发布时间 : 星期四 文章bluecoat 鎿嶄綔璇存槑 - 鐧惧害鏂囧簱更新完毕开始阅读4354eca20029bd64783e2c83
Bluecoat 正向代理配置
3)
由于Bypass方式的解决方案,用户QQ通讯被Bypass后,穿过SG将没有任何变化,包括其源IP地址;如果防火墙还有限制,只允许SG的IP地址通过,那Bypass就无法使QQ实现通讯。 解决方案:
在环境下,可以将SG的service ports定义中80端口定义为TCP tunnel,这样SG在80端口上将不强制进行http检查,非http通讯将通过tcp tunnel模式穿过。 注意事项:
由于SG需要在80端口上进行协议检测,来确定http协议,从而进行缓存,因此,SG的负载将明显增大,在大流量环境下配置,需谨慎。
六、 SG和游戏及特定应用的兼容性问题的解决
6.1 透明代理下保证游戏能够通过SG访问
在运营商带宽节省测试时,往往使用透明代理方式,拦截80端口。现在很多游戏的应用也都是走80端口,因此在运营商测试时最为重要的一点是不要让这些游戏因为使用透明代理而出现访问中断。这里面有几个配置要点需要注意以保证游戏不会出现问题:
6.1.1 Reflect-Client-IP保证游戏服务器的认证和记录不出
问题
当使用透明代理进行缓存加速时,缺省SG会使用自己的地址去源服务器获得内容。对于一般的HTTP内容访问,这样做是没有问题。但是对于很多使用80端
第37页/共56页
Bluecoat 正向代理配置
口的游戏应用来说,游戏服务器往往会在Login阶段使用80端口,此时服务器会基于用户端地址(SG地址)进行记录和认证。而游戏开始后使用非80端口进行。此时服务器看到的用户端IP地址不同于Login阶段的地址。为了避免这个问题,需要在SG上设置折射用户端IP地址选项。保证游戏服务器上看到的IP地址是一致的。但在SG上折射用户IP地址时需要考虑网络里的不对称路由的问题。比较常见的是运营商使用BGP路由协议时经常会出现此问题。此时不能打开Reflect-client-ip选项。Reflect-client-ip的配置如下图所示:
第38页/共56页
Bluecoat 正向代理配置
6.1.2 保证联众游戏访问可以通过
联众游戏是一个很特别的游戏应用,使用80端口进行软件安装和游戏服务。并且联众的客户端软件要求和服务器之间保持HTTP persistent 连接。
在实际测试时为了节省http worker,很多时候我们是关掉了http client persistent和http server persistent。在此时为了保证联众游戏可以和我们代理服务器兼容,需要加入下面一条策略:
request.header.User-Agent=\http.server.persistence(yes)
6.1.3 设置MTU保证游戏访问通过
有些游戏设计对MTU敏感,如果路径中存在较小的MTU时会出现问题。所以建议打开SG中的路径MTU发现功能,具体配置使用如下的命令:
0.0.0.0 - Blue Coat SG400#conf t
Enter configuration commands, one per line. End with CTRL-Z. 0.0.0.0 - Blue Coat SG400#(config)tcp-ip pmtu-discovery enable ok
6.2 显式代理下保证MSN能够通过SG访问
在显示代理的环境中,我们推荐MSN客户端使用SOCKS代理连接SG设备。如果客户要求一定要使用HTTP代理方式,并且网络里丢包很严重的时候,SG上建议增加如下的配置保证MSN应用的稳定性:
0.0.0.0 - Blue Coat SG400#(config)http no persistent client ok
0.0.0.0 - Blue Coat SG400#(config)http no persistent server
第39页/共56页
Bluecoat 正向代理配置
ok
七、 SG压力过载的保护策略
7.1 SG流量过载保护策略
在SG流量过载引起系统重启等严重情况下,通过SG的带宽管理策略限制大流量、大文件下载,可以作为一个临时的处理方式。 配置步骤如下:
2)
定义带宽类:SG的web管理界面configuration/bandwidth
management/BWM Classes进入定义页面,定义一个带宽类,名字为limit,最大带宽30Mbps(根据用户环境选择相应带宽值),优先级为3,如下图示:
第40页/共56页