ImageVerifierCode 换一换
格式:DOCX , 页数:10 ,大小:507.16KB ,
资源ID:16367081      下载积分:3 金币
快捷下载
登录下载
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

加入VIP,免费下载
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.bdocx.com/down/16367081.html】到电脑端继续下载(重复下载不扣费)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录   QQ登录  

下载须知

1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。
2: 试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
3: 文件的所有权益归上传用户所有。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 本站仅提供交流平台,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

版权提示 | 免责声明

本文(SANGFORSSL VPNV425分布式集群方案11Word格式.docx)为本站会员(b****4)主动上传,冰豆网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知冰豆网(发送邮件至service@bdocx.com或直接QQ联系客服),我们立即给予删除!

SANGFORSSL VPNV425分布式集群方案11Word格式.docx

1、第4章 方案价值 11第1章 需求分析信息中心、数据中心的建设往往是依据组织的业务结构进行配套设置的。许多大型组织机构的业务往往呈现分布式,以地域划分建设该区域的业务中心,不同的分支业务中心承担不同的业务。这种业务结构使得整个组织的信息中心、数据中心的建设也随之呈现分布式的情况。但从业务访问的角度来看为了实现整个组织机构的资源共享和流程化办公,又需要各个分支都能够访问到全部的业务系统和数据中心。同时,出差领导和员工需要随时随地的接入到各个信息中心的业务系统中,实现安全、快速、易用的远程接入访问。 多业务分支节点、多信息中心的情况面临问题:(根据客户情况进行调整)(1)统一信息平台建设问题(节点

2、与节点之间尚未采用专线进行连接的,可选取该段,并对(2)进行修改)为了实现整个组织的资源合理调配和集中统一管理,必须在总部和所有分支之间构建起统一的信息网络平台进行协同办公以及资源共享。而组织现面临的是多信息中心、多数据中心的情况,若是使用专线网络进行信息平台承载网络的建设,这必然带来月复一月及其高昂的网络运营成本,其性价比难以得到很好的保证,同时也增加了日后对网络结构调整的繁杂。(2)移动远程接入问题(节点与节点之间已采用专线进行连接的) 现有总部与分支之间、各分支之间的主体网络已经搭建起了专线网络,由于业务的需要,总部和分支的领导和员工需要在出差的时候同样能够接入到组织内部应用系统中进行访

3、问。传统的SSL VPN移动办公解决方案都是在每个信息中心和数据中心所在地设置一台SSL VPN,各分支的员工通过该分支发布的SSL VPN地址实现应用系统的访问。这样的部署反式看似已经解决了用户远程移动办公的需求,但在实际使用的过程中,却发现其中许多的不便之处: 接入快速性问题对于传统的SSL VPN网络,某台设备上设置的用户只能通过该设备进行SSL VPN接入。但对于大范围移动的用户使用来说,如此固定的访问途径却带来许多不便。例如一个深圳用户到北京出差需要访问到集团统一的业务系统时,同样需要通过接入到深圳的SSL VPN而不能直接通过北京的SSL VPN才能访问到该应用。北京到深圳间长距离

4、、跨运营商、高丢包、高延时的互联网络状况直接拖拽了应用系统的响应,访问体验非常差。 接入便捷性问题传统SSL VPN部署在各个信息中心、数据中心的每台SSL VPN都需要对外发布一个网址。用户办公往往会使用到多套业务系统,在接入不同信息中心的不同业务系统时,需要通过不同网址访问不同的SSL VPN设备才能访问到所需的业务系统。面对全国多个信息中心,繁杂的地址和反复的操作都大大降低了领导和员工的办公效率。 接入稳定性问题为了实现整个业务系统全天候24小时的高稳定运转从而保障业务的稳定性,组织在多个分支信息中心都建立了灾备数据中心通过SSL VPN进行应用发布提供高可靠的冗余服务。但传统的SSL

5、VPN的唯一网址访问问题让灾备变得“有形”,当主数据中心因为服务器宕机或网络故障等原因导致不可访问时,用户需要手动的输入备数据中心的网址才能访问到该应用,没有实现真正意义上自动切换的冗余灾备。第2章 解决方案2.1 网络部署方案针对XXXX分布式信息中心及多冗余数据中心的情况,深信服科技提出了分布式集群解决方案。在XXXX北京、上海、广州、深圳等地的大型信息中心的网络分别部署深信服SSL VPN设备提供安全接入服务。同时,将深信服独有的Webagent专利技术结合分布式集群的特点,提供统一域名接入、就近接入、主备透明切换的功能。Webagent作为整个SSL VPN分布式集群的心脏,发布一个域

6、名作为SSL VPN统一接入。用户接入这个统一域名后,将通过Webagent选择设备运行正常、连接速度最快的一个SSL VPN节点进行接入。整个XXXX采用的是专线进行连接各个信息中心的主干网络建设。用户通过互联网就近接入SSL VPN节点后,在该节点与实际访问的应用服务器之间采用的是专线线路,数据传输速度将大大快于直接远程接入该应用服务器所在节点的SSL VPN设备这种传统的SSL VPN接入方式,可大幅提高用户速度和访问稳定性体验。SSL VPN分布式集群整体网络部署如下: 集群节点具体部署如下: 单设备节点具体部署如下: 部署说明:1) 在XXXX各个信息中心、数据中心部署深信服SSL

7、VPN设备构建分布式集群网络进行对外的应用统一发布。以北京总部作为SSL VPN集群主节点进行用户、资源、访问权限的统一管理配置,各分支节点与北京总部主节点进行实时配置同步以保证整网统一性。2) 为了保证北京总部主节点的高稳定性,避免单点故障,北京总部采用高性能M5X00-S设备进行双机集群。当集群主节点因为断电等原因出现故障,集群分节点立即接管主节点包括将配置分发给异地信息中心SSL VPN设备在内的所有工作,保证整网配置统一的高稳定性。3) 对于接入用户较多的广州节点同样采用双机集群的方式实现性能扩展和热备的功能,保证稳定性的同时提供接入冗余。当其余网络节点随着业务的增长需接入的用户数增加

8、时,同样可以采用非对称集群方式进行SSL VPN设备性能扩充,保护了原有投资的同时实现性能平滑升级。4) 对于单台设备能够满足该区域用户使用性能要求的节点,通过路由/单臂方式进行设备部署实现应用的安全发布。5) 多Webagent备份Webagent作为整个分布式集群的统一寻址和负载接入分配器,相当于整个分布式集群的心脏,必须有多备份高可靠的保证。深信服SSL VPN分布式集群部署提供以下两种方式实现多Webagent备份: 高稳定深信服Webagnet深信服科技提供具有高性能、高稳定的主备Webagnet服务器提供无需依赖第三方服务的全动态寻址、就近快速接入、分布式负载分配功能,保证整网SS

9、L VPN分布式集群的高稳定运行。 可自行设置的多Webagnet除了采用深信服Webagnet提供服务外,用户同样可利用自身的Web服务器设置专有的Webagent服务。只需要在Web服务器上导入所提供的Webagnet文件并进行相应配置,即可实现对全网分布式集群SSL VPN提供高可靠稳定的服务。支持多Webagent配置,用户可根据需要添加多个主备Webagent服务。2.2 应用效果1. 整网资源的统一门户发布采用深信服SSL VPN进行分布式部署可实现全网SSL VPN设备对外的统一域名发布。用户在客户端通过统一域名成功登陆SSL VPN后,页面会自动跳转到一资源列表界面,其上将显示

10、该用户对分布于各个节点的整个组织内网享有的所有应用的访问权限。无论用户接入何地SSL VPN设备需要访问何种应用,在通过安全身份认证之后即可在该客户端与对应应用所在地的SSL VPN设备之间建立起SSL VPN隧道,无需像传统的SSL VPN记忆多个繁杂的地址进行多次的身份认证,即可实现所有应用的统一域名接入访问。2. 最快速的全局就近接入在各大信息中心已经建立起了主体专线网络,而移动用户及小分支用户需要通过基于互联网建立的SSL VPN网络进行接入访问。深信服SSL VPN分布式集群部署支持在整网对各个SSL VPN节点自动探测接入速度,就近选择最快的节点进行接入访问组织内部应用。尤其大范围

11、跨地域访问的用户,如深圳用户出差到北京的情况,该用户使用SSL VPN进行接入访问的时候,通过线路速度的自动探测选择从北京的SSL VPN进行接入,并通过北京到深圳的专线网络访问到位于深圳服务器的应用系统,避免了北京到深圳间互联线路跨运营商、高丢包、高延时对应用访问速度的应用,提高用户的访问体验。3. 主备数据中心快速透明切换构建灾备数据中心的目的是为了保证应用无论何时无论何地都能访问,实现业务支撑系统的高稳定性。通过深信服SSL VPN分布式集群部署,可实现主备数据中心应用的统一域名同一链接发布,并进行智能主备切换。在用户成功登录后显示的资源列表界面上,采用主备数据中心同时发布的同一应用会显

12、示成同一链接,并可根据数据中心的性能设置相应的权值,实现动态的用户接入负载均衡。当主数据中心因为断电、设备故障等原因导致无法访问时,其所在节点的SSL VPN的实时自动检测会检测到该状况并进行上报,之后所有访问该应用的负载都会转交到备数据中心处理。当主数据中心恢复后,用户接入负载会重新根据数据中心SSL VPN设备和应用的双重权值进行动态分配,实现智能主备数据中心切换。第3章 技术说明3.1 统一域名接入访问深信服科技独创的Webagent的动态IP寻址技术(专利技术),使的深信服SSL VPN可实现不依赖于第三方的动态IP完全支持。在分布式集群中,Webagent除了完成动态IP寻址之外,还

13、可实现整网SSL VPN的统一域名接入。在分布式集群中Webagent相当于一个邮局中心,所有纳入该分布式SSL VPN集群网中的SSL VPN设备实时向主备Webagent服务器进行信息加密后的上报及同步,包括IP地址、IP地址所属网口、节点名称、节点角色等节点实时信息。当用户需要接入到SSL VPN网络中访问应用时,只需要通过Webagent发布的一个统一网址发起SSL VPN请求,即可对整网SSL VPN的统一域名接入。3.2 异地就近接入访问在SSL VPN分布式集群中,Webagent可实现用户漫游时异地SSL VPN的就近接入,通过对整网所有SSL VPN接入线路的速度探测,用户可

14、实现就近接入最快的SSL VPN进行访问,避开了跨运营商、长距离网络传输的速度障碍。整网SSL VPN设备实时向Webagent服务器上报的信息包括该节点的在线用户数、总授权数、节点状态。Webagent服务器在接收到用户通过统一域名发起的SSL VPN请求后,立即对收集到的实时节点信息进行筛选,将运行正常并仍有剩余授权的所有SSL VPN节点设备的所有接入线路IP地址下发给发起请求的客户端。客户端在接收到这些IP之后将立即对这些IP进行实时速度探测,并选择接入速度最快的IP地址进行SSL VPN的接入,从而实现漫游时异地就近接入访问。3.3 异地设备统一管理深信服SSL VPN分布式集群通过

15、主节点和分节点的分级设置实现异地统一配置管理。在整网SSL VPN集群节点中,只允许拥有一个主节点设备,只有主节点享有配置的权限,其余加入到该分布式集群网中的SSL VPN设备通过与主节点进行配置数据的同步保证分布式配置数据的一致性。配置数据在进行同步时都是采用加密的形式,保证配置信息的安全性。以下是数据同步的过程显示:由上可知,主节点相当于整网SSL VPN设备的统一资源管理中心,为了保证主节点的高稳定性,推荐在主节点处采用双机集群的方式进行冗余保证。通过采用主分节点配置同步和配置权限的限制,可实现异地设备的统一集中管理,大大降低了配置管理的繁杂性的同时提高了对整网SSL VPN设备的管理力

16、度。3.4 异地热备接入深信服SSL VPN分布式集群可实现异地数据中心SSL VPN和应用的双热备接入。当某数据中心前置SSL VPN设备因断电等原因宕机后,可实现该数据中心通过其他SSL VPN设备就近接入访问。在分布式集群中,Webagent具有实时统计所有SSL VPN节点包括运营状态在内的所有节点信息的功能。若Webagent检测到某一SSL VPN节点运营状态不正常,则在用户发起SSL VPN请求时将该节点的IP地址从下发列表中删除,从而保证向客户端发送的所有节点IP地址都为运行状态正常的SSL VPN设备IP。同时,整网所有应用资源都是通过主节点进行统一配置的,各分节点实时向主节

17、点进行配置同步,即整网的服务器资源都属于所有SSL VPN节点从资源。通过Webagent的实时节点状态检测和整网配置的统一管理同步,用户可通过其他分节点同样安全的接入到该服务器访问应用,实现异地数据中心SSL VPN的热备接入。当某数据中心服务器因断电原因无法正常使用时,可实现数据中心SSL VPN访问主备自动切换。深信服SSL VPN具有资源负载均衡功能,在主节点进行统一配置时,可将分属于主备数据中心的同一应用进行统一负载均衡发布,并对设置负载均衡的应用进行实时健康检测。当用户发起对该应用的请求时,SSL VPN设备将对该应用所对应的服务器进行用户接入和运行状态双判断,通过负载均衡算法将接

18、入用户分配到运营状态正常的服务器上,保证用户实时接入的畅通的同时实现服务器的均衡利用。支持负载均衡资源权值配置支持负载均衡资源的统一链接访问3.5 负载均衡功能深信服SSL VPN集群可实现负载均衡、稳定保障、性能扩充的功能。深信服SSL VPN支持高达253个节点的非对称集群,通过集群组提供对该节点用户SSL VPN接入的高稳定服务。设备集群对用户的访问是透明的,集群组对外显示为同一虚拟IP,用户通过接入该虚拟IP发起SSL VPN接入请求。集群组中包含的SSL VPN设备可分为分发器和服务器两种属性。一个集群组中有且只有一台分发器进行用户SSL VPN负载分发,其余设备都将自动成为节点服务

19、器。管理员可根据设备型号、性能等自定义设置各台SSL VPN设备的集群优先级,优先级数值越低则相应的成为分发器的优先级越高。节点在加入集群组时将通过该优先级自动选取性能较强的设备为分发器,其余设备将自动成为节点服务器。SSL VPN集群组通过控制管理权限保证整体配置的统一性。在整个集群组中,只有分发器享有配置的设置修改权限,而其余节点服务器仅享有配置的查看权限而没有编辑权限。在完成分发器自动选取后,所有节点服务器将通过网络与分发器进行配置和数据的同步,从而保证整个集群组配置的统一性。深信服SSL VPN集群支持邮件告警功能。当出现服务器SSL VPN服务异常停止、WAN/LAN口掉线、断电等服

20、务器故障,新增节点加入,双分发器等分发器异常情况时,可以邮件的方式及时通知管理员,方便管理。以下是SSL VPN集群示意图: 用户接入负载均衡集群组中,分发器根据各节点服务器的CPU状态和内存等信息实时统计并计算出权值,保存在一张分发表中。对当用户对集群组设备发起一个SSL VPN接入请求时,所有负载都将先递交给分发器。分发器根据“动态加权最小连接”负载均衡算法将SSL VPN接入负载均衡动态的调度到各台服务器进行处理,实现SSL VPN设备处理的最优化,保证用户访问体验。 集群节点快速切换保证高稳定当分发器因断电等原因无法正常运行时,其心跳信息将终止,此时集群组将在3秒内重新选取出集群优先级

21、最低、性能最强的设备升级为分发器并立即恢复整个集群组的工作。当集群组中某节点出现故障,该节点将会被分发器从分发表中剔除,同时将该节点上的用户将自动切换到其他集群节点设备,该节点的授权也将自动转移到其他集群节点上,整个集群组的总授权数将维持不变。 节点性能平滑扩充深信服SSL VPN支持高达253台设备的非对称集群功能,即可实现不同型号、不同性能间SSL VPN设备的集群。集群组的SSL VPN设备授权为所有有效节点授权数之和。当有新设备集群节点加入时,该设备上所开启的授权将会纳入整个集群组总授权,实现性能的扩充。新节点将自动从分发器下载配置和数据,进行SSL VPN服务启动,并正式成为该集群组

22、中的一节点服务器。当新加入集群的设备其集群优先级低于原集群组所有设备的集群优先级时,该节点首先会从分发器下载配置并同步数据成为一节点服务器,并在3秒内成为分发器接管整个集群组的负载分发,而原来的分发器则自动降级为一节点服务器。通过集群,无需更换原有设备即可实现整体最大并发接入授权叠加,既保护了原有网络投资又实现了性能的平滑扩充。第4章 方案价值1) 最快速的接入访问体验:深信服SSL VPN分布式集群的就近接入结合深信服SSL VPN特有的协议优化、数据压缩、传输优化的网络加速技术,为移动用户提供最快速的就访问体验。2) 最稳定的业务支撑,时时畅通访问:深信服SSL VPN分布式集群提供就整网

23、SSL VPN、节点内集群SSL VPN、应用服务器三方面稳定性保障。用户无论何时、无论何地都能随时随地通过SSL VPN稳定的访问应用,提供高可靠的保障。3) 最便捷的终端使用:深信服SSL VPN分布式集群对外通过统一的域名对分布在各个信息中心的所有应用进行统一的发布,打破地域界限,用户只需要登陆一个SSL VPN即可享受全网的服务。同时结合深信服SSL VPN单点登录、系统托盘等终端易用性提高功能,打造最便捷的移动接入访问系统。4) 高可扩展性,可靠的投资保护:深信服SSL VPN分布式集群切合组织快速发展扩张的特点,方便的支持节点扩展、节点性能扩展双升级。对于新信息中心的建设,只需根据其接入需要新增一台SSL VPN设备并加入整网分布式集群即可;对于某节点接入需求增加,无需将原有设备更换为更高端的设备,只需根据实际性能需要新增一台SSL VPN设备进行非对称集群即可。深信服SSL VPN分布式集群为您保护了原有网络投资,提供高可扩展性的移动接入网络平台。深圳市南山区麒麟路1号科技创业中心4楼Add: 4th Floor, Incubation Center, No.1 Qilin Road, Nanshan District, Shenzhen P.C.:518052产品咨询热线:800-830-9565Email:master

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1