SANGFOR_AD_V6.3_2016年渠道高级认证培训03_链路负载与服务器负载高级功能应用

SANGFORAD链接负载和服务器负载高级功能应用程序，虚拟服务优化策略，深信公司概况，链接负载预调度策略(域名服务代理)，SANGFORAD，虚拟服务预调度策略，虚拟服务SSL策略，虚拟服务预调度策略，虚拟服务预调度策略，1。虚拟服务预调度策略功能简介预调度策略用于在任何时候调度一台或多台服务器上满足设定条件的请求。预调度策略优先于与虚拟服务相关联的节点池调度策略。启动访问，1。创建新的预先计划策略。5用源IP发起的会话总是被安排在服务器a2上。创建新的虚拟服务。节点池使用轮询调度算法。相关的预调度策略。服务器A，服务器B，服务器C，5，首先匹配到虚拟服务IP组并发现它需要调度，然后匹配到预调度策略并调度到服务器A。由5发起的任何访问都被调度到服务器A，虚拟服务预调度策略，2。虚拟服务预调度策略、网络环境和需求的应用案例：如图所示的客户拓扑、AD旁路部署、客户内部网有四种不同的HTTP服务，所有这些服务都在80个端口提供服务。然而，公共网络只有两个公共网络IP，电信和联通，这需要四个域名来访问四个服务，每个服务有两个服务器。外部网络用户自动选择最快的线路接入内部网络服务器，即需要实现的入站链路负载。域名和IP之间的对应关系如下：-00和-02和-04和-06和07，内部网用户，5电信，5联通，AD旁路部署广域网：9 GW: ，网络虚拟服务预调度策略的应用案例，广告解决思路分析，1。因为客户只导出两个公共网络IP，但是内部网有四个HTTP服务要发布，并且每个服务有两个服务器。使用端口映射肯定不能满足需求。可以通过创建四个新的虚拟服务来满足需求吗？不可以。客户的四个服务器端口都是80，一个虚拟服务占用80个端口，另一个虚拟服务不能再使用80个端口。冲突提示如下：2。最好的方法是使用虚拟服务预调度策略来实现、创建新的虚拟服务，然后通过关联预调度策略将不同的主机调度到不同的节点。虚拟服务预调度策略，2。虚拟服务预调度策略应用案例，配置思路：1。首先配置智能DNS入站链路负载策略。(略)2 .创建四个新节点池，配置调度算法，保留会话和其他信息。3.创建四种新的预先计划策略。为要调度到不同节点池的不同主机设置条件。4.配置虚拟服务并关联四种预调度策略。虚拟服务预调度策略，配置方法和截图：新建四个会话，维护四个节点池调用，新建四个节点池，访问百度网页的HTTP头HOST字段，邮件2预调度策略，邮件3预调度策略，邮件4预调度策略，共四个新的预调度策略，选择四个预调度策略，虚拟服务优化策略，虚拟服务优化策略，1。TCP单向加速通过优化TCP协议来解决TCP协议本身的一些缺陷，从而达到加速效果。主要用于丢包较大的情况，效果明显。此功能仅对TCP协议有效。虚拟服务优化功能简介虚拟服务优化功能简介虚拟服务优化功能简介虚拟服务优化功能简介虚拟服务优化功能简介虚拟服务优化功能简介虚拟服务优化功能简介虚拟服务优化功能简介虚拟服务优化功能简介虚拟服务优化功能简介虚拟服务优化功能简介虚拟服务优化功能简介虚拟服务优化功能简介虚拟服务优化功能简介虚拟服务优化功能简介虚拟服务优化功能简介虚拟服务优化功能简介虚拟服务优化功能简介virt第一个用户发起访问，中断会话，会话不中断，加入连接池，第二个用户发起访问，不需要重新建立会话，直接重用连接池，A，B，C，虚拟服务优化策略，1。虚拟服务优化功能的引入。http缓存设备具有内置的HTTP缓存，可以减轻大量重复请求对服务器造成的压力。缓存存储在内存中，重新启动的设备将被清除。第一个用户启动对可以缓存并添加到设备缓存中的、A、B、C、AD检查包的访问。第二个用户启动访问，AD检查缓存并可以匹配，然后将缓存直接返回给客户端。如果发现页面已过期，将向服务器发送更新请求以更新缓存。虚拟服务优化策略，1。虚拟服务优化功能介绍，4。客户端请求页面进行超文本传输协议压缩，广告设备向客户端返回缓存内容或服务器返回内容，广告设备对超文本传输协议进行压缩编码响应，减少数据量，从而减少数据在网络上的传输时间。启动HTTP访问，压缩和编码HTTP响应，并将其返回给客户端。虚拟服务优化策略，1。虚拟服务优化功能介绍，5。客户端IP到后台服务器的传输。在设备绕过部署的情况下，广域网端口使用snat将所有访问数据源IP转换为广域网端口IP，服务器无法计算客户端的真实源IP。此时，如果客户端服务器是HTTP服务器，服务器可以使用此功能查看客户端的真实源IP。注意：服务器必须检查http头进行源IP统计，这不适合服务器直接检查数据包IP层的源IP进行统计。看不到真正的源IP！启用此功能前的数据包传输过程，虚拟服务优化策略，1。虚拟服务优化功能介绍，5。将客户端IP传输到后台服务器、5、，启用此功能后的数据包传输过程，http标头插入x-forward-for:5，读取http标头x-forward-for:5，虚拟服务优化策略，2。引入虚拟服务优化功能配置界面，一种优化策略可以同时打开多个优化功能。虚拟服务关联优化策略，虚拟服务优化策略，3。虚拟服务优化功能的应用案例，网络环境：外部网络连接线，电信和移动用户需要访问内部的WEB应用系统。客户已经在旁路模式下部署了一个AD设备来实现负载。客户要求：电信用户接入业务系统速度慢，希望广告能解决运营商间接入速度慢的问题。尽管已经有两台服务器来承担负载，但由于业务量大和高并发性，我希望有一些功能可以减轻对HTTP服务器的压力。因为客户的服务器需要计算源IP地址访问和该国所有省份的流量，所以服务器需要查看实际访问的源IP。内部网用户，网络服务系统，广告旁路部署，联通，虚拟服务优化策略，3。虚拟服务优化功能的应用案例，广告解决方案：用户接入客户端交叉运营商，交叉运营商速度慢的原因很大程度上是由于丢包，所以可以考虑采用TCP单向加速来解决问题。客户希望减轻服务器的压力。由于客户的服务器是一个HTTP应用程序，它可以考虑启用HTTP连接池、HTTP缓存和HTTP压缩来满足客户的需求。3。客户的服务器需要计算真实的源IP地址。由于绕过了部署，AD已经完成了SNAT，所以它可以通过“将客户端IP转移到服务器”功能来满足客户的要求。虚拟服务优化策略，3。虚拟服务优化功能应用案例、配置思路：根据客户需求配置IP组、节点池、虚拟服务等基本信息。请参阅初级培训PPT的相应章节。2。应用程序加载-策略-优化策略，创建一个新的优化策略，设置HTTP连接池、HTTP缓存、HTTP压缩，并将客户端IP传输到后台服务器。3。虚拟服务启用优化策略，并在2中选择新创建的策略的名称以启用单向加速。应用负载优化策略。虚拟服务优化功能应用案例、配置方法和截图，1。配置服务、IP组、会话维护、节点池、虚拟服务，2。创建新的优化策略并配置好、连接池大小：用于设置保持老化时间的最大连接数：用于设置连接池中连接池释放前的空闲时间。通常，默认值就足够了。一些需要实时请求的网址可以被排除。排除后，设备将不缓存，应用负载优化策略，3。虚拟服务优化功能应用案例、配置方法和截图，3。虚拟服务关联优化策略，支持单向加速，SSL策略，1。SSL策略功能介绍2。SSL策略典型应用案例，SSL策略，1。SSL策略功能介绍，场景1:客户端服务器使用HTTPS来提供服务，因为加密和解密会消耗服务器性能。此时，可以使用SSL卸载功能在ad设备上实现HTTPS加密和解密过程，从而减轻服务器的性能压力。使用HTTPS后，服务器的性能是HTTP的30%。在这种情况下，如果需要卸载SSL，服务器需要改为HTTP来提供服务。在两种情况下，需要使用SSL策略功能，场景2:客户端服务器使用HTTP提供服务，并且可以使用SSL卸载功能通过SSL在客户端和广告设备之间进行加密，以确保数据传输的安全性。1。单向身份验证，即类似于以前版本的SSL证书卸载，设备只需要向客户端提交SSL证书，客户端将验证服务器的证书。常见案例可用于通过ADssl卸载功能发布http虚拟服务。客户端访问时仅验证服务器证书，而AD不验证客户端证书。访问流程如下：SSL策略、SSL认证过程、SSL认证过程。双向认证，即在单向认证的基础上，要求对客户端访问进行认证，客户端还需要向广告设备提交证书进行认证。常见的情况是，https/ssl类型的虚拟服务不仅验证服务器证书，还验证访问的证书。其访问流程如下：SSL策略，SSL策略，1。SSL策略单向身份验证应用案例、网络环境和要求：客户内部网中有两个web服务器，可通过http:/ip:444访问。因为内部服务器使用http协议，所以负载平衡需要AD。要求外部网络访问以确保安全，通过AD建立SSL隧道加密，以便外部网络访问使用https:/ip:444。SSL策略，1。SSL策略的典型应用案例，配置思路：网络配置：接口IP和代理接入互联网，保证外部网络能够接入AD接口，其接入数据在AD后转换为AD接口IP，从而保证调度非ADIP作为网关的服务器能够正常返回数据包。应用程序负载：配置服务和IP组以匹配外部网络访问的数据包。然后配置节点池和会话保持方法。设置SSL策略以确保在访问期间使用SSL隧道。最后，建立一个虚拟服务来连接上述所有元素。SSL策略，1。典型的SSL策略应用案例、配置方法和屏幕截图。网络接口，2。snat，3。服务，4。知识产权集团，5。会话保持，6。节点池，7。节点，SSL策略，1。典型的SSL应用案例、配置方法和屏幕截图：8。服务器证书，9。策略-SSL策略，10。应用程序负载-虚拟服务、SSL策略、实施效果图，如果启用了http自动跳转，在浏览器上输入http:/ip:444将跳转到https:/ip:444。此证书是为广告设备提供的。SSL策略，2。SSL策略双向认证应用案例，双向认证与单向认证相比配置更多的SSL设置需要设置客户端证书部分。此外，客户端计算机需要导入客户端证书，该证书是由设置在AD设备中的CA证书颁发的证书，或者是由其证书链信任的证书，以提供服务器端AD认证。基本设置、SSL服务器证书设置和虚拟服务配置与单向身份验证相同，这里不再重复。SSL策略，2。SSL策略双向认证应用案例、配置方法和截图：2。应用程序加载-SSL-CA证书，3。，SSL策略，实现效果图，1。第一个广告提交证书到客户端个人电脑，2。然后，广告要求客户提供证书进行验证。安全策略，预防措施，1。无法打开嵌套在某些网页中的HTTP请求。请在配置虚拟服务时启用自动跳转到HTTPS的HTTP。如果广告设备以旁路模式部署在内部网中，并且需要将服务发布到互联网，为了确保HTTP到HTTPS的跳转功能生效，前端防火墙设备还需要将80映射到广告设备的广域网端口。2.有些页面是用HTTP嵌套的。HTTPS成功出版后，当它被打开时将会出现：“本页面包含的内容不会通过安全的HTTPS连接进行传输，这可能会危及整个页面的安全。”来自的警告。解决方法：首先，每次点击“否”继续浏览；第二，每台计算机改变IE设置；更改方法：工具互联网选项安全互联网自定义级别显示混合内容=已启用；第三，联系WEB开发人员，取消页面的嵌套HTTP连接。3.广告设备可以支持应用服务器证书导入功能。如果客户有证书颁发机构，它可以生成证书请求，请求设备证书导入设备进行加密。域名系统代理的高级应用，1。预调度策略，2。内部网的域名系统记录，1。域名系统代理的高级应用，1。预调度策略，1.1。预调度策略功能介绍，使用场景：广告设备建立域名代理后，内网用户的域名请求将根据调度算法分配到不同的域名服务器进行分析。一些域名受到自身的限制，必须通过特定的域名解析系统进行解析。在这种情况下，需要一个预调度策略来始终将解析域名的请求分发到一个固定的DNS服务器。Dn1、dns3、dns2，并且根据dns代理选择策略，它被调度到DNS1服务器进行解析。在问题解决之前，我无法解决。启用DNS代理预调度策略之前的数据流，DNS代理高级应用程序，1。预调度策略，1.1。预调度策略功能介绍，和，和，和，和，和，和，和，和，和，和，和，和，和，和，和，和，和，和，和，和，和，和，和，和，和，和，和根据域名系统预调度策略，在我可以分析数据流之前，在域名系统代理预调度策略启用后，域名系统代理高级应用程序，1.预调度策略，1.2。预调度策略、内部网用户、电信广域网1:5、教育网络广域网233605、局域网3336/30、/30、/24、网络环境和要求的应用案例：右图所示的客户拓扑、AD设备网关模式部署。电信域名系统是，教育网络域名系统是。1.为了使内部网用户能够上网，有必要实现出站链接加载代理。2.需要实现域名系统代理功能，内部网用户的域名系统需要设置为10.10.