SANGFOR_AD_V40_2012年度培训06_AD链路负载与服务器负载高级功能应用_20120521.ppt

4. DNS代理高级应用 4.1.前置调度策略 4.2.内网DNS记录 4.DNS代理高级应用 4.1.前置调度策略 4.1.1.前置调度策略功能介绍 使用场景：AD设备设置了DNS代理后，内网用户的DNS请求会根据调度算法将DNS请求分配到不同的DNS服务器进行解析。某些域名本身做了限制，必须通过某一个DNS才能解析，此时需要使用前置调度策略将解析该域名的请求始终分发给固定的DNS服务器。 DNS1 DNS3 DNS2 根据DNS代理选择策略调度到DNS1服务器解析 解析不到 我才能解析 启用DNS代理前置调度策略前的数据流 4.DNS代理高级应用 4.1.前置调度策略 4.1.1.前置调度策略功能介绍 DNS1 DNS3 DNS2 根据DNS前置调度策略调度到DNS2服务器 5 我才能解析 启用DNS代理前置调度策略后的数据流 4.DNS代理高级应用 4.1.前置调度策略 4.1.2.前置调度策略应用案例 内网用户 电信 WAN1:5 教育网 WAN2: 5 LAN:/30 /30 /24 网络环境与需求： 某客户拓扑如右图，AD设备网关模式部署。电信DNS为，教育网DNS为。 1.需要实现出站链路负载代理内网用户上网。 2.需要实现DNS代理功能，内网用户DNS需要设置成可以自动选择走电信或者教育网解析域名。 3.有一个域名必须走教育网的DNS才能解析到，因此要求该域名必须从教育网DNS解析。 AD应用交付 三层交换 4.DNS代理高级应用 4.1.前置调度策略 4.1.2.前置调度策略应用案例 配置思路： 1.基础网络配置：配置LAN口、WAN1、WAN2口IP地址，配置代理上网，配置静态路由。 2.出站链路负载配置：配置智能路由策略。 3.配置DNS代理功能：启用DNS透明代理。 4.启用前置调度策略，设置域名走进行解析。 4.DNS代理高级应用 4.1.前置调度策略 4.1.2.前置调度策略应用案例 配置方法与截图： 基础网络配置、出站链路负载请参考初级认证PPT 1.DNS代理配置 2.前置调度策略配置 内网用户DNS指向LAN口地址，则必须填写LAN地址到此处 设置仅通过教育网解析 4.DNS代理高级应用 4.2.内网DNS记录 内网DNS记录使用场景： AD做链路负载，访问域名时，进行DNS负载；外网用户返回外网IP，内网用户返回内网IP(不需做lan-lan端口映射)。 外网用户 内网用户 WAN：5 Server 00 设置内网DNS记录 发现是外网用户请求，根据智能DNS返回5 请求 请求 发现是内网用户请求，根据内网DNS记录返回00 4.2.1.内网DNS记录功能介绍 4.DNS代理高级应用 4.2.内网DNS记录 4.2.2.内网DNS记录配置方法 1.DNS代理配置 2.内网DNS记录配置 设置内网网段 设置好域名对应的内网服务器真实IP地址即可 想一想 1.HTTP连接池复用第一次的连接，服务器看到的源IP为第一次会话的客户端IP。那么同时启用传输客户端IP至服务器和HTTP连接池功能后，服务器看到的源IP是客户端真实IP还是连接池的会话复用源IP呢？ 如果AD没有做SNAT，在服务器上抓取网卡数据包，则看到的数据包IP层的源IP为会话复用的源IP地址。但是如果服务器具有读取应用层HTTP头部X-Forwarded-For字段统计的功能，则可以统计到客户端真实IP。 2.内网DNS记录功能中，设备怎么判断DNS请求的源IP是内网IP或者外网IP的？ 启用DNS代理后，首先检查源IP地址是否属于代理的内网网段列表，然后检查解析的域名是否在内网DNS记录列表里，两者条件都符合，则返回内网IP给客户端。 练练手 1.根据2.2章节虚拟服务前置调度策略的客户需求和网络环境，找一台AD设备配置实现客户需求。 实验要求：不查看后面的配置思路和配置截图部分，自行配置实现。然后根据配置截图核对配置正确性。 2.根据3.1章节SSL卸载案例的客户需求，配置实现内网用户访问https://AD设备IP实现访问到内部的WEB服务器（可以找任意两台WEB服务器模拟）。 实验要求：不查看后面的配置思路和配置截图部分，自行配置实现。 3.请配置一个虚拟服务，然后关联优化策略，启用HTTP缓存，要求在【活动查看】-【缓存/流量】处可以查看到数据。 实验要求：不查看后面的配置思路和配置截图部分，自行配置实现。然后根据配置截图核对配置正确性。 问题思考 1.某客户一C/S应用系统，旁路模式部署AD设备实现了服务器负载，请问是否可以使用传输客户端IP至服务器使服务器查看到真实客户端源IP？