一、ADC—應用交付
1.1 作用
負載均衡:服務器負載、鏈路負載、全局負載;
業務改造:網站IPv6改造、網站HTTPS改造;
網站加速:協議加速、內容加速。
1.1.1 詳細劃分
服務器負載:
--基於域名的七層負載均衡、應用健康檢查,提升服務器集羣的使用效率,平滑擴展服務能力;
--AX提供多重健康檢測技術:基於網絡和傳輸層的ICMP、TCP-ECHO等方式、檢查連通性、基於應用層的方式,TCP、UDP、HTTP、HTTPS、DNS、SMTP、POP3等、基於內容自定義與第三方腳本實現;
--AX提供豐富的調度算法(L4調度算法):分析業務流量P/Port,基於預定策略進行分配、靜態算法:輪詢、加權輪詢、IP哈希等、動態算法:最小連接、最快響應等;
--AX提供個性化的調度算法(L7調度算法):分析http請求,基於URL、Cookie、Method等進行調度、基於不同的七層策略規則、調度到不同服務器;
鏈路負載均衡:被動探測技術,監測鏈路質量並調整流量,指定不同應用(視頻、P2P2下載)選擇不同鏈路(動態鏈路切換、應用引流)
全局負載均衡和應用雙活:在多數據中心節點之間實現資源就近訪問和應用層的負載均衡,可與山石網科防火牆的孿生模式結合;
網站IPv6改造:國內領先的IPv6溯源技術,記錄L7應用層日誌
網站HTTPS業務改造:專用硬件SSL卸載,業界領先的SSL處理性能,內網WAF/IPS只需處理沒銘文流量,無額外消耗,支持過密SM2/SM3/SM4算法;[HTTP明文傳輸暴露用戶名密碼等敏感信息]
傳統服務器SSL加密的缺陷:性能低、證書管理複雜、WAF/IPS等處理HTTPS流量成本高。
應用性能優化:多種性能優化技術,提升服務器的響應速度和傳輸性能,通過連接池技術,平滑處理浪涌流量。
雙向流量的處理:僅需部署一臺設備在網絡邊界即可實現
會話保持技術:源IP、Cookie、SSL ID、URL哈希、首部哈希等算法、基於不同調度需求,實現同一規則調度到相同服務器
入站負載 Smart DNS:基於鏈路狀態、源地址等條件、選擇最優的鏈路地址、用戶獲得最優鏈路地址、向最優鏈路地址發起業務訪問
二、支持項目
支持IPv6 SLB、支持出站負載均衡、支持入站負載均衡--SmartDNS、支持DNS代理
2.1.1 AX推薦網站升級IPv6適用方案(均爲反向代理模式:和兩端設備分別連接,應用層清晰可見,支持轉換)
2.1.1.1 方案1—服務器是單一的IPv4,AX做反向代理提供IPv6地址
優勢:
1、保護用戶已有投資:服務器無需修改和替換,依然處理IPv4業務,AX部署在內網服務器前,對內網或外網用戶訪問服務器都可以提供IPv6業務,而防火牆一般部署在網絡邊界,NAT-PT只能提供外網用戶到內網服務器的轉換;
2、識別HTTP中的IPv4地址並改寫成IPv6地址:NAT-PT只能做網絡層轉換,不能進行深度識別;
3、IPv4用戶訪問222.test.com,dns返回1.1.1.1,IPv4用戶直接訪問,不經過AX,IPv6用戶訪問時經過AX;
2.1.1.2 方案2—IPv4和IPv6服務器共同組成集羣,AX支持同時負載均衡
優勢;
1、IPv4和IPv6服務器靈活組合:AX可以靈活控制HTTP業務單獨由後臺的IPv4服務器提供(更穩定),或者單獨由IPv6服務器提供(更符合合規性),或者二者同時提供,可以直觀的展現升級後網站的IPv4訪問量和IPv6訪問量,便於用戶瞭解升級效果;
2、升級過程業務不中斷:服務器增量升級,先新增IPv6雙棧服務器,再逐漸下架老舊IPv4服務器,AX支持後臺IPv4/IPv6雙棧服務器,AX溫暖上線和溫暖下線技術,保證新增和下架服務器不影響已有用戶業務;
2.2 LLB出站負載均衡
根據延遲、丟包、抖動、帶寬四個因素計算子網在不同鏈路的權重,沒計算出權重之前,是ECMP;
檢查TCP流量,不檢查UDP和ICMP;
鏈路的權重,也是根據多因素進行自動計算;
被動抽樣率,默認1/23,可以隱藏命令手動調整;
策略路由以及靜態路由中手動指定的權重,是靜態優先級,如果沒有走智能LLB,纔會被選擇。
2.3 入站負載均衡—LLB inbound-SmartDNS
功能詳解
當DNS代理和SmartDNS代理都開啓後,DNS代理的優先級高於SmartDNS
2.4 DNS代理
DNS代理(DNS Proxy)用來劫持客戶端的DNS請求,並重新構造DNS請求發往DNS代理服務器,收到DNS代理服務器的應答之後,再重新構造DNS應答發送給客戶端。DNS代理的過程如下:
價值:引流—將特定域名,引入到特定的DNS服務器來進行代理解析;
冗餘—配置多臺DNS服務器進行代理;
安全—將客戶端的DNS請求代理到安全的DNS服務器;
高效—將客戶端的DNS請求代理到合理的ISP運營商。
三、功能配置
3.1 出站負載均衡(WebUI)
1、智能LLB可與目的路由(DBR)/ 策略路由(PBR)綁定使用,目的路由:創建多條等價路由,策略路由:配置多個等價出口
2、配置接口帶寬
3、創建LLB模板——智能LLB探測規則
4、創建LLB規則——將LLB模板與路由綁定
最多支持64條綁定關係
5、鏈路監控配置
監控>鏈路狀態監控>鏈路配置,如果需要看到右側抖動、延遲、丟包率的鏈路狀態,根據應用進行過濾查看,應用維度需要勾選“啓用”
注:鏈路狀態監控可單獨開啓,對鏈路進行日常維護,故障維護
nat pool功能說明:
L3S會對所有inbound和outbound流量進行監控
對outbound流量監控延時和抖動,丟包,帶寬利用率
對inbound流量監控丟包,帶寬利用率
LLB會使用outbound流量的TCP被動監測結果
此時,如果想查看outbound流量監控結果,就需要配置NAT Pool,指定內網主機SNAT之後的地址,也就是outbound流量的源地址。
如果想查看inbound流量的被動監測結果,就要配置NAT Pool,把DNAT之前的IP地址包含進來,看公網客戶端與這些IP地址的TCP被動監測結果
可以進行應用維度的統計:不開啓應用識別,能統計到協議級別;開啓之後,統計到應用級別。
默認採集頻率1/32,如果在測試網絡中流量較少,需要調整該採集頻率爲1
3.2 入站SmartDNS配置
3.3 DNS代理配置
1、創建域名簿,指定需要進行DNS代理的域名
2、創建DNS代理rule1,用於匹配DNS服務器發起的查詢,需配在最前。
目的是,對於DNS服務器自身發起的遞歸查詢,不進行代理。也就是,域名服務器無法解析域名時,向根域名服務器發起的查詢
3、創建DNS代理rule 2,用於匹配內網用戶發起DNS查詢
DNS代理流量,不會被LLB進行負載,只會選擇ECMP中的第一條路由。導致的問題,如果一個是聯通DNS,一個是電信DNS,選擇了首選DNS之後,會一直從一個接口出。如果綁定了出接口,如果active,那就必定從此出接口出,也就是,也無法對此DNS流量進行LLB。對於解析結果,客戶端發起訪問時,優先級高於LLB,訪問流量也不會
3.3.1 DNS代理服務器選擇
指定DNS代理服務器時,支持設置爲首選、綁定出接口,其優先級如下:
1.首選DNS代理服務器。如果指定了首選,優先選擇首選
2.綁定了出接口的代理服務器。有多個時,輪詢選擇
3.未綁定出接口且未設置爲首選。有多個時,輪詢選擇
注:首選與綁定出接口不衝突,綁定了出接口時,也可以設置爲首選;最多隻能選擇一個首選服務器。
如果首選綁定了出接口,但是出接口和DNS Server路由的出口,不一致,則此DNS Serve爲inactive,就會根據優先級進行選擇。
3.3.2 DNS代理服務器探測
服務器探測
代理動作爲Proxy時,DNS代理根據探測結果選擇代理server進行代理解析,DNS代理不會選擇inactive的服務器進行代理,探測流程如下:
»路由檢查。若路由不可達,則爲inactive;否則進行下一步檢查
»路由與出接口一致性檢查。若DNS代理server未綁定出接口,直接進行下一步檢查;若DNS代理server綁定出接口,但路由出接口與綁定出接口不一致,則爲inactive,否則進行下一步檢查
»服務器可達性檢測。定期發送DNS探測報文至代理server,如果收不到DNS應答,則爲inactive;如果可以收到DNS應答,則爲active
»探測報文,如果第一個失敗,則每隔10s發送一次,失敗三次,則判定DNS Server失效。
注:PPPoE, DHCP等下發的DNS服務器,以及配置的DNS服務器,不參與DNS代理
DNS代理只支持對dst-port = 53的UDP類型的DNS請求進行代理,對TCP類型的DNS請求報文進行透傳
DNS代理只支持對QueryType爲A或AAAA的DNS請求進行代理,對其它請求類型的DNS報文進行透傳
3.4 DNS Snoop被動探測
3.5 Debug
debug dp basic
debug self(DNS代理報文爲From self,需要開啓該開關)
debug dp dns proxy
debug dp filter dst-port 53
debug dp filter src-port 53
3.6 其他
日誌記錄
全局模式下,開啓ip domain response-log時,DNS代理解析成功時,可記錄network日誌,如:
2018-08-03 11:44:37, INFO@NET: DNS Response: domain t101.test.com, ttl 200, IP address 130.1.1.101
DNS session
show session [src-ip client_ip] [application dns]可以過濾dns session,查看用戶的DNS請求報文是否經過我們設備
代理服務器狀態
show dp-config dns-proxy可以查看所有代理服務器的狀態,Active表示服務器可用,Inactive表示服務器探測失敗
四、AX產品規格及其部署架構
4.1 產品規格
4.2 AX系列性能介紹
注:“S”型號具備硬件SSL加速卡,大幅度提高SSL性能
4.3 AX部署架構
組網模式 |
串接部署 |
單臂部署 |
透明部署 |
三角部署 |
部署位置 |
交換機和服務器之間 |
旁掛交換機 |
交換機和服務器之間 |
旁掛交換機 |
負載模式 |
LLB/SLB |
LLB/SLB |
SLB |
SLB |
特點 |
L3路由模式 |
引流到AX |
特殊需求使用 |
報文來回路徑不一致 |
優勢 |
可以溯源、接口壓力小 |
現網環境影響較小、減少單點故概率 |
現網環境影響較小 |
低時延、大吞吐 |
劣勢 |
現網改動大、需要更細緻瞭解組網架構 |
SNAT無法溯源、接口壓力大 |
定位較困難 |
配置複雜、功能簡單、只支持L4 |
五、AX常見故障類型
5.1 連通性
問題:客戶端和服務器均可達,通過AX地址訪問不通,客戶端直接訪問服務器業務正常
故障點:沒有配置Snat
解決方案:AX配置SNAT的2種方式:SNAT規則、虛擬服務下下開啓自動SNAT
SNAT規則(同防火牆)
虛擬服務器下開啓自動SNAT
5.2 業務分擔不均
問題:業務訪問正常,觀察後端服務器流量,各個業務流量分擔不均衡
故障點:調度算法、會話保持
(1) AX可以基於“源IP”、“Cookie”等進行會話保持
基於“源IP”的會話保持,由於源地址數量較少/經過NAT轉換
解決方案:沒有會話保持需求,關閉會話保持
選擇其他種類會話保持
(2)AX調度算法選擇不當
輪詢、加權輪詢、IP哈希等,基於後端服務適當選擇
5.3 業務訪問慢
某客戶原來業務訪問正常、部署AX之後,業務偶發訪問慢/失敗
組網架構:單臂部署 業務類型:HTTP
解決方案:排除錯誤,查看是否爲AX導致
排障步驟:
1.基於替換法,確認一定有問題
2.基於剔除法、確認只有訪問某臺服務器有問題
3.查看日誌信息,無思路
4.基於分層方式,將業務切換到L4,沒有問題
5.按照原理分析,L7與L4的區別,L7爲代理模式
6.是否七層代理之後連接建立有問題
7.基於分段,首先抓包分析客戶端到AX之間業務報文,貌似無問題
8.AX與服務端報文、MSS值爲150…