Bluecoat_SP_HTTP反向代理和CDN技术方案建议_jun

知识水坝（豆丁网 您倾心整理（下载后双击删除） 百度一下 知识水坝 户 反向代理 和 术 方案建议书 2007 年 7 月 17 日 知识水坝（豆丁网 您倾心整理（下载后双击删除） 百度一下 知识水坝 目 录 1 前言 . 4 2 用户需求分析 . 5 3 方案设计原则 . 6 4 技术方案建议 . 7 向代理网络的总体设计 . 7 同一数据 中心部署反向代理节点 . 7 地部署反向代理节点 . 9 务（动态和静态网页同时加速业务） . 10 计概述 . 10 态网页加速流程 . 11 备选型 . 13 密动态网 页加速业务 . 14 P(用户 址传送 ) . 17 留用户原有域名 . 17 务特点 . 18 服务器卸载 . 19 缩 . 19 线程下载 . 20 型 略设置 . 20 络安全设计 . 20 击和 . 20 作系统 . 21 议检测 . 22 止反向代理服务器成为 . 22 理员访问限制和安全 . 23 户行为分析和统计及错误定位用户的追踪 . 23 局网络管理 . 24 知识水坝（豆丁网 您倾心整理（下载后双击删除） 百度一下 知识水坝 来扩展 . 25 5 存技术特点 . 27 速的内容抓取 . 27 适应的刷新：快速、新鲜的内容 . 28 适应的刷新：对带宽消耗的影响 . 30 鲜度测量和报告 . 31 储子系统 . 32 略控制引擎 . 33 视化策略管理器 . 34 知识水坝（豆丁网 您倾心整理（下载后双击删除） 百度一下 知识水坝 1 前言 本文是 户 向代理 工程的技术方案建议。 我们期待着和 户 进行进一步的深入交流。 知识水坝（豆丁网 您倾心整理（下载后双击删除） 百度一下 知识水坝 2 用户需求分析 户 目前的网站站点设计有 务器， 主要服务的内容是大量新闻和图片及一些 频类的节目。 采用 务器带来的主要 挑战 有 三 方面，一方面 系统运行在通用操作系统上，网站安全性存在风险。 另一方面 务器的性能受限，通常一台服务器只能处理 3000并发 户连接。性能上存在瓶颈。 最后还有在后台存储 户使用基于 磁盘阵列。当为了提升网站性能而增加前面的 务器时，后台存储的共享也成为了一个复杂的技术问题。 为了解决上述的一些实际问题。 户需要在 端增加硬件反向代理服务器，利用其安全和高性能的特性来降低 务器的负载 和被黑客攻击的风险 。 同时由于主要的负载都被反向代理服务器所承担，源服务器只需要 保持一个基本的 务器就可以，也无需涉及复杂的 享问题。 知识水坝（豆丁网 您倾心整理（下载后双击删除） 百度一下 知识水坝 3 方案设计原则 考虑 户 的实际情况，在方案设计时需要遵循如下原则： 1 标准性 现在构建的 向代理 网络应当符合网络业界的主流标准，保证系统和已有的 兼容性 。 2 合理的性能价格比 在满足当前的业务需求的同时，还考虑到今后业务发展的需求，确保在未来扩容时能够扩展到更多的 性能和 容量支持。同时 尽量选择经济的设备，做到最优的性价比。 3高可靠性 在确保系统可靠工作和数据的可靠性的原 则基础上，尽可能的 做到高起点，选用先进的技术和设备，使构建的 反向代理 系统有较高的 可靠性 ，以适应今后的发展。 4可管理性和可维护性 反向代理 设备可以通过多种技术和方式实现了高可靠性，同时也增加了系统的复杂性，从而容易导致维护和管理的复杂性。因此在方案设计中在提供高可靠性的同时，也要注重提供 反向代理 系统的可管理性和可维护性。 整个系统应该能够采用基于 界面对存储设备进行配置管理。系统配置工作应该简单明了，流程清晰。系统应该能够提供远程告警。 5. 高性能 整个 反向代理 系统应该提供较高的 能， 能够满足 大量用户同时使用时的性能要求 。 知识水坝（豆丁网 您倾心整理（下载后双击删除） 百度一下 知识水坝 4 技术方案建议 向代理 网络 的总体设计 使用 G 设备作为反向代理的 方式对源服务器进行加速，利用备的安全性和强大的性能来实现对源服务器的卸载和安全防护。 同时可以部署多台 G 设备在前端，实现高速性能负载均衡和系统高可用性。并且会 降低后台源服务器的部署数量，解决存储共享的问题。 同一数据中心部署反向代理节点 在同一数据中心的条件下，部署反向代理的结构如下图所示： 四层交换机 G 网 服务器 用户 知识水坝（豆丁网 您倾心整理（下载后双击删除） 百度一下 知识水坝 际部署在源服务器的前端，缓存用户访问的内容，因此大部分的服务压力都会被 承担，而不需要源服务器具有高性能的处理能力。同时由于 部私网地址的连接，这样保证了内部的源服务器是绝对安全的，因为没有黑客能够从公网上访问到源服务器。 后台的源服务器还可以使用多台 实现冗余和可靠性。 在方案中，后台的源服务器组并不需要使用四 /七层交换机来实施负载均衡，因为 备本身可以具有负载均衡能力。在从 源服务器请求未命中的内容时 会根据几种不同的算法进 行负责均衡，包括： 最少连接，用户源地址关联，根据用户被加速设备设置的 联等。 G 设备还可以对后台的源服务器实施健康检查，检查的方法包括四层协议和 议等。如果发现某一台源服务器出现故障， 会自动将流量切换到别的服务器上。 G 也提供了性能上的显著提升，通常的 有二方面的性能瓶颈： 发连接数， 吐量。尽管可以给这些服务器配置较大的内存和更新的 是其性能依然无法令人满意。而作为对比， 以支持 12000 个客户端的并发 接，并且在典型环境下支持 150 200反向 理吞吐量。 因此同样的性能要求条件下，会使用数量很少的 备就可以满足用户的性能要求，并由此节省了大量的机房空间，电源消耗和空调消耗等相关资源。从维护成本的角度上来考虑，是更为节省的一个方案。 在反向代理的方案中，对于静态网页的性能提升效果是非常明显的。因为大部分的静态网页会缓存在本地。而对于动态网页而言，由于不能缓存在代理服务器内部，所以必须代理回源服务器 ， 此时对源服务器的服务并没有性能卸载的能力。对于这种动态网页的加速，可以参考后续章节的 方案， 供了一种独到的 速方案来对动态网页进行加速。这一方案的范围已经超出了反向代理的概念，而是和 方案融合在一起。 知识水坝（豆丁网 您倾心整理（下载后双击删除） 百度一下 知识水坝 地部署反向代理节点 整个 反向代理 网络组件包括： 备， 存设备， 服务器等 。 这种部署实际上已经成为了 部署。 下图表示了整体的网络架构： 在新建 反向代理 节点中部署 4 台 存设备，其 中 2 台主要用于加速流媒体业务， 1 台主要用于加速静态网页 和 频 的业务， 1 台主要用于加速动态网页的业务。考虑到业务安全的需要， 2 台加速 页的 存设备可以通过 备进行负载均衡。 2 台加速流媒体业务的 存设备通过 备进行负载均衡。 这里假定缓存设备中已经存有用户需要访问的内容（用户访问命中的情况），其中第 1 步是 析，用户解析过一次后就可以把 录缓存在本机据中心 加速动态网页 G 加速动态网页 速静态网页 速流媒体 速流媒体 镜像服务器 内容分发 字节缓存比较 源服务器 数据中心 新建 动态网页源服务器 知识水坝（豆丁网 您倾心整理（下载后双击删除） 百度一下 知识水坝 上，下次可以不用再去 备进行解析。如果用户访问的内容未命中，则会由 源服务器抓取。 对于较简单 的单个节点异地反向代理方案，可以不使用 备，只使用析到反向代理服务器即可。 务（动态和静态网页同时加速业务） 计概述 在中心和边缘节点部署的 存设备和网络的总体架构如下图所示： 考虑到冗余的设计要求。在中心节点放置二台 速设备，这二台加速设备并不需要一定连接在 备之后来实施负载均衡。因为 备 静态对象（ 源服务器 中心节点 (全国和北京 ) 边缘 动态网页源服务器 速动态 /静态网页 速动态 /静态网页 据中心 加速动态网页 内容分发 字 节缓存比较 内容分发 据中心 加速动态网页 知识水坝（豆丁网 您倾心整理（下载后双击删除） 百度一下 知识水坝 速方案里提供了不需要 中心点负载均衡。因此只需要给这二台设备各一个公网 址就可以。二台中心点的设备会设置 由表，自动把源服务器的网段地址广播给所有的边缘的 备。 在边缘节点，如果有多台 备的话，则可以放置在 载均衡设备后面，使用私网地址，然后在 映射为公网的 时 载均衡设备的算法建议使用基于用户源地址 ，来保证每个用户的连接都达到同一台 样加速效果更好。边缘节点的 备和中心节点的 备之间会形成 系，并建立 道进行加速。二者的字节缓存是完全同步的。边缘节点的 根据目的地网段的 由进行数据包转发选择。如果发现去往目的地的网段有多台 可以通达，则会根据自己的设备 用方式自动选择一个 为下一跳。由于边缘节点有众多 备，因此最终会使得流量较为平均的转到中心节点的 2 台 备上。如果中心节点有一台 备故障，则边缘节点的 备会自动切换到另外一台中心节点 。 发设备需要一个独立的公网 址来管理所有的 备。为了管理的目的，每个边缘节点的 用 议管 理 备。 备也可以被配置为冗余的来保证可靠性。 态网页加速流程 下图表示了用户访问动态网页时的数据包流程： 知识水坝（豆丁网 您倾心整理（下载后双击删除） 百度一下 知识水坝 这些流程可以分步骤解释如下： 1） 用户请求内容 ，用户的 析请求会达到 备。 2） 备作出就近性判断把用户的请求重定向到离用户最近的 点 (边缘节点 )的 备上 3） 边缘节点 用户请求 。 4） 备根据自己的加速策略判断需要进行 速，把用户的请求通过 G 设备（中心节点）。这一请求过程本身也会被加速，因为通常一个 据包在几百个字节，如果加速后，则可能只传送12 个字节，因此大大缩短了在广域网上的传送 延时。 5） 心节点收到数据包后，向动态网页的源服务器发起请求 6） 动态网页的源服务器响应给 心节点真正的用户数据，如数据库表单查询或网上购物明细等页面。 国数据中心 加速动态网页 G 加速动态 /静态网页 内容分发 字节缓存比较 源服务器 边缘 动态网页源服务器 1 2 3 4 5 6 7 8 速动态 /静态网页 中心节点 (全国和北京 ) 知识水坝（豆丁网 您倾心整理（下载后双击删除） 百度一下 知识水坝 7） 心节点收到响应后和自己的字节缓存数据库进行比对，将差量数据传送到对端的边缘节点 一传送过程的速度会较未加速前大大加快。 8） 缘节点收到响应后，根据自己的字节缓存，把源服务器的响应还原并发送给用户。 上述流程就是一个完整的用户请求动态网页加速的流程。如果用户请求的一个域名下的内容是既有动态网页，又有静态网页。则 速的流程如下： 1） 断是否是可缓存的页面，如果是，则检查 a) 是否已经在本地的 象缓存中且未过期，如果是则直接给用户服务 b) 如果已经在本地的 象缓存中但对象已经过期，则向源服务器发送求要求最新的对象。这一请求过程同样会经过 速。 c) 如果不在本地的 象缓存中，则向源服务器发送内容请求。这一请求过程同样会经过 速。 2） 断此网页为不可缓存，则会直接把请求发给源服务器并且这一请求过程会经过 速。 备选型 这里给出了不同设备型号之间的硬件参数对比： 盘 65K 4存 4络接口 2个 扩展到 6个 个 配，可扩展到 6 个 个 配，可扩展到 6 个 个 配，可扩展到 6 个识水坝（豆丁网 您倾心整理（下载后双击删除） 百度一下 知识水坝 密 动态网页加速业务 在实际的网站类型的客户中，很多网站是使用 行加密的业务处理。而且这些 页面往往是个性化的动态的页面。这就要求 务能够提供针 对 动态网页加速能力。而传统的 速方案是无法直接加速业务的。这一问题的原因在于 字典压缩算法对于加密的数据流是没有显著效果的。 决方案提供了一个完整的解决方案可以对 型的动态网页进行加速。从而扩展 速的适应 范围。它的工作原理是利用 截取 流量并对未加密的页面进行字典压缩，然后再把压缩后的流量进行 密传送到 端设备。这里也分为二种情况： 1） 源服务器使用了 密，用户也 使用 议请求内容。 2） 用户使用 议请求内容，但是源服务器只使用普通的未加密 缘节点到源服务器之间使用加密的数据传送。 第一种情况的工作原理如下图所示： 知识水坝（豆丁网 您倾心整理（下载后双击删除） 百度一下 知识水坝 边缘节点的 直接向 服务器发送请求，并得到源服务器颁发的证书。边缘节点的 中心节点的 间会形成一个联合工作的 之为 缘节点的 把证书传递给中心节点，由中心节点作为客户端 和 服务器进行直接通讯，并形成一个完整的接。中心节点的 得到 容后可以解密，从而得到了解密后的容，能够直接对这些不加密的内容实施高效的字典压缩。而在边缘节点和中心节点之间，二者使用自己预装的有效证书进行认证和传输加密。这保证了数据传输的安全性。在边缘节点的 自动根据源服务器颁发证书的信息仿真一个新的证书颁发给客户端。 对于 户 来说，这样的技术方案带来的优势是，由于在 户 个源服务器颁发的证书都是不同知识水坝（豆丁网 您倾心整理（下载后双击删除） 百度一下 知识水坝 的。而 采用了证书仿真和 术后，整个 络的管理会变得异常简单。 G 设备会自动为每个源服务器创建一个新的用于用户端的证书。这种技术可以大大节省 户 的维护成本。 第二种情况的工作原理如下图所示： 在这个部署方式下，边缘节点的 装了已经签过的数字证书。当用户访问 容时，边缘节点的 把预装的数字证书发给用户。然后边缘节点以把用户的解密内容进行字典压缩，并通过加密 道传送给对端的中心节点设备。中心节点设备会以 方式和源服务器进行通信。这种方式源服务器不需要支持 以节省大量源服务器的计算资源。这种方式实际上是对源服务器的 载。 上面的二种部署方案可以共存在边缘节点 ， 备可以根据用户的访问条件，如域名， 径， 多种信息来定义，定义部分用户请求需要是全程使用 密，部分是需要做 载的。 服务器 动态网页 建立 求 在 求 字典压缩，并且可以使用 颁发证书（预装） 请求 返回 在 字典压缩， 并且可以使用 返回 知识水坝（豆丁网 您倾心整理（下载后双击删除） 百度一下 知识水坝 P(用户 址传送 ) 如果有网站客户需要统计用户的源 址， 或者有特别的认证需求是基于源 址的。此时需要把用户的源地址发送给源服务器。 心节点的备此时需要打开 P 选项，并使用用户真正的源地址连接到源服务器来请求内容。 但这里需要注意的是，需要增加四层交换机或设置路由器上的 量把源服务器送回的流量重定向到中心节点的 。否则会无法建立完整的 接。 留用户原有域名 在实际的 营中，会有客户提出这样的需求，他们的原有网站已经申请了域名，不想放弃，同时又想通过 方案部署新的服务，并使 用全新的域名。此时 时用户原有网站的域名和内容都不需要更改。这里举例如下： 用户原有的域名和网站 ： , 希望通过 户 的 署为 , 实际客户访问到，然后再作反向代理，其源服务器是 。这样 户 给其用户的网站提供了 务。而用户原有的 ，用于 测试或继续服务的目的。 这里面需要注意的一个技术问题是在原有的 ，都是基于 名的链接。如果对这样的网页实施 速，用户点击其中 速页面的链接时会直接访问 样会绕过 络而直接访问源服务器。为了避免这个问题，通常是需要源网站改写其中的页面，这样的工作量是相当大的。 识水坝（豆丁网 您倾心整理（下载后双击删除） 百度一下 知识水坝 存设备提供了一个功能叫做 RL 以解决这个问题，它可以自动改写网页内部嵌入的链接，如果源网站中页面嵌入的链接为, 则 备在接受到源服务器响应后，把页面中的这个链接自动的改写为：。是一个提高用户满意度的非常好的功能。 这里面需要注意的是 G 的 RL 能目前不能对网页中的 件中的链 接进行改写。如果用户的网站大量使用了件则此功能目前还无法实施。 务特点 存是 整个 反向代理 的基础业务。 供了非常丰富的 务服务功能，包括： 非常灵活的 略设置 支持认证，授权， 灵活的对象刷新机制 支持 缩 支持多线程下载 速 和缓存 带宽管理 内容安全的保证 对用户上传内容进行病毒扫描 这里需要指出的是， 缩功能也是免费提供的。下 面就其中的一些具体业务进行详细描述： 知识水坝（豆丁网 您倾心整理（下载后双击删除） 百度一下 知识水坝 服务器卸载 使用 G 设备作为反向代理的方式对源服务器进行加速，可利用备的安全性和强大的性能来实现对源服务器的卸载和安全防护。如果直接在源服务器上部署 业务，则会给源服务器带来很大的压力和资源开销。如果一个基于软件的 务器上实施 务，其性能通常只有4 吐量，并且能够处理的每秒请求数量也是非常有限的。 而如果在 服务器前端部署 G 设备，则可以利用 件加速卡实现对 服务器的 速功能，从而使得源服务器专注于 务，而将 密的任务交给 备来处理。 在 G 设备上，可以通过二种方式装入数字证书用于颁发给用户的访问。一种是在 备上自己签发的证书，这种证书不需要去互联网上的证书发放机构进行签署，但是用户的浏览器可能没有直接设置为信任发的证书并弹出一个提升窗口让用户确认是否信任这个证书。另一种方式是装入经过互联 网上证书发放机构发放的标准数字证书，如 公司签发的数字证书，这些证书通常是被用户客户端所信任的。 缩 G 设备支持标准的 缩，可以支持的 缩算法是 于 G 来说，如果源服务器没有使用 缩，而 请求压缩对象，则可以把未压缩的 象压缩后缓存在本地，对于后续的 问则直接提供压缩后的 对象进行服务，不需要再去源服务器拿去内容和重新压缩。 缩功能是可以根据策略设定来启用的，例如，可以根据用户访问 不同 来确定是否启用 缩。另外如果用户请求的是非压缩的对象，则 缺省给用户非压缩的对象。 对于一些不能压缩的对象，知识水坝（豆丁网 您倾心整理（下载后双击删除） 百度一下 知识水坝 如 像文件和 像文件，此时尽管 略设定压缩这些对象，但是备也会自动忽略这些请求而给用户服务非压缩的对象。 线程下载 G 设备支持标准的 头，可以被多线程下载程序如 于多线程下载。 因此利用 备可以支持常见的多线程下载程序。但是目前 备还不能限制 单个用户同时使用的 多线程下载的 线程 个数 。 型 略设置 略引擎提供了非常丰富的 略控制功能，常见的应用案例包括： 1） 去除用户请求的 保证源服务器的安全。 2） 根据用户的 判断用户的浏览器版本和类型来判断用户是否能够得到理想的页面效果 3） 进行 定向来实现用户访问转向 4） 强制缓存指定的内容 5） 对 服务器的错误代码 响应提供定制的出错提示页面 6） 拒绝某些指定用户对内容的访问 络安全设计 击 和 供了完整的抗 击能力，包括如下的技术特性： 以限制单个客户地址的 接数量，并且对超过了连接数量限制的客户连接请求进行拒绝和复位。对于被限制访问的客户，可以设定限制 访问知识水坝（豆丁网 您倾心整理（下载后双击删除） 百度一下 知识水坝 的 时间 间隔， 时间到期后恢复这些客户的访问权限。 这一防护能力是针对 对于常见的 底层 击 如 以 进行安全防护 并且不会因此而消耗系统资源。 对于 设备可以实施限速，保证不会因为大量的 应而导致系统资源过载。对于 以对不完整的 接不分配资源，从而不会导致系统资源过载。 对于端口扫描的攻击，缺省 备不会 打开任何端口。只有提供 0 端口和 理端口。对于这些提供服务的端口还可以实施访问控制，只有信任的客户才可以访问这些端口。 作系统 作 系统 通过了国际著名的安全认证： 全认证。表示这个操作系统是一个非常安全和没有后门的操作系统。 黑客 不会知道真正的源服务器地址，也 无法通过 反向代理设备而去篡改源网站的内容 和攻击源服务器 。 而作为对比，一个运行在通用操作系统上的 序，它的安全性是受限于操作系统的安全性的。在 站上，可以搜索到成千上万的关于 作系统的安全漏洞。运行在这样的操作系统之上的网站是非常不安全的。如果把这个 务器直接暴露在 实际是一个很危险的部署方式。 在对象存储方面， 用的是按照对象 生高速索引的存储机制，在硬盘上没有文件系统。即使黑客获取了 理服务器的硬盘，由知识水坝（豆丁网 您倾心整理（下载后双击删除） 百度一下 知识水坝 于其不了解 专有存储格式， 也无法读出其中存储的数据内容，更不用说篡改其中的内容。 美国军方的很多网站都采用 设备作为反向代理作为安全设备部署在网站的前面，避免其网站遭到黑客的攻击和篡改。 议检测 G 可以检测到 80 或 443 端口访问的流量是否为真正的 量 。 只有真正的 量才会被 行处理，转发回源服务器或在本地命中。 这种技术可以防止黑客利用 80 和 443 端口对反向代理设备或源服务器进行攻击。 对于 标准 议来说，客户机会使用 连接服务器，通过对这些方法的检测， G 设备可以清楚地感知是否是真正的户端在使用 443 端口还是伪装的 量。 止反向代理服务器成为 向代理设备可以被同时用作正向代理设备 ，因此当 部署在公网上的时候，需要增加相应的安全策略保证 备不会被作为一个公用的代理服务器来被其他非法用户用于访问 的内容。 典型的配置包括： 1） 在反向代理服务器上不要配置 务器。这样非法设定 代理服务器的客户将无法访问 的内容。 2） 在反向代理服务器上配置 制策 略。检查用户请求的 否匹配正在加速的域名，匹配的进行处理，不匹配的则拒绝其访问。 知识水坝（豆丁网 您倾心整理（下载后双击删除） 百度一下 知识水坝 通过上述的二个反向代理上的配置可以保证没有用户或黑客使用代理服务器访问 的内容。 理员访问限制和安全 为了防止在公网上的黑客扫描 管理端口和进行破坏，在 备上可以设置管理员访问控制列表，限制只能有特定的工作站才能访问 G 的管理端口。 同时为了保证设备管理的安全， G 设备使用的是 行管理。并且可以定义使用一个 专用的 口而非标准的 443 端口。 户行为分析和统计及错误定位用户的追踪 供了多种方式的系统访问日志信息，包括： 。 系统访问日志可以被集中的送往 务器进行存储，也可以以实时的方式输出到一个独立的 务器上进行实时监控。为了确保 志的安全性， 可以把日志信息进行数字签名，确保 日志不会被黑客 攻击。典型的式为 标准格式。 同时 具可以位于一个数据中心，集中地分析 反向代理 网络中所有的 息，也可以在每个省网部署一个 具。 对于 户 来说， 由于 实际运营商网络条件 的限制，如果由于错误配置或设备故障引起的 电信 用户跨网访问 户 地址 内容的情况出现，则会给 用户的访问效果 来很大的影响，甚至影响 后续 业务的 发展 。为了避免这个情况的出现，知识水坝（豆丁网 您倾心整理（下载后双击删除） 百度一下 知识水坝 需要 反向代理 的管理员能够具有追踪和定位能力，把错误定 位用户 的 址迅速定位。 避免 这种跨运营商访问的情况出现 。 供了基于策略的 力。可以产生一个独立的 件，把符合条件的错误定位的用户记录在这个 ，供 反向代理 系统管理员来进行追踪和分析。例如：假定 电信 的 用户 址为 6 网段， 户 的用户 址为 6 网段， 为电信用户提供服务的 为 户 用户提供服务 的 址是 如果 电信 的用户错误定位到了 为 户 用户服务的 址 ，则 则会产生出用户访问记录， 记录 务 址。 这样对于 反向代理 管理员来说，只需要察看这个 文件就能追查到任何错误定位的用户访问。 局网络管理 供了 备 用于 用设备的功能强大的集中配置管理、更新管理、策略管理平台。 一个专用的硬件可以支持集中管理和内容分发。 中管理设备实现对 列专用设备的可伸展的更新管理、配置管理和策略管理。 产品的设计基于可扩充的管理专用设备， 少了管理成本和复杂性。它为管理员提供了强大的平台，来对分布的、远程的 列专用设备进行中心化的集中管理。配置信息和安全策略都可通过任何一台 工作站上，通过浏览器在一个易于使用的界面来生成和管理。 现在，企业能够采用管理成百上千的设备所必须的工具，在他们的整个网络的全球分支机构内部署 用设备，对地理位置分布的远程 系统进行安装配置和策略更新和耗时且成本很高的工作。 中管理设备使这个改变过程自动化，通过为企业提供快速地实施配置、资源和策略修改所必须的实质性的工具来有效地管理 G 系列专用设备。 中管理设备使企业能够： o 中心化的、全企业范围内的、基于策略的管理 知识水坝（豆丁网 您倾心整理（下载后双击删除） 百度一下 知识水坝 o 软件升级自动化 o 备份配置，并在灾难时恢复 o 强大的自动化任务定时安排 o 管理专用设备，简化安装和日常维护的难度 o 通过安全的 行远程管理 o 中心化管理策略，进行全局 策略分发 o 可从任何带有 览器的 工作站上启动管理 下图表述了 理的方式： 来扩展 目前 户 的一期工程只考虑了二个节点，未来可以考虑 随着业务的发展扩展为更大规模的 反向代理 和 具体的扩展方式非常 简单。在每个地方 的新建 ，然后增加 备，再根据用户的业务量增加缓存设备和广域网加速设备。 知识水坝（豆丁网 您倾心整理（下载后双击删除） 百度一下 知识水坝 广域网加速设备在扩展时，通常只需要扩展 点设备就可以了，因为广域网加速设备中心节点设备可以和