深信服AD链路负载与服务器负载高级功能

内网用户
-192.168.1.106和192.168.1.107
联通 202.96.137.75
AD旁路部署 WAN：192.168.1.99 GW：192.168.1.1
WEB服务器群
虚拟服务前置调度策略
2.虚拟服务前置调度策略应用案例
AD解决方案思路分析：
1.由于客户出口只有两个公网IP，但是内网有四个HTTP服务需要发布，而且每个服务有 两台服务器。使用端口映射肯定无法满足需求。 通过新建四个虚拟服务是否可以满足需求？ 不可以。客户的四台服务器端口都是80，一个虚拟服务占用了80，另外一个虚拟服务则 不能再使用80端口。冲突提示如下：
第第一二个个用用户 发发起起访访问问
中断会话
不需要重新建立 会话，直接复用 连接池
会话不中断， 加入连接池
A
BC
虚拟服务优化策略
1.虚拟服务优化功能介绍
3.HTTP缓存 设备内置HTTP缓存，能减轻大量重复请求对服务器的压力。该缓存保存于内存中， 重启设备将被清除。
第第二一个个用用户户 发发起起访访问问
服务器A 服务器B 服务器C
虚拟服务前置调度策略
2.虚拟服务前置调度策略应用案例
网络环境与需求：
客户拓扑如右图，AD旁路部署，客户内网有四个不
同的HTTP服务，都是80端口提供服务。但是公网只
电信
200.96.137.75
有电信和联通两个公网IP，需要实现四个域名分别访
问到4个服务，每个服务有两台服务器。外网用户自
SSL策略
1.SSL策略典型应用案例
配置思路：
网络配置：接口IP和代理上网，保证外网可以访问到AD接口，且其访问数据经过 AD后转换为AD接口IP，从而保证调度非AD IP为网关的服务器可以正常返回数据 包。
应用负载：配置好服务，IP组，使得外网访问的数据包匹配上。然后配置节点池 及会话保持方式。设置SSL策略，保证访问时使用SSL隧道。最后设置虚拟服务， 将以上要素全部关联起来。
2.最好的方法是使用虚拟服务前置调度策略来实现，新建一个虚拟服务，然后通过关联前 置调度策略，将不同的URL调度到不同的节点。
虚拟服务前置调度策略
2.虚拟服务前置调度策略应用案例
配置思路： 1.首先配置智能DNS入站链路负载策略。（略） 2.新建四个节点池，配置调度算法，会话保持等信息。 3.新建四个前置调度策略。设置条件，不同的URL调度到不同的节点池。 4.配置虚拟服务，关联四个前置调度策略。
深信服 AD
虚拟服务前置调度策略 虚拟服务优化策略 虚拟服务SSL策略 链路负载深前信置服调公度司策简略介（DNS代理）
虚拟服务前置调度策略
虚拟服务前置调度策略
1.虚拟服务前置调度策略功能介绍
前置调度策略用于符合设定条件的请求始终调度到某一台或者多台服务器上。 前置调度策略优先于虚拟服务关联的节点池调度策略。
SSL策略
2.SSL策略双向认证应用案例
双向认证跟单向认证配置相比多了 SSL设置时需要设置客户端证书部分。 而且要求客户端PC导入客户端证书，该 客户端证书是由AD设备里面设置的CA 证书签发的证书，或者被其证书链信任 的证书，以提供服务器端AD验证。 基本设置、SSL服务器证书设置、虚拟 服务配置同单向认证，此处不在复述。
发起访问
1.新建前置首调先度匹策配略到，虚源拟I服P为务2I0P2组.9，6.1发37.75发 起的会话现始需终要调调度度到，服然务后器会A。匹配到前 2.新建虚拟置服调务度，策节略点，池调使度用到轮服询务调器度A 算法。 关联前置调度策略。
202.96.137.75
只要是202.96.137.75发起 的访问都调度到服务器A
3. 虚拟服务启用优化策略，并且选择2中新建的策略名称，启用单边加速。
应用负载优化策略
3.虚拟服务优化功能应用案例
配置方法与截图
填入缓存的URL
H时T必 才间T须 能P，页要 勾如面启 选果一缓用没般存H有具T压则T有P缩以缓缓方此存存式。 时间为准。
一些HTTP服务器本身已经有 连接池H大TT小P压：缩用，于则设可置以保让持服的务最大器连接数 老超化过时这不间个压：文缩用件，于大A设小D设置备连来接进池行中压连缩接，池被释 放的之页前面减的不轻空会服闲缓务时存器间压。力。 一般使用默认值即可。
联通
AD旁路部署
内网用户
WEB业务系统
虚拟服务优化策略
3.虚拟服务优化功能应用案例
AD解决方案： 1. 客户端访问的用户跨运营商，跨运营商慢的原因很大一部分是丢包造成的，
因此可以考虑用TCP单边加速解决该问题。
2. 客户希望减轻服务器的压力，由于客户的服务器是HTTP应用，因此可以考 虑启用HTTP连接池、HTTP缓存和HTTP压缩来实现客户需求。
发起访问
网络丢包 严重
启用单 边加速
虚拟服务优化策略
1.虚拟服务优化功能介绍
2.HTTP连接池 在服务器端保持一定数量的HTTP连接处于活动状态，同一个连接可发多个请求， 提高服务器的响应效率。减少服务器新建连接，能有效降低服务器CPU负载。注意： 由于第二次访问是复用之前的会话，所以服务器看到的源IP是第一次发起访问的客 户端IP。
深信服 AD链路负载与服务器负载高 级功能应用
培训内容
培训目标
虚拟服务前置调度策略
掌握前置调度策略的原理及配置
虚拟服务优化策略
了解虚拟服务优化策略的使用
虚拟服务SSL策略
1.了解SSL策略的认证流程
2.掌握SSL策略的配置
链路负载前置调度策略（DNS代理） 1.掌握DNS代理的前置调度配置
2.掌握内网DNS的应用场景及配置
客户需求： 1. 电信用户访问业务系统的时候很慢，希
望AD能够解决跨运营商访问慢的问题。 2. 虽然已经有两台服务器做负载，但是由
于业务量很大，并发很高，希望有功能 可以够减轻HTTP服务器部分压力。 3. 由于客户的服务器需要统计源IP地址访 问，统计全国各省的访问量，要求服务 器能够查看到访问的真实源IP。
读取http头部 X-Forwarded-For：
202.96.137.75
虚拟服务优化策略
2.虚拟服务优化功能配置界面介绍
一条优化策略可以同 时开启多种优化功能
虚拟服务关联优化策略即可 单边加速直接启用即可
虚拟服务优化策略
3.虚拟服务优化功能应用案例
网络环境： 外网一条联通线路，有电信和移动用户需要 访问到内部的WEB应用系统。客户已经旁路 模式部署了一台AD设备实现了负载。
SSL策略
1.SSL策略典型应用案例
配置方法与截图：
1.网络接口 2.源地址转换 3.服务 4. IP组 5.会话保持 6.节点池 7.节点
SSL策略
1.SSL典型应用案例
配置方法与截图：
8. SSL-服务器证书 9. 策略-SSL策略 10.应用负载-虚拟服务
SSL策略
实现效果图
如果启用了http自动跳转，则在浏览器上输入http://ip:444，即会跳转到https://ip:444 该证书为AD设备提供。
一些要求实时请求的URL，可以做排除。 排除后设备不会做缓存
1.配置服务、IP组、会话保持、节点池、虚拟服务
2.新建优化策略并且配置好
应用负载优化策略
3.虚拟服务优化功能应用案例
配置方法与截图
3.虚拟服务关联优化策略
关联新建好的优化策略 启用单边加速
SSL策略
1.SSL策略功能介绍 2.SSL策略典型应用案例
SSL策略
1.SSL策略功能介绍
两种情况下需要使用到SSL策略功能
情景一：客户服务器使用HTTPS提供服务，由于加解密会损耗服务器的性能。此 时可以使用SSL卸载功能，将HTTPS加密解密的过程在AD设备上实现，从而减轻 服务器性能压力，服务器使用HTTPS后的性能是HTTP的30%。该情况下如果需要 使用SSL卸载功能，服务器需要改成HTTP提供服务。
192.168.1.1
202.96.137.75
启用该功能前数据包传输过程
看不到真 实源IP！
虚拟服务优化策略
1.虚拟服务优化功能介绍
5.传输客户端IP至后台服务器
202.96.137.75 启用该功能后数据包传输过程
http头部插入 X-Forwarded-For：
202.96.137.75 192.168.1.1
发起HTTP 访问
对HTTP响应进 行压缩编码后， 返回给客户端。
虚拟服务优化策略
1.虚拟服务优化功能介绍
5.传输客户端IP至后台服务器 在设备旁路部署情况下， wan口做snat将所有访问数据源IP转换成wan口IP，服务器 无法统计到客户端的真实源IP，此时如果客户服务器是HTTP服务器，可以使用该 功能让服务器查看到客户端的真实源IP。注意：服务器必须是通过检查http头部的 方式做源IP统计才有效，不适用于服务器直接检查数据包IP层的源IP做统计。
SSL策略
2.SSL策略双向认证应用案例
配置方法与截图：
1.基本设置、SSL服务器证书设置、虚拟服 2.应用负载-SSL-CA证书
务配置同单向认证，此处不在复述。 3.应用负载-策略
动选择最快线路访问到内服务器，也就是需要实现
入站链路负载。域名与IP对应关系如下：
-192.168.1.100和192.168.1.101
-192.168.1.102和192.168.1.103 -192.168.1.104和192.168.1.105
虚拟服务前置调度策略
配置方法与截图：
一般情况下http头部的 HOST字段为域名，可以
mm用事aamiih例ll3at4ti的。p的l2w前的前atc置前置h抓调置调包度调度软策度策件略策略查略看，
新于建四新四个建个节四会点个一前话池SL策略
SSL认证流程
2、双向认证，即在单向认证的基础上，要求对客户端访问进行认证，客户端也 需要提交证书给AD设备进行验证。常见案例是，https/ssl类型虚拟服务，不仅对 服务器证书进行认证，AD还要对访问的证书进行认证。 其访问流程图如下：
SSL策略
1.SSL策略单向认证应用案例
网络环境与需求： 客户内网有两台web服务器，使用 http://ip:444 访问。需要使用AD来进行 负载均衡，并且由于内部服务器采用http 协议。要求外网访问保证安全性，通过 AD来建立SSL隧道加密，使得外网访问 时采用https://ip:444 。
3. 客户的服务器需要统计真实的源IP地址，由于旁路部署，AD做了SNAT，因 此可以通过“传输客户端IP至服务器”功能来满足客户要求。
虚拟服务优化策略
3.虚拟服务优化功能应用案例
配置思路：
1. 根据客户需求配置好IP组，节点池，虚拟服务等基础信息。参考初级培训PPT 对应章节。
2. 【应用负载】-【策略】-【优化策略】，新建一条优化策略，设置好HTTP连接 池、HTTP缓存、HTTP压缩、传输客户端IP至后台服务器。
AD检查缓存，可以匹 配，则直接返回缓存给 A客D检户查端数。据如包发现，页可面过 以期缓，存则，向则服添务加器到发设起更 备新缓请存求。更新缓存。
A
BC
虚拟服务优化策略
1.虚拟服务优化功能介绍
4.HTTP压缩 客户端请求页面，AD设备返回缓存内容或者服务器返回内容给客户端时，AD设备 对HTTP响应进行压缩编码，降低数据量，从而减少数据在网络上的传输时间。
选择四个前 置调度策略
节点池可任意选择一个，因 为匹配到了前置调度策略就 不会再调度到此处的节点池。
虚拟服务优化策略
虚拟服务优化策略
1.虚拟服务优化功能介绍
1.TCP单边加速 通过优化TCP协议，解决一些TCP协议本身的缺陷，来实现加速的效果。主要用于丢包 大的情况下，效果十分明显。该功能仅针对TCP协议生效。
情景二：客户服务器使用HTTP提供服务，可以使用SSL卸载功能在客户端与AD设 备之间通过SSL进行加密，保证数据传输的安全。
SSL策略
SSL认证流程
1、单向认证，即类似以前旧版本的SSL证书卸载，设备只需要将SSL证书提交给 客户端，客户端对服务器的证书进行验证。常见案例可用于，后台节点为http服 务，通过AD ssl卸载功能，发布https虚拟服务，客户端访问时仅对服务器证书进 行验证，AD不对客户端证书进行验证。 其访问流程图如下：