lotapp应用交付系统用户使用手册v3.0

LotApp应用交付系统用户使用手册LotApp应用交付系统用户使用手册（UserGuide）北京华夏创新科技有限公司2010v3.0P/N:96北京华夏创新科技有限公司值得信赖的应用交付专家 LotApp应用交付系统用户使用手册商标信息华夏创新、AppEx、Lotware、LotWan、LotFlow、LotAccess、LotBalance、LotApp、LotMobile、华创路由器等标识及其组合是北京华夏创新科技有限公司拥有的商标，受商标法和有关国际公约的保护。第三方信息本文档中所涉及到的产品名称和商标，属于各自公司或组织所有。CE/FCC相关数据说明本设备遵循FCCpart15的规章。可能不会引起有害人体的影响，设备必须避免接受任何干扰的接口所进行的不必要的操作方式。6北京华夏创新科技有限公司值得信赖的应用交付专家 LotApp应用交付系统用户使用手册典型包装盒配件内容（以实际产品装箱单为准）打开包装盒，并且检查下列所述配件是否齐全：1.LotApp（硬件）-------------------------------------------------x12.L型固定支架及机架导辊----------------------------------------x23.螺丝(ScrewsSets)----------------------------------------------x64.电源线(ACPowerCord)--------------------------------------------x15.管理员工具光盘(CD)---------------------------------------------x16.UTPCross-over线(交叉线)-------------------------------------x27.DB9RS-232线---------------------------------------------------x18.产品保修服务承诺（保修卡）---------------------------------------x19.产品装箱单/产品回执卡------------------------------------------x11.以实物为准2.3.4.5.6.6北京华夏创新科技有限公司值得信赖的应用交付专家 LotApp应用交付系统用户使用手册7．8．9．图1产品包装配件内容（以实际产品装箱单为准）技术支持华夏创新提供技术支持，可通过Web、E-mail或服务热线，解决产品上使用的问题。网址：http://www.appexnetworks.com.cn邮件：appex@appexnetworks.com.cn服务热线：+86106北京华夏创新科技有限公司值得信赖的应用交付专家 LotApp应用交付系统用户使用手册目录第一章、综述71.1简介71.2特别说明10第二章、安装LOTAPP112.1设备指示灯说明112.2设备安装11第三章、使用命令行界面(CLI)133.1登录CLI133.2使用CLI143.3网络配置153.4系统信息153.5系统设置163.6查看网络状况16第四章、WEBGUI登录174.1如何使用Web管理界面(GUI)174.2系统信息184.3系统状态194.4链路状态20第五章、网络配置215.1网络接口215.1.1查看和配置物理接口216北京华夏创新科技有限公司值得信赖的应用交付专家 LotApp应用交付系统用户使用手册5.1.2配置虚拟接口和网桥235.2IP设置245.2.1WAN接口配置255.2.2LAN接口配置295.2.3配置管理接口315.3NAT配置325.3.1SNAT配置325.3.2DNAT配置345.3.3NAT免除配置385.4防火墙设置395.4.1防火墙-规则395.4.2DDOS防御405.4.3其他选项425.5静态路由表配置425.5.1基于目标地址的静态路由425.5.2基于源地址的静态路由445.6ARP455.6.1ARP代理465.6.2静态ARP映射465.7智能DNS485.7.1智能DNS-WAN485.7.2智能DNS-LAN505.8VPN配置515.8.1配置VPN服务器516北京华夏创新科技有限公司值得信赖的应用交付专家 LotApp应用交付系统用户使用手册5.8.2配置VPN客户端565.8.3配置LotAccess575.9高可靠性设置645.8.1VRRP实例配置655.8.2VRRP组配置65第六章、WAN加速与优化配置676.1加速引擎配置676.2策略定义686.2.1定义策略686.2.2定义策略组776.2.3定义视图806.3加速与优化（全局配置）836.3.1加速846.3.2流量整形856.3.3主机带宽均分866.3.4带宽管理866.3.5策略定义876.3.6VOIP优先876.3.7P2P控制87第七章、负载均衡897.1链路负载均衡897.1.1链路负载均衡配置907.1.2ISP管理907.2服务器负载均衡926北京华夏创新科技有限公司值得信赖的应用交付专家 LotApp应用交付系统用户使用手册7.2.1服务器负载均衡配置937.2.2服务器负载均衡调度算法101第八章、报表1048.1系统状态报表1058.2优先级报表1068.3策略报表1088.4Loose-Mapping报表1118.5P2P主机报表113第九章、系统管理1149.1系统设定1149.2时间日期1159.3抓包1159.4远程日志1169.5修改密码1179.6设备升级1179.7备份与恢复1179.8重置1189.9重新启动119第十章、配置案例步骤概述12010.1透明桥配置12010.1.1网络拓扑：12010.1.2配置步骤：12010.2路由配置1236北京华夏创新科技有限公司值得信赖的应用交付专家 LotApp应用交付系统用户使用手册10.2.1网络拓扑：12310.2.2配置步骤：12310.3ARP代理（LAN中有主机直接配置使用公网IP地址）12810.3.1网络拓扑：12810.3.2配置步骤：12910.4高可靠性配置（HA）13410.4.1网络拓扑：13410.4.2配置步骤：13510.5多链路负载均衡配置14610.5.1网络拓扑：14610.5.2配置步骤：14610.6反向地址映射（DNAT）15410.6.1网络拓扑：15410.6.2配置步骤：15510.7智能DNS配置16110.7.1网络拓扑：16110.7.2配置步骤：16110.8LAN智能DNS配置17110.8.1拓扑环境：17110.8.2配置步骤：17210.9VPN配置17710.9.1VPN客户端与VPN网关建立VPN隧道17710.9.2VPN网关之间建立隧道18710.9.3多个VPN网关之间建立隧道2016北京华夏创新科技有限公司值得信赖的应用交付专家 LotApp应用交付系统用户使用手册10.9.4VPN旁路部署22010.10服务器负载均衡配置22610.10.1拓扑环境：22610.10.2配置步骤：22610.11DR模式（单臂模式）服务器负载均衡配置23210.10.1拓扑环境：23210.10.2配置步骤：2336北京华夏创新科技有限公司值得信赖的应用交付专家 LotApp应用交付系统操作手册第一章、综述本文档适用于购买华夏创新公司产品的客户(具有基本网络知识的系统管理员和网络管理员)阅读，通过阅读本文档，他们可以独自完成以下工作：安装和使用LotApp管理LotApp以便于华夏创新客户可以参照本文档根据实际需求使用LotApp。1.1简介LotApp具有以下几个主要功能:1)带宽管理将广域网链路划分多个带宽通道，能够实现最大带宽限制、保证带宽、带宽借用、应用优先级等一系列带宽管理功能，防止不正常应用对网络带宽资源的过渡消耗，保证关键应用带宽，限制非关键应用带宽，改善和保障整体网络应用的服务质量。2)基于行为的P2P识别与控制基于行为识别P2P并有效控制P2P对网络带宽资源的过度占用。3)全局智能带宽分配智能动态地根据内部网络实时上网机器数量，自动、平均分配网络带宽，有效抑制P2P等应用对网络带宽资源的过度占用，并保障带宽资源得到最大利用。4)字节缓存LotApp北京华夏创新科技有限公司235 LotApp应用交付系统操作手册具有高效的字节缓存功能。字节缓存技术又叫“超级压缩”，它通过缓存的方式在内存和硬盘中记录下流经的数据流，并以一定的大小（例如32字节、64字节或128字节等）为最小单位建立易于查询的索引。当以后流向广域网链路的数据流出现了大于最小单位的相同数据时，可以将该数据替换成某个更短的标识。远端的LotApp设备能够将相应标识还原成原始数据。字节缓存与数据压缩的不同之处是，字节缓存不具有自包含性。要解开压缩数据，对端设备必须引用以前记录的历史缓存信息。为达到这一目的，字节缓存技术需要连接两端的缓存完全同步，需要在广域网两端的加速设备之间建立缓存数据同步机制。1)加速VPN应用对SSL、IPSEC、L2TP、PPTP等加速，大幅度提高各种VPN传输效能。2)业界唯一实现单边加速（非对称加速）基于TCP串流加速技术可实现单边加速，在动态检测网络链路状况（包括链路延迟、数据包丢失和拥塞等）的基础上，通过优化TCP窗口、减少重传、避免丢包、减少连接中断、尽量用满带宽等方式提高所有基于TCP的性能，加速所有基于TCP的应用流量。无需成对（网络两端）使用即可大幅度提高数据传输速度，充分利用带宽资源，同时节省设备部署成本。3)数据压缩扩充广域网容量和应用吞吐量透明数据压缩是一种革命性的网络技术，能够确保获得高速应用性能，同时减少广域网上多达95%的数据传输量。透明数据压缩能够显著调高应用带宽。4)流量整形对流量进行整形，减少突发流量，保障网络数据稳定传输，避免网络设备产生拥塞；更重要的是，LotApp可以轻松解决“上行压死下行”这一普遍难题，即当上行带宽用满时，下行带宽利用率急剧下降的问题。5)链路负载均衡北京华夏创新科技有限公司235 LotApp应用交付系统操作手册LotApp应用交付系统对多个ISP连接的可用性和性能进行实时监测，提高网络连接的容错能力，将流量导向最优的链接和ISP以提高服务质量和访问速度，通过多条低成本链路的聚合降低带宽成本，全面提高应用交付能力。1)服务器负载均衡LotApp采用了智能服务器负载均衡技术，支持多种负载均衡算法，动态监测服务器的性能和健康状态，并将网络请求分发给不同的服务器，这样可以大大提高服务的并发处理能力，减少用户等待时间，提高服务质量；同时采用多台服务器，也避免了因为单台服务器故障造成的服务中断，提高了服务的可靠性。这样，就可以提高核心应用的交付能力。2)强化的安全保护LotApp内置高性能的访问控制列表(ACL)、网络地址转换(NAT)以及基于状态的数据包检测，不仅抵御了非法访问和攻击，而且可以阻止某些解决方案无法发现的应用层攻击。LotApp加强了系统的核心，每一款产品都建立在安全强化的系统内核之上，确保了网络及应用真正的安全。3)设备高可用性采用VRRP协议，LotApp实现本身设备的集群部署，并支持多种模式：Active-Active，Active-Standby，达到系统本身的高可靠性，最多可以实现255台LotApp设备的集群。通过集群功能实现应用交付设备的高可用性，对企业业务系统的运行提供更高的保障。4)内置SSLVPNSSLVPN可以建立从广域网访问公司内部资源的安全通道，同时，对此安全通道，可以实现数据流的加速、压缩、缓存等功能，确保安全、迅速的访问公司内部资源。1.2特别说明1)当LotApp做对称部署且数据压缩功能被打开时：北京华夏创新科技有限公司235 LotApp应用交付系统操作手册ØFTP服务推荐使用标准的21端口作为连接控制端口；否则网络数据传输可能会因网络地址转换装置或网络安全设备而被阻塞。Ø有些应用协议已经采用了压缩，如：SSH、SSL、RDP，另外windows远程桌面等应用的数据可能不会被压缩Ø如果网络中存在数据加密设备或软件，请将LotApp部署在数据加密之前以便获得更好的压缩效果。2)当LotApp被应用于对其它VPN设备加速时：Ø一般情况下，LotApp应该被部署在数据进入VPN隧道之前。Ø对于采用TCP协议传输数据的SSLVPN，当LotApp被部署在数据进入VPN隧道之后时，TCP加速仍然可以正常工作。Ø对于IPSecVPN，LotApp必须被部署在数据进入VPN隧道之前，否则数据流不能被加速。3）当使用LotApp基于ISP自动选择路由功能时，请及时升级设备的ISP对应的IP库，否则可能造成部分ISP选择出现错误。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册第二章、安装LotApp在此阶段，您将会需要：nLotApp硬件设备n标准1U或者2U高度机架nL型固定支架n螺丝(ScrewsSets)n电源线(ACPowerCord)2.1设备指示灯说明设备开启时硬盘灯为红色，启动后硬盘灯为不亮；bypass灯在正常情况下为绿色，bypass时为红色；网卡灯为绿色时，说明设备网卡为百兆模式，网卡灯为红色时，说明设备网卡为千兆模式。2.2设备安装1.LotApp可以被固定在标准的19英吋机柜。2.通过缺省LAN口登录LotApp管理界面，根据需求将LotApp的物理网口配置为对应的WAN/LAN口，如果只使用透明模式，在配置WAN/LAN口时应尽量使用设备上的带有bypass功能的网络接口，并在系统管理—系统设定中启用旁路模式。3.根据用户需求配置设备参数。4.利用螺丝锁定L型固定支架。5.安装LotApp到机架上。6.插上电源，并打开设备电源开关。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册1.电源插座位于LotApp的背面，输入电源电压范围为100V-240V。2.将步骤2中设置的的设备LAN口与用户局域网交换机相连（通常情况下），WAN口与互联网相连。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册第三章、使用命令行界面(CLI)可以通过下面两种方法中的任一种使用CLI：l串行接口连接lSSH远程网络连接3.1登录CLI1.使用串口连接Ø使用DB-9串行连接线连接电脑和LotApp；Ø使用如下参数建立连接进程38400baud8databits1stopbitnoparityØ在出现登录提示符时输入用户名/密码登录CLI。默认用户名/密码为admin/admin。2.使用远程网络连接SSHl远端电脑通过LotApp的默认LAN口IP地址使用SSH连接加速设备。l加速设备默认LAN接口的IP地址默认为192.168.0.1，子网掩码为255.255.255.0。l远端电脑使用终端模拟程序或解释器SSH远程访问。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册l在出现登录提示符时输入用户名/密码登录CLI。默认用户名/密码为admin/admin。3.2使用CLICLI的组织分为两级：根节点二级节点三级节点当用户登录进入CLI后，进入根节点。表2-3中列出了可以使用的命令列表。命令动作?查看在当前节点当前可用的命令及其帮助..返回上一级节点quit退出CLIclear清空屏幕network进入network节点(二级节点)show进入show节点(二级节点)admin进入admin节点（二级节点）debug进入debug节点(二级节点)reboot重启设备表3-1北京华夏创新科技有限公司235 LotApp应用交付系统操作手册3.3网络配置在根节点，输入”network”进入”network”二级节点。命令动作Mgmt查看和修改管理接口ip地址和子网掩码del-mgmt删除管理接口showmode查看端口模式和修改端口模式Showinf查看当前设备物理接口Showmgmt查看管理接口信息execpingPing工具exectraceroutetraceroute工具表3-23.4系统信息在根节点，输入”show”进入二级节点”show”。命令动作memory查看系统内存使用情况cpu查看系统cpu使用情况version查看图形界面版本查看加速引擎版本model查看产品型号表3-3北京华夏创新科技有限公司235 LotApp应用交付系统操作手册3.5系统设置在根节点，输入”admin”进入”admin”二级节点。命令动作password修改系统登录密码system进入system节点（三级节点）systemtime查看和修改系统时间reset设备重置表3-43.6查看网络状况在根节点，输入”debug”进入”debug”二级节点。命令动作Level设置debug级别，有效值为1，10，255Stats查看对应级别的debug信息表3-5北京华夏创新科技有限公司235 LotApp应用交付系统操作手册第四章、WEBGUI登录LotApp缺省未分配管理接口，可以通过缺省LAN接口管理设备，缺省LAN接口IP地址为192.168.0.1。默认用户名/密码为admin/admin。4.1如何使用Web管理界面(GUI)Web管理界面(后面简称GUI)允许用户通过浏览器登录设备来进行参数设置。浏览器可以使用IE（6.0及以上）或者MozillaFirefox（2.0及以上）。在浏览器的地址栏输入设备的缺省LAN接口的IP地址即可打开GUI。例如，http://192.168.0.1在打开的GUI登录页面上，输入用户名和密码admin/admin，点击登录。图4-14.2系统信息点击概况-系统信息可进入系统信息界面北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图4-2在概况—系统信息里可以查看设备的相关信息，包括产品名称、产品型号、序列号、系统过期时间、加速引擎版本、图形界面版本、系统运行时间、内存使用率、CPU使用率等，点击上图中的小图标，可以分别以图表、柱状图、饼图等方式显示相关信息。第一次管理LotApp并显示柱状图、饼图时，可能系统会要求您下载MicrosoftSilverlight软件，当下载安装完成后，刷新管理界面后就可以正常显示柱状图、饼图了。4.3系统状态点击概况-系统状态可进入系统状态界面北京华夏创新科技有限公司235 LotApp应用交付系统操作手册在配置了加速网络接口（加速引擎配置）后才可以在概况-系统状态中查看到该链路的状态信息。图4-31.在概况—系统状态里的汇总里可以看到所有链路总的连接数和带宽等情况。2.可以查看设备的每条链路上的相关信息，包括连接数、主机数、带宽等。3.其中从主机数中的本地主机数和远程主机数上可以看出设备的LAN口和WAN口是否接反，正常情况下远程主机数应比本地主机数大很多，当本地主机数小于远程主机数时，说明设备的LAN/WAN口可能接的是反的，个别网络除外。4.如果是双边部署并开启压缩或者缓存，在连接数里可以看到已压缩或者已经缓存的连接数。5.点击上图中的小图标，可以分别以表格、柱状图、饼图等方式显示相关信息。6.该界面上显示的带宽只是实时的，如果要从此判断实际带宽，请取平均值，最准确的方法是看该链路对应报表里显示的带宽，并取平均值。4.4链路状态点击概况-链路状态可进入链路状态界面。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图4-4路由模式链路状态里可以查看每个LAN/WAN接口的接口类型、所在物理接口、接口MAC地址、IP地址、子网掩码、网关和DNS等信息。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册第五章、网络配置5.1网络接口5.1.1查看和配置物理接口点击网络配置-网络接口可查看各物理接口的连接状态和配置各物理接口的工作模式。图5-1Ø该界面的物理接口列表列出了设备所有的物理接口。Ø物理接口列表的状态一栏显示了每个接口的连接状态。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册Ø点击各物理接口编辑按钮可配置该接口工作模式。图5-2Ø名称：该物理接口的名称，不可更改。Ø类型：默认为物理接口，不可更改。Ø自动协商：默认打开，也可关闭该功能，手动设定该物理接口的工作模式。Ø速度：自动协商关闭时可以手动设定物理接口的速度为：10M/100M/1000M。Ø双工：自动协商关闭时可以手动设定物理接口的双工模式为：半双工/全双工。ØMAC地址：默认为初始MAC地址，也可修改为其它MAC地址，eth0的MAC地址是不可以修改的。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册5.1.2配置虚拟接口和网桥图5-3虚拟接口只有在局域网内划分了VLAN的情况下才会用到，点击虚拟接口列表右端的即可添加虚拟接口。图5-4Ø接口下拉列表框用于指定该虚拟接口所依附实际接口，可以是物理接口或者是网桥。Ø实际接口右边应填写该接口所属的VLAN的ID号。点击桥接列表右端的即可添网桥。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图5-5Ø接口：该网桥包含的物理接口或者虚拟接口，可用列表中会列出所有可用的物理接口和虚拟接口，已用列表中为该网桥所包含的物理接口和虚拟接口。ØSTP：启用或关闭STP协议。ØMTU：该网桥的最大传输单元。5.2IP设置点击网络配置—IP设置可配置LAN/WAN接口北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图5-65.2.1WAN接口配置点击WAN列表右上角的可添加一个WAN接口，WAN接口连接方式有静态IP、PPPOE和DHCP三种方式，WAN接口可以是物理接口或者网桥，虚拟接口不能用作WAN接口。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图5-7北京华夏创新科技有限公司235 LotApp应用交付系统操作手册5.2.1.1连接方式：静态IP图5-8Ø别名：该WAN口的名称，该名称即为概况-链路状态界面和负载均衡-多链路负载均衡界面里的链路名称。Ø接口名称：该WAN接口选定的物理接口或者网桥。ØMTU：该WAN接口的最大传输单元，默认为1500。ØIP地址：该WAN接口配置的静态IP地址。Ø虚拟IP：用于高可靠性配置和单臂模式服务器负载均衡，具体参见相关章节；虚拟IP可以配置为单个IP地址，也可配置为一个IP段。Ø掩码：该WAN接口所属网络的子网掩码。Ø默认网关：该WAN接口所属网络的默认网关。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册ØDNS：该WAN接口所属网络的DNS服务器。5.2.1.2连接方式：PPPoE图5-9Ø别名：该WAN口的名称，该名称即为概况-链路状态界面和负载均衡-多链路负载均衡界面里的链路名称。Ø接口名称：该WAN接口选定的物理接口或者网桥。ØMTU：该WAN接口的最大传输单元，默认为1500。Ø用户名、密码：该WAN接口PPPOE拨号上网的账号和密码，一般由ISP（网络服务运营商）提供。Ø连接模式：分为保持连接模式和按需连接模式。n保持连接模式：需要设定重拨等待时间，即当PPPOE拨号失败或链接中断后设备重新拨号的时间间隔，默认是30秒;n按需连接模式：需要设定自动断线等待时间，默认是300秒，若PPPoE拨号连接在等待时间所设时长的时间段内没有检测到有流量通过，则会自动中断拨号连接。此功能主要应用于adsl拨号按时间计费的用户。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册Ø默认路由：是否把该接口设置为默认路由，在开启链路负载均衡功能的时候，不要打开这个选项。ØDNS：该WAN接口所属网络的DNS服务器。5.2.1.3连接方式：DHCP图5-10Ø别名：该WAN口的名称，该名称即为概况-链路状态界面和负载均衡-多链路负载均衡界面里的链路名称。Ø接口名称：该WAN接口选定的物理接口或者网桥。ØMTU：该WAN接口的最大传输单元，默认为1500。ØDNS：该WAN接口所属网络的DNS服务器。5.2.2LAN接口配置点击LAN列表右上角的可添加一个LAN接口北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图5-11Ø别名：该LAN接口的名称。Ø接口名称：该LAN接口选定的网络接口；物理接口、桥接接口和虚拟接口均可被选定用作LAN接口。ØIP地址：该LAN接口的IP地址。Ø掩码：该WAN接口所属网络的子网掩码。ØMTU：该LAN接口的最大传输单元，默认为1500。Ø虚拟IP：用于高可靠性配置，具体请参见相关章节。ØDHCP：是否在该LAN接口上开启DHCP服务。n范围：用作DHCP分配的IP地址池的范围；北京华夏创新科技有限公司235 LotApp应用交付系统操作手册n地址租期：客户机从DHCP服务器获取到的IP地址的有效时长，超过该时长则客户机需向DHCP服务器重新发送地址请求；n默认网关：客户机从DHCP服务器获取到的默认网关地址；nDNS:客户机从DHCP服务器获取到的DNS服务器地址；注：在配置高可靠性时，一般应指定LAN接口上的虚拟IP地址为DHCP分配的默认网关地址和DNS服务器地址。5.2.3配置管理接口LotApp系列缺省不提供管理接口；如需使用管理接口，可通过LAN接口登录管理界面，点击LAN列表中管理接口编辑按钮即可配置管理接口图5-12Ø接口：指定用作管理接口的网络接口。ØIP地址：管理接口的IP地址。Ø子网掩码：管理接口子所属网络的网掩码。Ø缺省网关：管理接口所属网络的默认网关；该项为可选项，如无必要可保持为空。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册5.3NAT配置5.3.1SNAT配置SNAT，即网络地址转换，用于将私网IP地址转换为合法的公网IP地址，以使内网中的主机能够访问互联网；一般情况下，在配置完某个WAN接口的IP设置后，均需配置该接口的SNAT才能使LAN中主机通过该接口连接互联网。点击网络配置-NAT-SNAT可进入SNAT配置界面图5-13北京华夏创新科技有限公司235 LotApp应用交付系统操作手册5.3.1.1静态IP、PPPoE和DHCP三种方式配置SNATØWAN口为静态IP连接方式时，SNAT配置包括动态SNAT和静态SNAT两种，其中动态SNAT用于将多个LAN中的主机IP转换为一个或多个WAN接口IP的情况，而静态SNAT则用于LAN中的主机IP和WAN接口IP一一对应配置的情况。图5-14ØWAN口为PPPoE连接方式和DHCP连接方式时，只需勾选启用NAT选项便可启用SNAT功能图5-15北京华夏创新科技有限公司235 LotApp应用交付系统操作手册5.3.1.2SNAT_LAN配置此配置是配合DNAT_LAN一起使用的，用于内网中某台主机通过外网地址访问该外网地址映射到的某台内网服务器的情况；具体请参考DNAT_LAN配置案例的相关章节。图5-16图5-17点击右上角的按钮，添加一条策略如下图：Ø源IP：发起连接的主机的IP地址，这里一般为内网地址。Ø目标IP：连接去往的主机的IP地址，这里一般为内网地址。Ø目标端口：访问服务器的端口。5.3.2DNAT配置DNAT即转发规则，可将某些对于设备的访问连接转发到设备LAN中的某台主机上面，一般用于实现对内网服务器的外部访问的转发；DNAT可隐藏服务器的实际IP地址从而实现对服务器在某种程度上的安全保护。5.3.2.1DNAT-WAN点击网络配置-NAT-DNAT-WAN可进入DNAT_WAN配置界面北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图5-18点击添加按钮即可添加一条DNAT_WAN规则图5-19ØWAN：指定做DNAT的WAN接口，如果选择全部，则将在所有的WAN接口做DNAT。Ø外部IP：用于提供服务的外网IP地址。Ø外部端口：用于提供服务的外部服务端口号，外部端口可以为一个端口号，或端口范围比如8080-9000，或二者的组合.为空则对所有外部端口生效。  例如：   8080  8080-9000   7000,8080-9000,80,1314,5070Ø内部IP：外部访问被转发到的内部服务器的内网IP地址。Ø内部端口：外部访问被转发到的内部服务器的服务端口号；内部端口可以为空或一个端口号（不能为多个端口号），为空则内部服务器使用和外部端口一一对应的内部端口号。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册Ø协议：访问连接所使用的网络传输协议。5.3.2.2DNAT-LAN点击网络配置-NAT-DNAT-LAN可进入DNAT_LAN配置界面图5-20点击添加按钮即可添加一条DNAT_LAN规则图5-21ØLAN：指定做DNAT的LAN接口，如果选择全部，则将在所有的LAN接口做DNAT。Ø外部IP：用于提供服务的外网IP地址，为空则对设备上所有的外部IP生效。Ø外部端口：用于提供服务的外部服务端口号，外部端口可以为一个端口号，或端口范围比如8080-9000，或二者的组合.为空则对所有外部端口生效。  例如：   8080  8080-9000   7000,8080-9000,80,1314,5070北京华夏创新科技有限公司235 LotApp应用交付系统操作手册Ø内部IP：访问被转发到的内部服务器的内网IP地址。Ø内部端口：访问被转发到的内部服务器的服务端口号；内部端口可以为空或一个端口号（不能为多个端口号），为空则内部服务器使用和外部端口一一对应的内部端口号。Ø协议：访问连接所使用的网络传输协议。5.3.2.3DNAT-模块点击网络配置-NAT-DNAT-模块可进入DNAT_模块配置界面图5-22Ø默认选项FTP（21）、TFTP、IRC、SIP和PPTP都是启用的，H323是不启用的。ØFTP：默认端口是21端口，如果有FTP服务器需要DNAT并且端口为非21的其它端口，请勾选此项并且添加对应的端口，多个端口用逗号（，）分隔。ØTFTP：默认端口是UDP69，如果有此服务需要做DNAT，请勾选此项。ØIRC：默认端口是TCP6667，如果有此服务需要做DNAT，请勾选此项。ØSIP：默认端口是5060，如果有此服务需要做DNAT，请勾选此项。ØH323：默认端口是1720，如果有此服务需要做DNAT，请勾选此项。ØPPTP：默认端口是1723，如果有此服务需要做DNAT，请勾选此项。5.3.3NAT免除配置NAT免除，即按实际网络配置的需求，在由指定的源主机访问指定的目标主机时不对其连接做网络地址转换。点击网络配置-NAT-NAT免除可进入NAT免除配置界面北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图5-23点击添加按钮即可添加一条NAT免除规则图5-24Ø源IP：指定不做网络地址转换的连接的源主机IP地址。Ø目标IP：指定不做网络地址转换的连接的目标主机IP地址。Ø协议：源IP与目标IP通讯时采用的网络协议。Ø源端口：源主机发起连接时所使用的端口号。Ø目标端口：目标主机接受连接时所使用的端口号。5.4防火墙设置防火墙可实现对某些指定连接的简单的访问控制，包括允许或者拒绝这些连接访问。防火墙默认处于开启状态，此时所有试图由外部网络访问内部网络的连接都将被拒绝，而由内部网络访问外部网络的连接都将被允许。通过添加防火墙规则，可为某些连接设定不同于默认规则的访问控制北京华夏创新科技有限公司235 LotApp应用交付系统操作手册一般在以下三种情况下需要配置防火墙规则：在配置服务器负载均衡时；在局域网中存在多个网段时，可以用防火墙做各个网段之间的访问控制；在做ARP代理时。5.4.1防火墙-规则点击网络配置-防火墙-规则可进入防火墙规则配置界面图5-25点击添加按钮即可添加一条防火墙规则图5-26Ø动作：通过或者拦截。Ø源IP：连接的来源地址，值为空时表示对所有IP生效。Ø目标IP：连接的目的地地址，值为空时表示对所有地址生效。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册Ø协议：连接所用的协议，默认为对所有协议生效。Ø源端口：连接的来源端口，值为空时表示对所有端口生效。Ø目标端口：连接的目的地端口，值为空时表示对所有端口生效。Ø防火墙的缺省规则为对外的访问全部通过，对内的访问全部拦截。5.4.2DDOS防御点击网络配置-防火墙-DDOS防御可进入DDOS防御配置界面图5-27ØSYNFlooding：这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽（CPU满负荷或内存不足）的攻击方式。图5-28nWAN：选择要防御SYNFlooding的wan接口。n速率：设定每秒（sec）或者每分钟（min）包的数量。n突发：最大包数量。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册n端口：过滤的端口号。n目标：过滤的目标地址/目标地址段。ØPingFlooding：利用ping命令向目标主机大量的ICMPEcho请求，从而导致对方内存分配错误，造成TCP/IP堆栈崩溃，致使对方宕机。图5-29nWAN：选择要防御PingFlooding的wan接口。n速率：设定每秒（sec）或者每分钟（min）包的数量。n突发：最大包数量。n目标：过滤的目标地址/目标地址段。ØARP欺骗：ARP欺骗分为对路由器ARP表的欺骗和对内网PC的网关欺骗，ARP欺骗攻击的后果非常严重，大多数情况下会造成大面积掉线。ØIP欺骗：IP欺骗是基于远程过程调用RPC的命令，其实质是仅仅根据信任源IP地址进行用户身份确认，以便允许或拒绝用户RPC。ØSmurf：Smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包，来淹没受害主机，最终导致该网络的所有主机都对此ICMP应答请求做出答复，导致网络阻塞。ØFraggle：Fraggle攻击对Smurf攻击作了简单的修改，使用的是UDP应答消息而非ICMP。ØICMPredirect：ICMP重定向报文是当主机采用非最优路由发送数据报时，路由器会发回ICMP重定向报文来通知主机最优路由的存在，利用这一特点进行ICMPredirect攻击可以达到类似ARP欺骗或者拒绝服务（Dos）攻击的效果。ØICMPFragment：ICMP碎片攻击是如果攻击者有意发送总长度超过65535的ICMP碎片，一些老的系统内核在处理的时候就会出现问题，导致崩溃或者拒绝服务。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册5.4.3其他选项图5-30Ø默认情况下，WAN接口对Ping请求不回应；可通过勾选允许WAN接口被Ping使WAN口回应Ping请求。一般在调试网络故障时可打开该项。ØIP转发默认为开启状态。5.5静态路由表配置点击网络配置-静态路由表，可进入静态路由表配置界面5.5.1基于目标地址的静态路由点击网络配置-静态路由表-目标路由可进入目标路由的配置界面图5-31点击添加按钮即可添加一条基于目标地址的静态路由规则北京华夏创新科技有限公司235 LotApp应用交付系统操作手册5.5.1.1经由-网关图5-32Ø别名：该规则的名称。Ø目的地IP段：目的地IP段。Ø经由：可以是网关或接口。Ø网关：即由设备去往指定目的地IP段的下一跳网关。Ø跳数：从设备到指定目的地址的网络路径中的路由器个数。5.5.1.2经由-接口图5-33Ø别名：该规则的名称。Ø目的地IP段：目的地IP段。Ø经由：可以为网关或接口。Ø接口：即去往指定目的地IP段所走的物网络接口。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册5.5.2基于源地址的静态路由点击网络配置-静态路由表-源路由可进入源路由的配置界面。基于源地址的静态路由即指定LAN中的主机在访问（指定的）外部网络时走指定的WAN接口或网关，如设备上配有两个或两个以上的WAN接口时，可以通过配置基于源地址的静态路由来指定LAN端的IP或IP段走某个特定的WAN接口。图5-34点击添加按钮即可添加一条基于源地址的静态路由规则图5-35Ø别名：该条规则的名称。ØLANIP：即设备LAN端的IP和子网掩码。ØWAN：指定LANIP走的WAN接口。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册5.6ARPARP代理主要用于LAN中存在某些使用公网IP地址的主机或服务器的情况；ARP代理另一个主要的用途是与静态目标路由配合，配置DNAT的外部IP可以不是wan口IP，具体见后面的配置事例。5.6.1ARP代理点击网络配置-ARP-ARP代理可进入ARP代理配置界面。图5-36Ø该界面会显示所有已配置的LAN/WAN接口。Ø勾选启用即可启用该接口的ARP代理功能。5.6.2静态ARP映射点击网络配置-ARP-静态ARP映射进入配置界面北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图5-37静态ARP映射即MAC地址绑定，通过该功能实现IP与MAC地址绑定，从而可以实现对内部网络地址分配以及内部主机网络连接的精确控制。图5-38Ø静态ARP映射：勾选即可启用该接口的静态ARP映射功能。Ø应用到DHCP:启用该功能，则在DHCP分配时，对指定的MAC地址将按照指定的IP地址进行分配。Ø允许修改IP地址：启用该功能，则已绑定的主机在将IP地址修改为非绑定IP时依然可以正常访问网络；不启用该功能，则已绑定的主机在将IP地址修改为非绑定IP之后将不能正常访问网络。Ø允许访问Internet:不启用该功能，则未绑定主机将不能正常访问网络。图5-39北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图5-40点击添加按钮即可添加一条IP地址与MAC地址的绑定规则，目前有手动输入与自动扫描两种添加方式，一般两种方式配合使用。在自动扫描模式对需要绑定的IP进行勾选后即可绑定，绑定结果会在MAC地址列表中体现。另外可使用搜索栏对绑定结果进行搜索，并且可以对其进行删除与解除绑定的操作。5.7智能DNS多链路负载均衡解决的是流出流量的负载均衡，而智能DNS可以解决流入流量的负载均衡，采用智能DNS均衡算法实现企业入站流量在不同ISP链路上的流量均衡。5.7.1智能DNS-WAN点击网络配置-智能DNS-WAN可进入智能DNS_WAN配置界面图5-41Ø如下图所示，点击添加按钮，添加一条DNS解析的地址，此地址须为wan接口的某个公网IP地址。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图5-42Ø点击下图所示的全局设置添加按钮，添加一个区，比如test.com，相当于添加一个域名。图5-43图5-44Ø选中test.com，点击右边的按钮，添加一条记录：北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图5-45Ø名字：具体指向某个或某些服务器的域名，如mail.test.com。Ø类型：A（Address）类型指的是用来指定主机名(或域名)对应的IP地址。Ø值：其中一条链路WAN接口的IP地址。Ø权重：外部使用同一域名访问多台相同服务器时的访问比例。5.7.2智能DNS-LAN点击网络配置-智能DNS-LAN可进入智能DNS_LAN配置界面图5-46点击添加按钮，添加一条规则：北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图5-47Ø域名：解析的域名，和要解析的IP地址相对应，比如test.com对应192.168.1.5，那么访问域名tets.com和访问地址192.168.1.5的效果是相同的。ØIP地址：域名对应的IP地址。5.8VPN配置5.8.1配置VPN服务器1.启用VPN功能：在“系统管理”的“系统设定”中，勾选“VPN启用”，保存后即开启VPN功能。图5-482.点击“网络配置”的“VPN服务器”，可以配置VPN服务器的基本参数。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图5-49Ø启用：勾选后设备作为VPN服务器。Ø监听的地址：监听设备WAN口的地址，可监听所有WAN口地址，也可只监听指定的WAN口地址。Ø监听的端口：VPN客户端与VPN服务器通讯用2194端口，可以手动指定。Ø协议：VPN客户端与VPN服务器通讯所采用的协议。Ø允许客户端之间彼此访问：使连接同一台服务器的各个VPN客户端之间可以互相访问。Ø链接检测间隔：指定链接状态检测的时间间隔，默认为5秒。Ø重新连接超时：若设备超过指定时长未检测到连接数据则重新建立连接，默认为15秒。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册ØMTU：最大传输单元。Ø客户端地址池：VPN服务器从该地址池中给客户端分配地址，默认为10.8.0.0网段，可根据实际网络配置更改为其它网段。Ø客户端LAN网段：指VPN隧道保护的远端VPN网关的子网IP地址。Ø客户端路由：指VPN隧道保护的本地子网IP地址和远端子网地址。1.点击“用户管理”按钮，打开“用户管理”页面如下图所示：图5-502.点击页面右边的，打开添加VPN用户页面如下图所示：图5-51ØID：设定VPN用户的账号名。Ø密码：设定VPN用户的密码。Ø确认密码：再次输入密码。Ø姓名：VPN客户端用户的名称。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册Ø电话：VPN客户端用户的联系电话。Ø部门：VPN客户端用户的工作部门。1.点击，可以修改VPN用户密码和基本信息，“编辑VPN用户”页面如下图所示：图5-522.点击，可以打开“客户端配置”页面，如下图所示：北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图5-53ØVPN固定IP：给VPN客户端指定固定IP地址和VPN服务器端IP地址，如果不指定，VPN服务器会自动分配一个IP地址给VPN客户端。ØVPN内部路由：VPN隧道远端的子网地址。Ø客户端路由：VPN隧道远端的部分子网地址。1.点击“状态”，打开VPN状态页面，如下图所示：北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图5-54Ø接口：VPN采用的虚拟接口。ØMTU：最大传输单元。Ø链路MTU：数据在UDPtunnel传输模式中的传输大小。Ø服务器IP：VPN服务器的tun0口地址。5.8.2配置VPN客户端1.点击“网络配置”里的“VPN客户端”，打开“VPN客户端”页面如下图所示：图5-55VPN客户端分为三种状态，已关闭；未连接和显示IP地址：Ø已关闭：管理员手动关闭了VPN隧道。Ø未连接：由于网络问题或者账号和密码有误导致无法建立VPN隧道。Ø显示IP地址：已建立VPN隧道，VPN服务器分配的IP地址。2.点击，打开“添加VPN客户端”页面，如下图所示：北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图5-56Ø启用：启用或禁用VPN客户端。Ø名字：VPN连接名称。Ø服务器IP和端口：VPN服务器监听的地址和端口号。Ø备用服务器：备用的VPN服务器地址和端口号。Ø协议：VPN客户端与VPN服务器通讯采用的协议。ØMTU：最大传输单元。Ø用户名：VPN客户端的账号。Ø密码：VPN客户端的密码。5.8.3配置LotAccess5.8.3.1LotAccess的安装本章主要介绍VPN远程客户端在Windows平台下的安装和配置，以及卸载等相关操作。在Windows不同版本的操作系统下安装LotAccess的操作基本相同，具体步骤如下。1.双击运行setup.exe可执行文件，出现如下对话框。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图5-571.点击“下一步”按钮，系统提示用户选择安装路径，建议使用默认路径。如下图所示：图5-58北京华夏创新科技有限公司235 LotApp应用交付系统操作手册1.点击“下一步”按钮，选择程序的快捷方式安放路径，建议使用默认设置，如下图所示：图5-592.点击“下一步”按钮，选择是否创建桌面图标，如下图所示：北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图5-601.点击“下一步”按钮，进入安装信息确认界面，如下图所示：图5-612.确认安装信息无误点击“安装”按钮，进入自动安装，在安装过程中弹出如下对话框，请点击“仍然继续”。图5-62北京华夏创新科技有限公司235 LotApp应用交付系统操作手册点击“完成”按钮，LotAccess安装完成，如下图所示：图5-635.8.3.2LotAccess建立VPN连接1.安装完成后，在桌面中将出现LotAccess快捷图标，用户可以双击桌面快捷方式启动LotAccess，也可以通过开设菜单中的程序项启动LotAccess。如下图所示：北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图5-641.第一次启动时会出弹出“在连接到LotAccess服务器前，您需要设置连接策略”对话框，点击“确定”按钮进入策略设置，用户手动填入VPN服务器的VPN地址和端口号，并选择采用TCP还是UDP协议进行连接，完成后点击“确定”按钮，如下图所示：图5-652.用户输入管理员提供的VPN账号和密码，点击“连接”，LotAccess提示正在连接：图5-66北京华夏创新科技有限公司235 LotApp应用交付系统操作手册1.成功连接后，LotAccess显示已连接：图5-675.8.3.3LotAccess的卸载1.点击开始-所有程序-LotAccess-卸载LotAccess可调起LotAccess卸载程序进行卸载或也可使用系统提供的“添加/删除程序”功能对其进行卸载。图5-682.确认需要删除LotAccess后，点击“是”按钮完成卸载操作，并重新启动计算机即可完成卸载。5.9高可靠性设置通过完成基于VRRP协议的一系列配置信息可实现设备的高可靠性保障，VRRP协议是虚拟路由冗余协议，即通过多台路由器组成一个路由器集群，对外表现为一个独立的虚拟路由器，在任一时间点上，集群中只有一台实际的路由设备工作在主路由设备的状态来处理网络数据，其余路由设备则工作在备用路由设备状态；当主路由设备出现故障而不能继续正常工作时，集群通过某种机制选出一台备用设备来作为新的主路由设备，这样就可避免因为一台设备的故障而造成整个网络链接的中断北京华夏创新科技有限公司235 LotApp应用交付系统操作手册。两个或多个路由器建立起一个动态的虚拟集合，每一个路由器都可以参与处理数据，但对于终端用户这些是透明的。点击网络配置-高可靠性设置可进入高可靠性设置界面。图5-695.8.1VRRP实例配置如上图所示，设备中已配置为LAN或WAN接口的物理或桥接接口会出现在配置列表中，点击接口后面的编辑按钮对基于该接口的VRRP实例进行配置，也可以点击删除按钮清除该接口已配置的VPPR实例。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图5-70Ø接口名称：该实例包含的网络接口名称。Ø虚拟路由ID：虚拟路由ID用于确定一个虚拟的路由器，属于同一虚拟路由器的VRRP实例其虚拟路由ID须一致。Ø状态：VRRP实例开始运行时的初始化状态，实际运行中的VRRP实例的状态是由其优先级决定的；同一虚拟路由所包含的各个VRRP实例中，优先级最高者将工作在主要状态，其余皆工作备份状态。Ø优先级：优先级用于确定该VRRP实例在实际工作中的运行状态。5.8.2VRRP组配置点击VRRP组配置添加按钮即可添加一个VRRP组图5-71Ø组名：该VRRP组的名称。Ø包括：该组包括的VRRP实例。Ø一个VRRP组里面可以包含多个VRRP实例，属于同一个VRRP组的VRRP实例的状态在任何时候都将保持一致。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册第六章、WAN加速与优化配置6.1加速引擎配置只有在为加速引擎配置了加速接口之后，该加速引擎才可以启用加速、流量整形、主机带宽均分、优先级带宽管理、P2P控制和链路负载均衡等功能；也只有在为加速引擎配置了加速接口后，才能查看对应于该加速引擎的流量报表。不同型号的设备，预置的加速引擎数目不同。点击加速与优化-网络接口进入引擎配置界面；图6-1点击按钮，即可修改加速引擎要加速的网络接口。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图6-2Ø【可用】窗口中列出了所有当前加速引擎可用的物理接口和网桥接口；Ø【已用】窗口中列出了所有已配置为或将要配置为当前引擎加速接口的物理接口或网桥接口；Ø一个引擎可以配置一个或多个加速接口；Ø将一个透明网桥所包含的一个或多个物理接口从【可用】添加到【已用】，此引擎就可以工作在透明模式下，加速的物理接口就是此网桥的WAN口；Ø可修改引擎的别名以便于区分和标记不同的引擎；6.2策略定义策略定义，是指通过定义不同的策略，策略组以及视图来实现预期的QoS管理方案。6.2.1定义策略策略是最基本的设置集合单元，通过设置策略用户可完成“筛选出某一类数据流并为其添加相应的管理策略”的事务；点击WAN加速与优化-策略定义-策略可进入策略配置界面，在此界面可根据本地IP（IP段）、远程IP（IP段）、本地端口、远程端口、协议、DSCP值等项对网络数据流进行筛选，并为其添加相应的管理策略；北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图6-31.名称北京华夏创新科技有限公司235 LotApp应用交付系统操作手册该条策略的名称图6-41.过滤条件包括本地IP（IP段）、远程IP(IP段)、本地端口、远程端口、协议、DSCP等类型；同一类型的过滤条件之间为“或”的关系，不同类型的过滤条件之间为“与”的关系。l以IP地址（本地IP和远程IP）为过滤条件时，可以通过IP地址和掩码的配合来设定，如192.168.1.0/24即是将过滤条件设定为192.168.1.x整个网段；如果过滤条件为单个的IP地址，则将掩码设置为32，如192.168.1.100/32；掩码值为空时当做32处理；图6-5l也可通过直接划定IP地址段来设定IP地址过滤条件；北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图6-6l以端口（本地端口和远程端口）过滤条件时，通过输入端口范围来设定；如1000->1024；如果过滤条件为单个端口，则将端口范围的开始值和结束值设为相同值即可，如21->21，或者只填入开始值，如21；图6-7l以协议为过滤条件时，可以通过选中下拉框中包含的协议（11种常见协议）完成，也可手动输入协议对应的协议值完成；北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图6-8l以DSCP为过滤条件时，输入DSCP范围的开始值和结束值即可；图6-92.优先级北京华夏创新科技有限公司235 LotApp应用交付系统操作手册设定通过过滤条件筛选出的数据流的优先级；不同的优先级对应着不同的的带宽资源使用上的优先权和管理方案；系统对网络数据流共分了0到7八个级别，其中P2P的数据流默认设定为优先级0，VoIP的数据流默认设定为优先级7；当某些数据流同时匹配多条策略，且每条策略所设置的优先级不相同时，则取最高的优先级设定；图6-101.动作为过滤条件筛选出的数据流标记不同的执行动作，包括丢弃、直通、关闭主机带宽均分、TCP加速、数据压缩、VOIP优先、DSCP标记；当某些数据流同时匹配多条策略，且每条策略的动作设定不尽相同时，则按各个动作的优先级高低取舍；其中，丢弃优先级最高，直通次之，其余动作优先级相同；相同优先级的动作之间可以累加；图6-11北京华夏创新科技有限公司235 LotApp应用交付系统操作手册l丢弃标记为丢弃的数据流将被丢弃；在动作里丢弃的级别最高，即当某个数据包匹配了多条策略但每条策略采取的动作不尽相同时，如果有一条策略设置的动作为丢弃，那么所有匹配的数据流将会被丢弃；l直通标记为直通的数据流将不受任何限制的直接流过设备（对于数据包来说就相当于设备不存在），设备对此数据包只做转发，不做其它任何处理；l关闭主机带宽均分符合过滤条件的数据量将被标记上关闭主机带宽均分；该选项主要用于当处于设备LAN中的某些主机不需要设备对其做带宽均分的操作（设备的主机带宽均分是默认开启的）的情况，如服务器群，或网络内部还有嵌套的NAT等；关闭主机带宽均分和主机带宽均分一样，都是在其所处的优先级内工作；lTCP加速符合过滤条件的TCP数据流将被加速；l数据压缩符合过滤条件的数据流将被压缩（数据压缩功能需要双边支持）；lVoIP优先符合过滤条件的数据流将被标记上VoIP优先；lDSCP标记符合过滤条件的数据流的DSCP值将被修改为策略中设定的DSCP值。2.排除的动作北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图6-12符合过滤条件的数据流将不会被执行这里被勾选的动作；对于符合过滤条件的数据流来说这里的设定是全局性的，即当数据流匹配上多条策略时，如果一条策略中勾选了排除的动作中的TCP加速，那么即使在其它的策略的动作中勾选了TCP加速数据流也将不会被加速；1.每台主机连接数限制图6-13LAN中的匹配该策略的每台主机上允许建立的最大TCP加速连接数，TCP连接数以及UDP连接数。如果策略中设定了该项，则设备LAN中每台主机上面匹配该策略的数据流的连接数将不再受系统全局连接数（带宽均分）的设定的限制；但是不匹配该策略的数据流的连接数则依然受到系统全局连接数的限制；例如过滤条件使用本地IP=192.168.0.100，则192.168.0.100这条主机上面的连接数将以策略中的设定为准，而其它主机的链接（如无其它策略设定的话）将依然收到系统全局连接数设定的限制；再如，过滤条件为远程IP=123.123.123.123，则LAN中每台主机上面访问123.123.123.123的数据连接数将以该策略的设定为准，而访问其它远程IP的数据连接数将依然收到系统全局连接数设定的限制；如果数据流同时匹配上多个策略则以多个策略当中最大设定值为准；2.带宽控制北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图6-14l带宽控制可以在8个按照主优先级来划分的带宽管理的基础上提供更多的带宽管理方案；此处需要设定三项：保证优先级、最小带宽和最大带宽；保证优先级（默认为优先级6）须高于策略所在的主优先级（使匹配该策略的数据包可以动态的跃居于保证优先级上面从而得到更大的使用带宽的优先权）；最小带宽为保证带宽，匹配该策略的数据流将被保证即使在网络繁忙的情况下也能够使用到不少于最小带宽的设定值的带宽资源；最大带宽为限制带宽，匹配该策略的数据流将不会使用到大于最大带宽的带宽资源；1.生效时间北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图6-15指定该条策略的生效时间；生效时间可以是所有时间，一天的某个时间段，或者每周的某天的某个时间段。6.2.2定义策略组策略组用于将一些相互之间存在着某种关系的多个策略归类并进行统一的管理，如添加相同的动作等可以将一些相互之间存在着某种关系的策略归类并进行统一的管理，如添加相同的管理策略；用户通过将多个策略添加到同一个策略组来完成对策略的归类,点击WAN加速与优化-策略定义-策略组；北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图6-161.名称该策略组的名称图6-17北京华夏创新科技有限公司235 LotApp应用交付系统操作手册1.包含的策略将可用策略列表中已定义的策略添加到“已用”策略列表中；2.优先级为属于该策略组的所有策略设定统一的优先级，当策略组里的优先级跟策略原有的优先级不一致时，取两者中高的优先级；3.动作为属于该策略组的所有策略标记统一的动作，当策略组里的动作跟策略原有的动作有冲突时，丢弃级别最高，直通次之，其它动作则可累加；4.排除的动作为属于该策略组的所有策略添加统一的排除的动作；5.每台主机连接数限制为属于该策略组的所有策略添加统一的主机连接数设定，当策略组里的限制的连接数跟策略里限制的连接数冲突时，取最大值。如：在策略活动的TCP连接数为200，在策略组里活动的TCP连接数为300，则符合过滤条件的主机被限制的连接数为300.6.带宽控制l带宽控制可以在8个按照主优先级来划分的带宽管理的基础上提供更多的带宽管理方案；此处需要设定以下三项：保证优先级、最小带宽和最大带宽；保证优先级（默认为优先级6）须高于策略组所在的主优先级（使匹配该策略组的数据流可以动态的跃居于保证优先级上面从而得到更大的使用带宽的优先权）；最小带宽为保证带宽，匹配该策略组的数据流将被保证即使在网络繁忙的情况下也能够使用到不少于最小带宽的设定值的带宽资源；最大带宽为限制带宽，匹配该策略组的数据流将不会使用到大于最大带宽的带宽资源。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册多个策略和策略组所设置的最小带宽之和不应超过这些策略/策略组的保证优先级所在优先级的最大带宽。建议将策略中的带宽控制和策略组中的带宽控制分别独立使用，即若策略中已设定带宽控制则包含该策略的策略组不再设带宽控制，若策略组中设定了带宽控制则其所包含的策略中不再设带宽控制。注：1)优先级当策略组里的优先级跟策略里的优先级冲突取最大优先级2)动作策略组和策略里的动作丢弃级别最高，直通次之，其它动作则累加3)带宽控制Ø当策略组里的保证优先级跟策略里的保证优先级不同时，取较大的优先级；Ø当策略组里的最小带宽跟策略里的最小带宽不同时，取较大的带宽；Ø当策略组里的最大带宽跟策略里的最大带宽不同时，取较小的带宽。6.2.3定义视图点击WAN加速与优化-策略定义-视图可自定义视图，已定义的策略和策略组只有放到视图（Exact-Mapping类型）中并最终将视图放到加速与优化-包含的视图中，策略才会生效。视图有两种类型：Exact-Mapping类型、Loose-Mapping类型1.Exact-Mapping视图Exact-Mapping视图一个作用就是启用策略，另外还可以在报表选项里查看该视图中包含的策略中符合过滤条件的连接数、流量以及带宽等情况北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图6-18Ø类型选择视图类型，包括Exact-Mapping类型、Loose-Mapping类型Ø名称设置视图名称Ø包含的策略北京华夏创新科技有限公司235 LotApp应用交付系统操作手册该视图包含的策略，已定义的策略只有加入到视图中后才会生效Ø包含的策略组该视图包含的策略，已定义的策略组只有放在视图中才会生效Ø缺省设置缺省设置用于为那些流过设备但是不匹配视图所包含的任一策略的数据流添加相应的管理策略；n优先级设定缺省设置的优先级，默认为0n动作设定缺省设置将采用的动作，默认为无1.Loose-Mapping视图Loose-Mapping视图本身不包含管理策略，它主要根据五元组和DSCP，统计当前系统中流过的数据流；通过为Loose-Mapping视图设定相应的筛选项组合，可以在报表中得到不同的统计信息；例如创建一个使用本地IP作为筛选项的Loose-Mapping视图，则在该视图的报表中将显示当前流过设备的数据流分别来自于哪些本地IP，每个IP地址上的连接数，数据流量等等。图6-19Ø本地IP：按照不同的本地IP来区分和统计当前系统中的数据流北京华夏创新科技有限公司235 LotApp应用交付系统操作手册Ø远程IP：按照不同的远程IP来区分和统计当前系统中的数据流Ø协议：按照不同的协议（TCP或UDP）来区分和统计当前系统中的数据流ØDSCP：按照不同的DSCP值来区分和统计当前系统中的数据流Ø本地端口：按照不同的本地端口号来区分和统计当前系统中的数据流Ø远程端口：按照不同的远程端口号来区别和统计当前系统中的数据流注：定义好一个视图后必须放到“WAN加速与优化-加速与优化-策略定义-包含的视图-已用”中，该视图中包含的策略或策略组才会生效。6.3加速与优化（全局配置）只有在为加速引擎配置了加速接口后，菜单中才会有【加速与优化】项。在【加速与优化】中可对当前网络加速和网络优化功能做全局的配置，即这里的配置将决定设备会启用哪些功能以及针对这些功能的配置为何；这些功能其中包括加速、流量整形、主机带宽均分、带宽管理、VoIP优先、P2P控制等。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图6-201.3.1加速1.TCP加速对所有基于TCP协议的网络应用进行优化和加速；不对基于UDP协议的应用进行优化和加速；打开该功能可以最大限度的提高带宽使用率；2.数据压缩北京华夏创新科技有限公司235 LotApp应用交付系统操作手册可压缩所有基于TCP的数据传输；不对基于UDP的数据传输进行压缩；数据压缩需要双边部署，单边部署时压缩即使开启也不起作用，但不影响单边加速的效果；自动发现对端设备，并进行压缩、解压缩处理；数据压缩可以用更小的带宽传输更多的数据；3.数据缓存数据缓存可以极大的提升重复性TCP数据的传输速度，同时又能够极大的节省传输时所需的网络开销；4.高级上载加速高级上载加速会在Internet加速的基础上进一步提升网络上载的速度，此功能只是在实验环境下会有一定的效果，在实际环境中建议不适用，以免影响设备性能。5.高级下载加速高级下载加速会在Internet加速的基础上进一步提升网络下载的速度，此功能同样只是在实验环境下会有一定的效果，在实际环境中建议不适用，以免影响设备性能。6.3.2流量整形使网络数据流的传输更加的平滑，带来更好的网络体验；特别是在不对称的网络（上行带宽和下行带宽差别较大）中，流量整形可以很好的解决上行压死下行的问题。1.上行带宽上行带宽设置为链路的最大上行带宽（上载带宽）；上行带宽为该链路的实际最大上行带宽为准，具体值可咨询运营商并在设备上线后通过观察流量报表确定。1.北京华夏创新科技有限公司235 LotApp应用交付系统操作手册1.下行带宽下行带宽设置为链路的最大下行带宽（下载带宽）；下行带宽为该链路的实际最大下行带宽为准，具体值可咨询运营商并在设备上线后通过观察流量报表确定。2.在设置流量整形的上下行带宽时，如果设定值比实际的带宽小，则会浪费用户的带宽资源；而若设定值比实际的带宽大，则会对设备的网络优化，如加速，主机带宽均分以及带宽管理等功能带来负面影响，从而使实际的网络优化效果无法达到预期的优化效果；所以建议在配置上下行带宽时，能够经过一段时间的观察，得到准确的实际最大值，再进行配置。6.3.3主机带宽均分智能动态地根据内部网络实时上网机器数量，自动、平均分配网络带宽，有效抑制P2P等应用对网络带宽资源的过度占用，并保障带宽资源得到最大利用。1.每台主机加速的TCP连接数每台主机上面同一时间能够被加速的最大TCP连接数，默认为100；2.每台主机活动的TCP连接数每台主机上面同一时间允许活动的最大TCP连接数，默认为500；3.每台主机的UDP连接数每台主机上面同一时间允许存在的最大UDP连接数，默认为500；4.每台主机的UDP突发每台主机允许的UDP突发值，默认为12,000字节；6.3.4带宽管理Ø分别定义每个优先级的保证带宽和最大带宽；Ø默认优先级0将用于P2P流量，在控制P2P时，需要在优先级0上配置适当的带宽上限；北京华夏创新科技有限公司235 LotApp应用交付系统操作手册Ø优先级7将用于VoIP流量；ØP2P级别不可配置，始终处于最低的0级别，VoIP级别可在VoIP选项里设置；Ø带宽保证和带宽上限的设置值均为百分比，即占网络出口总带宽的百分比；设置值应为整数，非整数或其它数据值将被保存为默认值（带宽保证默认值为0，带宽上限默认值为100）；Ø带宽保证为该级别的保障带宽，保证属于该级别的数据流量即使是在网络繁忙的时候也能用到不少于带宽保证设定值的网络带宽资源；带宽保证设置为0即不保证该级别数据流量在网络繁忙时能够用到的网络带宽资源；注意所有优先级的带宽保证值之和不能超过100%；Ø带宽上限是该优先级所能使用网络带宽的最大值，属于该级别的数据流量在任何情况下都将使用不超过带宽上限的网络带宽；带宽上限设为100即该级别数据流量最大将可使用全部的网络出口带宽；6.3.5策略定义启用策略，将右边可用视图列表中的视图添加到左边已用视图列表中，属于该视图的策略开始生效；将视图从左边已用视图列表中移除则属于该视图的策略不再生效；6.3.6VOIP优先VoIP优先用于在很多应用同时使用网络的情况下保证好的VoIP通话质量。这里的VoIP只要是指Skype,MSN,YahooMessenger,QQ等即时通信工具的语音功能，而不是指专业的VoIP网关。打开该功能的时候如果同时打开流量整形将会进一步提升VoIP的优化效果；VoIP默认优先级别为最高级别7。6.3.7P2P控制基于行为模式的P2P识别与控制机制。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册当设备LAN中一台主机的连接数超过某个设定值（高阀值），则这台主机将被标记为P2P主机，进而所有从流出或流入该主机的数据流都将被设为优先级0的流量（从而使P2P流量得到抑制）；当已被标记的P2P主机上的连接数降低到某一设定值（低阀值）时，该主机即被取消P2P主机标记而回到正常状态。1.低阀值、高阀值当某台主机连接数高于设定的高阀值时，设备会认为该主机在使用P2P软件进行下载，从而把该主机的数据流动态的放到低优先级（0优先级），进而控制其下载速度；当该主机连接数降低到低阀值以下时，该主机即会重新返回到正常状态。2.应用到优先级P2P识别的操作是基于不同的优先级的，可以通过设置应用P2P识别操作的优先级来对不同的优先级做不同的管理策略；P2P控制机制可应用于第1至第7优先级。例：使用本地IP作为过滤条件将主机Test的优先级设置为优先级3；P2P控制应用于优先级1和优先级3；高阀值为200，低阀值为100；1)当主机Test的连接数小于200时，它始终在优先级3工作；而当Test的连接数超过200时，主机Test就将被标记为P2P主机并动态地放到p2p的级别（优先级0），以限制P2P对网络带宽资源的恶意消耗；2)当已经被标记为P2P主机的Test的连接数降到100以下时，它就会被消去P2P主机的标记并返回到原来设定的优先级3；3)如果将主机Test的优先级设为优先级2（或者其它非0，1和3的优先级），由于P2P控制并没有应用于该优先级，那么即使它上面的连接数超过了设定的高阀值200，也不会被标记为P2P主机。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册第七章、负载均衡7.1链路负载均衡当企业只有一条链路接入Internet时，单点故障往往会引起整个网络的瘫痪，并导致重要应用无法交付。为了确保网络传输不间断，采用多条广域网链路并与不同的网络服务提供商（ISP）连接得到普遍应用，这种连接方式称为多重链路网络架构。多重链路的架构提供了更可靠、效能更好的网络传输。在此架构下，一旦某一链路或路由器发生错误，网络仍能继续运作；另外，由于网络的总带宽来自于各条链路带宽的总和，因此效能更好。LotApp对多个ISP连接的可用性和性能进行实时监测，提高网络连接的容错能力，将流量导向最优的链接和ISP以提高服务质量和访问速度，通过多条低成本链路的聚合降低带宽成本，全面提高应用交付能力。Ø全面的链路监测及链路健康检查：实时监测每条链路是否已经出现故障，也可以看到每条链路的吞吐量和繁忙程度，甚至是每条链路上实时连接的内外网主机数量、流量排名等详细信息。Ø网络高可用性：实时监测整个链路中出现的错误，实现可靠的端到端WAN连接。当某一条链路的连接出现故障时，流量将被动态转移到其它可用链路上，从而保证网络的畅通。Ø流出流量负载均衡：对于流出流量进行智能的管理，实现多链路下的流出流量均衡，还可以按企业特定的策略选择出站链路，提高链路利用率，节约企业对通信链路的投资。Ø流入流量负载均衡：采用智能DNS均衡算法实现企业入站流量在不同ISP链路上的流量均衡。Ø链路负载均衡算法：采用包括策略路由、轮询、加权轮询、拥塞均衡、备份均衡等算法，充分满足用户差异化需求，最佳利用网络现有链路带宽资源，实现流入与流出（Inbound&Outbound）流量的多链路负载均衡，为用户建立最佳质量最佳服务的网络环境。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册7.1.1链路负载均衡配置只有在配置了两个或两个以上的加速引擎后，才可配置多链路负载均衡，点击负载均衡-多链路负载均衡-设置可进入多链路负载均衡配置界面。图7-1Ø网络服务提供商：当用户有两条或两条以上链路，且每条链路的网络服务提供商不相同时，可通过配置网络服务器运营商，使去往处于该服务运营商的网络中的服务器的数据连接由企业所租用的该运营商的链路流出。Ø均衡权重：即每条链路负载比例。Ø作为备用WAN：一般用于当企业有多个属于同一个运营商的外网出口的情况；此时可以将一个或多个出口设为备用WAN口，这样在非备用WAN口处于正常状态时，备用WAN口将不会有从内网去往租用该运营商服务的网站的数据流过；而当非备用WAN口掉线或者处于繁忙状态时，去往该运营网络的数据就会从备用WAN口流出。ØWAN拥堵阈值：即当该链路的负载超过该百分比，则认为该链路为忙碌状态。ØWAN拥堵监测间隔：检测WAN链路状态的时间间隔，即多长时间检测一次该链路的拥堵情况7.1.2ISP管理因为LotApp的智能ISP链路选择是通过判断内网用户所访问资源的IP地址所属的运营商来实现的，所以需要及时升级设备的ISP运营商信息。点击负载均衡-多链路负载均衡-ISP管理可进入ISP管理界面。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图7-2Ø默认路由：既缺省情况下所有流量都走这条链路。Ø点击添加ISP可自定义ISP。图7-3Ø名字：自定义ISP名称，如test。ØIP网段：自定义该ISP所包含的IP网络段。Ø自定义的ISP会出现在ISP管理界面和多链路负载均衡界面。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册Ø点击ISP管理界面里的升级选项，可进入升级界面。图7-4选择升级，设备即会自动访问升级网站，并自动升级系统预定义的ISP列表。7.2服务器负载均衡随着企业应用服务器访问量的快速增长，服务器的CPU、内存、I/O处理能力都受到严重的挑战，通过提高单台服务器的性能无法从根本上解决应用访问量快速增长的问题。LotApp采用了智能服务器负载均衡技术，支持多种负载均衡算法，动态监测服务器的性能和健康状态，并将网络请求分发给不同的服务器，这样可以大大提高服务的并发处理能力，减少用户等待时间，提高服务质量；同时采用多台服务器，也避免了因为单台服务器故障造成的服务中断，大大提高了服务的可靠性。这样，就可以大大提高核心应用的交付能力。Ø全面的服务监测及服务健康检查：具备丰富的服务健康检查机制，能够对服务器进行实时的深度健康检查，保证数据流量会自动绕过故障服务器或不可用服务器，避免业务访问中断，提高了用户体验，保障了业务的连续性。Ø可伸缩性：先进的负载均衡能力和全面的状态监控可无缝地添加更多服务器并对流量进行管理。Ø北京华夏创新科技有限公司235 LotApp应用交付系统操作手册服务器负载均衡：实现动态分配每一个应用请求到后台的服务器，并及时按需动态检查各个服务器的状态，根据预设的调度算法将请求分配给最有效率的服务器，使每台服务器的处理能力都能得到充分的发挥，扩展应用系统的整体处理能力、可靠性和可用性，降低IT投资。Ø丰富的负载均衡算法：LotApp采用10多种快速高效的智能负载均衡算法，包括轮循、加权轮循、最小连接、加权最小连接、最短响应时间等。7.2.1服务器负载均衡配置点击负载均衡-服务器负载均衡进入服务器负载均衡配置界面。图7-57.2.1.1虚拟服务器配置进入服务器负载均衡界面，点击按钮添加虚拟服务器。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图7-67.2.1.1.1网络地址转换方式（NAT）此种方式服务器的出/入流量都会经过设备，对出/入流量均可做到负载均衡。如下图，将包转发策略选择为网络地址转换（NAT），配置NAT模式下的服务器负载均衡。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图7-7配置选项说明：Ø名称：该服务器组的名称。Ø虚拟服务器IP：当WAN接口有多个IP时，可以指定哪个IP为访问内网服务器的IP，0.0.0.0代表所有WAN接口IP。Ø端口：真实服务器服务端口。ØFTP服务：当内网服务为FTP服务时，需勾选为FTP服务。Ø虚拟服务器组：同一个组内的不同的服务，在会话保持的时候将被看作相同的服务。Ø故障通告服务器IP：当所有真实服务器出故障不能再响应服务请求的时候，故障通过服务器将作为备份服务器启用。Ø故障通告服务器端口：故障通告服务器服务端口。Ø协议：设备与真实服务器之间的通信协议。Ø检查间隔：检查真实服务器故障的时间间隔。Ø调度算法：服务器负载均衡的在不同的实际服务器之间分配负载时所采用的算法。Ø包转发策略：分为网络地址转换（NAT）和直接路由（DR）。n网络地址转换（NAT）：设备需要串接在网络中，详见配置案例相关章节。n直接路由（DR）：设备采用旁路模式接入网络，详见配置案例相关章节。Ø会话保持时间：保证连接属性相同的会话由相同的真实服务器处理。Ø会话保持粒度：NAT/PROXY后面的用户，就算IP改变也可以保持会话不变。7.2.1.1.2直接路由方式（DR）直接路由方式中，设备采用旁路模式接入，只需更改服务器部分的配置，即可在对原有网络结构进行很小改动的情况下实现服务器的负载均衡；由于从服务器流出的流量不会经过设备，故DR模式下设备只能对流入内部服务器的网络流量做负载均衡。如下图将包转发策略选择直接路由（DR），配置DR模式下的服务器负载均衡。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图7-8配置选项说明：Ø名称：该服务器组的名称。Ø虚拟服务器IP：当WAN接口有多个IP时，可以指定哪个IP为访问内网服务器的IP，默认0.0.0.0代表所有WAN接口IP，但是DR模式下不能填0.0.0.0，要具体指定虚拟服务器的IP，虚拟服务器的IP可以是wan口虚拟IP，也可以是wan口的实IP，但是这个实IP不能是第一个IP。Ø端口：真实服务器服务端口。ØFTP服务：当内网服务为FTP服务时，需勾选为FTP服务。Ø虚拟服务器组：同一个组内的不同的服务，在会话保持的时候将被看作相同的服务，DR模式下配置FTP服务时，此项不要勾选。Ø故障通告服务器IP：当所有真实服务器出故障不能再响应服务请求的时候故障通过服务器将作为备份服务器启用。Ø故障通告服务器端口：故障通告服务器服务端口。Ø协议：设备与真实服务器之间的通信协议。Ø检查间隔：检查真实服务器故障的时间间隔。Ø调度算法：服务器负载均衡的北京华夏创新科技有限公司235 LotApp应用交付系统操作手册在不同的实际服务器之间分配负载时所采用的算法。Ø包转发策略：分为网络地址转换（NAT）和直接路由（DR）。n网络地址转换（NAT）：设备需要串接在网络中，详见配置案例相关章节。n直接路由（DR）：设备采用旁路模式接入网络，详见配置案例相关章节。Ø会话保持时间：保证相同的会话由相同的真实服务器处理，DR模式下配置FTP服务时，此项不能为空，要定义具体的会话保持时间。Ø会话保持粒度：NAT/PROXY后面的用户，就算IP改变也可以保持会话不变。7.2.1.2真实服务器配置点击右边真实服务器的按钮，进入真实服务器的配置界面。图7-97.2.1.2.1TCPCHECK此检测方式是按照TCP协议的端口来检查服务是否处于可用状态，同时也是应用最广泛的一种检测方式。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图7-10ØIP地址：真实服务器的IP地址。Ø端口：真实服务器上提供服务的端口。Ø权重：真实服务器之间的访问比例，默认值为1。Ø状态检查方式：TCPCHECK。Ø检查端口：按照上面的检测方式来检查的端口号。Ø检查超时：检查服务状态的超时时间，默认为5秒。7.2.1.2.2HTTPGET此种检测方式是按照web界面的文本信息的变化来检查服务是否处于可用状态，同时检查指定的HTTP协议的端口。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图7-11ØIP地址：真实服务器的IP地址。Ø端口：真实服务器上提供服务的端口。Ø权重：真实服务器之间的访问比例，默认值为1。Ø状态检查方式：HTTPGET。Ø检查端口：按照上面的检测方式来检查的端口号。Ø检查超时：检查服务状态的超时时间，默认为5秒。ØURL：要进行状态检测的web界面的URL地址。Ø加密摘要：系统根据URL检测web界面的文本后自动生成的MD5值，当页面文本出现增删改的情况，服务将被判断为不可用状态。Ø重试：当服务不可用时，系统重新检测的次数，默认为3次。Ø重试间隔：每次重新检测的时间间隔，默认为3秒。7.2.1.2.3HTTPSGET此种检测方式和HTTPGET状态检测方式的工作原理基本相同，区别在于此种方式所应用的协议是HTTPS。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图7-12ØIP地址：真实服务器的IP地址。Ø端口：真实服务器上提供服务的端口。Ø权重：真实服务器之间的访问比例，默认值为1。Ø状态检查方式：HTTPSGET。Ø检查端口：按照上面的检测方式来检查的端口号。Ø检查超时：检查服务状态的超时时间，默认为5秒。ØURL：要进行状态检测的web界面的URL地址。Ø加密摘要：系统根据URL检测web界面的文本后自动生成的MD5值，当页面文本出现增删改的情况，服务将被判断为不可用状态。Ø重试：当服务不可用时，系统重新检测的次数，默认为3次。Ø重试间隔：每次重新检测的时间间隔，默认为3秒。7.2.1.2.4MISC用户自定义的状态检测方式配置用于用户可以在真实服务器上检查服务状态的脚本，设备通过远程调用该脚本来检测服务的运行情况。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图7-13ØIP地址：真实服务器的IP地址。Ø端口：真实服务器上提供服务的端口。Ø权重：真实服务器之间的访问比例，默认值为1。Ø状态检测方式：MISC。Ø远程脚本路径：用来检测真实服务器上的服务是否正常运行的脚本路径，设备会通过路径自动调用脚本。Ø用户：设备通过ssh方式登录到服务器的用户名。Ø下载RSA公钥：将此公钥下载下来，并将公钥内容追加到真实服务器上，设备通过ssh登录真实服务器时将不再需要密码而是直接就可登录。7.2.2服务器负载均衡调度算法LotAPP在内核中的负载均衡调度是以连接为粒度的。在HTTP协议（非持久）中，每个对象从WEB服务器上获取都需要建立一个TCP连接，同一用户的不同请求可能会被调度到不同的服务器上，所以这种细粒度的调度在一定程度上可以避免单个用户访问的突发性引起服务器间的负载不平衡。在LotAPP的连接调度算法上，包括下列的调度算法：7.2.2.1轮循调度（rr）轮循调度（RoundRobinScheduling）算法就是以轮循的方式依次将请求调度不同的服务器。该算法相对简单，不适用于服务器组中处理性能不一的情况，而且当请求服务时间变化比较大时，轮循调度算法容易导致服务器间的负载不平衡。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册轮循调度无需记录当前所有连接的状态，所以它是一种无状态调度。7.2.2.2.加权轮循调度（wrr）加权轮循调度（WeightedRound-RobinScheduling）算法可以解决服务器间性能不一的情况，它用相应的权值表示服务器的处理性能，服务器的缺省权值为1。权值高的服务器先收到的连接，并且权值高的服务器比权值低的服务器处理更多的连接，相同权值的服务器处理相同数目的连接数。加权轮循调度也无需记录当前所有连接的状态，所以它也是一种无状态调度。7.2.2.3.最小连接调度（lc）最小连接调度（Least-ConnectionScheduling）算法是把新的连接请求分配到当前连接数最小的服务器。最小连接调度是一种动态调度算法，它通过服务器当前所活跃的连接数来估计服务器的负载情况。7.2.2.4.加权最小连接调度（wlc）加权最小连接调度（WeightedLeast-ConnectionScheduling）算法是最小连接调度的超集，各个服务器用相应的权值表示其处理性能。加权最小连接调度在调度新连接时尽可能使服务器的已建立连接数和其权值成比例。7.2.2.5.基于地址的最小连接数调度（LBLC）基于地址的最小连接数调度（Locality-BasedLeastConnectionsScheduling，简称为LBLC）算法是针对请求报文的目标IP地址的负载均衡调度，目前主要用于Cache集群系统.7.2.2.6.基于地址的带重复最小连接数调度（LBLCR）基于地址的带重复最小连接数调度（Locality-BasedLeastConnectionswithReplicationScheduling，简称为LBLCR）算法也是针对目标IP地址的负载均衡，目前主要用于Cache集群系统。它与LBLC算法的不同之处是它要维护从一个目标IP地址到一组服务器的映射，而LBLC算法维护从一个目标IP地址到一台服务器的映射。7.2.2.7.目标地址哈希调度（dh）目标地址哈希调度（DestinationHashingScheduling）算法也是针对目标IP地址的负载均衡，但它是一种静态映射算法，通过一个哈希（Hash）函数将一个目标IP地址映射到一台服务器。7.2.2.8.源地址哈希调度（sh）源地址哈希调度（SourceHashingScheduling）算法正好与目标地址哈希调度算法相反，它是针对源IP地址的负载均衡，也是一种静态映射算法，通过一个哈希（Hash）函数将一个源IP地址映射到一台服务器。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册7.2.2.9.最短期望延迟（sed）最短期望延迟调度算法是基于wlc算法的。举个例子：ABC三台机器分别权重123，连接数也分别是123。那么如果使用WLC算法的话一个新请求进入时它可能会分给ABC中的任意一个。使用sed算法后会进行这样一个运算：A:(1+1)/1B：(1+2)/2C(1+3)/3根据运算结果把连接分给C。7.2.2.8.无需队列等待（nq）无需队列等待调度算法是当有一台空闲服务器处于可用状态时，连接会分配给该空闲服务器，而不是处理速度快的服务器；当没有空闲服务器可用时，连接会按照最短期望延迟来分配连接给服务器。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册第八章、报表报表用于查看流过设备的实时网络数据的具体信息，包括IP地址，端口，协议，流量及速度等；报表是基于加速引擎的，即每个加速引擎的报表是独立的，如果某个加速引擎没有被启用的话，不会显示与之有关的报表信息；报表提供了以下多种查看和显示方式；1.全局状态报表；2.系统状态报表；3.链路状态报表；4.基于所有优先级的流量报表；5.基于配置策略的流量报表；6.P2P主机的流量报表；7.以数据表、曲线图、堆叠面积图等多种方式显示；8.实时流量分析刷新时间间隔可低至2秒；9.可根据带宽大小、带宽百分比、总字节数、总包数、连接数等生成流量报表；10.可根据源IP地址、目的IP地址、源端口、目的端口、协议等生成流量报表；11.可按照带宽大小、带宽百分比、总字节数、总包数、连接数等对报表进行排序；12.可显示占用带宽最大的100台内部主机；13.可显示占用带宽最大的100台外部主机；14.可显示内部任何一台主机的所有外部连接情况，包括远程IP地址、本地端口、远程端口、连接数、流入字节数、流出字节数、下行流速、上行流速等；北京华夏创新科技有限公司235 LotApp应用交付系统操作手册1.可显示所有从内部到外部一台主机的连接情况，包括远程IP地址、本地端口、远程端口、连接数、流入字节数、流出字节数、下行流速、上行流速等。8.1系统状态报表在概况-系统状态里可以查看当前设备使用中的所有链路（基于加速引擎）以及每条链路上的已加速TCP连接数、活动的TCP连接数、UDP连接数、已压缩的连接数、本地主机数、本地P2P主机数、远程主机数、实时流入带宽、实时流出带宽和实时总计带宽；图8-18.2优先级报表在【报表】中选择【按优先级】即可分别查看0—7八个级别的连接数、总流量以及带宽使用情况，并可分别以数据表，堆叠面积图，曲线图三种方式来显示；报表实时信息刷新的时间间隔可选2s-10s，或者选择停止使显示结果不再刷新；北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图8-2图8-3北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图8-4北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图8-5图8-68.3策略报表在策略报表里，可按照基于视图的方式查看实时流量数据，也可在基于视图的基础上更细化的查看基于策略组或策略的实时流量数据；在策略报表中，默认显示的是HostView的视图产生的报表；该视图为系统预置视图，用于统计和显示设备LAN中所有主机的相关信息；北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图8-7图8-8图8-9北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图8-10图8-11北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图8-128.4Loose-Mapping报表通过自定义Loose-Mapping类型的视图，可以很方便的在报表中查看以本地IP，远程IP，本地端口，远程端口，协议以及DSCP值为过滤条件所产生的网络流量信息；还可以通过对这6种条件进行不同的组合来产生更为细化的报表信息。图8-13北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图8-14图8-15图8-16北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图8-17图8-188.5P2P主机报表通过P2P报表可以很容易的发现本地有哪些P2P主机，P2P主机是根据6.3.7P2P控制中相关配置显示；图8-19北京华夏创新科技有限公司235 LotApp应用交付系统操作手册第九章、系统管理9.1系统设定点击系统管理-系统设定可进入系统设定界面，在该界面可设置设备的系统参数以及设定设备启用的功能模块。图9-1ØSSH端口：设备通过SSH客户端进行管理时的服务端口，缺省端口为22；ØWeb界面管理端口：设备通过WEB方式进行管理时的服务端口，缺省端口为80；Ø最大连接数：设置每个引擎所所支持的最大连接数，即通过该引擎最多可同时存在的连接数（不区分TCP和UDP）；北京华夏创新科技有限公司235 LotApp应用交付系统操作手册Ø旁路模式：是否启用Bypass功能模块；Ø系统失败：启用该功能模块，则当设备系统出现致命的问题时，能够将该致命问题的相关信息抓取出来，以便于更快的定位和解决问题；Ø数据缓存：设备系统是否启用数据缓存功能模块；Ø多链路负载均衡：设备系统是否启用多链路负载均衡功能模块；Ø服务器负载均衡：设备系统是否启用服务器负载均衡功能模块；Ø高可靠性设置：设备系统是否启用高可靠性功能模块；ØDNS：设备系统是否启用智能DNS功能模块；ØVPN：设备系统是否启用VPN功能模块；9.2时间日期点击系统管理-时间日期可进入系统时间日期设定界面；图9-29.3抓包点击系统管理-抓包-引擎可进入系统抓包设定界面；图9-3北京华夏创新科技有限公司235 LotApp应用交付系统操作手册抓包是指在某些场合下，特别是在出现网络访问故障时，将流过该加速引擎的网络数据包抓取出来，以便于对其进行分析；所抓取的数据包可以为分析网络故障的原因提供极大的帮助。步骤：Ø选择所抓取数据包的来源，即只抓取该加速引擎的WAN上面的数据包，还是WAN和LAN上面的数据包都抓；Ø选择用于将数据包从设备输出出来的网络接口；一般选择管理口或设备上闲置的网络接口；ØIP过滤条件，用于只抓取源IP地址或者目标IP地址为所设定的IP地址的数据包（源或目标IP地址为非设定IP的包将不会被抓取）；设定IP过滤条件为0.0.0.0即为抓取所有流过该引擎的数据包Ø将选择的输出接口与装有抓包软件（例如Wireshark）PC相连；切忌将所选的输出接口接在内网交换机上，这将会造成网络故障，甚至网络瘫痪；Ø在与输出接口相连的PC上运行抓包软件，选择抓取与设备输出接口相连的网络接口上的数据包；Ø抓包结束后，在PC上保存所抓数据包；Ø停止设备抓包功能，保存退出；9.4远程日志远程日志功能需要有安装了syslog日志软件的服务器，它会将设备的系统信息输出到syslog服务器上；点击系统管理-远程日志可进入远程日志配置界面；北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图9-49.5修改密码点击系统管理-密码可修改设备的登录密码；注意这也将修改用于cli登录的密码；图9-59.6设备升级点击系统管理-升级可对设备进行固件升级；图9-69.7备份与恢复点击系统管理-备份与恢复可进入设备配置数据备份与恢复界面；北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图9-7Ø备份：将设备的现有配置备份；备份时可选择将备份文件下载保存到别的电脑上面，也可选择直接备份到服务器上面；选择备份到服务器时，备份文件将被保存在设备本身的存储卡中；Ø恢复：点击【浏览】选择备份文件进行恢复，或者直接选择按不同日期备份在服务器上面的备份文件进行恢复；恢复过程中设备会重新启动；Ø在两台或多台设备之间恢复统一的配置文件时，需确保这些设备的硬件设备型号以及图形界面版本均与提供配置备份文件的设备相同，否则不可用该备份文件恢复；图9-89.8重置点击系统管理-重置可将设备恢复到出厂时的默认设置；图9-9北京华夏创新科技有限公司235 LotApp应用交付系统操作手册点击确定系统会恢复到出厂设置，恢复过程中设备会重新启动；出厂时的默认设置请参考具体型号设备的说明文档；9.9重新启动点击系统管理-重新启动可将设备重新启动；图9-10点击确定，设备将重新启动！北京华夏创新科技有限公司235 LotApp应用交付系统操作手册第十章、配置案例步骤概述10.1透明桥配置10.1.1网络拓扑：图10-110.1.2配置步骤：1.通过设备缺省LAN口登录设备，缺省IP为192.168.0.1，缺省登录名/密码为admin/admin。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-21.在网络配置—IP设置—LAN列表中添加管理接口。图10-32.通过管理接口登录设备。3.在网络配置—网络接口—桥接界面添加透明桥，本实例中将eth0和eth1配置为一对网桥。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-41.在WAN加速与优化—网络接口界面配置加速WAN接口，在引擎中加入该透明桥中作为WAN接口的网络接口，本例中将eth0设置为加速引擎的加速接口。图10-52.在WAN加速与优化—策略定义界面配置策略、策略组和视图。3.在WAN加速与优化—加速与优化—引擎名界面配置全局参数。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册10.2路由配置10.2.1网络拓扑：图10-610.2.2配置步骤：1.通过设备缺省LAN口登录设备，缺省IP为192.168.0.1，缺省登录名/密码为admin/admin。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-71.在网络配置—IP设置界面添加管理接口。图10-82.通过管理接口登录设备。3.在网络配置—IP设置界面添加配置LAN/WAN接口，分别配置lan/wan接口，本例中将以eth0为WAN接口，eth1为LAN接口。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-9北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-10北京华夏创新科技有限公司235 LotApp应用交付系统操作手册在网络配置—NAT—SNAT界面配置SNAT。图10-111.在WAN加速与优化—网络接口界面配置加速引擎，将配置的WAN接口加入加速引擎中。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-121.在WAN加速与优化—加速与优化—引擎名为各链路配置正确的参数。10.3ARP代理（LAN中有主机直接配置使用公网IP地址）10.3.1网络拓扑：拓扑说明：LotAppwan口IP为119.255.56.189，LAN口IP为192.168.1.254，局域网内部有一台主机IP为合法IP：119.255.56.171。图10-1310.3.2配置步骤：1.通过设备缺省LAN口登录设备，缺省IP为192.168.0.1，缺省登录名/密码为admin/admin。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-141.在网络配置—IP设置界面添加管理接口。图10-152.通过管理接口登录设备。3.在网络配置—IP设置界面添加配置LAN/WAN接口。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-16北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-17北京华夏创新科技有限公司235 LotApp应用交付系统操作手册在网络配置—NAT—SNAT界面配置SNAT。图10-181.在WAN加速与优化—网络接口界面配置加速引擎，将配置的WAN接口加入加速引擎中。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-191.在WAN加速与优化—加速与优化—引擎名为各链路配置正确的参数。2.在网络配置—NAT—NAT免除界面将LAN中的公网IP地址添加到NAT免除中的源IP项中。图10-203.在网络配置—ARP代理界面打开相应网络接口的ARP代理功能。图10-214.在网络配置—静态路由表界面添加目标静态路由。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-221.在网络配置—静态路由表界面添加源静态路由2.根据用户需求，在网络配置—防火墙中为使用公网IP的主机打开相应的服务端口。图10-23北京华夏创新科技有限公司235 LotApp应用交付系统操作手册10.4高可靠性配置（HA）10.4.1网络拓扑：拓扑说明：LotAppwan口IP为119.255.56.189，LAN口IP为192.168.1.254。图10-2410.4.2配置步骤：一．配置LotApp11.通过设备缺省LAN口登录设备，缺省IP为192.168.0.1，缺省登录名/密码为admin/admin。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-251.在网络配置—IP设置界面添加管理接口。图10-262.通过管理接口登录设备。3.在网络配置—IP设置界面添加配置LAN/WAN接口，并为LAN/WAN接口配置虚拟IP。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-27北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-281.在网络配置—NAT—SNAT界面配置SNAT。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-291.在WAN加速与优化—网络接口界面配置加速引擎，将配置的WAN接口加入加速引擎中。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-301.在网络配置—高可靠性设置界面添加配置VRRP实例和VRRP组。图10-312.在网络配置—NAT—NAT免除界面将WAN口的实际IP地址(非虚拟IP地址)添加到NAT免除中。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-321.在WAN加速与优化—加速与优化—引擎名为各链路配置正确的参数。二．配置LotApp21.通过设备缺省LAN口登录设备，缺省IP为192.168.0.1，缺省登录名/密码为admin/admin。图10-332.在网络配置—IP设置界面添加管理接口。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-341.通过管理接口登录设备。2.在网络配置—IP设置界面添加配置LAN/WAN接口，并为LAN/WAN接口配置虚拟IP；注意为LotApp2的LAN和WAN配置的实IP应不同于LotApp1所配置的相应IP，而为LotApp2的LAN和WAN配置的虚IP则应和LotApp1的完全相同。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-35北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-361.在网络配置—NAT—SNAT界面配置SNAT。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-371.在WAN加速与优化—网络接口界面配置加速引擎，将配置的WAN接口加入加速引擎中。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-381.在网络配置—高可靠性设置界面添加配置VRRP实例和VRRP组；注意此处为LotApp2配置的VRRP实例的虚拟路由ID应和LotApp1上面对应的VRRP实例的虚拟路由ID保持一致，而优先级则应和LotApp1上面的保持区别。图10-39北京华夏创新科技有限公司235 LotApp应用交付系统操作手册1.在网络配置—NAT—NAT免除界面将WAN口的实际IP地址(非虚拟IP地址)添加到NAT免除中。图10-402.在WAN加速与优化—加速与优化—引擎名为各链路配置正确的参数10.5多链路负载均衡配置10.5.1网络拓扑：拓扑说明：用户一条网通线路，IP地址为119.255.56.189；一条电信线路，IP地址为202.96.214.128。图10-4110.5.2配置步骤：1.通过设备缺省LAN口登录设备，缺省IP为192.168.0.1，缺省登录名/密码为admin/admin。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-421.在网络配置—IP设置界面添加管理接口。图10-432.通过管理接口登录设备。3.在网络配置—IP设置界面添加配置LAN/WAN接口，分别配置LAN/WAN接口。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-44北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-45北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-461.在网络配置—NAT—SNAT界面配置SNAT。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-47北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-481.在WAN加速与优化—网络接口界面配置加速引擎，将配置的WAN接口加入加速引擎中。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-49图10-501.在WAN加速与优化—加速与优化—引擎名为各链路配置正确的参数。2.在负载均衡—多链路负载均衡—设置配置界面根据用户需求为每条链路配置不同的参数。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-5110.6反向地址映射（DNAT）10.6.1网络拓扑：拓扑说明：出口IP为119.25.56.189，内部web服务器（80端口）IP为192.168.1.50，通过LotApp将192.168.1.50映射到外网地址以便外部网络中的主机能够通过互联网访问该服务器上面提供的服务。图10-52北京华夏创新科技有限公司235 LotApp应用交付系统操作手册10.6.2配置步骤：1.通过设备缺省LAN口登录设备，缺省IP为192.168.0.1，缺省登录名/密码为admin/admin。图10-53北京华夏创新科技有限公司235 LotApp应用交付系统操作手册在网络配置—IP设置界面添加管理接口。图10-541.通过管理接口登录设备。2.在网络配置—IP设置界面添加配置LAN/WAN接口。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-55北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-561.在网络配置—NAT—SNAT界面配置SNAT。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-57北京华夏创新科技有限公司235 LotApp应用交付系统操作手册在WAN加速与优化—网络接口界面配置加速引擎，将配置的WAN接口加入加速引擎中。图10-581.在WAN加速与优化—加速与优化—引擎名为各链路配置正确的参数。2.在网络配置—NAT—DNAT界面配置DNAT。图10-59北京华夏创新科技有限公司235 LotApp应用交付系统操作手册10.7智能DNS配置10.7.1网络拓扑：拓扑说明：一条网通链路，IP地址为119.255.56.189；一条电信链路，IP地址为202.96.174.48；内部一台web服务器（80端口），域名为www.test.com，IP地址为192.168.1.50；图10-6010.7.2配置步骤：1.通过设备缺省LAN口登录设备，缺省IP为192.168.0.1，缺省登录名/密码为admin/admin。图10-61北京华夏创新科技有限公司235 LotApp应用交付系统操作手册1.在网络配置—IP设置界面添加管理接口。图10-622.通过管理接口登录设备。3.在网络配置—IP设置界面添加配置LAN/WAN接口。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-63北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-64北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-651.在网络配置—NAT—SNAT界面配置SNAT。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-66北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-67北京华夏创新科技有限公司235 LotApp应用交付系统操作手册在WAN加速与优化—网络接口界面配置加速引擎，将配置的WAN接口加入加速引擎中。图10-68图10-691.在WAN加速与优化—加速与优化—引擎名为各链路配置正确的参数。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册在网络配置—NAT—DNAT中配置DNAT。图10-701.在网络配置—DNS界面配置DNS。图10-71北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-72图10-73图10-74图10-75北京华夏创新科技有限公司235 LotApp应用交付系统操作手册1.根据用户实际网络情况在负载均衡—多链路负载均衡界面中配置链路负载均衡参数。图10-7610.8LAN智能DNS配置10.8.1拓扑环境：拓扑说明：出口IP为119.25.56.189，内部web服务器（80端口）IP为192.168.1.50，该服务器域名为www.test.com.cn；通过LotApp将实现当内网用户访问这个域名时，DNS解析的地址为192.168.1.50。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-7710.8.2配置步骤：1.通过设备缺省LAN口登录设备，缺省IP为192.168.0.1，缺省登录名/密码为admin/admin。图10-782.在网络配置—IP设置界面添加管理接口。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-791.通过管理接口登录设备。2.在网络配置—IP设置界面添加配置LAN/WAN接口。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-80图10-811.在网络配置—NAT—SNAT界面配置SNAT。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-82北京华夏创新科技有限公司235 LotApp应用交付系统操作手册在WAN加速与优化—网络接口界面配置加速引擎，将配置的WAN接口加入加速引擎中。图10-831.在WAN加速与优化—加速与优化—引擎名为各链路配置正确的参数。2.在网络配置—NAT—DNAT界面配置DNAT。图10-843.在网络配置—智能DNS—Lan界面配置Lan智能DNS。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-8510.9VPN配置10.9.1VPN客户端与VPN网关建立VPN隧道10.9.1.1网络拓扑：图10-8610.9.1.2配置步骤：1.通过设备缺省LAN口登录设备，缺省IP为192.168.0.1，缺省登录名、密码为admin/admin北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-871.在网络配置—IP设置界面添加管理接口图10-882.通过管理接口登录设备3.在网络配置—IP设置界面添加配置LAN/WAN接口，分别配置lan/wan接口，本例中将以eth0为WAN接口，eth1为LAN接口；北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-89北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-901.在网络配置—NAT—SNAT界面配置SNAT北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-911.在WAN加速与优化—网络接口界面配置加速引擎，将配置的WAN接口加入加速引擎中北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-921.在WAN加速与优化—加速与优化—引擎名为各链路配置正确的参数。2.在网络配置—VPN—服务器界面中配置VPN。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-931.打开用户管理点击，添加VPN用户user_1，网络管理员给用户设定ID账号和密码。如下图所示：北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-941.点击下图中的红框按钮，打开客户端配置页面，给user_1用户设置VPN固定IP10.8.0.9，如果不设置，VPN网关会随机给该用户分配一个虚地址：图10-95图10-96北京华夏创新科技有限公司235 LotApp应用交付系统操作手册1.配置VPN客户端软件。安装好LotAccess客户端软件，双击电脑系统桌面上的LotAccess图标，打开LotAccess客户端窗口：图10-972.点击，打开选项配置窗口，输入LotAccess服务器地址和端口，并选择协议，完成后点击确定返回客户端主页面。图10-983.在主页面中输入用户名和密码，点击连接。连接成功后界面上会显示LotAccess客户端已连接：北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-99图10-1001.用ipconfig命令可以查看本地IP配置，用ping命令可以检测客户端与服务器之间的连通状况。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-10110.9.2VPN网关之间建立隧道10.9.2.1拓扑环境：图10-10210.9.2.2配置步骤：一．配置LotApp11.通过设备缺省LAN口登录设备，缺省IP为192.168.0.1，缺省登录名/密码为admin/admin。图10-103北京华夏创新科技有限公司235 LotApp应用交付系统操作手册在网络配置—IP设置界面添加管理接口。图10-1041.通过管理接口登录设备。2.在网络配置—IP设置界面添加配置LAN/WAN接口。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-105北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-106北京华夏创新科技有限公司235 LotApp应用交付系统操作手册在网络配置—NAT—SNAT界面配置SNAT图10-1071.在WAN加速与优化—网络接口界面配置加速引擎，将配置的WAN接口加入加速引擎中北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-1081.在WAN加速与优化—加速与优化—引擎名为各链路配置正确的参数。2.在管理菜单中选择网络配置—VPN—服务器，在设置中进行全局配置，如下图所示：北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-1091.打开用户管理点击，添加VPN用户user_1，网络管理员给用户设定ID账号和密码。如下图所示：北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-1101.点击下图中的红框按钮，打开客户端配置页面，给user_1用户设置VPN固定IP10.8.0.9，如果不设置，VPN网关会随机给该用户分配一个虚地址：图10-111图10-112二．配置LotApp2北京华夏创新科技有限公司235 LotApp应用交付系统操作手册1.通过设备缺省LAN口登录设备，缺省IP为192.168.0.1，缺省登录名/密码为admin/admin。图10-113北京华夏创新科技有限公司235 LotApp应用交付系统操作手册在网络配置—IP设置界面添加管理接口。图10-1041.通过管理接口登录设备。2.在网络配置—IP设置界面添加配置LAN/WAN接口北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-114北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-1151.通过新配置的LAN口IP（172.16.0.1）重新登录设备2.在网络配置—NAT—SNAT界面配置SNAT北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-1161.在WAN加速与优化—网络接口界面配置加速引擎，将配置的WAN接口加入加速引擎中北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-1171.在WAN加速与优化—加速与优化—引擎名为各链路配置正确的参数。2.在网络配置—VPN—客户端页面中，点击按钮，打开“添加VPN客户端”页面，在此页面中可输入服务器IP和端口、VPN用户名和密码：图10-1183.配置完成后，如果VPN隧道连接建立成功，则连接状态一栏将显示获取到的VPN固定地址，如下图所示。如果连接有问题，则连接状态将显示为“未连接”。图10-1194.VPN隧道建立后，内网主机172.16.0.2可以ping通服务器10.0.1.2。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-12010.9.3多个VPN网关之间建立隧道10.9.3.1拓扑环境：图10-121北京华夏创新科技有限公司235 LotApp应用交付系统操作手册10.9.3.2配置步骤：一．配置LotApp11.通过设备缺省LAN口登录设备，缺省IP为192.168.0.1，缺省登录名、密码为admin/admin。图10-1222.在网络配置—IP设置界面添加管理接口。图10-1233.通过管理接口登录设备。4.在网络配置—IP设置界面添加配置LAN/WAN接口，分别配置lan/wan接口，本例中将以eth0为WAN接口，eth1为LAN接口。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-124北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-1251.通过新配置的LAN口IP（10.10.1.254）重新登录设备。2.在网络配置—NAT—SNAT界面配置SNAT。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-1261.在WAN加速与优化—网络接口界面配置加速引擎，将配置的WAN接口加入加速引擎中。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-1271.在WAN加速与优化—加速与优化—引擎名为各链路配置正确的参数。2.进入网络配置—VPN—服务器配置界面，在设置中进行全局配置，如下图所示：北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-1281.打开用户管理点击，分别添加VPN用户user_1和user_2，网络管理员给用户设定ID账号和密码。如下图所示：北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-1291.分别点击下图中的红框按钮，打开客户端配置页面，给user_1和user_2用户设置VPN固定IP10.8.0.9和10.8.0.13，如果不设置，VPN网关会随机给该用户分配一个虚地址：图10-130图10-131北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-132二．配置LotApp21.通过设备缺省LAN口登录设备，缺省IP为192.168.0.1，缺省登录名/密码为admin/admin。图10-133北京华夏创新科技有限公司235 LotApp应用交付系统操作手册1.在网络配置—IP设置界面添加管理接口。图10-1232.通过管理接口登录设备。在网络配置—IP设置界面添加配置LAN/WAN接口。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-134图10-1351.在网络配置—NAT—SNAT界面配置SNAT。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-1361.在WAN加速与优化—网络接口界面配置加速引擎，将配置的WAN接口加入加速引擎中。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-1371.在WAN加速与优化—加速与优化—引擎名为各链路配置正确的参数。2.进入网络配置—VPN—客户端配置界面，点击按钮，打开“添加VPN客户端”页面，在页面中输入服务器IP和端口、VPN用户名和密码：图10-1383.配置完成后，如果VPN隧道连接建立成功，则连接状态一栏将显示获取到的VPN固定地址，如下图所示。如果连接有问题，则连接状态将显示为“未连接”。图10-139北京华夏创新科技有限公司235 LotApp应用交付系统操作手册二．配置LotApp31.通过设备缺省LAN口登录设备，缺省IP为192.168.0.1，缺省登录名/密码为admin/admin。图10-1402.在网络配置—IP设置界面添加管理接口。图10-1233.通过管理接口登录设备。4.在网络配置—IP设置界面添加配置LAN/WAN接口。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-141北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-142北京华夏创新科技有限公司235 LotApp应用交付系统操作手册在网络配置—NAT—SNAT界面配置SNAT。图10-1431.在WAN加速与优化—网络接口界面配置加速引擎，将配置的WAN接口加入加速引擎中。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-1441.在WAN加速与优化—加速与优化—引擎名为各链路配置正确的参数。2.进入网络配置—VPN—客户端界面，点击按钮，打开“添加VPN客户端”页面，在页面中输入服务器IP和端口、VPN用户名和密码：图10-1453.配置完成后，如果VPN隧道连接建立成功，则连接状态一栏将显示获取到的VPN固定地址，如下图所示。如果连接有问题，则连接状态将显示为“未连接”。图10-1464.VPN互通北京华夏创新科技有限公司235 LotApp应用交付系统操作手册配置完成后，服务器、内网主机二与内网主机三可以互相通信。10.9.4VPN旁路部署通过在出口网关配置DNAT，移动用户访问互联网地址59.108.58.97就可以拨入到内网的VPN服务器10.80.0.1上，并且通过VPN可以访问到服务器10.10.0.1。10.9.4.1拓扑环境：图10-14710.9.4.2配置步骤：1.通过设备缺省LAN口登录设备，缺省IP为192.168.0.1，缺省登录名、密码为admin/admin。图10-148北京华夏创新科技有限公司235 LotApp应用交付系统操作手册1.在网络配置—IP设置界面添加管理接口。图10-1492.通过管理接口登录设备。3.在网络配置—IP设置界面添加配置WAN接口，本例中将以eth1为WAN接口。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-1501.在WAN加速与优化—网络接口界面配置加速引擎，将配置的WAN接口加入加速引擎中。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-1511.LotAccess配置VPN服务器。在管理菜单中选择网络配置—VPN—服务器，在设置中进行全局配置，如下图所示：北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-1521.打开用户管理点击，分别添加VPN用户user_1和user_2，网络管理员给用户设定ID账号和密码。如下图所示：北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-1531.将VPN虚地址网段10.8.0.0/24全部转换为接口地址。图10-1542.配置完成后，移动用户就可以通过59.108.58.97地址来拨入到VPN服务器，VPN服务器会将移动用户的虚地址转换为WAN口地址后与10.10.0.0网段的应用服务器通信。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册10.10服务器负载均衡配置10.10.1拓扑环境：拓扑说明：出口IP为119.255.56.189；内部两台web服务器（80端口）做负载均衡，服务器1IP地址为192.168.1.30，服务器2IP地址为192.168.1.50图10-15510.10.2配置步骤：1.通过设备缺省LAN口登录设备，缺省IP为192.168.0.1，缺省登录名/密码为admin/admin。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-1561.在网络配置—IP设置界面添加管理接口。图10-1572.通过管理接口登录设备。3.在网络配置—IP设置界面添加配置LAN/WAN接口。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-158北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-159北京华夏创新科技有限公司235 LotApp应用交付系统操作手册在网络配置—NAT—SNAT界面配置SNAT。图10-1601.在WAN加速与优化—网络接口界面配置加速引擎，将配置的WAN接口加入加速引擎中。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-1611.在WAN加速与优化—加速与优化—引擎名为各链路配置正确的参数。2.根据实际环境在负载均衡—服务器负载均衡界面配置虚拟服务器和真实服务器。图10-162北京华夏创新科技有限公司235 LotApp应用交付系统操作手册在网络配置—防火墙界面中添加防火墙规则，打开对应的服务端口。图10-16310.11DR模式（单臂模式）服务器负载均衡配置10.10.1拓扑环境：拓扑说明：内部两台web服务器（80端口）做负载均衡，服务器1IP地址为10.3.1.2/16，服务器2IP地址为10.3.1.3/16，LotAPP的wan口IP地址：10.3.1.1/16；虚拟IP：10.3.0.1。注：服务器和LotApp设备都需要配置相同的虚拟IP，外部访问该虚拟IP时请求会先到达LotApp设备，然后再由LotApp设备将访问请求按照调度算法分配给服务器；服务器收到请求后将直接回复给请求源，而不再需要通过LotApp设备来转发。图10-164北京华夏创新科技有限公司235 LotApp应用交付系统操作手册10.10.2配置步骤：1.通过设备缺省LAN口登录设备，缺省IP为192.168.0.1，缺省登录名、密码为admin/admin。图10-1652.在网络配置—IP设置界面添加配置WAN接口,DR模式不需要配置lan接口。配置DR模式需要配置虚拟IP（为了下文方便，我们称定义的虚拟IP为$VIP），有两种方式：（1）如果不启用VRRP，或不使用VRRP的虚拟IP作为$VIP，可以为WAN口增加IP或IP段；IP和IP段中的所有IP中，除了第一个IP外，其他的IP都可以做为$VIP。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-166（2）如果启用VRRP，可以将VRRP的虚拟IP作为$VIP北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-1671.服务器配置：（1）服务器为linux系统：a:在lo上增加一个虚拟IP：ifconfiglo:010.3.0.1broadcast10.3.0.1 netmask255.255.255.255upb:执行：echo "1">/proc/sys/net/ipv4/conf/eth0/arp_ignoreecho "2">/proc/sys/net/ipv4/conf/eth0/arp_announce北京华夏创新科技有限公司235 LotApp应用交付系统操作手册sysctl –p备注：eth0为配置真实IP的网卡。（1）服务器为windows系统：a:windows默认没有安装lo的驱动，先从控制面板添加lo，不同的操作系统添加步骤会有区别，大致步骤是：控制面板》添加硬件》手动添加》选择网络适配器》制造商选择微软 》选择LoopbackAdapterb:为lo设置ip为10.3.0.1,掩码设置为255.255.255.0因为Windows不允许掩码设置为255.255.255.255，所以需要通过修改注册表来实现：regedit》查找10.3.0.1,将255.255.255.0替换为255.255.255.255多次搜索后替换（注：win2003中，该值为二进制）C:重启机器。1.根据实际环境在负载均衡—服务器负载均衡界面配置服务器负载均衡。图10-1682.在网络配置—防火墙界面配置策略打开相应的服务端口。北京华夏创新科技有限公司235 LotApp应用交付系统操作手册图10-169北京华夏创新科技有限公司235