深信服上网行为管理的学习笔记,由于软件版本更新相关特性可能变动,仅供参考哈。。
权威内容请访问深信服官方社区:https://bbs.sangfor.com.cn/
目录
管理口:10.252.252.252/24、10.254.254.254/24
端口映射优先级低于虚拟服务。如同时存在与虚拟服务相同的端口映射。则虚拟服务更优先
session srcaddr 192.168.133.4 //查看IP会话
未填写虚拟MAC时切换应用组生效设备 -- 高可用模块 主备信息开启MAC同步
DNS相关
全局智能DNS
虚拟地址池
本地DNS映射和全局DNS映射的区别:AD本地(本机)DNS映射用于单个站点,非分布式环境中;全局(多机)DNS映射用于多个站点,分布式环境中,并且各个站点的全局DNS映射配置可以相互同步
- 本地虚拟IP池
• 作用于本地DNS映射
• 本地DNS映射主要是实现域名和虚拟IP池中地址的映射关系,当有域名记录的请求访问设备时,返回IP池中记录的IP地址,实现域名解析
- 全局虚拟IP池
• 作用于全局DNS映射
• AD全局DNS映射用于用户在不同的地方有相同的服务器提供服务,然后用户通过同一个域名访问,通过AD可以实现不同用户的地方,选择最快的链路来接入访问服务器
同步角色
- 不同步 -- 不参与全局同步
- 从属 -- 从其它数据中心下载配置文件到本站
- 主控 -- 向其它数据中心下发本站的全局文件配置
- 双向 -- 同时扮演上传和下载角色
同步公差
- 两个数据中心间的配置文件修改时间差的阈值
- 两个数据中心配置文件修改时间差值大于[同步公差],表明修改时间较早的数据中心配置文件需要被更新
- 当两个数据中心配置文件修改时间的差值小于等于[同步公差]时,表明两个数据中心的配置文件被视为等效且不同步
- 类似于心跳包,小于心跳时间说明需要更改配置文件,大于心跳时间等效??
全局应用负载
- 本地服务设备
• SNMP 161
通信同步端口 : TCP 558
本地智能DNS
调度原则
- 智能DNS优先级高于内网DNS
- 一级调度,选虚拟IP池:域名---IP映射(一级调度)---设置虚拟IP池
- 二级调度,池里选IP:域名---虚拟IP池(二 级调度)---设置DNS映射
调度策略
- 轮询
• 交替调度
- 加权轮询
• 按权值交替调度
- 哈希
• 对DNS请求的源IP进行运算
- 动态就近性
• 依据来源LDNS到各个链路IP时延,返回时延最小的IP
- 首个可用
- 加权最小链接
• 返回所在链路连接数加权后的结果
- 加权最小流量
- 静态就近性
- 返回所有IP
- 拒绝【备选策略】
• 向客户端返回拒绝信息
- 丢弃【备选策略】
• 直接丢包不回应
- 返回备用IP【备选策略】
• 当首选调度失败则返回该IP
监视地址
- 默认监视所有地址,但也可以指定
健康状态检查
- 开启调试日志
• 系统日志中产生详细连接记录 -- 不建议开启,会将正常日志刷掉
延迟切换
- 需要人为干预切换时才启用,建议禁用
DNS代理
终端PC DNS配置
- AD监听地址
- DNS服务器列表里的IP
DNS会话保持
- dproxy_cmd dump_ldns_ps //可以查看单台PC重复发起DNS请求,AD间返回同一IP,默认为300秒
- dproxy_cmd flush_ldns_ps //清除DNS会话保持
代理策略
- 轮询 //1:1
- 加权轮询 //越大约优先
- 加权最小流量
- 优先级
缓存
- AD直接返回DNS结果,不像LDNS发请求
并发查询
- 谁先返回谁优先
代理目标范围
- 指定服务器
• 仅代理向DNS服务器列表内和发给监听地址的DNS请求
- 指定域名
• 仅代理匹配前置调度策略中地址集的DNS请求
• 内网记录中的所有DNS请求
- 全部DNS请求
• 代理目前地址为任意的DNS查询请求
前置调度策略
- 某些域名通过指定的DNS解析
- 某些用户通过指定DNS解析
其它注意实现
智能DNS
- 增大TTL,防止NS迭代过多或跨运营商开销导致DNS请求超时,尽量避免每次均从AD返回结果
网络配置
接口
拨号接口PPPOE:7.0.3以上
管理口:10.252.252.252/24、10.254.254.254/24
交换口
- a) AD交换网口用于将AD设备的多个网口从逻辑上合并成一个二层交换机的接口,其中AD的每个网口都可以当做一个二层交换机的接口来处理,
- b) 常见场景:用于口字形上下主备不能联动切换的情况下,上下互联口全部配置为交换口,并共享一个IP地址,并同步端口的MAC地址。
- c) 端口聚合:加大带宽+链路冗余
WAN口
- 智能DNS调度仅针对WAN口属性接口生效
- 虚拟服务只能关联WAN口属性的接口
- WAN口入站路由转发
• 无法进行除虚拟服务、DNS、源地址转换、端口映射、远程登录、匹配智能路由或静态路由之外的数据传输
聚合网口
- 哈希
基于源IP和目的IP计算hash,选择相应接口
- 轮询
- 802.3ad
1、LACP自动协商2、自动选择带宽链路最大为主链路,其余为备链路。如带宽一样,则采用哈希算法发送数据。
- 冗余双网卡
多个物理网口绑定为一个逻辑接口,只有一个物理网口处于工作状态,当主网口宕掉后备网口切换成主网口工作。
vlan子接口(vlan接口)
- 基于网口、聚合口生效
- TRUNK标签
地址转换/端口映射
自动SNAT
手动SNAT优先级高于自动SNAT
端口映射优先级低于虚拟服务。如同时存在与虚拟服务相同的端口映射。则虚拟服务更优先
iptables -t nat -xnvl
发布内网服务器
- 只有勾选了发布内网服务器才会使LAN口进来的数据匹配WAN口配置的DNAT,705以上版本发布内网服务器的入站接口为LAN口;704需每个LAN分别指定
路由
路由优先级
- ACL>静态路由>动态路由>智能路由
AD禁止配置8个0默认路由,会导致动态路由和智能路由失效
ipv6需要配置目的网段为0::0的默认路由
静态路由
- 网关健康度检查:arp检测网关状态,判断链路状态
- 权重:多路径路由,相同则hash等价负载,不同大优先
- ipv6不支持重分发
智能路由
- 清除会话保持
部署模式
a) 路由模式=入站负载+出站负载+服务器负载
b) 单臂模式=服务器负载+入站负载,不支持出站负载
- i. AD设备旁路部署时,必须使用WAN口连接到交换机,WAN可以和服务器同一网段,如不在同网段,则需保证AD和服务器路由可达
- ii. 单臂部署,需要WAN口授权
- iii. 单臂部署,需配置SNAT和默认路由
- iv. 若服务需发布到公网,需在边界设备做端口映射给AD(全映射或服务器相关端口)
c)多线单臂=入站负载+出站负载+服务器负载
特性
网络安全
外/内网防DDOS
ACL
- 高级ACL
• 虚拟服务模块,配置虚拟服务并发连接数
- 标准ACL
• IP不在AD网口上:ACL放通80/85/443/1000/22345
• IP在AD网口上:无法拦截控制台相关端口,控制台端口由于ACL
ARP/ND防护
ARP代理
管理员安全
- AD域认证
- radius认证
调试排障
连接会话查询
- 智能路由的会话保持查询
抓包排查
- 不抓 808,830,1360 端口的数据包
下载黑盒日志
- 要求过去 30 天内,范围要求少于 7 天
缓存查询
- 查询虚拟服务中的某个 URL 是否被 AD 设备缓存
- 清除缓存
缓存缺失查询
- 统计一段时间某URL未缓存次数和不缓存原因
- 支持通配符查询URL
会话保持查询
- 虚拟服务的会话保持(源 IP)查询
ipro
Lua语言编写,7层虚拟服务
TCP策略
TCP时间戳
- 4层TCP时间戳
• 抹除
• 改写
• 保存不变
- 7层TCP时间戳
• 服务器与AD建立TCP连接,不能改写时间戳,否则会导致SYN出错导致不回包
TCP连接池
ip-anycast任意播
注意
- 网关地址是AD接口上的地址
- 代价值越低越优先
广播触发条件
- 始终广播
- 任一虚拟服务可用广播
- 改IP发布的任意虚拟服务可用广播
路由开销决定最终目的调度
虚拟服务
前置调度策略
- 策略匹配
- 常见动作
• 数据改写:例如请求改写URI
• 内容改写在accept-encoding字段生效时失效
• 不支持HTTP1.0
• /需要配置转义字符,/ --- //
• 返回内容:例如302跳转
• 节点调度
• 源IP调度
• 依据请求URL调度
- 前置调度策略优于虚拟服务节点池调度
服务类型
- 常见7层虚拟服务
• HTTP
• HTTPS
七层HTTPS既做SSL卸载,也做HTTP协议解析,可配置改写等策略,相当于七层HTTP+SSL卸载
• TCP-L7
• 7层SSL
并不做协议解析,内容纯转发,相当于七层TCP+SSL卸载
• 全负载。前端(PC-AD)和后端(AD-SRV)分别一条连接,相互独立
• 七层后端连接都有优先使用客户端的源端口。使用tcp.port == xxx可以过滤到相同端口的数据包
• 数据包中可唯一区别数据包的字段
最低0.47元/天 解锁文章
扫一扫
1007
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
