服务器负载均衡
本帮助主要介绍以下内容:
特性简介
服务器负载均衡是一种集群技术,它将特定的业务(网络服务、网络流量等)分担给多台服务器或防火墙,从而提高了业务处理能力,保证了业务的高可靠性。
负载业务层级
根据识别信息的层级不同,服务器负载均衡又分为以下两种:
四层服务器负载均衡:可识别网络层和传输层信息,是基于流的负载均衡,通过对报文进行逐流分发,将同一条流的报文分发给同一台服务器。由于四层服务器负载均衡对七层业务无法按内容分发,从而限制了其适用范围。
七层服务器负载均衡:除了可识别网络层和传输层信息之外,还可识别应用层信息,是基于内容的负载均衡,通过对报文承载的内容进行深度解析,根据其中的内容进行逐包分发,按既定策略将连接导向指定的服务器,从而实现了业务范围更广泛的服务器负载均衡。
部署模式
服务器负载均衡在网络中的部署模式有网关模式、旁路模式和三角传输模式三种,以下分别进行介绍。
网关模式
在网关部署模式中,LB设备串连部署在实服务器前端,客户端的请求和响应流量均会经过LB设备处理。当客户端的请求流量经过LB设备时,LB设备根据健康检测方法、会话保持、负载均衡策略、调度算法等选出最优的实服务器,并将客户端请求的虚IP地址转换为选中的实服务器的IP地址;在实服务器的响应流量经过LB设备时,LB设备会将其源IP地址还原为虚服务器IP地址。
在网关部署模式中,管理员需要在实服务器上配置缺省网关或静态路由,将发往客户端的报文发送到LB设备上。
网关部署模式将LB设备串接在原有组网中,会改变已有的网络拓扑,仅适用于组网较为简单的部署场景。
图-1 网关模式组网图
如图所示,NAT模式服务器负载均衡包含以下要素:
LB device(负载均衡设备):负责将各种服务请求分发到多台服务器。
Server(服务器):负责响应和处理各种服务请求。
VSIP(Virtual Service IP,虚服务IP):集群对外提供服务的IP地址,供用户请求服务时使用。
Server IP(服务器IP):供负载均衡设备分发服务请求时使用。
旁路模式
在旁挂部署模式中,LB设备旁挂部署在核心交换机上,客户端的请求和响应流量均会经过LB设备处理。
当客户端的请求流量经过LB设备时,LB设备根据健康检测方法、会话保持、负载均衡策略、调度算法等选出最优的实服务器,并将客户端请求的虚IP地址转换为选中的实服务器的IP地址;在实服务器的响应流量经过LB设备时,LB设备会将其源IP地址还原为虚服务器IP地址。
在旁挂部署模式中,管理员需要在实服务器上配置缺省网关或静态路由,将发往客户端的报文发送到旁挂LB设备的核心交换机上。
相比于网关部署模式,旁挂部署模式不改变原有网络拓扑,部署更为灵活。
图-2 旁路模式组网图
如图所示,旁路模式服务器负载均衡包含以下要素:
LB device(负载均衡设备):负责将各种服务请求分发到多台服务器。
General device(通用设备):按照正常的转发规则转发数据。
Server(服务器):负责响应和处理各种服务请求。
VSIP(Virtual Service IP,虚服务IP):集群对外提供服务的IP地址,供用户请求服务时使用。
Server IP(服务器IP):供负载均衡设备分发服务请求时使用。
旁路模式又称单臂模式。在此模式下,需在负载均衡设备和服务器上都配置VSIP(要求服务器不能通过VSIP发送和响应ARP请求,比如可将VSIP配置在服务器的LoopBack接口上)。
三角传输模式
三角传输部署模式与旁挂部署模式的网络拓扑相同,LB设备通常旁挂部署在核心交换机上,但不同的是,LB设备与实服务器之间通过二层传输,且只有客户端的请求流量会经过LB设备处理,实服务器的响应流量不会经过SLB设备处理。当客户端的请求流量经过LB设备时,LB设备根据健康检测方法、会话保持、负载均衡策略、调度算法等选出最优的实服务器,并向选中的实服务器发送访问请求,此时请求报文的源IP地址为客户端的IP地址,目的IP地址仍为虚服务器的IP地址,目的MAC地址为实服务器的MAC地址。实服务器接收并处理请求报文,并直接向客户端返回响应报文,响应报文不再经过LB设备处理。此时的源IP地址为虚服务器的IP地址,目的IP地址为客户端IP地址。
在三角传输部署模式中,管理员需要在实服务器上配置缺省网关或静态路由,将发往客户端的报文发送到出口网关上。并且,管理员还需要在实服务器的Loopback地址配置为服务器IP地址。
相比于网关部署模式,三角传输部署模式不改变原有网络拓扑,部署更为灵活;相比于旁挂部署模式,三角传输部署模式的回程流量不经过LB设备,更适用于诸如视频等业务流量较大的场景。
图-3 三角传输部署模式组网
服务器负载均衡关系图
vSystem相关说明
非缺省vSystem对于本特性的支持情况,请以页面的实际显示为准。
使用限制和注意事项
服务器负载均衡支持IPv4与IPv6,但四层服务器负载均衡不支持IPv4报文与IPv6报文的互相转换。
请避免配置VSIP和端口号都相同的UDP类型和SIP-UDP类型的虚服务器;请避免配置VSIP和端口号都相同的TCP、SIP-TCP、HTTP、Performance(HTTP)、HTTPS、HTTP重定向、RADIUS、MySQL和Diameter类型的虚服务器;请避免将Performance(HTTP)类型的虚服务器需避免和TCP客户端验证功能(该功能的介绍请参见“攻击防范联机帮助”)同时使用。否则导致无法预知负载均衡设备处理报文的方法。
License支持情况
服务器负载均衡功能需要购买并正确安装License才能使用,关于License的详细介绍请参见“License联机帮助”。
配置指南
配置思路
服务器负载均衡功能的配置思路如下图所示:
图-5 服务器负载均衡配置指导图
配置准备
在配置本特性之前,需要完成以下任务:
配置接口IP地址。接口在“网络 > 接口与VRF > 接口”页面配置。
配置路由,保证路由可达。路由在“网络 > 路由”页面配置。
创建安全域。安全域在“网络 > 安全域”页面配置。
配置接口加入安全域。可在安全域页面添加接口,也可在接口页面选择接口所属的安全域。
配置安全策略,放行业务流量。安全策略在“策略 > 安全策略”页面配置。
(可选)配置健康检测。健康检测模板可被实服务器或实服务组引用。健康检测在“对象 > 负载均衡 > 健康检测”页面配置。
(可选)配置源地址池。源地址池可被实服务组引用。源地址池在“对象 > 负载均衡 > 源地址池”页面配置。
(可选)配置持续性组。持续性组可被虚服务器或动作引用。持续性组在“对象 > 负载均衡 > 持续性组”页面配置。
(可选)配置ALG。ALG在“网络 > ALG”页面配置。
快速配置
快速配置页面旨在通过配置虚服务器的关键步骤,来简化和加速服务器负载均衡的配置过程。
快速配置的具体配置步骤如下:
单击“负载均衡 > 应用负载 > 快速配置”。
在“快速配置”页面,进行虚服务器的快速配置,具体的配置参数请参考
虚服务器 。图-6 服务器负载均衡快速配置示意图
单击<确定>按钮,快速配置的虚服务器会在“虚服务器”页面显示。
虚服务器
虚服务器是负载均衡设备上面向用户业务的虚拟载体,是为了判断是否需要对进入负载均衡设备的报文进行负载均衡而引入的概念。只有匹配上虚服务器的报文才会被进行负载均衡处理。
虚服务器的具体配置步骤如下:
单击“策略 > 负载均衡 > 服务器负载均衡 > 虚服务器”。
在“虚服务器”页面单击<新建>按钮。
新建虚服务器,进行虚服务器的基本配置。
图-7 虚服务器基本配置示意图
表-1 虚服务器基本配置
参数
说明
虚服务器名称
虚服务器的名称,不区分大小写
类型
虚服务器的类型,包括IP、TCP、UDP、SIP-TCP、SIP-UDP、HTTP、Performance(HTTP)、HTTPS、HTTP重定向、RADIUS、MySQL和Diameter类型
虚服务器IPv4地址
虚服务器的IPv4地址/掩码长度0~32
虚服务器IPv6地址
虚服务器的IPv6地址/前缀长度0~128
虚服务器端口号
虚服务器的端口号。0表示任意端口号
对于IP/TCP/UDP/RADIUS类型的虚服务器,可输入多个端口号,以英文逗号分隔,如:5,10,20-28。最多支持输入32段不连续的端口号
UDP强制负载均衡
开启/关闭UDP强制负载均衡功能。当UDP强制负载均衡功能关闭时,匹配虚服务器的流量按照数据流来进行负载均衡,即一个应用的流量会被负载均衡到同一个实服务器上;而当UDP强制负载均衡功能开启后,匹配虚服务器的流量不再按照流来进行负载均衡,而是按照每报文来进行负载均衡
仅UDP、SIP-UDP和RADIUS类型的虚服务器支持本参数
SSL服务器端策略
虚服务器引用的SSL服务器端策略,可以对负载均衡设备(作为SSL服务器)与SSL客户端之间传输的流量进行加密传输
可选择已创建的SSL服务器端策略,也可以新创建SSL服务器端策略。
仅TCP、HTTPS和Diameter类型的虚服务器支持本参数
重定向URL
在HTTP重定向类型的虚服务器中配置了重定向URL后,所有匹配该虚服务器的HTTP请求报文都将被重定向到指定URL
重定向URL区分大小写,也可以使用?和以下特定含义的字符串:
%h:表示客户端请求报文中的主机名
%p:表示客户端请求报文中的URL
%%:表示字符%
仅HTTP重定向类型的虚服务器支持本参数
重定向方式
临时重定向-302
临时重定向-307
永久重定向-301
仅HTTP重定向类型的虚服务器支持本参数
实服务组
虚服务器缺省引用的主用实服务组,可选择已创建的实服务组,也可以新创建实服务组
HTTP重定向和Diameter类型的虚服务器不支持本参数
实服务组的持续性组
实服务组所对应的主用持续性组,可选择已创建的持续性组,也可以新创建持续性组
HTTP重定向和Diameter类型的虚服务器不支持本参数
VRRP备份组关联接口
VRRP备份组关联的接口
配置了本参数后,必须指定虚服务器绑定的VRRP备份组号
VRRP备份组号
虚服务器绑定的VRRP备份组号
在双主模式的双机热备组网中,两台设备同时处理业务且互为主备。在未配置虚服务器下绑定的VRRP备份组时,两台设备同时处理业务。业务对应的源地址池在两台设备上进行拆分。在配置了虚服务器下绑定的VRRP备份组时,业务仅在指定备份组的主节点上进行处理。此时,业务对应的源地址池只在主节点上进行分配。有关双机热备的详细介绍,请参见“双机热备”联机帮助
在配置了VRRP备份组关联接口后,才允许配置本参数
VRRP IPv6备份组关联接口
VRRP IPv6备份组关联的接口
配置了本参数后,必须指定虚服务器绑定的VRRP IPv6备份组号
VRRP IPv6备份组号
虚服务器绑定的VRRP IPv6备份组号
在双主模式的双机热备组网中,两台设备同时处理业务且互为主备。在未配置虚服务器下绑定的VRRP IPv6备份组时,两台设备同时处理业务。业务对应的源地址池在两台设备上进行拆分。在配置了虚服务器下绑定的VRRP IPv6备份组时,业务仅在指定备份组的主节点上进行处理。此时,业务对应的源地址池只在主节点上进行分配
VRRP IPv6备份组仅对IPv6类型的虚服务器地址生效
在配置了VRRP IPv6备份组关联接口后,才允许配置本参数
MySQL数据库版本
负载均衡设备代替MySQL服务器对客户端进行认证的数据库版本。若通过本配置指定了MySQL数据库的版本,则设备会向客户端发送该版本的数据库初始化报文
仅MySQL类型的虚服务器支持本参数
读写分离
开启MySQL虚服务器的读写分离功能后,读SQL命令和写SQL命令将分别由读实服务组和写实服务组执行,一定程度上缓解读写并发时对数据库性能的影响
开启了读写分离功能后,必须同时配置读实服务组和写实服务组
仅MySQL类型的虚服务器支持本参数
读实服务组
虚服务器引用的读实服务组。可选择已创建的实服务组,也可以新创建实服务组。
仅在开启读写分离功能后,支持配置本参数
读持续性组
虚服务器引用的读持续性组,可选择已创建的持续性组,也可以新创建持续性组。
仅在开启读写分离功能后,支持配置本参数
配置读持续性组时,必须配置读实服务组
写实服务组
虚服务器引用的写实服务组。可选择已创建的实服务组,也可以新创建实服务组。
仅在开启读写分离功能后,支持配置本参数
写持续性组
虚服务器引用的写持续性组,可选择已创建的持续性组,也可以新创建持续性组。
仅在开启读写分离功能后,支持配置本参数
配置写持续性组时,必须配置写实服务组
发送免费ARP或ND报文的接口
设备发送免费ARP报文或ND报文的接口
若配置虚服务器的IP地址与客户端连接设备的入接口地址同网段,需要将本参数配置为设备连接客户端的接口,并同时开启响应ARP功能
负载分担模式
四层:配置TCP类型的虚服务器工作在四层
七层:配置TCP类型的虚服务器工作在七层
仅TCP类型的虚服务器支持本参数
如果TCP类型的虚服务器配置了工作在七层模式,则必须为虚服务器配置非0端口号,否则该模式不生效
启用代理协议
启用TCP类型虚服务器的代理协议功能后,设备可将真实的源IP地址信息透传到后端实服务器
启用版本1或版本2代理协议之前,请确保后端实服务器支持指定版本的代理协议,否则将导致设备与实服务器之间的新建连接失败
仅工作在七层的TCP类型虚服务器,支持配置本参数
响应ARP
开启/关闭响应ARP功能。开启响应ARP功能后,设备会将虚服务器的IP地址发布给OSPF模块参与路由计算,当数据中心进行切换的时候,保证访问虚服务器的流量也可以自动切换
冗余组引流策略
将匹配虚服务器的流量引流到指定备份组。若冗余组不存在或该冗余组下没有生效的备份组,则本功能不生效
本功能的支持情况与设备的型号有关,请以设备的实际显示为准
会话扩展信息备份
开启/关闭虚服务器的会话扩展信息备份功能
仅IP、TCP、UDP、SIP-TCP、SIP-UDP和RADIUS类型的虚服务器支持本功能
持续性表项备份
开启/关闭虚服务器的持续性表项备份功能
若设备的配置发生以下变化,则设备会删除当前已有的持续性表项,后续流量将会重新触发生成新的持续性表项
关闭持续性表项备份功能
持续性表项备份由组间备份切换为全局备份
持续性表项备份由全局备份切换为组间备份
HTTP重定向类型的虚服务器不支持本功能
持续性表项备份类型
持续性表项的备份类型,包括:
组间备份:表示仅在备份组内备份持续性表项
全局备份:在多台负载均衡设备之间备份持续性表项,而非只在备份组内的两台设备间备份
只有持续性表项备份功能处于开启状态时,才支持配置本功能
HTTP重定向类型的虚服务器不支持本功能
本功能的支持情况与设备的型号有关,请以设备的实际显示为准
虚服务功能
开启/关闭虚服务器。配置完虚服务器后,需要将其开启后才能进入工作状态
重置连接
开启/关闭重置连接。开启后,当虚服务器不可用,在收到客户端的SYN报文时会立即应答RST报文,并断开TCP连接
仅TCP、SIP-TCP、HTTP、HTTPS和Performance(HTTP)类型的虚服务器支持本功能
快速日志输出内容
指定快速日志输出内容。当输入多个变量时,变量之间用分号分隔,例如:%{host};%{is};%{ps}仅仅IP、TCP、UDP、HTTP和HTTPS类型的虚服务器支持本参数
本参数所支持的变量介绍,请参见附录:快速日志输出内容
描述
虚服务器的描述信息
用户列表
配置登录MySQL数据库时使用的用户名和密码
单击<新建>按钮,新建用户
用户名:登录MySQL数据库的用户
密码:登录MySQL数据库的用户密码
单击<确定>按钮,新建的登录用户会在“用户列表”中显示
设备最多支持配置100个MySQL数据库的登录用户
仅MySQL类型的虚服务器支持本参数
(可选)进行虚服务器的高级配置。
图-8 虚服务器高级配置示意图
表-2 虚服务器高级配置
参数
说明
插入X-Forwarded-For
开启/关闭在HTTP报文头部X-Forwarded-For字段插入源IP地址功能
开启本功能后,当设备收到客户端的请求报文后,会在HTTP报文头部的X-Forwarded-For字段插入客户端的源IP地址
仅HTTP、HTTPS类型的虚服务器支持配置本参数
调度资源-备用实服务组
虚服务器引用的备用实服务组,当主用实服务组可用(该实服务组存在且有可用的实服务器)时,虚服务器通过主用实服务组进行转发;当主用实服务组不可用而备用实服务组可用时,虚服务器通过备用实服务组进行转发
可选择已创建的实服务组,也可以新创建实服务组
Diameter类型的虚服务器不支持本参数
调度资源-实服务组的备用持续性组
实服务组所对应的备用持续性组的名称,不区分大小写
如果用户既配置了主用持续性组,也配置了备用持续性组,则会根据两个持续性组同时生成主用持续性表项和备用持续性表项。当有新的流量匹配已生成持续性表项时,如果未能匹配到主用持续性表项,则进行备用持续性表项匹配
仅HTTP、HTTPS和RADIUS类型的虚服务器支持配置本参数
调度资源-负载均衡策略
虚服务器引用负载均衡策略。根据策略中的规则,使命中虚服务器的报文根据不同的报文内容进行不同的负载均衡处理,从而有效地丰富了负载均衡的负载功能
可选择已创建的负载均衡策略,也可以新创建负载均衡策略。
虚服务器只能引用与自身类型相关的策略模板,如:Performance(HTTP)和HTTP类型的虚服务器,可以引用通用或HTTP类型的负载均衡策略;IP、TCP、UDP、SIP-TCP和SIP-UDP类型的虚服务器,只能引用通用类型的负载均衡策略;RADIUS类型的虚服务器,可以引用通用或RADIUS类型的负载均衡策略模板;Diameter类型的虚服务器,只能引用Diameter类型的负载均衡策略模板
HTTP重定向类型的虚服务器不支持本功能
调度资源-连接数限制策略
虚服务器引用连接数限制策略后,访问虚服务器的连接数将会受到连接数限制策略的限制
可选择已创建的连接数限制策略,也可以新创建连接数限制策略。
HTTP重定向类型的虚服务器不支持本功能
调度资源-SSL客户端策略
虚服务器引用的SSL客户端策略,可以对负载均衡设备(作为SSL客户端)与SSL服务器之间传输的流量进行加密传输
可选择已创建的SSL客户端策略,也可以新创建SSL客户端策略
仅HTTP、HTTPS类型的虚服务器支持本参数
调度资源-SSL服务器端扩展策略
配置虚服务器引用的携带SNI的SSL服务器端策略
单击<新建>按钮,新建SSL服务器端扩展策略
策略名称:SSL服务器端策略的名称,不区分大小写
服务器名称指示:SNI(Server Name Indicator),不区分大小写
单击<确定>按钮,新建的SSL服务器端扩展策略会在列表中显示
若虚服务器同时引用不带SNI的SSL服务器端策略,设备会选取不带SNI的SSL服务器端策略作为默认策略
在相同虚服务器中,不允许配置SNI相同的多个SSL服务器端策略
仅HTTPS类型的虚服务器支持本参数
调度资源-Cookie持续性组
虚服务器所对应的持续性组名称,不区分大小写
设备支持通过以下三种方式引用持续性组:
在虚服务器页面指定实服务组对应的持续性组
在动作页面指定实服务组对应的持续性组
在虚服务器页面指定虚服务器对应的持续性组方式
其中,通过本配置指定的虚服务器引用的持续性组优先级最高。即在进行流量分配时,优先根据虚服务器引用的持续性组生成持续性表项
本命令仅支持引用HTTP-Cookie类型的持续性组
不支持引用持续性方法为Cookie截取的Cookie持续性组
仅HTTP和HTTPS类型的虚服务器支持本参数
调度资源-VRF
配置虚服务器的VRF后,可使虚服务器服务于特定的VPN
可选择已创建的VRF,也可以新创建VRF
防护策略-HTTP类型防护策略
虚服务器引用了HTTP类型防护策略后,就要根据该策略的配置对对匹配指定虚服务器的流量进行防护
可选择已创建的HTTP类型的防护策略,也可以新创建HTTP类型的防护策略
仅HTTP和HTTPS类型的虚服务器支持本参数
参数模板-IP类型参数模板
虚服务器引用了IP类型参数模板后,就要根据该参数模板的配置对匹配流量进行相应的处理
可选择已创建的IP类型的参数模板,也可以新创建IP类型的参数模板
HTTP重定向类型的虚服务器不支持本功能
参数模板-TCP类型参数模板
虚服务器引用了TCP类型参数模板后,就要根据该参数模板的配置对匹配流量进行相应的处理和优化
可选择已创建的TCP类型的参数模板,也可以新创建TCP类型的参数模板
仅负载分担模式选择四层的TCP类型虚服务器支持本参数
参数模板-TCP类型参数模板(客户端侧)
虚服务器引用了TCP类型参数模板后,就要根据该参数模板的配置对匹配流量进行相应的处理,客户端TCP类型的参数模板仅对设备与客户端之间建立的TCP连接进行处理和优化
可选择已创建的TCP类型的参数模板,也可以新创建TCP类型的参数模板
仅Performance(HTTP)、HTTP、HTTPS、MySQL、Diameter和负载分担模式选择七层的TCP类型的虚服务器支持本参数
参数模板-TCP类型参数模板(服务器侧)
虚服务器引用了TCP类型参数模板后,就要根据该参数模板的配置对匹配流量进行相应的处理,服务端TCP类型参数模板仅对设备与服务器之间建立的TCP连接进行处理和优化
可选择已创建的TCP类型的参数模板,也可以新创建TCP类型的参数模板
仅Performance(HTTP)、HTTP、HTTPS、MySQL和负载分担模式选择七层的TCP类型的虚服务器支持本参数
参数模板-TCP Application类型参数模板
虚服务器引用了TCP Application类型参数模板后,就要根据该参数模板的配置对匹配流量进行相应的处理
可选择已创建的TCP Application类型的参数模板,也可以新创建TCP Application类型的参数模板
仅当工作在七层的TCP类型的虚服务器引用TCP Application类型的参数模板时,该参数模板才生效
参数模板-HTTP类型参数模板
虚服务器引用了HTTP类型参数模板后,就要根据该参数模板的配置对匹配流量进行相应的处理
可选择已创建的HTTP类型的参数模板,也可以新创建HTTP类型的参数模板
仅Performance(HTTP)、HTTP和HTTPS类型的虚服务器支持本参数
参数模板-HTTP2.0类型参数模板(客户端侧)
虚服务器引用了客户端侧HTTP2.0类型的参数模板后,设备根据该参数模板的配置对客户端发起的HTTP2.0协议版本的报文进行处理和优化,但转发给服务器时为HTTP1.0或HTTP1.1版本的报文
可选择已创建的HTTP2.0类型的参数模板,也可以新创建HTTP2.0类型的参数模板
仅HTTP和HTTPS类型的虚服务器支持本参数
参数模板-HTTP2.0类型参数模板(服务器侧)
虚服务器引用客户端侧HTTP2.0类型的参数模板,并同时引用服务器侧HTTP2.0类型参数模板后,设备对客户端发起的HTTP2.0协议版本的报文进行处理和优化,并转发给实服务器时为HTTP2.0版本的报文。若仅引用服务器侧HTTP2.0类型参数模板,未引用客户端侧HTTP2.0类型参数模板,则引用的该参数模板不生效
可选择已创建的HTTP2.0类型的参数模板,也可以新创建HTTP2.0类型的参数模板
仅HTTP和HTTPS类型的虚服务器支持本参数
参数模板-HTTP统计类型参数模板
虚服务器引用了HTTP统计类型参数模板后,就要根据该参数模板的配置对匹配流量进行相应的处理
可选择已创建的HTTP统计类型的参数模板,也可以新创建HTTP统计类型的参数模板
仅HTTP和HTTPS类型的虚服务器支持本参数
参数模板-HTTP压缩类型参数模板
虚服务器引用了HTTP压缩类型参数模板后,就要根据该参数模板的配置对匹配流量进行相应的处理
可选择已创建的HTTP压缩类型的参数模板,也可以新创建HTTP压缩类型的参数模板
仅HTTP和HTTPS的虚服务器支持本参数
参数模板-OneConnect类型参数模板
虚服务器引用了OneConnect类型参数模板后,就要根据该参数模板的配置对匹配流量进行相应的处理
可选择已创建的OneConnect类型的参数模板,也可以新创建OneConnect类型的参数模板
仅HTTP和HTTPS类型的虚服务器支持本参数
参数模板-MySQL类型参数模板
虚服务器引用了MySQL类型参数模板后,就要根据该参数模板的配置对匹配流量进行相应的处理
可选择已创建的MySQL类型的参数模板,也可以新创建MySQL类型的参数模板
仅MySQL类型的虚服务器支持本参数
参数模板-Diameter-Session类型参数模板
虚服务器引用了Diameter-Session类型参数模板后,客户端发起的Diameter请求报文匹配虚服务器后,就要根据该参数模板的配置对匹配流量进行相应的处理
可选择已创建的Diameter-Session类型参数模板,也可以新创建Diameter-Session类型参数模板
仅Diameter类型的虚服务器支持本参数
QoS-最大连接数
虚服务器所允许的最大连接数,0表示虚服务器所允许的最大连接数不受限制
HTTP重定向类型的虚服务器不支持本功能
QoS-每秒最大连接数
虚服务器所允许的每秒最大连接数,0表示虚服务器所允许的每秒最大连接数不受限制
HTTP重定向类型的虚服务器不支持本功能
QoS-最大总带宽
虚服务器所允许的最大总带宽,0表示最大带宽不受限制
HTTP重定向和Diameter类型的虚服务器不支持本功能
QoS-最大入带宽
虚服务器所允许的最大入带宽,0表示最大带宽不受限制
HTTP重定向和Diameter类型的虚服务器不支持本功能
QoS-最大出带宽
虚服务器所允许的最大出带宽,0表示最大带宽不受限制
HTTP重定向和Diameter类型的虚服务器不支持本功能
外链代理-外链代理功能
开启/关闭外链代理功能。外链代理功能通过代理IPv6客户端的IPv4外链访问请求,使IPv6单栈用户可以正常访问IPv4外链,帮助用户实现从IPv4网络到IPv6网络的平滑过渡
仅HTTP类型的虚服务器支持本参数
当设备检测到服务器返回的HTTP应答报文中包含外链时,会对外链域名进行改写。在原始的外链域名后添加URI标识、域名后缀和虚服务器端口号。以便IPv6客户端以改写后的域名发送DNS请求报文,设备在收到包含指定URI标识的请求报文时,会代理IPv6客户端请求IPv4外链资源
改写后的域名为:协议类型://原始外链域名+URI标识+域名后缀+:虚服务器端口号。协议类型包括HTTP和HTTPS
例如,协议类型为HTTP,原始的IPv4外链域名为www.example1.com,若配置URI标识为proxy,域名后缀为example2.com,虚服务器端口号为8080,则改写后的外链域名为http://www.example1.com.proxy.example2.com:8080
外链代理-外链代理的URI标识
外链代理的URI标识,不区分大小写,字符串中可以包含字母、数字、连字符“-”、下划线“_”
外链代理的URI标识用来标识经过设备改写后的外链。当设备收到IPv6站点服务器返回的应答报文时,设备会对应答报文中包含的IPv4外链域名进行改写。假设原始的IPv4外链域名为http://www.example1.com,若配置URI标识为proxy,域名后缀为example2.com,虚服务器端口号为8080,则改写后的外链域名为http://www.example1.com.proxy.example2.com:8080。当设备收到请求改写后外链域名的DNS请求报文后,设备会提取出原始的外链域名并代替IPv6客户端请求IPv4外链资源,并将获得的资源返回给客户端
仅HTTP类型的虚服务器支持本参数
外链代理-外链代理的域名后缀
外链改写后的域名后缀,由“.”分隔的字符串组成(如aabbcc.com),每个字符串的长度不超过63个字符,不区分大小写,字符串中可以包含字母、数字、连字符“-”、下划线“_”或英文句号“.”
仅HTTP类型的虚服务器支持本参数
外链代理-外链地址池
外链代理的SNAT地址池,不区分大小写
当设备收到包含改写后外链域名的DNS请求报文后,设备会提取出原始的外链域名并使用外链地址池中的地址作为客户端IP,代替客户端请求IPv4外链资源
若未配置外链地址池,则会将设备通往服务器的出接口IP地址作为客户端IP
仅HTTP类型的虚服务器支持本参数
外链代理-外链地址池
外链代理的SNAT地址池,不区分大小写
当设备收到包含改写后外链域名的DNS请求报文后,设备会提取出原始的外链域名并使用外链地址池中的地址作为客户端IP,代替客户端请求IPv4外链资源
若未配置外链地址池,则会将设备通往服务器的出接口IP地址作为客户端IP
仅HTTP类型的虚服务器支持本参数
外链代理-白名单列表
外链代理的白名单,若将指定域名添加到外链代理白名单中,则设备不会对加入白名单中的外链进行代理
在输入框中输入外链代理白名单的域名。由“.”分隔的字符串组成(如aabbcc.com),每个字符串的长度不超过63个字符,不区分大小写,字符串中可以包含字母、数字、“-”、“_”或“.”
单击<添加>按钮,输入的域名会在“白名单列表”中显示
仅HTTP类型的虚服务器支持本参数
单击<确定>按钮,新建的虚服务器会在“虚服务器”页面显示。
实服务组
为了便于对实服务器进行统一管理,可将具有相同或相似功能的实服务器抽象成一个组,称为实服务组。比如,可按存储内容的不同划分为歌曲服务器组、视频服务器组和图片服务器组等。实服务组可被虚服务器或动作引用。
实服务组的具体配置步骤如下:
单击“策略 > 负载均衡 > 服务器负载均衡 > 实服务组”。
在“实服务组”页面单击<新建>按钮。
新建实服务组,进行实服务组的基本配置。
图-9 实服务组基本配置示意图
表-3 实服务组基本配置
参数
说明
实服务组名称
实服务组的名称,不区分大小写
调度算法
选择实服务组的调度算法,包括:
加权轮转:即根据实服务器权值的大小把新连接依次分发给每台实服务器,权值越大,分配的新连接越多
随机:把新连接随机分发给每个实服务器
加权最小连接:总是把新连接分发给加权活动连接数(当前活动连接数/权值)最小的实服务器。该算法中使用的权值为实服务器页面配置的权值
带宽:根据实服务器的权值与剩余带宽乘积后的比例把用户请求分发给每个实服务器。例如,对于实服务器rs1和实服务器rs2,如果其剩余带宽分别为150kbps和250kbps,而权值分别为5和6,最终rs1和rs2的请求流量分配比例为150×5:250×6,即1:2
最大带宽:总是将用户请求分发给处于空闲状态且剩余带宽最大实服务器。例如,对于实服务器rs1和实服务器rs2,如果其剩余带宽分别为150kbps和250kbps,两条实服务器带宽差值为100kbps,此时,当请求流量少于100kbps时,则流量都将分配给rs2;当请求流量大于100kbps时,如130kbps,其中100kbps分配给rs2,其余30kbps流量将平均分配给两台实服务器
动态反馈:根据实服务器的内存使用率、CPU使用率和磁盘使用率等信息计算出当前的负载能力权值,负载越小,权值越大,分配到的新连接越多
最快响应:根据实服务器的响应时间计算出当前负载能力的权值,响应时间越短,权值越大,分配到的新连接越多
源IP地址哈希:根据源IP地址进行的哈希算法,设备将具有相同源IP地址的用户请求分配给相同的实服务器,适用于同一源IP地址发起的请求必须要调度到同一台实服务器的场景
源IP地址CARP哈希:根据源IP地址进行的CARP哈希算法,适用于同一源IP地址发起的请求必须要调度到同一台实服务器的场景。当可用实服务器不变时,设备将具有相同源IP地址的用户请求分配给相同的实服务器。对于同一源IP地址发起的访问请求,采用CARP哈希算法,当可用实服务器发生变化时,设备可使当前所有可用实服务器负载分担变动最小
源IP地址和端口哈希:根据源IP地址和端口号进行的哈希算法,设备将具有相同源IP地址和端口的用户请求分配给相同的实服务器,适用于同一源IP地址和端口发起的请求必须要调度到同一台实服务器的场景
源IP地址和端口CARP哈希:根据源IP地址和端口号进行的CARP哈希算法,适用于同一源IP地址和端口发起的请求必须要调度到同一台实服务器的场景。当可用实服务器不变时,设备将具有相同源IP地址和端口的用户请求分配给相同的实服务器。对于同一源IP地址和端口发起的访问请求,采用CARP哈希算法,当可用实服务器发生变化时,设备可使当前所有可用实服务器负载分担变动最小
目的IP地址哈希:根据目的IP地址进行的哈希算法,设备将具有相同目的IP地址的用户请求分配给相同的实服务器,适用于客户端一系列相关业务处理都需要和同一台实服务器反复通信的场景
目的IP地址CARP哈希:根据目的IP地址进行的CARP哈希算法,适用于客户端一系列相关业务处理都需要和同一台实服务器反复通信的场景。当可用实服务器不变时,设备将具有相同目的IP地址的用户请求分配给相同的实服务器。对于访问同一目的IP地址的用户请求,采用CARP哈希算法,当可用实服务器发生变化时,设备可使当前所有可用实服务器负载分担变动最小
HTTP哈希:根据HTTP载荷进行的哈希算法,设备将具有相同HTTP载荷的用户请求分配给相同的实服务器。只有被HTTP类型的虚服务器引用时生效
HTTP CARP哈希:根据HTTP载荷进行的CARP哈希算法,当可用实服务器不变时,设备将HTTP载荷相同的用户请求分配给相同的实服务器。当可用实服务器发生变化时,设备可使当前所有可用实服务器负载分担变动最小。只有被HTTP类型的虚服务器引用时生效
加权最小连接(基于成员):总是把新连接分发给加权活动连接数(当前活动连接数/权值)最小的实服务器。该算法中使用的权值为实服务组成员页面配置的权值
最快响应(基于成员):根据实服务组成员的响应时间计算出当前的负载能力权值的算法,响应时间越小,权值越大,分配到的新连接越多
缺省情况下,调度算法为加权轮转算法
偏移量
基于HTTP载荷起始位置的偏移量
仅当调度算法为HTTP哈希或HTTP CARP哈希时,才支持本参数
起始标记
HTTP载荷起始位置的正则表达式,即从偏移量起到本标记为开始,不支持正则元字符?
仅当调度算法为HTTP哈希或HTTP CARP哈希时,才支持本参数
长度/结束标记
长度:参与运算的HTTP载荷的长度
结束标记:HTTP载荷结束位置的正则表达式,即从起始标记起到本标记为结束,不支持正则元字符?
仅当调度算法为HTTP哈希或HTTP CARP哈希时,才支持本参数
优先级调度
缺省情况下,一个实服务组中调用优先级最高的实服务器全部被调度算法调用。用户通过本配置可以限制实服务组中可被调度算法调用的实服务器的数量:
如果调用优先级最高的可用实服务器数量大于“调用实服务器最大数量”时,则只选用“调用实服务器最大数量”个实服务器
如果调用优先级最高的可用实服务器数量小于“调用实服务器最小数量”时,除了调用全部优先级最高的可用实服务器外,还会调用优先级次高的可用实服务器,直至调用的可用实服务器数量达到“调用实服务器最小数量”,或者没有可用的实服务器可调用为止
其中,实服务器的优先级在“实服务器”配置页面指定
成员列表
设备支持以下两种添加实服务组成员的方式:
新建实服务器并将实服务器添加为实服务组成员:
单击<添加>按钮,选择“新建实服务器”
配置实服务组成员信息,具体配置项说明请参见“实服务器”
单击<确定>按钮,新建的实服务器会在“成员列表”中显示
选择已存在的实服务器:
单击<添加>按钮,选择“添加已存在的实服务器”
在下拉列表中选择已创建的实服务器并配置实服务组成员信息,具体配置项说明请参见“实服务器”
单击<确定>按钮,添加的实服务器会在“成员列表”中显示
健康检测方法
实服务组引用的健康检测模板。通过健康检测可以对实服务器进行检测,保证其能够提供有效的服务。
用户可在实服务组配置页面对组内的所有实服务组成员进行配置,也可在实服务组成员配置页面只对当前实服务组成员进行配置,或者在实服务器配置页面只对当前实服务器进行配置,后两者的配置优先级相同且高于实服务组页面的健康检测配置。建议优先在实服务组页面下配置健康检测
实服务器的健康检测结果影响实服务组成员的使用,实服务组成员的健康检测结果不影响实服务器的使用
单击<新建>按钮,新建健康检测方法
健康检测模板名称:实服务组引用的健康检测模板。可选择已创建的健康检测模板,也可以新创建健康检测模板
使用模板的端口检测:若配置了本功能,则使用健康检测模板的目的端口进行检测;若未配置本功能,则使用实服务器的端口进行检测
单击<确定>按钮,新建的健康检测方法会在“健康检测方法”中显示
描述
实服务组的描述信息
(可选)进行实服务组的高级配置。
图-10 实服务组高级配置示意图
表-4 实服务组高级配置
参数
说明
成功条件
实服务器的健康检测成功条件
全部检测通过:只有全部健康检测方法都通过检测才认为健康检测成功
至少n个检测通过:健康检测成功所需通过检测的最少方法数为n。当用户指定的最少方法数n大于设备上实际存在的方法数量时,只要实际存在的全部方法通过检测,系统也将认为健康检测成功
健康检测手动恢复
开启/关闭健康检测手动恢复功能
关闭健康检测手动恢复功能,当实服务组成员健康检测成功后,设备会自动将其恢复为可用状态。若开启健康检测手动恢复功能,当实服务组成员健康检测成功后,需要在“编辑实服务组”页面成员列表中,手动恢复其为可用状态
源地址转换方式
实服务组得源地址转换方式,包括:
源地址池:根据配置的源地址池进行源地址转换。设备将匹配报文的源地址修改为源地址池中的地址后再转发出去
自动映射:采用设备与实服务器通信的接口地址进行源地址转换
TCP Option:根据收到报文的TCP Option字段携带的地址进行源地址转换
若未在实服务组页面配置源地址转换方式,则采用SNAT全局策略进行源地址转换
源地址池名称
实服务组进行源地址转换的源地址池名称
可选择已创建的源地址池,也可以新创建源地址池
仅当源地址转换方式配置为源地址池时,支持配置本参数
目的地址转换
在旁路模式下,需要在实服务组中关闭目的地址转换功能;在NAT模式下,需要在实服务组中开启目的地址转换功能
数据库探测模板
实服务组引用的数据库类型的智能探测模板。可通过引用Oracle数据库、MySQL数据库或AntDB数据库类型的智能探测模板,对实服务组内该类型数据库的成员进行数据库监控
可选择已创建的智能探测模板,也可以新创建智能探测模板
本参数的支持情况与设备型号有关,请以页面的实际显示为准
自定义监控
实服务组引用的自定义类型的智能探测模板。通过引用自定义类型的智能探测模板,对实服务组内所有实服务组成员进行自定义监控
可选择已创建的智能探测模板,也可以新创建智能探测模板
本参数对实服务组内配置域名的实服务组成员不生效
RST报文监控
实服务组引用的RST类型的智能探测模板。通过引用RST类型的智能探测模板,对实服务组内所有实服务组成员进行监控
可选择已创建的智能探测模板,也可以新创建智能探测模板
零窗口报文监控
实服务组引用的零窗口类型的智能探测模板。通过引用零窗口类型的智能探测模板,对实服务组内所有实服务组成员进行监控
可选择已创建的智能探测模板,也可以新创建智能探测模板
HTTP监控
实服务组引用的HTTP passive类型的智能探测模板。通过引用HTTP passive类型的智能探测模板,对实服务组内所有实服务组成员进行监控
可选择已创建的智能探测模板,也可以新创建智能探测模板
智能监控自动恢复
开启/关闭智能监控自动恢复功能。当配置了智能监控功能后,可以通过开启本功能使被Auto shutdown的实服务器在达到指定恢复时间后自动恢复为正常状态
若没有配置健康检测,实服务器恢复后的状态置为未知状态
若配置了健康检测且健康检测成功,实服务器恢复后的状态置为可用状态,如果健康检测失败,则置为健康检测失败状态
仅当实服务组引用HTTP passive类型、RST或零窗口类型的智能探测模板时,才支持开启本功能
恢复时间
实服务器自动恢复时间。0表示实服务器不能自动恢复
仅当智能监控自动恢复功能处于开启状态时,才支持配置本参数
实服务器故障处理方式
选择实服务器的故障处理方式,包括:
保持已有连接:不主动断开与故障实服务器的连接,连接继续保持还是断开将由协议自身的超时机制决定
重定向连接:把连接重定向到实服务组中其它可用的实服务器上
断开已有连接:主动断开与故障实服务器的连接。对于TCP报文,将发送RST报文;对于其它类型的报文,将发送ICMP不可达报文
温暖上线
当向实服务组中添加实服务器时,某些新增的实服务器无法立即承担大量业务,此时可以开启温暖上线功能。这样,当实服务器上线后,在准备时间内,负载均衡设备不会向其分配任何业务;准备时间超时后,负载均衡设备在爬升时间内会逐步增加向其分配的业务量;爬升时间超时后,负载均衡设备开始向其正常分配业务
准备时间:取值范围为0~600,单位为秒
爬升时间:取值范围为3~600,单位为秒
繁忙处理方式
用于指定实服务组处于繁忙状态时的处理方式,只有当组内所有实服务器均处于繁忙状态时,实服务组才处于繁忙状态,包括:
强制调度:所有实服务器均参与调度
排队等待:将繁忙时的连接缓存起来,加入等待队列
队列长度:当等待队列的长度超过配置的队列长度时,后续的连接将被丢弃
超时时间:当排队等待的时间超过配置的超时时间时,连接将被丢弃
调度失败:设备将停止向该实服务组分发流量,而是继续匹配负载均衡策略中的下一条引用规则或直接丢弃请求报文
实服务器的繁忙状态判断依据为,实服务器最大连接数、每秒最大连接数、每秒HTTP请求数、实服务下最大带宽、最大上行带宽、最大下行带宽和SNMPDCA探测模板返回的探测状态
可用条件
通过配置实服务组的可用条件,可将流量在主用实服务组和备用实服务组之间进行切换
最小可用百分比:当主用实服务组中可用的实服务器数量占实服务器总数量的百分比低于此值时,该实服务组将被认为不可用,从而切换到备用实服务组
最大可用百分比:必须大于等于最小可用百分比。当主用实服务组中可用的实服务器数量占实服务器总数量的百分比高于此值时,将从备用实服务组切换回主用实服务组
所有实服务组成员均不可用
配置查找所有可用实服务组成员失败时的处理方式,包括:
丢弃:直接丢弃报文
转发:转发给最近一次选中的实服务组成员
单击<确定>按钮,新建的实服务组会在“实服务组”页面显示。
实服务器
实服务器是负载均衡设备上处理用户业务的实体。一个实服务器可以属于多个实服务组,一个实服务组也可以包含多个实服务器。
实服务器的具体配置步骤如下:
单击“策略 > 负载均衡 > 服务器负载均衡 > 实服务器”。
在“实服务器”页面单击<新建>按钮。
新建实服务器,进行实服务器基本配置。
图-11 实服务器基本配置示意图
表-5 实服务器基本配置
参数
说明
实服务器名称
实服务器的名称,不区分大小写
类型
实服务器的类型,包括:
IP地址
域名
实服务器IPv4地址
实服务器的IPv4地址
不能为环回地址、组播地址、广播地址和0.X.X.X
实服务器IPv6地址
实服务器的IPv6地址
不能为环回地址、组播地址、链路本地地址和全0地址
域名
实服务器的域名
配置实服务器域名后,设备会立刻向DNS服务器发送域名查询请求,并依据查询结果创建名称为“auto_
X.X.X.X ” 的实服务器。若实服务器的域名解析为多个IP地址,设备会自动创建多个实服务器配置实服务器的域名,则必须在“DNS”页面指定进行域名解析的DNS服务器
不同的实服务器不可以配置相同的域名
实服务器端口
实服务器的端口号,0表示继续使用原报文携带的端口号
VRF
使实服务器服务于特定的VRF
VRF继承
开启/关闭VRF继承功能
若在“实服务器”配置页面指定了实服务器所属的VRF,则实服务器服务于该VRF。若未指定实服务器所属的VRF,当实服务器的VRF继承功能处于开启状态时,实服务器所属的VRF与虚服务器所属的VRF一致
健康检测日志
开启/关闭健康检测日志功能
开启健康检测日志功能后,可在实服务器的健康状态发生变化时输出日志信息
实服务器功能
实服务器功能,包括:
开启
关闭
平滑退出
慢宕
关闭实服务器会立即中断实服务器的已有连接,而慢宕和平滑退出功能不会立即中断实服务器的已有连接。开启慢宕功能后,首先不再建立新的连接,再等待已有连接自然老化,从而实现服务器平滑关闭。而开启平滑退出功能后,实服务器只处理已建立连接的流量信息,以及属于现有持续性表项的流量信息,并且一直保持对实服务器的健康检测。
描述
实服务器的描述信息
(可选)进行实服务器高级配置。
图-12 实服务器高级配置示意图
表-6 实服务器高级配置
参数
说明
权值
实服务器的权值。在进行调度时,该数值越大,实服务器越被优先调用
优先级
实服务器在实服务组中的调用优先级,数值越大,越被优先调用
优先使用高优先级的实服务器处理流量。如果最高优先级实服务器的个数少于配置的“调用实服务器最大数量”,则在次高优先级中选择实服务器,达到配置的“调用实服务器最小数量”
其中,“调用实服务器最大数量”和“调用实服务器最小数量”在“实服务组”配置页面指定
实服务组
实服务器所属的实服务组。可选择已创建的实服务组,也可以新创建实服务组
健康检测-健康检测方法
实服务器引用的健康检测模板。通过健康检测可以对实服务器进行检测,保证其能够提供有效的服务。
用户可在实服务组配置页面对组内的所有实服务组成员进行配置,也可在实服务组成员配置页面只对当前实服务组成员进行配置,或者在实服务器配置页面只对当前实服务器进行配置,后两者的配置优先级相同且高于实服务组页面的健康检测配置。建议优先在实服务组页面下配置健康检测
实服务器的健康检测结果影响实服务组成员的使用,实服务组成员的健康检测结果不影响实服务器的使用
单击<新建>按钮,新建健康检测方法
健康检测模板名称:实服务器引用的健康检测模板。可选择已创建的健康检测模板,也可以新创建健康检测模板
使用模板的端口检测:若配置了本功能,则使用健康检测模板的目的端口进行检测;若未配置本功能,则使用实服务器的端口进行检测
单击<确定>按钮,新建的健康检测方法会在“健康检测方法”中显示
健康检测-成功条件
实服务器的健康检测成功条件
全部检测通过:只有全部健康检测方法都通过检测才认为健康检测成功
至少n个检测通过:健康检测成功所需通过检测的最少方法数为n。当用户指定的最少方法数n大于设备上实际存在的方法数量时,只要实际存在的全部方法通过检测,系统也将认为健康检测成功
数据库探测模板
实服务器引用的数据库类型的智能探测模板。可通过引用Oracle数据库、MySQL数据库或AntDB数据库类型的智能探测模板,对实服务器进行数据库监控
可选择已创建的智能探测模板,也可以新创建智能探测模板
本参数的支持情况与设备型号有关,请以页面的实际显示为准
自定义监控
实服务器引用的自定义类型的智能探测模板。通过引用自定义类型的智能探测模板,对实服务器进行监控
可选择已创建的智能探测模板,也可以新创建智能探测模板
配置域名的实服务器不支持引用本参数
健康检测手动恢复
开启/关闭健康检测手动恢复功能。关闭健康检测手动恢复功能,当实服务组成员健康检测成功后,设备会自动将其恢复为可用状态。若开启健康检测手动恢复功能,当实服务组成员健康检测成功后,需要在“编辑实服务组”页面成员列表中,手动恢复其为可用状态
仅实服务组成员支持本参数
关联变量
本参数可用于通用负载均衡动作的TCP载荷重写,重写TCP载荷的动作通过调用实服务组成员的关联变量将TCP报文载荷的指定内容替换为实服务组成员关联的变量值。例如:配置变量名为var1,变量值为_1,再配置重写TCP载荷动作为将QMGR.S01重写为QMGR.S01%[var1],重写后,将把TCP请求报文中的字符串QMGR.S01替换为QMGR.S01_1
单击<添加>按钮,新建关联变量
变量名:实服务组成员关联的变量名称,区分大小写
变量值:实服务组成员关联的变量值,区分大小写
单击<确定>按钮,新建的关联变量会在“关联变量”中显示
仅实服务组成员支持本参数
QoS-最大连接数
实服务器所允许的最大连接数,0表示实服务器所允许的最大连接数不受限制
QoS-每秒最大连接数
实服务器所允许的每秒最大连接数,0表示实服务器所允许的每秒最大连接数不受限制
QoS-每秒HTTP请求数
实服务器所允许的每秒HTTP请求数,0表示实服务器所允许的每秒HTTP请求数不受限制
QoS-最大带宽
实服务器所允许的最大总带宽,0表示最大带宽不受限制
QoS-最大上行带宽
实服务器所允许的最大上行带宽,0表示最大带宽不受限制
QoS-最大下行带宽
实服务器所允许的最大下行带宽,0表示最大带宽不受限制
单击<确定>按钮,新建的实服务器会在“实服务器”页面显示。
负载均衡策略(可选)
将流量特征和动作关联起来就构成了负载均衡策略。负载均衡策略是指导报文转发的一种方式,用户可以为匹配特定流量特征的报文指定执行的动作,以及为未匹配任何流量特征的报文指定默认动作。
用户可以在一个负载均衡策略中指定多个流量特征,转发报文时会按照配置顺序来匹配流量特征,匹配成功则执行相应的动作,不会继续匹配下一条流量特征,否则继续匹配下一条流量特征。因此,当流量特征之间存在包含关系时,建议将更精细的流量特征放在前面,宽泛的流量特征放在后面。如果所有流量特征均未匹配,则执行默认动作。
负载均衡策略可被虚服务器引用。
Diameter类型负载均衡策略仅对Diameter协议类型的请求报文有效。
流量特征配置步骤
流量特征的具体配置步骤如下:
单击“策略 > 负载均衡 > 服务器负载均衡 > 高级策略 > 流量特征”。
在“流量特征”页面单击<新建>按钮。
新建流量特征。
图-13 流量特征功能示意图
表-7 流量特征配置
参数
说明
流量特征名称
流量特征的名称,不区分大小写
类型
流量特征的类型,包括:
通用:用于四层服务器负载均衡
HTTP:用于七层服务器负载均衡
RADIUS:用于七层服务器负载均衡
MySQL:用于七层服务器负载均衡
Diameter:用于七层服务器负载均衡,Diameter协议是计算机网络中使用认证、授权、计费的一种协议,从功能更少的RADIUS协议升级进化而来
匹配方式
流量特征的匹配方式,包括:
匹配任意一条规则:匹配任一规则就算匹配该流量特征
匹配所有规则:匹配所有规则才算匹配该流量特征
匹配规则
通过匹配规则将报文按照一定条件进行匹配,以便将不同类型的报文在不同的动作流程中处理。一个流量特征中最多允许创建65535条匹配规则
单击<新建>按钮,新建匹配规则
Match ID:匹配规则的编号,报文按照Match ID从小到大的顺序依次进行匹配
类型:匹配规则的类型,包括:源IPv4、源IPv6、流量特征、IPv4 ACL、IPv6 ACL、Cookie、HTTP Header、Method、URL、Content、用户、RADIUS属性、入接口、HTTP版本、ISP、TCP载荷和MySQL、应用ID和目的域
IPv4地址:匹配指定的IPv4地址,只有匹配规则的类型选择“源IPv4”时,才会出现该参数
掩码长度:IPv4地址的掩码长度,只有匹配规则的类型选择“源IPv4”时,才会出现该参数
IPv6地址:匹配指定的IPv6地址,只有匹配规则的类型选择“源IPv6”时,才会出现该参数
前缀长度:IPv6地址的前缀长度,只有匹配规则的类型选择“源IPv6”时,才会出现该参数
流量特征:匹配指定的流量特征,只有匹配规则的类型选择“流量特征”时,才会出现该参数
ACL:匹配指定的ACL,可选择已创建的ACL,也可以新创建ACL。只有匹配规则的类型选择“IPv4 ACL”或“IPv6 ACL”时,才会出现该参数
Cookie名称:HTTP报文的Cookie名称,区分大小写。不包括(、)、<、>、@、,、;、:、\、"、/、[、]、?、=、{、}、SP(空格符)、HT(水平制表符),以及ASCII码中小于等于31、大于等于127的字符。只有匹配规则的类型选择“Cookie”时,才会出现该参数
Cookie值:Cookie值的正则表达式,不支持正则元字符?。只有匹配规则的类型选择“Cookie”时,才会出现该参数
Header名称:HTTP报文首部的名称,不区分大小写。不包括(、)、<、>、@、,、;、:、\、"、/、[、]、?、=、{、}、SP(空格符)、HT(水平制表符),以及ASCII码中小于等于31、大于等于127的字符。只有匹配规则的类型选择“HTTP Header”时,才会出现该参数
Header值:首部值的正则表达式,不支持正则元字符?。只有匹配规则的类型选择“HTTP Header”时,才会出现该参数
扩展类型:包括预定义和自定义两种类型。只有匹配规则的类型选择“Method”时,才会出现该参数
方法:预定义方法包括GET、CONNECT、DELETE、HEAD、OPTIONS、POST、PUT和TRACE;自定义方法区分大小写。不包括(、)、<、>、@、,、;、:、\、"、/、[、]、?、=、{、}、SP(空格符)、HT(水平制表符),以及ASCII码中小于等于31、大于等于127的字符。只有匹配规则的类型选择“Method”时,才会出现该参数
URL:URL的正则表达式,不支持正则元字符?。只有匹配规则的类型选择“URL”时,才会出现该参数
Content偏移:HTTP实体基于HTTP报文起始位置的偏移量。只有匹配规则的类型选择“Content”时,才会出现该参数
Content值:HTTP实体的正则表达式,不支持正则元字符?。只有匹配规则的类型选择“Content”时,才会出现该参数
用户:匹配指定的用户或用户组,可选择已创建的身份识别用户或身份识别用户组,也可以新创建用户或用户组。只有匹配规则的类型选择“用户”时,才会出现该参数
属性编号:RADIUS属性类型的编号,只有匹配规则的类型选择“RADIUS属性”时,才会出现该参数
属性值:匹配RADIUS属性值的正则表达式,只有匹配规则的类型选择“RADIUS属性”时,才会出现该参数
入接口:匹配指定的入接口,只有匹配规则的类型选择“入接口”时,才会出现该参数
HTTP版本:匹配指定的HTTP版本,只有匹配规则的类型选择“HTTP版本”时,才会出现该参数
ISP:匹配指定的ISP,可选择已创建的ISP,也可以新创建ISP。只有匹配规则的类型选择“ISP”时,才会出现该参数
TCP载荷:匹配TCP载荷的正则表达式,只有匹配规则的类型选择“TCP载荷”时,才会出现该参数
不区分大小写:表示匹配正则表达式时对大小写不敏感。只有匹配规则的类型选择“TCP载荷”或“MySQL”时,才会出现该参数
条件取反:若未配置本条件取反,则流量匹配上指定的正则表达式之后,执行相应的负载均衡动作。若配置了条件取反,则在流量未匹配指定的正则表达式时,执行相应的负载均衡动作。只有匹配规则的类型选择“TCP载荷”或“MySQL”时,才会出现该参数
正则表达式:匹配MySQL语句的正则表达式。只有匹配规则的类型选择“MySQL”时,才会出现该参数
应用ID:匹配指定的应用编号,当Diameter请求报文中的应用ID与该流量特征指定的应用ID匹配成功,则执行相应动作。指定的应用ID应为Diameter基础协议和扩展协议中定义的应用识别号。只有匹配规则的类型选择“Diameter”时,才会出现该参数
目的域:匹配指定的目的域名,当Diameter报文中的目的域名与该流量特征指定的目的域匹配成功,则执行相应动作。只有匹配规则的类型选择“Diameter”时,才会出现该参数
单击<确定>按钮,新建的匹配规则会在“匹配规则”中显示
描述
流量特征的描述信息
单击<确定>按钮,新建的流量特征会在“流量特征”页面显示。
动作配置步骤
动作的具体配置步骤如下:
单击“策略 > 负载均衡 > 服务器负载均衡 > 高级策略 > 动作”。
在“动作”页面单击<新建>按钮。
新建动作,进行动作的基本配置。
图-14 动作基本配置示意图
表-8 动作基本配置
参数
说明
动作名称
动作的名称,不区分大小写
类型
动作类型,包括:
通用
HTTP
HTTP重定向
RADIUS
Diameter
转发动作
转发动作,包括:
负载均衡
丢弃报文
转发,仅通用类型和RADIUS类型支持
直接代答,仅HTTP类型支持
若负载均衡策略在SIP、HTTP、
Performance(HTTP)、 HTTP重定向、HTTPS、MySQL或七层TCP类型的虚服务器中引用,则转发动作配置为转发不生效
非压缩文件代答
如果客户端请求URL中的资源路径匹配指定的URL资源路径,则用指定的非压缩代答文件对客户端请求进行应答
单击<新建>按钮,新建非压缩文件代答
URL资源路径:用来匹配客户端请求URL中的资源路径,区分大小写,该路径必须以/开始
非压缩代答文件:用来对客户端请求进行代答的非压缩文件的绝对路径+文件名称,不区分大小写,如:flash:/file.html。对于同一URL只允许用一个非压缩文件进行代答。同一个非压缩文件可以代答不同的URL
单击<确定>按钮
仅当转发动作为直接代答时支持本参数
压缩文件代答
如果客户端请求URL中的资源路径匹配配置的工作路径+ZIP压缩包内相对路径,则使用ZIP压缩包内的文件答复客户端。例如:用户配置对指定的HTTP请求进行代答的工作路径为/index,压缩代答文件为flash:/za/zb/test.zip,test.zip中存在如下压缩目录关系/css/col.css,则实际匹配的URL资源路径为/index/css/col.css,代答文件为col.css
工作路径:用“工作路径+ZIP压缩包内相对路径”来匹配客户端请求URL中的资源路径,区分大小写,该路径必须以/开始
压缩代答文件:用来对客户端请求进行代答的压缩文件的绝对路径+文件名称,不区分大小写,且必须为ZIP格式。如:flash:/file.zip
仅当转发动作为直接代答时支持本参数
查找实服务器失败的处理
丢弃报文:配置查找可用实服务器失败时,负载均衡设备会直接丢弃报文
继续匹配下一条规则:配置查找可用实服务器失败时,可继续顺序匹配策略中的下一条引用规则
用指定文件进行代答:配置查找可用实服务器失败时,用指定的默认代答文件答复客户端。代答文件必须是一个完整的HTTP报文,不能只是HTTP报文体的内容
默认代答文件:配置格式为非压缩文件绝对路径+文件名称,不区分大小写,如:flash:/file.html
关闭TCP连接(FIN):配置查找可用实服务器失败时,发送FIN关闭TCP连接
关闭TCP连接(RST):配置查找可用实服务器失败时,发送RST关闭TCP连接
仅当转发动作为负载均衡时支持本参数
若负载均衡策略在SIP类型的虚服务器中被引用,则查找实服务器失败的处理配置为继续匹配下一条规则不生效
查找代答文件失败的处理
丢弃报文:配置查找可用实服务器失败时,负载均衡设备会直接丢弃报文
继续匹配下一条规则:配置查找代答文件失败时,可继续顺序匹配策略中的下一条引用规则
用指定文件进行代答:配置查找代答文件失败时,用指定的默认代答文件答复客户端。代答文件必须是一个完整的HTTP报文,不能只是HTTP报文体的内容
默认代答文件:配置格式为非压缩文件绝对路径+文件名称,不区分大小写,如:flash:/file.html
关闭TCP连接(FIN):配置查找代答文件失败时,发送FIN关闭TCP连接
关闭TCP连接(RST):配置查找代答文件失败时,发送RST关闭TCP连接
仅当转发动作为直接代答时支持本参数
TCP连接关闭的方式
FIN:FIN方式关闭TCP连接
RST:RST方式关闭TCP连接
仅当转发动作为丢弃报文时支持本参数
ToS
发往服务器的IP报文中的ToS字段
描述
动作的描述信息
默认实服务组-主用实服务组
当主用实服务组可用(该实服务组存在且有可用的实服务器)时,使用主用实服务组指导转发;当主用实服务组不可用而备用实服务组可用时,使用备用实服务组指导转发
可选择已创建的实服务组,也可以新创建实服务组
仅当转发动作为负载均衡时支持本参数
默认实服务组-备用实服务组
可选择已创建的实服务组,也可以新创建实服务组
仅当转发动作为负载均衡时支持本参数
默认实服务组-持续性组
可选择已创建的持续性组,也可以新创建持续性组
仅当转发动作为负载均衡时支持本参数
HTTP重定向配置-重定向URL
在HTTP重定向类型的动作中配置了重定向URL后,所有匹配对应动作的HTTP请求报文都将被重定向到指定URL
重定向URL区分大小写,也可以使用?和以下特定含义的字符串:
%h:表示客户端请求报文中的主机名
%p:表示客户端请求报文中的URL
%%:表示字符%
仅HTTP重定向类型的动作支持本参数
HTTP重定向配置-重定向方式
临时重定向-302
临时重定向-307
永久重定向-301
仅HTTP重定向类型的动作支持本参数
(可选)进行动作高级配置。
图-15 动作高级配置示意图
表-9 动作高级配置
参数
说明
TCP载荷重写
单击<新建>按钮,新建TCP载荷重写
方向:包括双向、请求和应答方向的TCP报文
重写前内容:要被重写的TCP报文载荷的内容,为正则表达式,区分大小写
重写后内容:重写后的报文内容,区分大小写,支持携带以下变量:
% [ variable ] ,为实服务组成员关联的变量,其中,variable 该变量的名称%
[ 1-9] ,表示按照value 中匹配上的内容替换成%[ 1-9] 中对应()中的内容。例如:若配置重写前的内容为 (Wel)(co)(me),重写后的内容为%2,则将把Welcome字符串替换为第2个括号中的内容co
单击<确定>按钮
仅通用类型的动作支持本参数
仅七层TCP类型的虚服务器支持引用包含该动作的负载均衡策略
插入X-Forwarded-For
在HTTP首部插入X-Forwarded-For字段
若开启本功能,则不需要在虚服务器下开启插入X-Forwarded-For功能;若同时开启了这两个功能,则在虚服务器下开启的插入X-Forwarded-For功能优先级较高
仅HTTP类型的动作支持本参数
应答报文体重写-重写前内容
要被替换的HTTP报文体的内容
仅HTTP类型的动作支持本参数
应答报文体重写-重写后内容
替换后的HTTP报文体的内容。可以使用以下特定含义的字符串:
%is:源IP地址或源IPv6地址
%ps:源端口号
%id:目的IP地址或目的IPv6地址
%pd:目的端口号
%%:字符%
%[1-9],替换成%[1-9]中对应()中的内容
仅HTTP类型的动作支持本参数
Header删除
单击<新建>按钮,新建Header删除
方向:包括双向、请求和应答方向的HTTP报文
Header名称:HTTP报文首部的名称,包括标准和自定义的首部,需要与报文中的首部完全匹配。不区分大小写。不包括(、)、<、>、@、,、;、:、\、"、/、[、]、?、=、{、}、SP(空格符)、HT(水平制表符),以及ASCII码中小于等于31、大于等于127的字符
单击<确定>按钮
仅HTTP类型的动作支持本参数
Header插入
单击<新建>按钮,新建Header插入
方向:包括双向、请求和应答方向的HTTP报文
Header名称:要插入HTTP报文中的首部名称,包括标准和自定义的首部。不区分大小写。不包括(、)、<、>、@、,、;、:、\、"、/、[、]、?、=、{、}、SP(空格符)、HT(水平制表符),以及ASCII码中小于等于31、大于等于127的字符
Header值:要插入HTTP报文中的首部内容,不支持字符?。支持以下改写变量
%is:客户端侧的源IP地址
%ps:客户端侧的源端口号
%id:客户端侧的目的IP地址
%pd:客户端侧的目的端口号
%sps:服务器侧的源端口
%spd:服务器侧的目的端口
%sis:服务器侧的源IP地址
%sid:服务器侧的目的IP地址
%{x509v}:证书的版本
%{x509snum}:证书的序列号
%{x509sigalgo}:证书的签名算法
%{x509issuer}:证书的签发者
%{x509before}:证书的有效时间(在此时间之前无效)
%{x509after}:证书的有效时间(在此时间之后无效)
%{x509sub}:证书的主题
%{x509spktype}:证书的主题的公钥类型
%{x509spk}:证书的主题的公钥
%{x509spkRSA}:证书的主题的RSA公钥的长度(仅当公钥为RSA类型才有该字段)
%{x509hash}:客户端证书的MD5散列(指纹)
%{x509whole}:证书的全部内容。配置此变量时,必须选择Base64编码方式
%{x509cipher}:证书的加密套件
%{dncn}:颁发给
%{dne}:电子邮件
%{dno}:公司/机构
%{dnou}:部门
%{dnc}:国家
%{dns}:州/省份
%{dnl}:城市
变量编码方式:对改写变量的编码方式,包括原文、URL和Base64。原文即不对改写变量进行编码;URL编码方式只会对改写变量中的特殊字符进行编码,需要编码的特殊字符为:;、/、?、:、@、&、=、+、$、|、{、}、,、\、^、[、]、`、<、>、#、%、"、空格;Base64编码方式会对整个改写变量进行编码
单击<确定>按钮
仅HTTP类型的动作支持本参数。插入证书的相关信息时,SSL服务器端策略需要开启验证客户端功能
Header重写
单击<新建>按钮,新建Header重写
方向:包括双向、请求和应答方向的HTTP报文
Header名称:HTTP报文首部的名称,包括标准和自定义的首部,需要与报文中的首部完全匹配。不区分大小写。不包括(、)、<、>、@、,、;、:、\、"、/、[、]、?、=、{、}、SP(空格符)、HT(水平制表符),以及ASCII码中小于等于31、大于等于127的字符
Header值:要被重写的HTTP报文首部的内容,不支持字符?
替换成的资源串:重写后的内容。支持以下改写变量
%is:客户端侧的源IP地址
%ps:客户端侧的源端口号
%id:客户端侧的目的IP地址
%pd:客户端侧的目的端口号
%sps:服务器侧的源端口
%spd:服务器侧的目的端口
%sis:服务器侧的源IP地址
%sid:服务器侧的目的IP地址
%1-9:Header值中正则表达式取出的变量值,最多支持9个
%{x509v}:证书的版本
%{x509snum}:证书的序列号
%{x509sigalgo}:证书的签名算法
%{x509issuer}:证书的签发者
%{x509before}:证书的有效时间(在此时间之前无效)
%{x509after}:证书的有效时间(在此时间之后无效)
%{x509sub}:证书的主题
%{x509spktype}:证书的主题的公钥类型
%{x509spk}:证书的主题的公钥
%{x509spkRSA}:证书的主题的RSA公钥的长度(仅当公钥为RSA类型才有该字段)
%{x509hash}:客户端证书的MD5散列(指纹)
%{dncn}:颁发给
%{dne}:电子邮件
%{dno}:公司/机构
%{dnou}:部门
%{dnc}:国家
%{dns}:州/省份
%{dnl}:城市
变量编码方式:对改写变量的编码方式,包括原文、URL和Base64。原文即不对改写变量进行编码;URL编码方式只会对改写变量中的特殊字符进行编码,需要编码的特殊字符为:;、/、?、:、@、&、=、+、$、|、{、}、,、\、^、[、]、`、<、>、#、%、"、空格;Base64编码方式会对整个改写变量进行编码
单击<确定>按钮
仅HTTP类型的动作支持本参数
URL重写
单击<新建>按钮,新建URL重写
匹配内容:要被重写的URL的内容,不支持字符?
改写内容:重写后的内容,支持以下改写变量
%is:客户端侧的源IP地址
%ps:客户端侧的源端口号
%id:客户端侧的目的IP地址
%pd:客户端侧的目的端口号
%sps:服务器侧的源端口
%spd:服务器侧的目的端口
%sis:服务器侧的源IP地址
%sid:服务器侧的目的IP地址
%1-9:要被重写的URL中正则表达式取出的变量值,最多支持9个
%{x509v}:证书的版本
%{x509snum}:证书的序列号
%{x509sigalgo}:证书的签名算法
%{x509issuer}:证书的签发者
%{x509before}:证书的有效时间(在此时间之前无效)
%{x509after}:证书的有效时间(在此时间之后无效)
%{x509sub}:证书的主题
%{x509spktype}:证书的主题的公钥类型
%{x509spk}:证书的主题的公钥
%{x509spkRSA}:证书的主题的RSA公钥的长度(仅当公钥为RSA类型才有该字段)
%{x509hash}:客户端证书的MD5散列(指纹)
%{dncn}:颁发给
%{dne}:电子邮件
%{dno}:公司/机构
%{dnou}:部门
%{dnc}:国家
%{dns}:州/省份
%{dnl}:城市
变量编码方式:对改写变量的编码方式,包括原文、URL和Base64。原文即不对改写变量进行编码;URL编码方式只会对改写变量中的特殊字符进行编码,需要编码的特殊字符为:;、/、?、:、@、&、=、+、$、|、{、}、,、\、^、[、]、`、<、>、#、%、"、空格;Base64编码方式会对整个改写变量进行编码
单击<确定>按钮
仅HTTP类型的动作支持本参数
SSL属性-SSL客户端策略
可选择已创建的SSL客户端策略,也可以新创建SSL客户端策略
仅HTTP类型的动作支持本参数
SSL属性- SSL URL重定向列表
单击<新建>按钮,新建SSL URL重定向
URL:Location首部URL的正则表达式
HTTP端口:原HTTP端口号
SSL端口:重写后的SSL端口号
单击<确定>按钮
仅HTTP类型的动作支持本参数
应答Location改写列表
单击<新建>按钮,新建应答Location
改写前的正则表达式:待改写的应答报文Location首部的内容,为正则表达式,区分大小写
改写后的内容:改写后的Location首部内容,区分大小写
单击<确定>按钮
应答Location改写会在SSL URL重定向改写之后执行,匹配SSL URL改写后的结果再进行应答Location首部内容的改写
仅HTTP类型的动作支持本参数
SSL客户端策略
引用SSL客户端策略,可以对设备(作为SSL客户端)转发到SSL服务器的匹配流量进行加密
可选择已创建的SSL客户端策略,也可以新创建SSL客户端策略
仅Diameter类型的动作支持本参数
TCP类型参数模板(服务器侧)
引用TCP类型参数模板,用来对动作为转发到服务器组的流量,根据该参数模板进行相应的处理,服务器侧TCP类型的参数模板是对设备与服务器之间建立的TCP连接进行处理和优化
可选择已创建的TCP类型的参数模板,也可以新创建TCP类型的参数模板
仅Diameter类型的动作支持本参数
Diameter-Session类型参数模板
引用Diameter-Session类型参数模板,用来对动作为转发到服务器组的流量根据该参数模板进行相应的处理
可选择已创建的Diameter-Session类型参数模板,也可以新创建Diameter-Session类型参数模板
仅Diameter类型的动作支持本参数
单击<确定>按钮,新建的动作会在“动作”页面显示。
负载均衡策略配置步骤
负载均衡策略的具体配置步骤如下:
单击“策略 > 负载均衡 > 服务器负载均衡 > 高级策略 > 负载均衡策略”。
在“负载均衡策略”页面单击<新建>按钮。
新建负载均衡策略。
图-16 负载均衡策略功能示意图
表-10 负载均衡策略配置
参数
说明
名称
负载均衡策略的名称,不区分大小写
类型
负载均衡策略的类型,包括:
通用:用于四层服务器负载均衡
HTTP:用于七层服务器负载均衡
RADIUS:用于七层服务器负载均衡
MySQL:用于七层服务器负载均衡
Diameter:用于七层服务器负载均衡
默认动作
通用类型的负载均衡策略只能用通用类型的动作作为其默认动作,HTTP类型的负载均衡策略则无此限制
可选择已创建的动作,也可以新创建动作
规则
为匹配特定流量特征的报文指定其执行的动作
单击<新建>按钮,新建规则
流量特征:可选择已创建的流量特征,也可以新创建流量特征。
动作:可选择已创建的动作,也可以新创建动作。
位于XX之前:将新创建的规则移至指定的规则之前,设备将按照先后顺序依次匹配流量特征,并执行相应的动作。其中,XX为指定规则的流量特征名称
单击<确定>按钮,新建的规则会在“规则”列表中显示
描述
负载均衡策略的描述信息
单击<确定>按钮,新建的负载均衡策略会在“负载均衡策略”页面显示。
连接数限制策略(可选)
通过引用连接数限制策略,可以对设备上建立的连接数进行统计和限制,能够有效解决因某些用户在短时间内经过设备向内部网络发起大量连接,导致设备系统或服务器资源迅速消耗,其它用户无法正常使用网络资源的问题,实现保护内部网络资源(主机或服务器)以及合理分配设备系统资源的目的。
一个连接数限制策略中可配置多条限制规则,每条限制规则中指定一个连接数限制的范围,属于该范围的用户可建立的连接数将受到该规则中指定参数的限制。当某类型的连接数达到上限时,设备将不接受该类型的新建连接请求,直到设备上已有连接因老化而删除,使得当前该类型的连接数低于连接数下限后,才允许新建连接。对于未匹配限制规则的用户所建立的连接,设备不对其连接数进行限制。
连接数限制策略支持根据ACL来限定用户范围,虚服务器引用连接数限制策略后,对匹配ACL规则的访问实服务器的连接数进行统计和限制。
连接数限制策略的具体配置步骤如下:
单击“策略 > 负载均衡 > 服务器负载均衡 > 高级策略 > 连接数限制策略”。
在“连接数限制策略”页面单击<新建>按钮。
新建连接数限制策略。
图-17 连接数限制策略功能示意图
表-11 连接数限制策略配置
参数
说明
名称
连接数限制策略的名称,不区分大小写
限制规则
一个连接数限制策略中可配置多条限制规则,每条规则中根据ACL指定一个连接数限制的用户范围,对匹配ACL规则的访问实服务器的连接数进行统计和限制。当某类型的连接数达到上限时,设备将不接受该类型的新建连接请求,直到设备上已有连接因老化而删除,使得当前该类型的连接数低于连接数下限后,才允许新建连接。对于未匹配连接数限制规则的用户所建立的连接,设备不对其连接数进行限制
单击<新建>按钮,新建限制规则
规则编号:连接数限制规则的编号
类型:连接数限制规则的类型,包括IPv4 ACL和IPv6 ACL
ACL:用于匹配用户范围的ACL。可选择已创建的ACL,也可以新创建ACL
限制依据:包括源地址、目的地址和服务。源地址是指按源IP地址进行统计和限制,即同一个源IP地址发起的连接数目将受到指定连接数范围的限制;目的地址是指按目的IP地址进行统计和限制,一个目的IP地址的连接数目将受到指定连接数范围的限制;服务是指按服务统计和限制,即同一种服务(具有相同传输层协议和服务端口)的连接数目将受到指定连接数范围的限制
连接数范围-上限:连接数上限。某范围或某种类型的连接数值超过此值时,用户将不能建立新的连接
连接数范围-下限:连接数下限,不能大于上限的取值。连接数的统计值降到此值之下时,允许用户建立新的连接
单击<确定>按钮,新建的限制规则会在“限制规则”中显示
描述
连接数限制策略的描述信息
单击<确定>按钮,新建的连接数策略会在“连接数限制策略”页面显示。
防护策略(可选)
通过引用防护策略,可以对防护策略中指定的URL进行防护。在防护周期内,设备允许不超过防护阈值的HTTP请求报文通过。设备检测到HTTP请求超过防护阈值时,会触发执行相应的防护动作,从而保护负载均衡设备和内网服务器的安全。
防护策略的具体配置步骤如下:
单击“策略 > 负载均衡 > 服务器负载均衡 > 高级策略 > 防护策略”。
在“防护策略”页面单击<新建>按钮。
新建防护策略。
图-18 防护策略功能示意图
表-12 防护策略配置
参数
说明
名称
防护策略的名称,不区分大小写
类型
防护策略的类型
目前仅支持HTTP类型的防护策略
防护动作
可以在HTTP类型的防护策略中配置URL防护规则,为来自同一用户超过阈值限制的访问指定URL的报文执行相应的防护动作,包括:
告警:输出告警日志,生成的告警信息并发送到信息中心
丢弃:丢弃请求报文
客户端验证:设备检测到请求报文个数达到阈值限制时,向客户端返回携带指定Cookie的响应报文。若客户端后续请求报文中携带的Cookie值与设备返回的Cookie值相同,则认为客户端请求报文通过验证。若请求报文中未携带Cookie值或携带的Cookie值与设备返回值不同,则认为客户端请求报文未通过验证,直接丢弃报文。设备支持通过插入HTTP头部和注入JS脚本的方式向客户端返回Cookie值
防护规则
一个防护策略中可配置多条防护规则,每条规则中指定一个防护URL。在统计时间内,若同一用户访问指定URL的次数超过配置的阈值,则执行防护动作。设备支持基于源IP地址或者Cookie来判断请求报文是否来自同一用户
单击<新建>按钮,新建防护规则
规则编号:防护规则的编号
防护URL:需要限制用户请求次数的URL,区分大小写,不支持正则元字符?
统计时间:在统计时间内,若同一用户访问指定URL的次数超过配置的阈值,则执行防护动作
基于源IP的请求阈值:设备将来自相同源IP地址的请求报文判断为来自同一用户
Cookie名称:HTTP报文的Cookie名称,区分大小写。不包括(、)、<、>、@、,、;、:、\、"、/、[、]、?、=、{、}、SP(空格符)、HT(水平制表符),以及ASCII码中小于等于31、大于等于127的字符
基于Cookie的请求阈值:若请求报文中对应于指定Cookie名称的Cookie值相同,则认为请求报文来自同一用户
若同时配置基于源IP的防护阈值和基于Cookie的防护阈值,则当携带相同Cookie值或者相同源IP的报文达到配置的阈值时,执行相应的动作
单击<确定>按钮,新建的防护规则会在“防护规则”中显示
描述
防护策略的描述信息
单击<确定>按钮,新建的防护策略会在“防护策略”页面显示。
参数模板(可选)
通过配置参数模板可以进行一些高级参数的配置。这样,当参数模板被虚服务器引用之后,可以对虚服务器的业务流量进行更深入的解析、处理和优化。
参数模板的具体配置步骤如下:
单击“策略 > 负载均衡 > 服务器负载均衡 > 参数模板”。
在“参数模板”页面单击<新建>按钮。
新建参数模板。
图-19 参数模板功能示意图
表-13 参数模板配置
参数
说明
参数模板名称
参数模板的名称,不区分大小写
类型
参数模板的类型,包括:
IP:应用于四层和七层服务器负载均衡,IP类型参数配置请参见表-14
TCP:应用于四层和七层服务器负载均衡,TCP类型参数配置请参见表-15
HTTP:应用于七层服务器负载均衡,HTTP类型参数配置请参见表-16
HTTP-Compression:应用于七层服务器负载均衡,HTTP压缩类型参数配置请参见表-17
HTTP-Statistics:应用于七层服务器负载均衡,HTTP统计类型参数配置请参见表-18
OneConnect:应用于七层服务器负载均衡,OneConnect类型参数配置请参见表-19
TCP-Application:应用于七层服务器负载均衡,TCP-Application类型参数配置请参见表-20
MySQL:应用于七层服务器负载均衡,MySQL类型参数配置请参见表-21
Diameter-Session:应用于七层服务器负载均衡,Diameter-Session类型参数配置请参见表-22
HTTP2.0:应用于七层服务器负载均衡,HTTP2.0类型参数配置请参见表-23
描述
参数模板的描述信息
参数
说明
发往客户端的ToS
发往客户端的IP报文中的ToS字段
参数
说明
Option操作列表
在负载均衡设备发送给服务器的TCP报文头中插入或删除TCP选项
单击<新建>按钮,新建Option操作
Option操作类型
插入:在负载均衡设备发送给服务器的TCP报文头的指定选项中插入内容
删除:清除负载均衡设备发送给服务器的TCP报文头中的指定选项
Option编号:在负载均衡设备发送给服务器的TCP报文头中插入或删除的TCP选项编号
编码类型
二进制编码:TCP Option的编码方式为二进制编码
字符串编码:TCP Option的编码方式为字符串编码
插入内容:在TCP Option中插入指定内容,支持输入以下改写变量:%{is}(客户端侧的源IP地址)、%{isl}(源IP地址长度)、%{ps}(源端口号)以及%{psl}(源端口号长度)
单击<确定>按钮,新建的Option操作会在“Option操作列表”中显示
时间戳选项
配置TCP报文头中的时间戳选项的动作,包括:
保持:
保持 负载均衡设备发送给服务器的TCP报文头中的时间戳选项的值不变删除:清除负载均衡设备发送给服务器的TCP报文头中的时间戳选项
重写:修改负载均衡设备发送给服务器的TCP报文头中的时间戳选项的值为设备当前时间戳值
使用全局配置:使用全局配置的TCP时间戳选项的动作,点击<全局配置>可直接跳转到“对象 > 负载均衡 > 高级设置”页面,查看全局时间戳选项的配置
超出MSS的报文处理方式
允许超出MSS的报文通过或丢弃超出MSS的报文
允许:对客户端发来的HTTP请求报文中超出MSS的数据段的处理方式为允许超出MSS的数据段通过
丢弃:对客户端发来的HTTP请求报文中超出MSS的数据段的处理方式为丢弃超出MSS的数据段
空闲超时时间
若在TCP连接的空闲超时时间内没有应用数据传输,负载均衡设备会主动断开与客户端或服务器的TCP连接
TCP MSS
设备与对端建立TCP连接时的MSS值
源地址转换的Option编号
指定进行源地址转换的TCP Option编号。设备可以解析收到的报文中指定编号的TCP Option字段携带的IP地址,并配合TCP Option类型的源地址转换方式将解析处理后的地址进行源地址转换
四层参数-触发SYN Cookie半开连接阈值
触发SYN Cookie保护功能的半开连接数阈值
半开连接,即客户端与虚服务器建立TCP连接过程中,虚服务器在收到TCP连接请求SYN报文之后到收到ACK报文之前,连接尚未建立的状态
仅当TCP参数模板被TCP类型的虚服务器引用,且虚服务器配置了工作在四层模式时,本配置才生效
四层参数-保活空闲时间
TCP连接在一段时间没有数据传输后,会发送TCP保活报文,保活空闲时间用来约定多久发送一次TCP保活报文
仅当TCP参数模板被TCP类型的虚服务器引用时,本配置才生效
七层参数-本地最大窗口值
TCP连接中的本地最大窗口值
七层参数-TIME-WAIT超时时间
TCP连接断开时,由于TCP协议的TIME-WAIT状态超时时间较长,导致TCP连接释放过慢,影响负载均衡业务处理效率。通过本配置可灵活设置TIME-WAIT状态超时时间
仅当TCP参数模板被HTTP或HTTPS类型的虚服务器引用时,本配置才生效
七层参数-SYN超时时间
TCP连接SYN报文的超时时间。如果超过这个时间,仍然没有收到SYN-ACK报文,则关闭TCP连接
仅当TCP参数模板被HTTP或HTTPS类型的虚服务器引用时,本配置才生效
七层参数-Delayed Acks
TCP延迟ACK的接收数据包数量。设备接收到指定数量的数据包后,将一并发送ACK响应,以减少确认报文的发送次数,提高网络传输效率
七层参数-保活空闲时间
TCP连接在一段时间没有数据传输后,会发送TCP保活报文,保活空闲时间用来约定多久发送一次TCP保活报文
仅当TCP参数模板被HTTP或HTTPS类型的虚服务器引用时,本配置才生效
七层参数-保活重传间隔
TCP保活报文的重传时间间隔
仅当TCP参数模板被HTTP或HTTPS类型的虚服务器引用时,本配置才生效
七层参数-保活重传次数
TCP保活报文的重传次数
仅当TCP参数模板被HTTP或HTTPS类型的虚服务器引用时,本配置才生效
七层参数-FIN-WAIT-1超时时间
TCP连接FIN-WAIT1状态的超时时间
仅当TCP参数模板被HTTP或HTTPS类型的虚服务器引用时,本配置才生效
七层参数-FIN-WAIT-2超时时间
TCP连接FIN-WAIT2状态的超时时间
仅当TCP参数模板被HTTP或HTTPS类型的虚服务器引用时,本配置才生效
参数
说明
Header最大解析长度
HTTP首部的最大解析长度
Content最大解析长度
HTTP实体的最大解析长度
Secondary Cookie分隔符
URL中分隔Secondary Cookie的字符,包括:!、"、#、;、<、>、?、[、\、]、^、`、|、:、@、&、$、+、*、'、(、)、,、/。该字符串中的每个字符都被认为是分隔字符
Secondary Cookie起始字符
URL中Secondary Cookie的起始位置标示字符,包括:!、"、#、;、<、>、?、[、\、]、^、`、|
Cookie name
Cookie名称,对指定名称的Cookie进行加密,区分大小写
Cookie加密密钥
Cookie加密密钥,包括:
明文密钥:以明文的方式对Cookie进行加密
密文密钥:以密文的方式对Cookie进行加密
明文密钥/密文密钥
密钥字符串,区分大小写
首部超出最大长度的报文处理方式
允许:对客户端发来的HTTP请求报文的首部超出最大长度的处理方式为继续执行负载均衡操作
丢弃:对客户端发来的HTTP请求报文的首部超出最大长度的处理方式为丢弃首部超出最大长度的报文
当HTTP报文首部的长度超过负载均衡的处理能力时,系统将无条件丢弃该报文
逐请求负载均衡
开启/关闭逐请求负载均衡功能。开启状态下,设备对每个HTTP请求报文都进行负载均衡
连接复用
开启/关闭连接复用功能。开启状态下,允许负载均衡设备与服务器的连接复用,即允许负载均衡设备与服务器建立长连接,使多个客户端复用同一条与服务器的连接,以减少客户端与服务器之间打开的连接数
忽略大小写
开启/关闭忽略大小写功能,即匹配字符串时是否对大小写不敏感。本配置将影响以下内容:
对于类匹配,影响HTTP首部的取值、HTTP Cookie的名称和取值、URL
对于HTTP首部持续性方法,影响首部的取值、URL以及用于生成持续性表项的Key值
对于Cookie截取持续性方法,影响Cookie的名称和取值的匹配以及用于生成持续性表项的Key值
每请求执行动作
开启/关闭每请求执行动作功能。开启状态下,设备对每个HTTP请求报文都执行相应的负载均衡动作
参数
说明
级别
应答报文的压缩级别,数值越大表示压缩速度越慢、压缩比越高
首选方法
应答报文首选的压缩算法。如果客户端的请求支持配置的压缩算法,则用配置的算法进行压缩,否则采用请求中携带的算法
gzip:gzip压缩算法
deflate:deflate 压缩算法
最小Content-Length
进行压缩的应答报文体的最小长度,0代表不限制
如果应答报文中携带Content-Length首部,则报文体的长度必须达到配置的最小长度才会进行压缩,否则不进行压缩。如果应答报文中不携带Content-Length首部,此配置不生效,即无论报文多大都会进行压缩
插入Vary Header
开启/关闭在应答报文中插入Vary首部的功能
开启该功能后,无论应答本身是否携带Vary首部或应答是否进行压缩处理,都会在应答头插入Vary首部,内容为Accept-Encoding再发往客户侧
所有HTTP版本
开启/关闭对HTTP1.0的请求报文的应答进行压缩处理
删除Accept-encoding
开启/关闭删除HTTP请求中的Accept-Encoding首部的功能
当客户端发送的请求报文中携带Accept-Encoding首部,并开启该功能后,由负载均衡设备发往服务器的报文会删除Accpet-Encoding首部。由服务器发往负载均衡设备的应答报文不会进行压缩,而由负载均衡设备发往客户端的应答报文在符合匹配规则的情况下进行了压缩。如果客户端发送的请求报文不携带Accept-Encoding首部,无论是否开启该功能,负载均衡设备都不会对应答报文进行压缩
内存大小
应答报文压缩所占用的内存大小,取值仅能为1、2、4、8、16、32、64中的某一个值
窗口大小
压缩使用的窗口大小,取值仅能为1、2、4、8、16、32中的某一个值
压缩的过滤条件
单击<新建>按钮,新建过滤条件
Rule ID:过滤规则的编号
动作:包括允许和拒绝。允许表示对符合匹配规则的报文进行压缩;拒绝表示对符合匹配规则的报文不进行压缩
类型:包括URL和Content-Type。URL表示匹配范围限于报文携带的URL;Content-Type表示匹配范围限于Content-Type首部中携带的报文体类型
URL:匹配的内容为HTTP报文中携带的URL,正则表达式,不支持正则元字符?,区分大小写。只有过滤条件的类型选择“URL”时,才会出现该参数
Content-Type:匹配的内容为Content-Type首部中携带的HTTP报文体类型,正则表达式,不支持正则元字符?,区分大小写。只有过滤条件的类型选择“Content-Type”时,才会出现该参数
单击<确定>按钮,新建的过滤条件会在“压缩的过滤条件”中显示
参数
说明
地址对象组
若HTTP流量匹配了指定URL,并且HTTP流量的源IP地址匹配了指定地址对象组,则将地址对象组记录在统计数据库中,否则将源IP地址记录在统计数据库中
一个HTTP统计类型的参数模板中最多允许指定1024个地址对象组
HTTP统计节点列表
单击<新建>按钮,新建统计节点
节点名称:统计节点名称,不区分大小写,一个HTTP统计类型的参数模板最多允许配置256个统计节点
描述:统计节点描述信息,区分大小写
统计规则列表:URL统计规则的集合,一个统计节点中最多允许配置256条统计匹规则
ID:统计规则的编号
URL:URL的正则表达式,不支持正则元字符?
单击<确定>按钮,新建统计节点会在“统计节点列表”中显示
参数
说明
最大复用数目
设备与服务器之间TCP连接的最大复用数目是指一个TCP连接最多可被复用多少次,即最多允许多少个客户端复用同一条与服务器的连接。当设备与服务器之间TCP连接的复用数目达到最大复用数目时,此TCP连接将会被删除,后续客户端发起的连接请求将触发建立新的TCP连接
空闲超时时间
当设备与服务器之间TCP连接的空闲时间达到空闲超时时间时,设备与服务器之间建立的TCP连接将会被删除,后续客户端发起的连接请求将触发建立新的TCP连接
IPv4掩码长度
通过配置本参数,可以使属于相同IPv4网段的客户端请求复用同一TCP连接。设备收到客户端连接请求时,若客户端网段与已建立的TCP空闲连接的客户端网段相同,则复用已建立的空闲连接。否则,触发建立新的TCP连接
IPv6前缀长度
通过配置本参数,可以使属于相同IPv6网段的客户端请求复用同一TCP连接。设备收到客户端连接请求时,若客户端网段与已建立的TCP空闲连接的客户端网段相同,则复用已建立的空闲连接。否则,触发建立新的TCP连接
图-26 TCP-Application类型参数模板功能示意图
参数
说明
TCP流缓冲时间
TCP流的缓冲时间。设备缓冲客户端发给虚服务器TCP流量的时长。缓冲的TCP流量用于进行CP载荷匹配
TCP流缓冲大小
TCP流的缓冲大小。当设备收到的TCP载荷达到配置的缓冲数据大小时,则停止对该TCP流量的缓冲
TCP流缓冲结束符
TCP流的缓冲结束符。当设备收到的TCP载荷匹配配置的缓冲结束符时,则停止对该TCP流量的缓冲
参数
说明
连接池大小
当MySQL数据传输完成后,不立即断开TCP连接,而是将TCP连接保存在MySQL连接池中。当需要建立新的连接时,优先从MySQL连接池中获取可用连接,而不是重新建立一个新连接
MySQL连接池的大小用来限制MySQL连接池可存储的TCP连接的个数
连接复用
开启/关闭连接复用功能
通过开启负载均衡设备与服务器的连接复用功能,在负载均衡设备与服务器之间建立连接,使多个客户端复用同一条与服务器的连接,以减少客户端与服务器之间打开的连接数
最大复用数目
设备与服务器之间TCP连接的最大复用数目是指一个TCP连接最多可被复用多少次,即最多允许多少个客户端复用同一条与服务器的连接。当设备与服务器之间TCP连接的复用数目达到最大复用数目时,此TCP连接将会被删除,后续客户端发起的连接请求将触发建立新的TCP连接
空闲超时时间
当设备与服务器之间TCP连接的空闲时间达到空闲超时时间时,设备与服务器之间建立的TCP连接将会被删除,后续客户端发起的连接请求将触发建立新的TCP连接
IPv4掩码长度
通过配置本参数,可以使属于相同IPv4网段的客户端请求复用同一TCP连接。设备收到客户端连接请求时,若客户端网段与已建立的TCP空闲连接的客户端网段相同,则复用已建立的空闲连接。否则,触发建立新的TCP连接
IPv6前缀长度
通过配置本参数,可以使属于相同IPv6网段的客户端请求复用同一TCP连接。设备收到客户端连接请求时,若客户端网段与已建立的TCP空闲连接的客户端网段相同,则复用已建立的空闲连接。否则,触发建立新的TCP连接
图-28 Diameter-Session类型参数模板功能示意图
参数
说明
协商超时时间
当设备与客户端或服务器端建立TCP连接后,首先会通过CER和CEA协商报文进行信息交换。配置Diameter协商超时时间,在超时时间到期时,设备和对端一直没有CER和CEA协商报文交互,设备将认为该TCP连接已失效,并直接断开该连接,从而避免系统资源被持续占用而造成的浪费
Diameter-Session类型参数模板仅对Diameter协议类型的请求报文有效
源主机名
通过配置Diameter-Session类型参数模板,管理员可以自由指定设备Diameter协商时发送给对端的的参数信息。指定设备的源主机名称,当设备与对端进行Diameter协商时,设备将配置的源主机名作为本端设备主机名发送给对端
源主机名应为FQDN(Fully Qualified Domain Name,完全合格域名)形式,即为同时带有主机名和源域名的名称
源域名
指定设备的源域名,当设备与对端进行Diameter协商时,设备将配置的域名作为本机域名发送给对端
厂商ID
指定设备的厂商ID,当设备与对端进行Diameter协商时,设备将配置的厂商ID发送给对端
产品名称
指定设备的产品名称,当设备与对端进行Diameter协商时,设备将配置的名称作为本机名称发送给对端
本机地址
指定本机IP地址,当设备与对端进行Diameter协商时,设备将配置的IP地址作为本机地址通过协商报文发送给对端
本机IP地址必须为设备接口上已配置的地址且接口处于可用状态
重传功能
开启/关闭Diameter数据报文重传功能
Diameter协商后,当设备向服务器发送Diameter数据报文一段时间,仍没有得到服务器的响应,则有必要开启Diameter数据报文重传功能,在重传超时时间到期后重新发送数据报文,以保证用户尽可能地获得相应的服务
重传超时时间
Diameter数据报文重传超时时间
开启Diameter数据报文重传功能后,设备向实服务器发送数据报文,如果在重传超时时间内没有收到实服务器应答,则选择同一实服务组内另一台实服务器重新发送该数据报文,并重新开始计时,若在重传超时时间到期时依旧没有收到应答,则认为Diameter数据发送失败,通知客户端不可达
设备仅支持对数据报文重传一次
参数
说明
最大并发请求数
允许一条TCP连接的最大并发请求报文数
最大接收窗口值
本地允许HTTP2.0协议报文的最大接收窗口值
插入头部字段
开启/关闭向HTTP2.0协议版本的请求报文头部中插入字段
头部字段名称
插入HTTP2.0报文头部字段的名称
空闲连接时间
非活动状态保持TCP连接的时间
连接帧大小
允许HTTP2.0报文最大的连接帧值
表头规格
HTTP2.0报文头部表的大小
主动关闭服务器连接
FIN关闭:通过发送FIN报文关闭服务器连接
RST关闭:通过发送RST报文关闭服务器连接
本功能只针对客户端发起HTTP2.0协议版本的请求报文,而设备与实服务器仅支持HTTP1.1协议的情况下生效
单击<确定>按钮,新建的参数模板会在“参数模板”页面显示。
智能探测模板(可选)
通过配置HTTP passive类型、RST类型、零窗口类型或自定义类型的智能探测模板,当模板在实服务组成员中被引用时,可以对当前实服务组成员进行监控;当模板在实服务组中被引用时,可以对实服务组内所有实服务组成员进行监控。
| 探测模板类型的支持情况与设备型号有关,请以页面的实际显示为准。 |
智能探测模板的具体配置步骤:
单击“策略 > 负载均衡 > 服务器负载均衡 > 智能探测模板”。
在“智能探测模板”页面单击<新建>按钮。
新建智能探测模板。
图-30 智能探测模板功能示意图
表-24 智能探测模板配置
参数
说明
探测模板名称
智能探测模板的名称,不区分大小写
类型
智能探测模板的类型,包括:
描述
智能探测模板的描述信息
参数
说明
统计时间
当RST类型或零窗口类型的智能探测模板被引用后,在统计时间内,系统会对实服务组中每个实服务器成员发送的RST报文和零窗口报文的个数进行统计
阈值
若统计时间内实服务器发送的RST报文或零窗口报文达到配置的上限阈值,则执行相应的动作
动作
智能探测模板的动作,包括:
强制下线:若配置智能探测模板的动作为强制下线,则当实服务器发送的RST报文或零窗口报文达到配置的阈值时,系统会自动关闭实服务器
过载保护:若配置智能探测模板的动作为过载保护,则当实服务器发送的RST报文或零窗口报文达到配置的阈值时,系统会将实服务器的状态标记为繁忙,然后以繁忙保护时间为周期再次对实服务器进行检查。若实服务器在繁忙保护时间内发送的RST报文或零窗口报文未达到配置的阈值,则实服务器恢复正常状态。否则继续以繁忙保护时间为周期检查实服务器,直到达到实服务器的繁忙保护次数为止。达到繁忙保护次数后,系统会自动关闭实服务器
在因为达到阈值或达到繁忙保护次数导致实服务器关闭的情况下,若删除实服务组引用负载均衡探测模板,则实服务组的状态会立即恢复为正常
繁忙保护时间
实服务器因过载保护动作进入繁忙状态后,再次进行智能探测的时间间隔
繁忙保护次数
实服务器因过载保护动作进入繁忙状态后,可以继续进行智能探测的次数。0表示实服务器的智能繁忙保护次数不受限制
图-32 HTTP passive类型智能探测模板功能示意图
参数
说明
统计时间
当HTTP passive类型的智能探测模板被引用后,若设备收到携带指定URL的HTTP请求报文,则会对其响应报文进行HTTP智能监控。在统计时间内,设备会对URL异常的次数进行统计
阈值
对于HTTP passive类型的智能探测模板,若统计时间内检测到异常URL的次数超过配置的上限阈值,则自动关闭实服务器
超时时间
当设备收到携带指定URL的HTTP请求报文后,会对其响应报文进行HTTP智能监控。若HTTP报文的响应时间超过配置的超时时间,则认为检测到一次异常URL
检查URL
若实服务器收到的HTTP请求报文中携带本配置指定的URL,则对其响应报文进行HTTP智能监控
检查URL不支持配置正则元字符?
同一HTTP passive类型的智能探测模板下最多允许配置10个URL
响应状态码
当设备收到携带指定URL的HTTP请求报文后,会对其响应报文进行HTTP智能监控。若HTTP响应报文中携带的状态码为配置的值,则认为检测到一次异常URL
同一HTTP passive类型的智能探测模板下最多允许配置10个响应状态码
参数
说明
监控周期
当自定义类型的智能探测模板被引用后,系统会在每个监控周期到来时执行一次监控脚本文件
超时时间
应答超时时间
建议配置探测报文的应答超时时间小于监控周期
脚本文件参数
在执行监控脚本文件时,设备进程会将配置的脚本文件参数传递给脚本文件
设备允许同时输入多个参数,参数之间用空格分隔
脚本文件
通过在自定义类型的智能探测模板下配置监控脚本文件,可根据脚本文件定义的检测内容成对实服务器状态的检测
设备目前仅支持引用后缀名为.py的脚本文件
环境变量
可以通过配置环境变量,指定监控脚本的执行环境
单击<确定>按钮,新建的智能探测模板会在“智能探测模板”页面显示。
SNAT全局策略(可选)
通过配置SNAT全局策略可将设备收到报文的源地址转换为指定地址。用户既可在本页面配置SNAT全局策略,也可在实服务组页面配置源地址转换功能,后者的配置优先级较高。只有在实服务组页面未配置源地址转换功能时,SNAT全局策略才会生效。
SNAT全局策略的具体配置步骤:
单击“策略 > 负载均衡 > 服务器负载均衡 > SNAT全局策略”。
在“SNAT全局策略”页面单击<新建>按钮。
新建SNAT全局策略。
图-34 SNAT全局策略功能示意图
表-28 SNAT全局策略配置
参数
说明
SNAT全局策略名称
SNAT全局策略的名称,不区分大小写
源地址转换方式
源地址转换方式,包括:
源地址池:根据配置的源地址池进行源地址转换。设备将匹配报文的源地址修改为源地址池中的地址后再转发出去
自动映射:采用设备与实服务器通信的接口地址进行源地址转换
源地址池名称
进行源地址转换的源地址池名称
可选择已创建的源地址池,也可以新创建源地址池
仅当源地址转换方式配置为源地址池时,支持配置本参数
VRF
SNAT全局策略所属的VRF
优先级
SNAT全局策略的优先级。若同时配置多个SNAT全局策略,则优先级越大的SNAT全局策略,越优先匹配
源IP地址对象组
进行源地址转换的源IP地址对象组,即仅对匹配指定源IP地址的流量进行源地址转换
目的IP地址对象组
进行源地址转换的目的IP地址对象,即仅对匹配指定目的IP地址的流量进行源地址转换
服务对象组
进行源地址转换的服务对象组,即仅对匹配指定服务的流量进行源地址转换
启用策略
选择开启后,此全局SNAT策略生效
描述
SNAT全局策略的描述信息
单击<确定>按钮,新建的SNAT全局策略会在“SNAT全局策略”页面显示。
附录:快速日志输出内容
IP、TCP、UDP、HTTP和HTTPS类型的虚服务器支持的快速日志输出内容
指定快速日志输出内容。支持输入多个变量,变量之间用分号分隔,例如:%{sfn};%{is};%{ps}。
IP、TCP和UDP类型的虚服务器支持配置以下变量:
%
{ is} :客户端侧的源IP地址。%
{ ps} :客户端侧的源端口号。%
{ id} :客户端侧的目的IP地址。%
{ pd} :客户端侧的目的端口号。%
{ sis} :服务端侧的源IP地址。%
{ sps} :服务端侧的源端口号。%
{ sid} :服务端侧的目的IP地址。%
{ spd} :服务端侧的目的端口号。%
{ vsn} :虚服务器的名称。%
{ sfn} :实服务组的名称。%{protocol}:流量的协议类型。
%{tmfirst}:当前流首包时间,采用GMT时间格式。
%{tmlast}:当前流尾包时间,采用GMT时间格式。
%{tmduration}:当前流持续时间(首包到尾包之间的时间)。
%{cbytes_recv}:从客户端接收的总数据大小(统计整个会话)。
%{cbytes_sent}:向客户端发送的总数据大小(统计整个会话)。
%{sbytes_recv}:从服务端接收的总数据大小(统计整个会话)。
%{sbytes_sent}:向服务端发送的总数据大小(统计整个会话)。
HTTP和HTTPS类型的虚服务器视图下支持配置以下变量:
%
{ is} :客户端侧的源IP地址。%
{ ps} :客户端侧的源端口号。%
{ id} :客户端侧的目的IP地址。%
{ pd} :客户端侧的目的端口号。%
{ sis} :服务端侧的源IP地址。%
{ sps} :服务端侧的源端口号。%
{ sid} :服务端侧的目的IP地址。%
{ spd} :服务端侧的目的端口号。%
{ vsn} :虚服务器的名称。%
{ sfn} :实服务组的名称。%
{ reqtmstamp} :HTTP访问请求时间,采用GMT时间格式。%{reqtime}:HTTP访问请求时间,采用CST时区时间格式。
%
{ uri} :HTTP URI。%
{ ver} :HTTP协议的版本号。%
{ args} :HTTP访问参数。%
{ method} :HTTP请求方法。%
{ xff} :XFF(X-Forwarded-For)的IP地址。%
{ ctype} :HTTP请求报文Content-Type字段。%
{ clen} :HTTP请求报文的Content-Length字段。%
{ ref} :HTTP请求报文的Referer首部字段。%
{ ua} :HTTP请求报文的User-Agent字段。%
{ host} :HTTP请求报文Host首部字段。%
{ path} :HTTP请求报文的Path。%
{ reqsz} :HTTP请求报文的大小,单位为字节。%
{ reqtm} :HTTP访问的请求时长,单位为毫秒,从设备收到客户端请求报文开始计时,收到服务器端响应报文计时结束。%{reqtm_s}:HTTP访问的请求时长,单位为秒,从设备收到客户端请求报文开始计时,收到服务器端响应报文计时结束。
%{conntm_s}:HTTP访问的连接时长,单位为秒,从设备与客户端建立连接开始计时,发送完响应报文计时结束。
%{repstatus}:HTTP应答报文状态码。
%
{ rspclen} :HTTP响应报文Content-Length字段。%
{ rspsz} :HTTP响应报文的大小,单位为字节。%
{ rsptm} :HTTP访问响应时长,单位为毫秒,从设备收到服务器端响应报文开始计时,发送完响应报文计时结束。%
{ stscode} :HTTP响应状态码。%
{ reqbsz} :HTTP请求报文的Body大小,单位为字节。%
{ rspbsz} :HTTP响应报文的Body大小,单位为字节。%
{ rspsntbsz} :设备应答客户端的HTTP响应报文的Body大小,单位为字节。%{rspctype}:HTTP响应报文Content-Type字段。
%{x509v}:证书版本。
%{x509sigalgo}:证书算法。
%{x509issuer}:证书颁发者。
%{x509before}:在此之前无效。
%{x509after}:在此之后无效。
%{x509sub}:主题。
%{dnc}:国家。
%{dns}:州、省。
%{dnl}:城市。
%{dno}:公司。
%{dncn}:通用名Common Name。
%
{ cookie_cookie-name } :HTTP访问的Cookie,cookie-name 表示Cookie名称,如%{ cookie_cookie1} 。Cookie名称中不能包括(、)、<、>、@、,、;、:、\、"、/、[ 、] 、?、=、{ 、} 、SP(空格符)、HT(水平制表符),以及ASCII码中小于等于31、大于等于127的字符,区分大小写。设备允许配置多个不同名称的Cookie。%{reqhdr_
header-name} :HTTP请求报文的自定义头部名称,如%{reqhdr_Host}。头部名称中不能包括(、)、<、>、@、,、;、:、\、"、/、[、]、?、=、{、}、SP(空格符)、HT(水平制表符),以及ASCII码中小于等于31、大于等于127的字符,不区分大小写。设备允许配置多个头部名称,如%{reqhdr_Host};%{reqhdr_Connection}。%{rsphdr_
header-name }:HTTP应答报文的自定义头部名称,如%{rsphdr_Content-Length}。头部名称中不能包括(、)、<、>、@、,、;、:、\、"、/、[、]、?、=、{、}、SP(空格符)、HT(水平制表符),以及ASCII码中小于等于31、大于等于127的字符,不区分大小写。设备允许配置多个头部名称,如%{rsphdr_Server};%{rsphdr_Expires}。%{reqbody_
content-type_size }:HTTP请求报文的Body信息。Body信息支持定制不同的Content-type和长度size 。size 取值范围为1~131072,单位为字节,若未指定size ,则表示默认值为512字节。当报文实际Body长度超过size 取值,则只截取size 大小的Body信息输出日志,例如:实际报文的Body大小是1024个字节,配置%{reqbody_content-type_512};%{reqbody_content-type_2048},那么最终输出为xxxxx(输出日志长度为512个字节);yyyy(输出日志长度为1024个字节)。报文标准头Content-Type对应的输入格式,包括如下:
表-29 报文标准头Content-Type输入参考表
输入格式
报文标准头Content-Type
axwfu
application/x-www-form-urlencoded
ajson
application/json
acejson
application/cloudevents+json
acebjson
application/cloudevents-batch+json
ayaml
application/yaml
axml
application/xml
asxml
application/soap+xml
multiformdata
multipart/form-data
multirelated
multipart/related
tplain
text/plain
tcsv
text/csv
txml
text/xml
thtml
text/html
axhtmlxml
application/xhtml+xml
输入多个Content-Type时,使用“|”分隔,如%{reqbody_axwfu|ajson|multirelated_512}。
%{rspbody_
content-type _size }:HTTP应答报文的Body信息。Body信息支持定制不同的Content-type和最大长度size 。content-type 和size 配置情况与%{reqbody_content-type_size }参数相同,此处不再详述。