网关单线路集群部署配置指导

0x01.功能介绍

集群可以使一组相互独立的服务器在网络中表现为单一的系统，并以单一系统的模式加以管理。
集群的各个节点（SSL设备）由一个分发器和一组真实服务器组成，分发器和真实服务器都是SSL设备。
网络客户接入SSL VPN的时候，会由分发器合理的分配给集群中最空闲的节点为客户提供服务。
集群可以达到提高容量和性能的目的，为客户提供更高可靠性的服务。

0x02.应用场景

某客户在网络出口处配置了一台防火墙设备代理内网用户上网，外网单线路连接。现在客户想购买SANGFOR SSL VPN设备方便移动办公人员远程接入访问内网服务器。与此同时替换出口防火墙来代理内网用户上网，并要求尽可能高的保证服务的可靠性。

0x03.相关概念

集群：一组独立的计算机构成的一个松耦合的多处理器系统，通过协调通讯和数据同步实现分布式计算机。
分发器：集群中担任负载均衡器角色的设备。分发器同时也可以是一个真实服务器。
真实服务器：集群中担任真实服务器角色的设备。
节点：分发器和真实服务器的泛称。
集群IP：集群的对外IP地址，外部用户通过这个IP来访问SSLVPN。
集群部署密钥：集群内部通讯密码，使用这个密码对集群内部的通信信息进行加密。

0x04.部署要求

软件版本一致；功能序列号一致；硬件型号一致。
LAN口集群IP和每台设备内网接口设置的IP必须在同一个网段。
每台设备的外网接口可以设置任意网段的IP，但两台设备的外网接口IP必须在同一网段。
外网接口的网关可以任意填写（不能全填0）。
WAN口集群IP须和每台设备在外网接口设的IP不在同一个网段。

0x05.配置思路

设备信息检查：确定集群序列号已经开通，且节点序列号开通一致。
网口配置：确定各个SSL设备LAN的IP地址（192.168.1.2，192.168.1.3）。
确定WAN口的地址和网关地址（WAN口IP可随意设置为10.10.10.2，10.10.10.3，WAN口网关为10.10.10.1，和WAN口IP同段）。
集群配置：确定LAN口集群IP地址（192.168.1.1，和LAN口IP同网段）。
确定WAN口的集群IP地址（221.10.133.247）和网关（221.10.133.1），WAN口集群IP实际为公网线路IP，用于和公网通信，必须和WAN口的IP地址在不同网段。
其他配置信息，静态路由，SNAT等。

0x06.配置步骤

确认授权：

网络接口配置：


集群配置：

检查集群状态：

0x07.注意事项

• 集群配置是通过集群序列号来激活集群功能；
• 集群部署不支持ADSL拨号类型的公网线路环境；
• 如果设备由开启防DOS攻击，需要将集群中各节点的LAN口、WAN的IP地址填入到“排除地址列表”中；
• DMZ口的CIP不提供分发功能，只有LAN口和WAN口会提供分发功能，即通过DMZ口的CIP接入SSLVPN，VPN设备不会将用户调度给真实服务器；
• 使用RADIUS/LDAP认证时，RADIUS/LDAP服务端需要将集群环境中每个节点的真实LAN口IP加入到验证通过的列表中，原因是SSLVPN设备会使用设备本身LAN口IP地址去连接RADIUS/LDAP服务器。