AD旁路模式部署设置方法和注意事项
  

Sangfor_闪电回_小狒 22877

{{ttag.title}}
AD旁路模式部署设置方法和注意事项


案例分析:

链路情况:
外网有电信、网通两条链路,没做链路负载,电信线路做了端口映射,外网用户都是通过访问电信链路的IP来访问服务器的,导致网通的用户访问的时候速度很慢,现在提出入站链路负载的需求。

应用情况:
内网有一台服务器,提供http服务(80端口),由于访问量大经常超负载,导致服务器性能下降,访问速度变慢,现在购买多了一台服务器,并提出服务器负载的需求。

网络拓扑(版本较老,但配置方式雷同):
QQ20151123-0.png

解决方案:
QQ20151123-1.png


部署思路:

1、 基本网络配置

1.1 网络规划,部署方式,链路地址(只有一个wan口接线,但是要设置两个wan口)
1.2 代理上网(SNAT):保证服务器的回包经过设备
1.3 智能路由或系统路由(版本2.0以上,设备没有默认路由,必须设置智能路由或系统路由)
1.4 链路检查机制(必须关闭“插拔网线检测”)
1.5 链路的状态查看
1.6 前端防火墙做端口映射到AD设备(需要访问的服务的端口、做DNS策略时要映射UDP53)

2 、负载设置

2.1 定义好服务(端口TCP,UDP 4层负载,HTTP协议7层负载)
2.2 定义好IP组(WAN口的IP地址,多个服务需要建多个IP组)
2.3 定义好节点池(内网服务器的IP和相应的服务端口,和IP组的服务对应建好)
2.4 节点状态的查看
2.5定义好DNS策略(设备提供域名解析功能,也通过dns负载,电信的用户访问网站回电信的IP,网通的用户访问网站会网通的IP.注意:需要告知域名的提供商,域名现由我们自己解析。)
2.6 配置虚拟服务(关键配置,这步就是应用负载核心配置,它主要就是调用服务\IP组\节点池实现应用负载)


具体配置:

1、基本网络配置

络规划,部署方式,路地址(只有一个wan口接线,但是要设置两个wan口)

设置网关模式为旁路模式

3.png

设置好网路接口

4.png

Wan口的配置:

绑定电信地址的接口设置:

5.png

注:这个电信线路的公网IP要做端口映射到设备的wan1口。


电信接口带宽和链路繁忙保护比例设置:

6.png


绑定网通地址的接口设置:

7.png

注:这个网通线路的公网IP要做端口映射到设备的wan1口。

网通接口带宽和链路繁忙保护比例设置:

8.png

注:假设这里是wan1口接线,wan2口不接线,后续配置根据这种情况来配置


1.2、代理上网(SNAT):保证服务器的回包经过设备

9.png

10.png

注:因为wan2口没接线,所以只需要在wan1口做SNAT

1.3 、智能路由或系统路由(版本2.0以上,设备没有默认路由,必须设置智能路由或系统路由)

智能路由:

11.png

直接修改默认的这条策略,修改配置如下图:

12.png

如果不做智能路由,则做一条静态路由如下:

13.png

注:因为wan2口不接线,所以默认路由是指wan1口的网关的。

1.4 链路检查机制

根据客户的需求设置不同的链路监视类型,配置成功后可在[系统概况]中检查链路状态是否正常,如果线路故障,可打开调试日志,并检查“链路监视器”的服务日志查找原因。

设置链路监视器:

14.png
15.png

注:链路监视器中各个服务类型的超时时间和尝试次数不要设置得太少,否则会出现误判。

链路监视器,有效链路监视列表,默认有ping,http。(注意:一般建议用ping测试,http比较耗系统资源)

16.png

监测主机列表(注意:这里要把wan2口的IP地址添加进来,如果不添加会导致链路负载负载不到网通线路的问题,原因是:wan2口没接线,如果只设置其他IP或域名,那么肯定是测不通的,这时候wan2这条链路的状态会是离线的,那么他设置的互联网IP将不参与调度)

17.png

1.6 前端防火墙做端口映射到AD设备(需要访问的服务的端口、做DNS策略时要映射UDP53)


2、负载设置

2.1 定义好服务(访问端口)

18.png
20.png

注意:
1、如果一个虚拟服务需发布多个端口,也可以在此设置端口或端口段,节点池中节点就不需要配置端口,默认即可;

2、支持端口偏移:如果虚拟服务发布端口为8080,节点池中节点配置相应的服务端口为80,那么我们通过访问8080就可以访问到发布的虚拟服务。
如果服务端口填90-95,节点池服务端口为80,实际端口对应关系为通过90访问服务器80,通过91访问81…

2.2 定义IP组(WAN口对应的互联网IP)

21.png
22.png


2.3 定义好节点池(内网服务器的IP和端口地址,如果要做服务器负载,则在同一个节点池中同时添加几个节点)

23.png

节点选择策略:
1、轮询:平均分配,平均分配节点的负载、用于各个服务器的配置都相同的情况;

2、加权轮询:根据权重分配:按权重分配节点的负载,用于各个服务器的配置存在一定的差异(权重越大越优先);

3、加权最少连接:用现有的连接除以权重,优先访问最小节点,防止个别服务器一直繁忙的情况,让新的连接访问更快;

4、最快响应时间:根据服务器相应时间,分配一个动态权重,根据该权重调度(与节点设置的权重无关);

5、URL散列:在同一个节点池中相同虚拟服务,访问相同URL的节点会始终访问相同的节点;

6、动态反馈:根据SNMP统计的节点繁忙程度来施行策略,优先访问压力小的节点。


节点状态监视器:
最快响应时间必须选择connect监视器;

动态反馈算法必须选择snmp监视器;

可以选择多个节点状态监视器,当出现故障时,可以打开节点监视中调试日志进行查看问题原因。

2.4 定义好DNS策略

(域名xxxx.gov.cn 对应的有三个主机www.xxxx.gov.cn  www.xxgk.xxxx.gov.cn    www.gyzc.xxxx.gov.cn解析的IP地址x.x.x.x(公网地址)某公司/ x.x.x.x(公网地址) (网通),如果是电信的用户解析成x.x.x.x(公网地址)用户,如果是网通的用户解析成x.x.x.x(公网地址)用户,明:xxxx.gov.cn 名是www.xxxx.gov.cn 对应的是WEB_IP(见上面2.2))

24.png
25.png

DNS服务器默认属性,这个是电信和网通的DNS.当启用DNS策略功能的时候,AD相当于一台DNS服务器,这里的配置可以理解为对DNS服务器的一些属性的设置,其中“绑定地址”这一项必须填写,否则DNS策略不生效。当外网的DNS请求发送到“绑定地址”里边所包含的地址时,我们才进行解析。

26.png

注意:
在使用DNS策略这个功能之前,我们必须到公网域名服务商去申请一个NS记录和一个A记录,比如我们要实现访问域名xxx.gov.cn时能到AD设备设备来解析,我们必须申请两条记录:
1.xxx.gov.cn的ns记录指向yyy.gov.cn(ns记录只能指向一个域名,指向一个IP地址会导致这个NS记录无效,切记);
2.yyy.gov.cn的A记录指向AD设备的公网IP


2.5 配置虚拟服务(关键配置,这步就是应用负载核心配置,它主要就是调用服务、IP、组、节点池实现应用负载,无论是链路负载还是服务器负载,都是通过虚拟服务的设置来实现的)

27.png
28.png

下面我们分别针对链路负载和服务器负载在虚拟服务中的设置进行说明:

2.6.1链路负载

链路负载的方式:DNS策略和http重定向。
DNS策略:适用于客户端通过域名访问服务器的方式,支持C/S、B/S架构。
http重定向:仅适用于客户端通过http方式访问,并且只支持IP地址的访问方式。


1、DNS策略

29.png

发布方式选择域名,域名方案选择我们设置的DNS策略。


2、http重定向

30.png

会话保持方法选cookie,发布方式选IP,IP组选需要进行重定向的IP组,并启用HTTP重定向配置自动选路。


2.6.2服务器负载

31.png


首先把内网所需要进行负载的服务器设置到一个节点池中,设置虚拟服务是节电池选择服务器所在的节电池。



打赏鼓励作者,期待更多好文!

打赏
1人已打赏

JN——M 发表于 2015-11-23 23:32
  
应该找个新的设备图来整理下的。。。。老设备跟新设备的一些功能位置有了不少地方的变化。
952788 发表于 2015-11-24 17:55
  
先收藏 再细看 感谢。。
Jupiter 发表于 2015-11-25 09:17
  
为什么WAN2不接线呢?此处未说明··········
15168226780 发表于 2015-12-1 10:21
  
wan2 口所配置的ip是虚拟出来的吗?不配可以吗
新手795821 发表于 2016-4-9 16:08
  
我是内网有2台http服务器,目前仅供内网用户访问,创建步骤如下,节点池-IP组-服务-虚拟服务。怎么无法访问虚拟IP呢
大蒜头 发表于 2016-4-11 10:16
  
嗯,不错的分享
fjqx 发表于 2017-5-25 13:33
  
不错的经验分享……
smile 发表于 2017-5-31 12:58
  
求新的版本AD旁路模式部署设置方法和注意事项
群害之马 发表于 2017-8-17 09:44
  
学习了,很有帮助
发表新帖
热门标签
全部标签>
每日一问
每周精选
技术盲盒
干货满满
技术笔记
秒懂零信任
新版本体验
产品连连看
技术咨询
技术晨报
自助服务平台操作指引
2023技术争霸赛专题
GIF动图学习
安全攻防
通用技术
安装部署配置
功能体验
标准化排查
社区帮助指南
齐鲁TV
问题分析处理
迁移
排障笔记本
深信服技术支持平台
天逸直播
信服课堂视频
畅聊IT
流量管理
功能咨询
卧龙计划
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
每日一记
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
加速技术
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
纪元平台
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
华北区交付直播

本版达人

新手61940...

本周建议达人

zhao_HN

本周分享达人

ZSFKF

本周提问达人