SANGFOR_AD_V5.6_2015年渠道高级认证培训03_链路负载与服务器负载高级功能应用.ppt

SSL策略 2.SSL策略双向认证应用案例 双向认证跟单向认证配置相比多了SSL设置时需要设置客户端证书部分。而且要求客户端PC导入客户端证书，该客户端证书是由AD设备里面设置的CA证书签发的证书，或者被其证书链信任的证书，以提供服务器端AD验证。 基本设置、SSL服务器证书设置、虚拟服务配置同单向认证，此处不在复述。 SSL策略 2.SSL策略双向认证应用案例 配置方法与截图： 2.应用负载-SSL-CA证书 3.应用负载-策略 4.客户端导入证书 1.基本设置、SSL服务器证书设置、虚拟服务配置同单向认证，此处不在复述。 SSL策略 实现效果图 1.首先AD提交证书给客户端PC 2、接着AD要求客户端提供证书进行验证 SSL策略 注意事项 1.部分WEB页面里嵌套的HTTP请求无法打开，请在配置虚拟服务的时候启用HTTP自动跳转到HTTPS。如AD设备是旁路模式部署在内网并且需要把服务发布到互联网，为保证HTTP到HTTPS跳转功能生效，前置防火墙设备还需映射80到AD设备WAN口。 2.部分页面嵌套HTTP，成功发布HTTPS后，打开时IE会出现“此网页包含的内容将不使用安全的HTTPS连接传送，可能危及到整个网页的安全。”的警告。解决办法：一，每次点“否”继续浏览，二，每台电脑更改IE设置，更改方式：工具 Internet选项 安全 Internet 自定义级别 显示混合内容= 启用，三，联系WEB开发人员，取消页面嵌套的HTTP连接。 3.AD设备可以支持申请服务器证书导入功能，如果客户本身就有CA，则可以生成证书请求请求设备证书导入设备进行加密。 DNS代理高级应用 1.前置调度策略 2.内网DNS记录 DNS代理高级应用 1.前置调度策略 1.1.前置调度策略功能介绍 使用场景：AD设备设置了DNS代理后，内网用户的DNS请求会根据调度算法将DNS请求分配到不同的DNS服务器进行解析。某些域名本身做了限制，必须通过某一个DNS才能解析，此时需要使用前置调度策略将解析该域名的请求始终分发给固定的DNS服务器。 DNS1 DNS3 DNS2 根据DNS代理选择策略调度到DNS1服务器解析 解析不到 我才能解析 启用DNS代理前置调度策略前的数据流 DNS代理高级应用 1.前置调度策略 1.1.前置调度策略功能介绍 DNS1 DNS3 DNS2 根据DNS前置调度策略调度到DNS2服务器 5 我才能解析 启用DNS代理前置调度策略后的数据流 DNS代理高级应用 1.前置调度策略 1.2.前置调度策略应用案例 内网用户 电信 WAN1:5 教育网 WAN2: 5 LAN:/30 /30 /24 网络环境与需求： 某客户拓扑如右图，AD设备网关模式部署。电信DNS为，教育网DNS为。 1.需要实现出站链路负载代理内网用户上网。 2.需要实现DNS代理功能，内网用户DNS需要设置成可以自动选择走电信或者教育网解析域名。 3.有一个域名必须走教育网的DNS才能解析到，因此要求该域名必须从教育网DNS解析。 AD应用交付 三层交换 DNS代理高级应用 1.前置调度策略 1.2.前置调度策略应用案例 配置思路： 1.基础网络配置：配置LAN口、WAN1、WAN2口IP地址，配置代理上网，配置静态路由。 2.出站链路负载配置：配置智能路由策略。 3.配置DNS代理功能：启用DNS透明代理。 4.启用前置调度策略，设置域名走进行解析。 DNS代理高级应用 1.前置调度策略 1.2.前置调度策略应用案例 配置方法与截图： 基础网络配置、出站链路负载请参考初级认证PPT 1.DNS代理配置 2.前置调度策略配置 内网用户DNS指向LAN口地址，则必须填写LAN地址到此处 设置仅通过教育网解析 DNS代理高级应用 2.内网DNS记录 内网DNS记录使用场景： AD做链路负载，访问域名时，进行DNS负载；外网用户返回外网IP，内网用户返回内网IP(不需做lan-lan端口映射)。 外网用户 内网用户 WAN：5 Server 00 设置内网DNS记录 发现是外网用户请求，根据智能DNS返回5 请求 请求 发现是内网用户请求，根据内网DNS记录返回00 2.1.内网DNS记录功能介绍 DNS代理高级应用 2.内网DNS记录 2.2.内网DNS记录配置方法 1.DNS代理配置 2.内网DNS记录配置 设置内网网段 设置好域名对应的内网服务器真实IP地址即可 想一想 1.HTTP连接池复用第一次的连接，服务器看到的源IP为第一次会话的客户端IP。那么同时启用传输客户端IP至服务器和HT