一、ADC—应用交付
1.1 作用
负载均衡:服务器负载、链路负载、全局负载;
业务改造:网站IPv6改造、网站HTTPS改造;
网站加速:协议加速、内容加速。
1.1.1 详细划分
服务器负载:
--基于域名的七层负载均衡、应用健康检查,提升服务器集群的使用效率,平滑扩展服务能力;
--AX提供多重健康检测技术:基于网络和传输层的ICMP、TCP-ECHO等方式、检查连通性、基于应用层的方式,TCP、UDP、HTTP、HTTPS、DNS、SMTP、POP3等、基于内容自定义与第三方脚本实现;
--AX提供丰富的调度算法(L4调度算法):分析业务流量P/Port,基于预定策略进行分配、静态算法:轮询、加权轮询、IP哈希等、动态算法:最小连接、最快响应等;
--AX提供个性化的调度算法(L7调度算法):分析http请求,基于URL、Cookie、Method等进行调度、基于不同的七层策略规则、调度到不同服务器;
链路负载均衡:被动探测技术,监测链路质量并调整流量,指定不同应用(视频、P2P2下载)选择不同链路(动态链路切换、应用引流)
全局负载均衡和应用双活:在多数据中心节点之间实现资源就近访问和应用层的负载均衡,可与山石网科防火墙的孪生模式结合;
网站IPv6改造:国内领先的IPv6溯源技术,记录L7应用层日志
网站HTTPS业务改造:专用硬件SSL卸载,业界领先的SSL处理性能,内网WAF/IPS只需处理没铭文流量,无额外消耗,支持过密SM2/SM3/SM4算法;[HTTP明文传输暴露用户名密码等敏感信息]
传统服务器SSL加密的缺陷:性能低、证书管理复杂、WAF/IPS等处理HTTPS流量成本高。
应用性能优化:多种性能优化技术,提升服务器的响应速度和传输性能,通过连接池技术,平滑处理浪涌流量。
双向流量的处理:仅需部署一台设备在网络边界即可实现
会话保持技术:源IP、Cookie、SSL ID、URL哈希、首部哈希等算法、基于不同调度需求,实现同一规则调度到相同服务器
入站负载 Smart DNS:基于链路状态、源地址等条件、选择最优的链路地址、用户获得最优链路地址、向最优链路地址发起业务访问
二、支持项目
支持IPv6 SLB、支持出站负载均衡、支持入站负载均衡--SmartDNS、支持DNS代理
2.1.1 AX推荐网站升级IPv6适用方案(均为反向代理模式:和两端设备分别连接,应用层清晰可见,支持转换)
2.1.1.1 方案1—服务器是单一的IPv4,AX做反向代理提供IPv6地址
优势:
1、保护用户已有投资:服务器无需修改和替换,依然处理IPv4业务,AX部署在内网服务器前,对内网或外网用户访问服务器都可以提供IPv6业务,而防火墙一般部署在网络边界,NAT-PT只能提供外网用户到内网服务器的转换;
2、识别HTTP中的IPv4地址并改写成IPv6地址:NAT-PT只能做网络层转换,不能进行深度识别;
3、IPv4用户访问222.test.com,dns返回1.1.1.1,IPv4用户直接访问,不经过AX,IPv6用户访问时经过AX;
2.1.1.2 方案2—IPv4和IPv6服务器共同组成集群,AX支持同时负载均衡
优势;
1、IPv4和IPv6服务器灵活组合:AX可以灵活控制HTTP业务单独由后台的IPv4服务器提供(更稳定),或者单独由IPv6服务器提供(更符合合规性),或者二者同时提供,可以直观的展现升级后网站的IPv4访问量和IPv6访问量,便于用户了解升级效果;
2、升级过程业务不中断:服务器增量升级,先新增IPv6双栈服务器,再逐渐下架老旧IPv4服务器,AX支持后台IPv4/IPv6双栈服务器,AX温暖上线和温暖下线技术,保证新增和下架服务器不影响已有用户业务;
2.2 LLB出站负载均衡
根据延迟、丢包、抖动、带宽四个因素计算子网在不同链路的权重,没计算出权重之前,是ECMP;
检查TCP流量,不检查UDP和ICMP;
链路的权重,也是根据多因素进行自动计算;
被动抽样率,默认1/23,可以隐藏命令手动调整;
策略路由以及静态路由中手动指定的权重,是静态优先级,如果没有走智能LLB,才会被选择。
2.3 入站负载均衡—LLB inbound-SmartDNS
功能详解
当DNS代理和SmartDNS代理都开启后,DNS代理的优先级高于SmartDNS
2.4 DNS代理
DNS代理(DNS Proxy)用来劫持客户端的DNS请求,并重新构造DNS请求发往DNS代理服务器,收到DNS代理服务器的应答之后,再重新构造DNS应答发送给客户端。DNS代理的过程如下:
价值:引流—将特定域名,引入到特定的DNS服务器来进行代理解析;
冗余—配置多台DNS服务器进行代理;
安全—将客户端的DNS请求代理到安全的DNS服务器;
高效—将客户端的DNS请求代理到合理的ISP运营商。
三、功能配置
3.1 出站负载均衡(WebUI)
1、智能LLB可与目的路由(DBR)/ 策略路由(PBR)绑定使用,目的路由:创建多条等价路由,策略路由:配置多个等价出口
2、配置接口带宽
3、创建LLB模板——智能LLB探测规则
4、创建LLB规则——将LLB模板与路由绑定
最多支持64条绑定关系
5、链路监控配置
监控>链路状态监控>链路配置,如果需要看到右侧抖动、延迟、丢包率的链路状态,根据应用进行过滤查看,应用维度需要勾选“启用”
注:链路状态监控可单独开启,对链路进行日常维护,故障维护
nat pool功能说明:
L3S会对所有inbound和outbound流量进行监控
对outbound流量监控延时和抖动,丢包,带宽利用率
对inbound流量监控丢包,带宽利用率
LLB会使用outbound流量的TCP被动监测结果
此时,如果想查看outbound流量监控结果,就需要配置NAT Pool,指定内网主机SNAT之后的地址,也就是outbound流量的源地址。
如果想查看inbound流量的被动监测结果,就要配置NAT Pool,把DNAT之前的IP地址包含进来,看公网客户端与这些IP地址的TCP被动监测结果
可以进行应用维度的统计:不开启应用识别,能统计到协议级别;开启之后,统计到应用级别。
默认采集频率1/32,如果在测试网络中流量较少,需要调整该采集频率为1
3.2 入站SmartDNS配置
3.3 DNS代理配置
1、创建域名簿,指定需要进行DNS代理的域名
2、创建DNS代理rule1,用于匹配DNS服务器发起的查询,需配在最前。
目的是,对于DNS服务器自身发起的递归查询,不进行代理。也就是,域名服务器无法解析域名时,向根域名服务器发起的查询
3、创建DNS代理rule 2,用于匹配内网用户发起DNS查询
DNS代理流量,不会被LLB进行负载,只会选择ECMP中的第一条路由。导致的问题,如果一个是联通DNS,一个是电信DNS,选择了首选DNS之后,会一直从一个接口出。如果绑定了出接口,如果active,那就必定从此出接口出,也就是,也无法对此DNS流量进行LLB。对于解析结果,客户端发起访问时,优先级高于LLB,访问流量也不会
3.3.1 DNS代理服务器选择
指定DNS代理服务器时,支持设置为首选、绑定出接口,其优先级如下:
1.首选DNS代理服务器。如果指定了首选,优先选择首选
2.绑定了出接口的代理服务器。有多个时,轮询选择
3.未绑定出接口且未设置为首选。有多个时,轮询选择
注:首选与绑定出接口不冲突,绑定了出接口时,也可以设置为首选;最多只能选择一个首选服务器。
如果首选绑定了出接口,但是出接口和DNS Server路由的出口,不一致,则此DNS Serve为inactive,就会根据优先级进行选择。
3.3.2 DNS代理服务器探测
服务器探测
代理动作为Proxy时,DNS代理根据探测结果选择代理server进行代理解析,DNS代理不会选择inactive的服务器进行代理,探测流程如下:
»路由检查。若路由不可达,则为inactive;否则进行下一步检查
»路由与出接口一致性检查。若DNS代理server未绑定出接口,直接进行下一步检查;若DNS代理server绑定出接口,但路由出接口与绑定出接口不一致,则为inactive,否则进行下一步检查
»服务器可达性检测。定期发送DNS探测报文至代理server,如果收不到DNS应答,则为inactive;如果可以收到DNS应答,则为active
»探测报文,如果第一个失败,则每隔10s发送一次,失败三次,则判定DNS Server失效。
注:PPPoE, DHCP等下发的DNS服务器,以及配置的DNS服务器,不参与DNS代理
DNS代理只支持对dst-port = 53的UDP类型的DNS请求进行代理,对TCP类型的DNS请求报文进行透传
DNS代理只支持对QueryType为A或AAAA的DNS请求进行代理,对其它请求类型的DNS报文进行透传
3.4 DNS Snoop被动探测
3.5 Debug
debug dp basic
debug self(DNS代理报文为From self,需要开启该开关)
debug dp dns proxy
debug dp filter dst-port 53
debug dp filter src-port 53
3.6 其他
日志记录
全局模式下,开启ip domain response-log时,DNS代理解析成功时,可记录network日志,如:
2018-08-03 11:44:37, INFO@NET: DNS Response: domain t101.test.com, ttl 200, IP address 130.1.1.101
DNS session
show session [src-ip client_ip] [application dns]可以过滤dns session,查看用户的DNS请求报文是否经过我们设备
代理服务器状态
show dp-config dns-proxy可以查看所有代理服务器的状态,Active表示服务器可用,Inactive表示服务器探测失败
四、AX产品规格及其部署架构
4.1 产品规格
4.2 AX系列性能介绍
注:“S”型号具备硬件SSL加速卡,大幅度提高SSL性能
4.3 AX部署架构
组网模式 |
串接部署 |
单臂部署 |
透明部署 |
三角部署 |
部署位置 |
交换机和服务器之间 |
旁挂交换机 |
交换机和服务器之间 |
旁挂交换机 |
负载模式 |
LLB/SLB |
LLB/SLB |
SLB |
SLB |
特点 |
L3路由模式 |
引流到AX |
特殊需求使用 |
报文来回路径不一致 |
优势 |
可以溯源、接口压力小 |
现网环境影响较小、减少单点故概率 |
现网环境影响较小 |
低时延、大吞吐 |
劣势 |
现网改动大、需要更细致了解组网架构 |
SNAT无法溯源、接口压力大 |
定位较困难 |
配置复杂、功能简单、只支持L4 |
五、AX常见故障类型
5.1 连通性
问题:客户端和服务器均可达,通过AX地址访问不通,客户端直接访问服务器业务正常
故障点:没有配置Snat
解决方案:AX配置SNAT的2种方式:SNAT规则、虚拟服务下下开启自动SNAT
SNAT规则(同防火墙)
虚拟服务器下开启自动SNAT
5.2 业务分担不均
问题:业务访问正常,观察后端服务器流量,各个业务流量分担不均衡
故障点:调度算法、会话保持
(1) AX可以基于“源IP”、“Cookie”等进行会话保持
基于“源IP”的会话保持,由于源地址数量较少/经过NAT转换
解决方案:没有会话保持需求,关闭会话保持
选择其他种类会话保持
(2)AX调度算法选择不当
轮询、加权轮询、IP哈希等,基于后端服务适当选择
5.3 业务访问慢
某客户原来业务访问正常、部署AX之后,业务偶发访问慢/失败
组网架构:单臂部署 业务类型:HTTP
解决方案:排除错误,查看是否为AX导致
排障步骤:
1.基于替换法,确认一定有问题
2.基于剔除法、确认只有访问某台服务器有问题
3.查看日志信息,无思路
4.基于分层方式,将业务切换到L4,没有问题
5.按照原理分析,L7与L4的区别,L7为代理模式
6.是否七层代理之后连接建立有问题
7.基于分段,首先抓包分析客户端到AX之间业务报文,貌似无问题
8.AX与服务端报文、MSS值为150…