SANGFOR-SSL-VPN-V4.25-分布式集群方案-200911.docVIP

SSL VPN全网移动 分布式集群解决方案 深信服科技有限公司 20XX年XX月XX日 目录 TOC \o 2-3 \h \z \t 标题 1,1,SANGFOR_1_标题1,1 第1章 需求分析 1 第2章 解决方案 2 2.1 网络部署方案 2 2.2 使用效果 5 第3章 技术说明 6 3.1 统一域名接入访问 6 3.2 异地就近接入访问 7 3.3 异地设备统一管理 7 3.4 异地热备接入 8 3.5 负载均衡功能 9 第4章 方案价值 11 需求分析 信息中心、数据中心的建设往往是依据组织的业务结构进行配套设置的。许多大型组织机构的业务往往呈现分布式，以地域划分建设该区域的业务中心，不同的分支业务中心承担不同的业务。这种业务结构使得整个组织的信息中心、数据中心的建设也随之呈现分布式的情况。但从业务访问的角度来看为了实现整个组织机构的资源共享和流程化办公，又需要各个分支都能够访问到全部的业务系统和数据中心。同时，出差领导和员工需要随时随地的接入到各个信息中心的业务系统中，实现安全、快速、易用的远程接入访问。 多业务分支节点、多信息中心的情况面临问题：（根据客户情况进行调整） （1）统一信息平台建设问题（节点和节点之间尚未采用专线进行连接的，可选取该段，并对（2）进行修改） 为了实现整个组织的资源合理调配和集中统一管理，必须在总部和所有分支之间构建起统一的信息网络平台进行协同办公以及资源共享。而组织现面临的是多信息中心、多数据中心的情况，若是使用专线网络进行信息平台承载网络的建设，这必然带来月复一月及其高昂的网络运营成本，其性价比难以得到很好的保证，同时也增加了日后对网络结构调整的繁杂。 （2）移动远程接入问题（节点和节点之间已采用专线进行连接的） 现有总部和分支之间、各分支之间的主体网络已经搭建起了专线网络，由于业务的需要，总部和分支的领导和员工需要在出差的时候同样能够接入到组织内部使用系统中进行访问。传统的SSL VPN移动办公解决方案都是在每个信息中心和数据中心所在地设置一台SSL VPN，各分支的员工通过该分支发布的SSL VPN地址实现使用系统的访问。这样的部署反式看似已经解决了用户远程移动办公的需求，但在实际使用的过程中，却发现其中许多的不便之处： ??接入快速性问题 对于传统的SSL VPN网络，某台设备上设置的用户只能通过该设备进行SSL VPN接入。但对于大范围移动的用户使用来说，如此固定的访问途径却带来许多不便。例如一个深圳用户到北京出差需要访问到集团统一的业务系统时，同样需要通过接入到深圳的SSL VPN而不能直接通过北京的SSL VPN才能访问到该使用。北京到深圳间长距离、跨运营商、高丢包、高延时的互联网络状况直接拖拽了使用系统的响应，访问体验非常差。 ??接入便捷性问题 传统SSL VPN部署在各个信息中心、数据中心的每台SSL VPN都需要对外发布一个网址。用户办公往往会使用到多套业务系统，在接入不同信息中心的不同业务系统时，需要通过不同网址访问不同的SSL VPN设备才能访问到所需的业务系统。面对全国多个信息中心，繁杂的地址和反复的操作都大大降低了领导和员工的办公效率。 ??接入稳定性问题 为了实现整个业务系统全天候24小时的高稳定运转从而保障业务的稳定性，组织在多个分支信息中心都建立了灾备数据中心通过SSL VPN进行使用发布提供高可靠的冗余服务。但传统的SSL VPN的唯一网址访问问题让灾备变得“有形”，当主数据中心因为服务器宕机或网络故障等原因导致不可访问时，用户需要手动的输入备数据中心的网址才能访问到该使用，没有实现真正意义上自动切换的冗余灾备。 解决方案 网络部署方案 针对XXXX分布式信息中心及多冗余数据中心的情况，深信服科技提出了分布式集群解决方案。在XXXX北京、上海、广州、深圳等地的大型信息中心的网络分别部署深信服SSL VPN设备提供安全接入服务。同时，将深信服独有的Webagent专利技术结合分布式集群的特点，提供统一域名接入、就近接入、主备透明切换的功能。 Webagent作为整个SSL VPN分布式集群的心脏，发布一个域名作为SSL VPN统一接入。用户接入这个统一域名后，将通过Webagent选择设备运行正常、连接速度最快的一个SSL VPN节点进行接入。整个XXXX采用的是专线进行连接各个信息中心的主干网络建设。用户通过互联网就近接入SSL VPN节点后，在该节点和实际访问的使用服务器之间采用的是专线线路，数据传输速度将大大快于直接远程接入该使用服务器所在节点的SSL VPN设备这种传统的SSL VPN接入方式，可大幅提高用户速度和访问稳定性体验。 SSL VPN分布式集群整体网络部署