SANGFOR_AD_V5.1_2013年度培訓(xùn)03_鏈路負(fù)載與服務(wù)器負(fù)載配置_20130821幻燈片.ppt

1、SANGFOR AD 鏈路負(fù)載及服務(wù)器負(fù)載配置,鏈路負(fù)載和服務(wù)器負(fù)載功能介紹,出站鏈路負(fù)載典型案例與配置,深信服公司簡介,練練手,SANGFOR AD,入站鏈路負(fù)載與服務(wù)器負(fù)載典型案例與配置,1.出站鏈路負(fù)載典型案例與配置,1.1.用戶網(wǎng)絡(luò)環(huán)境與需求 1.2.SANGFOR AD解決方案 1.3.SANGFOR AD配置思路 1.4.SANGFOR AD配置方法與截圖,1.出站鏈路負(fù)載案例及配置,1.1.用戶網(wǎng)絡(luò)環(huán)境與需求,用戶網(wǎng)絡(luò)環(huán)境： 某用戶網(wǎng)絡(luò)結(jié)構(gòu)如右圖所示。有兩條公網(wǎng)線 路，線路1電信100M，線路2聯(lián)通100M，承 載內(nèi)網(wǎng)用戶上網(wǎng)業(yè)務(wù)。 用戶需求： 電信線路流量經(jīng)常滿載，而聯(lián)通線路空

2、閑很 多，兩條上網(wǎng)線路流量分配不合理。目前只 能指定一部分內(nèi)網(wǎng)用戶走聯(lián)通線路來緩解， 但是這部分人訪問電信的服務(wù)就慢了。希望 解決以上問題，盡量合理運(yùn)用兩條鏈路并提 高用戶使用感受。,部署前網(wǎng)絡(luò)環(huán)境,1.出站鏈路負(fù)載案例及配置,路由模式部署SANGFOR AD于網(wǎng)絡(luò)出口， 啟用智能路由做上網(wǎng)流量的鏈路負(fù)載。 防火墻以透明模式部署到AD與核心之間。 內(nèi)網(wǎng)訪問電信服務(wù)器的流量通過電信線路 去訪問，訪問聯(lián)通服務(wù)器的流量從聯(lián)通線 路去訪問，其余的流量按照兩條外網(wǎng)線路 的流量情況，從最小流量的線路出去訪問 。這樣既合理分配了外網(wǎng)流量，又提高了 用戶的整體訪問速度。,部署前后網(wǎng)絡(luò)拓?fù)?1.2.SANGFO

3、R AD解決方案,1.3.SANGFOR AD配置思路,1.3.1.基礎(chǔ)網(wǎng)絡(luò)配置：配置LAN口地址，配置WAN口接口地址和網(wǎng)關(guān)（配置鏈路帶寬，健康檢查機(jī)制等），配置靜態(tài)路由（保證AD能夠和用戶網(wǎng)段通信），配置代理上網(wǎng)。 1.3.2.配置DNS代理：讓內(nèi)網(wǎng)用戶從兩條鏈路的公網(wǎng)DNS解析域名，充分利用帶寬。 1.3.3.配置ISP地址段：設(shè)備默認(rèn)有電信、聯(lián)通、中國移動、教育網(wǎng)四個(gè)運(yùn)營商IP地址庫，此案例需要用到電信和聯(lián)通IP地址庫，能滿足需求，可以不需要添加。 1.3.4.配置智能路由：根據(jù)需求進(jìn)行智能路由的配置（根據(jù)源IP、端口，目標(biāo)IP、端口選路）,1.出站鏈路負(fù)載案例及配置,1.配置LAN口

4、地址,2.配置WAN口接口地址和網(wǎng)關(guān)（配置鏈路帶寬，和繁忙保護(hù)比例，健康檢查機(jī)制）,3.配置靜態(tài)路由（保證AD能夠和用戶網(wǎng)段通信）,4.配置代理上網(wǎng),1.4.SANGFOR AD配置步驟與截圖,1.4.1.基礎(chǔ)網(wǎng)絡(luò)配置,1.出站鏈路負(fù)載案例及配置 1.4.SANGFOR AD配置步驟與截圖 1.4.2.DNS代理配置,選擇公網(wǎng)出口，填寫此公網(wǎng)運(yùn)營商的DNS及權(quán)值，如電信出口使用權(quán)值1 權(quán)值：在進(jìn)行DNS負(fù)載時(shí)使用，例如使用加權(quán)輪詢調(diào)度算法時(shí)，假設(shè)電信權(quán)值為2，聯(lián)通權(quán)值為1，則用電信DNS請求2次,聯(lián)通請求1次。,1.出站鏈路負(fù)載案例及配置,1.4.SANGFOR AD配置

5、步驟與截圖,1.4.3.ISP地址段配置,設(shè)備默認(rèn)有四個(gè)運(yùn)營商的地址,亞太地區(qū)ISP地址段服務(wù)器，設(shè)備可以自動去此服務(wù)器上更新最新的ISP地址段,每天：每天4:02 每周：每周日4:22 每月：每月1日4:42,1.出站鏈路負(fù)載案例及配置,1.4.SANGFOR AD配置方法與截圖,1.4.3.智能路由配置,設(shè)備默認(rèn)會自動添加一條加權(quán)最小流量策略,網(wǎng)通的策略設(shè)置方法與電信類似,配置完成： 智能路由的匹配順序是由上往下匹配 可以調(diào)整規(guī)則的順序,2.鏈路負(fù)載和服務(wù)器負(fù)載工作原理,2.1.入站鏈路負(fù)載工作原理 2.2.服務(wù)器負(fù)載工作原理,2.1.入站鏈路負(fù)載工作原理,2.鏈路負(fù)載和服務(wù)器負(fù)載工作原理

6、,用戶已經(jīng)在域名服務(wù)商設(shè)置了一條有效的NS記錄如下： NS記錄：6 當(dāng)用戶端訪問時(shí)，數(shù)據(jù)流走向如下：,SG代理,ISP服務(wù)商,Local DNS,查詢不到，向ISP查詢,告訴Local DNS去向6查詢,根據(jù)智能DNS策略返回4,解析地址為4,電信：6,網(wǎng)通：4,某網(wǎng)通用戶,向6發(fā)起請求，查詢的IP地址,2.鏈路負(fù)載和服務(wù)器負(fù)載功能介紹,2.2.服務(wù)器負(fù)載工作原理,SG代理,電信：6,網(wǎng)通：4,某

7、網(wǎng)通用戶,訪問,入站負(fù)載：略,服務(wù)器A 當(dāng)前連接數(shù)100,服務(wù)器B 當(dāng)前連接數(shù)200,服務(wù)器C 當(dāng)前連接數(shù)50,根據(jù)加權(quán)最少連接算法發(fā)現(xiàn)服務(wù)器C最優(yōu)，將會話調(diào)度到服務(wù)器C,某用戶內(nèi)部有三個(gè)WEB服務(wù)器提供同一個(gè)web應(yīng)用，三個(gè)服務(wù)器在AD上設(shè)置的權(quán)值為1，出口兩條鏈路，服務(wù)器負(fù)載的數(shù)據(jù)流走向如下：,3.入站負(fù)載與服務(wù)器負(fù)載典型案例及配置,3.1. 用戶網(wǎng)絡(luò)環(huán)境與需求 3.2. SANGFOR AD解決方案 3.3. SANGFOR AD配置思路 3.4. SANGFOR AD配置方法與截圖,3.入站負(fù)載與服務(wù)器負(fù)載典型案例及配置,3.1.用戶網(wǎng)絡(luò)環(huán)境與需求,用戶環(huán)境： 某用戶線路1電信100M

8、，線路2聯(lián)通100M，內(nèi)網(wǎng) 有2臺服務(wù)器提供80端口的同一WEB服務(wù)，目前通 過防火墻做映射進(jìn)去訪問。 用戶需求： 1.用戶已經(jīng)從域名服務(wù)商注冊域名 希望通過域名訪問到內(nèi)部WEB服務(wù)器 ，不同運(yùn)營商的用戶返回不同的地址，聯(lián)通用戶能 從聯(lián)通鏈路訪問到服務(wù)器，電信用戶從電信訪問。 其他運(yùn)營商自動選擇最快鏈路訪問。 2.如果某條鏈路異常，自動切換到正常鏈路 3.如果某臺服務(wù)器異常，自動切換到其他正常的服 務(wù)器,部署前網(wǎng)絡(luò)環(huán)境,1.用SANGFOR AD入站鏈路負(fù)載功能，啟用 智能DNS，從而實(shí)現(xiàn)智能DNS解析，聯(lián)通用 戶返回聯(lián)通地址，電信用戶返回電信地址。 2.部署SANGFOR AD設(shè)備到網(wǎng)絡(luò)出口

9、處這樣 可以檢測到鏈路健康狀況，某條鏈路壞了自 動切換到正常鏈路。 3.啟用SANGFOR AD服務(wù)器負(fù)載功能，當(dāng)某 臺服務(wù)器異常，自動切換到正常的服務(wù)器。,3.2.SANGFOR AD解決方案,3.入站負(fù)載與服務(wù)器負(fù)載典型案例及配置,部署后網(wǎng)絡(luò)拓?fù)?3.3.1.基礎(chǔ)網(wǎng)絡(luò)配置 參考出站鏈路負(fù)載的配置，此處不再贅述。 3.3.2.入站鏈路負(fù)載配置 1.在注冊域名的服務(wù)商網(wǎng)站上將用NS記錄指向6和4兩個(gè)IP地址。（指向兩個(gè)地址的作用是當(dāng)?shù)谝粋€(gè)IP地址不可用的時(shí)候第二條NS記錄會生效，實(shí)現(xiàn)備份功能） 2.【智能DNS】-【DNS服務(wù)器】，添加NS記錄指向的

10、公網(wǎng)IP地址到監(jiān)聽地址列表。 3.【智能DNS】-【虛擬IP池】-【本地虛擬IP池】，新建一個(gè)虛擬IP池，手動將5和4加入虛擬IP池列表。 4.【智能DNS】-【DNS映射】-【本地DNS映射】，新建一條策略。 5.【智能DNS】-【LDNS集合】，新增電信和網(wǎng)通的ISP地址段。 6.【智能DNS】-【靜態(tài)就近性】-【虛擬IP池級別】，新增兩個(gè)虛擬IP的調(diào)度策略。,3.入站負(fù)載典型應(yīng)用案例及配置,3.3.SANGFOR AD配置思路,3.3.3.服務(wù)器負(fù)載配置 1.【應(yīng)用負(fù)載】-【服務(wù)】，新建服務(wù)，此處的配置一般情況與WEB服務(wù)器提供服務(wù) 的端口一致。

11、該案例中用的是80端口，AD設(shè)備默認(rèn)已經(jīng)新建好了http 80端口服務(wù)。 2.【應(yīng)用負(fù)載】-【會話保持】，新建會話保持，本案例使用Cookie會話保持。 3.【應(yīng)用負(fù)載】-【IP組】，新建一個(gè)IP組，加入WAN口兩個(gè)線路的IP地址。 4.【應(yīng)用負(fù)載】-【節(jié)點(diǎn)監(jiān)視器】，新建用于檢查服務(wù)器健康狀態(tài)的監(jiān)視器。AD設(shè)備默認(rèn)已經(jīng)新建好 ping和connect監(jiān)視。 5.【應(yīng)用負(fù)載】-【節(jié)點(diǎn)池】，新建節(jié)點(diǎn)池，添加兩個(gè)服務(wù)器0和1。 6.新建一個(gè)虛擬服務(wù)，將服務(wù)、IP組、節(jié)點(diǎn)池關(guān)聯(lián)起來即可。,3.入站負(fù)載典型應(yīng)用案例及配置,3.3.SANGFOR AD配置思路,

12、3.4.SANGFOR AD配置方法與截圖,3.4.2.入站鏈路負(fù)載配置,參考本PPT第8頁出站鏈路負(fù)載部分基礎(chǔ)網(wǎng)絡(luò)配置,3.4.1.基礎(chǔ)網(wǎng)絡(luò)配置,添加域名服務(wù)商處NS記錄指向的IP地址,虛擬IP列表可以在此處直接填寫進(jìn)去。也可以先配置好應(yīng)用負(fù)載，從右邊的下拉列表進(jìn)行選擇。,選擇虛擬IP的調(diào)度策略，需要注意的是選擇靜態(tài)就近性需要在【智能DNS】-【靜態(tài)就近性】處設(shè)置規(guī)則，否則靜態(tài)就近性不生效,填寫域名服務(wù)商處申請的域名,由于本案例中只有一個(gè)虛擬IP池，所以此處的策略可以任意選擇。,添加電信和聯(lián)通兩個(gè)ISP地址段的本地LDNS集合,添加兩虛擬IP池策略，此處的策略由上往下匹配,3.4.3.服務(wù)器

13、負(fù)載配置,3.4.SANGFOR AD配置方法與截圖,首先定義服務(wù)，本案例中使用HTTP80端口，默認(rèn)已經(jīng)有該服務(wù)，不需要重復(fù)添加,新建一個(gè)IP組，IP組包含外網(wǎng)線路的兩個(gè)IP,設(shè)置會話保持方式，本案例中選擇Cookie會話保持,名稱自定義,Cookie名稱自定義,設(shè)置好超時(shí)時(shí)間,設(shè)置節(jié)點(diǎn)監(jiān)視器，默認(rèn)已經(jīng)有常用的PING和CONNECT監(jiān)視器，本案例不需要重復(fù)新建,備用會話保持僅僅針對非Cookie和SourceIP類型的會話保持可選,節(jié)點(diǎn)恢復(fù)后開始提供服務(wù)的時(shí)間,節(jié)點(diǎn)開始提供服務(wù)后，在溫暖時(shí)間范圍內(nèi)，逐步增加請求，直至達(dá)到最大值。避免突發(fā)增加大量請求,添加WEB服務(wù)的節(jié)點(diǎn)IP地址,當(dāng)節(jié)點(diǎn)池使

14、用Cookie、HTTP Header、Radius會話保持或者節(jié)點(diǎn)池選擇的哈希URI和HOST調(diào)度算法，則選擇七層模式，其他情況選擇四層模式。,自定義名稱,配置完成,3.4.SANGFOR AD配置方法與截圖,注意事項(xiàng)： 1.虛擬IP池處的虛擬IP列表如果手動填寫的，那么端口處可以任意填寫一個(gè)端口。 2.虛擬IP池處的主動監(jiān)視器無需配置，此處是全局負(fù)載的時(shí)候需要配置使用的。 3.本案例中DNS映射如果選擇的是靜態(tài)就近性，那么必須在【靜態(tài)就近性】-【 DNS映射級別】處設(shè)置規(guī)則，才能生效。 4.虛擬服務(wù)如果選擇HTTP或者HTTPS，會出現(xiàn)調(diào)度方式，如下圖所示，代表的意 義是當(dāng)一個(gè)TCP連接里

15、面包含多個(gè)HTTP請求時(shí)，是根據(jù)首個(gè)請求進(jìn)行調(diào)度還是根 據(jù)每一個(gè)請求進(jìn)行調(diào)度。,想一想,1.靜態(tài)就近性處配置了電信與聯(lián)通的LDNS集合請求域名返回對應(yīng)的IP地址，如果是其他運(yùn)營商例如移動的LDNS發(fā)起的DNS請求會返回什么IP地址呢？ 會根據(jù)虛擬IP池設(shè)置的備選策略進(jìn)行調(diào)度 2.如果【靜態(tài)就近性】-【虛擬IP池級別】處某條策略的池內(nèi)IP選擇了兩個(gè)IP地址，那么到底解析成哪個(gè)IP地址呢？ 設(shè)備會將兩個(gè)IP地址都返回給LDNS，也就是可以解析到兩個(gè)IP地址。 3.配置好了智能路由、虛擬服務(wù)，如果某條鏈路出問題，某個(gè)節(jié)點(diǎn)出問題，管理員 如何知道呢？ 在【系統(tǒng)概況】里有【鏈路狀態(tài)】、【節(jié)點(diǎn)狀態(tài)】、【DNS狀態(tài)】，這里可以看到設(shè)置的鏈