A10負(fù)載均衡及運(yùn)維培訓(xùn)forv4x課件

A10負(fù)載均衡及運(yùn)維培訓(xùn)forv4x硬件物理結(jié)構(gòu)基礎(chǔ)理論介紹

內(nèi)容提要高可用業(yè)務(wù)配置舉例故障處理產(chǎn)品功能概述售后開CASE流程A10監(jiān)控及運(yùn)維硬件物理結(jié)構(gòu)TH840硬件物理結(jié)構(gòu)TH930硬件物理結(jié)構(gòu)TH1030S硬件物理結(jié)構(gòu)TH3230（S）硬件物理結(jié)構(gòu)Console

RS232參數(shù)設(shè)置產(chǎn)品功能概述ACOS共享內(nèi)存架構(gòu)ACOS共享內(nèi)存架構(gòu)傳統(tǒng)的IPC架構(gòu)L4-7

CPU1L4-7

CPU2L4-7

CPU3L4-7

CPU4L4-7

CPU5High-speed

SharedMemoryL4-7

CPU1L4-7

CPU2L4-7

CPU3L4-7

CPU4L4-7

CPU5CommunicationBus應(yīng)用交付服務(wù)整體架構(gòu)圖集中管理（RESTfulAPI,監(jiān)控,云平臺,自動(dòng)化）應(yīng)用服務(wù)L4-7交付協(xié)議內(nèi)容優(yōu)化SSL安全DDoS高可用IPsec定制化擴(kuò)展NAT訪問控制專有IT系統(tǒng)托管IT系統(tǒng)CloudIaaS任何設(shè)備任何地點(diǎn)任何應(yīng)用任何模式f提高應(yīng)用可靠性–4層負(fù)載均衡Cookie持續(xù)目的IP持續(xù)源IP持續(xù)SSL會話ID持續(xù)會話保持分配流量監(jiān)控服務(wù)器健康度Round

RobinLeastConnectionsService

Least

ConnectionFastest

Response

TimeSource

IP

HashManymore…TCPUDPHTTPHTTPSFTPCOMPOUNDManymore…TCP與UDP客戶請求

AnythinginrequestbodyDeviceTypeLanguageCookieBrowserCapability客戶端屬性

AnyTCPRequestHTTPGetHTTPPost請求協(xié)議請求方法AnyTCPpayloadvalueAnyHTTPpayloadvalueDomainWildcardURL提高應(yīng)用可靠性–7層負(fù)載均衡在線服務(wù)器維護(hù)-服務(wù)器溫暖上線/下線A10

Thunder控制隊(duì)列把發(fā)送給服務(wù)器的流量速率控制在合理范圍

溫暖上線-服務(wù)器慢啟動(dòng)

溫暖下線-下線后在設(shè)置的時(shí)間內(nèi)繼續(xù)處理已有的連接應(yīng)用請求客戶端A10收到并終結(jié)客戶端連接客戶端傳送應(yīng)用請求A10建立服務(wù)器連接客戶端連接通過A10與服務(wù)器之間的連接傳送客戶端請求更多的客戶端遵循相同的過程多個(gè)客戶端請求可以通過公共的可復(fù)用的服務(wù)器連接傳送TCP卸載服務(wù)器服務(wù)器連接應(yīng)用請求降低資源負(fù)載-TCP連接復(fù)用aFleX腳本：靈活的應(yīng)用控制/bbsa.jpegNews.htmljpeg_serversbbs_serversweb_serversbbs.jpegwhenHTTP_REQUEST_DATA{{ if{[HTTP::URI]start_with

“bbs"}{ poolbbs_servers }elseif{[HTTP::URI]end_with

“.jpeg"

{ pooljpeg_servers }else{ poolweb_servers }應(yīng)用邏輯對象可視化工具中文WEB界面管理與維護(hù)Thunder系列ADC硬件平臺虛擬機(jī)箱(aVCS)vThunder

for

Vmware/KVM/XenA10

Vthunder產(chǎn)品ThunderSeries虛擬分區(qū)(ADP)ThunderHVA硬件虛擬化ADCUtility(UBM)Rent(PGM)在云中按需購買的ADC業(yè)務(wù)aCloudServicesCloudDataCenter,Containers

&VirtualizedDCTPSAnti-DDOS160G吞吐量CFWDCFWIpsecVPNADCGSLB/SLB/LLBSSL卸載WAF5~300G吞吐量CGNNAT44/642.5億并發(fā)ADCaaSThunderSeriesApplianceCloud

InstancesLightningADCVirtualSSLiSSL透視3~40G吞吐量SECUREAPPLICATIONSERVICESCHOICEaGALAXYMANAGEMENTAdvancedCoreOperatingSystem(ACOS)BareMetalA10

Networks應(yīng)用交付方案LIGHTNINGCONTROLLER基礎(chǔ)理論介紹通過CLI方式Console(RS-232連接/9600,8,N,1)

Telnet(默認(rèn)關(guān)閉)

SSHv2通過Web方式HTTP

(默認(rèn)關(guān)閉)HTTPS

認(rèn)證級別CLI:

登錄的用戶名/密碼特權(quán)模式的用戶名密碼Web:管理員權(quán)限(讀寫/只讀)ADC的訪問方式CLI:用戶級別正式名稱通俗名稱提示符用戶權(quán)限用戶模式user模式>可以監(jiān)控SLB&CGN，做備份,使用簡單的診斷工具。從這個(gè)級別的用戶不能更改配置。特權(quán)模式enable模式#繼承用戶模式的權(quán)限，還可以管理和監(jiān)控系統(tǒng)，但不能修改SLB或CGN的配置。

特權(quán)模式下的配置模式config模式(config)#繼承特權(quán)模式的權(quán)限，還可以配置SLB或CGN

在特權(quán)模式下的命令，可以在本模式前面加do后執(zhí)行。冗余模式下Thunder-Active>Thunder-Standby>集群模式下Thunder-Active-vMaster[7/1]>Thunder-Standby-vBlade[7/2]>抓包模式下Thunder(axdebug)#修改Hostname后Thunder(config)#hostnameMyThunder1MyThunder1(config)#CLI:額外的一些提示符命令選擇

Thunder>showhealthmonitor?WORD<length:1-31> Name

all-partitions Allpartitionconfigurations

partition Per-partitionconfigurations

| Outputmodifiers命令消岐

Thunder>showic?icmp

DisplayICMPstatistics

icmpv6 DisplayICMPv6statistics命令補(bǔ)全Thunder>showrad<tab>

Thunder>showradius-serverCLI:幫助命令no作為撤銷命令Thunder(config)#ipnatpoolnat156netmask/24

vThunder(config)#showipnatpoolTotalIPNATPools:1

PoolNameStartAddressEndAddressMaskGatewayHAGroupVrid

nat156/240defaultThunder(config)#noipnatpoolnat1

Thunder(config)#showipnatpoolTotalIPNATPools:0CLI:撤銷命令配置時(shí)“noenable”命令效果和“disable”命令效果一致Thunder#showrun|secslbslbservers18Thunder(config)#slbservers1Thunder(config-realserver)#noenable Thunder#showrun|secslbslbservers18

disableCLI:禁用配置正則表達(dá)式的一個(gè)子集,可以在命令行中使用. 匹配任何單個(gè)字符，包括空格

* 匹配前面的子表達(dá)式零次或多次

+

匹配前面的子表達(dá)式一次或多次

?

匹配前面的子表達(dá)式零次或一次

^

匹配輸入字符串的開始位置

$

匹配輸入字符串的結(jié)束位置

_

強(qiáng)調(diào)匹配一個(gè)逗號“,”,左大括號

“{”,右大括號“}”,左括號“(”,

右括號“)”,字符串的開始位置,字符串的結(jié)束位置,

或者一個(gè)空格CLI:正則表達(dá)式ADC

支持用管道符加section

和

include命令過濾顯示內(nèi)容Section顯示匹配輸入內(nèi)容的那一段配置

ACOS#showrun|secslbslbservers18

port80tcp

slbservice-grouphttptcp

members1:80Include

顯示匹配輸入內(nèi)容的那一行的配置ACOS#showrun|incslbslbservers18

slbservice-grouphttptcpCLI:過濾輸出(section&include)

管道符“|”和inc

或者sec共同使用表示或者，使用“\”表示無空格

ACOS#showrun|inctacacs\|radiustacacs-serverhost00secret(encrypted_secret)port49timeout12

radius-serverhost00secret(encrypted_secret)CLI:或者命令Exit命令可以一級一級退出

ACOS(config-slbvserver-vport)#exitACOS(config-slbvserver)#exitACOS(config)#exitACOS#exitACOS>End直接退出配置模式ACOS(config-slbvserver-vport)#endACOS#exitACOS>Ctrl-C是exit

的快捷鍵

Ctrl-Z是end的快捷鍵

CLI:退出當(dāng)前視圖在CLI里,用以下命令一級一級進(jìn)行配置

systemredundancy+clusteringserversnatpoolstemplatesvirtualservervirtualserverportCLI:工作流設(shè)備管理口默認(rèn)IP地址為1，需要將電腦網(wǎng)卡IP地址設(shè)置在同一網(wǎng)段：使用https://1進(jìn)行登錄，默認(rèn)的登錄用戶名：“admin”，密碼：“a10”

，如下圖:

登錄Web界面Monitor相當(dāng)于CLI的user模式Config相當(dāng)于CLI的config模式Web界面:用戶級別在Web界面里,你可以用以下方式進(jìn)行配置

ADC>SLB>VirtualServer(然后添加vPort)必要的配置信息的名字是自動(dòng)創(chuàng)建的，WEB界面里的虛擬服務(wù)配置將在CLI層面轉(zhuǎn)化為虛擬服務(wù)器和虛擬端口

ACOS#showrun|secslbslbserver_s_88

port80tcp

slbserver_s_99

port80tcp

slbservice-grouphttptcp

member_s_8:80

member_s_9:80

slbvirtual-server_2_vserver2

port80http

namevip1-http

service-grouphttpWeb界面:工作流CLI的優(yōu)點(diǎn)

結(jié)構(gòu)性強(qiáng)，便于理解

更適于故障診斷，因?yàn)榭梢栽谝粋€(gè)界面上同時(shí)顯示所有配置

可以快速配置

操作設(shè)備時(shí)需要的帶寬更小

Web界面的優(yōu)點(diǎn)更靈活的配置方式友好的界面

更適用于監(jiān)控，因?yàn)橛袌D形化的顯示

CLI與Web界面對比命名配置文件的好處

維護(hù)多個(gè)配置

為每個(gè)分區(qū)選擇不同名字的啟動(dòng)配置

復(fù)制和編輯配置文件時(shí)不影響正常操作

兩個(gè)物理分區(qū)維護(hù)一個(gè)配置

創(chuàng)建新的配置文件

ACOS#writememory<new_profile>

ACOS(config)#copy<existing_profile><new_profile>查看所有配置文件

ACOS#showstartup-configall將配置文件關(guān)聯(lián)到啟動(dòng)文件ACOS(config)#linkstartup-config<profile_name>[primary|secondary]命名配置文件配置備份Web界面:系統(tǒng)>維護(hù)>備份>系統(tǒng)CLI:ACOS(config)#backupsystem[…]配置恢復(fù)Web界面:系統(tǒng)>維護(hù)>恢復(fù)

>系統(tǒng)CLI:ACOS(config)#restore[…]注意

:支持這些協(xié)議上傳

:FTP,SFTP,SCP,RCP,TFTP,andHTTPS(通過Web界面)系統(tǒng)配置備份和恢復(fù)ACOS#export?running-config RunningConfig

ssl-cert SSLCertFile

ssl-cert-key

SSLCert/KeyFile

ssl-crl SSLCrlFile

ssl-key SSLKeyFile

aflex aFleXScriptSourceFile

bw-list Black/WhiteListFile

class-list ClassListFile

axdebug AXDebugPacketFile

debug_monitor DebugMonitorOutput

startup-config StartupConfig

syslog Syslogfile

thales-secworld Thalessecurityworldfiles-in.tgzformat

thales-kmdata ThalesKmdatafiles-in.tgzformat

dnssec-dnskey DNSSECDNSKEY(KSK)fileforthezone

dnssec-ds DNSSECDSfileforthezone

ip-map-list

IPMapListFile備份其他配置你可以通過下面的方式清除配置但保留登錄設(shè)備的配置

ACOS(config)#erase? preserve-managementPreservemanagementipanddefaultgateway

preserve-accountsPreserveadminaccounts

reloadReloadaftererase

<cr>這個(gè)命令也可以清除與現(xiàn)在關(guān)聯(lián)的啟動(dòng)配置文件（除了要保留的配置），而且不影響其他配置文件配置清除系統(tǒng)軟件存儲在兩個(gè)磁盤分區(qū):主分區(qū)和備分區(qū)

設(shè)計(jì)備分區(qū)的目的在于便于配置回滾

兩個(gè)

CompactFlash分區(qū):主分區(qū)和備分區(qū)

設(shè)計(jì)CF

卡用于應(yīng)急恢復(fù)

注意:每個(gè)存儲分區(qū)都有自己的系統(tǒng)軟件和配置文件系統(tǒng)軟件存儲位置檢查系統(tǒng)軟件正用于哪個(gè)磁盤分區(qū)Web界面:面板

\系統(tǒng)(系統(tǒng)信息)

CLI:ACOS#showbootimage在另個(gè)一個(gè)磁盤分區(qū)配置升級Web界面:系統(tǒng)

>維護(hù)

>升級

CLI:ACOS(config)#upgrade[…]

將正在運(yùn)行的配置拷貝到另一個(gè)磁盤分區(qū)或者關(guān)聯(lián)到另一個(gè)磁盤分區(qū)的啟動(dòng)文件ACOS#writememory[primary|secondary]ACOS(config)#linkstartup-config<profile_name>[primary|secondary]設(shè)置從另一個(gè)磁盤分區(qū)啟動(dòng)Web界面:系統(tǒng)>設(shè)置

>啟動(dòng)映像

CLI:ACOS(config)#bootimagehd[primary|secondary]系統(tǒng)軟件升級回滾到出廠配置CLI:ACOS(config)#system-reset

ACOS(config)#end

ACOS#reboot第一步的配置

用Console連接ADC(9600

波特率-8

比特–無奇偶校驗(yàn)-1

停止位)默認(rèn)用戶名/密碼:admin/a10配置管理接口和默認(rèn)網(wǎng)關(guān)用CLI或者Web界面完成余下配置初始化配置ACOSlogin:adminPassword:ACOS>enPassword:ACOS#confACOS(config)#interfacemanagementACOS(config-if:management)#ipaddress1

/24ACOS(config-if:management)#ipdefault-gatewayACOS(config-if:management)#exitACOS(config)#exit初始化配置舉例A10負(fù)載均衡基礎(chǔ)概念服務(wù)器負(fù)載服務(wù)器負(fù)載服務(wù)器負(fù)載確保流量分配最合理應(yīng)用程序故障轉(zhuǎn)移確保不間斷的可用性不平均的用戶流量平均的服務(wù)器流量MoviesHomepageFinanceGamesPhotos負(fù)載均衡的主要目的客戶端Web服務(wù)器Server定義真實(shí)服務(wù)器的IP地址、端口、以及其他服務(wù)器相關(guān)的參數(shù)Servicegroup定義某個(gè)業(yè)務(wù)端口所屬的真實(shí)服務(wù)器IP及端口的集合Virtualserver定義某個(gè)VIP上需要發(fā)布的業(yè)務(wù)和端口Template各種可以在多個(gè)模式下復(fù)用的策略Healthmonitor健康檢測，可以在server、servicegroup兩個(gè)層面啟用基礎(chǔ)概念拓?fù)?單臂

源地址轉(zhuǎn)換SNAT模式SourceIPDestIP0SourceIPDestIP000DestIPSourceIP0DestIPSourceIP000/24VIP=0SNAT=0/24100.0.1.[100-200]核心交換機(jī)用戶旁路部署方式核心交換機(jī)A10負(fù)載均衡設(shè)備A10負(fù)載均衡設(shè)備服務(wù)器部署簡單，無需改變現(xiàn)有拓?fù)浣Y(jié)構(gòu)可以不改變現(xiàn)有VLAN，IP地址規(guī)劃無需更改服務(wù)器網(wǎng)關(guān)，不進(jìn)行負(fù)載均衡的流量可直接通過交換機(jī)轉(zhuǎn)發(fā)，效率較高對防火墻部署小，策略遷移簡單擴(kuò)展能力強(qiáng)由于上述優(yōu)勢，旁路部署是行業(yè)慣例和大部分用戶的共識拓?fù)?單臂

不用源地址轉(zhuǎn)換SNAT模式SourceIPDestIP0SourceIPDestIP00DestIPSourceIP0DestIPSourceIP00/24VIP=0/24100.0.1.[100-200]核心交換機(jī)用戶串接部署方式核心交換機(jī)A10負(fù)載均衡設(shè)備A10負(fù)載均衡設(shè)備服務(wù)器部署復(fù)雜，需要改變現(xiàn)有網(wǎng)絡(luò)連接。通常也需要改變服務(wù)器的VLAN和IP地址規(guī)劃需要改變服務(wù)器網(wǎng)關(guān)，不論是否需要負(fù)載均衡的流量都必須穿過負(fù)載均衡設(shè)備對防火墻的安全域部署造成嚴(yán)重干涉，甚至無法與防火墻共存擴(kuò)展能力受限由于上述弊病，實(shí)際應(yīng)用中，幾乎系統(tǒng)沒有采用串接方式部署負(fù)載均衡設(shè)備拓?fù)?DSR模式（三角傳輸）

/24SourceIPDestIP0

SLBMACSourceIPDestIP0

ServerMACDestIPSourceIP0VIP=0/24LoopbackIP=VIP=0100.0.0.[100-200]優(yōu)點(diǎn):高度的伸縮性(ADC只處理入方向的流量)拓?fù)?DSR模式缺點(diǎn):不能使用ADC的任何七層特性(aFleX

仍然可以在虛擬端口級別下應(yīng)用)需要在每臺服務(wù)器上在loopback口配置虛IP/24VIP=0/24100.0.0.[100-200]LoopbackIP=VIP=0負(fù)載均衡需要配置以下三個(gè)核心組件:服務(wù)器，服務(wù)組，虛擬服務(wù)器(VIPs)服務(wù)器負(fù)載均衡(SLB)最小配置服務(wù)器名IPaddress（可以使用DNS域名）服務(wù)端口（Ports）服務(wù)器配置Web界面:配置>服務(wù)>SLB>服務(wù)器CLI:AX(config)#slbserver<name>[…]服務(wù)器狀態(tài)和統(tǒng)計(jì)Web界面:監(jiān)控>服務(wù)>SLB>服務(wù)器CLI:AX#showslbserver[…]服務(wù)器最小配置名字類型

(TCP/UDP)負(fù)載均衡算法至少一個(gè)服務(wù)器/端口服務(wù)組服務(wù)組–負(fù)載均衡算法輪詢Round-Robin最少連接數(shù)LeastConnection服務(wù)的最少連接數(shù)ServiceLeastConnection加權(quán)輪詢WeightedRoundRobin加權(quán)最少連接數(shù)WeightedLeastConnection服務(wù)的加權(quán)最少連接數(shù)ServiceWeightedLeastConnection最快響應(yīng)時(shí)間FastestResponsetime最少的請求數(shù)LeastRequest嚴(yán)格的輪詢RoundRobinStrict無狀態(tài)Stateless

負(fù)載均衡算法通過健康檢查來判斷應(yīng)用服務(wù)是否可用健康檢查應(yīng)用于:服務(wù)器與/或服務(wù)器：端口與/或服務(wù)組健康檢查可以探測應(yīng)用服務(wù)的可用性L3層：ping(icmp)L4層：tcp,udpL7層（應(yīng)用層）:http,https,ftp,smtp,pop3,snmp,dns,radius,ldap,rtsp,sip,ntp通過創(chuàng)建的腳本多種L3/L4/L7測試方法也可以組合成一個(gè)布爾表達(dá)式（用“與/或/非”）健康檢查服務(wù)器健康檢查如果健康檢查失敗，該服務(wù)器會被認(rèn)為是不可用的，相應(yīng)的服務(wù)組會停止使用該服務(wù)器提供負(fù)載均衡

注意:默認(rèn)的服務(wù)器健康檢查是icmp方式服務(wù)器端口健康檢查如果健康檢查失敗，該服務(wù)器端口會被認(rèn)為是不可用的，相應(yīng)的服務(wù)組會停止使用該服務(wù)器端口提供負(fù)載均衡

注意:默認(rèn)的TCP服務(wù)端口默認(rèn)健康檢查為TCP三次握手

服務(wù)組的健康檢查如果其中某一個(gè)組員健康檢查失敗，則該服務(wù)組會停止利用這個(gè)組員提供負(fù)載均衡

注意:默認(rèn)服務(wù)組不配置健康檢查，服務(wù)組中配置的健康檢查優(yōu)先于服務(wù)器中配置的啟用健康檢查HTTP擴(kuò)展健康檢查舉例HTTP擴(kuò)展健康檢查舉例Exampleofgettingtheexpectedresponse,soservicewillbeUPHTTP擴(kuò)展健康檢查舉例ExampleofNOTgettingtheexpectedresponse,soservicewillbeDOWN基于源IP（SourceIP）的會話保持當(dāng)同一個(gè)客戶端的應(yīng)用訪問流量或連接要求必須終結(jié)在同一臺服務(wù)器的時(shí)候，可以啟用基于源

IP的會話保持基于源IP的會話保持1231230107創(chuàng)建一個(gè)源

IP會話保持的模板模板名稱

類型： 端口(按每虛擬服務(wù)端口保持)服務(wù)器(按每虛擬服務(wù)器保持)服務(wù)組(按每URL或按每主機(jī)保持)超時(shí)時(shí)間：

不活動(dòng)的會話保持條目被保留的時(shí)間(缺省=5minutes)不用考慮連接限制規(guī)則：會忽略在服務(wù)器和服務(wù)器端口上定義的連接數(shù)限制，以及到服務(wù)器的新建連接速率限制（缺省=disabled）網(wǎng)絡(luò)掩碼:客戶端IP地址哈希值的顆粒度（缺省=55最精細(xì)的精確的）將此SourceIP會話保持模板應(yīng)用于虛擬服務(wù)端口上基于源IP的會話保持的模板和源IP保持一樣,Cookie會話保持用于HTTP/HTTPS客戶端要讓他們的連接始終保持在同一個(gè)服務(wù)器上

但Cookie會話保持提供了更細(xì)的粒度,因?yàn)榧词共煌挠脩魜碜韵嗤拇?這樣他們就有相同的源IP地址)會通過Cookie會話保持將連接分配到不同的服務(wù)器上Cookie會話保持123123Cookie:PHPSESSID=qacrosfkmd3pmnvemfm2s3fgb3Cookie:PHPSESSID=qacrosfkmd3pmnvemfm2s3cqa4創(chuàng)建一個(gè)源地址轉(zhuǎn)換地址池SourceNATPool名稱：定義模板名稱

起始IP地址：地址池的第一個(gè)起始地址（可以是設(shè)備的接口地址）終止IP地址：地址池的最后一個(gè)地址（可以和“起始IP地址”相同）

注意:如果“起始”和“終止”IP地址相同，則表明此地址池內(nèi)只有一個(gè)IP地址，每一個(gè)IP地址在設(shè)備上做NAT的時(shí)候，能夠支持64K個(gè)NAT會話網(wǎng)絡(luò)掩碼（設(shè)定地址池內(nèi)IP地址的網(wǎng)絡(luò)掩碼）；（可選項(xiàng)）網(wǎng)關(guān):指定一個(gè)具體的網(wǎng)關(guān)來返回客戶端的請求(可選項(xiàng)）“HA

組”

:指定HA組與源地址轉(zhuǎn)換地址池綁定將此源地址轉(zhuǎn)換地址池應(yīng)用在虛擬服務(wù)端口上網(wǎng)絡(luò)地址轉(zhuǎn)換最小配置名稱IP地址

（供客戶端訪問）虛擬服務(wù)器端口（Vport）虛擬服務(wù)器最小配置端口類型

(TCP/UDP/HTTP/HTTPS/Fast-HTTP/RTSP/FTP/MMS/

SSL-Proxy/SMTP/SIP/SIP-TCP/SIP-TLS/Others)端口號

服務(wù)組虛擬服務(wù)端口(vPort)如果存在多個(gè)虛擬服務(wù)器，負(fù)載均衡優(yōu)先處理有精確的虛擬服務(wù)器地址的虛擬服務(wù)器.例如:slbvirtual-serveracme2port80httpservice-groupacmeslbvirtual-serveremca4port0tcpservice-groupemcaslbvirtual-serverdefaultport0tcpservice-groupdefault上述例子中，虛擬服務(wù)器按照列出的順序處理負(fù)載均衡工作順序:虛擬服務(wù)器多個(gè)虛擬服務(wù)端口按照添加的順序顯示，優(yōu)先處理最具體的服務(wù)端口，例如:slbvirtual-serverdefaultport0tcp

service-groupdefault

port80tcpservice-grouphttp上述例子中優(yōu)先處理虛擬服務(wù)端口負(fù)載均衡工作順序:虛擬服務(wù)端口(vPort)HTTPRFC2616(/Protocols/rfc2616/rfc2616.html)HTTP(超文本傳輸協(xié)議)是一個(gè)用未加密的TCP訪問web內(nèi)容的協(xié)議(通常在端口80上)注意:HTTPS使用相同的協(xié)議，通過SSL加密保證更高的安全性(通常在端口443上)HTTP是一系列的網(wǎng)絡(luò)請求響應(yīng)事務(wù)的集合注意:瀏覽器可以打開多個(gè)TCP會話來并行下載一個(gè)網(wǎng)站的多個(gè)內(nèi)容(IE5.5/6.0可以并行打開兩個(gè)會話,IE8可以并行打開六個(gè)會話,Firefox3.x可以并行打開十五個(gè)會話)請求和響應(yīng)通過HTTP頭發(fā)送HTTP協(xié)議主要的請求方法“GETurl”:從服務(wù)器請求對象“POSTurl”:發(fā)送數(shù)據(jù)或?qū)ο蠼oserver其他方式還有:HEAD,CONNECT

主要的請求頭部

“Host”:網(wǎng)站名稱“Connection:Keep-Alive”:客戶端支持使用相同的會話發(fā)送接受多個(gè)請求和響應(yīng)

“Accept-Encoding:gzip,deflate”:支持壓縮

“Cookie”:用于跟蹤用戶信息的文本

HTTP請求主要服務(wù)器相應(yīng)代碼200:成功

301:永久重定向

302:臨時(shí)重定向

304:未修改

404:頁面未找到

5xx:服務(wù)器錯(cuò)誤

HTTP響應(yīng)碼主要的響應(yīng)頭部

“Last-Modified”:對象最后修改時(shí)間

"Etag":實(shí)體標(biāo)記(用于檢測對象的變化)“Connection:Keep-Alive”:服務(wù)器支持使用在同一個(gè)session下使多個(gè)請求和響應(yīng)"Set-Cookie":要求用戶保存cookie來跟蹤用戶信息

“Cache-Control”/“Pragma”:對象的緩存能力HTTP響應(yīng)頭不需要為HTTP負(fù)載均衡多增加一個(gè)特定的配置–任意的L4層虛擬服務(wù)器配置都可以提供HTTP的服務(wù)然而,ADC負(fù)載均衡設(shè)備卻明顯改善HTTP服務(wù)

更高的可用性

更好的靈活性

更好的性能/加速

更好的安全性

設(shè)備在網(wǎng)頁配置管理頁面上提供了HTTP模板的配置HTTP模板的配置非常靈活應(yīng)用HTTP模板需要將HTTP模板與虛擬服務(wù)器端口相關(guān)聯(lián)HTTP的負(fù)載均衡配置HTTP健康檢查設(shè)備可以通過健康檢查測試HTTP/HTTPS服務(wù)的可用性

HTTP/HTTPS健康檢查需要以下參數(shù):端口:TCP端口方法

(GET或者

HEAD或者

POST)URL下面是可選的參數(shù):用戶名和密碼:用于需要認(rèn)證的網(wǎng)站

期望:服務(wù)器響應(yīng)代碼或服務(wù)器文本維護(hù)代碼:自動(dòng)地標(biāo)記服務(wù)器正在維護(hù)中，而不是標(biāo)記成服務(wù)器不可用（down），所以會話保持在該服務(wù)器上的用戶依舊還在這臺服務(wù)器上面HTTP的負(fù)載均衡配置URL故障轉(zhuǎn)移

當(dāng)所有服務(wù)器失效,設(shè)備可以發(fā)送一個(gè)到備份站點(diǎn)HTTP重定向消息ACOS(config)#slbtemplatehttp<template_name>ACOS(config-http))#failover-url? WORD<length:1-255> FailoverURLNameHTTP的負(fù)載均衡配置在收到錯(cuò)誤代碼5xx時(shí)重發(fā)HTTP請求

當(dāng)服務(wù)器回復(fù)錯(cuò)誤代碼5xx時(shí),默認(rèn)情況下設(shè)備會將它轉(zhuǎn)發(fā)到客戶端。重試選項(xiàng)可以讓設(shè)備重新發(fā)送請求到服務(wù)組的另一臺服務(wù)器可以使用以下選項(xiàng):“每個(gè)請求中都發(fā)生HTTP5xx錯(cuò)誤時(shí)”:客戶端請求重發(fā)到一個(gè)新的服務(wù)器

“發(fā)生HTTP5xx錯(cuò)誤時(shí)”:客戶端請求重發(fā)到一個(gè)新的服務(wù)器

，并且30秒內(nèi)不再將請求發(fā)送至回復(fù)錯(cuò)誤代碼的服務(wù)器“#”:可以嘗試的服務(wù)器數(shù)量Logging:事件發(fā)生時(shí)產(chǎn)生日志文件HTTP的負(fù)載均衡配置客戶端IP頭插入為了讓服務(wù)器記錄客戶端真實(shí)IP地址信息，設(shè)備可以在HTTP請求頭中插入客戶端的IP地址信息

ACOS(config-http))#insert-client-ipHTTP的負(fù)載均衡配置HTTPS(HTTPoverTLS)RFC2818(/rfc/rfc2818.txt)HTTPS是“安全型”的HTTP協(xié)議(通常使用443端口)HTTPS提供了服務(wù)器身份認(rèn)證(使用服務(wù)器證書)(可選)客戶端身份認(rèn)證(使用客戶端證書)加密(使用TLS/SSL)HTTPS協(xié)議TLS/SSL是基于公共證書和私有密鑰證書是由證書權(quán)威機(jī)構(gòu)（CA）簽發(fā)的HTTPS的客戶端首先請求一個(gè)服務(wù)器的公共證書并驗(yàn)證該證書是否由可信任的CA中心頒發(fā)的當(dāng)服務(wù)器證書驗(yàn)證有效（名稱、有效期等）之后，客戶端向服務(wù)器發(fā)送HTTP請求服務(wù)器認(rèn)證SYN

(TCPPort443)SYN/ACKACKCLIENT_HELLO

(SSL版本,是否支持加密,數(shù)據(jù)壓縮算法,SessionID,隨機(jī)數(shù))SERVER_HELLO

(SSL版本,是否支持加密,所選數(shù)據(jù)壓縮算法,指定的SessionID,隨機(jī)數(shù))CHANGE_CIPHER_SPEC

(告知服務(wù)器后續(xù)的客戶端發(fā)來的報(bào)文都要被加密

)SERVER_DONECERTIFICATE_VERIFY

(客戶端告知服務(wù)器已經(jīng)驗(yàn)證成功服務(wù)器的證書

)CERTIFICATE

(公鑰,認(rèn)證簽名)CHANGE_CIPHER_SPEC

(告知客戶端后續(xù)的服務(wù)器發(fā)來的報(bào)文都要被加密

)FINISHED

FINISHED

SSL協(xié)商自此用戶的數(shù)據(jù)都被加密了客戶端SSL模板

為了與客戶端啟用HTTPS通信客戶端SSL模板將要出示給客戶端的公共證書私有密鑰(包括它的密碼)支持的SSL密碼(“加密算法")(可選項(xiàng))客戶端證書請求與客戶端的HTTPS通信服務(wù)器SSL模板為了與服務(wù)器啟用HTTPS通信服務(wù)器SSL模板支持的SSL密碼(“加密算法")(可選項(xiàng))那些可以使用的有效的服務(wù)器端CA證書與服務(wù)器端的HTTPS通信URL重定向

/重寫當(dāng)服務(wù)器響應(yīng)HTTP重定向時(shí),設(shè)備會重寫成一個(gè)新的內(nèi)容ACOS(config)#slbtemplatehttp<template_name>ACOS(config-http)#redirect-rewritesecure重定向SSL卸載SSL卸載緩解了服務(wù)器的SSL任務(wù)此項(xiàng)功能提供了服務(wù)器更快的響應(yīng)時(shí)間和更高的擴(kuò)展性

設(shè)備收到客戶端的HTTPS流量并轉(zhuǎn)發(fā)HTTP到服務(wù)器SSL卸載最大化

每個(gè)數(shù)據(jù)包的載荷提高應(yīng)用程序性能HTTP壓縮緩存的拷貝RAM緩存

靜態(tài)和動(dòng)態(tài)遠(yuǎn)程員工客戶移動(dòng)用戶更多的請求原始內(nèi)容初次請求合作伙伴動(dòng)態(tài)緩存范例技術(shù)細(xì)節(jié)/value.jspURL參數(shù)動(dòng)態(tài)緩存動(dòng)態(tài)緩存大幅度提高查詢速度使用A10前使用A10后3.5Sec0.4Sec不緩存客戶端發(fā)送帶范圍的HTTP請求(他發(fā)送到服務(wù)器)不緩存服務(wù)器響應(yīng)頭帶“Vary”字段(除了“Vary:Accept-Encoding”允許壓縮)不緩存服務(wù)器響應(yīng)頭帶“Warning”字段不緩存請求頭有“Authorization”字段(即便服務(wù)器指定“cache–control字段為public”)

不緩存不完全（部分的）回應(yīng)

不支持通配符最多16條緩存策略配置RAM緩存–一些限制

slbtemplatecachetemp_cachedisable-insert-agedisable-insert-viamax-cache-size290max-content-size5000000default-policy-nocachepolicyuri.jpgcachepolicyuri.gifcachepolicyuri.pngcachepolicyuri.swfcachepolicyuri.csscachepolicyuri.ttfcachepolicyuri.woffcachepolicyuri.icocachepolicyurisys.jsnocachepolicyurii18n.jsnocachepolicyurimd5.jsnocachepolicyuriutil.jsnocachepolicyuri.jspnocachepolicyuri/bi/cacheRAM緩存配置舉例：ADC設(shè)備提供分布式拒絕服務(wù)(DDoS)攻擊防護(hù)功能

DDoS

配置

Web界面:CLI:ACOS(config)#ipanomaly-drop<DDoS-type>DDoS防護(hù)可以使用DDoS過濾器

和系統(tǒng)的基于策略的負(fù)載均衡（PBSLB）配合使用，防止無效的HTTP或SSL載荷或者DNS長度為零的TCP窗口亂序報(bào)文

DDoS防護(hù)使用PBSLB列表:過濾用戶(阻斷用戶或者轉(zhuǎn)發(fā)到特定的服務(wù)組中)

基于策略的負(fù)載均衡(PBSLB)使用分類列表ClassList可以限制用戶:L4層流量:連接數(shù)限制每100毫秒連接速率限制L7層流量(HTTP/HTTPS/DNS):請求數(shù)限制

每100毫秒請求速率限制

基于策略的負(fù)載均衡(PBSLB)設(shè)備支持標(biāo)準(zhǔn)和擴(kuò)展的訪問控制列表ACL可以被應(yīng)用到數(shù)據(jù)接口,管理接口和虛擬服務(wù)端口支持重標(biāo)記,重排列和日志選項(xiàng)(Cisco/Foundry格式)ACL配置

[no]access-listacl-num[seq-num]{permit|deny|remarkstring}ip{any|hosthost-src-ipaddr|net-src-ipaddr{filter-mask|/mask-length}}{any|hosthost-dst-ipaddr|net-dst-ipaddr{filter-mask|/mask-length}}[log[transparent-session-only]訪問控制列表(ACL)設(shè)備提供了先進(jìn)的管理安全選項(xiàng)

提供多個(gè)管理賬戶與不同級別的訪問

提供接口級別的管理接入訪問方式(ICMP/Telnet/SSH/HTTP/HTTPS/SNMP)多次輸入錯(cuò)誤密碼時(shí)管理賬戶可以鎖定賬戶

支持RADIUS,TACACS+和LDAP協(xié)議進(jìn)行外部認(rèn)證,授權(quán)和計(jì)費(fèi)私有的分區(qū)

管理安全

高可用

VRRP-AVRRP-A可以為8臺設(shè)備或L3V分區(qū)提供冗余VRRP-A支持任意N+M部署，其中N是活動(dòng)設(shè)備M是備份設(shè)備可以跨越多個(gè)物理設(shè)備在多個(gè)L3V分區(qū)間構(gòu)建多個(gè)VRRP-A實(shí)例

VRRP-A優(yōu)勢VRRP-Aset-id1VRRP-Aset-id2Dev1Part2Dev2Part2Dev3Part2Dev4Part1Dev4Part2Dev1Part1Dev2Part1Dev3Part1DeviceIDVRRP-A組唯一的設(shè)備標(biāo)識SetID一組設(shè)備的唯一標(biāo)識符，所有設(shè)備都必須在一個(gè)二層廣播域里

VRRP-A的set-id和device-idVRID目的

虛擬路由器ID(VRID)用于將一些配置元素進(jìn)行邏輯分組。所有這些配置元素都會被相同VRRP-A組中的另一個(gè)設(shè)備用于故障轉(zhuǎn)移。例如這些配置元素:虛擬服務(wù)器

NAT地址池浮動(dòng)IPs虛擬MAC地址

VRRP-A會為每一個(gè)VRID分配一個(gè)虛擬MAC地址格式為021f.a000.nnnn，地址的最后2bytes(nnnn)顯示分區(qū)ID,set-id和VRID.VRRP-AVRID目的和MAC地址默認(rèn)VRIDVRRP-A提供默認(rèn)VRID，除了分配給用戶指定的VRID外，所有資源默認(rèn)自動(dòng)分配到默認(rèn)VRID中

默認(rèn)VRID編號是0，用戶指定的VRID不能使用這個(gè)數(shù)字，默認(rèn)VRID可以被禁用一臺設(shè)備上最多可以配置512個(gè)VRID指定VRID

管理員可以指定一個(gè)VRID編號(從1到512)并給他們分配資源一般用于有多個(gè)活動(dòng)設(shè)備需要多個(gè)VRID的場景中

VRRP-AVRID默認(rèn)編號和用戶指定編號活躍設(shè)備（主設(shè)備）處理所有流量一個(gè)VRID(默認(rèn))就可以進(jìn)行

主備模式部署主備模式VRIDDefault虛擬服務(wù)器浮動(dòng)IPNAT地址池主VRIDDefault虛擬服務(wù)器浮動(dòng)IPNAT地址池備心跳data設(shè)備選舉主備新選出的主設(shè)備為虛擬服務(wù)器、浮動(dòng)IP和NATIP發(fā)送主動(dòng)ARP用于應(yīng)答

主設(shè)備處理新的會話主備模式切換

心跳dataVRIDDefault虛擬服務(wù)器浮動(dòng)IPNAT地址池主VRIDDefault虛擬服務(wù)器浮動(dòng)IPNAT地址池備所有設(shè)備都處理流量

性能擴(kuò)展，充分利用各個(gè)設(shè)備

N+M模式VRID1activeVRID2activeVRID3activeVRID4standbyVRID5standbyVRID6standbyVRID12standbyVRID7standbyVRID8standbyVRID9standbyVRID10standbyVRID11standbyVRID1standbyVRID2standbyVRID3standbyVRID4activeVRID5activeVRID6activeVRID12standbyVRID7standbyVRID8standbyVRID9standbyVRID10standbyVRID11standbyVRID1standbyVRID2standbyVRID3standbyVRID4standbyVRID5standbyVRID6standbyVRID12standbyVRID7activeVRID8activeVRID9activeVRID10standbyVRID11standbyVRID1standbyVRID2standbyVRID3standbyVRID4standbyVRID5standbyVRID6standbyVRID12activeVRID7standbyVRID8standbyVRID9standbyVRID10activeVRID11active設(shè)備選舉主備，主設(shè)備發(fā)送免費(fèi)

對性能的影響降到最小

N+M切換VRID1activeVRID2activeVRID3activeVRID4standbyVRID5standbyVRID6standbyVRID12standbyVRID7activeVRID8standbyVRID9standbyVRID10standbyVRID11standbyVRID1standbyVRID2standbyVRID3standbyVRID4activeVRID5activeVRID6activeVRID12standbyVRID7standbyVRID8activeVRID9standbyVRID10standbyVRID11standbyVRID1standbyVRID2standbyVRID3standbyVRID4standbyVRID5standbyVRID6standbyVRID12standbyVRID7standbyVRID8standbyVRID9standbyVRID10standbyVRID11standbyVRID1standbyVRID2standbyVRID3standbyVRID4standbyVRID5standbyVRID6standbyVRID12activeVRID7standbyVRID8standbyVRID9activeVRID10activeVRID11activeXVRRP-A全局設(shè)置device-idn

set-id1

enable為每個(gè)設(shè)備配置VRRP-A切換觸發(fā)機(jī)制vrrp-afail-over-policy-template[NAME1-128][gateway|interface|route|trunk|vlan]tracking-optionsroutegateway54priority-cost20device1routegateway54priority-cost20device2

主備模式配置Priority-cost跟蹤用于搶占模式

追蹤資源的數(shù)值將從設(shè)備的優(yōu)先級減去

設(shè)備可以最大賦值255(默認(rèn)150,最小1)優(yōu)先級可以被管理員隨時(shí)改變優(yōu)先級對非搶占模式不起任何作用

切換策略模板使用權(quán)重機(jī)制,可以在搶占模式也可以在非搶占模式觸發(fā)切換

權(quán)重總是可搶占的

權(quán)重動(dòng)態(tài)計(jì)算并無法被修改

所有設(shè)備的權(quán)重初始值為65534跟蹤Tracking和切換策略模板比較

與主備模式配置一樣但是VRID數(shù)量要至少和活動(dòng)設(shè)備(主設(shè)備)數(shù)量保持一致

多主配置應(yīng)該總是使用搶占模式

每個(gè)VRID設(shè)備應(yīng)該交錯(cuò)配置使得故障切換對性能的影響降到

N+M模式配置VRID1Priority200activeVRID2Priority140standbyVRID3Priority160standbyVRID4Priority180standbyVRID1Priority140standbyVRID2Priority160standbyVRID3Priority180standbyVRID4Priority200activeVRID1Priority160standbyVRID2Priority180standbyVRID3Priority200activeVRID4Priority140standbyVRID1Priority180standbyVRID2Priority200activeVRID3Priority140standbyVRID4Priority160standby注意:VRRP-A的主備選舉和aVCS的vMaster主備選舉是獨(dú)立進(jìn)行的

VRRP-A選舉主設(shè)備設(shè)備啟動(dòng)禁用搶占或者優(yōu)先級一樣?選舉最小ID的設(shè)備選舉高優(yōu)先級高的設(shè)備是否權(quán)重值是否一樣？是否選舉權(quán)重值大的設(shè)備初始選擇主備以后，設(shè)備會保持這個(gè)狀態(tài)，除非發(fā)生以下狀態(tài)

備設(shè)備收不到來自主設(shè)備的VRRP-A心跳

通過VRRP-A策略模板監(jiān)控到主設(shè)備的權(quán)重值低于備設(shè)備的權(quán)重值

主備設(shè)備有相同的權(quán)重值,全都使能搶占模式,主設(shè)備的優(yōu)先級發(fā)生變化低于備設(shè)備的優(yōu)先級

默認(rèn)通過VRID跟蹤選項(xiàng)監(jiān)控優(yōu)先級

也可以管理地改變優(yōu)先級

觸發(fā)切換的條件A1-Active-vMaster[1/1]#showvrrp-adetailall-partitionsdisplayvrrp-astatusforallpartitionsconfigconfigdetaildetailfail-over-policy-templatefailoverpolicytemplatedetailshostidvrrp-adeviceserialnumberorsoftaxUUIDmaccorrespondingvirtualmacsetid-monitor

monitorsetidthathasbeenusedvrid-leadshowallleadvridinthesystem|Outputmodifiers<cr>故障排除:VRRP-A狀態(tài)和配置即時(shí)抓

VRRP-A心跳報(bào)文或者

存到文件中

A1-Active-vMaster[1/1]#axdebugA1-Active-vMaster[1/1](axdebug)#filter1A1-Active-vMaster[1/1](axdebug-filter:1)#ip10/32A1-Active-vMaster[1/1](axdebug-filter:1)#port4121741217A1-Active-vMaster[1/1](axdebug-filter:1)#exitA1-Active-vMaster[1/1](axdebug)#capturebrief(OR

capturesave<filename>)Waitfordebugoutput,enter<ctrlc>toexit@128833360i(3,300,666d)>ip>10udp48148>41217len62@128833356o(3,300,8b5f)>ip>10udp60249>41217len70@128834112o(3,300,666d)>ip>10udp60249>41217len70@128834112i(3,300,17574)>ip>10udp48148>41217len62故障排除:VRRP-A抓包A1-Active-vMaster[1/1]#showlog|incVRRPDec06201314:57:14Info[HA]:VRRP-Aparid0vrid0statetransitions:ToActive0,ToStandby1Dec06201314:57:14Info[HA]:VRRP-Aparid0vrid0stateswitchfrom2to0(Standby)Dec06201314:57:14Info[HA]:VRRP-Avridstart.parid0groupid1Dec06201314:57:14Info[HA]:VRRP-Avridstart.parid0groupid0Dec06201314:56:53Info[HA]:VRRP-Aparid0vrid0statetransitions:ToActive2,ToStandby2Dec06201314:56:53Info[HA]:VRRP-Aparid0vrid0stateswitchfrom0to1(Active)A1-Active-vMaster[1/1]#showaudit|incDec06201314:56Dec06201314:56:45[admin]cli:reload故障排除:VRRP-A

日志aFleX簡介aFleX是一個(gè)強(qiáng)大的、靈活的夠管理流量和增強(qiáng)服務(wù)的工具

aFleX使用業(yè)界標(biāo)準(zhǔn)的Tcl(Toolscommandlanguage)語言標(biāo)準(zhǔn)的Tcl命令設(shè)備提供了一些專有擴(kuò)展集aFleX允許:內(nèi)容插入(頭/數(shù)據(jù))處理流量阻斷流量重定向流量到一個(gè)特定的服務(wù)組或者服務(wù)器上修改流量內(nèi)容aFleX腳本語言aFleX腳本由以下三個(gè)基本組件構(gòu)成:事件主體內(nèi)容動(dòng)作事件aFleX腳本由事件驅(qū)動(dòng),這意味著任何時(shí)候該事件發(fā)生時(shí)都會觸發(fā)腳本生效

例如: HTTP_REQUEST當(dāng)設(shè)備收到HTTPrequest時(shí)觸發(fā)腳本

CLIENT_ACCCEPTED當(dāng)客戶端建立好一個(gè)連接時(shí)觸發(fā)腳本aFleX組件操作符標(biāo)準(zhǔn)的Tcl操作符相關(guān)的操作符:contains,matches,equals,starts_with,ends_with,matches_regex邏輯操作符:not,and,oraFleX命令用于查詢數(shù)據(jù)，處理數(shù)據(jù)，或者指定流量的目的地址，這些可能分成三個(gè)只要類別:狀態(tài)命令舉例:“pool<name>“重定向流量到指定的pool中aFleX組件查詢或處理數(shù)據(jù)的命令,例如:“IP::remote_addr“返回一個(gè)連接的遠(yuǎn)端IP地址“HTTP::headerremove<name>”從請求或響應(yīng)中刪除最后出現(xiàn)的指定頭應(yīng)用程序命令–用于解析和處理內(nèi)容,例如:“decode_uri<string>“解碼用指定的HTTPURI編碼的字符串并輸出結(jié)果aFleX組件把a(bǔ)FleX腳本放到設(shè)備上

使用CLI用電腦上的任意文本編輯器寫一個(gè)aFleX腳本并且保存為文件使用

“importaflex”命令將aFleX文件從電腦導(dǎo)入到設(shè)備上

aFleX語法檢查:"aflexcheck<name>".使用Web界面通過web管理接口，用戶可以直接編輯aFleX腳本并保存到設(shè)備上，配置路徑為"Config>Service>aFleX".使用aFleX編輯器aFleX編輯器可以從設(shè)備上下載aFleX腳本或者將腳本上傳到設(shè)備上，不及如此，它還可以做語法檢查和語法的加亮、關(guān)鍵字自動(dòng)補(bǔ)全等功能aFleX配置重定向特定的客戶請求到特定的服務(wù)組whenCLIENT_ACCEPTED{

if{[IP::addr[IP::client_addr]equals0]}{

poolsg2

}

} 注意:此項(xiàng)功能也可以通過基于策略的負(fù)載均衡實(shí)現(xiàn)客戶到主機(jī)的http請求重定向到https

whenHTTP_REQUEST{

if{[HTTP::host]equals“”}{

HTTP::redirecthttps://[HTTP::host][HTTP::uri]

}

} 注意:此項(xiàng)功能不能通過基于策略的負(fù)載均衡實(shí)現(xiàn)aFleX舉例根據(jù)url的功能將客戶請求重定向到特定的pool

whenHTTP_REQUEST{ if{[HTTP::uri]starts_with"/finance"}{ poolfinance_pool }elseif{[HTTP::uri]starts_with"/dev"}{ pooldev_pool }}aFleX舉例故障處理設(shè)備日志會記錄很多常規(guī)信息、告警信息和報(bào)錯(cuò)信息

，遇到問題時(shí)首先使用

showlog命令檢查設(shè)備.接口的up/down信息

L2層環(huán)路監(jiān)測的告警

單播/組播/廣播報(bào)文限制告警

MAC地址遷移告警

IP沖突告警

服務(wù)器服務(wù)端口up/down信息

應(yīng)用的錯(cuò)誤信息:負(fù)暫均衡,基于策略的負(fù)載均衡,HTTP,HA,AFLEX,[…]配置

Web界面:System>Systemlog>SystemCLI:ACOS#showlog[|inc<reg_ex>]日志日志帶有用戶名、日期、時(shí)間戳信息，并記錄了管理員的動(dòng)作，同時(shí)也記錄了管理員的會話信息

例如

Sep30201312:21:04[admin]web:addSourceIPPersistencetemplate[pers1]successfully.Sep30201311:41:54[admin]cli:vcsdevice-contextdevice2Sep30201312:29:28Awebsession[1]opened,username:admin,remotehost:2配置

Web界面:系統(tǒng)

>系統(tǒng)日志>操作日志CLI:ACOS#showaudit[|inc<reg_ex>]日志審計(jì)在遠(yuǎn)端服務(wù)器上建立永久的記錄Web界面:系統(tǒng)

>設(shè)置

>日志記錄CLI:ACOS(config)#logging[…]導(dǎo)出現(xiàn)有日志

Web界面:系統(tǒng)>

設(shè)置

>日志記錄

>導(dǎo)出

CLI:ACOS#exportsyslogmessages[use-mgmt-port]<remote_destination>導(dǎo)出日志用管道符配合include和section工具查找相應(yīng)的日志信息、審計(jì)信息和當(dāng)前的配置信息

ACOS#showlogSep24201309:56:45Warning[ACOS]:DuplicatedIPMAC000c.2976.5904fromPort1VLAN3detectedACOS#showaudit|incSep24201309:56Sep24201309:56:46[admin]cli:port80http

Sep24201309:56:28[admin]cli:slbvirtual-servervip1ACOS(config)#showrun|seciproute/0

slbvirtual-servervip1

port80http關(guān)聯(lián)日志信息和審計(jì)信息顯示健康檢查計(jì)數(shù)信息

ACOS#showhealthstat[longlistofstatistics]

IPaddressPortHealthmonitorStatusCause(Up/Down)RetryPIN

8defaultUP11/0