Service support服务支持
维保外包服务 产品更新 网络信息安全学堂 常见问题 下载中心

SSL VPN集群实施分享

TIME:2018-06-01   click: 71 次
昨天实施了一个VPN集群的项目,给大家分享分享。

0x001 客户需求
     客户原先用的是天某xin的VPN,刚到客户就和我吐槽不好用,卡的一匹。到现场我自己也试了下,确实不行,登录OA系统非常慢,兼容性不好,手机上也不好用。客户之前也测试过SANGFOR SSL VPN,感觉非常不错。所以,现在就是上我们的设备,撤其他厂家的!

0x002 准备工作
      客户内网有将近3000多个用户,所以采购了两台VPN做集群部署。我们是替换其他VPN设备,为了不改变原有的使用习惯,我们使用原来设备的IP作为我们的CIP (集群IP)。再使用两个同网段的IP作为两个VPN设备的真实IP。

       部署模式介绍如图:

       部署拓扑是这样的:

          

0x003 配置步骤


       确认序列号:

1.两个设备的基础网络配置:网关模式部署,配置好LAN口IP。DNS等等。

2.开启集群模式部署:配置好CIP,集群部署密钥等等。这里我们指定一台VPN作为分发器。

另外一台作为真实服务器。所以优先级设置为低。

VPN a: 优先作为分发器

             

VPN b:作为真实服务器

               


3.由于客户一开始还是不放心我们的VPN集群,要求先上一台。那么我们就先在分发器上做好配               置吧!
把之前的用户信息导出来,转换成SSL的格式。然后导入进去。

                

根据需求配置好资源:

                  


配置好角色授权,并且关联到通用户组级相应的资源。

                


配置完成了,测试可以很方便的登录到VPN并且看到相应的资源。

                


测试完成后。我们只需要将真实服务器关机,接入到交换机上,再开机。就会自动从真实服务器上去同步配置。不需要再做重复配置了。

0x004  效果

集群起来以后。我们可以通过查看集群部署状态,看到处于分发器和真实服务器状态的节点IP、节点类型、运行状态以及接入的移动用户数目。用户也可以正常的接入使用。

               

0x005  部署总结&注意

1.配置集群的时候只有一台VPN能勾选为优先作为分发器。

2.单臂集群环境,不要配置到内网的静态回包路由。

3.如果是先上单台设备,后期再组集群的话,一定要注意把配置新的那个VPN作为分发器。假如不是分发器,那么他会从旧配置设备分发器上去同步配置,配置被覆盖那就悲剧了。我就差点被坑。

0x006  客户评价

        整个过程中,客户还是很满意的。简单好用,比其他厂家的快多了只需要网页登陆就会自动安装控件,对于大用户量来说,省去了信息中心管理员的很大一部分工作量。 ssl的EMM功能也方便他们后期手机OA app的上线。不过客 户还是吐槽了下深信服的授权太多了,一开始都没弄明白授权是干啥的。。。。。