安全接入网关冗余功能使用手册

1安全接入网关冗余功能用户手册南瑞集团公司2014年7月1.产品介绍.....................................................................................................................................31.1产品概述...................................................................................................................................31.2冗余功能介绍...........................................................................................................................32.环境需求.....................................................................................................................................33.环境拓扑.....................................................................................................................................44.功能点分析.................................................................................................................................45.系统配置说明.................................................................................................................................45.1主AG设备配置........................................................................................................................45.2备AG设备配置........................................................................................................................731.产品介绍1.1产品概述国家电网公司USAP3000信息安全接入系统是构建坚强智能电网信息安全接入体系的核心基础安全防护设施，承担智能电网各种复杂网络环境下智能终端安全接入、实时监控、数据安全传输与交换、主动防御预警等重要功能。在本次的产品更新中，将会添加新增的主备的冗余切换功能；提高网络的性能，增强网络的及时恢复功能！1.2冗余功能介绍当网络拓扑中存在两台SDS设备时，并且SDS设备之间有多条冗余链路。因此，只要在网络中找一台SDS充当核心，指明该活动链路到集中监管(MC)即。其他的备用SDS设备，将处于down状态，链路全部被block（阻塞）。当活动链路失效之后，再启用备用SDS设备，同时block（阻塞）链路作为活动链路，从而保证网络的连通性（提高网络性能）。2.环境需求硬件信息数量功能信息PC2台拥有VPN客户端软件SSLVPN（安全接入网关）2台拥有冗余功能的SSLVPN交换机2台千兆网卡交换机SDS（数据交换设备）2台拥有冗余功能的SDSMC(集中监管设备)1台正常配置MC43.环境拓扑192.168.1.10----192.168.1.100Sslvpn_1Eth1:192.168.1.1Eth1:0:192.168.1.3Sslvpn_2Eth1:192.168.1.2Eth1:0:192.168.1.3Eth2:2.0.0.1Eth2:2.0.0.2外2:2.0.0.3外2:2.0.0.4内1：10.0.0.1内1：10.0.0.2SDS1SDS2MCAG1AG210.0.0.3心跳线虚拟口IP：2.0.0.5虚拟口IP：2.0.0.5外1：3.0.0.1外2:3.0.0.2冗余功能的测试拓扑（此图中的sslvpn都为小写）4.功能点分析工作设备运行状态PCVPN客户端工作正常，可以正常连接SSLVPN服务器SSLVPN（安全接入网关）vpn_server进程工作正常，能够让VPN客户端正常连接SSLVPN，实现冗余功能。交换机工作正常，如果高端交换机，需注意VLAN的配置SDS（数据交换）需要配置正常，代理规则配置OK，并且能够实现冗余功能。MC（集中监管）配置正常，需要可以正常下发策略5.系统配置说明5.1主AG设备配置1、配置IP地址，eth1:192.168.1.1；eth2:2.0.0.12、注意：此次集中监管服务IP为虚拟口的IP地址(此处为2.0.0.5)。53、配置vi/etc/sysconfig/network文件，修改内容：HOSTNAME=sslvpn_1，为当台设备的名称(配置后注意需要重新启动)。[root@USAP~]$cat/etc/sysconfig/networkNETWORKING=yesHOSTNAME=sslvpn_1#配置该设备的名称配置主机名称4、配置vi/etc/hosts文件，配置192.168.1.1的主机名为sslvpn_1，配置192.168.1.2的主机名为sslvpn_2。[root@USAP~]$cat/etc/hosts192.168.1.1sslvpn_1#配置主SSLVPN设备的，eth1的IP地址以及该设备的hostname192.168.1.2sslvpn_2#配置备SSLVPN设备的，eth1的IP地址以及该设备的hostname65、配置vi/etc/ha.d/ha.cf文件[root@USAP~]$cat/etc/ha.d/ha.cfdebugfile/var/log/ha-debuglogfile/var/log/ha-loglogfacilitylocal0keepalive2deadtime30warntime10initdead60udpport694ucasteth1192.168.1.2#用于心跳检测对端设备的健康状况/设置当前配置心跳的接口以及对端设备的IP地址ping_groupgroup1192.168.1.2192.168.1.10#用于进行检测对端设备的健康状况，PING这两个IP地址，看是否都能够PING通（注意：建议此处如果有网关地址，可以配置网关地址）。ping_groupgroup22.0.0.32.0.0.4#同上respawnhacluster/usr/lib/heartbeat/ipfail#加入该命令：用于加ipfail插件，该插件主要用于PING包检测，如果以上GROUP组中所有的IP地址都PING不通，则会DOWN掉虚拟接口，另外一台的AG的虚拟口将会UP。auto_failbackon#用于开启是否进行主备抢占机制nodesslvpn_1#加入主的hostnamenodesslvpn_2#加入备的hostname6、配置vi/etc/ha.d/haresources文件[root@USAP~]$cat/etc/ha.d/haresourcessslvpn_1IPaddr::192.168.1.3/24/eth1ldirectordusap_sslvpn#该命令是用于配置主SSLVPN的名称（注意：此处的名称决定了哪台sslvpn为主，两端需一致），7虚拟口的IP地址，与虚拟口绑定的端口eth1，以及需要拉起的进程5.2备AG设备配置1、配置IP地址，eth1:192.168.1.2；eth2:2.0.0.22、注意：此次集中监管服务IP为虚拟口的IP地址(此处为2.0.0.5)。3、配置vi/etc/sysconfig/network文件，修改内容：HOSTNAME=sslvpn_2，为当台设备的名称。（配置名称后，设备需要重启）[root@USAP~]$cat/etc/sysconfig/networkNETWORKING=yesHOSTNAME=sslvpn_2#配置该设备的名称配置主机名称4、配置vi/etc/hosts文件，配置192.168.1.1的主机名为sslvpn_1，配置192.168.1.2的主机名为sslvpn_2。8[root@USAP~]$cat/etc/hosts192.168.1.1sslvpn_1#配置主SSLVPN设备的，eth1的IP地址以及该设备的hostname192.168.1.2sslvpn_2#配置备SSLVPN设备的，eth1的IP地址以及该设备的hostname5、配置vi/etc/ha.d/ha.cf文件[root@USAP~]$cat/etc/ha.d/ha.cfdebugfile/var/log/ha-debuglogfile/var/log/ha-loglogfacilitylocal0keepalive2deadtime30warntime10initdead60udpport694ucasteth1192.168.1.1#用于心跳检测对端设备的健康状况/设置当前配置心跳的接口以及对端设备的IP地址ping_groupgroup1192.168.1.1192.168.1.10#用于进行检测对端设备的健康状况，PING这两个IP地址，看是否都能够PING通（注意：建议此处如果有网关地址，可以配置网关地址）。ping_groupgroup22.0.0.32.0.0.4#同上respawnhacluster/usr/lib/heartbeat/ipfail#加入该命令：用于加ipfail插件，该插件主要用于PING包检测，如果以上GROUP组中所有的IP地址都PING不通，则会DOWN掉虚拟接口，另外一台的AG的虚拟口将会UP。auto_failbackon#用于开启是否进行主备抢占机制nodesslvpn_1#加入主的hostnamenodesslvpn_2#加入备的hostname96、配置vi/etc/ha.d/haresources文件[root@USAP~]$cat/etc/ha.d/haresourcessslvpn_1IPaddr::192.168.1.3/24/eth1ldirectordusap_sslvpn#该命令是用于配置主SSLVPN的名称（注意：该名称决定了哪些设备为主SSLVPN，两端需一致），虚拟口的IP地址，与虚拟口绑定的端口eth1，以及需要拉起的进程