H3C SecPath F1000 |
您所在的位置:网站首页 › 华三F1000-AK1150 › H3C SecPath F1000 |
H3C SecPath F1000-AK系列防火墙 用户FAQ
资料版本:6W101-20181229
Copyright © 2018 新华三技术有限公司 版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。 除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。 本文档中的信息可能变动,恕不另行通知。 目 录 1 硬件类FAQ F1000-AK系列包含哪些设备,主要硬件差异是什么? F1000-AK系列硬件简介 2 软件类FAQ 如何查看当前运行的版本及各板卡的信息? 过滤显示信息时,如果要过滤的内容中含有空格,怎么办? 3 防火墙业务功能类FAQ NAT、NAT444、ALG 会话 安全域 对象策略 域间策略 IPSec PKI 4 DPI相关特性FAQ AVC带宽管理和DPI其他业务的异同? 配置了接444口带宽,为什么不生效? 带宽策略、接口带宽和Qos作用的先后顺序? 带宽策略里面的优先级和带宽通道里面转发优先级、重标记DSCP有什么用途和区别? 带宽策略里面不同匹配项之间“与”和“或”的关系? 带宽策略生效优先级和父子策略生效优先级? 打了流量好长时间,为什么流量报表和流量日志没有统计显示? 配置基于每用户/每IP限速时,怎么限速不准确? 为什么使用实时带宽查询命令显示不了当前连接数? 每用户和每IP最大带宽限速、并发连接数限制、新建速率限制? 转发优先级和保证带宽谁的优先级高? AV的工作原理是什么? AV能识别的报文有哪些? 在域间引用了AV策略,为什么无法命中? AV的病毒例外和应用例外作用的先后顺序? 域间不引用AV策略,DIM也有AV命中统计? 配置协议检测方向动作时,AV命中统计和DIM命中统计不一致? 长时间打流,流量日志和威胁日志不更新? 配置了阻断JPG文件的文件过滤,为什么打开的网页中仍然有图片? 为什么会发生文件过滤偶尔不生效或产生错误动作的现象? 为什么文件过滤日志和报表中没有内容? URL过滤的特征? 黑名单、白名单、预定义分类、自定义分类动作执行优先级? URL规则使用正则表达式时的限制? 正则表达式下的特殊字符 什么是云端查询? IPS入侵防御系统和DPI其他业务的异同? IPS处理与黑名单的优先级? IPS动作之间的关系? IPS动作优先级? 报文同时与多个IPS特征匹配成功如何执行? 在特征库没有发生变化时,突然以前可以识别的攻击识别不了了? APR和DPI其他业务的异同? NBAR支持那些协议? PBAR是基于源端口还是目的端口的应用? 自定义的PBAR应用能设置最多可以配置多少端口? NBAR的signature最多可以设置多少个? 5 SLB 特性(有些款型可能不支持SLB,以具体规格为准) SLB虚服务器、实服务组、实服务器的概念? SLB如何排查业务不通的问题? SLB的HTTP类型下,设置规则为cookie,如果一个报文中包含多个请求,只检查第一个请求的cookie吗? SLB负载均衡动作中,删除头部,如果一个报文中包含多个请求,只删除第一个请求的头部吗? SLB的L参数模板中的set ip tos 命令与action中的set ip tos 命令有什么区别? 6 Outbound LLB OutBound链路负载虚服务和静态路由、策略路由的关系是什么? 流量匹配上就近性,可是为什么就近性仍然会老化掉呢? 就近性和持续性都存在,流量先是去匹配哪个呢? 就近性与link带宽限制同时起作用吗? 就近性计算时的参数影响是什么样的? 就近性表项已经存在时,修改就近性探测方法,会怎么样? 为什么已经在实服务组下使能就近性功能了,却仍然没有生成就进行表项? 为什么修改link的cost会清除就近性表项,而修改带宽不会呢? 为什么所有link-group都去使能就近性,就近性表项仍然存在呢? SIP流量时,为什么有时不能产生就近性表项呢? 为什么link没有被引用,却也是active的呢? 为什么nqa的debug中总打印一些abandon的error信息呢? 带宽算法是什么意思? 最大带宽算法是什么意思? 带宽繁忙保护对算法对选路的影响? Link1是持续性表项,同时link1配置带宽保护,为什么会有很多失败呢? 虚服务上同时配置连接限制,和连接数限制策略limit-policy,是怎么生效的?
H3C SecPath F1000-AK系列防火墙 用户FAQ 1 硬件类FAQ F1000-AK系列包含哪些设备,主要硬件差异是什么?F1000-AK系列包括F1000-AK110、F1000-AK120、F1000-AK130、F1000-AK140、F1000-AK150、F1000-AK160、F1000-AK170、F1000-AK180防火墙(以下简称为F1000-AK系列)是面向SMB市场的高性能VPN集成网关产品。硬件上基于多核处理器架构,为1U的独立盒式防火墙。 端口差异如下: · F1000-AK110、F1000-AK120提供8个千兆电口、2个Combo口及2个Bypass口。 · F1000-AK130、F1000-AK140、F1000-AK150、F1000-AK160、F1000-AK170:提供16个千兆电口、8个千兆光口。 · F1000-AK180:提供16个千兆电口及8个千兆光口、2个SFP+万兆光口。 F1000-AK系列硬件简介F1000-AK110/F1000-AK120两款设备的的产品外观基本类似,F1000-AK130/F1000-AK140 /F1000-AK150/F1000-AK160/F1000-AK170/F1000-AK180外观类似,下面仅以F1000-AK180为例进行说明: 设备面板有16个10/100/1000BASE-T自适应以太网电口、8个1000BASE-X以太网光口、2个10GBASE-R/1000BASE-X以太网光口、2个USB接口和1个Console接口以及2个硬盘扩展插槽。具体结构如下图所示。 图1 设备前视图(F1000-AK180) 1: 10/100/1000BASE-T以太网电口 2: 1000BASE-X以太网光口 3: 10GBASE-R/1000BASE-X以太网光口 4: 配置口(CONSOLE) 5: USB口(仅支持供电) 6: 设备指示灯 7: 硬盘扩展插槽
图2 设备后视图(F1000-AK180) 1: 电源模块插槽0 2: 电源模块插槽1 3: 接口板插槽 4: 接地螺钉 2 软件类FAQ 如何查看当前运行的版本及各板卡的信息? 可以使用命令display version查看系统当前运行的主机程序版本、各板卡重启原因和运行时间: display version H3C Comware Software, Version 7.1.064, Ess 9503 Copyright (c) 2004-2016 Hangzhou H3C Tech. Co., Ltd. All rights reserved. H3C SecPath F1000-AK-130 uptime is 0 weeks, 4 days, 3 hours, 16 minutes Last reboot reason: User reboot
Boot image: flash:/fw-cmw710-boot-E9503.bin Boot image version: 7.1.064, Ess 9503 Compiled Mar 10 2016 16:00:00 System image: flash:/fw-cmw710-system-E9503.bin System image version: 7.1.064, Ess 9503 Compiled Mar 10 2016 16:00:00
CPU type: Multi-core CPU DDR3 SDRAM Memory 8190M bytes Board PCB Version:Ver.A Basic BootWare Version: 1.00 Extend BootWare Version: 1.00 [SubSlot 0]12GE (Hardware)Ver.A, (Driver)1.0 过滤显示信息时,如果要过滤的内容中含有空格,怎么办?必须用“”把所带空格的命令括起来。如:display current-configuration | include "traffic behavior",如果不加“”,则命令行会认为第一个空格后的输入为非法输入。 3 防火墙业务功能类FAQ NAT、NAT444、ALG· 静态Nat444要注意什么? 静态NAT444公网地址不支持ARP响应,如果NAT地址池和出接口地址在同一网段,需要在对端设备加一条路由,目的地址为NAT转换之后的地址,下一跳为出接口地址或者将地址池地址配置接口的sub地址。 · 当Nat server配置global地址为loopback口地址的时候要注意什么呢? Nat server配置global地址为loopback口时,需要在设备的上一跳加一条正向路由,这条路由的目的地址为loopback口地址,下一跳为设备入接口地址。 · NAT接口分配原则是什么? 区分协议和区分原始端口号 对于TCP/UDP,如果原始端口号在1~1023,转换后也是在1~1023,如果原始接口大于1024,就是从1024开始分配。 会话· ASPF ICMP差错报文检测能够识别哪些ICMP差错报文? 当前识别的icmp-err的组合有下面这些:()中为ICMP报文的类型,[]中为ICMP的代码范围。 type code ICMP_UNREACH(3) [0, 12] ICMP_SOURCEQUENCH(4) [0, 0] ICMP_REDIRECT(5) [0, 3] ICMP_TIMXCEED(11) [0, 1] ICMP_PARAMPROB(12) [0, 1] 安全域· 系统默认安全域有哪些? 目前,系统默认支持5个安全域。如下:Trust、Untrust、DMZ、Local和Management域。 · 安全域的特性方面,和V5版本相比,有哪些差异? 主要有如下差异: (1) V7的版本,创建安全域时,无域ID的概念。 (2) V7的版本,安全域没有优先级、共享等属性。 (3) 同一安全域之间,默认策略是deny的。 · 管理口默认在安全域中吗? 管理口GigabitEthernet1/0/0默认已加入Management安全域。 对象策略· IPv4地址对象组包含哪些地址类型? 主要包括主机地址类型、域名地址类型、网段类型地址、范围类型地址。一个对象组可以包含多种地址类型。对象组可以嵌套,即一个对象组可以包含另外一个对象组。 · 对象策略的规则匹配顺序是什么? 当一个对象策略中包含多条规则时,报文会按照一定的顺序与这些规则进行匹配,一旦匹配上某条规则便结束匹配过程。对象策略规则的匹配顺序与规则的创建顺序有关,先创建的规则优先进行匹配。对象策略规则的显示顺序与匹配顺序一致,即按照域间实例视图下通过display this命令显示的顺序,从上到下依次匹配。同时,对象策略支持通过命令移动规则位置来调整规则的匹配顺序。 · 对象策略的类型? 对象策略有2种类型:IPv4地址对象策略、IPv6地址对象策略。 · 对象策略中,VRF参数所指vpn-instance指的是入接口还是出接口的vpn-instance? 入接口的vpn instance。 域间策略· 安全域之间,默认域间策略是怎么样的? 默认是deny的。 · 域间策略有哪2种方式 包括2种方式:对象组策略和包过滤策略,建议根据实际组网情况独立使用。 · 如果packet-filter和object-policy两者在域间策略中同时存在的时候,优先匹配哪一个? 优先匹配object-policy。 · 对象组支持引用对象组,那么对象组多级引用对象组,深度上,最深支持几层引用? 支持5层深度的引用。 · 域间策略和NAT操作的顺序是怎样的? NAT server是在域间策略前作转换,域间策略匹配NAT server转换后的IP地址; NAT outbound是在域间策略后进行转换,域间策略匹配NAT outbund转换前的IP地址。 · GRE、L2TP等隧道流量域间策略的配置,需要关注哪些问题? 对隧道流量,需要配置两条策略。在解封装方向,需要配置如下两条策略: (1) 物理入接口所在安全域到Local域之间的域间策略; (2) Tunnel或者VT所在安全域到物理出接口所在安全域之间的域间策略。 加封装方向需要配置如下两条策略: (1) 1物理入接口所在安全域到tunnel或者VT口所在安全域之间的域间策略; (2) Local域到物理出接口所在安全域之间的域间策略。 IPSec· IPsec策略的相应配置中带有vpn-instance时,其中ACL的规则需要带vpn-instance吗? ACL的规则里面需要配置vpn instance参数,只需要在规则的源端配置vpn instance参数。 PKI· PKI域下usage配置为何不生效? usage命令是PKI提供一个指定证书扩展用途的命令,证书中携带的扩展用途与CA服务器的策略相关,申请到的证书中的扩展用途可能与此处指定的不完全一致,最终以CA服务器的实际情况为准。 4 DPI相关特性FAQ AVC带宽管理和DPI其他业务的异同?· 不同点: AVC带宽管理不需要创建和引用app-profile,配置开启即生效;AVC带宽管理traffic-policy是在系统视图下配置的,全局生效,不论端口类型,只与策略的匹配条件有关;AVC带宽管理策略和通道的条数不受限制,只与设备内存有关。 · 相同点: 都与DIM(Deep Inspect Machine,深度检测引擎)有关,域间策略需引用开启深度检测inspect功能,AVC带宽管理以DIM的会话拓展信息来限速,此外,基于应用应用组的限速则需要DIM识别后才能成功限速。 配置了接444口带宽,为什么不生效?接口带宽供其他模块调用,并不单独生效,需要配置带宽策略才生效,且需开启带宽策略,空策略亦可。此外,接口带宽只在流量方向的出接口生效,意思就是在流量方向的出接口配置接口带宽才会生效,反向亦可。 带宽策略、接口带宽和Qos作用的先后顺序?流量从入接口进入,首先受到入接口的默认接口带宽(如1G口默认接口带宽是1G,10G口是10G)的限制,接着受到入接口配置inbound方向qos的限制,然后根据带宽策略的匹配条件对流量进行筛选,筛选通过的流量进入对应的带宽通道,受到带宽通道的限速,如果出接口配置了接口带宽(如:bandwidth 100000,即100M接口带宽),会继续受到出接口的接口带宽限制,最终受到qos的outbound方向的限制。(一般情况下,DPI业务不与Qos配合使用,功能有重复,且Qos业务会影响到AVC带宽管理的一些配置)。 带宽策略里面的优先级和带宽通道里面转发优先级、重标记DSCP有什么用途和区别?带宽策略下的优先级只是作为一个流量的匹配项,其实质就是检测报文中相应字段有没有DSCP的标记(如:af11、ef等),有则限速,无则不作处理。其用处和其他匹配项(如:源目的安全域、源目的地址等)相同。 带宽通道里面的转发优先级是针对带宽通道而言的,就是当链路发生阻塞时,优先转发优先级高的通道,这个是真正意义上的优先级,并不是带宽策略里面的优先级。 带宽通道里面的重标记DSCP和带宽策略里面优先级时对应的,它的作用就是改变初始报文中的DSCP标记,用来区分不同的流量,可通过抓包工具在IP层发现修改DSCP标记是否生效。 带宽策略里面不同匹配项之间“与”和“或”的关系?带宽策略里面有多个匹配项,除了用户与用户组、应用于应用组之间是“或”的关系,其他匹配项之间是“与”的关系,意思就是用户和用户组只要匹配上至少一个即可,应用和应用组之间只要匹配上至少一个即可;此外,各匹配项自身可配置多个选项,自身多个选项只要匹配上至少一个,即此匹配项匹配成功。 带宽策略生效优先级和父子策略生效优先级?带宽策略配置多条策略后,同时开启,最先配置的带宽策略先生效,从web和命令行直观就是从上到下,依次匹配;父子策略开启,先匹配父策略,父策略匹配上了才能继续匹配子策略,子策略匹配上了走子策略引用的带宽通道,子策略配置的带宽通道受父策略配置的带宽通道的限制。 打了流量好长时间,为什么流量报表和流量日志没有统计显示?两个原因,第一个,确保流量打通了,确确实实打到设备里面了;第二个,查看流量报表和流量日志,必须开启会话统计,就是必须敲“session statistics enable ”这个命令,过一小段时间便会有流量统计。 配置基于每用户/每IP限速时,怎么限速不准确?要学会计算整体限速,比如每用户限速是100kbps,10个用户就是1M;每IP限速100kbps,10个IP就是1M。如果限制了整体最大带宽,那么每用户限速*用户数量 重定向 > (黑名单/丢弃) > 允许,其中黑名单与丢弃的优先级相同。 报文同时与多个IPS特征匹配成功如何执行?如果报文同时与多个IPS特征匹配成功,则根据这些动作中优先级最高的动作进行处理。 在特征库没有发生变化时,突然以前可以识别的攻击识别不了了?一般情况下是由于port-mapping对于本可以识别的攻击报文的端口进行了设置,删除该port-mapping设置,攻击就可以正常识别了。 APR和DPI其他业务的异同?· 不同点:分成PBAR(Port Based Application Recognition,基于端口的应用层协议识别)和NBAR(Network Based Application Recognition,基于内容特征的应用层协议识别)两部分。 · 相同点:NBAR都与DIM(Deep Inspect Machine,深度检测引擎)有关,域间策略需引用开启深度检测inspect功能。 NBAR支持那些协议?NBAR支持HTTP、TCP、UDP协议的特征定义。 关于HTTP协议的NBAR特征定义 [H3C] nbar application body protocol http [H3C-nbar-application-body] signature 1 field ? uri uri raw-uri raw-uri raw-body raw-body statusline statusline raw-header raw-header raw-cookie raw-cookie raw-content raw-content stat-code stat-code stat-msg stat-msg 关于UDP协议的NBAR特征定义。 [H3C] nbar application uuu protocol udp [H3C-nbar-application-uuu] signature 1 ? hex Add a signature pattern in hexadecimal offset Add signature offset regex Add signature pattern by regex string Add signature pattern by string 关于UDP协议的NBAR特征定义,类似于UDP协议的特征定义。 PBAR是基于源端口还是目的端口的应用?PBAR是基于目的端口的应用识别,配置某个目的端口的PBAR后,经过该目的端口的消息流都被识别为该PBAR应用。该部分功能已经在Web上有所展现。 相关命令行如下: [H3C] port-mapping application {应用名} port 3000 ? acl Specify acl filtering host Specify a host range protocol Specify a Layer 4 protocol subnet Specify a subnet 自定义的PBAR应用能设置最多可以配置多少端口? 自定义的PBAR应用最多可以配置1024个端口。 NBAR的signature最多可以设置多少个?NBAR的signature最多可以设置8个(在NBAR应用中只有特征定义时,多个个特征间只要有一个特征匹配报文,该NBAR就是识别) 注意:signature INTEGER string XXX INTEGER可以任意选择。 5 SLB 特性(有些款型可能不支持SLB,以具体规格为准) SLB虚服务器、实服务组、实服务器的概念?· 虚服务器:虚服务器是负载均衡设备上提供的一种虚拟服务,是为了判断是否需要对到达负载均衡设备的报文进行负载均衡而引入的概念。只有与虚服务器IP地址匹配的报文才会进行负载均衡处理。 · 实服务器:实服务器用来在负载均衡设备上模拟用户的业务服务器,用于指导报文转发。一台实服务器只能属于一个实服务组,而一个实服务组可以包含多台实服务器。 · 实服务器组:为了便于对多台服务器进行管理,可以依据这些服务器的共有属性划分成不同的组,称为实服务组。比如,可按照存储内容的不同划分为歌曲服务器组,视频服务器组或图片服务器组等。 SLB如何排查业务不通的问题?(1) display real-server brief查看虚服务、实服务的状态,状态是否处于Active状态; (2) display virtual-server statistics查看对应虚服务统计信息是否有变化,有变化说明报文已经匹配到虚服务,应从匹配的虚服务找问题原因。否则,查看为何没有命中虚服务; (3) 查看Debug调试信息。 SLB的HTTP类型下,设置规则为cookie,如果一个报文中包含多个请求,只检查第一个请求的cookie吗?如果一个报文中包含多个请求,默认只处理第一个请求,按照第一个请求进行负载分担,要处理每个请求需要配置http parameter:rebalance per-request。 SLB负载均衡动作中,删除头部,如果一个报文中包含多个请求,只删除第一个请求的头部吗?如果一个报文中包含多个请求,默认只处理第一个请求,要处理每个请求需要配置http parameter:header per-reques。 SLB的L参数模板中的set ip tos 命令与action中的set ip tos 命令有什么区别?set ip tos在参数模板中设置改变的是发向客户端的报文的tos值,在action中设置改变的是发向服务器的报文的tos值。 6 Outbound LLB OutBound链路负载虚服务和静态路由、策略路由的关系是什么?OutBound链路负载均衡虚服务优先级高于静态路由和策略路由,因此如果报文匹配到OutBound链路负载均衡的虚服务,则负载均衡模块优先处理;如果报文没有匹配到虚服务,则会依次匹配策略路由、静态路由。 流量匹配上就近性,可是为什么就近性仍然会老化掉呢?LB只是转发中间的业务处理之一,LLB是处于慢转预处理和查fib之后的处理阶段。 某一会话的首报文到到达LB,LB会为其选路,选择好RS后,会话会有快转表项生成,此会话的后续报文就不用再次选择RS了,就直接按照快转表项中的进行转发。因此如果开启就近性,也不会匹配就近性表项,而是直接走快转了。 因为就近性表项的刷新,是靠流量匹配来刷新的。此时,因为没有流量来匹配就近性,所以就近性表项可能会老化掉。 就近性和持续性都存在,流量先是去匹配哪个呢?先匹配持续性,如果持续性表项不匹配,再去匹配就近性表项,如果就近性表项也不匹配,就按照算法来选择链路。 既使能持续性又使能就近性时,如果持续表项和就近性表项都不存在的情况下,是先根据算法生成持续表项。然后根据探测结果生成就近性表项。 持续性表项和就近性表项同时存在的情况下,持续表项优先。 就近性与link带宽限制同时起作用吗?如果link配置了带宽速率限制,即使就近性表项中该link为最优,也会因为带宽限制而不走它,而是选择次优。等这个link的带宽低于限制后,则再次被选择。 就近性计算时的参数影响是什么样的?在就近性计算时是根据各参数来计算各链路的。某一参数的权值增大,就说明其影响力变大。比如TTL和COST: RS1: TTL(3) COST(99) COST优 RS2: TTL(2) COST(100) TTL优 就近性下TTL权值1 COST权值50;那么最终应该是RS1比较优; 如果就近性下TTL权值100,COST权值50,那么最终应该是RS2比较优。 就近性表项已经存在时,修改就近性探测方法,会怎么样?已经存在就近性表项时,修改就近性探测方法,则会立即清空就近性表项,然后再由报文触发,利用新的探测方法进行就近性探测。 为什么已经在实服务组下使能就近性功能了,却仍然没有生成就进行表项?可以先检查就近性下有没有配置就近性探测方法。 因为就近性表项的产生依赖于就近性探测,因此如果此处没有配置有效的就近性探测方法,则不会生成就近性表项。 为什么修改link的cost会清除就近性表项,而修改带宽不会呢?在就近性计算中,cost是其中一个计算参考值,所以在修改link的cost时,会立即清除已有的就近性表项,以便将来有流量触发时重新计算就近性; 虽然就近性计算中,带宽也是计算参考值,但是这里的带宽指的是剩余带宽,剩余带宽会根据网络状况实时变化,就近性计算不可能实时去响应其变化。在修改link的rate-limit band 时,修改的是link的总带宽,并不是剩余带宽。 为什么所有link-group都去使能就近性,就近性表项仍然存在呢?就近性表项是针对全局的,针对所有link-group的。当所有link-group都去使能就近性时,表项不会立即删除,也不会进行就近性探测,表项不会生效。而是继续保留直到老化删除,或者手工删除。 SIP流量时,为什么有时不能产生就近性表项呢?如果此时会话里已经有会话了,则会直接按照会话转发,不再触发就近性探测。 如果没有会话,但是已经有会话关联表了,则首包会匹配会话关联表,而建立会话,以后的报文直接走会话。 子会话会根据关联表建立会话,然后走非首包流程。 为什么link没有被引用,却也是active的呢?link如果被link-group引用了,受outbound配置的限制。如果outbound配置不完全就会显示该link为inactive的。 Link如果没有被link-group引用,只要有IP且触发了探测,按照探测决定状态。若没有探测就直接UP。 为什么nqa的debug中总打印一些abandon的error信息呢?*Jun 11 16:44:48:264 2015 H3C NQA/7/Error: -Context=1; NQA entry (t1-instance12d 9e7090?) abandon the unkonwn packet. 协议栈对icmp报文全局上送,每个rawip icmp socket,都会收到其他模块icmp报文或者本模块其他icmp socket报文,对于这些报文会丢弃。 带宽算法是什么意思?进入虚服务器视图 virtual-server vritual-server-name; 配置链路的带宽由接口统计:bandwidth interface statistics enable 缺省情况下,链路的带宽由负载均衡模块自行统计 剩余带宽=link的最大带宽-当前带宽 如果要测试带宽,一般都配置link的最大带宽 rate-limit bandwidth [ inbound | outbound ] bandwidth-value 是配置link的最大带宽,和接口带宽没有关系 只有VS下打开了bandwidth interface statistics enable,link的当前带宽不再使用LB自行统计的带宽,而是使用link的所在的接口的带宽作为link的当前带宽。 LB自行统计带宽,是指的LB分发给该link的报文,每秒做一次,然后下一秒分配连接时,就根据前一秒的这个值来确定链路带宽。 bandwidth:带宽算法,即报文根据link的权值与剩余带宽比例分发到各link上。 假如rs1的weight是3,剩余带宽100M; rs2的weight是2,剩余带宽200M; rs3的weight是1,剩余带宽是300M 那么三个link怎么分配? 大致比例:大致:3*100 : 2*200 : 1* 300 最大带宽算法是什么意思?max-bandwidth:最大带宽算法,即报文总是分发给当前空闲带宽最大的link。 不论是否配置接口下获取带宽,总带宽都是根据link下配置的rate-limit band。 而如果虚服务下配置了从接口获取带宽,那么当前使用的带宽就从接口的Last来获取;如果没有配置从接口获取带宽,就从display real-server statist 的Throughput来获取。 如果在虚服务下配置从接口统计带宽,那么LB是从接口的Last统计中来获取带宽的。 接口的Last统计间隔,根据在接口上配置 flow-interval 来配置,比如 flow-interval 5 就是每5秒统计一次; LB则是固定的每一秒都向接口Last获取一次值,得到当前使用带宽,再用配置在link下的rate-limit band 总带宽,来减去当前使用带宽,得到当前空闲带宽,进行比较。 接口最小统计间隔是5秒,这5秒内都只有同一个接口的流量是最小的,所以这5秒内LB分配也只有这个link1被选中。下一个5秒时,link1的流量就会统计为较大,那么就会在剩下的link里选择一个最大剩余带宽的,选中后就再次开始这个过程的循环。总之,接口统计5秒时间内,都只会选择同一个link;下一个5秒时间内,再次选择剩余带宽最小的link。 可能会出现多个链路中,只有某几个链路有流量,其他几个链路一直没有流量的情况? 最大带宽算法就是会选择一个link-group中剩余带宽最大的link,如果有多个link剩余带宽一样大,就会把排在前边的选出来(可能和你创建link的顺序有关),之前被选过的link的剩余带宽会在其他link被选期间再次变大,从而再次被选,导致有几个一直没有机会被选。 带宽繁忙保护对算法对选路的影响?(1) link-group中配置最大带宽算法,link1配置带宽繁忙比,并且剩余带宽最大: 根据最大带宽算法,先分配给link1,当link1的带宽超过保护带宽后,此时link1停止分配连接,连接分配给link2;当link1的带宽下降至保护带宽以下时,因为剩余带宽最大,再次因为最大带宽算法而分配连接。 (2) link-group下使能就近性功能,当link1带宽超过保护带宽后,将不参与算法,也将不参与就近性探测。当带宽小于保护带宽后,重新加入算法,重新被就近性探测。 (3) link-group下配置持续性,link1配置带宽保护,若持续性表项为link1,则将不受带宽保护的影响,而继续按照持续性向link1分配连接。 当链路使用带宽超过设置的繁忙比例即认为链路繁忙,默认繁忙比为70%,如果所有链路都超过繁忙比,那链路保护失效,算法重新回到最初配置的算法。 Link1是持续性表项,同时link1配置带宽保护,为什么会有很多失败呢?持续性组下有个功能 override-limit enable,开启该功能后,如果该连接匹配了已有的持续性表项,将不受link上的带宽(指的带宽保护bandwidth busy-rate和max-bandwidth,以及带宽速率rate-limit bandwidth)及连接参数(rate-limit connection和connection-limit max )以及虚服务器上的连接数限制(指的lb-limit-policy)影响。 虚服务上同时配置连接限制,和连接数限制策略limit-policy,是怎么生效的?是虚服务下直接配置的连接限制先过滤一次,然后再通过limit-policy过滤一次,两重过滤。
|
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |