SANGFOR_AD_V5.1_2014年渠道高级认证培训03_链路负载与服务器负载高级功能应用

SANGFORAD链路负载与服务器负载高级功能应用 培训 焊锡培训资料ppt免费下载焊接培训教程 ppt 下载特设培训下载班长管理培训下载培训时间表下载 内容 财务内部控制制度的内容财务内部控制制度的内容人员招聘与配置的内容项目成本控制的内容消防安全演练内容 培训目标虚拟服务前置调度策略掌握前置调度策略的原理及配置虚拟服务优化策略了解虚拟服务优化策略的使用虚拟服务SSL策略1.了解SSL策略的认证流程2.掌握SSL策略的配置链路负载前置调度策略（DNS代理）1.掌握DNS代理的前置调度配置2.掌握内网DNS的应用场景及配置虚拟服务优化策略深信服公司简介链路负载前置调度策略（DNS代理）SANGFORAD虚拟服务前置调度策略虚拟服务SSL策略虚拟服务前置调度策略虚拟服务前置调度策略1.虚拟服务前置调度策略功能介绍前置调度策略用于符合设定条件的请求始终调度到某一台或者多台服务器上。前置调度策略优先于虚拟服务关联的节点池调度策略。发起访问1.新建前置调度策略，源IP为202.96.137.75发起的会话始终调度到服务器A。2.新建虚拟服务，节点池使用轮询调度算法。关联前置调度策略。服务器A服务器B服务器C202.96.137.75首先匹配到虚拟服务IP组，发现需要调度，然后会匹配到前置调度策略，调度到服务器A只要是202.96.137.75发起的访问都调度到服务器A虚拟服务前置调度策略2.虚拟服务前置调度策略应用案例网络环境与需求：客户拓扑如右图，AD旁路部署，客户内网有四个不同的HTTP服务，都是80端口提供服务。但是公网只有电信和联通两个公网IP，需要实现四个域名分别访问到4个服务，每个服务有两台服务器。外网用户自动选择最快线路访问到内网服务器，也就是需要实现入站链路负载。域名与IP对应关系如下：mail1.test.com.cn-192.168.1.100和192.168.1.101mail2.test.com.cn-192.168.1.102和192.168.1.103mail3.test.com.cn-192.168.1.104和192.168.1.105mail4.test.com.cn-192.168.1.106和192.168.1.107内网用户电信200.96.137.75联通202.96.137.75AD旁路部署WAN：192.168.1.99GW：192.168.1.1WEB服务器群虚拟服务前置调度策略2.虚拟服务前置调度策略应用案例AD解决 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 思路分析：1.由于客户出口只有两个公网IP，但是内网有四个HTTP服务需要发布，而且每个服务有两台服务器。使用端口映射肯定无法满足需求。通过新建四个虚拟服务是否可以满足需求？不可以。客户的四台服务器端口都是80，一个虚拟服务占用了80，另外一个虚拟服务则不能再使用80端口。冲突提示如下：2.最好的 方法 快递客服问题件处理详细方法山木方法pdf计算方法pdf华与华方法下载八字理论方法下载 是使用虚拟服务前置调度策略来实现，新建一个虚拟服务，然后通过关联前置调度策略，将不同的URL调度到不同的节点。虚拟服务前置调度策略2.虚拟服务前置调度策略应用案例配置思路：1.首先配置智能DNS入站链路负载策略。（略）2.新建四个节点池，配置调度算法，会话保持等信息。3.新建四个前置调度策略。设置条件，不同的URL调度到不同的节点池。4.配置虚拟服务，关联四个前置调度策略。虚拟服务前置调度策略配置方法与截图：新建四个会话保持用于四个节点池调用新建四个节点池一般情况下http头部的HOST字段为域名，可以用httpwatch抓包软件查看，事例。访问百度网页的HTTP头部HOST字段mail2的前置调度策略mail3的前置调度策略mail4的前置调度策略一共新建四个前置调度策略选择四个前置调度策略节点池可任意选择一个，因为匹配到了前置调度策略就不会再调度到此处的节点池。虚拟服务优化策略虚拟服务优化策略1.TCP单边加速通过优化TCP协议，解决一些TCP协议本身的缺陷，来实现加速的效果。主要用于丢包大的情况下，效果十分明显。该功能仅针对TCP协议生效。1.虚拟服务优化功能介绍发起访问网络丢包严重启用单边加速虚拟服务优化策略1.虚拟服务优化功能介绍2.HTTP连接池在服务器端保持一定数量的HTTP连接处于活动状态，同一个连接可发多个请求，提高服务器的响应效率。减少服务器新建连接，能有效降低服务器CPU负载。注意：由于第二次访问是复用之前的会话，所以服务器看到的源IP是第一次发起访问的客户端IP。第一个用户发起访问中断会话会话不中断，加入连接池第二个用户发起访问不需要重新建立会话，直接复用连接池ABC虚拟服务优化策略1.虚拟服务优化功能介绍3.HTTP缓存设备内置HTTP缓存，能减轻大量重复请求对服务器的压力。该缓存保存于内存中，重启设备将被清除。第一个用户发起访问ABCAD检查数据包，可以缓存，则添加到设备缓存。第二个用户发起访问AD检查缓存，可以匹配，则直接返回缓存给客户端。如发现页面过期，则向服务器发起更新请求更新缓存。虚拟服务优化策略1.虚拟服务优化功能介绍4.HTTP压缩客户端请求页面，AD设备返回缓存内容或者服务器返回内容给客户端时，AD设备对HTTP响应进行压缩编码，降低数据量，从而减少数据在网络上的传输时间。发起HTTP访问对HTTP响应进行压缩编码后，返回给客户端。虚拟服务优化策略1.虚拟服务优化功能介绍5.传输客户端IP至后台服务器在设备旁路部署情况下，wan口做snat将所有访问数据源IP转换成wan口IP，服务器无法统计到客户端的真实源IP，此时如果客户服务器是HTTP服务器，可以使用该功能让服务器查看到客户端的真实源IP。注意：服务器必须是通过检查http头部的方式做源IP统计才有效，不适用于服务器直接检查数据包IP层的源IP做统计。202.96.137.75192.168.1.1看不到真实源IP！启用该功能前数据包传输过程虚拟服务优化策略1.虚拟服务优化功能介绍5.传输客户端IP至后台服务器202.96.137.75192.168.1.1启用该功能后数据包传输过程http头部插入X-Forwarded-For：202.96.137.75读取http头部X-Forwarded-For：202.96.137.75虚拟服务优化策略2.虚拟服务优化功能配置界面介绍一条优化策略可以同时开启多种优化功能虚拟服务关联优化策略即可单边加速直接启用即可虚拟服务优化策略3.虚拟服务优化功能应用案例网络环境：外网一条联通线路，有电信和移动用户需要访问到内部的WEB应用系统。客户已经旁路模式部署了一台AD设备实现了负载。客户需求：电信用户访问业务系统的时候很慢，希望AD能够解决跨运营商访问慢的问题。虽然已经有两台服务器做负载，但是由于业务量很大，并发很高，希望有功能可以够减轻HTTP服务器部分压力。由于客户的服务器需要统计源IP地址访问，统计全国各省的访问量，要求服务器能够查看到访问的真实源IP。内网用户WEB业务系统AD旁路部署联通虚拟服务优化策略3.虚拟服务优化功能应用案例AD解决方案：客户端访问的用户跨运营商，跨运营商慢的原因很大一部分是丢包造成的，因此可以考虑用TCP单边加速解决该问题。客户希望减轻服务器的压力，由于客户的服务器是HTTP应用，因此可以考虑启用HTTP连接池、HTTP缓存和HTTP压缩来实现客户需求。客户的服务器需要统计真实的源IP地址，由于旁路部署，AD做了SNAT，因此可以通过“传输客户端IP至服务器”功能来满足客户要求。虚拟服务优化策略3.虚拟服务优化功能应用案例配置思路：根据客户需求配置好IP组，节点池，虚拟服务等基础信息。参考初级培训PPT对应章节。【应用负载】-【策略】-【优化策略】，新建一条优化策略，设置好HTTP连接池、HTTP缓存、HTTP压缩、传输客户端IP至后台服务器。虚拟服务启用优化策略，并且选择2中新建的策略名称，启用单边加速。应用负载优化策略3.虚拟服务优化功能应用案例配置方法与截图1.配置服务、IP组、会话保持、节点池、虚拟服务2.新建优化策略并且配置好连接池大小：用于设置保持的最大连接数老化时间：用于设置连接池中连接池被释放之前的空闲时间。一般使用默认值即可。HTTP页面一般具有缓存时间，如果没有则以此时间为准。超过这个文件大小的页面不会缓存一些要求实时请求的URL，可以做排除。排除后设备不会做缓存填入缓存的URL必须要启用HTTP缓存才能勾选缓存压缩方式。一些HTTP服务器本身已经有HTTP压缩，则可以让服务器不压缩，AD设备来进行压缩，减轻服务器压力。应用负载优化策略3.虚拟服务优化功能应用案例配置方法与截图3.虚拟服务关联优化策略关联新建好的优化策略启用单边加速SSL策略1.SSL策略功能介绍2.SSL策略典型应用案例SSL策略1.SSL策略功能介绍情景一：客户服务器使用HTTPS提供服务，由于加解密会损耗服务器的性能。此时可以使用SSL卸载功能，将HTTPS加密解密的过程在AD设备上实现，从而减轻服务器性能压力，服务器使用HTTPS后的性能是HTTP的30%。该情况下如果需要使用SSL卸载功能，服务器需要改成HTTP提供服务。两种情况下需要使用到SSL策略功能情景二：客户服务器使用HTTP提供服务，可以使用SSL卸载功能在客户端与AD设备之间通过SSL进行加密，保证数据传输的安全。1、单向认证，即类似以前旧版本的SSL证书卸载，设备只需要将SSL证书提交给客户端，客户端对服务器的证书进行验证。常见案例可用于，后台节点为http服务，通过ADssl卸载功能，发布https虚拟服务，客户端访问时仅对服务器证书进行验证，AD不对客户端证书进行验证。其访问流程图如下：SSL策略SSL认证流程SSL认证流程2、双向认证，即在单向认证的基础上，要求对客户端访问进行认证，客户端也需要提交证书给AD设备进行验证。常见案例是，https/ssl类型虚拟服务，不仅对服务器证书进行认证，AD还要对访问的证书进行认证。其访问流程图如下：SSL策略SSL策略1.SSL策略单向认证应用案例网络环境与需求：客户内网有两台web服务器，使用http://ip:444访问。需要使用AD来进行负载均衡，并且由于内部服务器采用http协议。要求外网访问保证安全性，通过AD来建立SSL隧道加密，使得外网访问时采用https://ip:444。SSL策略1.SSL策略典型应用案例配置思路：网络配置：接口IP和代理上网，保证外网可以访问到AD接口，且其访问数据经过AD后转换为AD接口IP，从而保证调度非ADIP为网关的服务器可以正常返回数据包。 应用负载：配置好服务，IP组，使得外网访问的数据包匹配上。然后配置节点池及会话保持方式。设置SSL策略，保证访问时使用SSL隧道。最后设置虚拟服务，将以上要素全部关联起来。SSL策略1.SSL策略典型应用案例配置方法与截图：1.网络接口2.源地址转换3.服务4.IP组5.会话保持6.节点池7.节点SSL策略1.SSL典型应用案例配置方法与截图：8.SSL-服务器证书9.策略-SSL策略10.应用负载-虚拟服务SSL策略实现效果图如果启用了http自动跳转，则在浏览器上输入http://ip:444，即会跳转到https://ip:444该证书为AD设备提供。SSL策略2.SSL策略双向认证应用案例双向认证跟单向认证配置相比多了SSL设置时需要设置客户端证书部分。而且要求客户端PC导入客户端证书，该客户端证书是由AD设备里面设置的CA证书签发的证书，或者被其证书链信任的证书，以提供服务器端AD验证。基本设置、SSL服务器证书设置、虚拟服务配置同单向认证，此处不在复述。SSL策略2.SSL策略双向认证应用案例配置方法与截图：2.应用负载-SSL-CA证书3.应用负载-策略4.客户端导入证书1.基本设置、SSL服务器证书设置、虚拟服务配置同单向认证，此处不在复述。SSL策略实现效果图1.首先AD提交证书给客户端PC2、接着AD要求客户端提供证书进行验证SSL策略注意事项1.部分WEB页面里嵌套的HTTP请求无法打开，请在配置虚拟服务的时候启用HTTP自动跳转到HTTPS。如AD设备是旁路模式部署在内网并且需要把服务发布到互联网，为保证HTTP到HTTPS跳转功能生效，前置防火墙设备还需映射80到AD设备WAN口。2.部分页面嵌套HTTP，成功发布HTTPS后，打开时IE会出现“此网页包含的内容将不使用安全的HTTPS连接传送，可能危及到整个网页的安全。”的警告。解决办法：一，每次点“否”继续浏览，二，每台电脑更改IE设置，更改方式：工具>Internet选项>安全>Internet>自定义级别>显示混合内容=启用，三，联系WEB开发人员，取消页面嵌套的HTTP连接。3.AD设备可以支持申请服务器证书导入功能，如果客户本身就有CA，则可以生成证书请求请求设备证书导入设备进行加密。DNS代理高级应用1.前置调度策略2.内网DNS 记录 混凝土 养护记录下载土方回填监理旁站记录免费下载集备记录下载集备记录下载集备记录下载 DNS代理高级应用1.前置调度策略1.1.前置调度策略功能介绍使用场景：AD设备设置了DNS代理后，内网用户的DNS请求会根据调度算法将DNS请求分配到不同的DNS服务器进行解析。某些域名本身做了限制，必须通过某一个DNS才能解析，此时需要使用前置调度策略将解析该域名的请求始终分发给固定的DNS服务器。DNS1DNS3DNS2www.xx.com根据DNS代理选择策略调度到DNS1服务器解析解析不到我才能解析www.xx.com启用DNS代理前置调度策略前的数据流DNS代理高级应用1.前置调度策略1.1.前置调度策略功能介绍DNS1DNS3DNS2www.xx.com根据DNS前置调度策略调度到DNS2服务器202.96.137.75我才能解析www.xx.com启用DNS代理前置调度策略后的数据流DNS代理高级应用1.前置调度策略1.2.前置调度策略应用案例内网用户电信WAN1:202.96.137.75教育网WAN2:200.96.137.75LAN:10.10.10.1/3010.10.10.2/30192.168.1.0/24网络环境与需求：某客户拓扑如右图，AD设备网关模式部署。电信DNS为202.96.128.9，教育网DNS为200.96.128.1。1.需要实现出站链路负载代理内网用户上网。2.需要实现DNS代理功能，内网用户DNS需要设置成10.10.10.1可以自动选择走电信或者教育网解析域名。3.有一个域名jyw.test.com必须走教育网的DNS才能解析到，因此要求该域名必须从教育网DNS解析。AD应用交付三层交换DNS代理高级应用1.前置调度策略1.2.前置调度策略应用案例配置思路：1.基础网络配置：配置LAN口、WAN1、WAN2口IP地址，配置代理上网，配置静态路由。2.出站链路负载配置：配置智能路由策略。3.配置DNS代理功能：启用DNS透明代理。4.启用前置调度策略，设置jyw.test.com域名走200.96.128.1进行解析。DNS代理高级应用1.前置调度策略1.2.前置调度策略应用案例配置方法与截图：基础网络配置、出站链路负载请参考初级认证PPT1.DNS代理配置2.前置调度策略配置内网用户DNS指向LAN口地址，则必须填写LAN地址到此处设置jyw.test.com仅通过教育网解析DNS代理高级应用2.内网DNS记录内网DNS记录使用场景：AD做链路负载，访问域名www.xxx.com时，进行DNS负载；外网用户返回外网IP，内网用户返回内网IP(不需做lan-lan端口映射)。外网用户内网用户WAN：202.96.137.75Server192.168.1.100设置内网DNS记录发现是外网用户请求，根据智能DNS返回202.96.137.75请求www.xx.com请求www.xx.com发现是内网用户请求，根据内网DNS记录返回192.168.1.1002.1.内网DNS记录功能介绍DNS代理高级应用2.内网DNS记录2.2.内网DNS记录配置方法1.DNS代理配置2.内网DNS记录配置设置内网网段设置好域名对应的内网服务器真实IP地址即可想一想1.HTTP连接池复用第一次的连接，服务器看到的源IP为第一次会话的客户端IP。那么同时启用传输客户端IP至服务器和HTTP连接池功能后，服务器看到的源IP是客户端真实IP还是连接池的会话复用源IP呢？如果AD没有做SNAT，在服务器上抓取网卡数据包，则看到的数据包IP层的源IP为会话复用的源IP地址。但是如果服务器具有读取应用层HTTP头部X-Forwarded-For字段统计的功能，则可以统计到客户端真实IP。2.内网DNS记录功能中，设备怎么判断DNS请求的源IP是内网IP或者外网IP的？启用DNS代理后，首先检查源IP地址是否属于代理的内网网段列表，然后检查解析的域名是否在内网DNS记录列表里，两者条件都符合，则返回内网IP给客户端。问题思考1.虚拟服务的优化功能需要序列号开启才能使用吗？2.请问虚拟服务启用了HTTP缓存的优化策略，怎么样看效果呢？3.DNS代理的前置调度策略在旁路模式下是否可以生效？www.sangfor.com.cn