某客户为了提高内部系统访问的稳定性,采用集群部署 SSL VPN 设备。
客户网络拓扑如下,SSL 设备以单臂模式部署在客户网络出口处,外网单线路,外网线路地址为202.96.137.75,子网掩码255.255.255.0。
第一步:按照网络拓扑将设备部署正确,WAN 口不用接线,并且保证分发器和真实服务器的 LAN 口之间可以互相连通。
第二步:配置分发器和真实服务器的工作模式、内网接口。
分发器:在『系统设置』→『网络配置』→『部署模式』中配置网口,选择『单臂模 式』。LAN 口设置 IP 地址为 192.168.1.10 , 子网掩码 255.255.255.0 ; 默认网关填写192.168.1.254;主备 DNS 必须填写正确的 DNS。
真实服务器:在『系统设置』→『网络配置』→『部署模式』中配置网口,选择『单臂模式』。LAN 口设置 IP 地址为 192.168.1.20,子网掩码 255.255.255.0;默认网关填写192.168.1.254;主备 DNS 必须填写正确的 DNS。
第三步:在『系统设置』→『SSLVPN 选项』→『集群部署』→『集群部署设置』中勾选『启用集群部署功能』,并且设置『集群部署密钥』。分发器和真实服务器必须都勾选『启用集群部署功能』,并且设置相同的『集群部署 密钥』。
第四步:设置分发器选举规则。如果已经指定了分发器,那么直接在这台设备上选择『优先作为分发器』,其他的设 备只能成为真实服务器,必须选择『通过优先级选举分发器』。如果没有指定分发器,每一台设备都选择『通过优先级选举分发器』,并设置优先级 数值,那么该数值越小,优先级越高,优先级最高的设备成为分发器。
第五步:设置 LAN 口集群 IP。
分发器:LAN 口集群 192.168.1.1,LAN 口集群掩码 255.255.255.0。
真实服务器:LAN 口集群 192.168.1.1,LAN 口集群掩码 255.255.255.0。
注意:
1、LAN 口集群 IP 和每台设备内网接口设置的 IP 必须在同一个网段。
2、SSL 设备集群不支持动态 IP,前置网关设备不能用拨号上网。
第六步:前置网关设备做端口映射,将 202.96.137.75 的 TCP443、80 端口映射给内网的 LAN 口集群 IP192.168.1.1。
第七步:在『系统设置』→『SSLVPN 选项』→『集群部署』→『集群部署状态』中查看集群运行状态。这里可以显示集群中分发器和真实服务器的各种实时状态信息,包括节点 IP,节点类型,SSL VPN 运行状态,各个节点的 CPU 使用率,各个节点的在线人数,各个节点的授权数,总在线人数,总授权数等。
第八步:在『系统设置』→『SSLVPN 选项』→『集群部署』→『集群在线用户』中查看当前接入 SSL VPN 的用户名称、接入 IP、接入时间等,并可以对接入的用户进行断开连接操作。
建议使用Chrome浏览器访问!
