16-wan优化.-other研讨.ppt

Wan 优化 Course 201 v4.0 支持的型号 A-P模式和P-P模式的配置 网络拓扑 WAN优化的规划注意事项 网络流量首先匹配防火墙策略，然后匹配WAN OPT规则。 WAN OPT与保护内容表不能同时使用，但可以通过VDOM划分实现。 LAN ? VDOM-PP ----- Inter-Link -----? VDOM-WANOPT ? WAN 所有FG型号都支持Web proxy和WCCP v2。 只有FG50B-HD、FG110C-HD、ASM-S08和某些支持ISCSI的FG型号才支持wan优化。老型号即使有硬盘也不支持。（见后页） 只有CP6型号支持基于SSL和安全通道。 只支持FG-FG或FG-FortiClient间的WAN OPT，不兼容第三方设备或软件。 两种模式的配置要点 1，都要首先配置对等体（peer-list）对等体可以是一个，也可以是多个)，多个对等体需要用Authentication组 配置。FortiClient或者拨号的FGT不需要配置对等体，它们需要配置Authentication组 。 2，开始配置规则（rule),选择相关的源地址、目的地址、端口和协议，如果知道具体地址，端口，要用具体地址和端口，不要用网段和端口范围。 3，一般要选择Enable Byte Caching，它适用于所有的TCP协议。 4，配置安全通道（Secure Tunnel ）需要配置Authentication组 5，配置Ssl加密，还要在服务器端FG上配置Ssl服务器 6，选择透明（Transparent Mode ）和不选择透明，服务器端会看到不同的客户端地址，透明显示客户端PC地址，非透明会显示客户端FG接口地址。 Active-Passive配置1——定义对端 Active-Passive配置2——规则（rule） 和防火墙策略一样，wan优化规则自上而下匹配。 匹配源地址、目的地址和目标端口 第一条匹配的策略被启用 Active-Passive配置3——配置规则 Active-Passive配置4—— 注意事项 1，首先要保证客户端PC到服务器端FGT的可达性（Ping）。 2，不建议启用NAT，即使启用也不工作。 3，服务器端FGT要配置一条从外到内的防火墙策略，以允许外部客户端访问内部服务器。 peer-peer配置1——配置对端 peer-peer配置2——配置规则 peer-peer配置3——注意事项 1，peer-peer模式，两个FGT之间会建立一个通道（TCP端口7810），就像VPN通道一样，直接将两边FGT的内网连接在一起，这时服务器端的FGT甚至不需要配置防火墙策略。 2，客户端的FGT只要配置相应的策略。Wan优化在服务器端不需要策略 两种模式各自的适用范围 P-P适用于两个固定IP的FortiGate之间建立Wan优化，和IPsec的Site-to-Site类似。A-P适用于移动用户，如拨号的FGT或者FortiClient，类似于dialup IPsec Wan优化后的效果演示 -FTP FortiClient与FortiGate之间WAN优化 FortiClient 配置1——客户端设置 FortiClient 配置2——FortiGate端配置 Web透明和显式代理 Web透明配置——Web Cache Only Web显式代理与Cache Cache设定 一般情况下，使用缺省设置即可 总是Revalidate，每次都要检查Cached的有效性。 Negative Response Duration，是否Cache negative Response（如：404错误）,Cache多长时间。 Fresh Factor ，新鲜度指数，新鲜度越低，Cache更新越快，wan带宽占用越高，反之，则Cache更新慢，wan带宽占用低 最大/最小/缺省TTL，内容在Cache中最长、最短和缺省时间 监控和诊断 基本概念 三个重要的进程， WAD, WADBD and WAC。 AD进程负责处理协议和识别数据，并于WADBD和WACS通信，是最关键的进程。 WADBD进程负责处理bytes cache WACS进程连接后端数据，来处理MD5，更新和存储，负责处理Object Cache 如果WACS进程down,数据将不能被Cache到硬盘，Http Object Cache将被缓存到内存中，直到128M Wan opt靠WAD会话完成，WAD会话由客户端FG发起，由服务器端FG终结。 每个Wad会话需要一条Wad tunnel 来处理。 Active-Passvie模式，通过tcp选项“63 02”自动与对端建立