年度渠道高級(jí)認(rèn)證培訓(xùn)-集群部署模式培訓(xùn)

1、SANGFOR SSL VPN集群部署培訓(xùn)第一頁(yè)，共三十八頁(yè)。培訓(xùn)內(nèi)容培訓(xùn)目標(biāo)集群部署模式1、了解集群的相關(guān)概念2、掌握集群支持的部署模式負(fù)載均衡集群1、掌握負(fù)載均衡集群的部署模式及各模式下 的工作方式。2、掌握負(fù)載均衡集群各個(gè)模式的配置思路及 配置步驟。分布式集群1、了解分布式集群的功能及工作方式。2、了解分布式集群的配置步驟。集群部署的注意事項(xiàng)1、掌握集群部署的注意事項(xiàng)第二頁(yè)，共三十八頁(yè)。集群部署模式介紹深信服公司簡(jiǎn)介集群部署模式配置集群授權(quán)及部署注意事項(xiàng)SANGFORSSL集群分布式集群功能介紹第三頁(yè)，共三十八頁(yè)。集群名詞解釋集群(cluster)就是一組設(shè)備的組合，它們作為一個(gè)整體向用

2、戶提供一組網(wǎng)絡(luò)資源服務(wù)，這些單個(gè)系統(tǒng)就是集群的節(jié)點(diǎn)(node)。CIP：集群虛擬IP地址，即所有集群節(jié)點(diǎn)對(duì)外呈現(xiàn)的一個(gè)共同的IP地址。分發(fā)器：下發(fā)配置策略的主設(shè)備。在一個(gè)集群環(huán)境中，只能有一臺(tái)能夠成為分發(fā)器。真實(shí)服務(wù)器：配置數(shù)據(jù)從分發(fā)器上進(jìn)行同步，不能修改配置數(shù)據(jù)，分發(fā)器本身也是一臺(tái)真實(shí)服務(wù)器。第四頁(yè)，共三十八頁(yè)。集群名詞解釋 如右圖兩臺(tái)SSL VPN設(shè)備構(gòu)建一個(gè)集群環(huán)境（網(wǎng)關(guān)模式多線路部署圖）。CIP：分發(fā)器：LAN口地址為的設(shè)備真實(shí)服務(wù)器：對(duì)應(yīng)LAN地址為的設(shè)備第五頁(yè)，共三十八頁(yè)。集群部署模式介紹部署模式_簡(jiǎn)介1、部署模式是指設(shè)備以什么樣的工作模式部署到客戶網(wǎng)絡(luò)中去，不同的部署方式對(duì)客戶的

3、網(wǎng)絡(luò)影響各有不同，具體以何種部署方式需要綜合客戶具體的網(wǎng)絡(luò)環(huán)境和客戶的功能需求而定。2、SSL VPN集群支持網(wǎng)關(guān)（單線路和多線路）、單臂（單線路和多線路）兩種工作模式。由于集群?jiǎn)伪鄱嗑€路的使用場(chǎng)景比較少見，故本PPT中不給予介紹。第六頁(yè)，共三十八頁(yè)。集群部署模式介紹網(wǎng)關(guān)模式（單線路） 集群網(wǎng)關(guān)模式下工作方式： 所有節(jié)點(diǎn)配置一個(gè)相同的WAN1口CIP地址（外網(wǎng)線路的真實(shí)IP或和前置防火墻同網(wǎng)段能通信的IP地址），和相同的LAN口CIP地址，對(duì)用戶和其他網(wǎng)絡(luò)中的設(shè)備而言，相當(dāng)于是一個(gè)設(shè)備在工作。 用戶通過WAN1口CIP地址登錄SSL VPN。 每個(gè)節(jié)點(diǎn)設(shè)備仍然需要配置各自的LAN、WAN口真實(shí)

4、的IP地址，用來登錄各個(gè)節(jié)點(diǎn)設(shè)備和從分發(fā)器同步配置。第七頁(yè)，共三十八頁(yè)。集群部署模式介紹配置要求：網(wǎng)關(guān)模式下要求所有節(jié)點(diǎn)的WAN口IP地址必須在同網(wǎng)段（WAN口IP可以隨意設(shè)置），但和WAN口CIP地址在不同網(wǎng)段； 所有節(jié)點(diǎn)的LAN口IP地址和CIP在同網(wǎng)段。網(wǎng)關(guān)模式（單線路）第八頁(yè)，共三十八頁(yè)。集群部署模式介紹網(wǎng)關(guān)模式（多線路） 集群網(wǎng)關(guān)多線路模式下工作方式： 所有節(jié)點(diǎn)配置相同的WAN1，WAN2等CIP地址（各條公網(wǎng)線路的真實(shí)IP地址或和前置防火墻同網(wǎng)段能通信的IP地址），和LAN口CIP地址，對(duì)用戶和其他網(wǎng)絡(luò)中的設(shè)備而言，相當(dāng)于是一個(gè)設(shè)備在工作。 用戶通過各個(gè)WAN口CIP地址登錄SSL

5、 VPN。 每個(gè)節(jié)點(diǎn)設(shè)備仍然需要配置各自的LAN、WAN口真實(shí)的IP地址，用來登陸各個(gè)節(jié)點(diǎn)設(shè)備和從分發(fā)器同步配置。第九頁(yè)，共三十八頁(yè)。集群部署模式介紹網(wǎng)關(guān)模式（多線路）配置要求：網(wǎng)關(guān)模式下要求所有節(jié)點(diǎn)的WAN1口IP地址必須在同網(wǎng)段（WAN1口IP可隨意設(shè)置），但和WAN1口CIP地址在不同網(wǎng)段；WAN2口IP地址必須在同網(wǎng)段（WAN2口IP可隨意設(shè)置，必須和WAN1口IP在不同網(wǎng)段），但和WAN2口CIP在不同網(wǎng)段。所有節(jié)點(diǎn)LAN口IP地址和CIP地址在同網(wǎng)段。第十頁(yè)，共三十八頁(yè)。集群部署模式介紹單臂模式 集群?jiǎn)伪勰Ｊ较鹿ぷ鞣绞剑?所有節(jié)點(diǎn)配置相同的LAN口CIP地址。這種情況下，需要把LA

6、N口CIP地址映射到公網(wǎng)，用于提供SSL VPN用戶的登錄。對(duì)用戶和其他網(wǎng)絡(luò)中的設(shè)備而言，相當(dāng)于是一個(gè)設(shè)備在工作。 每個(gè)節(jié)點(diǎn)設(shè)備仍然需要配置各自的LAN口IP地址，用來登陸各個(gè)節(jié)點(diǎn)設(shè)備和從分發(fā)器同步配置。第十一頁(yè)，共三十八頁(yè)。集群部署模式介紹單臂模式配置要求：?jiǎn)伪勰Ｊ较乱笏泄?jié)點(diǎn)的LAN口IP地址和CIP地址在同一個(gè)網(wǎng)段，LAN口默認(rèn)網(wǎng)關(guān)，DNS需設(shè)置正確。第十二頁(yè)，共三十八頁(yè)。單線路多線路單臂模式網(wǎng)關(guān)模式集群部署模式配置第十三頁(yè)，共三十八頁(yè)。單臂模式網(wǎng)絡(luò)環(huán)境客戶網(wǎng)絡(luò)已經(jīng)搭建好，客戶已有防火墻做網(wǎng)關(guān)，代理內(nèi)網(wǎng)用戶上網(wǎng)，為了不改變客戶現(xiàn)有網(wǎng)絡(luò)拓?fù)洌梢圆捎脝伪鄄渴饘?shí)現(xiàn)應(yīng)用服務(wù)器的發(fā)布；注意事項(xiàng)

7、：需要防火墻做端口映射發(fā)布CIP地址TCP80, 443端口到公網(wǎng)單臂部署模式配置第十四頁(yè)，共三十八頁(yè)。單臂部署模式配置單臂模式配置思路1、設(shè)備信息檢查：確定集群序列號(hào)已經(jīng)開通，確定移動(dòng)授權(quán)已經(jīng)開通；2、網(wǎng)口配置：確定各節(jié)點(diǎn)設(shè)備LAN口的IP地址（，），網(wǎng)關(guān)地址（54）；3、集群配置：確定LAN口集群IP地址（）；在前置NAT設(shè)備做集群地址的TCP80、 443端口映射到公網(wǎng)；第十五頁(yè)，共三十八頁(yè)。單臂部署模式配置 單臂模式配置截圖1、系統(tǒng)配置-序列號(hào)管理，集群配置是通過集群序列號(hào)激活集群功能第十六頁(yè)，共三十八頁(yè)。單臂部署模式配置 單臂模式配置截圖2、配置兩臺(tái)SSL VPN設(shè)備的工作模式、LA

8、N口地址、網(wǎng)關(guān)地址和DNS地址，外網(wǎng)線路不需要配置。其中，LAN口地址必須和集群IP地址同網(wǎng)段第十七頁(yè)，共三十八頁(yè)。單臂部署模式配置 單臂模式配置截圖3、【系統(tǒng)設(shè)置】-【SSL VPN選項(xiàng)】-【集群部署】，啟用集群部署功能，設(shè)置兩臺(tái)SSL VPN設(shè)備的集群部署密鑰（兩臺(tái)密鑰一致）、LAN口CIP，單臂模式下DMZ、WAN口CIP不需要配置；在分發(fā)器選舉規(guī)則中，優(yōu)先級(jí)高的設(shè)備做為分發(fā)器，優(yōu)先級(jí)低的則成為真實(shí)服務(wù)器（優(yōu)先級(jí)要有區(qū)分且不能兩臺(tái)設(shè)備都勾選作為分發(fā)器）第十八頁(yè)，共三十八頁(yè)。網(wǎng)關(guān)部署模式配置網(wǎng)關(guān)模式單線路網(wǎng)絡(luò)環(huán)境客戶想替代現(xiàn)有的防火墻，或者有做代理上網(wǎng)的需求，可以選擇網(wǎng)關(guān)模式，同時(shí)設(shè)備本身

9、就具有防火墻功能，可以做防火墻使用；注意事項(xiàng)：SSL設(shè)備做網(wǎng)關(guān)的話，如果設(shè)備是用撥號(hào)上網(wǎng)，不支持集群。 第十九頁(yè)，共三十八頁(yè)。網(wǎng)關(guān)部署模式配置網(wǎng)關(guān)模式單線路配置思路1、設(shè)備信息檢查：確定集群序列號(hào)已經(jīng)開通，并且有足夠的移動(dòng)用戶授權(quán)。2、網(wǎng)口配置：確定各個(gè)SSL設(shè)備LAN的IP地址（，），保證SSL VPN設(shè)備能夠和服務(wù)器通信（在三層環(huán)境下，設(shè)備要添加回包路由）；確定WAN口的地址和網(wǎng)關(guān)地址（WAN口IP可隨意設(shè)置為，WAN口網(wǎng)關(guān)為，和WAN口IP同網(wǎng)段）3、集群配置：確定LAN口集群IP地址（， 和LAN口IP同網(wǎng)段）；確定WAN口的集群IP地址（47）和網(wǎng)關(guān)（），WAN口集群IP實(shí)際為公網(wǎng)線

10、路IP，用于和公網(wǎng)通信，必須和WAN口的IP地址在不同網(wǎng)段，所以第二步驟中的WAN口地址和網(wǎng)關(guān)可以隨意設(shè)置。第二十頁(yè)，共三十八頁(yè)。網(wǎng)關(guān)部署模式配置 網(wǎng)關(guān)模式單線路配置截圖1、系統(tǒng)配置-序列號(hào)管理，集群配置是通過集群序列號(hào)激活集群功能第二十一頁(yè)，共三十八頁(yè)。網(wǎng)關(guān)部署模式配置 網(wǎng)關(guān)模式單線路配置截圖2、配置兩臺(tái)SSL VPN設(shè)備LAN口地址，外網(wǎng)線路WAN1的地址以及網(wǎng)關(guān)和公網(wǎng)DNS；其中，LAN口地址必須和CIP地址同網(wǎng)段，WAN口IP不能和WAN口CIP 在同一個(gè)網(wǎng)段,如WAN口CIP地址為：47，則可以將兩臺(tái)SSLVPN WAN口任意配置為：/，網(wǎng)關(guān)地址第二十二頁(yè)，共三十八頁(yè)。網(wǎng)關(guān)部署模式配

11、置 網(wǎng)關(guān)模式單線路配置截圖3、【系統(tǒng)設(shè)置】-【SSL VPN選項(xiàng)】-【集群部署】，啟用集群部署功能，設(shè)置兩臺(tái)SSL VPN設(shè)備的集群部署密鑰、LAN口CIP，WAN口CIP；在分發(fā)器選舉規(guī)則中，優(yōu)先級(jí)高的設(shè)備做為分發(fā)器，（優(yōu)先級(jí)要有區(qū)分且不能兩臺(tái)均勾選始終做為分發(fā)器）第二十三頁(yè)，共三十八頁(yè)。網(wǎng)關(guān)多線路部署模式配置網(wǎng)關(guān)模式多線路網(wǎng)絡(luò)環(huán)境一般是客戶有兩條互聯(lián)網(wǎng)線路，和網(wǎng)關(guān)單線路應(yīng)用相似，只是多用一條互聯(lián)網(wǎng)線路發(fā)布服務(wù)器，增加了鏈路的穩(wěn)定性；注意： 設(shè)備需要開雙線路授權(quán), WAN1口的CIP不能和WAN1口真實(shí)IP在同一網(wǎng)段，WAN2的真實(shí)IP也不能和WAN1的真實(shí)IP在同一網(wǎng)段第二十四頁(yè)，共三十八

12、頁(yè)。網(wǎng)關(guān)多線路部署模式配置網(wǎng)關(guān)模式多線路配置思路1、設(shè)備信息檢查：確定集群序列號(hào)已經(jīng)開通，確定開雙線路，移動(dòng)授權(quán)已經(jīng)開通；2、網(wǎng)口配置：確定設(shè)備LAN的IP地址（，），保證SSLVPN設(shè)備能夠和服務(wù)器通信（在三層環(huán)境下，設(shè)備要回包路由） ；確定WAN1、WAN2口的地址（WAN1和WAN2口IP地址隨意配置，不在同網(wǎng)段即可），網(wǎng)關(guān)地址（和WAN口IP同網(wǎng)段3、集群配置：確定LAN口集群IP地址（）；確定WAN1口集群IP地址（47）和網(wǎng)關(guān)（），WAN2口的集群IP地址（46）和網(wǎng)關(guān)（）；WAN1和WAN2口集群IP地址，實(shí)際為兩條公網(wǎng)線路的公網(wǎng)IP地址，用于和公網(wǎng)通信。第二十五頁(yè)，共三十八頁(yè)。

13、網(wǎng)關(guān)多線路部署模式配置 網(wǎng)關(guān)模式多線路配置截圖網(wǎng)關(guān)模式多線路，網(wǎng)口配置和網(wǎng)關(guān)單線路配置一樣，唯一不同的只是多加一個(gè)WAN2口CIP地址。第二十六頁(yè)，共三十八頁(yè)。集群狀態(tài)與負(fù)載說明 集群設(shè)置成功后如圖所示，通過查看集群部署狀態(tài)可以看到處于分發(fā)器和真實(shí)服務(wù)器狀態(tài)的節(jié)點(diǎn)IP、節(jié)點(diǎn)類型、運(yùn)行狀態(tài)以及接入的移動(dòng)用戶數(shù)目。第二十七頁(yè)，共三十八頁(yè)。分布式集群第二十八頁(yè)，共三十八頁(yè)。分布式集群分布式集群簡(jiǎn)介 分布式部署，多設(shè)備異地組成集群，是基于Internet的分布式部署，組成分布式部署后，只需要在主節(jié)點(diǎn)控制臺(tái)上操作就可以自動(dòng)把數(shù)據(jù)同步到其他從節(jié)點(diǎn)上，同時(shí)主節(jié)點(diǎn)會(huì)定時(shí)檢查從節(jié)點(diǎn)的數(shù)據(jù)是否和自己一致，如果發(fā)現(xiàn)

14、不一致會(huì)主動(dòng)去將從節(jié)點(diǎn)的數(shù)據(jù)同步。保持整個(gè)集群環(huán)境的數(shù)據(jù)一致性。分布式部署集群通過點(diǎn)對(duì)點(diǎn)的數(shù)據(jù)同步技術(shù)，保持節(jié)點(diǎn)間配置數(shù)據(jù)的一致性與完整性，提供如下功能： 1、跨區(qū)域設(shè)備的統(tǒng)一管理 2、支持統(tǒng)一域名最快接入 3、異地備份容災(zāi)功能第二十九頁(yè)，共三十八頁(yè)。分布式集群分布式集群部署說明客戶有多個(gè)分公司和總部?jī)?nèi)部有專線互聯(lián)，服務(wù)器群在總部，且每個(gè)公司都有各自的公網(wǎng)線路，要實(shí)現(xiàn)各地移動(dòng)辦公，能用最快的方式接入和訪問SSL VPN，那么這個(gè)情況可以采用分布式部署。分布式部署的工作方式：分布式部署通過webagent來登記和獲取各個(gè)節(jié)點(diǎn)的配置信息，需要搭建一個(gè)webagent服務(wù)器（支持asp、php），w

15、ebagent服務(wù)器是用來獲取各個(gè)節(jié)點(diǎn)的公網(wǎng)IP地址，各地訪問webagent接入SSL VPN時(shí)，會(huì)返回最快訪問鏈路的節(jié)點(diǎn)IP給客戶端，實(shí)現(xiàn)整網(wǎng)SSL VPN的統(tǒng)一域名接入和異地容災(zāi)。第三十頁(yè)，共三十八頁(yè)。分布式集群用戶接入示意圖搭建一個(gè)webagent服務(wù)器（支持asp、php）用戶訪問下載圖片比較速度Webagent地址：上傳各節(jié)點(diǎn)地址到webagent選擇深圳接入SSL三個(gè)點(diǎn)都部署了SANGFOR SSL VPN的設(shè)備，現(xiàn)在需要做分布式集群部署第三十一頁(yè)，共三十八頁(yè)。分布式集群配置各個(gè)地區(qū)按照前面部署方式以網(wǎng)關(guān)或者單臂方式部署設(shè)備，搭建好webagent服務(wù)器，各個(gè)節(jié)點(diǎn)上傳節(jié)點(diǎn)信息到w

16、ebagent服務(wù)器，其中主節(jié)點(diǎn)保證各個(gè)節(jié)點(diǎn)數(shù)據(jù)的同步，為了保證SSLVPN接入的穩(wěn)定，可采用多webagent來實(shí)現(xiàn)備份，分布式節(jié)點(diǎn)頁(yè)面也只顯示當(dāng)前進(jìn)行數(shù)據(jù)同步的webagent服務(wù)上報(bào)的節(jié)點(diǎn)，可以添加多個(gè)webagent，節(jié)點(diǎn)會(huì)向每個(gè)webagent上報(bào)IP分布式部署配置截圖第三十二頁(yè)，共三十八頁(yè)。分布式集群一個(gè)集群只能有一個(gè)主節(jié)點(diǎn)，如果啟用動(dòng)態(tài)分配虛擬IP，需在各節(jié)點(diǎn)單獨(dú)設(shè)置虛擬IP池分布式部署配置截圖第三十三頁(yè)，共三十八頁(yè)。集群授權(quán)1、集群部署環(huán)境中，移動(dòng)用戶的總授權(quán)數(shù)目為加入該集群部署的各SSL VPN設(shè)備移動(dòng)用戶數(shù)目的總和。2、集群部署環(huán)境中，當(dāng)某個(gè)SSL VPN設(shè)備由于宕機(jī)退出集

17、群后，另外一臺(tái)設(shè)備可以使用移動(dòng)用戶的總授權(quán)數(shù)目，為期60天，60天后，如果該宕機(jī)設(shè)備仍然不能加入集群，則正常運(yùn)行的設(shè)備恢復(fù)原有授權(quán)數(shù)目。第三十四頁(yè)，共三十八頁(yè)。集群部署注意事項(xiàng)1、每個(gè)節(jié)點(diǎn)的網(wǎng)關(guān)序列號(hào)、短信序列號(hào)、單點(diǎn)登錄序列號(hào)等均需要先單獨(dú)配置好再加入集群。2、建議將集群中性能最好的設(shè)備配置為始終成為分發(fā)器。DMZ口的CIP不提供分發(fā)功能，只有LAN口和WAN口會(huì)提供分發(fā)功能。3、使用RADIUS認(rèn)證時(shí)， RADIUS服務(wù)端需要將集群環(huán)境中每個(gè)節(jié)點(diǎn)的真實(shí)LAN口IP加入到驗(yàn)證通過的列表中。4、集群中代理上網(wǎng)功能由集群IP來實(shí)現(xiàn)，退出集群后恢復(fù)由WAN口真實(shí)IP來代理。第三十五頁(yè)，共三十八頁(yè)。1.什么是分發(fā)器？假如客戶一共部署了5臺(tái)SNAGFOR SSL設(shè)備做成集群，那么這5臺(tái)設(shè)備可以同時(shí)成為分發(fā)器嗎？2.請(qǐng)描述兩臺(tái)SANGFOR SSL設(shè)備做成單臂模式集群需要怎么設(shè)置？3.請(qǐng)描述分布式集群如何保證用戶的接入選擇的是最快的SSL設(shè)備？問題思考第三十六頁(yè)，共三十八頁(yè)。第三十七頁(yè)，共三十八頁(yè)。內(nèi)容總結(jié)SANGFOR SSL VPN。1、掌握負(fù)載均衡集群的