|
昨天实施了一个VPN集群的项目,给大家分享分享。
0x001 客户需求
客户原先用的是天某xin的VPN,刚到客户就和我吐槽不好用,卡的一匹。到现场我自己也试了下,确实不行,登录OA系统非常慢,兼容性不好,手机上也不好用。客户之前也测试过SANGFOR SSL VPN,感觉非常不错。所以,现在就是上我们的设备,撤其他厂家的!
0x002 准备工作
客户内网有将近3000多个用户,所以采购了两台VPN做集群部署。我们是替换其他VPN设备,为了不改变原有的使用习惯,我们使用原来设备的IP作为我们的CIP (集群IP)。再使用两个同网段的IP作为两个VPN设备的真实IP。
部署模式介绍如图:
部署拓扑是这样的:
0x003 配置步骤
确认序列号:
1.两个设备的基础网络配置:网关模式部署,配置好LAN口IP。DNS等等。
2.开启集群模式部署:配置好CIP,集群部署密钥等等。这里我们指定一台VPN作为分发器。
另外一台作为真实服务器。所以优先级设置为低。
VPN a: 优先作为分发器
VPN b:作为真实服务器
3.由于客户一开始还是不放心我们的VPN集群,要求先上一台。那么我们就先在分发器上做好配 置吧!
把之前的用户信息导出来,转换成SSL的格式。然后导入进去。
根据需求配置好资源:
配置好角色授权,并且关联到通用户组级相应的资源。
配置完成了,测试可以很方便的登录到VPN并且看到相应的资源。
测试完成后。我们只需要将真实服务器关机,接入到交换机上,再开机。就会自动从真实服务器上去同步配置。不需要再做重复配置了。
0x004 效果
集群起来以后。我们可以通过查看集群部署状态,看到处于分发器和真实服务器状态的节点IP、节点类型、运行状态以及接入的移动用户数目。用户也可以正常的接入使用。
 
0x005 部署总结&注意
1.配置集群的时候只有一台VPN能勾选为优先作为分发器。
2.单臂集群环境,不要配置到内网的静态回包路由。
3.如果是先上单台设备,后期再组集群的话,一定要注意把配置新的那个VPN作为分发器。假如不是分发器,那么他会从旧配置设备分发器上去同步配置,配置被覆盖那就悲剧了。我就差点被坑。
0x006 客户评价
整个过程中,客户还是很满意的。简单好用,比其他厂家的快多了只需要网页登陆就会自动安装控件,对于大用户量来说,省去了信息中心管理员的很大一部分工作量。 ssl的EMM功能也方便他们后期手机OA app的上线。不过客 户还是吐槽了下深信服的授权太多了,一开始都没弄明白授权是干啥的。。。。。
|
