深信服上 行为管理的学习笔记,由于软件版本更新相关特性可能变动,仅供参考哈。。
权威内容请访问深信服官方 区:https://bbs.sangfor.com.cn/
目录
DNS相关
全局智能DNS
虚拟地址池
同步角色
同步公差
全局应用负载
通信同步端口 : TCP 558
本地智能DNS
调度原则
调度策略
监视地址
健康状态检查
延迟切换
DNS代理
终端PC DNS配置
DNS会话保持
代理策略
缓存
并发查询
代理目标范围
前置调度策略
其它注意实现
智能DNS
络配置
接口
拨 接口PPPOE:7.0.3以上
管理口:10.252.252.252/24、10.254.254.254/24
交换口
WAN口
聚合 口
vlan子接口(vlan接口)
地址转换/端口映射
自动SNAT
手动SNAT优先级高于自动SNAT
端口映射优先级低于虚拟服务。如同时存在与虚拟服务相同的端口映射。则虚拟服务更优先
iptables -t nat -xnvl
发布内 服务器
路由
路由优先级
AD禁止配置8个0默认路由,会导致动态路由和智能路由失效
ipv6需要配置目的 段为0::0的默认路由
静态路由
智能路由
部署模式
a) 路由模式=入站负载+出站负载+服务器负载
b) 单臂模式=服务器负载+入站负载,不支持出站负载
c)多线单臂=入站负载+出站负载+服务器负载
特性
络安全
外/内 防DDOS
ACL
ARP/ND防护
ARP代理
管理员安全
调试排障
连接会话查询
抓包排查
下载黑盒日志
缓存查询
缓存缺失查询
会话保持查询
ipro
Lua语言编写,7层虚拟服务
TCP策略
TCP时间戳
TCP连接池
ip-anycast任意播
注意
广播触发条件
路由开销决定最终目的调度
虚拟服务
前置调度策略
服务类型
自动SNAT(SNAT地址集)优先于NAT规则
节点池
高可用
双机组播地址
条件
模式
心跳口
配置同步选项
故障切换
双机故障切换条件
加入集群
双机支持配置恢复导入,在配置同步完成后会重启设备
没有主控被控区别,任意设备更改在集群内同步生效
公共对象
自定义内容
使用场景
服务器负载
场景
负载方式
服务类型
负载算法
节点选择
健康状态检查
链路负载
入站链路负载
出站链路负载
IPV6改造
NAT6-4
天窗
服务器性能优化
TCP链接复用
页面缓存
HTTP压缩
SSL卸载
命令行
SSH命令行
模式
注意事项
指令类型
语法
使用方法
web consel
session srcaddr 192.168.133.4 //查看IP会话
API
由客户端发起
HTTP请求中URI表示目标配置(资源)
HTTP请求中Method表示操作方法(增/删/改/查)
HTTP请求必须带有认证信息(token)
设备处理后返回HTTP应答
HTTP应答包含结果状态(状态码)
HTTP应答包含预期数据(应答实体)
数据以JSON格式传输
CMD
nslookup
后台
openad
取黑匣子
高可用
双机条件
要求硬件平台必须一致
授权必须要一致(除升级序列 之外的序列 授权一致)
软件版本信息必须一致(appversion完全一致)
高可用配置
心跳口
故障切换
同步对象
联动配置
主备模式
高可用集群
概念:不同业务组运行于不同集群设备上
浮动IP
集群条件
配置流程
心跳线
成员管理
设备组管理
应用组管理
集群设备状态
表中心(默认关闭)
链路统计
总流量、上下行
访问次数
带宽利用率
可用性、稳定性
节点统计
总流量、上下行
访问次数
并发连接数
可用性、稳定性
虚拟服务统计
总流量、上下行
访问次数
可用性、稳定性
智能路由统计
总流量、上下行
访问次数
智能DNS
数据中心
虚拟IP池
LDNS集合
异常请求
系统操作
AD升级路线
高危操作
ipv4添加8个0默认路由
配置SSL卸载虚拟服务,HTTPS控制台使用443端口
未填写虚拟MAC时切换应用组生效设备 — 高可用模块 主备信息开启MAC同步
更改链路数授权将重启设备,需拆除双机
后台
OPEN AD
负载方式
HTTPS
HTTP
TCP
分配策略
轮询算法
最少连接
源IP算法
会话保持类型
HTTP/HTTPS
TCP
健康检测类型
PING
TCP
HTTP
上 卡顿
mpstat文件
nf_conntrack_count文件
uptime文件
dev文件
mem_overload文件
DNS相关
全局智能DNS
虚拟地址池
本地DNS映射和全局DNS映射的区别:AD本地(本机)DNS映射用于单个站点,非分布式环境中;全局(多机)DNS映射用于多个站点,分布式环境中,并且各个站点的全局DNS映射配置可以相互同步
- 本地虚拟IP池
作用于本地DNS映射
本地DNS映射主要是实现域名和虚拟IP池中地址的映射关系,当有域名记录的请求访问设备时,返回IP池中记录的IP地址,实现域名解析
- 全局虚拟IP池
作用于全局DNS映射
AD全局DNS映射用于用户在不同的地方有相同的服务器提供服务,然后用户通过同一个域名访问,通过AD可以实现不同用户的地方,选择最快的链路来接入访问服务器
同步角色
- 不同步 — 不参与全局同步
- 从属 — 从其它数据中心下载配置文件到本站
- 主控 — 向其它数据中心下发本站的全局文件配置
- 双向 — 同时扮演上传和下载角色
同步公差
- 两个数据中心间的配置文件修改时间差的阈值
- 两个数据中心配置文件修改时间差值大于[同步公差],表明修改时间较早的数据中心配置文件需要被更新
- 当两个数据中心配置文件修改时间的差值小于等于[同步公差]时,表明两个数据中心的配置文件被视为等效且不同步
- 类似于心跳包,小于心跳时间说明需要更改配置文件,大于心跳时间等效
全局应用负载
- 本地服务设备
SNMP 161
通信同步端口 : TCP 558
本地智能DNS
调度原则
- 智能DNS优先级高于内 DNS
- 一级调度,选虚拟IP池:域名—IP映射(一级调度)—设置虚拟IP池
- 二级调度,池里选IP:域名—虚拟IP池(二 级调度)—设置DNS映射
调度策略
- 轮询
交替调度
- 加权轮询
按权值交替调度
- 哈希
对DNS请求的源IP进行运算
- 动态就近性
- 首个可用
- 加权最小链接
返回所在链路连接数加权后的结果
- 加权最小流量
- 静态就近性
- 返回所有IP
- 拒绝【备选策略】
向客户端返回拒绝信息
- 丢弃【备选策略】
直接丢包不回应
- 返回备用IP【备选策略】
当首选调度失败则返回该IP
监视地址
- 默认监视所有地址,但也可以指定
健康状态检查
- 开启调试日志
系统日志中产生详细连接记录 — 不建议开启,会将正常日志刷掉
延迟切换
- 需要人为干预切换时才启用,建议禁用
DNS代理
终端PC DNS配置
- AD监听地址
- DNS服务器列表里的IP
DNS会话保持
- dproxy_cmd dump_ldns_ps //可以查看单台PC重复发起DNS请求,AD间返回同一IP,默认为300秒
- dproxy_cmd flush_ldns_ps //清除DNS会话保持
代理策略
- 轮询 //1:1
- 加权轮询 //越大约优先
- 加权最小流量
- 优先级
缓存
- AD直接返回DNS结果,不像LDNS发请求
并发查询
- 谁先返回谁优先
代理目标范围
- 指定服务器
仅代理向DNS服务器列表内和发给监听地址的DNS请求
- 指定域名
仅代理匹配前置调度策略中地址集的DNS请求
内 记录中的所有DNS请求
- 全部DNS请求
代理目前地址为任意的DNS查询请求
前置调度策略
- 某些域名通过指定的DNS解析
- 某些用户通过指定DNS解析
其它注意实现
智能DNS
- 增大TTL,防止NS迭代过多或跨运营商开销导致DNS请求超时,尽量避免每次均从AD返回结果
络配置
接口
拨 接口PPPOE:7.0.3以上
管理口:10.252.252.252/24、10.254.254.254/24
交换口
- a) AD交换 口用于将AD设备的多个 口从逻辑上合并成一个二层交换机的接口,其中AD的每个 口都可以当做一个二层交换机的接口来处理,
- b) 常见场景:用于口字形上下主备不能联动切换的情况下,上下互联口全部配置为交换口,并共享一个IP地址,并同步端口的MAC地址。
- c) 端口聚合:加大带宽+链路冗余
WAN口
- 智能DNS调度仅针对WAN口属性接口生效
- 虚拟服务只能关联WAN口属性的接口
- WAN口入站路由转发
无法进行除虚拟服务、DNS、源地址转换、端口映射、远程登录、匹配智能路由或静态路由之外的数据传输
聚合 口
- 哈希
基于源IP和目的IP计算hash,选择相应接口
- 轮询
- 802.3ad
1、LACP自动协商2、自动选择带宽链路最大为主链路,其余为备链路。如带宽一样,则采用哈希算法发送数据。
- 冗余双 卡
多个物理 口绑定为一个逻辑接口,只有一个物理 口处于工作状态,当主 口宕掉后备 口切换成主 口工作。
vlan子接口(vlan接口)
- 基于 口、聚合口生效
- TRUNK标签
地址转换/端口映射
自动SNAT
手动SNAT优先级高于自动SNAT
端口映射优先级低于虚拟服务。如同时存在与虚拟服务相同的端口映射。则虚拟服务更优先
iptables -t nat -xnvl
发
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!