SANGFORSSL VPNV425分布式集群方案11Word格式.docx
《SANGFORSSL VPNV425分布式集群方案11Word格式.docx》由会员分享,可在线阅读,更多相关《SANGFORSSL VPNV425分布式集群方案11Word格式.docx(10页珍藏版)》请在冰豆网上搜索。
第4章方案价值11
第1章需求分析
信息中心、数据中心的建设往往是依据组织的业务结构进行配套设置的。
许多大型组织机构的业务往往呈现分布式,以地域划分建设该区域的业务中心,不同的分支业务中心承担不同的业务。
这种业务结构使得整个组织的信息中心、数据中心的建设也随之呈现分布式的情况。
但从业务访问的角度来看为了实现整个组织机构的资源共享和流程化办公,又需要各个分支都能够访问到全部的业务系统和数据中心。
同时,出差领导和员工需要随时随地的接入到各个信息中心的业务系统中,实现安全、快速、易用的远程接入访问。
多业务分支节点、多信息中心的情况面临问题:
(根据客户情况进行调整)
(1)统一信息平台建设问题(节点与节点之间尚未采用专线进行连接的,可选取该段,并对
(2)进行修改)
为了实现整个组织的资源合理调配和集中统一管理,必须在总部和所有分支之间构建起统一的信息网络平台进行协同办公以及资源共享。
而组织现面临的是多信息中心、多数据中心的情况,若是使用专线网络进行信息平台承载网络的建设,这必然带来月复一月及其高昂的网络运营成本,其性价比难以得到很好的保证,同时也增加了日后对网络结构调整的繁杂。
(2)移动远程接入问题(节点与节点之间已采用专线进行连接的)
现有总部与分支之间、各分支之间的主体网络已经搭建起了专线网络,由于业务的需要,总部和分支的领导和员工需要在出差的时候同样能够接入到组织内部应用系统中进行访问。
传统的SSLVPN移动办公解决方案都是在每个信息中心和数据中心所在地设置一台SSLVPN,各分支的员工通过该分支发布的SSLVPN地址实现应用系统的访问。
这样的部署反式看似已经解决了用户远程移动办公的需求,但在实际使用的过程中,却发现其中许多的不便之处:
◆接入快速性问题
对于传统的SSLVPN网络,某台设备上设置的用户只能通过该设备进行SSLVPN接入。
但对于大范围移动的用户使用来说,如此固定的访问途径却带来许多不便。
例如一个深圳用户到北京出差需要访问到集团统一的业务系统时,同样需要通过接入到深圳的SSLVPN而不能直接通过北京的SSLVPN才能访问到该应用。
北京到深圳间长距离、跨运营商、高丢包、高延时的互联网络状况直接拖拽了应用系统的响应,访问体验非常差。
◆接入便捷性问题
传统SSLVPN部署在各个信息中心、数据中心的每台SSLVPN都需要对外发布一个网址。
用户办公往往会使用到多套业务系统,在接入不同信息中心的不同业务系统时,需要通过不同网址访问不同的SSLVPN设备才能访问到所需的业务系统。
面对全国多个信息中心,繁杂的地址和反复的操作都大大降低了领导和员工的办公效率。
◆接入稳定性问题
为了实现整个业务系统全天候24小时的高稳定运转从而保障业务的稳定性,组织在多个分支信息中心都建立了灾备数据中心通过SSLVPN进行应用发布提供高可靠的冗余服务。
但传统的SSLVPN的唯一网址访问问题让灾备变得“有形”,当主数据中心因为服务器宕机或网络故障等原因导致不可访问时,用户需要手动的输入备数据中心的网址才能访问到该应用,没有实现真正意义上自动切换的冗余灾备。
第2章解决方案
2.1网络部署方案
针对XXXX分布式信息中心及多冗余数据中心的情况,深信服科技提出了分布式集群解决方案。
在XXXX北京、上海、广州、深圳等地的大型信息中心的网络分别部署深信服SSLVPN设备提供安全接入服务。
同时,将深信服独有的Webagent专利技术结合分布式集群的特点,提供统一域名接入、就近接入、主备透明切换的功能。
Webagent作为整个SSLVPN分布式集群的心脏,发布一个域名作为SSLVPN统一接入。
用户接入这个统一域名后,将通过Webagent选择设备运行正常、连接速度最快的一个SSLVPN节点进行接入。
整个XXXX采用的是专线进行连接各个信息中心的主干网络建设。
用户通过互联网就近接入SSLVPN节点后,在该节点与实际访问的应用服务器之间采用的是专线线路,数据传输速度将大大快于直接远程接入该应用服务器所在节点的SSLVPN设备这种传统的SSLVPN接入方式,可大幅提高用户速度和访问稳定性体验。
SSLVPN分布式集群整体网络部署如下:
集群节点具体部署如下:
单设备节点具体部署如下:
部署说明:
1)在XXXX各个信息中心、数据中心部署深信服SSLVPN设备构建分布式集群网络进行对外的应用统一发布。
以北京总部作为SSLVPN集群主节点进行用户、资源、访问权限的统一管理配置,各分支节点与北京总部主节点进行实时配置同步以保证整网统一性。
2)为了保证北京总部主节点的高稳定性,避免单点故障,北京总部采用高性能M5X00-S设备进行双机集群。
当集群主节点因为断电等原因出现故障,集群分节点立即接管主节点包括将配置分发给异地信息中心SSLVPN设备在内的所有工作,保证整网配置统一的高稳定性。
3)对于接入用户较多的广州节点同样采用双机集群的方式实现性能扩展和热备的功能,保证稳定性的同时提供接入冗余。
当其余网络节点随着业务的增长需接入的用户数增加时,同样可以采用非对称集群方式进行SSLVPN设备性能扩充,保护了原有投资的同时实现性能平滑升级。
4)对于单台设备能够满足该区域用户使用性能要求的节点,通过路由/单臂方式进行设备部署实现应用的安全发布。
5)多Webagent备份
Webagent作为整个分布式集群的统一寻址和负载接入分配器,相当于整个分布式集群的心脏,必须有多备份高可靠的保证。
深信服SSLVPN分布式集群部署提供以下两种方式实现多Webagent备份:
◆高稳定深信服Webagnet
深信服科技提供具有高性能、高稳定的主备Webagnet服务器提供无需依赖第三方服务的全动态寻址、就近快速接入、分布式负载分配功能,保证整网SSLVPN分布式集群的高稳定运行。
◆可自行设置的多Webagnet
除了采用深信服Webagnet提供服务外,用户同样可利用自身的Web服务器设置专有的Webagent服务。
只需要在Web服务器上导入所提供的Webagnet文件并进行相应配置,即可实现对全网分布式集群SSLVPN提供高可靠稳定的服务。
支持多Webagent配置,用户可根据需要添加多个主备Webagent服务。
2.2应用效果
1.整网资源的统一门户发布
采用深信服SSLVPN进行分布式部署可实现全网SSLVPN设备对外的统一域名发布。
用户在客户端通过统一域名成功登陆SSLVPN后,页面会自动跳转到一资源列表界面,其上将显示该用户对分布于各个节点的整个组织内网享有的所有应用的访问权限。
无论用户接入何地SSLVPN设备需要访问何种应用,在通过安全身份认证之后即可在该客户端与对应应用所在地的SSLVPN设备之间建立起SSLVPN隧道,无需像传统的SSLVPN记忆多个繁杂的地址进行多次的身份认证,即可实现所有应用的统一域名接入访问。
2.最快速的全局就近接入
在各大信息中心已经建立起了主体专线网络,而移动用户及小分支用户需要通过基于互联网建立的SSLVPN网络进行接入访问。
深信服SSLVPN分布式集群部署支持在整网对各个SSLVPN节点自动探测接入速度,就近选择最快的节点进行接入访问组织内部应用。
尤其大范围跨地域访问的用户,如深圳用户出差到北京的情况,该用户使用SSLVPN进行接入访问的时候,通过线路速度的自动探测选择从北京的SSLVPN进行接入,并通过北京到深圳的专线网络访问到位于深圳服务器的应用系统,避免了北京到深圳间互联线路跨运营商、高丢包、高延时对应用访问速度的应用,提高用户的访问体验。
3.主备数据中心快速透明切换
构建灾备数据中心的目的是为了保证应用无论何时无论何地都能访问,实现业务支撑系统的高稳定性。
通过深信服SSLVPN分布式集群部署,可实现主备数据中心应用的统一域名同一链接发布,并进行智能主备切换。
在用户成功登录后显示的资源列表界面上,采用主备数据中心同时发布的同一应用会显示成同一链接,并可根据数据中心的性能设置相应的权值,实现动态的用户接入负载均衡。
当主数据中心因为断电、设备故障等原因导致无法访问时,其所在节点的SSLVPN的实时自动检测会检测到该状况并进行上报,之后所有访问该应用的负载都会转交到备数据中心处理。
当主数据中心恢复后,用户接入负载会重新根据数据中心SSLVPN设备和应用的双重权值进行动态分配,实现智能主备数据中心切换。
第3章技术说明
3.1统一域名接入访问
深信服科技独创的Webagent的动态IP寻址技术(专利技术),使的深信服SSLVPN可实现不依赖于第三方的动态IP完全支持。
在分布式集群中,Webagent除了完成动态IP寻址之外,还可实现整网SSLVPN的统一域名接入。
在分布式集群中Webagent相当于一个邮局中心,所有纳入该分布式SSLVPN集群网中的SSLVPN设备实时向主备Webagent服务器进行信息加密后的上报及同步,包括IP地址、IP地址所属网口、节点名称、节点角色等节点实时信息。
当用户需要接入到SSLVPN网络中访问应用时,只需要通过Webagent发布的一个统一网址发起SSLVPN请求,即可对整网SSLVPN的统一域名接入。
3.2异地就近接入访问
在SSLVPN分布式集群中,Webagent可实现用户漫游时异地SSLVPN的就近接入,通过对整网所有SSLVPN接入线路的速度探测,用户可实现就近接入最快的SSLVPN进行访问,避开了跨运营商、长距离网络传输的速度障碍。
整网SSLVPN设备实时向Webagent服务器上报的信息包括该节点的在线用户数、总授权数、节点状态。
Webagent服务器在接收到用户通过统一域名发起的SSLVPN请求后,立即对收集到的实时节点信息进行筛选,将运行正常并仍有剩余授权的所有SSLVPN节点设备的所有接入线路IP地址下发给发起请求的客户端。
客户端在接收到这些IP之后将立即对这些IP进行实时速度探测,并选择接入速度最快的IP地址进行SSLVPN的接入,从而实现漫游时异地就近接入访问。
3.3异地设备统一管理
深信服SSLVPN分布式集群通过主节点和分节点的分级设置实现异地统一配置管理。
在整网SSLVPN集群节点中,只允许拥有一个主节点设备,只有主节点享有配置的权限,其余加入到该分布式集群网中的SSLVPN设备通过与主节点进行配置数据的同步保证分布式配置数据的一致性。
配置数据在进行同步时都是采用加密的形式,保证配置信息的安全性。
以下是数据同步的过程显示:
由上可知,主节点相当于整网SSLVPN设备的统一资源管理中心,为了保证主节点的高稳定性,推荐在主节点处采用双机集群的方式进行冗余保证。
通过采用主分节点配置同步和配置权限的限制,可实现异地设备的统一集中管理,大大降低了配置管理的繁杂性的同时提高了对整网SSLVPN设备的管理力度。
3.4异地热备接入
深信服SSLVPN分布式集群可实现异地数据中心SSLVPN和应用的双热备接入。
当某数据中心前置SSLVPN设备因断电等原因宕机后,可实现该数据中心通过其他SSLVPN设备就近接入访问。
在分布式集群中,Webagent具有实时统计所有SSLVPN节点包括运营状态在内的所有节点信息的功能。
若Webagent检测到某一SSLVPN节点运营状态不正常,则在用户发起SSLVPN请求时将该节点的IP地址从下发列表中删除,从而保证向客户端发送的所有节点IP地址都为运行状态正常的SSLVPN设备IP。
同时,整网所有应用资源都是通过主节点进行统一配置的,各分节点实时向主节点进行配置同步,即整网的服务器资源都属于所有SSLVPN节点从资源。
通过Webagent的实时节点状态检测和整网配置的统一管理同步,用户可通过其他分节点同样安全的接入到该服务器访问应用,实现异地数据中心SSLVPN的热备接入。
当某数据中心服务器因断电原因无法正常使用时,可实现数据中心SSLVPN访问主备自动切换。
深信服SSLVPN具有资源负载均衡功能,在主节点进行统一配置时,可将分属于主备数据中心的同一应用进行统一负载均衡发布,并对设置负载均衡的应用进行实时健康检测。
当用户发起对该应用的请求时,SSLVPN设备将对该应用所对应的服务器进行用户接入和运行状态双判断,通过负载均衡算法将接入用户分配到运营状态正常的服务器上,保证用户实时接入的畅通的同时实现服务器的均衡利用。
支持负载均衡资源权值配置
支持负载均衡资源的统一链接访问
3.5负载均衡功能
深信服SSLVPN集群可实现负载均衡、稳定保障、性能扩充的功能。
深信服SSLVPN支持高达253个节点的非对称集群,通过集群组提供对该节点用户SSLVPN接入的高稳定服务。
设备集群对用户的访问是透明的,集群组对外显示为同一虚拟IP,用户通过接入该虚拟IP发起SSLVPN接入请求。
集群组中包含的SSLVPN设备可分为分发器和服务器两种属性。
一个集群组中有且只有一台分发器进行用户SSLVPN负载分发,其余设备都将自动成为节点服务器。
管理员可根据设备型号、性能等自定义设置各台SSLVPN设备的集群优先级,优先级数值越低则相应的成为分发器的优先级越高。
节点在加入集群组时将通过该优先级自动选取性能较强的设备为分发器,其余设备将自动成为节点服务器。
SSLVPN集群组通过控制管理权限保证整体配置的统一性。
在整个集群组中,只有分发器享有配置的设置修改权限,而其余节点服务器仅享有配置的查看权限而没有编辑权限。
在完成分发器自动选取后,所有节点服务器将通过网络与分发器进行配置和数据的同步,从而保证整个集群组配置的统一性。
深信服SSLVPN集群支持邮件告警功能。
当出现服务器SSLVPN服务异常停止、WAN/LAN口掉线、断电等服务器故障,新增节点加入,双分发器等分发器异常情况时,可以邮件的方式及时通知管理员,方便管理。
以下是SSLVPN集群示意图:
✧用户接入负载均衡
集群组中,分发器根据各节点服务器的CPU状态和内存等信息实时统计并计算出权值,保存在一张分发表中。
对当用户对集群组设备发起一个SSLVPN接入请求时,所有负载都将先递交给分发器。
分发器根据“动态加权最小连接”负载均衡算法将SSLVPN接入负载均衡动态的调度到各台服务器进行处理,实现SSLVPN设备处理的最优化,保证用户访问体验。
✧集群节点快速切换保证高稳定
当分发器因断电等原因无法正常运行时,其心跳信息将终止,此时集群组将在3秒内重新选取出集群优先级最低、性能最强的设备升级为分发器并立即恢复整个集群组的工作。
当集群组中某节点出现故障,该节点将会被分发器从分发表中剔除,同时将该节点上的用户将自动切换到其他集群节点设备,该节点的授权也将自动转移到其他集群节点上,整个集群组的总授权数将维持不变。
✧节点性能平滑扩充
深信服SSLVPN支持高达253台设备的非对称集群功能,即可实现不同型号、不同性能间SSLVPN设备的集群。
集群组的SSLVPN设备授权为所有有效节点授权数之和。
当有新设备集群节点加入时,该设备上所开启的授权将会纳入整个集群组总授权,实现性能的扩充。
新节点将自动从分发器下载配置和数据,进行SSLVPN服务启动,并正式成为该集群组中的一节点服务器。
当新加入集群的设备其集群优先级低于原集群组所有设备的集群优先级时,该节点首先会从分发器下载配置并同步数据成为一节点服务器,并在3秒内成为分发器接管整个集群组的负载分发,而原来的分发器则自动降级为一节点服务器。
通过集群,无需更换原有设备即可实现整体最大并发接入授权叠加,既保护了原有网络投资又实现了性能的平滑扩充。
第4章方案价值
1)最快速的接入访问体验:
深信服SSLVPN分布式集群的就近接入结合深信服SSLVPN特有的协议优化、数据压缩、传输优化的网络加速技术,为移动用户提供最快速的就访问体验。
2)最稳定的业务支撑,时时畅通访问:
深信服SSLVPN分布式集群提供就整网SSLVPN、节点内集群SSLVPN、应用服务器三方面稳定性保障。
用户无论何时、无论何地都能随时随地通过SSLVPN稳定的访问应用,提供高可靠的保障。
3)最便捷的终端使用:
深信服SSLVPN分布式集群对外通过统一的域名对分布在各个信息中心的所有应用进行统一的发布,打破地域界限,用户只需要登陆一个SSLVPN即可享受全网的服务。
同时结合深信服SSLVPN单点登录、系统托盘等终端易用性提高功能,打造最便捷的移动接入访问系统。
4)高可扩展性,可靠的投资保护:
深信服SSLVPN分布式集群切合组织快速发展扩张的特点,方便的支持节点扩展、节点性能扩展双升级。
对于新信息中心的建设,只需根据其接入需要新增一台SSLVPN设备并加入整网分布式集群即可;
对于某节点接入需求增加,无需将原有设备更换为更高端的设备,只需根据实际性能需要新增一台SSLVPN设备进行非对称集群即可。
深信服SSLVPN分布式集群为您保护了原有网络投资,提供高可扩展性的移动接入网络平台。
深圳市南山区麒麟路1号科技创业中心4楼
Add:
4thFloor,IncubationCenter,No.1QilinRoad,NanshanDistrict,ShenzhenP.C.:
518052
产品咨询热线:
800-830-9565
Email:
master@
升级会员 