在該環(huán)境中，采用了4臺VPN設(shè)備來建立集群，每臺集群的型號以及配置均相同，其中一臺設(shè)備作為主墻，進行接收任務(wù)的分配工作，分配有多種原則，數(shù) 據(jù)由主墻進行統(tǒng)一分發(fā)，可以分配到四臺VPN設(shè)備的任何一臺設(shè)備上進行處理。如果主墻出現(xiàn)問題，那么后面三臺備墻會按照規(guī)則選定其中一臺繼續(xù)履行主墻的職 責，而主墻上以前沒有完成的任務(wù)會分給后面三臺設(shè)備繼續(xù)處理，使用戶訪問損失達到最小。同時，在環(huán)境中每臺設(shè)備均有一個端口與內(nèi)網(wǎng)服務(wù)器相連，如果內(nèi)網(wǎng)服 務(wù)器出現(xiàn)問題，會在VPN設(shè)備上啟動接口聯(lián)動功能，使得外網(wǎng)口會向用戶反饋服務(wù)中斷的響應(yīng)。在該集群環(huán)境中，對外宣布的訪問地址只有一個，但是處理訪問的 VPN設(shè)備卻同時有四臺，大大提高了數(shù)據(jù)實際處理能力。如果想要擴展集群的處理能力，只需要在原有基礎(chǔ)上，多加集群設(shè)備即可，如增加到8臺。在配置上要將 后增加的設(shè)備的配置及時同步到其他服務(wù)器上。這種實現(xiàn)要求每臺VPN設(shè)備之間連接相應(yīng)的心跳線、負載均衡線，以便于實時的探測各臺VPN設(shè)備的運行情況， 以及進行相應(yīng)的配置同步。

該集群環(huán)境能夠很好的滿足用戶對數(shù)據(jù)處理高性能、響應(yīng)及時以及可靠的穩(wěn)定性方面的需求，但還是有其缺陷的，首先：這種集群環(huán)境要求所有的設(shè)備都在一 起，不能分布實施：其次，這種集群環(huán)境需要一臺主墻作分發(fā)，那么這臺主墻的性能也直接決定了整體集群的處理能力;第三，這種集群環(huán)境要求每臺墻的配置除了 基本的網(wǎng)絡(luò)配置外都要相同，這就要求每臺墻的配置需要實時同步，且配置量會很大，給后期維護帶來一定的困難;第四，雖然這種集群方式在規(guī)模上理論上是可以 大范圍擴展的，但是由于配置量大、物理接口需求多、且對分發(fā)主墻性能要求高，所以事實上10臺以內(nèi)的集群環(huán)境是可能的，再多就會給使用和維護帶來困難。基 于上述原因，提出了分布式的集群解決方案。拓撲如下圖所示：

在該方案中，多臺VPN作為各自獨立的設(shè)備分布到用戶的環(huán)形網(wǎng)絡(luò)中，每一臺設(shè)備的作用都是相同的，不存在主次之分。設(shè)備上分別接入內(nèi)網(wǎng)和外網(wǎng)，也就 是說，每臺設(shè)備都擁有單獨的外網(wǎng)接口。服務(wù)器1作為權(quán)限分發(fā)中心，負責集群中每臺設(shè)備的注冊以及每臺設(shè)備配置的下發(fā)。認證服務(wù)器區(qū)作為認證中心，負責所有 用戶認證。當用戶第一次訪問內(nèi)網(wǎng)資源的時候，首先通過服務(wù)器區(qū)1獲得集群中所有VPN設(shè)備的訪問地址列表，并緩存在本地。這樣后續(xù)訪問內(nèi)網(wǎng)資源的時候，就 可以通過緩存的設(shè)備地址列表隨機通過任何一臺VPN設(shè)備訪問其保護的內(nèi)網(wǎng)資源，當然這些操作都是自動的，用戶不用手工進行。同時服務(wù)器1還負責對所有注冊 在本服務(wù)器內(nèi)的VPN設(shè)備進行配置的下發(fā)和維護，這樣就避免了各臺服務(wù)器之間進行同步所耗費的資源，也使各臺VPN分布式實施成為了可能。用戶在訪問 VPN設(shè)備時的認證操作由認證服務(wù)器區(qū)的一組認證服務(wù)器來進行，這一組認證服務(wù)器互相之間處于熱備份狀態(tài)，以增加認證功能的穩(wěn)定性。同時由于將認證功能單 獨出來，簡化了VPN設(shè)備的認證操作，而且使用戶認證信息更容易維護。通過這種分布式的集群架構(gòu)，使得集群環(huán)境提供的服務(wù)更加穩(wěn)定高效，而且使得集群的大 規(guī)模擴充成為可能，充分的解決了在大型網(wǎng)絡(luò)中上述傳統(tǒng)集群所面臨的問題。

huanghui