SANGFOR-SSL-VPN-V4.25-分布式集群方案-202411.doc

PAGE

SSLVPN全网移动

分布式集群解决方案

深信服科技有限公司

20XX年XX月XX日

SSLVPN全网移动分布式集群解决方案文档密级：公开

PAGEi

深信服科技版权所有

目录

TOC\o2-3\h\z\t标题1,1,SANGFOR_1_标题1,1第1章 需求分析 1

第2章 解决方案 2

2.1 网络部署方案 2

2.2 应用效果 5

第3章 技术说明 6

3.1 统一域名接入访问 6

3.2 异地就近接入访问 7

3.3 异地设备统一管理 7

3.4 异地热备接入 8

3.5 负载均衡功能 9

第4章 方案价值 11

PAGE11

深信服科技版权所有

需求分析

信息中心、数据中心的建设往往是依据组织的业务结构进行配套设置的。许多大型组织机构的业务往往呈现分布式，以地域划分建设该区域的业务中心，不同的分支业务中心承当不同的业务。这种业务结构使得整个组织的信息中心、数据中心的建设也随之呈现分布式的情况。但从业务访问的角度来看为了实现整个组织机构的资源共享和流程化办公，又需要各个分支都能够访问到全部的业务系统和数据中心。同时，出差领导和员工需要随时随地的接入到各个信息中心的业务系统中，实现平安、快速、易用的远程接入访问。

多业务分支节点、多信息中心的情况面临问题：〔根据客户情况进行调整〕

〔1〕统一信息平台建设问题〔节点与节点之间尚未采用专线进行连接的，可选取该段，并对〔2〕进行修改〕

为了实现整个组织的资源合理调配和集中统一管理，必须在总部和所有分支之间构建起统一的信息网络平台进行协同办公以及资源共享。而组织现面临的是多信息中心、多数据中心的情况，假设是使用专线网络进行信息平台承载网络的建设，这必然带来月复一月及其高昂的网络运营本钱，其性价比难以得到很好的保证，同时也增加了日后对网络结构调整的繁杂。

〔2〕移动远程接入问题〔节点与节点之间已采用专线进行连接的〕

现有总部与分支之间、各分支之间的主体网络已经搭建起了专线网络，由于业务的需要，总部和分支的领导和员工需要在出差的时候同样能够接入到组织内部应用系统中进行访问。传统的SSLVPN移动办公解决方案都是在每个信息中心和数据中心所在地设置一台SSLVPN，各分支的员工通过该分支发布的SSLVPN地址实现应用系统的访问。这样的部署反式看似已经解决了用户远程移动办公的需求，但在实际使用的过程中，却发现其中许多的不便之处：

??接入快速性问题

对于传统的SSLVPN网络，某台设备上设置的用户只能通过该设备进行SSLVPN接入。但对于大范围移动的用户使用来说，如此固定的访问途径却带来许多不便。例如一个深圳用户到北京出差需要访问到集团统一的业务系统时，同样需要通过接入到深圳的SSLVPN而不能直接通过北京的SSLVPN才能访问到该应用。北京到深圳间长距离、跨运营商、高丢包、高延时的互联网络状况直接拖拽了应用系统的响应，访问体验非常差。

??接入便捷性问题

传统SSLVPN部署在各个信息中心、数据中心的每台SSLVPN都需要对外发布一个网址。用户办公往往会使用到多套业务系统，在接入不同信息中心的不同业务系统时，需要通过不同网址访问不同的SSLVPN设备才能访问到所需的业务系统。面对全国多个信息中心，繁杂的地址和反复的操作都大大降低了领导和员工的办公效率。

??接入稳定性问题

为了实现整个业务系统全天候24小时的高稳定运转从而保障业务的稳定性，组织在多个分支信息中心都建立了灾备数据中心通过SSLVPN进行应用发布提供高可靠的冗余效劳。但传统的SSLVPN的唯一网址访问问题让灾备变得“有形〞，当主数据中心因为效劳器宕机或网络故障等原因导致不可访问时，用户需要手动的输入备数据中心的网址才能访问到该应用，没有实现真正意义上自动切换的冗余灾备。

解决方案

网络部署方案

针对XXXX分布式信息中心及多冗余数据中心的情况，深信服科技提出了分布式集群解决方案。在XXXX北京、上海、广州、深圳等地的大型信息中心的网络分别部署深信服SSLVPN设备提供平安接入效劳。同时，将深信服独有的Webagent专利技术结合分布式集群的特点，提供统一域名接入、就近接入、主备透明切换的功能。

Webagent作为整个SSLVPN分布式集群的心脏，发布一个域名作为SSLVPN统一接入。用户接入这个统一域名后，将通过Webagent选择