AD高级培训PPT总结
  

adds 102976人觉得有帮助

{{ttag.title}}
本帖最后由 adds 于 2018-4-21 21:50 编辑

  AD高级培训PPT总结




说明:其中“一”代表第1章,“1”代表某章第1个知识点,依此类推。



  一、负载均衡的原理



1、智能DNS调度算法

  (1)轮询、加权轮询(依赖链路权重)、首个可用、哈希、静态就近性、动态就近性、

   加权最小流量(依赖链路权重)、加权最小连接(依赖链路权重)

  (2)首个可用

  首个IP地址通过监视器检测可用则始终返回到这一个IP地址给Local DNS,当此IP地址不可用时,调度到其他IP。

  (3)哈希

  根据Local DNS的IP地址做哈希运算,不同的Local DNS请求均衡返回链路IP地址。

  (4)动态就近性

  当AD设备接收到客户端DNS服务器的域名请求时,设备从所有链路向该客户端DNS服务器发起反向探测请求,最快收到回应(包含拒绝)的链路认为最优,返回最优的链路IP给客户端DNS服务器。

  (5)加权最小连接

  当AD收到外网DNS服务器的域名请求时,根据当前有效链路的一个动态比值(链路的连接数/链路的权重),该比值越小,优先级越高,返回最高优先级的链路的IP给外网DNS服务器。

  (6)加权最小流量

  当AD接收到外网DNS服务器的域名请求时,根据当前有效链路的一个动态比值(链路的流量/链路的权重),该比值较小,优先级越高,返回最高优先级的链路IP给外网DNS服务器。

  (7)推荐使用算法

  如果拥有多条同一运营商的链路,可考虑使用轮询或加权轮询或哈希。

  如果拥有不同运营商的链路,可考虑使用静态就近性算法。

  如果是入站流量不大且源IP范围大多是国外,可考虑使用动态就近性。

  如果链路之间的带宽差异比较大,可考虑使用加权最小流量或加权轮询。



2、智能路由调度算法

  如果拥有多条同一运营商的链路,可考虑使用轮询。

  如果链路之间的带宽差异比较大,可考虑使用带宽比例或加权最小流量。

  注:静态就近性不是可选算法,而是自建策略。如有电信和联通2条线路,可以新建2条策略,目标IP是电信的走电信,联通同理。



3、虚拟服务节点调度算法

  (1)节点调度策略

   轮询、加权轮询、加权最小连接、最快响应时间、动态反馈、优先级、哈希。

  (2)最快响应时间

   发送数据包进行探测,调度到响应最快的节点,必须配置connetc/dns/radius/database监视器。

  (3)动态反馈

   节点监视器通过SNMP监视节点负载,根据节点负载改变其权值。

  (4)推荐使用算法

   如果各个服务器的性能都相同的情况下,可考虑使用轮询。

   如果各个服务器的性能存在一定的差异,可考虑使用加权轮询。

   如果处于新旧服务器过渡旧服务器仅做备用的情况,可考虑使用优先级。

   如果没有以上明显特征,可尝试使用其他算法。



4、智能DNS工作原理

   (1)PC将DNS请求发送给Local DNS服务器

   (2)Local DNS将请求发送给域名提供商

   (3)域名提供商将域名对应的NS记录和NS记录对应的A记录返回给Local DNS服务器

   (4)Local DNS根据域名供应商返回的NS记录将请求发给AD设备

   (5)AD根据配置的策略返回一个IP级Local DNS

   (6)Local DNS将IP告诉客户端

   A记录用A表示,NS记录用NS表示。



5、虚拟服务工作原理

   (1)PC访问www.xxx.com,解释为1.1.1.1。

   (2)AD检查目标IP 1.1.1.1,匹配IP组,目标端口80,匹配服务。

   (3)根据虚拟IP池配置的调度策略,选择合适的节点。







二、高可用部署



1、双机热备部署

  (1)各种部署模式均支持双机热备,当主设备出现问题,自动切换到备机。

  (2)上架思路

  a.配置主机(配置基础网络配置、虚拟服务、双机维护),确保放入网络中业务可以正常运行。

  b.配置备机(仅配置双机维护)并将该主机关机,接主机B的双机口到主机A的对应接口。

  c.主机开机。

  d.主机会将配置同步至备机。备机的Alarm灯一直闪烁,说明工作正常。

  e.将主机关机,查看AD是否正常。

  (3)注意事项

  a.可以在双机页面设置名称,该名称不会被双机同步。

  b.双机故障检测口要接在同一个二层广播域方可正常检测到。

  c.主机一旦修改配置,则实时向备机同步,可以在双机维护的状态信息处看到同步状态及百分比。

  d.通信介绍的网口的作用:同步配置; 维持心跳。



2、高可用集群

  (1)优势

  双主,可同时承载多个虚拟服务。

  扩展性好,平滑扩充。

  (2)原理

  a.集群控制中心:集群中设备统一管理平台,通过集群管理IP访问。

  b.集群管理IP:跟各设备的管理口同网段,通过此IP访问控制台。

  c.HA口:用于各设备间同步配置,定时进行心跳检测,如设备直连则使用交叉线。

  d.浮云IP:虚拟服务访问的IP,相当于单台设备时的IP组,可根据情况漂浮在不同设备间,一个浮动IP同时只能在一台设备上生效。

  e.静态IP:对服务器/链路做健康检查时用到的IP,每台设备在业务口都必须配置最少一个静态IP。

  f.虚拟MAC:对应链路上使用虚拟MAC供链路所有IP与其他设备通信。

  g.虚拟服务关联组:所有引用了相同节点池,或引用了相同浮动(IP)组的虚拟服务。

  h.应用组:即集群的最小切换单元,包括浮动IP、虚拟服务关联组、NAT单元(DNAT、SNAT),这些配置使该应用组具有发布服务的能力。

  (3)配置要求

  a.设备要求:软件版本一致,硬件平台一致,序列号授权一致(升级序列号除外),两台设备的网口位置和顺序一致。

  b.环境要求:两台设备做集群,HA使用交叉线直连;三台及以上设备做集群,需准备单独交换机连接HA口(或单独划分vlan)。

  (4)IP规划

  管理IP:两个设备管理IP,一个集群管理IP,要求在同网段。

  HA口IP:同网段。

  浮动IP和静态IP:相当于单台设备时业务口配置的业务口IP,要求跟服务器、外网通信正常。浮动IP在不同的设备上生效,静态IP在一台设备上生效。浮动IP用于虚拟服务接入,静态IP用于健康检查。

  (5)思路

  a.设备的业务口和管理口分别接入交换机,HA口用交叉线互连。

  b.在设备A创建集群。

  c.登录集群控制中心,将设备B加入集群。

  d.配置业务网口信息,包括浮动IP、静态IP,配置SNAT、DNAT等。

  e.虚拟服务。

  f.配置应用组,将需要一起切换的模块关联起来,保证切换正常。

  (6)注意

  a.退出集群会恢复默认配置。

  b.集群登录账户密码默认cluster/cluster。

  c.首次加入集群的设备会接受一次批量同步,并重启所有服务,已加入的设备,采用触发增量更新的方式,判断设备是否接受更新。

  d.主控和备控没有权限修改配置,只能登录集群控制中心进行配置。

  e.集群中其他设备可以登录查看配置,登录设备管理IP或者在集群控制中心成员管理中点击“跳转”。

  f.所有引用了相同节点池,或引用了相同浮动IP(IP组)的虚拟服务会自动加入到同一个虚拟服务关联组中,所以无需配置。

  g.SNAT指定了转换为相同的源地址(或包含),会被放到同一个源地址转换关联组(自动生成)。

  h.DNAT需要手动关联应用组,保证端口映射也可随着设备切换。

  i.应用管理组需要手动配置,关联DNAT、SNAT、虚拟服务关联组、浮动IP。

  j.故障切换

   应用组关联的链路发生故障

   应用组关联的虚拟服务中,节点监视器全部离线

   设备自身发生故障

  k.加入集群后设备的全局智能DNS功能将失效。

  

3、高可用集群链路负载双主

  (1)原理

   a.SNAT1和SNAT2分别关联2个应用组,运行在两个设备上。

   b.当设备2故障,SNAT2随应用组切换到设备1上。

   c.此时,SNAT1和SNAT2同时在设备上生效,有先后顺序,后加入的在后。

   d.没有同步连接跟踪,那么应用组2的连接匹配到SNAT1,转换的地址变化,导致连接断开。

   e.没同步智能路由会话,重新选路,走不同线路,导致连接断开。

  (2)配置

   a.组建集群

   b.IP分配:浮动IP、静态IP,平均分布到各台设备。

   c.SNAT:每条线路配置2条SNAT规则,转换为指定IP。

   d.关联应用组(接口IP、虚拟服务、SNAT、DNAT)。

   e.应用组配置虚拟MAC(每个接口)。

   

4、高性能集群

  (1)功能对比

   高可用集群:一个服务只运行于一台设备之上,提供服务的这台设备即为这个服务的主设备。

               多个服务可以分别运行在不同的设备上,并互相作为备份。

   高性能集群:一个服务同时运行在集群的每台设备上。

               设备因故障退出或重新加入集群时,都可保证流量在设备间均衡分配,业务不会中断。

  (2)环境准备

   a.所有业务数据接口需要进行聚合

   b.软件版本一致(appversion)

   c.硬件平台(deversion)、网口数量和顺序一致

   d.序列号一致

  (3)配置过程

   a.模式切换

   b.创建/加入集群

   c.故障检测设置

     根据链路状态/节点池状态进行判断

     故障设备不作为集群控制器

     故障设备不参与服务调度

   d.成员管理

     管理IP必须和主控管理IP同网段

     健康状态(初始化、警告、离线、故障、沉默、在线)

   e.端口聚合配置

     先配置聚合,再配置wan/lan

     不同AD引用相同接口

     所有AD同一接口进行聚合

  (4)切换条件

     a.lan/wan链路离线

     b.节点池离线

     c.服务状态切换

     d.HA掉线(沉默)

     e.成员故障(硬盘故障等)

  (5)注意事项

    a.节点监视器需要配置静态IP

    b.业务口必须先聚合再起wan/lan

    c.业务口聚合只支持802.3AD(LACP),其他聚合算法会导致故障切换过程中丢包

    d.HA口也支持聚合,聚合协议不限制

      HA口同步通信流量可能非常大

      通常业务口(wan)数量要跟HA聚合口数量相当

  (6)高性能集群不支持的功能

    a.不支持链路负载

    b.不支持IPv6应用负载

    c.不支持SSL会话复用

    d.不支持动态路由

    e.不支持集群互导配置







三、链路没法跟你服务器负载高级功能应用



1、虚拟服务前置调度策略

  (1)功能介绍

   前置调度策略用于符合设定条件的请求始终调度到某一台或者多台服务器上。前置调度策略优先于虚拟服务关联的节点池调度策略。

  (2)适用场景

   客户多台业务服务器通过同一个公网IP发布,而服务器提供服务的端口均为80,如使用虚拟服务会报“虚拟IP端口存在冲突”,需要使用前置调度策略。



2、虚拟服务优化策略

  (1)TCP单边加速

   通过优化TCP协议,解决一些TCP协议本身的缺陷,来实现加速的效果。主要用于丢包大的情况。

  (2)HTTP连接池

   在服务器端保持一定数量的HTTP连接处于活动状态,同一个连接可发多个请求,提高服务器的响应效率,减少服务器新建连接,能有效降低CPU负载。注:由于第二次访问是复用之前的会话,所以服务器看到的源IP是第一次发起访问的客户端IP。

  (3)HTTP缓存

   设备内置HTTP缓存,能减轻大量重复请求对服务器的压力。该缓存于内存中,重启设备将被清除。

  (4)HTTP压缩

   客户端请求页面,AD设备返回缓存内容或者服务器返回内容给客户端时,AD设备对HTTP响应并进行压缩编码,降低数据量,从而减少数据在网络上的传输时间。

  (5)传输客户端IP至后台服务器

   在设备旁路部署情况下,wan口做snat将所有访问数据源IP转换成wan口IP,服务器无法统计到客户端的真实源IP,此时如果可以使用该功能让服务器查看客户端的真实源IP。注:服务器必须是通过检查http头部的方式做源IP统计才有效,不适用于服务器直接检查数据包IP层的源IP做统计。



3、虚拟服务SSL策略

  (1)适用场景

   a.客户服务器使用https提供服务,使用ssl卸载功能,将https加解密过程在AD设备上实现,减轻服务器性能压力。服务器需改成HTTP提供服务。

   b.客户服务器使用http提供服务,可以使用ssl卸载功能在客户端与AD设备之间通过ssl进行加密,保证数据传输的案例。



  (2)SSL认证流程

   a.单向认证:设备只需要将ssl证书提交给客户端,客户端对服务器的证书进行验证。

   b.双向认证:即在单向认证的基础上,要求对客户端访问进行验证,客户端也要提供证书给AD设备进行验证。



  (3)注意事项

   a.部分WEB页面里嵌套的HTTP请求无法打开,请在配置虚拟服务的时候启用HTTP自动跳转到HTTPS。如AD设备是旁路模式部署在内网并且需要把服务发布到互联网,为保证HTTP到HTTPS跳转功能生效,前置防火墙还需映射80到AD设备WAN口。

   b.部分页面嵌套HTTP,成功发布HTTPS后,打开时IE会出现“此网页包含的内容将不使用安全的HTTPS连接传送,可能危及到整个网页的安全”的警告。解决办法:每次点击“否”继续浏览;每台电脑更改IE设置,更改方式:工具--Internet选项-安全-Internet-自定义级别-显示混合内容-启用;联系WEB开发人员,取消页面嵌套的HTTP连接。

   c.AD设备可以支持申请服务器证书导入功能,如果客户本身就有CA,则可以生成证书请求将设备证书导入设备进行加密。



4、链路负载前置调度策略(DNS代理)

  (1)使用场景

   AD设备设置了DNS代理后,内网用户的DNS请求会根据调度算法将DNS请求分配到不同的DNS服务器进行解析。某些域名本身做了限制,必须通过一个DNS才能解析,此时需要前置调度策略将解析域名的请求始终分发给固定的DNS服务器。

  (2)路径:网络配置--DNS代理--前置调度策略



5、内网DNS记录

  (1)使用场景

   AD做链路负载,访问域名www.xxx.com时,进行DNS负载,外网用户返回外网IP,内网用户返回内网IP(不需要做lan-lan端口映射)

  (2)路径:

   a.网络配置--DNS代理--内网DNS记录

   b.网络配置--DNS代理--DNS透明代理--代理内网网段







四、服务器负载HTTP头部改写



  1、X-forwarded-for

  (1)需求场景

    AD设备单臂部署,做http应用负载。发现服务器无法看到客户端的真实IP。

  (2)原理

   AD设备在客户端的http请求头部插入x-forwarded-for字段,服务器可根据x-forwarded-for字段的值来识别客户端IP。

  (3)路径

   应用负载--策略--HTTP改写。



   注:同优化策略里的“传输客户IP至后台服务器”的作用一样,配置HTTP改写更复杂些。



  2、302跳转

  (1)需求场景

   同一个网站两个部门使用,通过路径区分,客户想实现输入IP即可访问自己的目录。

  (2)原理

   AD设备可以根据IP地址等条件灵活返回指定页面。

  (3)配置

   a.公共对象--自定义内容,新建302跳转。

   b.应用负载--策略--前置调度策略,根据源IP范围返回内容。



  3、referer字段

  (1)客户网站被盗链,造成自己服务器和带宽资源的浪费。

  (2)方案:通过reerer字段可以控制链接的源网站,不符合的网站禁止链接。

  (3)配置

   应用负载--策略--前置调度策略,请求头部的字段为referer,条件包含baidu,属性为条件取反,动作关闭连接。



   referer字段告诉AD设备该请求链接是从哪个主站过来的。



  4、注意

  (1)请求改写发生在AD收到客户端的请求后,发给服务器之前,这时AD改写了请求头部,对于客户端来说是透明的,不一定会看出效果。

  (2)应答改写发生在AD收到服务器的回应之后,发送给客户端之前,所以客户端一定可以看到效果。







五、监视器



1、节点监视器简介

   AD设备的节点监视器可以模板各种服务器真实请求数据,并通过返回结果来判断服务器最真实的工作状态。

   AD设备内置了HTTP、数据库、DNS、Radius、FTP等常见服务器的检测模板。



2、HTTP被动监视器

  (1)功能介绍

   HTTP被动监视器适用于BS架构业务系统,通过监视指定URL请求的应答行为判断客户业务的好坏。

   对于HTTP访问来说,每个请求都一定会有回应,我们根据HTTP响应状态码来判断服务器状态。

  (2)配置

   a.设置虚拟服务

   b.访问此虚拟服务,访问之前在活动查看的URL统计中点击“开始统计”,统计此虚拟服务访问的所有URL。

   c.根据统计的URL设置http被动监视器,并将此监视器关联给节点池。

  (3)注意

   a.一定要B/S架构的业务系统

   b.一定要建七层负载,服务要选HTTP

   c.根据实际业务情况来设置监视器



3、TCP被动监视器

  (1)介绍

   TCP被动监视器不依赖某个具体应用,只要是TCP的应用都可使用。它通过监视TC协议交互过程中服务器返回的Reset包或零窗口来判断服务器好坏。

   RST包:无法正常释放连接时,强制断开连接的报文。

   零窗口:滑动窗口协议是用来改善吞吐量的一种技术,即容许发送方在接收任何应答之前传送附加的包。接收方告诉发送方在某一时刻能发送多少包(窗口尺寸),窗口尺寸为零即零窗口。

  (2)配置

   a.配置虚拟服务,开启统计报表。

   b.测试一段时间,查看报表,AD会显示出可疑时间点的历史数据,根据可疑时间查看节点监视器调试的日志,会显示统计的服务器发送的rst包和tcp零窗口的个数。

   c.根据历史数设置tcp被动监视器。

  (3)注意事项

   a.TCP被动监视器适用于所有架构的TCP应用

   b.可疑状态是设备内置的TCP被动监视器反馈的结果,只是提供一个依据,不会影响虚拟服务使用。

   c.根据实际情况来设置监视器的具体参数



4、链路监视器

   网络配置--网络接口--健康检查。







六、智能DNS全局负载



1、需求场景

   客户在各地都部署了多台服务器并申请了双线路,希望能就近接入。



2、原理

   全局入站负载基于地域和IPS的分布式部署,各设备之间同步配置,一体化工作。从物理上保障可靠性,提供故障检测手段,同时通过算法保障接入速度。

   A记录:用来指定主机名(或域名)对应的IP地址。

   NS记录:域名服务器记录,用来指定该域名由哪个DNS服务器来进行解析。

   NS记录推荐格式:

   www.abc.com NS ns1.abc.com

   ns1.abc.com A 8.8.8.8



3、配置

   a.在域名提供商处设置域名的NS记录指向AD的IP

   b.在AD上添加DNS服务器,监听NS记录指向的IP

   c.定义数据中心,让各AD互相知道其他设备的IP,保持通讯

   d.在IP地址集里面设定不同地域,供后面引用

   e.设置虚拟IP池,DNS映射。把域名和节点对应起来

   f.设置LDNS集合,根据地域来分,引用IP地址集

   g.设置静态就近性,根据LDNS来调度接入AD和线路







七、虚拟化部署



1、需求场景

  (1)一台物理设备虚拟多台应用交付设备的功能,不同vAD分配给不同租房使用。

  (2)不同vAD间的资源虚拟隔离,根据不同租房的工作负荷,按需分配资源,达到资源的合理利用。



2、价值

  (1)实现了单台设备虚拟多台应用交付设备功能,支持vlan和聚合网口,满足了多租户使用AD的需求和网口资源隔离的需求。

  (2)支持配置vAD的CPU资源、内存资源和新建并发数值,可以让用户根据不同租户的需求分配不同的资源能力等级。

  (3)支持万兆网口的透传,使vAD性能可以满足高端用户使用要求。

  (4)实现了在单个硬盘下,物理AD系统和MAD系统的切换,节省了用户的硬件成本。

  (5)在MAD系统上实现了vAD的批量升级管理,使用户在统一管理升级系统方面更加便利。

  (6)不同主机之间的虚拟vAD支持双机部署,确保客户业务稳定。



3、虚拟化管理系统模块

   AD:物理AD,实体设备

   MAD:AD虚拟化管理系统

   vAD:AD虚拟机



4、MAD

  (1)安装MAD对硬件的要求

   a.硬盘大于500G、7200r/min、64M缓存

   b.内存大于16G

   c.CPU支持且BIOS开启VT-x、VT-d

  (2)登录

   https://12.252.252.252  admin/admin

  (3)新建vAD

   a.要求剩余内存>4GB

   b.内存上限:总内存/4-1

   c.CPU:2*级别;内存:4*级别 GB

  (4)网络接口(虚拟交换机)

   a.支持vlan

    可选tagged/untagged

    可以桥接物理网口或聚合口

    tagged和untagged不能混配

   b.支持聚合

    轮询、冗余双网卡、哈希、802.3ad

  (5)MAD管理

    20个管理员

    可批量升级vAD

    可恢复MAD默认配置

  (6)MAD序列号

    vAD继承MAD的序列号

    增加虚拟多租户授权(vAD数量)



5、vAD不支持功能

  (1)不支持交换网口、vlan端口、端口聚合

  (2)不支持修改接口模式

  (3)不支持集群部署

  (4)不支持双机串口通讯;不支持vAD和普通AD做双机

  (5)不支持串口短信猫(内置短信告警模块)

  (6)不支持添加/删除管理IP(管理IP在MAD上配置)

  (7)不支持修改管理员用户(管理员密码在MAD上修改)

  (8)恢复配置不会恢复设备管理IP和管理员用户

  (9)不支持U盘恢复密码

  (10)不支持SSL硬件加速卡



6、vAD功能特性

  (1)vAD宕机自动重启

  (2)物理网口状态透传







八、智能DNS及虚拟服务排错指导



1、智能DNS不生效

  (1)NS记录没做或做错,或者刚做时间不久还未生效。

   a.让客户提供域名提供商处的设置截图,看是否正确配置了NS记录。

   b.用nslookup命令测试,看域名是否有NS记录。

     nslookup--set q=ns--www.xx.com--set q=a--ns1.xx.com

  (2)检查AD设备上配置

   a.仔细检查配置,是否有疏漏

   b.把电脑的DNS直接指向AD看是否以解析,如果能正常解析,可能是公网问题,如果不能解析,则除了判断公网线路是否正常外,还需要仔细检查AD设备的配置。

  (3)智能DNS数据流走向

   a.将请求发给Local DNS服务器

   b.Loacl DNS将请求发送给域名提供商

   c.域名提供商将域名对应的NS记录和NS记录对应的A记录返回给Local DNS服务器

   d.Local DNS将请求发送给AD设备

   e.AD根据配置的策略返回一个IP给Local DNS

   f.Local DNS将IP告诉客户端



2、虚拟服务访问不到如何排查问题

  (1)虚拟服务处理流程

   a.AD虚拟服务四元素:服务、IP组、前置策略、节点池。

   b.检查数据包的目的端口和协议(匹配服务),如果匹配走c,如果不匹配将由其他模块处理。

   c.检查数据包的目的IP(匹配IP组),如果匹配走d,如果不匹配交由其他模块处理。

   d.检查是否符合前置调度策略(匹配前置调度策略),如果匹配走e,如果不匹配或者无配置根据节点池策略调度。

   e.根据前置调度策略调度

  (2)检查是否服务器的服务不可用。

   a.从内网不经过AD查看是否可以访问到应用系统。

   b.如果是网关模式,可以先禁用虚拟服务,然后建立端口映射,试着用端口映射是否能访问到。

   c.检查链路状态是否正常;检查网络接口状态配置是否有误。

   d.检查前置策略的配置或者临时不关联前置策略看是否能访问。

   e.检查节点状态是否正常;检查节点池配置是否有误。

   f.如果是旁路模式部署,检查是否做了SNAT和路由。

   g.如果是使用cookie会话保持,改用源IP会话保持看是否能恢复正常。







九、智能路由及其他常见问题排错指导



1、智能路由不生效问题排查

  (1)先检查智能路由的配置是否正确。智能路由由上往下匹配。

  (2)查看“系统概况--链路状态”中的外网线路是否离线或者繁忙。

  (3)在“智能路由-路由测试”中进行测试,看测试结果。

  (4)“智能路由-出站高级配置”中,出站会话保持的子网掩码是否合适。如果掩码过大,会导致很多这个网段的IP走会话保持,智能路由不生效。

  (5)不能使用ping长测试,长ping公网某个IP地址,然后拔掉一个WAN口线,发现不通了。这是由于ICMP有连接跟踪保持(为30秒),其实直接使用http访问是正常的。



2、上网时快时慢,DNS有时解析不到

  (1)出站链路负载问题排查思路

     a.判断DNS请求解析的过程是否正常

     b.判断上网的数据出站是否正常。

   注意:如果启用了DNS代理,那么DNS请求包(UDP53端口数据)是不会走智能路由的,会走DNS代理模块去选路解析。如果没有启用DNS代理,那么DNS请求包会走智能路由。可以说DNS代理的优先级高于智能路由。

  (2)DNS有时解析不到

   a.启用了DNS代理,调度策略选择轮询或加权轮询,有可能会出现我访问一个电信的站点,恰好调度到联通的DNS,但是这个域名联通解析不了。用DNS前置调度策略解决。

   b.若启用了DNS代理,查年地“DNS状态”,看DNS服务器是否不停离线。可能是DNS服务器的问题或者监视域名有问题。

   c.若没有启用DNS代理,则DNS请求可能走智能路由,检查ISP地址段是否包含DNS服务器地址。

  (3)上网时快时慢

   a.如果使用了线路繁忙保护,导致上网数据匹配到智能路由里面的default策略,defautl策略采用加权最小流量算法,所以导致一会走线路1,一会儿走线路2。需要把繁忙保护比例设置成99%(建议新配置设备时,繁忙保护比例就设置成99%),当只有1条电信和1条联通线路时,建议禁用繁忙保护。

   b.目标IP选择的是ISP网段,则可能访问的目标IP不在ISP地址段里面。将目标IP填写到对应的ISP地址段即可。

   c.可能链路监视器设置有问题,导致外网链路不停的出现离线的情况。修改监视地址查看是否可以。

  (4)DNS代理不生效

   a.如果PC的DNS填写AD设备接口地址,注意查看DNS监听地址有没有填,需要将AD设备接口地址填写到DNS监听地址处。

   b.查看DNS服务器列表有没有填。

   c.客户端电脑的DNS是否填写正确。需要填写DNS服务器列表的地址或者AD的LAN口地址。

   d.“系统概况--DNS状态”中DNS服务器是否在线。离线的DNS服务器是不会参与调度的。











  


AD高级培训知识点.txt

19.55 KB, 下载次数: 206

打赏鼓励作者,期待更多好文!

打赏
9人已打赏

sangfor_2273 发表于 2019-11-15 15:17
  
感谢贴主的分享,
a.客户服务器使用https提供服务,使用ssl卸载功能,将https加解密过程在AD设备上实现,减轻服务器性能压力。服务器需改成HTTP提供服务。
b.客户服务器使用http提供服务,可以使用ssl卸载功能在客户端与AD设备之间通过ssl进行加密,保证数据传输的案例。

这里的b点“铁柱”的意思应该是如果服务器使用http协助对外发布服务是不安全的,可以通过AD上发布一个https的虚拟服务,来提高数据在公网的传输安全性,然后在AD上通过SSL卸载功能将https的数据包变成明文的http传输给服务器。
“可以使用ssl卸载功能在客户端与AD设备之间通过ssl进行加密”,严格来说:“SSL卸载”功能用于SSL解密,“SSL加密”功能用于SSL加密。乍一看这句话容易理解错误,让人混淆理解。
刘海涛 发表于 2023-2-28 09:45
  
果然是高手在民间,楼主帖子写的不错,很有参考价值,还想看更多精彩分享,期待楼主下一篇好帖!
深藏功与名 发表于 2021-5-20 16:29
  
为楼主点赞,希望楼主多多分享干货!
黄波 发表于 2020-2-23 23:29
  
太多了吧
头像被屏蔽
新手780102 发表于 2020-2-23 17:32
  
提示: 作者被禁止或删除 内容自动屏蔽
头像被屏蔽
新手031815 发表于 2020-2-23 17:25
  
提示: 作者被禁止或删除 内容自动屏蔽
头像被屏蔽
新手741261 发表于 2020-2-22 13:16
  
提示: 作者被禁止或删除 内容自动屏蔽
ly_lxl 发表于 2020-1-8 17:24
  
为楼主点赞,希望楼主多多分享干货!
新手111819 发表于 2019-11-15 14:20
  
为楼主点赞,希望楼主多多分享干货!
发表新帖
热门标签
全部标签>
技术盲盒
西北区每日一问
安全效果
干货满满
每日一问
技术笔记
新版本体验
【 社区to talk】
功能体验
技术咨询
产品连连看
GIF动图学习
标准化排查
2023技术争霸赛专题
每周精选
信服课堂视频
通用技术
自助服务平台操作指引
秒懂零信任
技术晨报
安装部署配置
答题自测
原创分享
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版达人

新手61940...

本周建议达人

zhao_HN

本周分享达人

ZSFKF

本周提问达人