AD技术原理及操作维护 专题学习
第一章:AD基础
课时1:AD基础维护
1、页面抓包
1.1使用背景
用于无法直观在页面进行查看状态和配置等排查问题的解决方法,主要用于排查数据包转发上的问题和了解用户业务处理流程等,如通过页面的节点池监控状态正常,但是业务异常等,需要同股哟抓包来排查业务故障的具体原因;如查看后台服务器之间业务的调用方式等。
1.2具体操作
【系统配置】-【调试排障】-【抓包排查】点击"开始抓包",设置指定条件即可。
支持自定义设置数据包数量、网络接口(支持同时指定多个网口)以及限制参数(IP地址和端口)等,并且支持多个抓包任务同时执行。
注:AD705版本才支持页面抓包且可以下载。
1.3常见案例
a、节点监视器故障
某客户的节点经常提示故障告警,节电池使用默认的HTTP监视器(间隔时间5秒,超时时间2秒,尝试次数3),告警日志。
通过页面抓包后,使用wireshark工具打开,直观看到服务器对于GET请求最终是回复的,但应答的时间为13秒,远超出默认的2秒,导致AD人为节点故障,进一步检查服务器健康状态即可。
b、IP地址冲突
某客户设备加入网络中业务断断续续,服务日志已打印冲突设备的MAC地址,但客户觉得没有说服力,可能是日志误报。
通过页面抓ARP包后,使用wireshark工具打开,非常直观看到AD主动发起免费ARP报文(源MAC是自己,目的IP也是自己),马上广播域中MAC地址的设备回复了ARP请求。证据确凿。
2、巡检操作
2.1巡检要点
(1)、外观检查
a、检查提示灯是是否正常,尤其是alarm灯是否常亮红灯或者高频率闪烁。
注:双机时,备机的alarm灯闪烁属于正常现象,其他情况下红灯需要注意。
b、检查电源运行是否正常,双电源设备如果其一出现故障,alarm指示灯会闪烁告警。
c、检查设备温度是否正常,长期处于高温环境下运行,网络设备很容易异常,需要尽快解决降温措施。
(2)、控制台检査
a、设备控制台([运行概览]-[设备状态])检查CPU使用是否正常,高于50%、周期性跌宕起伏等需要高度关注。
b、设备控制台([运行概览]-[设备状态])检查内存使用是否正常,AD设备内存为预分配机制[正常区间为60%-80%],但高于80%需要高度关注。
c、设备控制台([运行概览]-[日志查看])检查是否存在告警类的日志,主要关注查明原因。
d、控制台定期检查进程的运行状态,WebConsole命令行使用check,遇到异常的进程,可以拨打400-630-6430进一步确认。
(3)、巡检工具检查
a、巡检工具是单独开发的一套专业工具,用来检测设备各方面是否运行正常,请在深信服社(bbs.sangfor.com.cn)下载最新版巡检脚本,社区下载路径如下:【自助服务】-【软件下载】-【常用工具】-找到AD巡检工具进行下载。
b、巡检工具的使用方法,需要结合升级客户端工具配合操作,升级客户端工具下载地址:
http://download.sangfor.com.cn/download/product/tools/SANGFOR_Updater6.1.zip
2.2常见报错
进程运行异常类
---巡检结果提示ad_isp_update未运行。
解决办法:【资源管理】-【规则地址库】-【自动更新】中启用ISP地址集自动更新。
---巡检结果提示syslog-ng未运行。
解决办法:双机环境,备机该进程未运行属于正常现象,主机提示未运行请联系400-630-6430咨
询解决。
---补丁包缺失类
巡检结果提示补丁包未打上,如share_mem补丁。
解决办法:深信服社区下载对应版本的优化包。
2.3巡检报告
一般情况下给客户巡检完成,需要输出巡检报告,报告模板可移至社区(bbs.sangfor.com.cn)下载,
下载链接如下:
https://bbs.sangfor.com.cn/plugin.php?id=sangfor_databases:index&mod=viewdatabase&tid=57995&highlight=
3、WebConsole
3.1操作说明:【系统管理】-【通用配置】-【WebConsole】输入help或英文问号?可输出每个命令的帮助信息。
3.2常用案例
(1)、网络连通性类
某些场景下,需要验证设备到服务器的网络连通性,例如ping、sock(类似telnet)命令。
ping 检查网络的连通性是否正常;
sock 检查网络端口是否连通。
(2)、查看动态资源类
某些场景下,需要查看设备的动态资源,例如会话信息、CPU使用率、内存使用率等,详细命令使用按照格式即可。
session 查看会话信息;
check 检查进程健康状态;
(3)、配量开关类
某些场景下,需要开启或禁用某些功能,比如语音视频的ALG协议、七层虚拟服务开关等。
4、设备软件升级
4.1升级准备
(1)、确认软件升级授权是否过期
序列号时间过期无法直接升级。
(2)、确认定制信息,登录AD控制台-点击查看版本信息,如704版本打算升级到707。
如SANGFOR-AD-7.0.4版本信息有Custom-built开头标记一般为技术支持补丁包或软件定制包,有此标记的设备升级需要与技术支持中心进行确认与评估,切勿直接自行升级设备。此外,如果是网口扩容等硬件定制设备,也需要评估后才可升级。
(3)、升级前备份配置是防止升级异常,可以将配置直接导入备机顶替。
4.2升级操作
(1)、升级工具
升级统一工具:SANGFOR_Updater6.1
(2)、官方下载链接
http://download.sangfor.com.cn/download/product/tools/SANGFOR_Updater6.1.zip
(3)、升级客户端使用说明
https://bbs.sangfor.com/forum.php?mod=viewthread&tid=15739&highlight=
(4)、升级路线图
https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=10086
(5)、准备升级包
请从深信服社区下载升级包,并校验MD5值(百度MAD5校验工具),确保升级包的完整性。
(6)、官方下载链接
https://bbs.sangfor.com/plugin.php?id=service:download&action=view&fid=100000004384837#/100000016269212/all
4.3注意事项
(1)、升级之前确认项均没有问题,方可进行升级操作,否则可能出现未知的问题,导致客户业务持续异常。
(2)、往上升级到7.X版本一定要通过管理口(MANAGE)升级。
(3)、加载多个升级包升级时,每次重启大概5分钟左右,重启完之后先登录设备验证设备没问题在进行下一步升级。
---------------------------------------------------------------------------
课时2:AD网口基础知识
1、网口配置
在网口配置页面,我们可以看到网口的实时状态,即物理接线是否正常等。通常无需对网口配置做任何修改;
在此配置页面,我们可以按需调整接口的协商情况,默认使用AUTO和对端接口自动协商,但有时也会出现协商异常的情况,导致接口频繁UP DOWN。丢包严重等;
当根据一些现象判定设备和对端的网口协商异常时,我们可以尝试手动调整两边的接口模式来保证协商的一致性,通过点击下拉按钮选择对应的双工速率即可;
AD的电口支持干兆全双工,百兆全双工、百兆半双工、十兆全双工、十兆半双工的设置,默认为和对端协商自适应(建议为自动适应);如果是万兆光口等还可选其它速率等;
注:更改网口协商模式,可能导致业务异常,如有需要更改,请在客户业务量空闲的时候进行更改操作。
2、端口聚合
端口聚合可将多个物理接口当作一个单一的逻辑接口来处理,它允许两台设备之间通过多个接口并行连接同时传输数据以提供更高的带宽、更大的吞吐量和可恢复性的技术。主要有如下几个优点:
(1)增加带宽,带宽相当于组成组的接口的带宽总和;
(2)增加冗余,只要组内不是所有的接口都故障,两个设备之间仍然可以继续通信;
(3)负载均衡,可以在组内的接口上配置,使流量可以在这些接口上按照对应算法自动进行负载均衡;
选择想要聚合的网口,只能选择选择物理口将多个物理口做聚合,成为一个逻辑口:
绑定策略:哈希(静态)、轮询(静态)、802.3ad(动态LACP)、冗余双网卡(静态);
注:电口与电口聚合、光口与光口聚合、千兆与千兆聚合、万兆与万兆聚合。
3、VLAN子接口
VLAN子接口可用于如下场景:
(1)、某些环境下与AD设备对接的网口为TRUNK口,要求AD设备对应的接口也可以封装VLAN划分子接口,此时需要配置VLAN子接口;
(2)、某些客户没有三层交换机想要实现内网不同VLAN之间的路由互通,需要实现三层交换功能,此时可以通过配置VLAN子接口和对端交换机TRUNK互通实现;
(3)、某些客户做旁路部署时,设备物理上只接了一根线,但想在这个线路上配置多个网段的IP,这些IP所属在不同VLAN中,此时我们可以根据IP所属的VLAN信息配置对应的VLAN子接口和交换机做TRUNK对接;
可选物理口或聚合口划分vlan子接口;VLAN ID需要和对端对接的设备上的VLAN号保持一致;
4、端口桥接
在一些较复杂的网络结构中,需要AD设备能将两个口划分到一个广播域内,相当于将AD设备的多个口组合成一个二层交换机。此时需要使用到桥接网口功能。
可选任意可用的接口(物理网口、聚合口、vlan子接口等);桥接口可开启STP,如果识别到桥接后的接口上存在环路,可通过开启STP来避免;
5、小测试
(1)、交换机接口使用ACCESS接口时,AD设备该如何对接?TRUNK接口呢?
答:如果对端使用ACCESS接口,AD设备直接使用普通的物理网口对接即可;如果对端是TRUNK那么需要在AD上启用vlan子接口进行对接;
(2)、客户出口有1条2G带宽的线路,AD没有万兆口的情况下该如何部署如何配置才能将所有带宽使用起来?
答:将2个千兆网口口进行聚合使用(聚合策略需要与对端对接的设备保持一致);
(3)、如果发现两台设备之间直连同网段地址互ping时丢包很严重,网线也尝试更换过但是没有效果,此时可以尝试的做法是?
答:查看是否网口模式协商的有问题,尝试故障网口模式或尝试更换网口测试;
(4)、如果客户没有条件在内网测试链路负载是否正常,希望直接拿台测试PC接在AD的LAN口上去测试上网是否正常;但是AD设备上内网口是聚合口,请问该如何最小的调整配置可以让测试PC直接接AD设备的LAN口进行测试?
答:将聚合口与空闲的普通网口进行桥接,并把配置的IP地址改到此桥接的网口上即可;
---------------------------------------------------------------------------
第二章:AD部署
课时3:单臂(旁路)部署
1、AD单臂部署介绍
单臂模式介绍
(1)、配置AD设备时不需在界面上选择部署模式,以什么方式接入客户的网络就是什么部署模式。如视频,AD设备接入方式即为单臂部署。
(2)、单臂部署不需要改动原有网络结构,单臂环境下AD设备可实现服务器负载和入站链路负载。不支持出站链路负载。
(3)、AD设备单臂部署时,必须连接WAN口到交换机WAN口可以和服务器在同一网段如果不在同网段,则需要保证AD和服务器路由可达。
(4)、若服务需要发布到公网“需要在边界出口设备上做端口映射给AD设备(全映射或者服务器相关应用端口);
2、AD单臂部署配置
单臂模式部署案例
用户需求:
不希望改变原来的网络拓扑结构,内网多台服务器要做服务器负载。此需求可以选择单臂部署。
网络环境:
网络出口是防火墙设备,外网只有一条公网线路。
单臂部署案例配置思路
配置思路:
(1)、配置AD WAN口信息,【网路配置】-【网络接口】,配置设备网口(WAN口)地址。
(2)、若需要通过WAN口的IP地址登录设备控制台,则需要启用远程维护,在【系统配置】-【设备管理】-【管理网口】-启用远程维护。(注意:7.X以下版本还需要同时启用WAN口入站路由转发,【网络配置】-【网络安全】-【高级配置】-启用WAN口入站路由转发。)
(3)、AD上启用源地址转换功能(使服务器看到的源IP是AD,服务器回包会回给AD,保证来回数据都经过AD).源地址转换可以在【网络配置】-【源地址转换】中进行配置,也可以虚拟服务中启用自动SNAT。
(4)、若服务需要发布到公网,需要在边界出口设备上做的端口映射给AD设备(全映射或者服务器相关应用端口)。
3、注意事项
(1)、单臂(旁路)部署创建网口必须选择WAN属性。
(2)、AD单臂部署接核心交换机,AD接口与服务器不通网段,ADWAN接口有配置网关指向核心,则AD无需配置静态路由,只需保障核心有去往服务器的路由即可。
(3)、若服务需要发布到公网,需要在边界出口设备上做的端口映射给AD设备。
(4)、若需要通过WAN口的IP地址登录设备控制台,则需要启用远程维护。
(注意:7.X以下版本还需要同时启用WAN口入站路由转发)。
---------------------------------------------------------------------------
课时4:网关(路由)部署
网关(路由)模式部署
1、AD网关部署介绍
网关模式介绍
AD网关(路由)模式是一种常见的部署方式,把AD设备作为一个路由设备使用,一般是把AD设备放在网关出口的位置,或者放在前置路由器后面。设备直接接入网络边界 启用NAT代理上网等功能,防火墙做透明模式。
应用场景:适合新建网络或者替代原有出口路由器或者防火墙。部署时改动较大,需内网规划IP段和添加相应的路由。
网关模式下可实现入站链路负载、出站链路负载、服务器负载。
2、AD网关部署配置
网关模式部署案例与配置
用户需求:
某客户网络拓扑如视频,客户有电信和联通两条各为100M的互联网线路,希望实现代理内网上网和智能选路,内网访问联通服务器走联通线路,访问电信服务器走电信线路。AD采用网关部署。
网络环境:
两条外网线路,内网有用户和服务器群,防火墙透明部署。
配置思路:
(1)、配置设备外网口(WAN口)和内网口(LAN口)地址。
(2)、内网若有多网段环境,添加静态路由回指给设备下接的核心交换机。
(3)、配置代理上网(源地址转换)。
(4)、配置智能路由。
3、注意事项
(1)、AD网关(路由)模式适合新建网络或者替代原有出口路由器或者防火墙.部署时改动较大,需内网规划IP段和添加相应的路由.
(2)、如果内网二层环境,则不需要添加静态路由,将内网设备的网关指向AD设备的LAN口IP即可。若为三层环境则需要配置静态路由以保证AD与用户网段能够进行通信。(如果只是简单的PC上网,可不用配置回包路由,设备有对称路由的功能【网络配置】-【网络安全】-【高级配置】。一般建议写上静态路由,AD设备主动跟内网设备通信是需要
查路由的,比如:端口映射,节点监视等)
---------------------------------------------------------------------------
课时5:AD高可用主备模式1
主备模式原理及配置
1、主备模式介绍
两台AD双机部署,一台设备处于工作状态,另外一台处于冷备状态;两台设备同过心跳口检测对端是否存在并同步配置及会话;当主设备出现问题触发切换条件时,设备会自动把业务切换到备设备,并且通过会话同步等机制,保证业务不断;从而实现业务稳定的运行。
A设备,目前是主机,上网都是从这个设备出去;
B设备,目前是备机,网口处于不发包的状态;
心跳口实时监测对端是否存在并同步配置及会话给B设备;
A设备,突然内网口出现故障,出发了主备切换条件;
此时B设备成为主机,保证内网业务不受影响;
主备模式部署
AD设备各种部署模式均支持双机热备。路由模式双机热备典型拓扑和旁路模式双机热备典型拓扑;
组建双机条件:
(1)、要求硬件平台必须一致;
(2)、授权必须要一致(除升级序列号之外的序列号授权一致);
(3)、软件版本信息必须一致(appversion完全一致);
2、主备模式基本元素
心跳口(HA)
故障切换(基础&高配置)
同步对象
联动配置
(1)主备模式基本元素-心跳口
心跳口也就是HA口,主要功能:检测对端是否还存活,通常两台设备的心跳口通过网线直连,并通过周期性的发送心跳口包来检测对端是否存活,并且有冗余保障机制;
心跳设置一般包括:主心跳口、备心跳口、超时时间、间隔时间、心跳口故障检测;
主心跳口:选择面板上的网口作为主HA,IP地址不要与内网网段冲突;用于配置同步及心跳检测;
备心跳口:建议选择管理口(manage口)IP地址可从接口上选择;主要用来作为主心跳口的冗余保障机制,不支持会话同步;
超时时间:心跳口在多少时间内没有收到对方的心跳包应答,将会将此心跳口连接状态置为离线;
间隔时间:心跳包发送的时间间隔,即每隔多少毫秒发送一次心跳包;
心跳口故障检测:在所有心跳口的失效的情况下,通过下拉框所选的网口(业务口)来检测对端是否在线,相当于在备份心跳口上再做了一次冗余备份机制;
(2)主备模式基本元素-故障切换
用来检测主设备发生故障时,进行主备切换保证业务连续稳定的运行;切换条件可根据用户自己的需求进行自定义。
故障切换条件:全部对象、任意几个、自定义三种;
全部对象:已选框里面的链路处于离线状态时进行主备切换;一般用于线路数较少或只有WAN属性线路场景;
任意几个:已选框里面的链路任意几个达到设置的值的链路处于离线状态时会进行主备切换;一般用于只有WAN属性线路场景;
自定义:根据需求自定义切换规则,当自定义的链路处于离线状态时进行主备切换;适用于任何场景,一般建议使用自定义规则来进行切换;
无论选择何种切换条件,都是选择的链路处于离线状态时进行切换,链路是否离线依赖的是网络接口的链路IP的配量,所以无论设置何种属性的接口时一定要设置好接口的健康检查。
隐含的切换条件:主设备在磁盘损坏、核心进程(如:appd)故障、设备宕机、重启等引起心跳超时时也会进行主备切换;
(3)主备模式基本元素-故障切换-监视器级别检测
监视器级别检测:勾选上此选项设备业务状态会考通电状态;不勾选此选项设备业务状态只会关注网口通电状态;一般没有特殊要求的情况下建议两台设备都勾选上。
(4)主备模式基本元素-故障切换-主动抢占
主动抢占:建议关闭,如客户需要测试此功能在开启测试。
功能说明:
抢占功能为AD7.0.3新增功能,假设两台设备都处于健康状态,优先选择下拉框内选择的设备为主机;当前抢占设备为主机且状态健康时候,手动切换主备不成功,控制台双机界面会有提示。
注意:
a、当备机网口掉电选择:永久掉电情况下此选项不可用,因为此时备机网口一直都是网口故障状态,不可能恢复健康,所以无法变健康再抢占。
b、在客户没有要求的情况下,不建议启用此功能。
(4)主备模式基本元素-故障切换-主自动清除故障时间
自动清除故障时间:由于备机没有检测能力(备机网口只收包不发包)所以设置自动清除故障时间,,当因为链路故障导致主备切换,等到了自动清除故障时间后会自动恢复为健康状态;
比如:A是主,B是备,由于线路1链路离线,主备切换;此时主是B 备是A,且双机状态界面显示A是链路故障,如果此时主B发生链路故障是不会进行双机切换的;设置的自动清除故障时间5分钟,那么等5分钟之后,双机界面显示A是健康,如果此时主B发现链路故障会进行主备切换;
(5)主备模式基本元素-同步对象-会话同步
目前A是主机,在跑业务;
B是备机,网口处于不发包的状态;
A设备内网线路不通(网口还通电),故障切换条件设置了此条件发生主备切换;
设备上没有启用会话同步,主备发生了切换,此时B设备是主机;
内网用户需要再次刷新网页才可以;
启用了MAC地址同步,减少ARP表更新的时间,备机能更快的接管业务;
保证主备切换时,业务能快速转移到备机且不引起业务中断;
---------------------------------------------------------------------------
课时6:AD高可用主备模式2
(6)主备模式基本元素-同步对象
会话同步:此功能用于开启是否将主机当前会话连接、同步到备机、以便主机发生故障后、快速切换到备机、且客户连接不会失败。
注意:
a、会话保持记录同步不受这个开关控制,双机默认会同步会话保持记录;
b、开关开启后,支持三四层虚拟服务连接跟踪同步;支持snat/dnat连接跟踪同步,支持链路负载连接跟踪同步;同步连接跟踪仅支持TCP UDP协议;
全状态同步:此选项为会话同步的子选项,具体功能为:TCP连接拥有多种连接状态,如果只开启会话同步而不开启全状态同步,则会话同步过程中,主机只会将TCP状态为established状态的连接同步给备机。如果开启全状态同步,则所有状态的连接都会同步给备机。开启和不开启的效果为:开启后,可最大限度保证双机切换时客户连接无失败。不开启可能会有极小概率的失败。
MAC同步开启后,下面选择框内的已选择网口,主备机将会使用相同的虚拟mac,保证在发生主备切换的时候,备机直接接管主机的IP和MAC,这样网络设备就不需要更新ARP缓存,只需要更新交换机端口与MAC地址对应表(即交换机转发表),解决了同VLAN所有网络设备更新ARP缓存带来风险,也加快了备机业务上线时间。
(7)主备模式基本元素-联动配置
备机down网口,这一选项配置,对于独立部署双机的客户,配置默认值即可;这里面的配置选项都是在多产品(AD、AF、AC等)双机联合部署时,为了保证联动一致性增加功能。
功能说明:
网口掉电x秒:多产品联动部署,都选择配置这个选项;成为备机后,使掉电网口列表中网口掉电X秒,及时通知联动的设备,AD设备发生主备切换了,需要联动进行切换。
网口永久掉电:特殊客户,期望备机的网口就不通电,选择这个配置;
注意:心跳口及心跳口故障检测是不会掉电的。
down网口列表:
双机备机掉电和设备联动掉电,就是使这个列表中选择的网口掉电;
默认值:列表为空。
注意:多产品联动场景部署中,一般配置掉电网口为与其他产品直连的那个网口。详细部署配置可以见多产品双机联动部署最佳实践。
备机交换口:AD双机测试时,建议关闭;
功能说明:开启后,备机的switch口将会生效,具有数据转发功能;
注意:
a、当备机网口掉电选择:永久掉电情况下此选项不可用,原因是备机网口在永久掉电的情况下无法通信;
b、此功能只有在多产品联合部署场景下会使用,默认情况下禁用。具体与其他产品线(AF、AC)组合双机就不再详细展开。
主备模式-小测试
双机部署,没有勾选检测器级别检测,此时链路发生故障(正常通电),会不会发生主备切换?
答:不会。没有勾选检测器级别检测,业务状态只会关心网口是否通电,而不会关心网口链路是否发生故障,所以不会发生主备切换。
3、双机状态:
双机状态包括:主备状态、设备状态和业务状态,通过此处可以判断目前设备的一个整体情况。
设备状态分为:在线、警告、故隙、沉状、离线。在本端或对端设备因为某些原因状态不是在线时,会显示对应的状态原因;
设备状态对应的原因关系:
设备状态在线:正常;
设备状态告警:心跳口故障或设备心跳口故障;
设备状态故障:批量同步;
设备状态沉默:设备脑裂或设备版本比较低;
设备状态离线:设备心跳口故障;
业务状态主要是根据每台设备依据配置的故障切换条件计算出一个设备业务健康状态;
业务状态健康:说明未启用故障切换,默认健康;或启用故障切换,且根据故障切换配置条件计算出来结果为健康;
业务状态监视器故障:说明必须启用了双机故障切换,且启用了强监视器设备才有这个状态;或链路监视器故障,且满足了故障切换条件,设备业务状态就是监视器故障状态;
业务状态网口故障:说明了启用双机故障切换,不论是强监视器还是弱监视器设备,链路应用网口掉电且满足故障切换条件,设备的业务状态就是网口故障状态;
业务状态无效:说明当设备状态为离线、故障、沉默时候,设备不具备有承担业务的能力,当前业务状态为无效;
4、故障切换场景梳理
主机和备机勾选了监视器级别检测:
注意:主备都有3种状态;健康、监视故障、网口故障;主机或备机业务状态发生变化都可能触发主备切换;
主机勾选监视器级别检测,备机未勾选:
注意:主机3种状态:健康、监视故障、网口故障;备机只有2种状态:健康、网口故障;
主机和备机都未勾选监视器级别检测:
注意:主机和备机都只有2种状态:健康、网口故障;此种配置下设备业务状态只取决网口通电状态;(监视器上报监视故障,业务状态此时还是健康)
主备模式-案例1
某客户想使用AD做服务器负载并且实现备份,在某一台设备出现故障时,另外一台设备可以承接业务;由于目前内网的网络环境已经规划好,想在对现有网络影响最小的情况下,实现需求,如果你是负责的功能是,请设计AD的部署,并给出配置方法。
AD解决方案思路分析:
客户想对现有网络影响最小,AD一般有两种部署模式:旁路与网关,结合客户想要实现的功能:服务器负载,针对这种情况,我们比较倾向旁路;客户还想实现备份冗余,那可以采用旁路双机部署(集群使用场景暂不考虑);
AD配置思路如下:
(1)、其中一台设备当成主机,先配置网络配置,旁路部署(设置一个wan属性口,此处省略);
(2)、配高可用性界面,本台设备设置成主机,按照需求进行设置:设备名称、运行角色、心跳口、故障切换;
(3)、将2台设备的心跳口相连接,配置另外一台设备,启用双机,设置成备机;之后设置:设备名称、主备心跳口(与主机选择的接口一致),其他信息通过主机进行同步;配置完毕,确保双机及配置同步正常;
(4)、接主机业务线,确保内网业务正常;再接备机的业务线即可;
主备模式-案例2
某客户想将AD部署在出口做链路负载+服务器负裁;网络环境:外网3条线路,内网2条;想要实现:备份冗余(不能出现单点故障),外网线路任意2条出现故障或内网线路任意一条出现故陣就进行切换;请问该如何部署AD设备?
AD解决方案思路分析如下:
(1)、出口部署,想实现备份冗余,这种情况下一般采用网关双机(集群场景暂不考虑),想要实现的切换方式需要自定义故障切换;
(2)、评估设备网口是否够用:业务口需要5个,主心跳口1个,备心跳口使用管理口即可,那么至少需要6个网口+管理口(一般设备够用,但是在客户线路较多的情况下,需要事先做好评估);
---------------------------------------------------------------------------
第三章:AD功能使用及技术原理介绍
课时7:DNS代理-1
DNS代理需求
某公司2条出口链路:电信50M,联通50M,内网用户上网:①不能跨运营商访问;②两路链路都要使用请起来,且出站链路流量负载均衡;
什么叫DNS代理?
AD有电信、联通2条俩路,可以去电信DNS1解析,也可以去联通DNS2解析,当用户PC填的DNS为电信的DNS1,没有启用DNS代理时,该用户上网,解析到的IP基本为电信的IP;假如启用了DNS代理,那么该PC上网时,AD会截取该用户A记录请求,然后同本身规则,向电信或者联通发起域名请求。
DNS代理配置
AD启用DNS代理;
PC的DNS设置:PC的DNS必须是AD监听的地址或者是DNS服务器列表里面的IP地址;
---------------------------------------------------------------------------
课时8:DNS代理-2
AD选择策略:轮询、加权轮询、加权最小流量、优先级;
DNS代理、前置调度策略、内网DNS记录、
AD查询DNS代理记录:dproxy_cmd dump_ldns_ps
AD清除DNS代理缓存:dproxy_cmd fiush_ldns_ps
演示内容
(1)、不同客户端的DNS一样,解析同一个域名,获取不同IP地址;
(2)、前置调度策略;
(3)、内网DNS记录;
(4)、DNS自动检测机制;
---------------------------------------------------------------------------
课时9:智能路由原理、场景及配置
1、智能路由基本原理
出口具有多条外网线路时,根据源目IP、源目端口、链路选择策略等条件,设定基于某些策略的路由,以确定数据从哪个WAN口转发,实现智能选路功能,达到对多链路实现流量分隔,优化带宽的目的。该功能可以单独使用,推荐结合DNS代理一起使用。
基本原理--链路选择策略原理
链路选择策略原理说明:
轮询:轮流调度已选择的链路,机会均等。
带宽比例:根据每条链路的带宽比例,选择链路的几率与该链路的上下行带宽之和成正比。
加权最小流量:选择带宽利用率(当前流量/上下行带宽之和)最小的链路。
动态就近性:通过各条链路探测到目的地址的RTT,根据探测得到的RTT,选择RTT值最小的链路。
加权源IP哈希:根据每条链路的带宽比例,不同源IP选择链路的几率与该链路的上下行带宽之和成正比。
如果拥有多条同一个运营商的链路,可考虑使用轮询。
如果链路之间的带宽差异比较大,可考虑使用带宽比例或加权最小流量。
2、智能路由其他功能项
(1)智能路由其他功能--会话保持
AD设备的智能路由不需要专门配置会话保持策略,默认会按照源和目的地址进行会话保持。可以修改出站会话保持的子网掩码以及超时时间。
AD通过此子网掩码和目的IP进行与运算得到一个网络号并形成一条出站会话保持记录,后续这个终端访问的目标经过计算后得到相同网络号则匹配出站会话保持进行选路。
(2)智能路由其他功能--清除会话保持
输入需要查询的IP,查询相关的会话保持,选择需要清除的会话保持进行清除。也可以等待会话保持的超时时间过去后自动清除。
(3)智能路由其他功能--路由测试
在智能路由界面,也可以进行智能路由的配置测试。输入源目地址及协议等条件。进行测试查看測试结果与配置逻辑是否符合,在界面上可进行初步的检验与排查。
需要注意的是智能路由是按照顺序匹配的。当测试结果与设想不一致时,需要检查希望匹配的智能路由的位置是否靠前。
3、智能路由与DNS代理典型场景
客户出口三条外网线路,电信、联通和教育网,现在想要实现内网用户解析流量链路负载,同时部分内网提供服务的域名直接解析成内网服务器的地址,部分域名必须要走教育网的DNS去解析。
同时为了避免这些上网线路流量分配不合理。需要实现内网访问电信服务器的流量通过电信线路去访问,访问联通服务器的流量从联通线去访问,访问教育网服务器的流量从教育网线去访问,其余的流量按照这三条外网线路的流量情况,从最小流量的线路出去访问。
智能路由与DNS代理解决方案
路由模式部署AD于网络出口,防火墙以透明模式部署到AD与核心之间。
启用DNS代理来代理内网终端DNS请求。通过优先代理策略实现部分域名走教育网的DNS去解析,使用内网DNS记录实现部分内网提供服务的域名直接解析成内网服务器的地址,其余解析流量按照选择策略进行DNS代理。
启用智能路由做上网流量的链路负载。根据ISP地址段选择不同的链路上网,其余流量使用加权最小流量进行链路选择,可以实现上述需求。
4、智能路由与DNS代理结合基本配置
配置思路:
(1)、基础网络配置:配置LAN口、WAN1、WAN2口IP地址等基础网络配置。
(2)、配置DNS代理功能:启用DNS代理,并配置基本DNS代理功能。
——启用优先代理策略,设置jyw.abc.com域名走教育网202.38.64.1进行解析。
(3)、配置智能路由:根据ISP地址段进行选路。
配置步骤:
(1)、基础网络配置
(2)、配置DNS代理
配置DNS代理--优选代理策略
配置DNS代理--内网DNS记录
(3)、配置智能路由
注意:配置完成。智能路由的匹配顺序是由上往下匹配,可以调整规划的顺序。
5、小测试
1、智能路由如果不是按照运营商进行选路,而是按照域名集或者应用类型选择,该怎么配置?
答、目的类型选择域名集,然后引用自定义的域名集即可。
2、智能路由的链路繁忙保护作用是什么?
答、AD智能路由启用链路繁忙保护时,若该条智能路由里的某条链路处于繁忙状态,则不选择这条链路,选择状态为不繁忙的链路。如果该智能路由规则的所有链路均繁忙,则匹配链路调度失败的默认动作(匹配下一条智能路由或者直接做丢弃处理),而链路的繁忙与【网络接口】-【链路带宽】设定的繁忙比例也有关系,比例设置越低,同样条件的链路越容易触发繁忙状态。
---------------------------------------------------------------------------
课时10:虚拟服务基本原理及配置
1、原理讲解
AD节点选择策略:
(1)、轮询:轮流选择节点池内节点,机会均等。
(2)、加权轮询:按照每个节点的权重比例,选择每个节点的机会与其权重成正比,权重越高的节点,被选中的几率越大。
(3)、加权最少连接:选择(连接数/权重)最小的节点。
(4)、最快响应时间:节点监视器探测每个节点以获取节点响应时间,响应时间越小,被选择的机会越大。
(5)、动态反馈:节点监视器通过SNMP监视节点负载,根据节点负载动态改变其权值,使负载轻的节点获
得更多的选择机会,负载重的节点获得较少的选择机会,从而达到各个节点的负载均衡。
(6)、优先级:优先调度优先级高的节点,优先级高的节点不可用时才会调度到下一级节点。
(7)、哈希:根据哈希的关键字(IP_PORT,SRC_IP,URI,HOST)经过哈希运算得到哈希值,使不同的关键字尽可能平均调度节点池中各个节点,相同关键字的访问调度到同一个节点。
2、注意事项
(1)、会话保持优先级高,测试过程中需要取消关联会话保持。
(2)、加权轮询测试时,权重需要按比例设置,否则效果为轮询。
(3)、动态反馈需要结合SNMP监视同时使用。
(4)、优先级只有等待节点不可用才会调度低的节点,节点繁忙不人为不可用。
3、会话保持用途
通过不同的实现方法,最终实现在会话记录有效时间内,类似的来源请求都可以调度分配到同一个节点上,实现一些会话的连贯,整个虚拟服务的正常访问。
(1)、SourceIP(源IP)
根据记录相同的IP地址来源,形成一张会话记录表,后续的连接过来优先查询该记录表,实现相同源IP地址在生效时间内都调度到同一个节点。
注意事项:sourceip会话保持需要注意掩码,会话记录表统计的是源ip地址和掩码与运算后的网络地址。
(2)、cookie插入
在服务器的HTTP应答的头部中插入一个cookie,记录被调度的服务器。最基本的cookie会话保持,比如值为类似88598220的随机数字。
(3)、cookie改写流程回顾
a、节点服务器返回的HTTP应答是已经携带cookie信息,比如Set-Cookie:sangfor1=88598220;path=/
b、服务器HTTP应答经过AD设备后被改写cookie字段,比如Set-Cookie:sangfor1=SANGFOR_98184645_88598220;path=/
c、客户端再次访问,携带上该cookie信息经过AD分发,优先查询cookie记录表,从而匹配上一次的节点;
d、脱去改写的帽子,再转发给节点,实现服务器的透明;
(4)、cookie被动流程回顾
a、节点服务器返回的HTTP应答是已经携带cookie信息,例如Set-Cookie:sangfor1=88598220; path=/
b、服务器HTTP应答经过AD设备,AD将cookie值转换成一个哈希值例如%¥&#.然后会把这个哈希值与当前调度的节点一起插入到会话保持记录中,例如:<%¥&#,node1>
c、客户端再次访问,携带上该cookie信息Set-Cookie:sangfor1=88598220; path=/发现cookie方式为被动,则使用
cookie值进行同样的哈希运算得到值%¥&#
d、根据上面计算出来的哈希%¥&。#再去会话记录表中查询,发现存在记录匹配node1节点。
(5)、cookie改写与被动异同点
相同点:
a、节点服务器都已经携带了自身的cookie信息:
b、最终由AD转发给节点,携带的cookie信息和服务器初次应答的一致,对服务器而言透明化;
不同点:
a、改写方式是AD针对服务器的应答修改了cookie信息,转发给客户端,同时AD自己维持一张记录表;
b、被动方式是AD针对服务器的应答cookie值做了哈希计算,形成哈希值与节点对应关系的记录表;
c、改写方式客户端看到的cookie不是服务器的真实cookie值,被动反之!
综上可知,客户端的应用如果对cookie有校验,则必须用cookie被动。
---------------------------------------------------------------------------
课时11:AD全局负载_单站点
DNS记录选择类别:
MX记录(邮件交換记录,用于电子邮件系统发邮件时定位邮件服务器)
NS记录(是域名服务器记录,用来指定该域名由哪个S服务器来进行解析)
SRV记录(是服务器资源记录,用于记录一个服务器能够提供什么样的服务)
CNAME记录(也被称为规范名字,这种记录允许您将多个名字映射到同一台计算机)
TXT记录(一般指为某个主机名或域名设置的说明)
PTR记录(指针记录,引导至一个规范域名,常用来进行反向DMS查询)
SOA记录(SOM资源记录表明此DNS名称服务器是DNS域中的数据信息的最佳来原)
A记录(用来指定域名对应的IPv4地址记录)
1、MX(Mail Exchanger)记录
邮件交换记录,它指向一个邮件服务器,用于电子邮件系统发邮件时根据收信人的地址后缀来定位邮件服务器。MX记录也叫做邮件路由记录,用户可以将该域名下的邮件服务器指向到自己的mail server上,然后即可自行操控所有的邮箱设置。
2、NS(Name Server)记录
NS记录是域名服务器记录,用来指定该域名由哪个DNS服务器来进行解析。
3、CNAME记录
别名记录(CNAME),也被称为规范名字,这种记录允许您将多个名字映射到同一台计算机。
4、PTR记录
PTR记录,是电子邮件系统中的邮件交换记录的一种;另种邮件交换记录是A记录(在IPv4协议中)或AAAA记录(在IPv6协议中)。PTR记录常被用于反向地址解析。
5、TXT记录
TXT记录一般指为某个主机名或域名设置的说明。
6、SOA记录
DNS服务器里有两个比较重要的记录。一个叫SOA记录(起始授权机构)一个叫NS(Name Server)记录(域名服务器)。SOA记录表明了DNS服务器之间的关系。SOA记录表明了谁是这个区域的所有者。比如51CTO.COM这个区域。一个DNS服务器安装后,需要创建一个区域,以后这个区域的查询解析,都是通过DNS服务器来完成的。现在来说一下所有者,我这里所说的所有者,就是谁对这个区域有修改权利。常见的DNS服务器只能创建一个标准区域,然后可以创建很多个辅助区域。标准区域是可以读写修改的。而辅助区域只能通过标准区域复制来完成,不能在辅助区域中进行修改。而创建标准区域的DNS就会有SOA记录,或者准确说SOA记录中的主机地址一定是这个标准区域的服务器IP地址。
7、SRV记录
DNS服务器的数据库中支持的一种资源记录的类型,它记录了哪台计算机提供了哪个服务这么一个简单的信息。
域名的标准格式:
服务.协议.域名
服务是_http,协议是_tcp,域名是abc.com,那么SRV记录域名的格式如下:
_http._tcp.abc.com
8、A记录
A记录用来指定域名对应的IPv4地址记录。
---------------------------------------------------------------------------
课时12:AD全局负载_多站点
AD全局智能DNS
1、需求场景
客户在各地都部署了多台服务器并申请了双线路,希望能就近接入,同时根据客户端线路接入,另外客户还想做服务器负载。客户在域名提供商那里设置了相应A记录,直接指向了各地服务器IP。测试一段时间以后,客户发现有2个问题:
(1)、某节点故障后,客户端仍有可能解析到该地址,导致用户无法正常访问。(域名提供商没有检查手段)
(2)、北京网通的用户有时会解析出广州电信的地址,造成访问慢,影响用户体验。
(域名提供商调度IP时只有类似随机或轮询等简单算法)
既然域名提供商办法不多,那就上设备吧。让域名提供商将NS记录指向AD,AD设备充当DNS服务器。
单站点部署AD可以根据客户端线路选择返回的IP,但单台设备没有冗余,出故障会影响整个业务,客户还要做服务器负载,单台AD没法满足需求。
全局入站负载基于地域和ISP的分布式部署,各设备之间同步配置,一体化工作。从物理上保障可靠性,提供故障检测手段,同时又通过算法保障接入速度。
2、原理介绍
A记录:用来指定主机名(或域名)对应的IP地址。
NS记录:域名服务器记录,用来指定该域名由哪个DNS服务器来进行解析。
3、案例讲解演示
(1)、正常北部用户调度到北京数据中心,且电信返回电信,联通返回联通,其他则返回电信;南部用户调度到深数据中心,且电信返回电信,联通返回联通,其他则返回电信;
(2)、模拟北京数据中心单线路故障的调度实情;
(3)、模拟北京数据中心双线路故障的调度实情;
(4)、虚拟IP池合理监视及注意事项:
a、监视器引用虚拟服务监视器;
b、新建的监视器不会同步;
4、注意事项
(1)、DNS配置同步端口TCP558,Server&Client关系;
(2)、全局智能DNS只会同步全局相关配置;
(3)、参与全局同步设备的系统时间不能相差太大;
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2021-1-3 11:53
技术员2级 
