在該環(huán)境中����,采用了4臺VPN設備來建立集群����,每臺集群的型號以及配置均相同,其中一臺設備作為主墻�����,進行接收任務的分配工作�,分配有多種原則�,數(shù) 據(jù)由主墻進行統(tǒng)一分發(fā)���,可以分配到四臺VPN設備的任何一臺設備上進行處理����。如果主墻出現(xiàn)問題����,那么后面三臺備墻會按照規(guī)則選定其中一臺繼續(xù)履行主墻的職 責,而主墻上以前沒有完成的任務會分給后面三臺設備繼續(xù)處理��,使用戶訪問損失達到最小���。同時,在環(huán)境中每臺設備均有一個端口與內網(wǎng)服務器相連���,如果內網(wǎng)服 務器出現(xiàn)問題����,會在VPN設備上啟動接口聯(lián)動功能�,使得外網(wǎng)口會向用戶反饋服務中斷的響應。在該集群環(huán)境中����,對外宣布的訪問地址只有一個��,但是處理訪問的 VPN設備卻同時有四臺�����,大大提高了數(shù)據(jù)實際處理能力����。如果想要擴展集群的處理能力�,只需要在原有基礎上,多加集群設備即可�����,如增加到8臺��。在配置上要將 后增加的設備的配置及時同步到其他服務器上�。這種實現(xiàn)要求每臺VPN設備之間連接相應的心跳線�����、負載均衡線����,以便于實時的探測各臺VPN設備的運行情況, 以及進行相應的配置同步����。
該集群環(huán)境能夠很好的滿足用戶對數(shù)據(jù)處理高性能����、響應及時以及可靠的穩(wěn)定性方面的需求,但還是有其缺陷的��,首先:這種集群環(huán)境要求所有的設備都在一 起����,不能分布實施:其次,這種集群環(huán)境需要一臺主墻作分發(fā)��,那么這臺主墻的性能也直接決定了整體集群的處理能力;第三,這種集群環(huán)境要求每臺墻的配置除了 基本的網(wǎng)絡配置外都要相同�����,這就要求每臺墻的配置需要實時同步�����,且配置量會很大,給后期維護帶來一定的困難;第四�����,雖然這種集群方式在規(guī)模上理論上是可以 大范圍擴展的,但是由于配置量大�、物理接口需求多、且對分發(fā)主墻性能要求高�,所以事實上10臺以內的集群環(huán)境是可能的���,再多就會給使用和維護帶來困難��?����;?于上述原因���,提出了分布式的集群解決方案��。拓撲如下圖所示:
在該方案中,多臺VPN作為各自獨立的設備分布到用戶的環(huán)形網(wǎng)絡中�����,每一臺設備的作用都是相同的���,不存在主次之分。設備上分別接入內網(wǎng)和外網(wǎng)��,也就 是說��,每臺設備都擁有單獨的外網(wǎng)接口。服務器1作為權限分發(fā)中心��,負責集群中每臺設備的注冊以及每臺設備配置的下發(fā)��。認證服務器區(qū)作為認證中心���,負責所有 用戶認證���。當用戶第一次訪問內網(wǎng)資源的時候,首先通過服務器區(qū)1獲得集群中所有VPN設備的訪問地址列表���,并緩存在本地。這樣后續(xù)訪問內網(wǎng)資源的時候,就 可以通過緩存的設備地址列表隨機通過任何一臺VPN設備訪問其保護的內網(wǎng)資源��,當然這些操作都是自動的�����,用戶不用手工進行��。同時服務器1還負責對所有注冊 在本服務器內的VPN設備進行配置的下發(fā)和維護,這樣就避免了各臺服務器之間進行同步所耗費的資源�,也使各臺VPN分布式實施成為了可能����。用戶在訪問 VPN設備時的認證操作由認證服務器區(qū)的一組認證服務器來進行,這一組認證服務器互相之間處于熱備份狀態(tài)����,以增加認證功能的穩(wěn)定性。同時由于將認證功能單 獨出來�����,簡化了VPN設備的認證操作��,而且使用戶認證信息更容易維護�。通過這種分布式的集群架構,使得集群環(huán)境提供的服務更加穩(wěn)定高效��,而且使得集群的大 規(guī)模擴充成為可能��,充分的解決了在大型網(wǎng)絡中上述傳統(tǒng)集群所面臨的問題���。
