v6.年渠道高级认证培训链路负载与服务器功能应用

1、SANGFOR AD链路负载与服务器负载高级功能应用培训内容培训目标虚拟服务前置调度策略掌握前置调度策略的原理及配置虚拟服务优化策略了解虚拟服务优化策略的使用虚拟服务SSL策略1.了解SSL策略的认证流程2.掌握SSL策略的配置链路负载前置调度策略（DNS代理）1.掌握DNS代理的前置调度配置2.掌握内网DNS的应用场景及配置虚拟服务优化策略深信服公司简介链路负载前置调度策略（DNS代理）SANGFOR AD虚拟服务前置调度策略虚拟服务SSL策略虚拟服务前置调度策略 虚拟服务前置调度策略1.虚拟服务前置调度策略功能介绍前置调度策略用于符合设定条件的请求始终调度到某一台或者多台服务器上。前置调度

2、策略优先于虚拟服务关联的节点池调度策略。发起访问1.新建前置调度策略，源IP为5发起的会话始终调度到服务器A。2.新建虚拟服务，节点池使用轮询调度算法。关联前置调度策略。服务器A服务器B服务器C5首先匹配到虚拟服务IP组，发现需要调度，然后会匹配到前置调度策略，调度到服务器A只要是5发起的访问都调度到服务器A虚拟服务前置调度策略2.虚拟服务前置调度策略应用案例网络环境与需求：客户拓扑如右图，AD旁路部署，客户内网有四个不同的HTTP服务，都是80端口提供服务。但是公网只有电信和联通两个公网IP，需要实现四个域名分别访问到4个服务，每个服务有两台服务器。外网用户自动选择最快线路访问到内网服务器，

3、也就是需要实现入站链路负载。域名与IP对应关系如下： .cn-00和01 .cn-02和03 .cn-04和05 .cn-06和07内网用户 电信5联通5AD旁路部署WAN：9GW：WEB服务器群虚拟服务前置调度策略2.虚拟服务前置调度策略应用案例AD解决方案思路分析：1.由于客户出口只有两个公网IP，但是内网有四个HTTP服务需要发布，而且每个服务有两台服务器。使用端口映射肯定无法满足需求。通过新建四个虚拟服务是否可以满足需求？不可以。客户的四台服务器端口都是80，一个虚拟服务占用了80，另外一个虚拟服务则不能再使用80端口。冲突提示如下：2.最好的方法是使用虚拟服务前置调度策略来实现，新建

4、一个虚拟服务，然后通过关联前置调度策略，将不同的HOST调度到不同的节点。虚拟服务前置调度策略2.虚拟服务前置调度策略应用案例配置思路：1.首先配置智能DNS入站链路负载策略。（略）2.新建四个节点池，配置调度算法，会话保持等信息。3.新建四个前置调度策略。设置条件，不同的HOST调度到不同的节点池。4.配置虚拟服务，关联四个前置调度策略。虚拟服务前置调度策略配置方法与截图：新建四个会话保持用于四个节点池调用新建四个节点池一般情况下http头部的HOST字段为域名，可以用httpwatch抓包软件查看，事例。访问百度网页的HTTP头部HOST字段mail2的前置调度策略mail3的前置调度策略

5、mail4的前置调度策略一共新建四个前置调度策略选择四个前置调度策略节点池可任意选择一个，因为匹配到了前置调度策略就不会再调度到此处的节点池。虚拟服务优化策略 虚拟服务优化策略1.TCP单边加速通过优化TCP协议，解决一些TCP协议本身的缺陷，来实现加速的效果。主要用于丢包大的情况下，效果十分明显。该功能仅针对TCP协议生效。1.虚拟服务优化功能介绍发起访问网络丢包严重启用单边加速虚拟服务优化策略1.虚拟服务优化功能介绍2.HTTP连接池在服务器端保持一定数量的HTTP连接处于活动状态，同一个连接可发多个请求，提高服务器的响应效率。减少服务器新建连接，能有效降低服务器CPU负载。注意：由于第二

6、次访问是复用之前的会话，所以服务器看到的源IP是第一次发起访问的客户端IP。第一个用户发起访问中断会话会话不中断，加入连接池 第二个用户 发起访问不需要重新建立会话，直接复用连接池AB C虚拟服务优化策略1.虚拟服务优化功能介绍3.HTTP缓存设备内置HTTP缓存，能减轻大量重复请求对服务器的压力。该缓存保存于内存中，重启设备将被清除。第一个用户发起访问AB CAD检查数据包，可以缓存，则添加到设备缓存。第二个用户发起访问AD检查缓存，可以匹配，则直接返回缓存给客户端。如发现页面过期，则向服务器发起更新请求更新缓存。虚拟服务优化策略1.虚拟服务优化功能介绍4.HTTP压缩客户端请求页面，AD设

7、备返回缓存内容或者服务器返回内容给客户端时，AD设备对HTTP响应进行压缩编码，降低数据量，从而减少数据在网络上的传输时间。发起HTTP 访问对HTTP响应进行压缩编码后，返回给客户端。虚拟服务优化策略1.虚拟服务优化功能介绍5.传输客户端IP至后台服务器在设备旁路部署情况下， wan口做snat将所有访问数据源IP转换成wan口IP，服务器无法统计到客户端的真实源IP，此时如果客户服务器是HTTP服务器，可以使用该功能让服务器查看到客户端的真实源IP。注意：服务器必须是通过检查http头部的方式做源IP统计才有效，不适用于服务器直接检查数据包IP层的源IP做统计。5看不到真实源IP！启用该功

8、能前数据包传输过程虚拟服务优化策略1.虚拟服务优化功能介绍5.传输客户端IP至后台服务器5启用该功能后数据包传输过程http头部插入X-Forwarded-For：5读取http头部X-Forwarded-For：5虚拟服务优化策略2.虚拟服务优化功能配置界面介绍一条优化策略可以同时开启多种优化功能虚拟服务关联优化策略即可单边加速直接启用即可虚拟服务优化策略3.虚拟服务优化功能应用案例网络环境：外网一条联通线路，有电信和移动用户需要访问到内部的WEB应用系统。客户已经旁路模式部署了一台AD设备实现了负载。客户需求：电信用户访问业务系统的时候很慢，希望AD能够解决跨运营商访问慢的问题。虽然已经有

9、两台服务器做负载，但是由于业务量很大，并发很高，希望有功能可以够减轻HTTP服务器部分压力。由于客户的服务器需要统计源IP地址访问，统计全国各省的访问量，要求服务器能够查看到访问的真实源IP。内网用户WEB业务系统AD旁路部署 联通虚拟服务优化策略3.虚拟服务优化功能应用案例AD解决方案：客户端访问的用户跨运营商，跨运营商慢的原因很大一部分是丢包造成的，因此可以考虑用TCP单边加速解决该问题。客户希望减轻服务器的压力，由于客户的服务器是HTTP应用，因此可以考虑启用HTTP连接池、HTTP缓存和HTTP压缩来实现客户需求。客户的服务器需要统计真实的源IP地址，由于旁路部署，AD做了SNAT，因

10、此可以通过“传输客户端IP至服务器”功能来满足客户要求。虚拟服务优化策略3.虚拟服务优化功能应用案例配置思路：根据客户需求配置好IP组，节点池，虚拟服务等基础信息。参考初级培训PPT对应章节。【应用负载】-【策略】-【优化策略】，新建一条优化策略，设置好HTTP连接池、HTTP缓存、HTTP压缩、传输客户端IP至后台服务器。虚拟服务启用优化策略，并且选择2中新建的策略名称，启用单边加速。应用负载优化策略3.虚拟服务优化功能应用案例配置方法与截图1.配置服务、IP组、会话保持、节点池、虚拟服务2.新建优化策略并且配置好连接池大小：用于设置保持的最大连接数老化时间：用于设置连接池中连接池被释放之前

11、的空闲时间。一般使用默认值即可。HTTP页面一般具有缓存时间，如果没有则以此时间为准。超过这个文件大小的页面不会缓存一些要求实时请求的URL，可以做排除。排除后设备不会做缓存填入缓存的URL必须要启用HTTP缓存才能勾选缓存压缩方式。一些HTTP服务器本身已经有HTTP压缩，则可以让服务器不压缩，AD设备来进行压缩，减轻服务器压力。应用负载优化策略3.虚拟服务优化功能应用案例配置方法与截图3.虚拟服务关联优化策略关联新建好的优化策略启用单边加速SSL策略1.SSL策略功能介绍2.SSL策略典型应用案例SSL策略1.SSL策略功能介绍情景一：客户服务器使用HTTPS提供服务，由于加解密会损耗服务

12、器的性能。此时可以使用SSL卸载功能，将HTTPS加密解密的过程在AD设备上实现，从而减轻服务器性能压力，服务器使用HTTPS后的性能是HTTP的30%。该情况下如果需要使用SSL卸载功能，服务器需要改成HTTP提供服务。两种情况下需要使用到SSL策略功能情景二：客户服务器使用HTTP提供服务，可以使用SSL卸载功能在客户端与AD设备之间通过SSL进行加密，保证数据传输的安全。1、单向认证，即类似以前旧版本的SSL证书卸载，设备只需要将SSL证书提交给客户端，客户端对服务器的证书进行验证。常见案例可用于，后台节点为http服务，通过AD ssl卸载功能，发布https虚拟服务，客户端访问时仅对

13、服务器证书进行验证，AD不对客户端证书进行验证。其访问流程图如下：SSL策略SSL认证流程SSL认证流程2、双向认证，即在单向认证的基础上，要求对客户端访问进行认证，客户端也需要提交证书给AD设备进行验证。常见案例是，https/ssl类型虚拟服务，不仅对服务器证书进行认证，AD还要对访问的证书进行认证。其访问流程图如下：SSL策略SSL策略1.SSL策略单向认证应用案例网络环境与需求：客户内网有两台web服务器，使用 访问。需要使用AD来进行负载均衡，并且由于内部服务器采用http协议。要求外网访问保证安全性，通过AD来建立SSL隧道加密，使得外网访问时采用 。SSL策略1.SSL策略典型应

14、用案例配置思路：网络配置：接口IP和代理上网，保证外网可以访问到AD接口，且其访问数据经过AD后转换为AD接口IP，从而保证调度非AD IP为网关的服务器可以正常返回数据包。应用负载：配置好服务，IP组，使得外网访问的数据包匹配上。然后配置节点池及会话保持方式。设置SSL策略，保证访问时使用SSL隧道。最后设置虚拟服务，将以上要素全部关联起来。SSL策略1.SSL策略典型应用案例配置方法与截图：1.网络接口2.源地址转换3.服务4. IP组5.会话保持6.节点池7.节点SSL策略1.SSL典型应用案例配置方法与截图：8. SSL-服务器证书9. 策略-SSL策略10.应用负载-虚拟服务SSL策

15、略实现效果图如果启用了http自动跳转，则在浏览器上输入 ，即会跳转到 该证书为AD设备提供。 SSL策略2.SSL策略双向认证应用案例 双向认证跟单向认证配置相比多了SSL设置时需要设置客户端证书部分。而且要求客户端PC导入客户端证书，该客户端证书是由AD设备里面设置的CA证书签发的证书，或者被其证书链信任的证书，以提供服务器端AD验证。基本设置、SSL服务器证书设置、虚拟服务配置同单向认证，此处不在复述。SSL策略2.SSL策略双向认证应用案例配置方法与截图：2.应用负载-SSL-CA证书3.应用负载-策略4.客户端导入证书1.基本设置、SSL服务器证书设置、虚拟服务配置同单向认证，此处不

16、在复述。SSL策略实现效果图1.首先AD提交证书给客户端PC2、接着AD要求客户端提供证书进行验证SSL策略注意事项1.部分WEB页面里嵌套的HTTP请求无法打开，请在配置虚拟服务的时候启用HTTP自动跳转到HTTPS。如AD设备是旁路模式部署在内网并且需要把服务发布到互联网，为保证HTTP到HTTPS跳转功能生效，前置防火墙设备还需映射80到AD设备WAN口。 2.部分页面嵌套HTTP，成功发布HTTPS后，打开时IE会出现“此网页包含的内容将不使用安全的HTTPS连接传送，可能危及到整个网页的安全。”的警告。解决办法：一，每次点“否”继续浏览，二，每台电脑更改IE设置，更改方式：工具 In

17、ternet选项 安全 Internet 自定义级别 显示混合内容= 启用，三，联系WEB开发人员，取消页面嵌套的HTTP连接。3.AD设备可以支持申请服务器证书导入功能，如果客户本身就有CA，则可以生成证书请求请求设备证书导入设备进行加密。DNS代理高级应用1.前置调度策略2.内网DNS记录DNS代理高级应用1.前置调度策略1.1.前置调度策略功能介绍使用场景：AD设备设置了DNS代理后，内网用户的DNS请求会根据调度算法将DNS请求分配到不同的DNS服务器进行解析。某些域名本身做了限制，必须通过某一个DNS才能解析，此时需要使用前置调度策略将解析该域名的请求始终分发给固定的DNS服务器。D

18、NS1DNS3DNS2 根据DNS代理选择策略调度到DNS1服务器解析解析不到我才能解析 启用DNS代理前置调度策略前的数据流DNS代理高级应用1.前置调度策略1.1.前置调度策略功能介绍DNS1DNS3DNS2 根据DNS前置调度策略调度到DNS2服务器5我才能解析 启用DNS代理前置调度策略后的数据流DNS代理高级应用1.前置调度策略1.2.前置调度策略应用案例内网用户 电信WAN1:5 教育网WAN2: 5LAN:/30/30/24网络环境与需求：某客户拓扑如右图，AD设备网关模式部署。电信DNS为，教育网DNS为。1.需要实现出站链路负载代理内网用户上网。2.需要实现DNS代理功能，内

19、网用户DNS需要设置成可以自动选择走电信或者教育网解析域名。3.有一个域名 必须走教育网的DNS才能解析到，因此要求该域名必须从教育网DNS解析。AD应用交付三层交换DNS代理高级应用1.前置调度策略1.2.前置调度策略应用案例配置思路：1.基础网络配置：配置LAN口、WAN1、WAN2口IP地址，配置代理上网，配置静态路由。2.出站链路负载配置：配置智能路由策略。3.配置DNS代理功能：启用DNS透明代理。4.启用前置调度策略，设置 域名走进行解析。DNS代理高级应用1.前置调度策略1.2.前置调度策略应用案例配置方法与截图：基础网络配置、出站链路负载请参考初级认证PPT1.DNS代理配置2.前置调度策略配置内网用户DNS指向LAN口地址，则必须填写LAN地址到此处设置 仅通过教育网解析DNS代理高级应用2.内网DNS记录内网DNS记录使用场景： AD做链路负载，