登录
稳定性 Availability
网络设备的稳定性一直是企业或电信网络所严格要求的,因此企业或电信网络通常会使用多部相同设备做到高度稳定的备援机制(HA,High Availability)。同样的SSL VPN设备也可以并且必须做到此功能。
SSL VPN网关器的HA,可用产品本身所提供的功能达到。例如,有些产品利用Failover线路侦测另一端设备的运作状况,有些产品则是利用VRRP的方式达到实时备援的效果。但这两种方式都是属于一部设备运行,其它设备备援的方式,也就是所谓的Active-Standby备援。
另外一种方式是Active-Active备援,SSL VPN网关器可以利用上一节“扩充性”的丛集(Clustering)达到Active-Active的效果。当然两种各有优缺点,Active-Standby,不需考虑联机负载分配的问题,减低复杂度;而Active-Active则是可以有效利用所有的设备同时运行。
不管是Active-Active或Active-Standby,所有相同群组的设备必须能够侦测得到对方。因此,考虑到我们在“安全性”一节所提的三种不同架构,便会有不同的建置方式。
如果采用Failover线路,则必须使两部设备相连,因此设备距离无法离开过远。
如果使用VRRP备援,那么所有设备必须在同一个网段内,如此才能互相侦测。因此如果多台SSL VPN网关器分接在不同的防火墙下(DMZ区或内部网络区),便需要考虑到IP网段的设计与防火墙存取政策的设定。
若使用Active-Active方式备援,则必须考虑多台SSL VPN网关器的联机分配与相互侦测问题。如果SSL VPN网关器分别连接在不同的防火墙之下(DMZ区或内部网络区),便需要考虑防火墙存取政策的设定。
总结:
规划与设计各种网络必须循序渐进,特别是远程访问VPN网络。因此建议读者首先必须认清自己的需求,以建置符合使用与管理需求的VPN网络。在挑选SSL VPN的时候,除了价格、功能的对比外,还应该考虑到企业的实际应用情况,切记“量身定制,勿要盲目追风。”
