A10负载均衡及运维培训forv4x课件

A10负载均衡及运维培训forv4x硬件物理结构基础理论介绍

内容提要高可用业务配置举例故障处理产品功能概述售后开CASE流程A10监控及运维硬件物理结构TH840硬件物理结构TH930硬件物理结构TH1030S硬件物理结构TH3230（S）硬件物理结构Console

RS232参数设置产品功能概述ACOS共享内存架构ACOS共享内存架构传统的IPC架构L4-7

CPU1L4-7

CPU2L4-7

CPU3L4-7

CPU4L4-7

CPU5High-speed

SharedMemoryL4-7

CPU1L4-7

CPU2L4-7

CPU3L4-7

CPU4L4-7

CPU5CommunicationBus应用交付服务整体架构图集中管理（RESTfulAPI,监控,云平台,自动化）应用服务L4-7交付协议内容优化SSL安全DDoS高可用IPsec定制化扩展NAT访问控制专有IT系统托管IT系统CloudIaaS任何设备任何地点任何应用任何模式f提高应用可靠性–4层负载均衡Cookie持续目的IP持续源IP持续SSL会话ID持续会话保持分配流量监控服务器健康度Round

RobinLeastConnectionsService

Least

ConnectionFastest

Response

TimeSource

IP

HashManymore…TCPUDPHTTPHTTPSFTPCOMPOUNDManymore…TCP与UDP客户请求

AnythinginrequestbodyDeviceTypeLanguageCookieBrowserCapability客户端属性

AnyTCPRequestHTTPGetHTTPPost请求协议请求方法AnyTCPpayloadvalueAnyHTTPpayloadvalueDomainWildcardURL提高应用可靠性–7层负载均衡在线服务器维护-服务器温暖上线/下线A10

Thunder控制队列把发送给服务器的流量速率控制在合理范围

温暖上线-服务器慢启动

温暖下线-下线后在设置的时间内继续处理已有的连接应用请求客户端A10收到并终结客户端连接客户端传送应用请求A10建立服务器连接客户端连接通过A10与服务器之间的连接传送客户端请求更多的客户端遵循相同的过程多个客户端请求可以通过公共的可复用的服务器连接传送TCP卸载服务器服务器连接应用请求降低资源负载-TCP连接复用aFleX脚本：灵活的应用控制/bbsa.jpegNews.htmljpeg_serversbbs_serversweb_serversbbs.jpegwhenHTTP_REQUEST_DATA{{ if{[HTTP::URI]start_with

“bbs"}{ poolbbs_servers }elseif{[HTTP::URI]end_with

“.jpeg"

{ pooljpeg_servers }else{ poolweb_servers }应用逻辑对象可视化工具中文WEB界面管理与维护Thunder系列ADC硬件平台虚拟机箱(aVCS)vThunder

for

Vmware/KVM/XenA10

Vthunder产品ThunderSeries虚拟分区(ADP)ThunderHVA硬件虚拟化ADCUtility(UBM)Rent(PGM)在云中按需购买的ADC业务aCloudServicesCloudDataCenter,Containers

&VirtualizedDCTPSAnti-DDOS160G吞吐量CFWDCFWIpsecVPNADCGSLB/SLB/LLBSSL卸载WAF5~300G吞吐量CGNNAT44/642.5亿并发ADCaaSThunderSeriesApplianceCloud

InstancesLightningADCVirtualSSLiSSL透视3~40G吞吐量SECUREAPPLICATIONSERVICESCHOICEaGALAXYMANAGEMENTAdvancedCoreOperatingSystem(ACOS)BareMetalA10

Networks应用交付方案LIGHTNINGCONTROLLER基础理论介绍通过CLI方式Console(RS-232连接/9600,8,N,1)

Telnet(默认关闭)

SSHv2通过Web方式HTTP

(默认关闭)HTTPS

认证级别CLI:

登录的用户名/密码特权模式的用户名密码Web:管理员权限(读写/只读)ADC的访问方式CLI:用户级别正式名称通俗名称提示符用户权限用户模式user模式>可以监控SLB&CGN，做备份,使用简单的诊断工具。从这个级别的用户不能更改配置。特权模式enable模式#继承用户模式的权限，还可以管理和监控系统，但不能修改SLB或CGN的配置。

特权模式下的配置模式config模式(config)#继承特权模式的权限，还可以配置SLB或CGN

在特权模式下的命令，可以在本模式前面加do后执行。冗余模式下Thunder-Active>Thunder-Standby>集群模式下Thunder-Active-vMaster[7/1]>Thunder-Standby-vBlade[7/2]>抓包模式下Thunder(axdebug)#修改Hostname后Thunder(config)#hostnameMyThunder1MyThunder1(config)#CLI:额外的一些提示符命令选择

Thunder>showhealthmonitor?WORD<length:1-31> Name

all-partitions Allpartitionconfigurations

partition Per-partitionconfigurations

| Outputmodifiers命令消岐

Thunder>showic?icmp

DisplayICMPstatistics

icmpv6 DisplayICMPv6statistics命令补全Thunder>showrad<tab>

Thunder>showradius-serverCLI:帮助命令no作为撤销命令Thunder(config)#ipnatpoolnat156netmask/24

vThunder(config)#showipnatpoolTotalIPNATPools:1

PoolNameStartAddressEndAddressMaskGatewayHAGroupVrid

nat156/240defaultThunder(config)#noipnatpoolnat1

Thunder(config)#showipnatpoolTotalIPNATPools:0CLI:撤销命令配置时“noenable”命令效果和“disable”命令效果一致Thunder#showrun|secslbslbservers18Thunder(config)#slbservers1Thunder(config-realserver)#noenable Thunder#showrun|secslbslbservers18

disableCLI:禁用配置正则表达式的一个子集,可以在命令行中使用. 匹配任何单个字符，包括空格

* 匹配前面的子表达式零次或多次

+

匹配前面的子表达式一次或多次

?

匹配前面的子表达式零次或一次

^

匹配输入字符串的开始位置

$

匹配输入字符串的结束位置

_

强调匹配一个逗号“,”,左大括号

“{”,右大括号“}”,左括号“(”,

右括号“)”,字符串的开始位置,字符串的结束位置,

或者一个空格CLI:正则表达式ADC

支持用管道符加section

和

include命令过滤显示内容Section显示匹配输入内容的那一段配置

ACOS#showrun|secslbslbservers18

port80tcp

slbservice-grouphttptcp

members1:80Include

显示匹配输入内容的那一行的配置ACOS#showrun|incslbslbservers18

slbservice-grouphttptcpCLI:过滤输出(section&include)

管道符“|”和inc

或者sec共同使用表示或者，使用“\”表示无空格

ACOS#showrun|inctacacs\|radiustacacs-serverhost00secret(encrypted_secret)port49timeout12

radius-serverhost00secret(encrypted_secret)CLI:或者命令Exit命令可以一级一级退出

ACOS(config-slbvserver-vport)#exitACOS(config-slbvserver)#exitACOS(config)#exitACOS#exitACOS>End直接退出配置模式ACOS(config-slbvserver-vport)#endACOS#exitACOS>Ctrl-C是exit

的快捷键

Ctrl-Z是end的快捷键

CLI:退出当前视图在CLI里,用以下命令一级一级进行配置

systemredundancy+clusteringserversnatpoolstemplatesvirtualservervirtualserverportCLI:工作流设备管理口默认IP地址为1，需要将电脑网卡IP地址设置在同一网段：使用https://1进行登录，默认的登录用户名：“admin”，密码：“a10”

，如下图:

登录Web界面Monitor相当于CLI的user模式Config相当于CLI的config模式Web界面:用户级别在Web界面里,你可以用以下方式进行配置

ADC>SLB>VirtualServer(然后添加vPort)必要的配置信息的名字是自动创建的，WEB界面里的虚拟服务配置将在CLI层面转化为虚拟服务器和虚拟端口

ACOS#showrun|secslbslbserver_s_88

port80tcp

slbserver_s_99

port80tcp

slbservice-grouphttptcp

member_s_8:80

member_s_9:80

slbvirtual-server_2_vserver2

port80http

namevip1-http

service-grouphttpWeb界面:工作流CLI的优点

结构性强，便于理解

更适于故障诊断，因为可以在一个界面上同时显示所有配置

可以快速配置

操作设备时需要的带宽更小

Web界面的优点更灵活的配置方式友好的界面

更适用于监控，因为有图形化的显示

CLI与Web界面对比命名配置文件的好处

维护多个配置

为每个分区选择不同名字的启动配置

复制和编辑配置文件时不影响正常操作

两个物理分区维护一个配置

创建新的配置文件

ACOS#writememory<new_profile>

ACOS(config)#copy<existing_profile><new_profile>查看所有配置文件

ACOS#showstartup-configall将配置文件关联到启动文件ACOS(config)#linkstartup-config<profile_name>[primary|secondary]命名配置文件配置备份Web界面:系统>维护>备份>系统CLI:ACOS(config)#backupsystem[…]配置恢复Web界面:系统>维护>恢复

>系统CLI:ACOS(config)#restore[…]注意

:支持这些协议上传

:FTP,SFTP,SCP,RCP,TFTP,andHTTPS(通过Web界面)系统配置备份和恢复ACOS#export?running-config RunningConfig

ssl-cert SSLCertFile

ssl-cert-key

SSLCert/KeyFile

ssl-crl SSLCrlFile

ssl-key SSLKeyFile

aflex aFleXScriptSourceFile

bw-list Black/WhiteListFile

class-list ClassListFile

axdebug AXDebugPacketFile

debug_monitor DebugMonitorOutput

startup-config StartupConfig

syslog Syslogfile

thales-secworld Thalessecurityworldfiles-in.tgzformat

thales-kmdata ThalesKmdatafiles-in.tgzformat

dnssec-dnskey DNSSECDNSKEY(KSK)fileforthezone

dnssec-ds DNSSECDSfileforthezone

ip-map-list

IPMapListFile备份其他配置你可以通过下面的方式清除配置但保留登录设备的配置

ACOS(config)#erase? preserve-managementPreservemanagementipanddefaultgateway

preserve-accountsPreserveadminaccounts

reloadReloadaftererase

<cr>这个命令也可以清除与现在关联的启动配置文件（除了要保留的配置），而且不影响其他配置文件配置清除系统软件存储在两个磁盘分区:主分区和备分区

设计备分区的目的在于便于配置回滚

两个

CompactFlash分区:主分区和备分区

设计CF

卡用于应急恢复

注意:每个存储分区都有自己的系统软件和配置文件系统软件存储位置检查系统软件正用于哪个磁盘分区Web界面:面板

\系统(系统信息)

CLI:ACOS#showbootimage在另个一个磁盘分区配置升级Web界面:系统

>维护

>升级

CLI:ACOS(config)#upgrade[…]

将正在运行的配置拷贝到另一个磁盘分区或者关联到另一个磁盘分区的启动文件ACOS#writememory[primary|secondary]ACOS(config)#linkstartup-config<profile_name>[primary|secondary]设置从另一个磁盘分区启动Web界面:系统>设置

>启动映像

CLI:ACOS(config)#bootimagehd[primary|secondary]系统软件升级回滚到出厂配置CLI:ACOS(config)#system-reset

ACOS(config)#end

ACOS#reboot第一步的配置

用Console连接ADC(9600

波特率-8

比特–无奇偶校验-1

停止位)默认用户名/密码:admin/a10配置管理接口和默认网关用CLI或者Web界面完成余下配置初始化配置ACOSlogin:adminPassword:ACOS>enPassword:ACOS#confACOS(config)#interfacemanagementACOS(config-if:management)#ipaddress1

/24ACOS(config-if:management)#ipdefault-gatewayACOS(config-if:management)#exitACOS(config)#exit初始化配置举例A10负载均衡基础概念服务器负载服务器负载服务器负载确保流量分配最合理应用程序故障转移确保不间断的可用性不平均的用户流量平均的服务器流量MoviesHomepageFinanceGamesPhotos负载均衡的主要目的客户端Web服务器Server定义真实服务器的IP地址、端口、以及其他服务器相关的参数Servicegroup定义某个业务端口所属的真实服务器IP及端口的集合Virtualserver定义某个VIP上需要发布的业务和端口Template各种可以在多个模式下复用的策略Healthmonitor健康检测，可以在server、servicegroup两个层面启用基础概念拓扑:单臂

源地址转换SNAT模式SourceIPDestIP0SourceIPDestIP000DestIPSourceIP0DestIPSourceIP000/24VIP=0SNAT=0/24100.0.1.[100-200]核心交换机用户旁路部署方式核心交换机A10负载均衡设备A10负载均衡设备服务器部署简单，无需改变现有拓扑结构可以不改变现有VLAN，IP地址规划无需更改服务器网关，不进行负载均衡的流量可直接通过交换机转发，效率较高对防火墙部署小，策略迁移简单扩展能力强由于上述优势，旁路部署是行业惯例和大部分用户的共识拓扑:单臂

不用源地址转换SNAT模式SourceIPDestIP0SourceIPDestIP00DestIPSourceIP0DestIPSourceIP00/24VIP=0/24100.0.1.[100-200]核心交换机用户串接部署方式核心交换机A10负载均衡设备A10负载均衡设备服务器部署复杂，需要改变现有网络连接。通常也需要改变服务器的VLAN和IP地址规划需要改变服务器网关，不论是否需要负载均衡的流量都必须穿过负载均衡设备对防火墙的安全域部署造成严重干涉，甚至无法与防火墙共存扩展能力受限由于上述弊病，实际应用中，几乎系统没有采用串接方式部署负载均衡设备拓扑:DSR模式（三角传输）

/24SourceIPDestIP0

SLBMACSourceIPDestIP0

ServerMACDestIPSourceIP0VIP=0/24LoopbackIP=VIP=0100.0.0.[100-200]优点:高度的伸缩性(ADC只处理入方向的流量)拓扑:DSR模式缺点:不能使用ADC的任何七层特性(aFleX

仍然可以在虚拟端口级别下应用)需要在每台服务器上在loopback口配置虚IP/24VIP=0/24100.0.0.[100-200]LoopbackIP=VIP=0负载均衡需要配置以下三个核心组件:服务器，服务组，虚拟服务器(VIPs)服务器负载均衡(SLB)最小配置服务器名IPaddress（可以使用DNS域名）服务端口（Ports）服务器配置Web界面:配置>服务>SLB>服务器CLI:AX(config)#slbserver<name>[…]服务器状态和统计Web界面:监控>服务>SLB>服务器CLI:AX#showslbserver[…]服务器最小配置名字类型

(TCP/UDP)负载均衡算法至少一个服务器/端口服务组服务组–负载均衡算法轮询Round-Robin最少连接数LeastConnection服务的最少连接数ServiceLeastConnection加权轮询WeightedRoundRobin加权最少连接数WeightedLeastConnection服务的加权最少连接数ServiceWeightedLeastConnection最快响应时间FastestResponsetime最少的请求数LeastRequest严格的轮询RoundRobinStrict无状态Stateless

负载均衡算法通过健康检查来判断应用服务是否可用健康检查应用于:服务器与/或服务器：端口与/或服务组健康检查可以探测应用服务的可用性L3层：ping(icmp)L4层：tcp,udpL7层（应用层）:http,https,ftp,smtp,pop3,snmp,dns,radius,ldap,rtsp,sip,ntp通过创建的脚本多种L3/L4/L7测试方法也可以组合成一个布尔表达式（用“与/或/非”）健康检查服务器健康检查如果健康检查失败，该服务器会被认为是不可用的，相应的服务组会停止使用该服务器提供负载均衡

注意:默认的服务器健康检查是icmp方式服务器端口健康检查如果健康检查失败，该服务器端口会被认为是不可用的，相应的服务组会停止使用该服务器端口提供负载均衡

注意:默认的TCP服务端口默认健康检查为TCP三次握手

服务组的健康检查如果其中某一个组员健康检查失败，则该服务组会停止利用这个组员提供负载均衡

注意:默认服务组不配置健康检查，服务组中配置的健康检查优先于服务器中配置的启用健康检查HTTP扩展健康检查举例HTTP扩展健康检查举例Exampleofgettingtheexpectedresponse,soservicewillbeUPHTTP扩展健康检查举例ExampleofNOTgettingtheexpectedresponse,soservicewillbeDOWN基于源IP（SourceIP）的会话保持当同一个客户端的应用访问流量或连接要求必须终结在同一台服务器的时候，可以启用基于源

IP的会话保持基于源IP的会话保持1231230107创建一个源

IP会话保持的模板模板名称

类型： 端口(按每虚拟服务端口保持)服务器(按每虚拟服务器保持)服务组(按每URL或按每主机保持)超时时间：

不活动的会话保持条目被保留的时间(缺省=5minutes)不用考虑连接限制规则：会忽略在服务器和服务器端口上定义的连接数限制，以及到服务器的新建连接速率限制（缺省=disabled）网络掩码:客户端IP地址哈希值的颗粒度（缺省=55最精细的精确的）将此SourceIP会话保持模板应用于虚拟服务端口上基于源IP的会话保持的模板和源IP保持一样,Cookie会话保持用于HTTP/HTTPS客户端要让他们的连接始终保持在同一个服务器上

但Cookie会话保持提供了更细的粒度,因为即使不同的用户来自相同的代理(这样他们就有相同的源IP地址)会通过Cookie会话保持将连接分配到不同的服务器上Cookie会话保持123123Cookie:PHPSESSID=qacrosfkmd3pmnvemfm2s3fgb3Cookie:PHPSESSID=qacrosfkmd3pmnvemfm2s3cqa4创建一个源地址转换地址池SourceNATPool名称：定义模板名称

起始IP地址：地址池的第一个起始地址（可以是设备的接口地址）终止IP地址：地址池的最后一个地址（可以和“起始IP地址”相同）

注意:如果“起始”和“终止”IP地址相同，则表明此地址池内只有一个IP地址，每一个IP地址在设备上做NAT的时候，能够支持64K个NAT会话网络掩码（设定地址池内IP地址的网络掩码）；（可选项）网关:指定一个具体的网关来返回客户端的请求(可选项）“HA

组”

:指定HA组与源地址转换地址池绑定将此源地址转换地址池应用在虚拟服务端口上网络地址转换最小配置名称IP地址

（供客户端访问）虚拟服务器端口（Vport）虚拟服务器最小配置端口类型

(TCP/UDP/HTTP/HTTPS/Fast-HTTP/RTSP/FTP/MMS/

SSL-Proxy/SMTP/SIP/SIP-TCP/SIP-TLS/Others)端口号

服务组虚拟服务端口(vPort)如果存在多个虚拟服务器，负载均衡优先处理有精确的虚拟服务器地址的虚拟服务器.例如:slbvirtual-serveracme2port80httpservice-groupacmeslbvirtual-serveremca4port0tcpservice-groupemcaslbvirtual-serverdefaultport0tcpservice-groupdefault上述例子中，虚拟服务器按照列出的顺序处理负载均衡工作顺序:虚拟服务器多个虚拟服务端口按照添加的顺序显示，优先处理最具体的服务端口，例如:slbvirtual-serverdefaultport0tcp

service-groupdefault

port80tcpservice-grouphttp上述例子中优先处理虚拟服务端口负载均衡工作顺序:虚拟服务端口(vPort)HTTPRFC2616(/Protocols/rfc2616/rfc2616.html)HTTP(超文本传输协议)是一个用未加密的TCP访问web内容的协议(通常在端口80上)注意:HTTPS使用相同的协议，通过SSL加密保证更高的安全性(通常在端口443上)HTTP是一系列的网络请求响应事务的集合注意:浏览器可以打开多个TCP会话来并行下载一个网站的多个内容(IE5.5/6.0可以并行打开两个会话,IE8可以并行打开六个会话,Firefox3.x可以并行打开十五个会话)请求和响应通过HTTP头发送HTTP协议主要的请求方法“GETurl”:从服务器请求对象“POSTurl”:发送数据或对象给server其他方式还有:HEAD,CONNECT

主要的请求头部

“Host”:网站名称“Connection:Keep-Alive”:客户端支持使用相同的会话发送接受多个请求和响应

“Accept-Encoding:gzip,deflate”:支持压缩

“Cookie”:用于跟踪用户信息的文本

HTTP请求主要服务器相应代码200:成功

301:永久重定向

302:临时重定向

304:未修改

404:页面未找到

5xx:服务器错误

HTTP响应码主要的响应头部

“Last-Modified”:对象最后修改时间

"Etag":实体标记(用于检测对象的变化)“Connection:Keep-Alive”:服务器支持使用在同一个session下使多个请求和响应"Set-Cookie":要求用户保存cookie来跟踪用户信息

“Cache-Control”/“Pragma”:对象的缓存能力HTTP响应头不需要为HTTP负载均衡多增加一个特定的配置–任意的L4层虚拟服务器配置都可以提供HTTP的服务然而,ADC负载均衡设备却明显改善HTTP服务

更高的可用性

更好的灵活性

更好的性能/加速

更好的安全性

设备在网页配置管理页面上提供了HTTP模板的配置HTTP模板的配置非常灵活应用HTTP模板需要将HTTP模板与虚拟服务器端口相关联HTTP的负载均衡配置HTTP健康检查设备可以通过健康检查测试HTTP/HTTPS服务的可用性

HTTP/HTTPS健康检查需要以下参数:端口:TCP端口方法

(GET或者

HEAD或者

POST)URL下面是可选的参数:用户名和密码:用于需要认证的网站

期望:服务器响应代码或服务器文本维护代码:自动地标记服务器正在维护中，而不是标记成服务器不可用（down），所以会话保持在该服务器上的用户依旧还在这台服务器上面HTTP的负载均衡配置URL故障转移

当所有服务器失效,设备可以发送一个到备份站点HTTP重定向消息ACOS(config)#slbtemplatehttp<template_name>ACOS(config-http))#failover-url? WORD<length:1-255> FailoverURLNameHTTP的负载均衡配置在收到错误代码5xx时重发HTTP请求

当服务器回复错误代码5xx时,默认情况下设备会将它转发到客户端。重试选项可以让设备重新发送请求到服务组的另一台服务器可以使用以下选项:“每个请求中都发生HTTP5xx错误时”:客户端请求重发到一个新的服务器

“发生HTTP5xx错误时”:客户端请求重发到一个新的服务器

，并且30秒内不再将请求发送至回复错误代码的服务器“#”:可以尝试的服务器数量Logging:事件发生时产生日志文件HTTP的负载均衡配置客户端IP头插入为了让服务器记录客户端真实IP地址信息，设备可以在HTTP请求头中插入客户端的IP地址信息

ACOS(config-http))#insert-client-ipHTTP的负载均衡配置HTTPS(HTTPoverTLS)RFC2818(/rfc/rfc2818.txt)HTTPS是“安全型”的HTTP协议(通常使用443端口)HTTPS提供了服务器身份认证(使用服务器证书)(可选)客户端身份认证(使用客户端证书)加密(使用TLS/SSL)HTTPS协议TLS/SSL是基于公共证书和私有密钥证书是由证书权威机构（CA）签发的HTTPS的客户端首先请求一个服务器的公共证书并验证该证书是否由可信任的CA中心颁发的当服务器证书验证有效（名称、有效期等）之后，客户端向服务器发送HTTP请求服务器认证SYN

(TCPPort443)SYN/ACKACKCLIENT_HELLO

(SSL版本,是否支持加密,数据压缩算法,SessionID,随机数)SERVER_HELLO

(SSL版本,是否支持加密,所选数据压缩算法,指定的SessionID,随机数)CHANGE_CIPHER_SPEC

(告知服务器后续的客户端发来的报文都要被加密

)SERVER_DONECERTIFICATE_VERIFY

(客户端告知服务器已经验证成功服务器的证书

)CERTIFICATE

(公钥,认证签名)CHANGE_CIPHER_SPEC

(告知客户端后续的服务器发来的报文都要被加密

)FINISHED

FINISHED

SSL协商自此用户的数据都被加密了客户端SSL模板

为了与客户端启用HTTPS通信客户端SSL模板将要出示给客户端的公共证书私有密钥(包括它的密码)支持的SSL密码(“加密算法")(可选项)客户端证书请求与客户端的HTTPS通信服务器SSL模板为了与服务器启用HTTPS通信服务器SSL模板支持的SSL密码(“加密算法")(可选项)那些可以使用的有效的服务器端CA证书与服务器端的HTTPS通信URL重定向

/重写当服务器响应HTTP重定向时,设备会重写成一个新的内容ACOS(config)#slbtemplatehttp<template_name>ACOS(config-http)#redirect-rewritesecure重定向SSL卸载SSL卸载缓解了服务器的SSL任务此项功能提供了服务器更快的响应时间和更高的扩展性

设备收到客户端的HTTPS流量并转发HTTP到服务器SSL卸载最大化

每个数据包的载荷提高应用程序性能HTTP压缩缓存的拷贝RAM缓存

静态和动态远程员工客户移动用户更多的请求原始内容初次请求合作伙伴动态缓存范例技术细节/value.jspURL参数动态缓存动态缓存大幅度提高查询速度使用A10前使用A10后3.5Sec0.4Sec不缓存客户端发送带范围的HTTP请求(他发送到服务器)不缓存服务器响应头带“Vary”字段(除了“Vary:Accept-Encoding”允许压缩)不缓存服务器响应头带“Warning”字段不缓存请求头有“Authorization”字段(即便服务器指定“cache–control字段为public”)

不缓存不完全（部分的）回应

不支持通配符最多16条缓存策略配置RAM缓存–一些限制

slbtemplatecachetemp_cachedisable-insert-agedisable-insert-viamax-cache-size290max-content-size5000000default-policy-nocachepolicyuri.jpgcachepolicyuri.gifcachepolicyuri.pngcachepolicyuri.swfcachepolicyuri.csscachepolicyuri.ttfcachepolicyuri.woffcachepolicyuri.icocachepolicyurisys.jsnocachepolicyurii18n.jsnocachepolicyurimd5.jsnocachepolicyuriutil.jsnocachepolicyuri.jspnocachepolicyuri/bi/cacheRAM缓存配置举例：ADC设备提供分布式拒绝服务(DDoS)攻击防护功能

DDoS

配置

Web界面:CLI:ACOS(config)#ipanomaly-drop<DDoS-type>DDoS防护可以使用DDoS过滤器

和系统的基于策略的负载均衡（PBSLB）配合使用，防止无效的HTTP或SSL载荷或者DNS长度为零的TCP窗口乱序报文

DDoS防护使用PBSLB列表:过滤用户(阻断用户或者转发到特定的服务组中)

基于策略的负载均衡(PBSLB)使用分类列表ClassList可以限制用户:L4层流量:连接数限制每100毫秒连接速率限制L7层流量(HTTP/HTTPS/DNS):请求数限制

每100毫秒请求速率限制

基于策略的负载均衡(PBSLB)设备支持标准和扩展的访问控制列表ACL可以被应用到数据接口,管理接口和虚拟服务端口支持重标记,重排列和日志选项(Cisco/Foundry格式)ACL配置

[no]access-listacl-num[seq-num]{permit|deny|remarkstring}ip{any|hosthost-src-ipaddr|net-src-ipaddr{filter-mask|/mask-length}}{any|hosthost-dst-ipaddr|net-dst-ipaddr{filter-mask|/mask-length}}[log[transparent-session-only]访问控制列表(ACL)设备提供了先进的管理安全选项

提供多个管理账户与不同级别的访问

提供接口级别的管理接入访问方式(ICMP/Telnet/SSH/HTTP/HTTPS/SNMP)多次输入错误密码时管理账户可以锁定账户

支持RADIUS,TACACS+和LDAP协议进行外部认证,授权和计费私有的分区

管理安全

高可用

VRRP-AVRRP-A可以为8台设备或L3V分区提供冗余VRRP-A支持任意N+M部署，其中N是活动设备M是备份设备可以跨越多个物理设备在多个L3V分区间构建多个VRRP-A实例

VRRP-A优势VRRP-Aset-id1VRRP-Aset-id2Dev1Part2Dev2Part2Dev3Part2Dev4Part1Dev4Part2Dev1Part1Dev2Part1Dev3Part1DeviceIDVRRP-A组唯一的设备标识SetID一组设备的唯一标识符，所有设备都必须在一个二层广播域里

VRRP-A的set-id和device-idVRID目的

虚拟路由器ID(VRID)用于将一些配置元素进行逻辑分组。所有这些配置元素都会被相同VRRP-A组中的另一个设备用于故障转移。例如这些配置元素:虚拟服务器

NAT地址池浮动IPs虚拟MAC地址

VRRP-A会为每一个VRID分配一个虚拟MAC地址格式为021f.a000.nnnn，地址的最后2bytes(nnnn)显示分区ID,set-id和VRID.VRRP-AVRID目的和MAC地址默认VRIDVRRP-A提供默认VRID，除了分配给用户指定的VRID外，所有资源默认自动分配到默认VRID中

默认VRID编号是0，用户指定的VRID不能使用这个数字，默认VRID可以被禁用一台设备上最多可以配置512个VRID指定VRID

管理员可以指定一个VRID编号(从1到512)并给他们分配资源一般用于有多个活动设备需要多个VRID的场景中

VRRP-AVRID默认编号和用户指定编号活跃设备（主设备）处理所有流量一个VRID(默认)就可以进行

主备模式部署主备模式VRIDDefault虚拟服务器浮动IPNAT地址池主VRIDDefault虚拟服务器浮动IPNAT地址池备心跳data设备选举主备新选出的主设备为虚拟服务器、浮动IP和NATIP发送主动ARP用于应答

主设备处理新的会话主备模式切换

心跳dataVRIDDefault虚拟服务器浮动IPNAT地址池主VRIDDefault虚拟服务器浮动IPNAT地址池备所有设备都处理流量

性能扩展，充分利用各个设备

N+M模式VRID1activeVRID2activeVRID3activeVRID4standbyVRID5standbyVRID6standbyVRID12standbyVRID7standbyVRID8standbyVRID9standbyVRID10standbyVRID11standbyVRID1standbyVRID2standbyVRID3standbyVRID4activeVRID5activeVRID6activeVRID12standbyVRID7standbyVRID8standbyVRID9standbyVRID10standbyVRID11standbyVRID1standbyVRID2standbyVRID3standbyVRID4standbyVRID5standbyVRID6standbyVRID12standbyVRID7activeVRID8activeVRID9activeVRID10standbyVRID11standbyVRID1standbyVRID2standbyVRID3standbyVRID4standbyVRID5standbyVRID6standbyVRID12activeVRID7standbyVRID8standbyVRID9standbyVRID10activeVRID11active设备选举主备，主设备发送免费

对性能的影响降到最小

N+M切换VRID1activeVRID2activeVRID3activeVRID4standbyVRID5standbyVRID6standbyVRID12standbyVRID7activeVRID8standbyVRID9standbyVRID10standbyVRID11standbyVRID1standbyVRID2standbyVRID3standbyVRID4activeVRID5activeVRID6activeVRID12standbyVRID7standbyVRID8activeVRID9standbyVRID10standbyVRID11standbyVRID1standbyVRID2standbyVRID3standbyVRID4standbyVRID5standbyVRID6standbyVRID12standbyVRID7standbyVRID8standbyVRID9standbyVRID10standbyVRID11standbyVRID1standbyVRID2standbyVRID3standbyVRID4standbyVRID5standbyVRID6standbyVRID12activeVRID7standbyVRID8standbyVRID9activeVRID10activeVRID11activeXVRRP-A全局设置device-idn

set-id1

enable为每个设备配置VRRP-A切换触发机制vrrp-afail-over-policy-template[NAME1-128][gateway|interface|route|trunk|vlan]tracking-optionsroutegateway54priority-cost20device1routegateway54priority-cost20device2

主备模式配置Priority-cost跟踪用于抢占模式

追踪资源的数值将从设备的优先级减去

设备可以最大赋值255(默认150,最小1)优先级可以被管理员随时改变优先级对非抢占模式不起任何作用

切换策略模板使用权重机制,可以在抢占模式也可以在非抢占模式触发切换

权重总是可抢占的

权重动态计算并无法被修改

所有设备的权重初始值为65534跟踪Tracking和切换策略模板比较

与主备模式配置一样但是VRID数量要至少和活动设备(主设备)数量保持一致

多主配置应该总是使用抢占模式

每个VRID设备应该交错配置使得故障切换对性能的影响降到

N+M模式配置VRID1Priority200activeVRID2Priority140standbyVRID3Priority160standbyVRID4Priority180standbyVRID1Priority140standbyVRID2Priority160standbyVRID3Priority180standbyVRID4Priority200activeVRID1Priority160standbyVRID2Priority180standbyVRID3Priority200activeVRID4Priority140standbyVRID1Priority180standbyVRID2Priority200activeVRID3Priority140standbyVRID4Priority160standby注意:VRRP-A的主备选举和aVCS的vMaster主备选举是独立进行的

VRRP-A选举主设备设备启动禁用抢占或者优先级一样?选举最小ID的设备选举高优先级高的设备是否权重值是否一样？是否选举权重值大的设备初始选择主备以后，设备会保持这个状态，除非发生以下状态

备设备收不到来自主设备的VRRP-A心跳

通过VRRP-A策略模板监控到主设备的权重值低于备设备的权重值

主备设备有相同的权重值,全都使能抢占模式,主设备的优先级发生变化低于备设备的优先级

默认通过VRID跟踪选项监控优先级

也可以管理地改变优先级

触发切换的条件A1-Active-vMaster[1/1]#showvrrp-adetailall-partitionsdisplayvrrp-astatusforallpartitionsconfigconfigdetaildetailfail-over-policy-templatefailoverpolicytemplatedetailshostidvrrp-adeviceserialnumberorsoftaxUUIDmaccorrespondingvirtualmacsetid-monitor

monitorsetidthathasbeenusedvrid-leadshowallleadvridinthesystem|Outputmodifiers<cr>故障排除:VRRP-A状态和配置即时抓

VRRP-A心跳报文或者

存到文件中

A1-Active-vMaster[1/1]#axdebugA1-Active-vMaster[1/1](axdebug)#filter1A1-Active-vMaster[1/1](axdebug-filter:1)#ip10/32A1-Active-vMaster[1/1](axdebug-filter:1)#port4121741217A1-Active-vMaster[1/1](axdebug-filter:1)#exitA1-Active-vMaster[1/1](axdebug)#capturebrief(OR

capturesave<filename>)Waitfordebugoutput,enter<ctrlc>toexit@128833360i(3,300,666d)>ip>10udp48148>41217len62@128833356o(3,300,8b5f)>ip>10udp60249>41217len70@128834112o(3,300,666d)>ip>10udp60249>41217len70@128834112i(3,300,17574)>ip>10udp48148>41217len62故障排除:VRRP-A抓包A1-Active-vMaster[1/1]#showlog|incVRRPDec06201314:57:14Info[HA]:VRRP-Aparid0vrid0statetransitions:ToActive0,ToStandby1Dec06201314:57:14Info[HA]:VRRP-Aparid0vrid0stateswitchfrom2to0(Standby)Dec06201314:57:14Info[HA]:VRRP-Avridstart.parid0groupid1Dec06201314:57:14Info[HA]:VRRP-Avridstart.parid0groupid0Dec06201314:56:53Info[HA]:VRRP-Aparid0vrid0statetransitions:ToActive2,ToStandby2Dec06201314:56:53Info[HA]:VRRP-Aparid0vrid0stateswitchfrom0to1(Active)A1-Active-vMaster[1/1]#showaudit|incDec06201314:56Dec06201314:56:45[admin]cli:reload故障排除:VRRP-A

日志aFleX简介aFleX是一个强大的、灵活的够管理流量和增强服务的工具

aFleX使用业界标准的Tcl(Toolscommandlanguage)语言标准的Tcl命令设备提供了一些专有扩展集aFleX允许:内容插入(头/数据)处理流量阻断流量重定向流量到一个特定的服务组或者服务器上修改流量内容aFleX脚本语言aFleX脚本由以下三个基本组件构成:事件主体内容动作事件aFleX脚本由事件驱动,这意味着任何时候该事件发生时都会触发脚本生效

例如: HTTP_REQUEST当设备收到HTTPrequest时触发脚本

CLIENT_ACCCEPTED当客户端建立好一个连接时触发脚本aFleX组件操作符标准的Tcl操作符相关的操作符:contains,matches,equals,starts_with,ends_with,matches_regex逻辑操作符:not,and,oraFleX命令用于查询数据，处理数据，或者指定流量的目的地址，这些可能分成三个只要类别:状态命令举例:“pool<name>“重定向流量到指定的pool中aFleX组件查询或处理数据的命令,例如:“IP::remote_addr“返回一个连接的远端IP地址“HTTP::headerremove<name>”从请求或响应中删除最后出现的指定头应用程序命令–用于解析和处理内容,例如:“decode_uri<string>“解码用指定的HTTPURI编码的字符串并输出结果aFleX组件把aFleX脚本放到设备上

使用CLI用电脑上的任意文本编辑器写一个aFleX脚本并且保存为文件使用

“importaflex”命令将aFleX文件从电脑导入到设备上

aFleX语法检查:"aflexcheck<name>".使用Web界面通过web管理接口，用户可以直接编辑aFleX脚本并保存到设备上，配置路径为"Config>Service>aFleX".使用aFleX编辑器aFleX编辑器可以从设备上下载aFleX脚本或者将脚本上传到设备上，不及如此，它还可以做语法检查和语法的加亮、关键字自动补全等功能aFleX配置重定向特定的客户请求到特定的服务组whenCLIENT_ACCEPTED{

if{[IP::addr[IP::client_addr]equals0]}{

poolsg2

}

} 注意:此项功能也可以通过基于策略的负载均衡实现客户到主机的http请求重定向到https

whenHTTP_REQUEST{

if{[HTTP::host]equals“”}{

HTTP::redirecthttps://[HTTP::host][HTTP::uri]

}

} 注意:此项功能不能通过基于策略的负载均衡实现aFleX举例根据url的功能将客户请求重定向到特定的pool

whenHTTP_REQUEST{ if{[HTTP::uri]starts_with"/finance"}{ poolfinance_pool }elseif{[HTTP::uri]starts_with"/dev"}{ pooldev_pool }}aFleX举例故障处理设备日志会记录很多常规信息、告警信息和报错信息

，遇到问题时首先使用

showlog命令检查设备.接口的up/down信息

L2层环路监测的告警

单播/组播/广播报文限制告警

MAC地址迁移告警

IP冲突告警

服务器服务端口up/down信息

应用的错误信息:负暂均衡,基于策略的负载均衡,HTTP,HA,AFLEX,[…]配置

Web界面:System>Systemlog>SystemCLI:ACOS#showlog[|inc<reg_ex>]日志日志带有用户名、日期、时间戳信息，并记录了管理员的动作，同时也记录了管理员的会话信息

例如

Sep30201312:21:04[admin]web:addSourceIPPersistencetemplate[pers1]successfully.Sep30201311:41:54[admin]cli:vcsdevice-contextdevice2Sep30201312:29:28Awebsession[1]opened,username:admin,remotehost:2配置

Web界面:系统

>系统日志>操作日志CLI:ACOS#showaudit[|inc<reg_ex>]日志审计在远端服务器上建立永久的记录Web界面:系统

>设置

>日志记录CLI:ACOS(config)#logging[…]导出现有日志

Web界面:系统>

设置

>日志记录

>导出

CLI:ACOS#exportsyslogmessages[use-mgmt-port]<remote_destination>导出日志用管道符配合include和section工具查找相应的日志信息、审计信息和当前的配置信息

ACOS#showlogSep24201309:56:45Warning[ACOS]:DuplicatedIPMAC000c.2976.5904fromPort1VLAN3detectedACOS#showaudit|incSep24201309:56Sep24201309:56:46[admin]cli:port80http

Sep24201309:56:28[admin]cli:slbvirtual-servervip1ACOS(config)#showrun|seciproute/0

slbvirtual-servervip1

port80http关联日志信息和审计信息显示健康检查计数信息

ACOS#showhealthstat[longlistofstatistics]

IPaddressPortHealthmonitorStatusCause(Up/Down)RetryPIN

8defaultUP11/0