大规模VPN方案服务解决

　　由于软件或硬件的限制，1台VPN Server达到一定的连线数时，会导致通讯吞吐量下降，降低整体性能。不管如何优化或提高处理性能，在同一台服务器上可以运行作业的数量始终是有限的。

　　PacketiX VPN服务器支持集群功能，将多个VPN服务器整合为一个整体，降低单一服务器的性能限制。当VPN连接源的计算机连接到集群时，集群控制器自动将其连接到集群中的一个服务器上。根据运行模式来决定负载平衡的连接算法。在各台VPN服务器之间实现了负载平衡和数据容错。

　　同时连接的VPN访问数量很多的情况下，使用PacketiX VPN的群集功能，可以使负荷均衡，提高吞吐量，实现容错功能。

　　集群功能的必要性

　　

 

 

 

　　利用集群功能来处理大量的 VPN 连接

　　在集群成员中，一台服务器发生故障导致运行停止时，连接到该服务器上的通讯就会自动转接到其他成员上，并继续进行VPN通信处理。其恢复连接的速度非常快， VPN服务器的管理员或VPN用户并不需要进行任何特殊的设置和处理。

　　即使集群内的一台服务器停止工作，也可以妥善地平衡负载并处理各连接。因此该功能适合在大规模、高可靠性的网络连接环境中使用。

　　

 

 

 

　　容错处理

　　PacketiX VPN集群，主要分为集群控制器和集群成员服服务器。

　　集群控制器

　　集群控制器管理所有的集群成员，以保持成员间的工作运作状态的一致性和协调性。

　　集群成员服务器

　　成员服务器是指除了集群控制器之外的其他加入到集群的计算机。通过集群控制器的控制连接，共同作为PacketiX VPN Server集群中的一部分开始运作。

　　集群功能的作用

　　PacketiX VPN Server集群功能，主要运用于大规模远程访问VPN服务和大型 VPN服务器托管这两个方面。

　　大规模远程访问 VPN 服务

　　使用PacketiX VPN Server建立群集，可提供大规模远程访问VPN连接服务，已达到高可靠性、VPN服务器容错、以及进行负载平衡等需求。

　　VPN集群对用户是透明的，他不需要知道连接到了哪一台成员服务器，也不需要进行什么特殊的设置和操作。如果连接的VPN服务器发生了硬件故障，暂停服务器，VPN会话会自动切换到另一个VPN服务器。

　　由此，确保了远程访问型 VPN 服务器的可扩展性和容错能力。

　　

 

 

 

　　图10-8-1 网络配置

　　上图中， VPN Client从远程对该公司内局域网进行VPN连接。通过设置VPN Server集群，能够应对大量连接请求。

　　使用3 台VPN Server进行集群。VPN Client连接时，集群控制器会把连接分配给负荷最低的成员服务器。

　　群集环境下 VPN 会话的管理

　　群集环境构筑好后，不需要对成员服务器进行管理。配置文件的下载、会话管理、用户的添加/删除、外部认证服务器的设定、证书的设定等等，几乎所有的管理都只在群集控制器上进行，集群控制器就会自动更新各成员服务器的设定，集群状态可以经常保持整合性。

　　大型VPN服务器托管

　　互联网服务供应商(ISP)或大型企业IT部门为用户提供VPN服务的时候，可以使用PacketiX VPN Server集群功能。

　　

 

 

 

　　大型VPN 服务器托管

　　大型VPN服务也被称为“主机型VPN服务”或“ISP型VPN服务”。

　　在数据中心、网络速度高的地方设置高性能的VPN服务器，并创建多个虚拟 HUB，向个人或公司提供使用该虚拟HUB权利的服务，并将这些虚拟HUB的管理员权限交给使用者，从而为使用该虚拟HUB的多个用户提供VPN通信服务。

　　

 

 

 

　　大型企业VPN服务的用途

　　大企业的 IT 部门，通过建立VPN Server系统进行一元化管理，创建多个虚拟HUB，将这些虚拟 HUB 的管理权限分配给公司内各部门的负责人，各部门就不需要自己安装管理VPN服务器计算机的复杂工作。

　　ISP大规模VPN服务的用途

　　使用网络服务供应商(ISP)提供的高速主干网络线路，向顾客提供主机型 VPN 服务。在ISP的数据中心内设置VPN Server系统，为顾客创建专用的虚拟 HUB，将管理员权限委交给顾客，顾客可以租用该虚拟 HUB 进行自由的添加用户、管理连线数等等。

　　这类服务特别适合公司没有公有IP地址的用户，需要租赁稳定的VPN Server的需求。

　　还有些中小企业没有管理VPN Server的技术。ISP可以提供虚拟HUB出租，将该公司内设置的VPN Bridge与ISP的虚拟HUB连接起来，可以在公司内不设置 VPN Server 的状态下，对公司员工提供VPN服务。从而实现远程访问公司内局域网。

　　也可以在没有固定公网IP地址的 2个局域网，都连接到ISP提供的虚拟HUB上，实现两个局域网间的VPN连接。

　　

 

 

 

　　利用ISP型虚拟 HUB 存取服务的局域网间连接VPN

　　大规模VPN 的会话管理

　　构筑好集群环境之后，只需对集群控制器进行管理设定，就会自动对各群集成员更新通知，集群全局状态可以经常保持整合性。

　　管理自动化

　　ISP运营大规模VPN服务，可通过用户在线注册的方式，自动为用户创建虚拟HUB。实现虚拟HUB创建作业自动化。 用户退会时自动删除虚拟HUB。当用户在一定时间内拖欠使用费用时，可以强制关闭该虚拟HUB等等的情况，如果能够构筑出与ISP系统联动的自动控制管理系统，将是非常便利的。

　　上述可通过PacketiX命令行管理接口(vpncmd)进行开发。vpncmd可以通过cgi、ASP、ASP.NET等脚本、编辑在程序中，从后台调出命令行参数。

　　ISP通过VPN Server全局管理权限，可以对每个虚拟HUB的通信量进行管理，对每个用户计算费用。或者创建简单的程序，也可实现处理、记录、费用计算的自动化。

 

　　使用PacketiX VPN的集群功能，多个VPN服务器达到负载均衡以及容错的功能，可以每天24小时，一年365天的不间断运行。