ADC—应用交付-AX系列

一、ADC—应用交付

1.1 作用

负载均衡：服务器负载、链路负载、全局负载；

业务改造：网站IPv6改造、网站HTTPS改造；

网站加速：协议加速、内容加速。

1.1.1 详细划分

服务器负载：

--基于域名的七层负载均衡、应用健康检查，提升服务器集群的使用效率，平滑扩展服务能力；

--AX提供多重健康检测技术：基于网络和传输层的ICMP、TCP-ECHO等方式、检查连通性、基于应用层的方式，TCP、UDP、HTTP、HTTPS、DNS、SMTP、POP3等、基于内容自定义与第三方脚本实现；

--AX提供丰富的调度算法（L4调度算法）：分析业务流量P/Port，基于预定策略进行分配、静态算法：轮询、加权轮询、IP哈希等、动态算法：最小连接、最快响应等；

--AX提供个性化的调度算法（L7调度算法）：分析http请求，基于URL、Cookie、Method等进行调度、基于不同的七层策略规则、调度到不同服务器；

链路负载均衡：被动探测技术，监测链路质量并调整流量，指定不同应用（视频、P2P2下载）选择不同链路（动态链路切换、应用引流）

全局负载均衡和应用双活：在多数据中心节点之间实现资源就近访问和应用层的负载均衡，可与山石网科防火墙的孪生模式结合；

网站IPv6改造：国内领先的IPv6溯源技术，记录L7应用层日志

网站HTTPS业务改造：专用硬件SSL卸载，业界领先的SSL处理性能，内网WAF/IPS只需处理没铭文流量，无额外消耗，支持过密SM2/SM3/SM4算法；[HTTP明文传输暴露用户名密码等敏感信息]

传统服务器SSL加密的缺陷：性能低、证书管理复杂、WAF/IPS等处理HTTPS流量成本高。

应用性能优化：多种性能优化技术，提升服务器的响应速度和传输性能，通过连接池技术，平滑处理浪涌流量。

双向流量的处理：仅需部署一台设备在网络边界即可实现

会话保持技术：源IP、Cookie、SSL ID、URL哈希、首部哈希等算法、基于不同调度需求，实现同一规则调度到相同服务器

入站负载 Smart DNS：基于链路状态、源地址等条件、选择最优的链路地址、用户获得最优链路地址、向最优链路地址发起业务访问

二、支持项目

支持IPv6 SLB、支持出站负载均衡、支持入站负载均衡--SmartDNS、支持DNS代理

2.1.1 AX推荐网站升级IPv6适用方案（均为反向代理模式：和两端设备分别连接，应用层清晰可见，支持转换）

2.1.1.1 方案1—服务器是单一的IPv4，AX做反向代理提供IPv6地址

优势：

          1、保护用户已有投资：服务器无需修改和替换，依然处理IPv4业务，AX部署在内网服务器前，对内网或外网用户访问服务器都可以提供IPv6业务，而防火墙一般部署在网络边界，NAT-PT只能提供外网用户到内网服务器的转换；

           2、识别HTTP中的IPv4地址并改写成IPv6地址：NAT-PT只能做网络层转换，不能进行深度识别；

           3、IPv4用户访问222.test.com，dns返回1.1.1.1，IPv4用户直接访问，不经过AX，IPv6用户访问时经过AX；

2.1.1.2 方案2—IPv4和IPv6服务器共同组成集群，AX支持同时负载均衡

优势;

            1、IPv4和IPv6服务器灵活组合：AX可以灵活控制HTTP业务单独由后台的IPv4服务器提供（更稳定），或者单独由IPv6服务器提供（更符合合规性），或者二者同时提供，可以直观的展现升级后网站的IPv4访问量和IPv6访问量，便于用户了解升级效果；

            2、升级过程业务不中断：服务器增量升级，先新增IPv6双栈服务器，再逐渐下架老旧IPv4服务器，AX支持后台IPv4/IPv6双栈服务器，AX温暖上线和温暖下线技术，保证新增和下架服务器不影响已有用户业务；

2.2 LLB出站负载均衡

根据延迟、丢包、抖动、带宽四个因素计算子网在不同链路的权重，没计算出权重之前，是ECMP；

检查TCP流量，不检查UDP和ICMP；

链路的权重，也是根据多因素进行自动计算；

被动抽样率，默认1/23，可以隐藏命令手动调整；

策略路由以及静态路由中手动指定的权重，是静态优先级，如果没有走智能LLB，才会被选择。

2.3 入站负载均衡—LLB inbound-SmartDNS

功能详解

当DNS代理和SmartDNS代理都开启后，DNS代理的优先级高于SmartDNS

2.4 DNS代理

DNS代理（DNS Proxy）用来劫持客户端的DNS请求，并重新构造DNS请求发往DNS代理服务器，收到DNS代理服务器的应答之后，再重新构造DNS应答发送给客户端。DNS代理的过程如下：

价值：引流—将特定域名，引入到特定的DNS服务器来进行代理解析；

            冗余—配置多台DNS服务器进行代理；

            安全—将客户端的DNS请求代理到安全的DNS服务器；

            高效—将客户端的DNS请求代理到合理的ISP运营商。

三、功能配置

3.1 出站负载均衡（WebUI）

1、智能LLB可与目的路由（DBR）/ 策略路由（PBR）绑定使用，目的路由：创建多条等价路由，策略路由：配置多个等价出口

2、配置接口带宽

3、创建LLB模板——智能LLB探测规则

4、创建LLB规则——将LLB模板与路由绑定

最多支持64条绑定关系

5、链路监控配置

监控>链路状态监控>链路配置，如果需要看到右侧抖动、延迟、丢包率的链路状态，根据应用进行过滤查看，应用维度需要勾选“启用”

注：链路状态监控可单独开启，对链路进行日常维护，故障维护

nat pool功能说明：

L3S会对所有inbound和outbound流量进行监控

对outbound流量监控延时和抖动，丢包，带宽利用率

对inbound流量监控丢包，带宽利用率

LLB会使用outbound流量的TCP被动监测结果

此时，如果想查看outbound流量监控结果，就需要配置NAT Pool，指定内网主机SNAT之后的地址，也就是outbound流量的源地址。

如果想查看inbound流量的被动监测结果，就要配置NAT Pool，把DNAT之前的IP地址包含进来，看公网客户端与这些IP地址的TCP被动监测结果

可以进行应用维度的统计：不开启应用识别，能统计到协议级别；开启之后，统计到应用级别。

默认采集频率1/32，如果在测试网络中流量较少，需要调整该采集频率为1

3.2 入站SmartDNS配置

3.3 DNS代理配置

1、创建域名簿，指定需要进行DNS代理的域名

2、创建DNS代理rule1，用于匹配DNS服务器发起的查询，需配在最前。

目的是，对于DNS服务器自身发起的递归查询，不进行代理。也就是，域名服务器无法解析域名时，向根域名服务器发起的查询

3、创建DNS代理rule 2，用于匹配内网用户发起DNS查询

DNS代理流量，不会被LLB进行负载，只会选择ECMP中的第一条路由。导致的问题，如果一个是联通DNS，一个是电信DNS，选择了首选DNS之后，会一直从一个接口出。如果绑定了出接口，如果active，那就必定从此出接口出，也就是，也无法对此DNS流量进行LLB。对于解析结果，客户端发起访问时，优先级高于LLB，访问流量也不会

3.3.1 DNS代理服务器选择

 指定DNS代理服务器时，支持设置为首选、绑定出接口，其优先级如下：

1.首选DNS代理服务器。如果指定了首选，优先选择首选

2.绑定了出接口的代理服务器。有多个时，轮询选择

3.未绑定出接口且未设置为首选。有多个时，轮询选择

注：首选与绑定出接口不冲突，绑定了出接口时，也可以设置为首选；最多只能选择一个首选服务器。

如果首选绑定了出接口，但是出接口和DNS Server路由的出口，不一致，则此DNS Serve为inactive，就会根据优先级进行选择。

3.3.2 DNS代理服务器探测

服务器探测

 代理动作为Proxy时，DNS代理根据探测结果选择代理server进行代理解析，DNS代理不会选择inactive的服务器进行代理，探测流程如下：

»路由检查。若路由不可达，则为inactive；否则进行下一步检查

»路由与出接口一致性检查。若DNS代理server未绑定出接口，直接进行下一步检查；若DNS代理server绑定出接口，但路由出接口与绑定出接口不一致，则为inactive，否则进行下一步检查

»服务器可达性检测。定期发送DNS探测报文至代理server，如果收不到DNS应答，则为inactive；如果可以收到DNS应答，则为active

»探测报文，如果第一个失败，则每隔10s发送一次，失败三次，则判定DNS Server失效。

注：PPPoE, DHCP等下发的DNS服务器，以及配置的DNS服务器，不参与DNS代理

DNS代理只支持对dst-port = 53的UDP类型的DNS请求进行代理，对TCP类型的DNS请求报文进行透传

DNS代理只支持对QueryType为A或AAAA的DNS请求进行代理，对其它请求类型的DNS报文进行透传

3.4 DNS Snoop被动探测

3.5 Debug

 debug dp basic

 debug self（DNS代理报文为From self，需要开启该开关）

 debug dp dns proxy

 debug dp filter dst-port 53

 debug dp filter src-port 53

3.6 其他

日志记录

 全局模式下，开启ip domain response-log时，DNS代理解析成功时，可记录network日志，如：

 2018-08-03 11:44:37, INFO@NET: DNS Response: domain t101.test.com, ttl 200, IP address 130.1.1.101 

DNS session

 show session [src-ip client_ip] [application dns]可以过滤dns session，查看用户的DNS请求报文是否经过我们设备

代理服务器状态

 show dp-config dns-proxy可以查看所有代理服务器的状态，Active表示服务器可用，Inactive表示服务器探测失败

四、AX产品规格及其部署架构

4.1 产品规格

 4.2 AX系列性能介绍

注：“S”型号具备硬件SSL加速卡，大幅度提高SSL性能  

4.3 AX部署架构 

组网模式	串接部署	单臂部署	透明部署	三角部署
部署位置	交换机和服务器之间	旁挂交换机	交换机和服务器之间	旁挂交换机
负载模式	LLB/SLB	LLB/SLB	SLB	SLB
特点	L3路由模式	引流到AX	特殊需求使用	报文来回路径不一致
优势	可以溯源、接口压力小	现网环境影响较小、减少单点故概率	现网环境影响较小	低时延、大吞吐
劣势	现网改动大、需要更细致了解组网架构	SNAT无法溯源、接口压力大	定位较困难	配置复杂、功能简单、只支持L4

五、AX常见故障类型

5.1 连通性

问题：客户端和服务器均可达，通过AX地址访问不通，客户端直接访问服务器业务正常

故障点：没有配置Snat

解决方案：AX配置SNAT的2种方式：SNAT规则、虚拟服务下下开启自动SNAT

SNAT规则（同防火墙）

虚拟服务器下开启自动SNAT

5.2 业务分担不均

问题：业务访问正常，观察后端服务器流量，各个业务流量分担不均衡

故障点：调度算法、会话保持

（1） AX可以基于“源IP”、“Cookie”等进行会话保持

         基于“源IP”的会话保持，由于源地址数量较少/经过NAT转换

          解决方案：没有会话保持需求，关闭会话保持

                            选择其他种类会话保持

（2）AX调度算法选择不当

         轮询、加权轮询、IP哈希等，基于后端服务适当选择

5.3 业务访问慢

某客户原来业务访问正常、部署AX之后，业务偶发访问慢/失败

组网架构：单臂部署   业务类型：HTTP

解决方案：排除错误，查看是否为AX导致

排障步骤：

1.基于替换法，确认一定有问题

2.基于剔除法、确认只有访问某台服务器有问题

3.查看日志信息，无思路

4.基于分层方式，将业务切换到L4，没有问题

5.按照原理分析，L7与L4的区别，L7为代理模式

6.是否七层代理之后连接建立有问题

7.基于分段，首先抓包分析客户端到AX之间业务报文，貌似无问题

8.AX与服务端报文、MSS值为150…