深信服AD智能DNS技术介绍
RLR-SANGFOR AD DNS代理和智能路由(出站)
目录一.DNS知识回顾 (1)1.HOST文件 (1)2.DNS服务器 (2)二.DNS代理 (3)1.过程 (3)2.配置 (4)三.智能路由 (7)1.智能路由应用场景 (7)2.智能路由配置 (8)AD 出站链路负载一.DNS知识回顾1.host文件(1)hosts文件是什么?装完操作系统之后,存在系统盘目录下的一个文件。
常见位置如下:①Window操作系统C:/Windows/System32/drivers/etc②Linux或其他类Unix操作系统/etc各个操作系统不一样(2)hosts文件里写的什么?使用记事本方式打开hosts文件,如下所示打开hosts文件,我们能看到这样的行:IP地址域名102.54.94.97 127.0.0.1 localhost这就是hosts文件记录的内容,是IP和域名的对应关系。
注意:修改该文件需要管理员权限(3)hosts文件能做啥?我们知道,当我们要去访问一个网站的时候,一般都是在浏览器上输入网站的网址(域名),例如:.(有的网址是指定只允许通过域名来访问,再就是同一个域名一般对应多个服务器,记IP地址很麻烦)。
但是我们建立TCP/IP连接的时候,是需要与IP地址去建立连接的。
那的IP地址是什么呢?首先去问本机的hosts,去hosts文件里面找找有没有域名和IP的对应关系。
一般都是没有的,那怎么办?问DNS服务器2.DNS服务器在Internet上域名与IP地址之间是存在对应关系的,域名虽然便于人们记忆,但机器之间只认IP地址,它们之间的转换工作称为域名解析,域名解析需要由专门的域名解析服务器来完成,DNS就是进行域名解析的服务器。
(1)DNS在哪里你在这里填写,就是为你的PC提供DNS解析服务的Local DNS服务器。
当内网没有DNS 服务器的时候,使用运营商提供的DNS服务器。
(2)DNS解析过程补充:PC去向LocalDNS请求域名解析之前会先查询本地hosts文件A记录:域名和IP对应的一条记录,用于指定该域名对应的IP地址。
深信服AD常用功能介绍
其他功能
• 服务器负载IPV4/IPV6混合部署
– 支持NAT46/NAT64
– 网络接口混配
– IP组混配
IPv6数据包
NAT64
– 节点池混配 IPV6客户端
IPv6数据包
– 会话保持混配
IPv4数据包
– SNAT混配
NAT64
IPV4客户端
NET1 NET2 防火墙-A
NET4 NET3 防火墙-B
内网用户
交换网口、端口聚合、VLAN
交换网口配置方法与截图
自定义交换网 口组合的名称
可看到所有 物理接口
选择组合成交 换口的网卡
自定义的交换网口 状态。
启用STP可以避免产生环路
交换网口、端口聚合、VLAN
端口聚合
端口聚合可将多物理连接当作一个单一的逻辑连接来处理,它允许两个交换机之间通 过多个端口并行连接同时传输数据以提供更高的带宽、更大的吞吐量和可恢复性的技 术。主要有如下几个优点: (1)增加带宽,带宽相当于组成组的端口的带宽总和。 (2)增加冗余,只要组内不是所有的端口都down掉,两个交换机之间仍然可以继续 通信。 (3)负载均衡,可以在组内的端口上配置,使流量可以在这些端口上自动进行负载 均衡。
• 不支持混配(4转6、6转4)
– 支持映射MANAGE口
• 不支持IPV6
– 支持映射所有WAN口
其他功能
• 源地址转换(SNAT) – 支持IPV6转换
• 不支持混配(4转6、6转4)
– 支持MANAGE口为出接口
• 不支持IPV6
– 支持映射所有WAN口
其他功能
• NAT日志
SANGFOR_AD_V4.6_2013年渠道初级认证培训03_智能DNS与虚拟服务_20121218
选择虚拟IP的调度策略,需要注意 设备收到不存在域名的查询请求的时候,将该请 的是选择静态就近性需要在【智能 求转至【DNS代理】模块处理。 DNS】-【静态就近性】处设置规则, 通过该功能,可实现代理外网用户的DNS请求。 否则静态就近性不生效
SANGFOR AD配置方法与截图
服务器负载配置
自定义名称 名称自定义 当节点池使用 Cookie、HTTP Header、Radius会 设置会话保持方式,本案 话保持或者节点池选择的哈希 URI和HOST调度 新建一个IP组, IP组包 备用会话保持仅仅针对非Cookie 例中选择 Cookie 会话保持 算法,则选择七层模式,其他情况选择四层模式。 含外网线路的两个IP 和SourceIP类型的会话保持可选 配置完成 Cookie名称自定义
,不同运营商的用户返回不同的地址,联通用户能
从联通链路访问到服务器,电信用户从电信访问。 其他运营商自动选择最快链路访问。 2.如果某条链路异常,自动切换到正常链路
3.如果某台服务器异常,自动切换到其他正常的服
务器
部署前网络环境
智能DNS与虚拟服务典型案例及配置
SANGFOR AD解决方案
1.用SANGFOR AD入站链路负载功能,启用 智能DNS,从而实现智能DNS解析,联通用
智能DNS与虚拟服务典型案例及配置
用户网络环境与需求
用户环境: 某用户线路1电信100M,线路2联通100M,内网 有2台服务器提供80端口的同一WEB服务,目前通
过防火墙做映射进去访问。
用户需求: 1.用户已经从域名服务商注册域名 希望通过域名访问到内部WEB服务器
192.168.2.11。
6.新建一个虚拟服务,将服务、IP组、节点池关联起来即可。
SANGFOR_AD_技术白皮书
深信服应用交付产品技术白皮书深信服科技有限公司2013年版权声明深圳市深信服电子科技有限公司版权所有,并保留对本文档及本声明的最终解释权和修改权。
本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明外,其着作权或其它相关权利均属于深圳市深信服电子科技有限公司。
未经深圳市深信服电子科技有限公司书面同意,任何人不得以任何方式或形式对本文档内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其全部或部分用于商业用途。
免责条款本文档仅用于为最终用户提供信息,其内容如有更改,恕不另行通知。
深圳市深信服电子科技有限公司在编写本文档的时候已尽最大努力保证其内容准确可靠,但深圳市深信服电子科技有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。
信息反馈如果您有任何宝贵意见,请反馈:信箱:广东省深圳市学苑大道1001号南山智园A1栋邮编:518055电话:9传真:9您也可以访问深信服科技网站:获得最新技术和产品信息缩写和约定英文缩写英文全称中文解释ACL Access Control List 访问控制列表ADC Application Delivery Controller 应用交付设备BRAS Broadband Remote Access Server 宽带接入服务器DNAT Destination NAT 目的地址NATDNS Domain Name Service 域名服务DR Direct Route 直达路由FTP File Transfer Protocol 文件传输协议HA High Availability 高可用性HTTP Hypertext Transfer Protocol 超文本传输协议ICMP Internet Control Message Protocol 因特网控制报文协议ISP Internet Service Provider Internet服务提供商MAC Media Access Control 介质访问控制NAT Network Address Translation 网络地址转换OSPF Open Shortest Path First 开放最短路径优先RADIUS Remote Authentication Dial In User Service 远程用户拨号认证系统RIP Routing Information Protocol 路由信息协议RTT Round Trip Time 往返时间STP Spanning Tree Protocol 生成树协议SNAT Source NAT 源地址NATSNMP Simple Network Management Protocol 简单网络管理协议SOA Service Oriented Architecture 面向服务架构SSL Secure Socket Layer 安全套接层TCP Transmission Control Protocol 传输控制协议UDP User Datagram Protocol 用户数据报协议URI Uniform Resource Identifier 统一资源标识符URL Uniform Resource Locator 统一资源定位符VLAN Virtual Local Area Network 虚拟局域网目录第1章应用交付,后负载均衡时代的选择........................ 错误!未定义书签。
深信服AD智能路由技术介绍
部署前后网络拓扑
智能路由典型案例与配置
3.深信服AD配置思路
3.1.基础网络配置:配置LAN口地址,配置WAN口接口地址和网关(配置链路带 宽,健康检查机制等),配置静态路由(保证AD能够和用户网段通信),配置代 理上网。 3.2.配置DNS代理:让内网用户从两条链路的公网DNS解析域名,充分利用带宽。 3.3.配置ISP地址段:设备默认有电信、联通、中国移动、教育网四个运营商IP地 址库,此案例需要用到电信和联通IP地址库,能满足需求,可以不需要添加。 3.4.配置智能路由:根据需求进行智能路由的配置(根据源IP、端口,目标IP、端 口选路)。
智能路由典型案例与配置
4.深信服AD配置步骤与截图
4.1.基础网络配置
1.配置LAN口地址 2.配置WAN口接口地址和网关(配置链路带宽,和繁忙保护比例,健康检查机制) 3.配置静态路由(保证AD能够和用户网段通信)4.配置代理上网
智能路由典型案例与配置
4.深信服AD配置步骤与截图 4.2.DNS代理配置
深信服 AD
智能路由典型案例与配置
智能路由典型案例与配置
1.用户网络环境与需求 2.深信服AD解决方案 3.深信服AD配置思路 4.深信服AD配置方法与截图
智能路由典型案例与配置
1.用户网络环境与需求
用户网络环境: 某用户网络结构如右图所示。有两条公网线 路,线路1电信100M,线路2联通100M,承 载内网用户上网业务。 用户需求: 电信线路流量经常满载,而联通线路空闲很 多,两条上网线路流量分配不合理。目前只 能指定一部分内网用户走联通线路来缓解, 但是这部分人访问电信的服务就慢了。希望 解决以上问题,尽量合理运用两条链路并提 高用户使用感受。
选择公网出口,填写此公网运营商的DNS 及权值,如电信出口使用218.2.135.1权值1 AD内网PC的DNS推荐填AD设备LAN口的 IP,如果PC太多无法更改,则需要保证PC
深信服AD链路负载高级功能应用
一些要求实时请求的URL,可以做排除。 排除后设备不会做缓存
1.配置服务、IP组、会话保持、节点池、虚拟服务
2.新建优化策略并且配置好
应用负载优化策略
3.虚拟服务优化功能应用案例
配置方法与截图
3.虚拟服务关联优化策略
关联新建好的优化策略 启用单边加速
SSL策略
1.SSL策略功能介绍 2.SSL策略典型应用案例
内网用户
-192.168.1.106和192.168.1.107
联通 202.96.137.75
AD旁路部署 WAN:192.168.1.99 GW:192.168.1.1
WEB服务器群
虚拟服务前置调度策略
2.虚拟服务前置调度策略应用案例
AD解决方案思路分析:
1.由于客户出口只有两个公网IP,但是内网有四个HTTP服务需要发布,而且每个服务有 两台服务器。使用端口映射肯定无法满足需求。 通过新建四个虚拟服务是否可以满足需求? 不可以。客户的四台服务器端口都是80,一个虚拟服务占用了80,另外一个虚拟服务则 不能再使用80端口。冲突提示如下:
应用负载优化策略
3.虚拟服务优化功能应用案例
配置方法与截图
填入缓存的URL
H时T必 才间T须 能P,页要 勾如面启 选果一缓用没般存H有具T压则T有P缩以缓缓方此存存式。 时间为准。
一些HTTP服务器本身已经有 连接池H大TT小P压:缩用,于则设可置以保让持服的务最大器连接数 老超化过时这不间个压:文缩用件,于大A设小D设置备连来接进池行中压连缩接,池被释 放的之页前面减的不轻空会服闲缓务时存器间压。力。 一般使用默认值即可。
SSL策略
SSL认证流程
2、双向认证,即在单向认证的基础上,要求对客户端访问进行认证,客户端也 需要提交证书给AD设备进行验证。常见案例是,https/ssl类型虚拟服务,不仅 对服务器证书进行认证,AD还要对访问的证书进行认证。 其访问流程图如下:
深信服智能DNS全局负载方案
分布式智能DNS配置案例
2. 服务器负载配置:设置服务、IP组、会话保持、节点池、虚拟服务。
填入AD设 备发布到外 虚拟服务配置网完的成公网IP。 设置好会话保持
分布式智能DNS配置案例
3. IP地址集:设置各个区域和ISP的地址段。添加华北/东北、西北/西南、华中/华 南以及所有地域的地域地址段。ISP地址段有默认的电信和网通地址段,不需添加。
原理介绍
需求: 东北华北-北京 西北西南-西安 华东华南-广州 其他-北京
的IP?
NS记录:指向 A记录:指向广州 数据中心电信的IP地址1.1.1.1
广州AD设备: 1.查看各节点健康状态,如 发现有问题节点(线路)则 不返回其IP
2.根据调度算法选出最佳节 点和最佳线路(此例选出北 京网通IP)
3.返回北京AD网通线路的 IP地址
配置思路
1. 在域名提供商处设置域名的NS记录指向AD的IP 2.在AD上添加DNS服务器,监听NS记录指向的IP 3.定义站点集合,让各AD互相知道其他设备的IP,保持通讯 4.在IP地址集里面设定不同地域,供后面引用 5.设置虚拟IP池,DNS映射。把域名和节点对应起来 6.设置LDNS集合,根据地域来分,引用IP地址集 7.设置静态就近性,根据LDNS来调度接入AD和线路
首次新建会 填入北京AD接入就近访问。
需求场景
客户在各地都部署了多台服务器并申请了双线路,希望能就近接入,同时
根据客户端线路接入,另外客户还想做服务器负载。客户在域名提供商那
为何会有以上的问题呢?
需求场景
既然域名提供商办法不多,那就上设备吧!让域名提供商将NS记录指向 AD,AD设备充当DNS服务器。
单站点部署AD可以根据客户端 线路选择返回的IP,但单台设备 没有冗余,出故障会影响整个业 务。客户还要做服务器负载,单 台AD没法满足需求。
深信服AD负载均衡原理介绍
静态就近性
Local DNS
116.52.1.30
?
电信 移动
=link电信
深信服 AD
联通
ISP地址段 电信:116.52.1.1-116.52.1.254 铁通:59.1.2.3-59.1.2.100 网通:210.22.19.10-210.22.19.254
A
2
Local DNS
3 4A
6
IP
5 IP
1
A
AD设备
第五步:AD根据配置的策略返回一 个IP给Local DNS 第六步:Local DNS将IP告诉客户端
客户端
智能DNS和虚拟服务工作原理
2.虚拟服务工作原理
使用AD设备对3台WEB服务器做负载,端口80
目标IP是 212.10.204.26,目
SG
代 理 网通:61.139.2.34
监视器判断节点状态
A1
A2 A3
Y
N
Y
节点A2故障,不参与调度
智能DNS和虚拟服务工作原理
2.虚拟服务工作原理
使用AD设备对3台WEB服务器做负载,端口80
目标IP是 212.10.204.26,目
标端口80
用户再次访问
访问,假 设该用户解析出的IP是 212.10.204.26
智能DNS和虚拟服务工作原理
1.智能DNS工作原理
域名 NS A 212.10.204.26
LDNS
26
4A
1
A
AD设备
网通:61.139.2.34
发现请求域名是 ,匹配DNS 映射。根据DNS映射,再
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
练练手
某用户网络环境如右图所示,该用户不 希望改动网络,并且只有入站链路负载 需求,请以旁路模式部署连到三层交换 机,并配置实现用户的需求。
问题思考
1.智能DNS需要哪些基本配置?
智能DNS典型案例及配置
用户网络环境与需求
用户环境: 某用户线路1电信100M,线路2联通100M,内网 有2台服务器提供WEB服务。 用户需求: 1.用户已经从域名服务商注册域名 希望通过域名访问到内部WEB服务不
同运营商的用户返回不同的地址,联通用户能 从联通链路访问到服务器,电信用户从电信访问。 其他运营商自动选择最快链路访问。 2.如果某条链路异常,自动切换到正常链路
Local DNS
www.a要bc访.c问om 解w析w地w.址abc为.com 61.139.2.34
某网通用户
DNS server 212.10.204.26
61.139.2.34
智能DNS典型案例及配置
1. 用户网络环境与需求 2. 深信服AD解决方案 3. 深信服AD配置思路 4. 深信服AD配置方法与截图
深信服AD 智能DNS技术介绍
培训内容
DNS工作原理 智能DNS与典型案例及配置
培训目标
1.了解DNS解析原理
1.熟悉智能DNS的解决方案及配置思路 2.能熟练配置智能DNS
深信服 AD
DNS工作原理 智能DNS典型案例及配置
DNS工作原理
DNS工作原理
A记录
LDNS:开通线路时,运营商告诉客户的DNS服务器 A记录:用来指定主机名(或域名)对应的IP地址
智能DNS典型案例及配置
配置思路: 1.在域名提供商处设置域名的NS记录指向AD的IP 2.设置DNS服务器IP,即监听IP,一般为WAN口IP
3.设置虚拟IP池,填写域名对应的IP都有哪些(此例中分别是 212.1.204.26 和61.139.2.34 ) 4.设置DNS映射,填写域名和对应的虚拟IP池(此例中域名是 ) 5.设置LDNS集合,定义电信和联通的IP地址集
思考-智能DNS旁路部署案例
如果该用户不希望改动网络,并且只有 入站链路负载需求,故以旁路模式部署 连到三层交换机,请问该如何配置?
注:配置和网关部署时基本一致,需要 注意的是: ①前置防火墙两条线路需要做相应端口 映射给内网AD的WAN口 ②DNS服务器中监听地址需要填写设备 WAN口IP,此案例中为私网IP
6.设置静态就近性,源IP是电信IP,返回电信地址;源IP是联 通IP,返回联通地址
深信服AD配置方法与截图
基础网络配置(略) 入站链路负载配置
添加域名服务商处NS记 录指向的IP地址
添加两虚虚拟拟IPIP池列策表略可,以此在处此的处策直接填写进 略由上往去下。匹也配可以先配置好应用负载,从
右边的下拉列表进行选择。
部署前网络环境
智能DNS典型案例及配置
深信服AD解决方案
1.部署深信服AD设备到网络出口处这样 可以检测到链路健康状况,某条链路坏了自 动切换到正常链路。
2.用深信服AD入站链路负载功能,充当 DNS服务器,启用智能DNS,从而实现智能 DNS解析,联通用户返回联通地址,电信用 户返回电信地址。
部署后网络拓扑
Local DNS
返回A记录 61.139.2.34
www.a要bc访.c问om 解w析w地w.址abc为.com 61.139.2.34
某用户
61.139.2.34
DNS工作原理
NS记录
NS记录:域名服务器记录,用来指定该域名由哪个DNS服务器来进行解析
告诉LISP
地址段的本地LDNS集合
选择【虚拟IP池】处 设置好的虚拟IP池
由于本案例中只有一个虚拟IP池, 所以此处的策略可以任意选择。
设 求 通备 转 过收 至 该【到 功选 是 -静【D不 能择 选 态N静存 ,虚 择 就S态在 可代拟 静 近就域 实理态性IP近名 现】的就不性的 代模调近生】查 理块度性效处询外处策需设请网理略要置求用。,在规的户需【则时的要智,候D注能N否,意DS则将N请的S该求】请。
212.10.204.26查询
向212.10.204.26发 起请求,查询
ISP服务商
www.a查bc询.co不m的到I,P 地向址ISP查询
NS记录推荐格式: NS: A: 212.10.204.26
返回A记录 61.139.2.34