SANGFOR_WOC_XXXX年度初級認證培訓(xùn)02

1、SANGFOR WOC加速技術(shù)介紹第1頁，共38頁。第2頁，共38頁。傳輸協(xié)議優(yōu)化深信服公司簡介協(xié)議代理-減少交互SANGFOR WOC流量削減第3頁，共38頁。目前加速的主要手段：1. 提高傳輸有效性，改進傳統(tǒng)傳輸協(xié)議（快速TCP和HTP）2. 削減流量（流緩存，壓縮技術(shù)） 3. 協(xié)議代理（減少交互）SANGFOR WOC 加速技術(shù)TCP代理HTTP/HTTPS代理FTP代理網(wǎng)上鄰居代理POP3/SMTP代理RDP代理Citrix代理Oracle ebs代理Exchange代理視頻代理第4頁，共38頁。傳輸協(xié)議優(yōu)化（快速TCP）普通TCP協(xié)議在高帶寬，高時延，及一定丟包率情況下不理想（TCP

2、滑動窗口慢上升，快下降的機制）。采用快速TCP優(yōu)化傳輸控制機制，可減少時延和丟包率影響（改進TCP滑動窗口機制，快上升，慢下降，提高傳輸效率）。第5頁，共38頁。傳輸協(xié)議優(yōu)化（HTP協(xié)議）HTP協(xié)議：High-speed Transmission Protocol是SANGFOR的專利技術(shù)，它分為HTP(tcp packet) 和HTP(udp packet) 這兩種協(xié)議。HTP(tcp packet)是一種基于TCP協(xié)議的擁塞控制算法，主要應(yīng)用于高時延，高丟包的網(wǎng)絡(luò)環(huán)境。HTP(udp packet)是一種基于UDP的通信協(xié)議，適用于高丟包的網(wǎng)絡(luò)環(huán)境并可設(shè)置其工作模式以及UDP的數(shù)據(jù)包大小。

3、注意：1、加速連接使用HTP(tcp packet)和HTP(udp packet)時，SangforVPN必須采用udp方式連接。2、如果有丟包環(huán)境，優(yōu)先使用htp（udp） ，如果htp（udp）的效果不理想，再使用htp（tcp）.3、如果沒有丟包環(huán)境（專線的環(huán)境），優(yōu)先使用高速tcp ，這個傳輸協(xié)議最穩(wěn)定第6頁，共38頁。削減流量（流緩存技術(shù)）網(wǎng)絡(luò)中有許多重復(fù)數(shù)據(jù)在來回傳輸，流緩存算法的根本目的就是用一個標簽代替已經(jīng)傳輸過的重復(fù)數(shù)據(jù)，減少網(wǎng)間數(shù)據(jù)傳輸產(chǎn)生的相應(yīng)流量，從而提高網(wǎng)絡(luò)吞吐率。流緩存是使用特征匹配的方式來搜索數(shù)據(jù)包的，當一個數(shù)據(jù)包到達的時候，通過一定的策略，從這個數(shù)據(jù)包里提出幾

4、個特征值來，與已有的特征庫比較。如果有相似的特征值，則把相應(yīng)的數(shù)據(jù)提取出來對比，如果一致，則將數(shù)據(jù)編碼，把標簽發(fā)到對端，否則，將這個包的特征值保存在特征庫中，供以后使用。第7頁，共38頁。削減流量（流緩存技術(shù)）WAN流緩存Data流緩存DataData一個標簽可以代表多達4K的真實數(shù)據(jù)QQ如果流緩存所占的磁盤空間滿了的話，則流緩存分發(fā)器會自動將最舊的一塊清除出來分配，如果該流緩存正在被使用則清除次舊的流緩存塊出來分配。第8頁，共38頁。削減流量（LZO/GZIP壓縮算法） LZO算法工作效率高，其壓縮時僅需64KB的工作空間。GZIP的壓縮算法針對冗余度高的數(shù)據(jù)壓縮效果比LZO更好，但對CPU

5、的占較LZO高。SANGFOR WOC默認使用GZIP壓縮算法 WOC7.5開始，采用高中低三種壓縮率選擇。默認為高壓縮率第9頁，共38頁。TCP代理技術(shù)詳解PC發(fā)送SYN請求被加速設(shè)備攔截,回復(fù)ACK及發(fā)送SYN設(shè)備同時發(fā)消息，通知對端和服務(wù)器建立TCP連接設(shè)備向服務(wù)器發(fā)送SYN請求服務(wù)器回復(fù)ACK及發(fā)送SYN設(shè)備再次回復(fù)ACK，三次握手完成。PC回復(fù)ACK，三次握手完成。中間鏈路只有一次發(fā)送消息的過程，減少了2次握手消息的傳遞。第10頁，共38頁。Web Push技術(shù)詳解(HTTP代理)不啟用Web Push技術(shù)訪問WEB服務(wù)器0/index.phpIE瀏覽器解析index.php頁面，發(fā)

6、現(xiàn)頁面還包含0/show.gif鏈接Http GET請求 0/show.gif延時100msHttp GET請求 在不啟用Web Push的情況下，2次的http get請求數(shù)據(jù)都通過中間鏈路傳遞，光http get請求數(shù)據(jù)包就花費200ms的時間進行傳遞。第11頁，共38頁。Web Push技術(shù)詳解(HTTP代理)啟用Web Push技術(shù)訪問Web服務(wù)器延時100ms0/index.phpHttp GET請求 加速解析index頁面，發(fā)現(xiàn)還有0/show.gif鏈接，設(shè)備再次發(fā)起http get請求同時把index頁面?zhèn)鬟f到對端Http GET請求 0/show.gifIE瀏覽器解析inde

7、x.php頁面，發(fā)現(xiàn)頁面還包含0/show.gif鏈接Http GET請求 加速設(shè)備直接回復(fù)該請求。啟用Web Push技術(shù)后，減少了一次http get在中間鏈路傳輸，原來需要200ms，現(xiàn)在只需100ms，提升了一倍的時間。第12頁，共38頁。Web Cache技術(shù)詳解Http GET請求 0/1.jpgHttp GET請求 0/1.jpgWeb Cache跟流緩存最大的區(qū)別在于：Web Cache是直接存放整個文件，只要URL相同就可以，且只對HTTP協(xié)議數(shù)據(jù)有效。而流緩存是存放二進制，只要二進制內(nèi)容相同就可以，且對所有數(shù)據(jù)有效。第13頁，共38頁。HTTP代理/Web Cache設(shè)置啟

8、用HTTP代理設(shè)置WEB CACHE緩存對象的大小及超時時間設(shè)置WEB CACHE緩存對象的類型第14頁，共38頁。 HTTPS應(yīng)用代理加速隧道RC4加密https加密https加密第15頁，共38頁。FTP代理技術(shù)詳解FTP服務(wù)器設(shè)置為主動模式PC向FTP服務(wù)器的21端口發(fā)起命令連接，并告訴服務(wù)器本機已經(jīng)打開22345端口21加速設(shè)備監(jiān)聽連接，發(fā)現(xiàn)本端打開的是22345端口服務(wù)器主動發(fā)起向22345的數(shù)據(jù)連接，將會被送入加速處理流程服務(wù)器開始發(fā)送數(shù)據(jù)流緩存生效第16頁，共38頁。FTP代理技術(shù)詳解FTP服務(wù)器設(shè)置為被動模式21PC向FTP服務(wù)器的21端口發(fā)起命令連接加速設(shè)備監(jiān)聽連接，發(fā)現(xiàn)對端

9、打開的是22345端口服務(wù)器通知PC已經(jīng)打開22345端口22345PC主動發(fā)起向22345的數(shù)據(jù)連接，將會被送入加速處理流程服務(wù)器開始發(fā)送數(shù)據(jù)流緩存生效第17頁，共38頁。CIFS協(xié)議代理技術(shù)詳解不啟用CIFS代理技術(shù)訪問服務(wù)器PC發(fā)出open指令服務(wù)器將文件以文件ID 的形式通知PCPC發(fā)出read指令服務(wù)器響應(yīng)(response)并發(fā)送文件第一部分PC再次發(fā)出read指令服務(wù)器再次響應(yīng)(response)并發(fā)送文件第二部分第18頁，共38頁。CIFS協(xié)議代理技術(shù)詳解啟用CIFS代理技術(shù)訪問服務(wù)器PC發(fā)出open指令服務(wù)器將文件以文件ID 的形式通知PCPC發(fā)出read指令服務(wù)器響應(yīng)(re

10、sponse)并發(fā)送文件第一部分PC再次發(fā)出read指令設(shè)備發(fā)出read指令服務(wù)器回應(yīng)response命令并發(fā)送文件第二部分經(jīng)過CIFS協(xié)議代理，減少中間的交互包，提高了效率。設(shè)備回應(yīng)response命令第19頁，共38頁。CIFS代理設(shè)置注意事項：要啟用支持數(shù)字簽名的CIFS加速，服務(wù)端加速設(shè)備必須加入到服務(wù)端域中。啟用CIFS代理設(shè)置CIFS代理的優(yōu)化項第20頁，共38頁。SMTP/POP3代理技術(shù)詳解不啟用SMTP/POP3代理技術(shù)訪問Mail服務(wù)器郵件內(nèi)容，經(jīng)過base64編碼后由客戶端發(fā)出。QXQgU0lORk9SSANGFOR Test Mail編碼流緩存記錄下內(nèi)容為：QXQgU0

11、lORk9S修改郵件內(nèi)容后：Rm9yIFNJTkZPUiSANGFOR Test Mail2編碼流緩存記錄下內(nèi)容為：Rm9yIFNJTkZPUi兩者完全不同，流緩存不生效。第21頁，共38頁。SMTP/POP3代理技術(shù)詳解啟用SMTP/POP3代理技術(shù)訪問Mail服務(wù)器郵件內(nèi)容，經(jīng)過base64編碼后由客戶端發(fā)出。加速設(shè)備進行解碼，流緩存記錄下內(nèi)容為：SANGFOR Test Mail修改郵件內(nèi)容后：Rm9yIFNJTkZPUiSANGFOR Test Mail2編碼加速設(shè)備進行解碼，流緩存記錄下內(nèi)容為SANGFOR Test Mail2兩者部分相同，流緩存生效。QXQgU0lORk9SSAN

12、GFOR Test Mail編碼新數(shù)據(jù)第22頁，共38頁。SMTP/POP3代理設(shè)置第23頁，共38頁。Exchange應(yīng)用代理什么是Exchange？1. 簡單而言，Exchange Server可以被用來構(gòu)架應(yīng)用于企業(yè)、學(xué)校的郵件系統(tǒng)甚至于像Notes那樣的郵件系統(tǒng)。 2. Exchange Server還是一個協(xié)作平臺。你可以在此基礎(chǔ)上開發(fā)工作流程，知識管理系統(tǒng)，Web系統(tǒng)或者是其他消息系統(tǒng)。Exchange使用TCP135端口。 通過協(xié)議代理的方式，將客戶端和Exchange服務(wù)器之間在廣域網(wǎng)的交互，轉(zhuǎn)化為客戶端與代理服務(wù)器以及代理客戶端和Exchange服務(wù)器之間的局域網(wǎng)交互，從而提

13、升傳輸效率。第24頁，共38頁。Exchange代理設(shè)置第25頁，共38頁。Oracle EBS代理技術(shù)詳解 Oracle EBS代理為應(yīng)用代理層插件，沒有對EBS自身協(xié)議進行優(yōu)化，實現(xiàn)方式就是截獲客戶端和Oracle EBS服務(wù)器協(xié)商的密鑰，通過密鑰對Oracle EBS的數(shù)據(jù)進行解密，經(jīng)過解密后的數(shù)據(jù)可以利用壓縮和流緩存算法將其進行流量消減處理。注意事項：支持http、https模式和socket模式的加速。第26頁，共38頁。Oracle EBS代理設(shè)置默認情況下設(shè)備只對SOCKET模式下的Oracle EBS進行加速，勾選此選項后，對HTTP模式下的Oracle EBS也能夠加速。第2

14、7頁，共38頁。Citrix代理技術(shù)詳解什么是Citrix？ 舉個例子，公司有一C/S結(jié)構(gòu)的應(yīng)用系統(tǒng)(ERP等)，C/S應(yīng)用的部署是客戶端安裝在每臺計算機上，由每臺計算機直接訪問數(shù)據(jù)庫服務(wù)器，C/S應(yīng)用往往在局域網(wǎng)中運行不會有什么問題，因為局域網(wǎng)中的網(wǎng)絡(luò)帶寬高，端口沒限制。但如果開了分公司或者需要遠程辦公，那通過遠程連接數(shù)據(jù)庫的話，就會受到延遲、帶寬和端口限制的影響。一般企業(yè)就會考慮專線，或者重新開發(fā)成B/S結(jié)構(gòu)，但是花費都非常大。 然而，通過在Citrix服務(wù)器上安裝需要發(fā)布的軟件，用戶遠程登錄到服務(wù)器，運行該軟件，就能使用該應(yīng)用且能獲得像公司局域網(wǎng)一樣的速度。 CITRIX標準端口：149

15、4，2598 第28頁，共38頁。Citrix代理技術(shù)詳解Citrix代理的實現(xiàn)方式？ Citrix應(yīng)用數(shù)據(jù)本身是經(jīng)過異或加密運算后傳輸?shù)?，在不啟用Citrix代理的情況下，WOC設(shè)備無法對應(yīng)用數(shù)據(jù)進行解密，無法使用流緩存。通過啟用Citrix代理，捕獲客戶端發(fā)出的key，在服務(wù)端網(wǎng)關(guān)解密從服務(wù)器獲取到的密文，將明文過加速傳輸?shù)娇蛻舳司W(wǎng)關(guān)，客戶端網(wǎng)關(guān)重新加密明文后傳輸給客戶端。WOC設(shè)備通過緩存明文數(shù)據(jù)來使流緩存應(yīng)用生效。 注意事項：1、Citrix代理只支持Citrix服務(wù)器版本為MetaFrame XP、Presentation Server 4.5 和XenApp 5.0版本，暫時不支持

16、XenApp 6.0版本；2、Citrix代理只支持基于basic加密方式的Citrix加速，對于其他加密方式不支持。 第29頁，共38頁。Citrix代理設(shè)置第30頁，共38頁。RDP代理技術(shù)詳解什么是RDP？ RDP（Remote Desktop Protocol，遠程桌面協(xié)議）是一個多通道的協(xié)議，可以實現(xiàn)讓用戶連上提供微軟終端機服務(wù)的電腦進行一些操作，如網(wǎng)絡(luò)管理員經(jīng)常通過遠程桌面到某臺遠程電腦進行網(wǎng)絡(luò)設(shè)備的管理。 RDP默認使用的是TCP的3389端口。 RDP代理的實現(xiàn)方式？ 客戶端在使用遠程桌面進行訪問時，客戶端發(fā)出的數(shù)據(jù)包都是經(jīng)過加密后傳輸?shù)?。在不啟用RDP代理的情況下，加速設(shè)備無

17、法對數(shù)據(jù)進行解密，流緩存不生效；啟用RDP代理后，加速設(shè)備能夠?qū)νㄟ^RDP協(xié)議傳輸?shù)臄?shù)據(jù)進行解密，從而通過使用流緩存來達到削減流量的目的。注意事項：RDP代理不支持服務(wù)器為Windows Server2000的遠程桌面應(yīng)用。第31頁，共38頁。RDP代理設(shè)置第32頁，共38頁。視頻代理常見的視頻會議軟件有：中視通、寶利通、科達等等視頻會議所使用的端口： 目前常見的寶利通視頻會議所使用的端口有UDP3230-3245，其它廠商的只能到現(xiàn)場咨詢客戶、或者視頻會議廠商的技術(shù)人員。通過協(xié)議代理的方式，有效的減少客戶端和視頻服務(wù)器之間在廣域網(wǎng)的交互過程中造成的丟包，通過將同一個視頻數(shù)據(jù)包進行多次的重傳，

18、提高視頻會議的有效性。第33頁，共38頁。視頻代理注意事項：如果要使用視頻優(yōu)化，加速建立的連接方式必須是HTP（UDP PACK）方式建立的才有效果。第34頁，共38頁。SANGFOR WOC支持加速的應(yīng)用 SANGFOR WOC 支持加速的應(yīng)用類型： 對所有基于TCP協(xié)議的應(yīng)用類型，以及設(shè)備能夠解密的部分應(yīng)用均有加速效果。 支持加速的常見應(yīng)用有： HTTP、HTTPS、FTP、SMTP、POP3、網(wǎng)上鄰居、Exchange、Lotus notes、OA系統(tǒng)、遠程桌面、Oracle、Sybase、MYSQL、VSS、Share point、Veritas、DB2、Commvault、Microsoft Backup等。 SANG