A10負載均衡及運維培訓forv4xA10負載均衡及運維培訓forv4x硬件物理結構基礎理論介紹

內容提要高可用業務配置舉例故障處理產品功能概述售后開CASE流程A10監控及運維硬件物理結構基礎理論介紹內容提要高可用業務配置舉例故障處理硬件物理結構硬件物理結構TH840硬件物理結構TH930硬件物理結構TH840硬件物理結構TH930硬件物理結構TH1030S硬件物理結構TH3230（S）硬件物理結構TH1030S硬件物理結構TH3230（S）硬件物理結構Console

RS232參數設置ConsoleRS232參數設置產品功能概述產品功能概述ACOS共享內存架構ACOS共享內存架構傳統的IPC架構L4-7

CPU1L4-7

CPU2L4-7

CPU3L4-7

CPU4L4-7

CPU5High-speed

SharedMemoryL4-7

CPU1L4-7

CPU2L4-7

CPU3L4-7

CPU4L4-7

CPU5CommunicationBusACOS共享內存架構ACOS共享內存架構傳統的IPC架構L4應用交付服務整體架構圖集中管理（RESTfulAPI,監控,云平臺,自動化）應用服務L4-7交付協議內容優化SSL安全DDoS高可用IPsec定制化擴展NAT訪問控制專有IT系統托管IT系統CloudIaaS任何設備任何地點任何應用任何模式應用交付服務整體架構圖集中管理（RESTfulAPI,監f提高應用可靠性–4層負載均衡Cookie持續目的IP持續源IP持續SSL會話ID持續會話保持分配流量監控服務器健康度Round

RobinLeastConnectionsService

Least

ConnectionFastest

Response

TimeSource

IP

HashManymore…TCPUDPHTTPHTTPSFTPCOMPOUNDManymore…TCP與UDP客戶請求f提高應用可靠性–4層負載均衡Cookie持續會話保持分

AnythinginrequestbodyDeviceTypeLanguageCookieBrowserCapability客戶端屬性

AnyTCPRequestHTTPGetHTTPPost請求協議請求方法AnyTCPpayloadvalueAnyHTTPpayloadvalueDomainWildcardURL提高應用可靠性–7層負載均衡Anythinginrequestbody客戶端屬性在線服務器維護-服務器溫暖上線/下線A10

Thunder控制隊列把發送給服務器的流量速率控制在合理范圍

溫暖上線-服務器慢啟動

溫暖下線-下線后在設置的時間內繼續處理已有的連接在線服務器維護-服務器溫暖上線/下線A10Thunder控應用請求客戶端A10收到并終結客戶端連接客戶端傳送應用請求A10建立服務器連接客戶端連接通過A10與服務器之間的連接傳送客戶端請求更多的客戶端遵循相同的過程多個客戶端請求可以通過公共的可復用的服務器連接傳送TCP卸載服務器服務器連接應用請求降低資源負載-TCP連接復用應用請求客戶端A10收到并終結客戶端連接客戶端連接通過A1aFleX腳本：靈活的應用控制/bbsa.jpegNews.htmljpeg_serversbbs_serversweb_serversbbs.jpegwhenHTTP_REQUEST_DATA{{ if{[HTTP::URI]start_with

“bbs"}{ poolbbs_servers }elseif{[HTTP::URI]end_with

“.jpeg"

{ pooljpeg_servers }else{ poolweb_servers }aFleX腳本：靈活的應用控制/bbsa.jpegNews應用邏輯對象可視化工具應用邏輯對象可視化工具中文WEB界面管理與維護中文WEB界面管理與維護Thunder系列ADC硬件平臺虛擬機箱(aVCS)vThunder

for

Vmware/KVM/XenA10

Vthunder產品ThunderSeries虛擬分區(ADP)ThunderHVA硬件虛擬化ADCUtility(UBM)Rent(PGM)在云中按需購買的ADC業務aCloudServicesThunder系列虛擬機箱(aVCS)vThunderfCloudDataCenter,Containers

&VirtualizedDCTPSAnti-DDOS160G吞吐量CFWDCFWIpsecVPNADCGSLB/SLB/LLBSSL卸載WAF5~300G吞吐量CGNNAT44/642.5億并發ADCaaSThunderSeriesApplianceCloud

InstancesLightningADCVirtualSSLiSSL透視3~40G吞吐量SECUREAPPLICATIONSERVICESCHOICEaGALAXYMANAGEMENTAdvancedCoreOperatingSystem(ACOS)BareMetalA10

Networks應用交付方案LIGHTNINGCONTROLLERCloudDataCenter,Containers

基礎理論介紹基礎理論介紹通過CLI方式Console(RS-232連接/9600,8,N,1)

Telnet(默認關閉)

SSHv2通過Web方式HTTP

(默認關閉)HTTPS

認證級別CLI:

登錄的用戶名/密碼特權模式的用戶名密碼Web:管理員權限(讀寫/只讀)ADC的訪問方式通過CLI方式ADC的訪問方式CLI:用戶級別正式名稱通俗名稱提示符用戶權限用戶模式user模式>可以監控SLB&CGN，做備份,使用簡單的診斷工具。從這個級別的用戶不能更改配置。特權模式enable模式#繼承用戶模式的權限，還可以管理和監控系統，但不能修改SLB或CGN的配置。

特權模式下的配置模式config模式(config)#繼承特權模式的權限，還可以配置SLB或CGN

在特權模式下的命令，可以在本模式前面加do后執行。CLI:用戶級別正式名稱通俗名稱提示符用戶權限用戶模式us冗余模式下Thunder-Active>Thunder-Standby>集群模式下Thunder-Active-vMaster[7/1]>Thunder-Standby-vBlade[7/2]>抓包模式下Thunder(axdebug)#修改Hostname后Thunder(config)#hostnameMyThunder1MyThunder1(config)#CLI:額外的一些提示符冗余模式下CLI:額外的一些提示符命令選擇

Thunder>showhealthmonitor?WORD<length:1-31> Name

all-partitions Allpartitionconfigurations

partition Per-partitionconfigurations

| Outputmodifiers命令消岐

Thunder>showic?icmp

DisplayICMPstatistics

icmpv6 DisplayICMPv6statistics命令補全Thunder>showrad<tab>

Thunder>showradius-serverCLI:幫助命令命令選擇CLI:幫助命令no作為撤銷命令Thunder(config)#ipnatpoolnat156netmask/24

vThunder(config)#showipnatpoolTotalIPNATPools:1

PoolNameStartAddressEndAddressMaskGatewayHAGroupVrid

nat156/240defaultThunder(config)#noipnatpoolnat1

Thunder(config)#showipnatpoolTotalIPNATPools:0CLI:撤銷命令no作為撤銷命令CLI:撤銷命令配置時“noenable”命令效果和“disable”命令效果一致Thunder#showrun|secslbslbservers18Thunder(config)#slbservers1Thunder(config-realserver)#noenable Thunder#showrun|secslbslbservers18

disableCLI:禁用配置配置時“noenable”命令效果和“disable”命正則表達式的一個子集,可以在命令行中使用. 匹配任何單個字符，包括空格

* 匹配前面的子表達式零次或多次

+

匹配前面的子表達式一次或多次

?

匹配前面的子表達式零次或一次

^

匹配輸入字符串的開始位置

$

匹配輸入字符串的結束位置

_

強調匹配一個逗號“,”,左大括號

“{”,右大括號“}”,左括號“(”,

右括號“)”,字符串的開始位置,字符串的結束位置,

或者一個空格CLI:正則表達式正則表達式的一個子集,可以在命令行中使用CLI:正則表達式ADC

支持用管道符加section

和

include命令過濾顯示內容Section顯示匹配輸入內容的那一段配置

ACOS#showrun|secslbslbservers18

port80tcp

slbservice-grouphttptcp

members1:80Include

顯示匹配輸入內容的那一行的配置ACOS#showrun|incslbslbservers18

slbservice-grouphttptcpCLI:過濾輸出(section&include)ADC支持用管道符加section和include命令

管道符“|”和inc

或者sec共同使用表示或者，使用“\”表示無空格

ACOS#showrun|inctacacs\|radiustacacs-serverhost00secret(encrypted_secret)port49timeout12

radius-serverhost00secret(encrypted_secret)CLI:或者命令管道符“|”和inc或者sec共同使用表示或者，使用“\Exit命令可以一級一級退出

ACOS(config-slbvserver-vport)#exitACOS(config-slbvserver)#exitACOS(config)#exitACOS#exitACOS>End直接退出配置模式ACOS(config-slbvserver-vport)#endACOS#exitACOS>Ctrl-C是exit

的快捷鍵

Ctrl-Z是end的快捷鍵

CLI:退出當前視圖Exit命令可以一級一級退出CLI:退出當前視圖在CLI里,用以下命令一級一級進行配置

systemredundancy+clusteringserversnatpoolstemplatesvirtualservervirtualserverportCLI:工作流在CLI里,用以下命令一級一級進行配置CLI:工作流設備管理口默認IP地址為1，需要將電腦網卡IP地址設置在同一網段：使用https://1進行登錄，默認的登錄用戶名：“admin”，密碼：“a10”

，如下圖:

登錄Web界面設備管理口默認IP地址為1，需要將電腦Monitor相當于CLI的user模式Config相當于CLI的config模式Web界面:用戶級別MonitorWeb界面:用戶級別在Web界面里,你可以用以下方式進行配置

ADC>SLB>VirtualServer(然后添加vPort)必要的配置信息的名字是自動創建的，WEB界面里的虛擬服務配置將在CLI層面轉化為虛擬服務器和虛擬端口

ACOS#showrun|secslbslbserver_s_88

port80tcp

slbserver_s_99

port80tcp

slbservice-grouphttptcp

member_s_8:80

member_s_9:80

slbvirtual-server_2_vserver2

port80http

namevip1-http

service-grouphttpWeb界面:工作流在Web界面里,你可以用以下方式進行配置Web界面:CLI的優點

結構性強，便于理解

更適于故障診斷，因為可以在一個界面上同時顯示所有配置

可以快速配置

操作設備時需要的帶寬更小

Web界面的優點更靈活的配置方式友好的界面

更適用于監控，因為有圖形化的顯示

CLI與Web界面對比CLI的優點CLI與Web界面對比命名配置文件的好處

維護多個配置

為每個分區選擇不同名字的啟動配置

復制和編輯配置文件時不影響正常操作

兩個物理分區維護一個配置

創建新的配置文件

ACOS#writememory<new_profile>

ACOS(config)#copy<existing_profile><new_profile>查看所有配置文件

ACOS#showstartup-configall將配置文件關聯到啟動文件ACOS(config)#linkstartup-config<profile_name>[primary|secondary]命名配置文件命名配置文件的好處命名配置文件配置備份Web界面:系統>維護>備份>系統CLI:ACOS(config)#backupsystem[…]配置恢復Web界面:系統>維護>恢復

>系統CLI:ACOS(config)#restore[…]注意

:支持這些協議上傳

:FTP,SFTP,SCP,RCP,TFTP,andHTTPS(通過Web界面)系統配置備份和恢復配置備份系統配置備份和恢復ACOS#export?running-config RunningConfig

ssl-cert SSLCertFile

ssl-cert-key

SSLCert/KeyFile

ssl-crl SSLCrlFile

ssl-key SSLKeyFile

aflex aFleXScriptSourceFile

bw-list Black/WhiteListFile

class-list ClassListFile

axdebug AXDebugPacketFile

debug_monitor DebugMonitorOutput

startup-config StartupConfig

syslog Syslogfile

thales-secworld Thalessecurityworldfiles-in.tgzformat

thales-kmdata ThalesKmdatafiles-in.tgzformat

dnssec-dnskey DNSSECDNSKEY(KSK)fileforthezone

dnssec-ds DNSSECDSfileforthezone

ip-map-list

IPMapListFile備份其他配置ACOS#export?備份其他配置你可以通過下面的方式清除配置但保留登錄設備的配置

ACOS(config)#erase? preserve-managementPreservemanagementipanddefaultgateway

preserve-accountsPreserveadminaccounts

reloadReloadaftererase

<cr>這個命令也可以清除與現在關聯的啟動配置文件（除了要保留的配置），而且不影響其他配置文件配置清除你可以通過下面的方式清除配置但保留登錄設備的配置配置清除系統軟件存儲在兩個磁盤分區:主分區和備分區

設計備分區的目的在于便于配置回滾

兩個

CompactFlash分區:主分區和備分區

設計CF

卡用于應急恢復

注意:每個存儲分區都有自己的系統軟件和配置文件系統軟件存儲位置系統軟件存儲在系統軟件存儲位置檢查系統軟件正用于哪個磁盤分區Web界面:面板

\系統(系統信息)

CLI:ACOS#showbootimage在另個一個磁盤分區配置升級Web界面:系統

>維護

>升級

CLI:ACOS(config)#upgrade[…]

將正在運行的配置拷貝到另一個磁盤分區或者關聯到另一個磁盤分區的啟動文件ACOS#writememory[primary|secondary]ACOS(config)#linkstartup-config<profile_name>[primary|secondary]設置從另一個磁盤分區啟動Web界面:系統>設置

>啟動映像

CLI:ACOS(config)#bootimagehd[primary|secondary]系統軟件升級檢查系統軟件正用于哪個磁盤分區系統軟件升級回滾到出廠配置CLI:ACOS(config)#system-reset

ACOS(config)#end

ACOS#reboot第一步的配置

用Console連接ADC(9600

波特率-8

比特–無奇偶校驗-1

停止位)默認用戶名/密碼:admin/a10配置管理接口和默認網關用CLI或者Web界面完成余下配置初始化配置回滾到出廠配置初始化配置ACOSlogin:adminPassword:ACOS>enPassword:ACOS#confACOS(config)#interfacemanagementACOS(config-if:management)#ipaddress172.31.31.31

/24ACOS(config-if:management)#ipdefault-gatewayACOS(config-if:management)#exitACOS(config)#exit初始化配置舉例ACOSlogin:admin初始化配置舉例A10負載均衡基礎概念A10負載均衡基礎概念服務器負載服務器負載服務器負載確保流量分配最合理應用程序故障轉移確保不間斷的可用性不平均的用戶流量平均的服務器流量MoviesHomepageFinanceGamesPhotos服務器負載服務器負載服務器負載確保流量分配最合理不平均的用戶負載均衡的主要目的客戶端Web服務器負載均衡的主要目的客戶端Web服務器Server定義真實服務器的IP地址、端口、以及其他服務器相關的參數Servicegroup定義某個業務端口所屬的真實服務器IP及端口的集合Virtualserver定義某個VIP上需要發布的業務和端口Template各種可以在多個模式下復用的策略Healthmonitor健康檢測，可以在server、servicegroup兩個層面啟用基礎概念Server基礎概念A10負載均衡及運維培訓forv4x課件拓撲:單臂

源地址轉換SNAT模式SourceIPDestIP0SourceIPDestIP000DestIPSourceIP0DestIPSourceIP000/24VIP=0SNAT=0/24100.0.1.[100-200]拓撲:單臂源地址轉換SNAT模式SourceIPDes核心交換機用戶旁路部署方式核心交換機A10負載均衡設備A10負載均衡設備服務器部署簡單，無需改變現有拓撲結構可以不改變現有VLAN，IP地址規劃無需更改服務器網關，不進行負載均衡的流量可直接通過交換機轉發，效率較高對防火墻部署小，策略遷移簡單擴展能力強由于上述優勢，旁路部署是行業慣例和大部分用戶的共識核心交換機用戶旁路部署方式核心交換機A10負載均衡設備A1拓撲:單臂

不用源地址轉換SNAT模式SourceIPDestIP0SourceIPDestIP00DestIPSourceIP0DestIPSourceIP00/24VIP=0/24100.0.1.[100-200]拓撲:單臂不用源地址轉換SNAT模式SourceIPD核心交換機用戶串接部署方式核心交換機A10負載均衡設備A10負載均衡設備服務器部署復雜，需要改變現有網絡連接。通常也需要改變服務器的VLAN和IP地址規劃需要改變服務器網關，不論是否需要負載均衡的流量都必須穿過負載均衡設備對防火墻的安全域部署造成嚴重干涉，甚至無法與防火墻共存擴展能力受限由于上述弊病，實際應用中，幾乎系統沒有采用串接方式部署負載均衡設備核心交換機用戶串接部署方式核心交換機A10負載均衡設備A1拓撲:DSR模式（三角傳輸）

/24SourceIPDestIP0

SLBMACSourceIPDestIP0

ServerMACDestIPSourceIP0VIP=0/24LoopbackIP=VIP=0100.0.0.[100-200]拓撲:DSR模式（三角傳輸）/24S優點:高度的伸縮性(ADC只處理入方向的流量)拓撲:DSR模式缺點:不能使用ADC的任何七層特性(aFleX

仍然可以在虛擬端口級別下應用)需要在每臺服務器上在loopback口配置虛IP/24VIP=0/24100.0.0.[100-200]LoopbackIP=VIP=0優點:拓撲:DSR模式缺點:/2420負載均衡需要配置以下三個核心組件:服務器，服務組，虛擬服務器(VIPs)服務器負載均衡(SLB)負載均衡需要配置以下三個核心組件:服務器負載均衡(SLB)最小配置服務器名IPaddress（可以使用DNS域名）服務端口（Ports）服務器配置Web界面:配置>服務>SLB>服務器CLI:AX(config)#slbserver<name>[…]服務器狀態和統計Web界面:監控>服務>SLB>服務器CLI:AX#showslbserver[…]服務器最小配置服務器最小配置名字類型

(TCP/UDP)負載均衡算法至少一個服務器/端口服務組最小配置服務組服務組–負載均衡算法輪詢Round-Robin最少連接數LeastConnection服務的最少連接數ServiceLeastConnection加權輪詢WeightedRoundRobin加權最少連接數WeightedLeastConnection服務的加權最少連接數ServiceWeightedLeastConnection最快響應時間FastestResponsetime最少的請求數LeastRequest嚴格的輪詢RoundRobinStrict無狀態Stateless

負載均衡算法服務組–負載均衡算法負載均衡算法通過健康檢查來判斷應用服務是否可用健康檢查應用于:服務器與/或服務器：端口與/或服務組健康檢查可以探測應用服務的可用性L3層：ping(icmp)L4層：tcp,udpL7層（應用層）:http,https,ftp,smtp,pop3,snmp,dns,radius,ldap,rtsp,sip,ntp通過創建的腳本多種L3/L4/L7測試方法也可以組合成一個布爾表達式（用“與/或/非”）健康檢查通過健康檢查來判斷應用服務是否可用健康檢查服務器健康檢查如果健康檢查失敗，該服務器會被認為是不可用的，相應的服務組會停止使用該服務器提供負載均衡

注意:默認的服務器健康檢查是icmp方式服務器端口健康檢查如果健康檢查失敗，該服務器端口會被認為是不可用的，相應的服務組會停止使用該服務器端口提供負載均衡

注意:默認的TCP服務端口默認健康檢查為TCP三次握手

服務組的健康檢查如果其中某一個組員健康檢查失敗，則該服務組會停止利用這個組員提供負載均衡

注意:默認服務組不配置健康檢查，服務組中配置的健康檢查優先于服務器中配置的啟用健康檢查服務器健康檢查啟用健康檢查HTTP擴展健康檢查舉例HTTP擴展健康檢查舉例HTTP擴展健康檢查舉例Exampleofgettingtheexpectedresponse,soservicewillbeUPHTTP擴展健康檢查舉例ExampleofgettingHTTP擴展健康檢查舉例ExampleofNOTgettingtheexpectedresponse,soservicewillbeDOWNHTTP擴展健康檢查舉例ExampleofNOTget基于源IP（SourceIP）的會話保持當同一個客戶端的應用訪問流量或連接要求必須終結在同一臺服務器的時候，可以啟用基于源

IP的會話保持基于源IP的會話保持1231230107基于源IP（SourceIP）的會話保持基于源IP的會創建一個源

IP會話保持的模板模板名稱

類型： 端口(按每虛擬服務端口保持)服務器(按每虛擬服務器保持)服務組(按每URL或按每主機保持)超時時間：

不活動的會話保持條目被保留的時間(缺省=5minutes)不用考慮連接限制規則：會忽略在服務器和服務器端口上定義的連接數限制，以及到服務器的新建連接速率限制（缺省=disabled）網絡掩碼:客戶端IP地址哈希值的顆粒度（缺省=55最精細的精確的）將此SourceIP會話保持模板應用于虛擬服務端口上基于源IP的會話保持的模板創建一個源IP會話保持的模板基于源IP的會話保持的模板和源IP保持一樣,Cookie會話保持用于HTTP/HTTPS客戶端要讓他們的連接始終保持在同一個服務器上

但Cookie會話保持提供了更細的粒度,因為即使不同的用戶來自相同的代理(這樣他們就有相同的源IP地址)會通過Cookie會話保持將連接分配到不同的服務器上Cookie會話保持123123Cookie:PHPSESSID=qacrosfkmd3pmnvemfm2s3fgb3Cookie:PHPSESSID=qacrosfkmd3pmnvemfm2s3cqa4和源IP保持一樣,Cookie會話保持用于HTTP/HTT創建一個源地址轉換地址池SourceNATPool名稱：定義模板名稱

起始IP地址：地址池的第一個起始地址（可以是設備的接口地址）終止IP地址：地址池的最后一個地址（可以和“起始IP地址”相同）

注意:如果“起始”和“終止”IP地址相同，則表明此地址池內只有一個IP地址，每一個IP地址在設備上做NAT的時候，能夠支持64K個NAT會話網絡掩碼（設定地址池內IP地址的網絡掩碼）；（可選項）網關:指定一個具體的網關來返回客戶端的請求(可選項）“HA

組”

:指定HA組與源地址轉換地址池綁定將此源地址轉換地址池應用在虛擬服務端口上網絡地址轉換創建一個源地址轉換地址池SourceNATPool網絡最小配置名稱IP地址

（供客戶端訪問）虛擬服務器端口（Vport）虛擬服務器最小配置虛擬服務器最小配置端口類型

(TCP/UDP/HTTP/HTTPS/Fast-HTTP/RTSP/FTP/MMS/

SSL-Proxy/SMTP/SIP/SIP-TCP/SIP-TLS/Others)端口號

服務組虛擬服務端口(vPort)最小配置虛擬服務端口(vPort)如果存在多個虛擬服務器，負載均衡優先處理有精確的虛擬服務器地址的虛擬服務器.例如:slbvirtual-serveracme2port80httpservice-groupacmeslbvirtual-serveremca4port0tcpservice-groupemcaslbvirtual-serverdefaultport0tcpservice-groupdefault上述例子中，虛擬服務器按照列出的順序處理負載均衡工作順序:虛擬服務器如果存在多個虛擬服務器，負載均衡優先處理有精確的虛擬服務器地多個虛擬服務端口按照添加的順序顯示，優先處理最具體的服務端口，例如:slbvirtual-serverdefaultport0tcp

service-groupdefault

port80tcpservice-grouphttp上述例子中優先處理虛擬服務端口負載均衡工作順序:虛擬服務端口(vPort)多個虛擬服務端口按照添加的順序顯示，優先處理最具體的服務端口HTTPRFC2616(/Protocols/rfc2616/rfc2616.html)HTTP(超文本傳輸協議)是一個用未加密的TCP訪問web內容的協議(通常在端口80上)注意:HTTPS使用相同的協議，通過SSL加密保證更高的安全性(通常在端口443上)HTTP是一系列的網絡請求響應事務的集合注意:瀏覽器可以打開多個TCP會話來并行下載一個網站的多個內容(IE5.5/6.0可以并行打開兩個會話,IE8可以并行打開六個會話,Firefox3.x可以并行打開十五個會話)請求和響應通過HTTP頭發送HTTP協議HTTPRFC2616(http://www.w3.主要的請求方法“GETurl”:從服務器請求對象“POSTurl”:發送數據或對象給server其他方式還有:HEAD,CONNECT

主要的請求頭部

“Host”:網站名稱“Connection:Keep-Alive”:客戶端支持使用相同的會話發送接受多個請求和響應

“Accept-Encoding:gzip,deflate”:支持壓縮

“Cookie”:用于跟蹤用戶信息的文本

HTTP請求主要的請求方法HTTP請求主要服務器相應代碼200:成功

301:永久重定向

302:臨時重定向

304:未修改

404:頁面未找到

5xx:服務器錯誤

HTTP響應碼主要服務器相應代碼HTTP響應碼主要的響應頭部

“Last-Modified”:對象最后修改時間

"Etag":實體標記(用于檢測對象的變化)“Connection:Keep-Alive”:服務器支持使用在同一個session下使多個請求和響應"Set-Cookie":要求用戶保存cookie來跟蹤用戶信息

“Cache-Control”/“Pragma”:對象的緩存能力HTTP響應頭主要的響應頭部HTTP響應頭不需要為HTTP負載均衡多增加一個特定的配置–任意的L4層虛擬服務器配置都可以提供HTTP的服務然而,ADC負載均衡設備卻明顯改善HTTP服務

更高的可用性

更好的靈活性

更好的性能/加速

更好的安全性

設備在網頁配置管理頁面上提供了HTTP模板的配置HTTP模板的配置非常靈活應用HTTP模板需要將HTTP模板與虛擬服務器端口相關聯HTTP的負載均衡配置不需要為HTTP負載均衡多增加一個特定的配置–任意的L4HTTP健康檢查設備可以通過健康檢查測試HTTP/HTTPS服務的可用性

HTTP/HTTPS健康檢查需要以下參數:端口:TCP端口方法

(GET或者

HEAD或者

POST)URL下面是可選的參數:用戶名和密碼:用于需要認證的網站

期望:服務器響應代碼或服務器文本維護代碼:自動地標記服務器正在維護中，而不是標記成服務器不可用（down），所以會話保持在該服務器上的用戶依舊還在這臺服務器上面HTTP的負載均衡配置HTTP健康檢查HTTP的負載均衡配置URL故障轉移

當所有服務器失效,設備可以發送一個到備份站點HTTP重定向消息ACOS(config)#slbtemplatehttp<template_name>ACOS(config-http))#failover-url? WORD<length:1-255> FailoverURLNameHTTP的負載均衡配置URL故障轉移HTTP的負載均衡配置在收到錯誤代碼5xx時重發HTTP請求

當服務器回復錯誤代碼5xx時,默認情況下設備會將它轉發到客戶端。重試選項可以讓設備重新發送請求到服務組的另一臺服務器可以使用以下選項:“每個請求中都發生HTTP5xx錯誤時”:客戶端請求重發到一個新的服務器

“發生HTTP5xx錯誤時”:客戶端請求重發到一個新的服務器

，并且30秒內不再將請求發送至回復錯誤代碼的服務器“#”:可以嘗試的服務器數量Logging:事件發生時產生日志文件HTTP的負載均衡配置在收到錯誤代碼5xx時重發HTTP請求HTTP的負載均衡客戶端IP頭插入為了讓服務器記錄客戶端真實IP地址信息，設備可以在HTTP請求頭中插入客戶端的IP地址信息

ACOS(config-http))#insert-client-ipHTTP的負載均衡配置客戶端IP頭插入HTTP的負載均衡配置HTTPS(HTTPoverTLS)RFC2818(/rfc/rfc2818.txt)HTTPS是“安全型”的HTTP協議(通常使用443端口)HTTPS提供了服務器身份認證(使用服務器證書)(可選)客戶端身份認證(使用客戶端證書)加密(使用TLS/SSL)HTTPS協議HTTPS(HTTPoverTLS)RFC2818TLS/SSL是基于公共證書和私有密鑰證書是由證書權威機構（CA）簽發的HTTPS的客戶端首先請求一個服務器的公共證書并驗證該證書是否由可信任的CA中心頒發的當服務器證書驗證有效（名稱、有效期等）之后，客戶端向服務器發送HTTP請求服務器認證TLS/SSL是基于公共證書和私有密鑰服務器認證SYN

(TCPPort443)SYN/ACKACKCLIENT_HELLO

(SSL版本,是否支持加密,數據壓縮算法,SessionID,隨機數)SERVER_HELLO

(SSL版本,是否支持加密,所選數據壓縮算法,指定的SessionID,隨機數)CHANGE_CIPHER_SPEC

(告知服務器后續的客戶端發來的報文都要被加密

)SERVER_DONECERTIFICATE_VERIFY

(客戶端告知服務器已經驗證成功服務器的證書

)CERTIFICATE

(公鑰,認證簽名)CHANGE_CIPHER_SPEC

(告知客戶端后續的服務器發來的報文都要被加密

)FINISHED

FINISHED

SSL協商自此用戶的數據都被加密了SYN(TCPPort443)SYN/ACKACKCL客戶端SSL模板

為了與客戶端啟用HTTPS通信客戶端SSL模板將要出示給客戶端的公共證書私有密鑰(包括它的密碼)支持的SSL密碼(“加密算法")(可選項)客戶端證書請求與客戶端的HTTPS通信客戶端SSL模板與客戶端的HTTPS通信服務器SSL模板為了與服務器啟用HTTPS通信服務器SSL模板支持的SSL密碼(“加密算法")(可選項)那些可以使用的有效的服務器端CA證書與服務器端的HTTPS通信服務器SSL模板與服務器端的HTTPS通信URL重定向

/重寫當服務器響應HTTP重定向時,設備會重寫成一個新的內容ACOS(config)#slbtemplatehttp<template_name>ACOS(config-http)#redirect-rewritesecure重定向SSL卸載URL重定向/重寫重定向SSL卸載SSL卸載緩解了服務器的SSL任務此項功能提供了服務器更快的響應時間和更高的擴展性

設備收到客戶端的HTTPS流量并轉發HTTP到服務器SSL卸載SSL卸載緩解了服務器的SSL任務SSL卸載最大化

每個數據包的載荷提高應用程序性能HTTP壓縮HTTP壓縮緩存的拷貝RAM緩存

靜態和動態遠程員工客戶移動用戶更多的請求原始內容初次請求合作伙伴緩存的拷貝RAM緩存

靜態和動態遠程員工客戶移動用戶更多的請動態緩存范例動態緩存范例技術細節/value.jspURL參數動態緩存技術細節/v動態緩存大幅度提高查詢速度使用A10前使用A10后3.5Sec0.4Sec動態緩存大幅度提高查詢速度使用A10前使用A10后3.5S不緩存客戶端發送帶范圍的HTTP請求(他發送到服務器)不緩存服務器響應頭帶“Vary”字段(除了“Vary:Accept-Encoding”允許壓縮)不緩存服務器響應頭帶“Warning”字段不緩存請求頭有“Authorization”字段(即便服務器指定“cache–control字段為public”)

不緩存不完全（部分的）回應

不支持通配符最多16條緩存策略配置RAM緩存–一些限制

不緩存客戶端發送帶范圍的HTTP請求(他發送到服務器)RAMslbtemplatecachetemp_cachedisable-insert-agedisable-insert-viamax-cache-size290max-content-size5000000default-policy-nocachepolicyuri.jpgcachepolicyuri.gifcachepolicyuri.pngcachepolicyuri.swfcachepolicyuri.csscachepolicyuri.ttfcachepolicyuri.woffcachepolicyuri.icocachepolicyurisys.jsnocachepolicyurii18n.jsnocachepolicyurimd5.jsnocachepolicyuriutil.jsnocachepolicyuri.jspnocachepolicyuri/bi/cacheRAM緩存配置舉例：slbtemplatecachetemp_cacheADC設備提供分布式拒絕服務(DDoS)攻擊防護功能

DDoS

配置

Web界面:CLI:ACOS(config)#ipanomaly-drop<DDoS-type>DDoS防護ADC設備提供分布式拒絕服務(DDoS)攻擊防護功能DD可以使用DDoS過濾器

和系統的基于策略的負載均衡（PBSLB）配合使用，防止無效的HTTP或SSL載荷或者DNS長度為零的TCP窗口亂序報文

DDoS防護可以使用DDoS過濾器和系統的基于策略的負載均衡（PBS使用PBSLB列表:過濾用戶(阻斷用戶或者轉發到特定的服務組中)

基于策略的負載均衡(PBSLB)使用PBSLB列表:基于策略的負載均衡(PBSLB)使用分類列表ClassList可以限制用戶:L4層流量:連接數限制每100毫秒連接速率限制L7層流量(HTTP/HTTPS/DNS):請求數限制

每100毫秒請求速率限制

基于策略的負載均衡(PBSLB)使用分類列表ClassList可以限制用戶:基于策略的負設備支持標準和擴展的訪問控制列表ACL可以被應用到數據接口,管理接口和虛擬服務端口支持重標記,重排列和日志選項(Cisco/Foundry格式)ACL配置

[no]access-listacl-num[seq-num]{permit|deny|remarkstring}ip{any|hosthost-src-ipaddr|net-src-ipaddr{filter-mask|/mask-length}}{any|hosthost-dst-ipaddr|net-dst-ipaddr{filter-mask|/mask-length}}[log[transparent-session-only]訪問控制列表(ACL)設備支持標準和擴展的訪問控制列表訪問控制列表(ACL)設備提供了先進的管理安全選項

提供多個管理賬戶與不同級別的訪問

提供接口級別的管理接入訪問方式(ICMP/Telnet/SSH/HTTP/HTTPS/SNMP)多次輸入錯誤密碼時管理賬戶可以鎖定賬戶

支持RADIUS,TACACS+和LDAP協議進行外部認證,授權和計費私有的分區

管理安全

設備提供了先進的管理安全選項管理安全高可用

VRRP-A高可用VRRP-AVRRP-A可以為8臺設備或L3V分區提供冗余VRRP-A支持任意N+M部署，其中N是活動設備M是備份設備可以跨越多個物理設備在多個L3V分區間構建多個VRRP-A實例

VRRP-A優勢VRRP-Aset-id1VRRP-Aset-id2Dev1Part2Dev2Part2Dev3Part2Dev4Part1Dev4Part2Dev1Part1Dev2Part1Dev3Part1VRRP-A可以為8臺設備或L3V分區提供冗余VRRP-DeviceIDVRRP-A組唯一的設備標識SetID一組設備的唯一標識符，所有設備都必須在一個二層廣播域里

VRRP-A的set-id和device-idDeviceIDVRRP-A的set-id和devicVRID目的

虛擬路由器ID(VRID)用于將一些配置元素進行邏輯分組。所有這些配置元素都會被相同VRRP-A組中的另一個設備用于故障轉移。例如這些配置元素:虛擬服務器

NAT地址池浮動IPs虛擬MAC地址

VRRP-A會為每一個VRID分配一個虛擬MAC地址格式為021f.a000.nnnn，地址的最后2bytes(nnnn)顯示分區ID,set-id和VRID.VRRP-AVRID目的和MAC地址VRID目的VRRP-AVRID目的和MAC地址默認VRIDVRRP-A提供默認VRID，除了分配給用戶指定的VRID外，所有資源默認自動分配到默認VRID中

默認VRID編號是0，用戶指定的VRID不能使用這個數字，默認VRID可以被禁用一臺設備上最多可以配置512個VRID指定VRID

管理員可以指定一個VRID編號(從1到512)并給他們分配資源一般用于有多個活動設備需要多個VRID的場景中

VRRP-AVRID默認編號和用戶指定編號默認VRIDVRRP-AVRID默認編號和用戶指定編號活躍設備（主設備）處理所有流量一個VRID(默認)就可以進行

主備模式部署主備模式VRIDDefault虛擬服務器浮動IPNAT地址池主VRIDDefault虛擬服務器浮動IPNAT地址池備心跳data活躍設備（主設備）處理所有流量主備模式VRIDDefaul設備選舉主備新選出的主設備為虛擬服務器、浮動IP和NATIP發送主動ARP用于應答

主設備處理新的會話主備模式切換

心跳dataVRIDDefault虛擬服務器浮動IPNAT地址池主VRIDDefault虛擬服務器浮動IPNAT地址池備設備選舉主備主備模式切換心跳dataVRIDDe所有設備都處理流量

性能擴展，充分利用各個設備

N+M模式VRID1activeVRID2activeVRID3activeVRID4standbyVRID5standbyVRID6standbyVRID12standbyVRID7standbyVRID8standbyVRID9standbyVRID10standbyVRID11standbyVRID1standbyVRID2standbyVRID3standbyVRID4activeVRID5activeVRID6activeVRID12standbyVRID7standbyVRID8standbyVRID9standbyVRID10standbyVRID11standbyVRID1standbyVRID2standbyVRID3standbyVRID4standbyVRID5standbyVRID6standbyVRID12standbyVRID7activeVRID8activeVRID9activeVRID10standbyVRID11standbyVRID1standbyVRID2standbyVRID3standbyVRID4standbyVRID5standbyVRID6standbyVRID12activeVRID7standbyVRID8standbyVRID9standbyVRID10activeVRID11active所有設備都處理流量N+M模式VRID1VRID2VRI設備選舉主備，主設備發送免費

對性能的影響降到最小

N+M切換VRID1activeVRID2activeVRID3activeVRID4standbyVRID5standbyVRID6standbyVRID12standbyVRID7activeVRID8standbyVRID9standbyVRID10standbyVRID11standbyVRID1standbyVRID2standbyVRID3standbyVRID4activeVRID5activeVRID6activeVRID12standbyVRID7standbyVRID8activeVRID9standbyVRID10standbyVRID11standbyVRID1standbyVRID2standbyVRID3standbyVRID4standbyVRID5standbyVRID6standbyVRID12standbyVRID7standbyVRID8standbyVRID9standbyVRID10standbyVRID11standbyVRID1standbyVRID2standbyVRID3standbyVRID4standbyVRID5standbyVRID6standbyVRID12activeVRID7standbyVRID8standbyVRID9activeVRID10activeVRID11activeX設備選舉主備，主設備發送免費N+M切換VRID1VRIDVRRP-A全局設置device-idn

set-id1

enable為每個設備配置VRRP-A切換觸發機制vrrp-afail-over-policy-template[NAME1-128][gateway|interface|route|trunk|vlan]tracking-optionsroutegateway54priority-cost20device1routegateway54priority-cost20device2

主備模式配置VRRP-A全局設置主備模式配置Priority-cost跟蹤用于搶占模式

追蹤資源的數值將從設備的優先級減去

設備可以最大賦值255(默認150,最小1)優先級可以被管理員隨時改變優先級對非搶占模式不起任何作用

切換策略模板使用權重機制,可以在搶占模式也可以在非搶占模式觸發切換

權重總是可搶占的

權重動態計算并無法被修改

所有設備的權重初始值為65534跟蹤Tracking和切換策略模板比較

Priority-cost跟蹤用于搶占模式跟蹤Track與主備模式配置一樣但是VRID數量要至少和活動設備(主設備)數量保持一致

多主配置應該總是使用搶占模式

每個VRID設備應該交錯配置使得故障切換對性能的影響降到

N+M模式配置VRID1Priority200activeVRID2Priority140standbyVRID3Priority160standbyVRID4Priority180standbyVRID1Priority140standbyVRID2Priority160standbyVRID3Priority180standbyVRID4Priority200activeVRID1Priority160standbyVRID2Priority180standbyVRID3Priority200activeVRID4Priority140standbyVRID1Priority180standbyVRID2Priority200activeVRID3Priority140standbyVRID4Priority160standby與主備模式配置一樣但是VRID數量要至少和活動設備(主設備)注意:VRRP-A的主備選舉和aVCS的vMaster主備選舉是獨立進行的

VRRP-A選舉主設備設備啟動禁用搶占或者優先級一樣?選舉最小ID的設備選舉高優先級高的設備是否權重值是否一樣？是否選舉權重值大的設備VRRP-A選舉主設備設備啟動禁用搶占或者優先級一樣?選舉初始選擇主備以后，設備會保持這個狀態，除非發生以下狀態

備設備收不到來自主設備的VRRP-A心跳

通過VRRP-A策略模板監控到主設備的權重值低于備設備的權重值

主備設備有相同的權重值,全都使能搶占模式,主設備的優先級發生變化低于備設備的優先級

默認通過VRID跟蹤選項監控優先級

也可以管理地改變優先級

觸發切換的條件初始選擇主備以后，設備會保持這個狀態，除非發生以下狀態觸發A1-Active-vMaster[1/1]#showvrrp-adetailall-partitionsdisplayvrrp-astatusforallpartitionsconfigconfigdetaildetailfail-over-policy-templatefailoverpolicytemplatedetailshostidvrrp-adeviceserialnumberorsoftaxUUIDmaccorrespondingvirtualmacsetid-monitor

monitorsetidthathasbeenusedvrid-leadshowallleadvridinthesystem|Outputmodifiers<cr>故障排除:VRRP-A狀態和配置A1-Active-vMaster[1/1]#showvr即時抓

VRRP-A心跳報文或者

存到文件中

A1-Active-vMaster[1/1]#axdebugA1-Active-vMaster[1/1](axdebug)#filter1A1-Active-vMaster[1/1](axdebug-filter:1)#ip10/32A1-Active-vMaster[1/1](axdebug-filter:1)#port4121741217A1-Active-vMaster[1/1](axdebug-filter:1)#exitA1-Active-vMaster[1/1](axdebug)#capturebrief(OR

capturesave<filename>)Waitfordebugoutput,enter<ctrlc>toexit@128833360i(3,300,666d)>ip>10udp48148>41217len62@128833356o(3,300,8b5f)>ip>10udp60249>41217len70@128834112o(3,300,666d)>ip>10udp60249>41217len70@128834112i(3,300,17574)>ip>10udp48148>41217len62故障排除:VRRP-A抓包即時抓VRRP-A心跳報文或者存到文件中故障排除:A1-Active-vMaster[1/1]#showlog|incVRRPDec06201314:57:14Info[HA]:VRRP-Aparid0vrid0statetransitions:ToActive0,ToStandby1Dec06201314:57:14Info[HA]:VRRP-Aparid0vrid0stateswitchfrom2to0(Standby)Dec06201314:57:14Info[HA]:VRRP-Avridstart.parid0groupid1Dec06201314:57:14Info[HA]:VRRP-Avridstart.parid0groupid0Dec06201314:56:53Info[HA]:VRRP-Aparid0vrid0statetransitions:ToActive2,ToStandby2Dec06201314:56:53Info[HA]:VRRP-Aparid0vrid0stateswitchfrom0to1(Active)A1-Active-vMaster[1/1]#showaudit|incDec06201314:56Dec06201314:56:45[admin]cli:reload故障排除:VRRP-A

日志A1-Active-vMaster[1/1]#showloaFleX簡介aFleX簡介aFleX是一個強大的、靈活的夠管理流量和增強服務的工具

aFleX使用業界標準的Tcl(Toolscommandlanguage)語言標準的Tcl命令設備提供了一些專有擴展集aFleX允許:內容插入(頭/數據)處理流量阻斷流量重定向流量到一個特定的服務組或者服務器上修改流量內容aFleX腳本語言aFleX是一個強大的、靈活的夠管理流量和增強服務的工具aFleX腳本由以下三個基本組件構成:事件主體內容動作事件aFleX腳本由事件驅動,這意味著任何時候該事件發生