安全接入网关冗余功能使用手册.docVIP

安全接入网关冗余功能 用户手册 南瑞集团公司 2014年7月1. 产品介绍 3 1.1 产品概述 3 1.2 冗余功能介绍 3 2. 环境需求 3 3. 环境拓扑 4 4. 功能点分析 4 5. 系统配置说明 4 5.1 主AG设备配置 4 5.2 备AG设备配置 7  产品介绍 1.1 产品概述 国家电网公司USAP3000信息安全接入系统是构建坚强智能电网信息安全接入体系的核心基础安全防护设施，承担智能电网各种复杂网络环境下智能终端安全接入、实时监控、数据安全传输与交换、主动防御预警等重要功能。在本次的产品更新中，将提高.2 冗余功能介绍 当网络拓扑中存在两台SDS设备时，并且SDS设备之间有多条冗余链路。因此，只要在网络中找一台SDS充当核心，指明该活动链路到集中监管(MC)即。其他的备用SDS设备，将处于down状态，链路全部被block（阻塞）。 当活动链路失效之后，再启用备用SDS设备，同时block（阻塞）链路作为活动链路，从而保证网络的连通性（提高网络性能）。 环境需求 硬件信息 数量 功能信息 PC 2台 拥有VPN客户端软件 SSLVPN（安全接入网关）） 冗余功能的测试拓扑（此图中的sslvpn都为小写）可以）vpn_server进程工作正常，能够SSLVPN，实现如果需）并且）. 系统配置说明 5.1 主AG设备配置 1、配置IP地址，eth1:192.168.1.1；eth2:2.0.0.1 2、注意：此次集中监管服务IP为虚拟口的IP地址(此处为2.0.0.5)。 3、配置vi /etc/sysconfig/network文件，修改内容：HOSTNAME=sslvpn_1，为当台设备的名称(配置后注意需要重新启动)。 [root@USAP ~]$cat /etc/sysconfig/network NETWORKING=yes HOSTNAME=sslvpn_1 #配置该设备的名称 配置主机名称 4、配置vi /etc/hosts文件，配置192.168.1.1的主机名为sslvpn_1，配置192.168.1.2的主机名为sslvpn_2。 [root@USAP ~]$cat /etc/hosts 192.168.1.1 sslvpn_1 #配置主SSLVPN设备的，eth1的IP地址以及该设备的hostname 192.168.1.2 sslvpn_2 #配置备SSLVPN设备的，eth1的IP地址以及该设备的hostname 5、配置vi /etc/ha.d/ha.cf文件 [root@USAP ~]$cat /etc/ha.d/ha.cf debugfile /var/log/ha-debug logfile /var/log/ha-log logfacility local0 keepalive 2 deadtime 30 warntime 10 initdead 60 udpport 694 ucast eth1 192.168.1.2 #用于心跳检测对端设备的健康状况/设置当前配置心跳的接口以及对端设备的IP地址 ping_group group1 192.168.1.2 192.168.1.10 #用于进行检测对端设备的健康状况，PING这两个IP地址，看是否都能够PING通 （注意：建议此处可以）ping_group group2 2.0.0.3 2.0.0.4 #同上 respawn hacluster /usr/lib/heartbeat/ipfail #加入该命令：用于加ipfail插件，该插件主要用于PING包检测，如果则auto_failback on #用于开启是否进行主备抢占机制 node sslvpn_1 #加入主的hostname node sslvpn_2 #加入备的hostname 6、配置vi /etc/ha.d/haresources文件 [root@USAP ~]$cat /etc/ha.d/haresources sslvpn_1 IPaddr::192.168.1.3/24/eth1 ldirectord usap_sslvpn #该命令是用于配置主SSLVPN的名称（注意：此处两端）虚拟口1，以及 5.2 备AG设备配置 1、配置IP地址，eth1:192.168.1.2；eth2:2.0.0.2 2、注意：此次集中监管服务IP为虚拟口的IP地址(此处为2.0.0.5)。 3、配置vi /etc/sys