A10負載均衡及運維培訓forv4x課件

A10負載均衡及運維培訓forv4x硬件物理結構基礎理論介紹

內(nèi)容提要高可用業(yè)務配置舉例故障處理產(chǎn)品功能概述售后開CASE流程A10監(jiān)控及運維硬件物理結構TH840硬件物理結構TH930硬件物理結構TH1030S硬件物理結構TH3230（S）硬件物理結構Console

RS232參數(shù)設置產(chǎn)品功能概述ACOS共享內(nèi)存架構ACOS共享內(nèi)存架構傳統(tǒng)的IPC架構L4-7

CPU1L4-7

CPU2L4-7

CPU3L4-7

CPU4L4-7

CPU5High-speed

SharedMemoryL4-7

CPU1L4-7

CPU2L4-7

CPU3L4-7

CPU4L4-7

CPU5CommunicationBus應用交付服務整體架構圖集中管理（RESTfulAPI,監(jiān)控,云平臺,自動化）應用服務L4-7交付協(xié)議內(nèi)容優(yōu)化SSL安全DDoS高可用IPsec定制化擴展NAT訪問控制專有IT系統(tǒng)托管IT系統(tǒng)CloudIaaS任何設備任何地點任何應用任何模式f提高應用可靠性–4層負載均衡Cookie持續(xù)目的IP持續(xù)源IP持續(xù)SSL會話ID持續(xù)會話保持分配流量監(jiān)控服務器健康度Round

RobinLeastConnectionsService

Least

ConnectionFastest

Response

TimeSource

IP

HashManymore…TCPUDPHTTPHTTPSFTPCOMPOUNDManymore…TCP與UDP客戶請求

AnythinginrequestbodyDeviceTypeLanguageCookieBrowserCapability客戶端屬性

AnyTCPRequestHTTPGetHTTPPost請求協(xié)議請求方法AnyTCPpayloadvalueAnyHTTPpayloadvalueDomainWildcardURL提高應用可靠性–7層負載均衡在線服務器維護-服務器溫暖上線/下線A10

Thunder控制隊列把發(fā)送給服務器的流量速率控制在合理范圍

溫暖上線-服務器慢啟動

溫暖下線-下線后在設置的時間內(nèi)繼續(xù)處理已有的連接應用請求客戶端A10收到并終結客戶端連接客戶端傳送應用請求A10建立服務器連接客戶端連接通過A10與服務器之間的連接傳送客戶端請求更多的客戶端遵循相同的過程多個客戶端請求可以通過公共的可復用的服務器連接傳送TCP卸載服務器服務器連接應用請求降低資源負載-TCP連接復用aFleX腳本：靈活的應用控制/bbsa.jpegNews.htmljpeg_serversbbs_serversweb_serversbbs.jpegwhenHTTP_REQUEST_DATA{{ if{[HTTP::URI]start_with

“bbs"}{ poolbbs_servers }elseif{[HTTP::URI]end_with

“.jpeg"

{ pooljpeg_servers }else{ poolweb_servers }應用邏輯對象可視化工具中文WEB界面管理與維護Thunder系列ADC硬件平臺虛擬機箱(aVCS)vThunder

for

Vmware/KVM/XenA10

Vthunder產(chǎn)品ThunderSeries虛擬分區(qū)(ADP)ThunderHVA硬件虛擬化ADCUtility(UBM)Rent(PGM)在云中按需購買的ADC業(yè)務aCloudServicesCloudDataCenter,Containers

&VirtualizedDCTPSAnti-DDOS160G吞吐量CFWDCFWIpsecVPNADCGSLB/SLB/LLBSSL卸載WAF5~300G吞吐量CGNNAT44/642.5億并發(fā)ADCaaSThunderSeriesApplianceCloud

InstancesLightningADCVirtualSSLiSSL透視3~40G吞吐量SECUREAPPLICATIONSERVICESCHOICEaGALAXYMANAGEMENTAdvancedCoreOperatingSystem(ACOS)BareMetalA10

Networks應用交付方案LIGHTNINGCONTROLLER基礎理論介紹通過CLI方式Console(RS-232連接/9600,8,N,1)

Telnet(默認關閉)

SSHv2通過Web方式HTTP

(默認關閉)HTTPS

認證級別CLI:

登錄的用戶名/密碼特權模式的用戶名密碼Web:管理員權限(讀寫/只讀)ADC的訪問方式CLI:用戶級別正式名稱通俗名稱提示符用戶權限用戶模式user模式>可以監(jiān)控SLB&CGN，做備份,使用簡單的診斷工具。從這個級別的用戶不能更改配置。特權模式enable模式#繼承用戶模式的權限，還可以管理和監(jiān)控系統(tǒng)，但不能修改SLB或CGN的配置。

特權模式下的配置模式config模式(config)#繼承特權模式的權限，還可以配置SLB或CGN

在特權模式下的命令，可以在本模式前面加do后執(zhí)行。冗余模式下Thunder-Active>Thunder-Standby>集群模式下Thunder-Active-vMaster[7/1]>Thunder-Standby-vBlade[7/2]>抓包模式下Thunder(axdebug)#修改Hostname后Thunder(config)#hostnameMyThunder1MyThunder1(config)#CLI:額外的一些提示符命令選擇

Thunder>showhealthmonitor?WORD<length:1-31> Name

all-partitions Allpartitionconfigurations

partition Per-partitionconfigurations

| Outputmodifiers命令消岐

Thunder>showic?icmp

DisplayICMPstatistics

icmpv6 DisplayICMPv6statistics命令補全Thunder>showrad<tab>

Thunder>showradius-serverCLI:幫助命令no作為撤銷命令Thunder(config)#ipnatpoolnat156netmask/24

vThunder(config)#showipnatpoolTotalIPNATPools:1

PoolNameStartAddressEndAddressMaskGatewayHAGroupVrid

nat156/240defaultThunder(config)#noipnatpoolnat1

Thunder(config)#showipnatpoolTotalIPNATPools:0CLI:撤銷命令配置時“noenable”命令效果和“disable”命令效果一致Thunder#showrun|secslbslbservers18Thunder(config)#slbservers1Thunder(config-realserver)#noenable Thunder#showrun|secslbslbservers18

disableCLI:禁用配置正則表達式的一個子集,可以在命令行中使用. 匹配任何單個字符，包括空格

* 匹配前面的子表達式零次或多次

+

匹配前面的子表達式一次或多次

?

匹配前面的子表達式零次或一次

^

匹配輸入字符串的開始位置

$

匹配輸入字符串的結束位置

_

強調(diào)匹配一個逗號“,”,左大括號

“{”,右大括號“}”,左括號“(”,

右括號“)”,字符串的開始位置,字符串的結束位置,

或者一個空格CLI:正則表達式ADC

支持用管道符加section

和

include命令過濾顯示內(nèi)容Section顯示匹配輸入內(nèi)容的那一段配置

ACOS#showrun|secslbslbservers18

port80tcp

slbservice-grouphttptcp

members1:80Include

顯示匹配輸入內(nèi)容的那一行的配置ACOS#showrun|incslbslbservers18

slbservice-grouphttptcpCLI:過濾輸出(section&include)

管道符“|”和inc

或者sec共同使用表示或者，使用“\”表示無空格

ACOS#showrun|inctacacs\|radiustacacs-serverhost00secret(encrypted_secret)port49timeout12

radius-serverhost00secret(encrypted_secret)CLI:或者命令Exit命令可以一級一級退出

ACOS(config-slbvserver-vport)#exitACOS(config-slbvserver)#exitACOS(config)#exitACOS#exitACOS>End直接退出配置模式ACOS(config-slbvserver-vport)#endACOS#exitACOS>Ctrl-C是exit

的快捷鍵

Ctrl-Z是end的快捷鍵

CLI:退出當前視圖在CLI里,用以下命令一級一級進行配置

systemredundancy+clusteringserversnatpoolstemplatesvirtualservervirtualserverportCLI:工作流設備管理口默認IP地址為1，需要將電腦網(wǎng)卡IP地址設置在同一網(wǎng)段：使用https://1進行登錄，默認的登錄用戶名：“admin”，密碼：“a10”

，如下圖:

登錄Web界面Monitor相當于CLI的user模式Config相當于CLI的config模式Web界面:用戶級別在Web界面里,你可以用以下方式進行配置

ADC>SLB>VirtualServer(然后添加vPort)必要的配置信息的名字是自動創(chuàng)建的，WEB界面里的虛擬服務配置將在CLI層面轉化為虛擬服務器和虛擬端口

ACOS#showrun|secslbslbserver_s_88

port80tcp

slbserver_s_99

port80tcp

slbservice-grouphttptcp

member_s_8:80

member_s_9:80

slbvirtual-server_2_vserver2

port80http

namevip1-http

service-grouphttpWeb界面:工作流CLI的優(yōu)點

結構性強，便于理解

更適于故障診斷，因為可以在一個界面上同時顯示所有配置

可以快速配置

操作設備時需要的帶寬更小

Web界面的優(yōu)點更靈活的配置方式友好的界面

更適用于監(jiān)控，因為有圖形化的顯示

CLI與Web界面對比命名配置文件的好處

維護多個配置

為每個分區(qū)選擇不同名字的啟動配置

復制和編輯配置文件時不影響正常操作

兩個物理分區(qū)維護一個配置

創(chuàng)建新的配置文件

ACOS#writememory<new_profile>

ACOS(config)#copy<existing_profile><new_profile>查看所有配置文件

ACOS#showstartup-configall將配置文件關聯(lián)到啟動文件ACOS(config)#linkstartup-config<profile_name>[primary|secondary]命名配置文件配置備份Web界面:系統(tǒng)>維護>備份>系統(tǒng)CLI:ACOS(config)#backupsystem[…]配置恢復Web界面:系統(tǒng)>維護>恢復

>系統(tǒng)CLI:ACOS(config)#restore[…]注意

:支持這些協(xié)議上傳

:FTP,SFTP,SCP,RCP,TFTP,andHTTPS(通過Web界面)系統(tǒng)配置備份和恢復ACOS#export?running-config RunningConfig

ssl-cert SSLCertFile

ssl-cert-key

SSLCert/KeyFile

ssl-crl SSLCrlFile

ssl-key SSLKeyFile

aflex aFleXScriptSourceFile

bw-list Black/WhiteListFile

class-list ClassListFile

axdebug AXDebugPacketFile

debug_monitor DebugMonitorOutput

startup-config StartupConfig

syslog Syslogfile

thales-secworld Thalessecurityworldfiles-in.tgzformat

thales-kmdata ThalesKmdatafiles-in.tgzformat

dnssec-dnskey DNSSECDNSKEY(KSK)fileforthezone

dnssec-ds DNSSECDSfileforthezone

ip-map-list

IPMapListFile備份其他配置你可以通過下面的方式清除配置但保留登錄設備的配置

ACOS(config)#erase? preserve-managementPreservemanagementipanddefaultgateway

preserve-accountsPreserveadminaccounts

reloadReloadaftererase

<cr>這個命令也可以清除與現(xiàn)在關聯(lián)的啟動配置文件（除了要保留的配置），而且不影響其他配置文件配置清除系統(tǒng)軟件存儲在兩個磁盤分區(qū):主分區(qū)和備分區(qū)

設計備分區(qū)的目的在于便于配置回滾

兩個

CompactFlash分區(qū):主分區(qū)和備分區(qū)

設計CF

卡用于應急恢復

注意:每個存儲分區(qū)都有自己的系統(tǒng)軟件和配置文件系統(tǒng)軟件存儲位置檢查系統(tǒng)軟件正用于哪個磁盤分區(qū)Web界面:面板

\系統(tǒng)(系統(tǒng)信息)

CLI:ACOS#showbootimage在另個一個磁盤分區(qū)配置升級Web界面:系統(tǒng)

>維護

>升級

CLI:ACOS(config)#upgrade[…]

將正在運行的配置拷貝到另一個磁盤分區(qū)或者關聯(lián)到另一個磁盤分區(qū)的啟動文件ACOS#writememory[primary|secondary]ACOS(config)#linkstartup-config<profile_name>[primary|secondary]設置從另一個磁盤分區(qū)啟動Web界面:系統(tǒng)>設置

>啟動映像

CLI:ACOS(config)#bootimagehd[primary|secondary]系統(tǒng)軟件升級回滾到出廠配置CLI:ACOS(config)#system-reset

ACOS(config)#end

ACOS#reboot第一步的配置

用Console連接ADC(9600

波特率-8

比特–無奇偶校驗-1

停止位)默認用戶名/密碼:admin/a10配置管理接口和默認網(wǎng)關用CLI或者Web界面完成余下配置初始化配置ACOSlogin:adminPassword:ACOS>enPassword:ACOS#confACOS(config)#interfacemanagementACOS(config-if:management)#ipaddress1

/24ACOS(config-if:management)#ipdefault-gatewayACOS(config-if:management)#exitACOS(config)#exit初始化配置舉例A10負載均衡基礎概念服務器負載服務器負載服務器負載確保流量分配最合理應用程序故障轉移確保不間斷的可用性不平均的用戶流量平均的服務器流量MoviesHomepageFinanceGamesPhotos負載均衡的主要目的客戶端Web服務器Server定義真實服務器的IP地址、端口、以及其他服務器相關的參數(shù)Servicegroup定義某個業(yè)務端口所屬的真實服務器IP及端口的集合Virtualserver定義某個VIP上需要發(fā)布的業(yè)務和端口Template各種可以在多個模式下復用的策略Healthmonitor健康檢測，可以在server、servicegroup兩個層面啟用基礎概念拓撲:單臂

源地址轉換SNAT模式SourceIPDestIP0SourceIPDestIP000DestIPSourceIP0DestIPSourceIP000/24VIP=0SNAT=0/24100.0.1.[100-200]核心交換機用戶旁路部署方式核心交換機A10負載均衡設備A10負載均衡設備服務器部署簡單，無需改變現(xiàn)有拓撲結構可以不改變現(xiàn)有VLAN，IP地址規(guī)劃無需更改服務器網(wǎng)關，不進行負載均衡的流量可直接通過交換機轉發(fā)，效率較高對防火墻部署小，策略遷移簡單擴展能力強由于上述優(yōu)勢，旁路部署是行業(yè)慣例和大部分用戶的共識拓撲:單臂

不用源地址轉換SNAT模式SourceIPDestIP0SourceIPDestIP00DestIPSourceIP0DestIPSourceIP00/24VIP=0/24100.0.1.[100-200]核心交換機用戶串接部署方式核心交換機A10負載均衡設備A10負載均衡設備服務器部署復雜，需要改變現(xiàn)有網(wǎng)絡連接。通常也需要改變服務器的VLAN和IP地址規(guī)劃需要改變服務器網(wǎng)關，不論是否需要負載均衡的流量都必須穿過負載均衡設備對防火墻的安全域部署造成嚴重干涉，甚至無法與防火墻共存擴展能力受限由于上述弊病，實際應用中，幾乎系統(tǒng)沒有采用串接方式部署負載均衡設備拓撲:DSR模式（三角傳輸）

/24SourceIPDestIP0

SLBMACSourceIPDestIP0

ServerMACDestIPSourceIP0VIP=0/24LoopbackIP=VIP=0100.0.0.[100-200]優(yōu)點:高度的伸縮性(ADC只處理入方向的流量)拓撲:DSR模式缺點:不能使用ADC的任何七層特性(aFleX

仍然可以在虛擬端口級別下應用)需要在每臺服務器上在loopback口配置虛IP/24VIP=0/24100.0.0.[100-200]LoopbackIP=VIP=0負載均衡需要配置以下三個核心組件:服務器，服務組，虛擬服務器(VIPs)服務器負載均衡(SLB)最小配置服務器名IPaddress（可以使用DNS域名）服務端口（Ports）服務器配置Web界面:配置>服務>SLB>服務器CLI:AX(config)#slbserver<name>[…]服務器狀態(tài)和統(tǒng)計Web界面:監(jiān)控>服務>SLB>服務器CLI:AX#showslbserver[…]服務器最小配置名字類型

(TCP/UDP)負載均衡算法至少一個服務器/端口服務組服務組–負載均衡算法輪詢Round-Robin最少連接數(shù)LeastConnection服務的最少連接數(shù)ServiceLeastConnection加權輪詢WeightedRoundRobin加權最少連接數(shù)WeightedLeastConnection服務的加權最少連接數(shù)ServiceWeightedLeastConnection最快響應時間FastestResponsetime最少的請求數(shù)LeastRequest嚴格的輪詢RoundRobinStrict無狀態(tài)Stateless

負載均衡算法通過健康檢查來判斷應用服務是否可用健康檢查應用于:服務器與/或服務器：端口與/或服務組健康檢查可以探測應用服務的可用性L3層：ping(icmp)L4層：tcp,udpL7層（應用層）:http,https,ftp,smtp,pop3,snmp,dns,radius,ldap,rtsp,sip,ntp通過創(chuàng)建的腳本多種L3/L4/L7測試方法也可以組合成一個布爾表達式（用“與/或/非”）健康檢查服務器健康檢查如果健康檢查失敗，該服務器會被認為是不可用的，相應的服務組會停止使用該服務器提供負載均衡

注意:默認的服務器健康檢查是icmp方式服務器端口健康檢查如果健康檢查失敗，該服務器端口會被認為是不可用的，相應的服務組會停止使用該服務器端口提供負載均衡

注意:默認的TCP服務端口默認健康檢查為TCP三次握手

服務組的健康檢查如果其中某一個組員健康檢查失敗，則該服務組會停止利用這個組員提供負載均衡

注意:默認服務組不配置健康檢查，服務組中配置的健康檢查優(yōu)先于服務器中配置的啟用健康檢查HTTP擴展健康檢查舉例HTTP擴展健康檢查舉例Exampleofgettingtheexpectedresponse,soservicewillbeUPHTTP擴展健康檢查舉例ExampleofNOTgettingtheexpectedresponse,soservicewillbeDOWN基于源IP（SourceIP）的會話保持當同一個客戶端的應用訪問流量或連接要求必須終結在同一臺服務器的時候，可以啟用基于源

IP的會話保持基于源IP的會話保持1231230107創(chuàng)建一個源

IP會話保持的模板模板名稱

類型： 端口(按每虛擬服務端口保持)服務器(按每虛擬服務器保持)服務組(按每URL或按每主機保持)超時時間：

不活動的會話保持條目被保留的時間(缺省=5minutes)不用考慮連接限制規(guī)則：會忽略在服務器和服務器端口上定義的連接數(shù)限制，以及到服務器的新建連接速率限制（缺省=disabled）網(wǎng)絡掩碼:客戶端IP地址哈希值的顆粒度（缺省=55最精細的精確的）將此SourceIP會話保持模板應用于虛擬服務端口上基于源IP的會話保持的模板和源IP保持一樣,Cookie會話保持用于HTTP/HTTPS客戶端要讓他們的連接始終保持在同一個服務器上

但Cookie會話保持提供了更細的粒度,因為即使不同的用戶來自相同的代理(這樣他們就有相同的源IP地址)會通過Cookie會話保持將連接分配到不同的服務器上Cookie會話保持123123Cookie:PHPSESSID=qacrosfkmd3pmnvemfm2s3fgb3Cookie:PHPSESSID=qacrosfkmd3pmnvemfm2s3cqa4創(chuàng)建一個源地址轉換地址池SourceNATPool名稱：定義模板名稱

起始IP地址：地址池的第一個起始地址（可以是設備的接口地址）終止IP地址：地址池的最后一個地址（可以和“起始IP地址”相同）

注意:如果“起始”和“終止”IP地址相同，則表明此地址池內(nèi)只有一個IP地址，每一個IP地址在設備上做NAT的時候，能夠支持64K個NAT會話網(wǎng)絡掩碼（設定地址池內(nèi)IP地址的網(wǎng)絡掩碼）；（可選項）網(wǎng)關:指定一個具體的網(wǎng)關來返回客戶端的請求(可選項）“HA

組”

:指定HA組與源地址轉換地址池綁定將此源地址轉換地址池應用在虛擬服務端口上網(wǎng)絡地址轉換最小配置名稱IP地址

（供客戶端訪問）虛擬服務器端口（Vport）虛擬服務器最小配置端口類型

(TCP/UDP/HTTP/HTTPS/Fast-HTTP/RTSP/FTP/MMS/

SSL-Proxy/SMTP/SIP/SIP-TCP/SIP-TLS/Others)端口號

服務組虛擬服務端口(vPort)如果存在多個虛擬服務器，負載均衡優(yōu)先處理有精確的虛擬服務器地址的虛擬服務器.例如:slbvirtual-serveracme2port80httpservice-groupacmeslbvirtual-serveremca4port0tcpservice-groupemcaslbvirtual-serverdefaultport0tcpservice-groupdefault上述例子中，虛擬服務器按照列出的順序處理負載均衡工作順序:虛擬服務器多個虛擬服務端口按照添加的順序顯示，優(yōu)先處理最具體的服務端口，例如:slbvirtual-serverdefaultport0tcp

service-groupdefault

port80tcpservice-grouphttp上述例子中優(yōu)先處理虛擬服務端口負載均衡工作順序:虛擬服務端口(vPort)HTTPRFC2616(/Protocols/rfc2616/rfc2616.html)HTTP(超文本傳輸協(xié)議)是一個用未加密的TCP訪問web內(nèi)容的協(xié)議(通常在端口80上)注意:HTTPS使用相同的協(xié)議，通過SSL加密保證更高的安全性(通常在端口443上)HTTP是一系列的網(wǎng)絡請求響應事務的集合注意:瀏覽器可以打開多個TCP會話來并行下載一個網(wǎng)站的多個內(nèi)容(IE5.5/6.0可以并行打開兩個會話,IE8可以并行打開六個會話,Firefox3.x可以并行打開十五個會話)請求和響應通過HTTP頭發(fā)送HTTP協(xié)議主要的請求方法“GETurl”:從服務器請求對象“POSTurl”:發(fā)送數(shù)據(jù)或對象給server其他方式還有:HEAD,CONNECT

主要的請求頭部

“Host”:網(wǎng)站名稱“Connection:Keep-Alive”:客戶端支持使用相同的會話發(fā)送接受多個請求和響應

“Accept-Encoding:gzip,deflate”:支持壓縮

“Cookie”:用于跟蹤用戶信息的文本

HTTP請求主要服務器相應代碼200:成功

301:永久重定向

302:臨時重定向

304:未修改

404:頁面未找到

5xx:服務器錯誤

HTTP響應碼主要的響應頭部

“Last-Modified”:對象最后修改時間

"Etag":實體標記(用于檢測對象的變化)“Connection:Keep-Alive”:服務器支持使用在同一個session下使多個請求和響應"Set-Cookie":要求用戶保存cookie來跟蹤用戶信息

“Cache-Control”/“Pragma”:對象的緩存能力HTTP響應頭不需要為HTTP負載均衡多增加一個特定的配置–任意的L4層虛擬服務器配置都可以提供HTTP的服務然而,ADC負載均衡設備卻明顯改善HTTP服務

更高的可用性

更好的靈活性

更好的性能/加速

更好的安全性

設備在網(wǎng)頁配置管理頁面上提供了HTTP模板的配置HTTP模板的配置非常靈活應用HTTP模板需要將HTTP模板與虛擬服務器端口相關聯(lián)HTTP的負載均衡配置HTTP健康檢查設備可以通過健康檢查測試HTTP/HTTPS服務的可用性

HTTP/HTTPS健康檢查需要以下參數(shù):端口:TCP端口方法

(GET或者

HEAD或者

POST)URL下面是可選的參數(shù):用戶名和密碼:用于需要認證的網(wǎng)站

期望:服務器響應代碼或服務器文本維護代碼:自動地標記服務器正在維護中，而不是標記成服務器不可用（down），所以會話保持在該服務器上的用戶依舊還在這臺服務器上面HTTP的負載均衡配置URL故障轉移

當所有服務器失效,設備可以發(fā)送一個到備份站點HTTP重定向消息ACOS(config)#slbtemplatehttp<template_name>ACOS(config-http))#failover-url? WORD<length:1-255> FailoverURLNameHTTP的負載均衡配置在收到錯誤代碼5xx時重發(fā)HTTP請求

當服務器回復錯誤代碼5xx時,默認情況下設備會將它轉發(fā)到客戶端。重試選項可以讓設備重新發(fā)送請求到服務組的另一臺服務器可以使用以下選項:“每個請求中都發(fā)生HTTP5xx錯誤時”:客戶端請求重發(fā)到一個新的服務器

“發(fā)生HTTP5xx錯誤時”:客戶端請求重發(fā)到一個新的服務器

，并且30秒內(nèi)不再將請求發(fā)送至回復錯誤代碼的服務器“#”:可以嘗試的服務器數(shù)量Logging:事件發(fā)生時產(chǎn)生日志文件HTTP的負載均衡配置客戶端IP頭插入為了讓服務器記錄客戶端真實IP地址信息，設備可以在HTTP請求頭中插入客戶端的IP地址信息

ACOS(config-http))#insert-client-ipHTTP的負載均衡配置HTTPS(HTTPoverTLS)RFC2818(/rfc/rfc2818.txt)HTTPS是“安全型”的HTTP協(xié)議(通常使用443端口)HTTPS提供了服務器身份認證(使用服務器證書)(可選)客戶端身份認證(使用客戶端證書)加密(使用TLS/SSL)HTTPS協(xié)議TLS/SSL是基于公共證書和私有密鑰證書是由證書權威機構（CA）簽發(fā)的HTTPS的客戶端首先請求一個服務器的公共證書并驗證該證書是否由可信任的CA中心頒發(fā)的當服務器證書驗證有效（名稱、有效期等）之后，客戶端向服務器發(fā)送HTTP請求服務器認證SYN

(TCPPort443)SYN/ACKACKCLIENT_HELLO

(SSL版本,是否支持加密,數(shù)據(jù)壓縮算法,SessionID,隨機數(shù))SERVER_HELLO

(SSL版本,是否支持加密,所選數(shù)據(jù)壓縮算法,指定的SessionID,隨機數(shù))CHANGE_CIPHER_SPEC

(告知服務器后續(xù)的客戶端發(fā)來的報文都要被加密

)SERVER_DONECERTIFICATE_VERIFY

(客戶端告知服務器已經(jīng)驗證成功服務器的證書

)CERTIFICATE

(公鑰,認證簽名)CHANGE_CIPHER_SPEC

(告知客戶端后續(xù)的服務器發(fā)來的報文都要被加密

)FINISHED

FINISHED

SSL協(xié)商自此用戶的數(shù)據(jù)都被加密了客戶端SSL模板

為了與客戶端啟用HTTPS通信客戶端SSL模板將要出示給客戶端的公共證書私有密鑰(包括它的密碼)支持的SSL密碼(“加密算法")(可選項)客戶端證書請求與客戶端的HTTPS通信服務器SSL模板為了與服務器啟用HTTPS通信服務器SSL模板支持的SSL密碼(“加密算法")(可選項)那些可以使用的有效的服務器端CA證書與服務器端的HTTPS通信URL重定向

/重寫當服務器響應HTTP重定向時,設備會重寫成一個新的內(nèi)容ACOS(config)#slbtemplatehttp<template_name>ACOS(config-http)#redirect-rewritesecure重定向SSL卸載SSL卸載緩解了服務器的SSL任務此項功能提供了服務器更快的響應時間和更高的擴展性

設備收到客戶端的HTTPS流量并轉發(fā)HTTP到服務器SSL卸載最大化

每個數(shù)據(jù)包的載荷提高應用程序性能HTTP壓縮緩存的拷貝RAM緩存

靜態(tài)和動態(tài)遠程員工客戶移動用戶更多的請求原始內(nèi)容初次請求合作伙伴動態(tài)緩存范例技術細節(jié)/value.jspURL參數(shù)動態(tài)緩存動態(tài)緩存大幅度提高查詢速度使用A10前使用A10后3.5Sec0.4Sec不緩存客戶端發(fā)送帶范圍的HTTP請求(他發(fā)送到服務器)不緩存服務器響應頭帶“Vary”字段(除了“Vary:Accept-Encoding”允許壓縮)不緩存服務器響應頭帶“Warning”字段不緩存請求頭有“Authorization”字段(即便服務器指定“cache–control字段為public”)

不緩存不完全（部分的）回應

不支持通配符最多16條緩存策略配置RAM緩存–一些限制

slbtemplatecachetemp_cachedisable-insert-agedisable-insert-viamax-cache-size290max-content-size5000000default-policy-nocachepolicyuri.jpgcachepolicyuri.gifcachepolicyuri.pngcachepolicyuri.swfcachepolicyuri.csscachepolicyuri.ttfcachepolicyuri.woffcachepolicyuri.icocachepolicyurisys.jsnocachepolicyurii18n.jsnocachepolicyurimd5.jsnocachepolicyuriutil.jsnocachepolicyuri.jspnocachepolicyuri/bi/cacheRAM緩存配置舉例：ADC設備提供分布式拒絕服務(DDoS)攻擊防護功能

DDoS

配置

Web界面:CLI:ACOS(config)#ipanomaly-drop<DDoS-type>DDoS防護可以使用DDoS過濾器

和系統(tǒng)的基于策略的負載均衡（PBSLB）配合使用，防止無效的HTTP或SSL載荷或者DNS長度為零的TCP窗口亂序報文

DDoS防護使用PBSLB列表:過濾用戶(阻斷用戶或者轉發(fā)到特定的服務組中)

基于策略的負載均衡(PBSLB)使用分類列表ClassList可以限制用戶:L4層流量:連接數(shù)限制每100毫秒連接速率限制L7層流量(HTTP/HTTPS/DNS):請求數(shù)限制

每100毫秒請求速率限制

基于策略的負載均衡(PBSLB)設備支持標準和擴展的訪問控制列表ACL可以被應用到數(shù)據(jù)接口,管理接口和虛擬服務端口支持重標記,重排列和日志選項(Cisco/Foundry格式)ACL配置

[no]access-listacl-num[seq-num]{permit|deny|remarkstring}ip{any|hosthost-src-ipaddr|net-src-ipaddr{filter-mask|/mask-length}}{any|hosthost-dst-ipaddr|net-dst-ipaddr{filter-mask|/mask-length}}[log[transparent-session-only]訪問控制列表(ACL)設備提供了先進的管理安全選項

提供多個管理賬戶與不同級別的訪問

提供接口級別的管理接入訪問方式(ICMP/Telnet/SSH/HTTP/HTTPS/SNMP)多次輸入錯誤密碼時管理賬戶可以鎖定賬戶

支持RADIUS,TACACS+和LDAP協(xié)議進行外部認證,授權和計費私有的分區(qū)

管理安全

高可用

VRRP-AVRRP-A可以為8臺設備或L3V分區(qū)提供冗余VRRP-A支持任意N+M部署，其中N是活動設備M是備份設備可以跨越多個物理設備在多個L3V分區(qū)間構建多個VRRP-A實例

VRRP-A優(yōu)勢VRRP-Aset-id1VRRP-Aset-id2Dev1Part2Dev2Part2Dev3Part2Dev4Part1Dev4Part2Dev1Part1Dev2Part1Dev3Part1DeviceIDVRRP-A組唯一的設備標識SetID一組設備的唯一標識符，所有設備都必須在一個二層廣播域里

VRRP-A的set-id和device-idVRID目的

虛擬路由器ID(VRID)用于將一些配置元素進行邏輯分組。所有這些配置元素都會被相同VRRP-A組中的另一個設備用于故障轉移。例如這些配置元素:虛擬服務器

NAT地址池浮動IPs虛擬MAC地址

VRRP-A會為每一個VRID分配一個虛擬MAC地址格式為021f.a000.nnnn，地址的最后2bytes(nnnn)顯示分區(qū)ID,set-id和VRID.VRRP-AVRID目的和MAC地址默認VRIDVRRP-A提供默認VRID，除了分配給用戶指定的VRID外，所有資源默認自動分配到默認VRID中

默認VRID編號是0，用戶指定的VRID不能使用這個數(shù)字，默認VRID可以被禁用一臺設備上最多可以配置512個VRID指定VRID

管理員可以指定一個VRID編號(從1到512)并給他們分配資源一般用于有多個活動設備需要多個VRID的場景中

VRRP-AVRID默認編號和用戶指定編號活躍設備（主設備）處理所有流量一個VRID(默認)就可以進行

主備模式部署主備模式VRIDDefault虛擬服務器浮動IPNAT地址池主VRIDDefault虛擬服務器浮動IPNAT地址池備心跳data設備選舉主備新選出的主設備為虛擬服務器、浮動IP和NATIP發(fā)送主動ARP用于應答

主設備處理新的會話主備模式切換

心跳dataVRIDDefault虛擬服務器浮動IPNAT地址池主VRIDDefault虛擬服務器浮動IPNAT地址池備所有設備都處理流量

性能擴展，充分利用各個設備

N+M模式VRID1activeVRID2activeVRID3activeVRID4standbyVRID5standbyVRID6standbyVRID12standbyVRID7standbyVRID8standbyVRID9standbyVRID10standbyVRID11standbyVRID1standbyVRID2standbyVRID3standbyVRID4activeVRID5activeVRID6activeVRID12standbyVRID7standbyVRID8standbyVRID9standbyVRID10standbyVRID11standbyVRID1standbyVRID2standbyVRID3standbyVRID4standbyVRID5standbyVRID6standbyVRID12standbyVRID7activeVRID8activeVRID9activeVRID10standbyVRID11standbyVRID1standbyVRID2standbyVRID3standbyVRID4standbyVRID5standbyVRID6standbyVRID12activeVRID7standbyVRID8standbyVRID9standbyVRID10activeVRID11active設備選舉主備，主設備發(fā)送免費

對性能的影響降到最小

N+M切換VRID1activeVRID2activeVRID3activeVRID4standbyVRID5standbyVRID6standbyVRID12standbyVRID7activeVRID8standbyVRID9standbyVRID10standbyVRID11standbyVRID1standbyVRID2standbyVRID3standbyVRID4activeVRID5activeVRID6activeVRID12standbyVRID7standbyVRID8activeVRID9standbyVRID10standbyVRID11standbyVRID1standbyVRID2standbyVRID3standbyVRID4standbyVRID5standbyVRID6standbyVRID12standbyVRID7standbyVRID8standbyVRID9standbyVRID10standbyVRID11standbyVRID1standbyVRID2standbyVRID3standbyVRID4standbyVRID5standbyVRID6standbyVRID12activeVRID7standbyVRID8standbyVRID9activeVRID10activeVRID11activeXVRRP-A全局設置device-idn

set-id1

enable為每個設備配置VRRP-A切換觸發(fā)機制vrrp-afail-over-policy-template[NAME1-128][gateway|interface|route|trunk|vlan]tracking-optionsroutegateway54priority-cost20device1routegateway54priority-cost20device2

主備模式配置Priority-cost跟蹤用于搶占模式

追蹤資源的數(shù)值將從設備的優(yōu)先級減去

設備可以最大賦值255(默認150,最小1)優(yōu)先級可以被管理員隨時改變優(yōu)先級對非搶占模式不起任何作用

切換策略模板使用權重機制,可以在搶占模式也可以在非搶占模式觸發(fā)切換

權重總是可搶占的

權重動態(tài)計算并無法被修改

所有設備的權重初始值為65534跟蹤Tracking和切換策略模板比較

與主備模式配置一樣但是VRID數(shù)量要至少和活動設備(主設備)數(shù)量保持一致

多主配置應該總是使用搶占模式

每個VRID設備應該交錯配置使得故障切換對性能的影響降到

N+M模式配置VRID1Priority200activeVRID2Priority140standbyVRID3Priority160standbyVRID4Priority180standbyVRID1Priority140standbyVRID2Priority160standbyVRID3Priority180standbyVRID4Priority200activeVRID1Priority160standbyVRID2Priority180standbyVRID3Priority200activeVRID4Priority140standbyVRID1Priority180standbyVRID2Priority200activeVRID3Priority140standbyVRID4Priority160standby注意:VRRP-A的主備選舉和aVCS的vMaster主備選舉是獨立進行的

VRRP-A選舉主設備設備啟動禁用搶占或者優(yōu)先級一樣?選舉最小ID的設備選舉高優(yōu)先級高的設備是否權重值是否一樣？是否選舉權重值大的設備初始選擇主備以后，設備會保持這個狀態(tài)，除非發(fā)生以下狀態(tài)

備設備收不到來自主設備的VRRP-A心跳

通過VRRP-A策略模板監(jiān)控到主設備的權重值低于備設備的權重值

主備設備有相同的權重值,全都使能搶占模式,主設備的優(yōu)先級發(fā)生變化低于備設備的優(yōu)先級

默認通過VRID跟蹤選項監(jiān)控優(yōu)先級

也可以管理地改變優(yōu)先級

觸發(fā)切換的條件A1-Active-vMaster[1/1]#showvrrp-adetailall-partitionsdisplayvrrp-astatusforallpartitionsconfigconfigdetaildetailfail-over-policy-templatefailoverpolicytemplatedetailshostidvrrp-adeviceserialnumberorsoftaxUUIDmaccorrespondingvirtualmacsetid-monitor

monitorsetidthathasbeenusedvrid-leadshowallleadvridinthesystem|Outputmodifiers<cr>故障排除:VRRP-A狀態(tài)和配置即時抓

VRRP-A心跳報文或者

存到文件中

A1-Active-vMaster[1/1]#axdebugA1-Active-vMaster[1/1](axdebug)#filter1A1-Active-vMaster[1/1](axdebug-filter:1)#ip10/32A1-Active-vMaster[1/1](axdebug-filter:1)#port4121741217A1-Active-vMaster[1/1](axdebug-filter:1)#exitA1-Active-vMaster[1/1](axdebug)#capturebrief(OR

capturesave<filename>)Waitfordebugoutput,enter<ctrlc>toexit@128833360i(3,300,666d)>ip>10udp48148>41217len62@128833356o(3,300,8b5f)>ip>10udp60249>41217len70@128834112o(3,300,666d)>ip>10udp60249>41217len70@128834112i(3,300,17574)>ip>10udp48148>41217len62故障排除:VRRP-A抓包A1-Active-vMaster[1/1]#showlog|incVRRPDec06201314:57:14Info[HA]:VRRP-Aparid0vrid0statetransitions:ToActive0,ToStandby1Dec06201314:57:14Info[HA]:VRRP-Aparid0vrid0stateswitchfrom2to0(Standby)Dec06201314:57:14Info[HA]:VRRP-Avridstart.parid0groupid1Dec06201314:57:14Info[HA]:VRRP-Avridstart.parid0groupid0Dec06201314:56:53Info[HA]:VRRP-Aparid0vrid0statetransitions:ToActive2,ToStandby2Dec06201314:56:53Info[HA]:VRRP-Aparid0vrid0stateswitchfrom0to1(Active)A1-Active-vMaster[1/1]#showaudit|incDec06201314:56Dec06201314:56:45[admin]cli:reload故障排除:VRRP-A

日志aFleX簡介aFleX是一個強大的、靈活的夠管理流量和增強服務的工具

aFleX使用業(yè)界標準的Tcl(Toolscommandlanguage)語言標準的Tcl命令設備提供了一些專有擴展集aFleX允許:內(nèi)容插入(頭/數(shù)據(jù))處理流量阻斷流量重定向流量到一個特定的服務組或者服務器上修改流量內(nèi)容aFleX腳本語言aFleX腳本由以下三個基本組件構成:事件主體內(nèi)容動作事件aFleX腳本由事件驅動,這意味著任何時候該事件發(fā)生時都會觸發(fā)腳本生效

例如: HTTP_REQUEST當設備收到HTTPrequest時觸發(fā)腳本

CLIENT_ACCCEPTED當客戶端建立好一個連接時觸發(fā)腳本aFleX組件操作符標準的Tcl操作符相關的操作符:contains,matches,equals,starts_with,ends_with,matches_regex邏輯操作符:not,and,oraFleX命令用于查詢數(shù)據(jù)，處理數(shù)據(jù)，或者指定流量的目的地址，這些可能分成三個只要類別:狀態(tài)命令舉例:“pool<name>“重定向流量到指定的pool中aFleX組件查詢或處理數(shù)據(jù)的命令,例如:“IP::remote_addr“返回一個連接的遠端IP地址“HTTP::headerremove<name>”從請求或響應中刪除最后出現(xiàn)的指定頭應用程序命令–用于解析和處理內(nèi)容,例如:“decode_uri<string>“解碼用指定的HTTPURI編碼的字符串并輸出結果aFleX組件把aFleX腳本放到設備上

使用CLI用電腦上的任意文本編輯器寫一個aFleX腳本并且保存為文件使用

“importaflex”命令將aFleX文件從電腦導入到設備上

aFleX語法檢查:"aflexcheck<name>".使用Web界面通過web管理接口，用戶可以直接編輯aFleX腳本并保存到設備上，配置路徑為"Config>Service>aFleX".使用aFleX編輯器aFleX編輯器可以從設備上下載aFleX腳本或者將腳本上傳到設備上，不及如此，它還可以做語法檢查和語法的加亮、關鍵字自動補全等功能aFleX配置重定向特定的客戶請求到特定的服務組whenCLIENT_ACCEPTED{

if{[IP::addr[IP::client_addr]equals0]}{

poolsg2

}

} 注意:此項功能也可以通過基于策略的負載均衡實現(xiàn)客戶到主機的http請求重定向到https

whenHTTP_REQUEST{

if{[HTTP::host]equals“”}{

HTTP::redirecthttps://[HTTP::host][HTTP::uri]

}

} 注意:此項功能不能通過基于策略的負載均衡實現(xiàn)aFleX舉例根據(jù)url的功能將客戶請求重定向到特定的pool

whenHTTP_REQUEST{ if{[HTTP::uri]starts_with"/finance"}{ poolfinance_pool }elseif{[HTTP::uri]starts_with"/dev"}{ pooldev_pool }}aFleX舉例故障處理設備日志會記錄很多常規(guī)信息、告警信息和報錯信息

，遇到問題時首先使用

showlog命令檢查設備.接口的up/down信息

L2層環(huán)路監(jiān)測的告警

單播/組播/廣播報文限制告警

MAC地址遷移告警

IP沖突告警

服務器服務端口up/down信息

應用的錯誤信息:負暫均衡,基于策略的負載均衡,HTTP,HA,AFLEX,[…]配置

Web界面:System>Systemlog>SystemCLI:ACOS#showlog[|inc<reg_ex>]日志日志帶有用戶名、日期、時間戳信息，并記錄了管理員的動作，同時也記錄了管理員的會話信息

例如

Sep30201312:21:04[admin]web:addSourceIPPersistencetemplate[pers1]successfully.Sep30201311:41:54[admin]cli:vcsdevice-contextdevice2Sep30201312:29:28Awebsession[1]opened,username:admin,remotehost:2配置

Web界面:系統(tǒng)

>系統(tǒng)日志>操作日志CLI:ACOS#showaudit[|inc<reg_ex>]日志審計在遠端服務器上建立永久的記錄Web界面:系統(tǒng)

>設置

>日志記錄CLI:ACOS(config)#logging[…]導出現(xiàn)有日志

Web界面:系統(tǒng)>

設置

>日志記錄

>導出

CLI:ACOS#exportsyslogmessages[use-mgmt-port]<remote_destination>導出日志用管道符配合include和section工具查找相應的日志信息、審計信息和當前的配置信息

ACOS#showlogSep24201309:56:45Warning[ACOS]:DuplicatedIPMAC000c.2976.5904fromPort1VLAN3detectedACOS#showaudit|incSep24201309:56Sep24201309:56:46[admin]cli:port80http

Sep24201309:56:28[admin]cli:slbvirtual-servervip1ACOS(config)#showrun|seciproute/0

slbvirtual-servervip1

port80http關聯(lián)日志信息和審計信息顯示健康檢查計數(shù)信息

ACOS#showhealthstat[longlistofstatistics]

IPaddressPortHealthmonitorStatusCause(Up/Down)RetryPIN

8defaultUP11/0