某客户为了提高内部系统访问的稳定性,采用集群部署SSL VPN设备。客户网络拓扑如下,SSL设备以网关模式部署在客户网络出口处,外网双线路。
外网电信线路地址为202.96.137.75,子网掩码255.255.255.0。
外网网通线路地址为58.120.10.64,子网掩码255.255.255.0。
网关模式多线路负载均衡集群配置步骤:
第一步:按照网络拓扑将设备部署正确,每个设备的WAN1口和WAN2口分别接两条外网线路,并且保证分发器和真实服务器的WAN1口之间可以互相连通,WAN2口之间可以互相连通,LAN口之间可以互相连通。
第二步:配置分发器和真实服务器的工作模式、外网接口、内网接口。
分发器:在『系统设置』→『网络配置』→『部署模式』中配置网口,选择『网关模式』。LAN口设置IP地址为192.168.1.10,子网掩码255.255.255.0;外网线路1,WAN1口设置IP为2.0.1.10,子网掩码255.255.255.0,默认网关2.0.1.254,主备DNS必须填写正确的DNS;外网线路2,WAN2口设置IP为3.0.1.10,子网掩码255.255.255.0,默认网关3.0.1.254,主备DNS必须填写正确的DNS;
真实服务器:在『系统设置』→『网络配置』→『部署模式』中配置网口,选择『网关模式』。LAN口设置IP地址为192.168.1.20,子网掩码255.255.255.0;外网线路1,WAN1口设置IP为2.0.1.20,子网掩码255.255.255.0,默认网关2.0.1.254,主备DNS必须填写正确的DNS;外网线路2,WAN2口设置IP为3.0.1.20,子网掩码255.255.255.0,默认网关3.0.1.254,主备DNS必须填写正确的DNS;
第三步:在『系统设置』→『网络配置』→『多线路』中,勾选[启用IPSec VPN多线路传输],并且设置好两条线路;然后勾选[启用SSL VPN多线路],建议分发器和真实服务器都启用多线路自动选路。
第四步:在『系统设置』→『SSLVPN选项』→『集群部署』→『集群部署设置』中勾选『启用集群部署功能』,并且设置『集群部署密钥』。
分发器和真实服务器必须都勾选『启用集群部署功能』,并且设置相同的『集群部署密钥』。
第五步:设置分发器选举规则。
如果已经指定了分发器,那么直接在这台设备上选择『优先作为分发器』,其他的设备只能成为真实服务器,必须选择『通过优先级选举分发器』。
如果没有指定分发器,每一台设备都选择『通过优先级选举分发器』,并设置优先级数值,那么该数值越小,优先级越高,优先级最高的设备成为分发器。
第六步:设置LAN口集群IP和WAN口集群IP。
分发器:LAN口集群192.168.1.1,LAN口集群掩码255.255.255.0;WAN1口集群IP填写真实的外网IP地址202.96.137.75,WAN1口集群掩码255.255.255.0,WAN1口网关202.96.137.254;WAN2口集群IP填写真实的外网IP地址58.120.10.64,WAN1口集群掩码255.255.255.0,WAN1口网关58.120.10.254;
真实服务器:LAN口集群192.168.1.1,LAN口集群掩码255.255.255.0;WAN1口集群IP填写真实的外网IP地址202.96.137.75,WAN1口集群掩码255.255.255.0,WAN1口网关202.96.137.254;WAN2口集群IP填写真实的外网IP地址58.120.10.64,WAN1口集群掩码255.255.255.0,WAN1口网关58.120.10.254;
注意:LAN口集群IP和每台设备内网接口设置的IP必须在同一个网段。每台设备的外网接口可以设置任意网段的IP,但两台设备的外网接口IP必须在同一网段,外网接口的网关可以任意填写(不能全填0)。WAN口集群IP必须和每台设备在外网接口设置的IP不在同一个网段。
注意:若SSL设备做网关,则SSL设备不能用拨号上网。
第七步:在『系统设置』→『SSLVPN选项』→『集群部署』→『集群部署状态』中查看集群运行状态。
这里可以显示集群中分发器和真实服务器的各种实时状态信息,包括节点IP,节点类型,SSL VPN运行状态,各个节点的CPU使用率,各个节点的在线人数,各个节点的授权数,总在线人数,总授权数等。
第八步:在『系统设置』→『SSLVPN选项』→『集群部署』→『集群在线用户』中查看当前接入SSL VPN的用户名称、接入 IP、接入时间等,并可以对接入的用户进行断开连接操作。
第九步:配置完成。
建议使用Chrome浏览器访问!
