SANGFORSSL VPN_V4.25_分布式集群版本培训_200911.pptVIP

目录 分布式业务部署 面临的问题 节点众多，无法统一接入 无法实现无缝漫游接入 单一节点故障，如何保证高可靠性 异地灾备部署 面临的问题 主数据中心故障，无法切换到灾备数据中心 一旦切换，影响客户端访问效果 目录 深信服解决方案 解决方案 统一域名接入 就近接入，无缝漫游 节点配置同步，快速恢复 深信服解决方案 解决方案 自动切换主备数据中心 对于客户端透明访问 目录 几个关键的技术问题 统一域名接入访问 只需一个域名地址，可实现方便快速登录 异地就近接入访问 自动选择最快的节点接入，提高接入访问速度 异地设备统一管理 异地设备配置同步，减轻管理员工作 异地热备接入 某节点出现不可恢复故障时，可通过其他节点来恢复配置 负载均衡功能 满足大并发的需求，跟之前的集群功能保持一致 技术问题解决 通过webagent技术解决的问题 统一域名接入访问、异地就近接入访问、异地设备统一管理、异地热备接入 通过集群解决的问题 节点负载均衡功能 Webagent寻址原理(专利号：C4) Webagent选路方式 分布式部署支持两种选路方式：支持通过WebAgent域名选路；支持通过任意节点IP或者域名（非WebAgent域名）选路。后一种选路方式只针对用户首次登陆发起HTTP请求生效，如果用户首先发起HTTPS请求访问某节点，则选路规则不生效，这样可以支持用户显式指定访问节点。 Webagent选路 WebAgent客户端选路规则：客户端发送请求后，WebAgent服务器下发所有节点所有线路IP，客户端检查有没有安装CSCM控件，如果没有安装，则随机挑选分布式部署集群中的至多10条线路且每个节点至多随机挑选2条线路进行选择；如果安装有CSCM插件，则由CSCM插件进行所有线路选路，默认最多支持32条线路并发选路，多于32条线路的分布式部署选路的时候是根据每节点最多随机挑选2条线路的原则；可以通过后台修改WebAgent配置支持多于32的选路并发。 Webagent保障策略 分布式部署通过WebAgent实现容灾和统一域名最快接入功能：WebAgent选择最快的线路来为用户提供服务，待选路的节点在线用户数突破授权的时候，不再下发该节点进行选路；当某个分布式节点出现故障的时候，WebAgent不再下发该节点来提供SVPN服务； WebAgent服务器需要提供备份地址解决单点故障 节点信息同步 先确定主节点，然后在主节点上配置所有节点的用户信息、角色、资源信息，保证所有节点的这些信息都同步 所有节点设备支持异构，即不同节点可以放置不同型号设备 每个节点可以支持设备的集群，这个时候针对每个节点接入做负载均衡 配置简述 该版本对用户透明，管理员用户通过WEBUI控制台来配置和查看集群的信息； 分布式部署中，只有主节点具有编辑权限，在其他从节点，无论是权限最高的管理员，也不具有编辑权限； 分布式部署的权限高于负载均衡的权限，如果分布式部署的从节点既是负载均衡部署的分发器，该节点也只能具有查看权限。 分布式部署与负载均衡由序列号与配置启动开关控制，如果没有开启与普通的4.2保持一致 集群配置界面 分布式配置界面 注意事项 分布式部署支持ADSL拨号设备 集群情况下不支持：DLAN多线路、DLAN在真实服务器不生效，只在分发器启用 分布式部署不支持授权的迁移，各个分布式部署点的授权保持不变 PDA选路不支持插件选路，只能采用基于浏览器的并发选路； 分布式部署的部署点最大不能超过255个； 同一个分布式部署集群只支持一个主节点，不配置主节点会导致分布式部署同步不生效，配置多个主节点取LAN口MAC地址后两位最小值的为主节点，冲突节点将无法加入分布式部署 集群支持路由模式下虚拟IP动态分配，动态分配不支持用户组绑定，对于绑定虚拟IP的用户，虚拟IP不会变更 分布式部署不支持主节点角色的自动热切换 负载均衡目前不支持Session同步 目录 大型企业SSL VPN分布式部署 中国石油天然气股份有限公司 与BIG IP集成 SINFOR TECHNOLOGIES CO.,LTD. Page* SINFOR TECHNOLOGIES CO.,LTD. Page* SINFOR TECHNOLOGIES CO.,LTD. Page * 2005-2008连续四年入选德勤中国50强 分布式业务部署：大型组织在业务上采用分布式部署，不同的分支机构承担不同的业务，但从业务访问角度又需要全部访问 异地容灾备份：业务集中后，处于业务高可靠性的考虑，在多个地方建立业务数据中心，在做SSL VPN接入时需要同时保证接入数据中心的高可靠性 Webagent相当于邮局，将收信人和发信人的地址全部更换，这样两个人之间就相互知道彼此的地址也就能够进行通信。 主要是指