實IP來代理。1.什么是分發(fā)發(fā)器？假如如客戶一共共部署了5臺SNAGFORSSL設(shè)備做成集集群，那么么這5臺設(shè)備可以以同時成為為分發(fā)器嗎嗎？2.請描述兩臺臺SANGFORSSL設(shè)備做成單單臂模式集集群需要怎怎么設(shè)置？？3.請描述分布布式集群如如何保證用用戶的接入入選擇的是是最快的SSL設(shè)備？問題思考9、靜夜夜四無無鄰，，荒居居舊業(yè)業(yè)貧。。。12月月-2212月月-22Saturday,December31,202210、雨中中黃葉葉樹，，燈下下白頭頭人。。。09:20:3109:20:3109:2012/31/20229:20:31AM11、以我獨獨沈久，，愧君相相見頻。。。12月-2209:20:3109:20Dec-2231-Dec-2212、故人人江海海別，，幾度度隔山山川。。。09:20:3209:20:3209:20Saturday,December31,202213、乍乍見見翻翻疑疑夢夢，，相相悲悲各各問問年年。。。。12月月-2212月月-2209:20:3209:20:32December31,202214、他鄉(xiāng)生白發(fā)發(fā)，舊國見青青山。。31十二月月20229:20:32上午09:20:3212月-2215、比不不了得得就不不比，，得不不到的的就不不要。。。。十二月月229:20上上午午12月月-2209:20December31,202216、行動動出成成果，，工作作出財財富。。。2022/12/319:20:3209:20:3231December202217、做前，，能夠環(huán)環(huán)視四周周；做時時，你只只能或者者最好沿沿著以腳腳為起點點的射線線向前。。。9:20:32上午午9:20上午午09:20:3212月-229、沒有失敗敗，只有暫暫時停止成成功！。12月-2212月-22Saturday,December31,202210、很多事情情努力了未未必有結(jié)果果，但是不不努力卻什什么改變也也沒有。。。09:20:3209:20:3209:2012/31/20229:20:32AM11、成成功功就就是是日日復(fù)復(fù)一一日日那那一一點點點點小小小小努努力力的的積積累累。。。。12月月-2209:20:3209:20Dec-2231-Dec-2212、世間成事事，不求其其絕對圓滿滿，留一份份不足，可可得無限完完美。。09:20:3209:20:3209:20Saturday,December31,202213、不知香積積寺，數(shù)里里入云峰。。。12月-2212月-2209:20:3209:20:32December31,202214、意志堅堅強的人人能把世世界放在在手中像像泥塊一一樣任意意揉捏。。31十十二月20229:20:32上午午09:20:3212月-2215、楚楚塞塞三三湘湘接接，，荊荊門門九九派派通通。。。。。十二二月月229:20上上午午12月月-2209:20December31,202216、少少年年十十五五二二十十時時，，步步行行奪奪得得胡胡馬馬騎騎。。。。2022/12/319:20:3209:20:3231December202217、空空山山新新雨雨后后，，天天氣氣晚晚