SSL VPN

深信服SSL VPN集SSL/IPSec于一身,帮助企业构建端到端的安全防护体系,业内拥有多项加密技术,多种认证方式、主从绑定等特色功能,保证远程系统接入的用户身份安全、终端/数据安全、传输安全、应用权限安全和审计安全,具有快速、易用、全面等优势特点,并且连续多年市场占有率第一,一直走在技术前沿,提供优质服务,用户认可度极高。
点击可切换产品版本
知道了
不再提醒
SSL7.6.9R1
{{sendMatomoQuery("SSL VPN","单臂模式多线路集群部署")}}

单臂模式多线路集群部署

更新时间:2023-05-12

某客户为了提高内部系统访问的稳定性,采用集群部署SSL VPN设备。客户网络拓扑如下,SSL设备以单臂模式部署在客户网络出口处,外网双线路。

外网电信线路地址为202.96.137.75,子网掩码255.255.255.0

外网网通线路地址为58.120.10.64,子网掩码255.255.255.0

单臂模式多线路负载均衡集群配置步骤:

第一步:按照网络拓扑将设备部署正确,WAN口不用接线,并且保证分发器和真实服务器的LAN口之间可以互相连通。

第二步:配置分发器和真实服务器的工作模式、内网接口。

分发器:在『系统设置』『网络配置』『部署模式』中配置网口,选择『单臂模式』。LAN口设置IP地址为192.168.1.10,子网掩码255.255.255.0;默认网关填写192.168.1.254;主备DNS必须填写正确的DNS

真实服务器:在『系统设置』『网络配置』『部署模式』中配置网口,选择『单臂模式』。LAN口设置IP地址为192.168.1.20,子网掩码255.255.255.0;默认网关填写192.168.1.254;主备DNS必须填写正确的DNS

第三步:在『系统设置』『网络配置』『多线路』中,勾选[启用SSL VPN多线路],并且新增两条线路,填写外网线路真实的公网IP地址;建议分发器和真实服务器都启用多线路自动选路。

分发器:新增外网线路。填写外网线路1IP地址202.96.137.75HTTP端口80HTTPS端口443;填写外网线路2IP地址58.120.10.64HTTP端口80HTTPS端口443

真实服务器:新增外网线路。填写外网线路1IP地址202.96.137.75HTTP端口80HTTPS端口443;填写外网线路2IP地址58.120.10.64HTTP端口80HTTPS端口443

注意:若使用单臂多线路部署必须启用该选项,并且正确配置前端多线路的信息。

第四步:在『系统设置』SSLVPN选项』『集群部署』『集群部署设置』中勾选『启用集群部署功能』,并且设置『集群部署密钥』。

分发器和真实服务器必须都勾选『启用集群部署功能』,并且设置相同的『集群部署密钥』。

第五步:设置分发器选举规则。

如果已经指定了分发器,那么直接在这台设备上选择『优先作为分发器』,其他的设备只能成为真实服务器,必须选择『通过优先级选举分发器』。

如果没有指定分发器,每一台设备都选择『通过优先级选举分发器』,并设置优先级数值,那么该数值越小,优先级越高,优先级最高的设备成为分发器。

第六步:设置LAN口集群IP

分发器:LAN口集群192.168.1.1LAN口集群掩码255.255.255.0

真实服务器:LAN口集群192.168.1.1LAN口集群掩码255.255.255.0

注意:LAN口集群IP和每台设备内网接口设置的IP必须在同一个网段。

注意:SSL设备集群不支持动态IP,前置网关设备不能用拨号上网。

第七步:前置网关设备做端口映射,将202.96.137.75TCP44380 端口映射给内网的LAN口集群IP192.168.1.1;将58.120.10.64TCP44380端口映射给内网的LAN口集群IP192.168.1.1

第八步:在『系统设置』SSLVPN选项』『集群部署』『集群部署状态』中查看集群运行状态。

这里可以显示集群中分发器和真实服务器的各种实时状态信息,包括节点IP,节点类型,SSL VPN运行状态,各个节点的CPU使用率,各个节点的在线人数,各个节点的授权数,总在线人数,总授权数等。

第九步:在『系统设置』SSLVPN选项』『集群部署』『集群在线用户』中查看当前接入SSL VPN的用户名称、接入 IP、接入时间等,并可以对接入的用户进行断开连接操作。

第十步:配置完成。