1、Wan 优化 Course 201 v4.0,Wan 优化简介,Wan优化可以提高通过Wan运行的应用的性能,减少数据传输,减少延迟,优化为LAN环境设计的应用。Wan优化需要硬盘支持FortiGate主要的优化技术有:协议优化(Protocol optimization),数据缩减(data deduction 又叫 Byte caching),Web CacheSSL 安全通道(Secure tunnel ),Wan优化1协议优化,FortiGate使用协议优化的方法来减少带宽的战用,有很多协议是在局域网环境下开发的,可以通过在两端的FortiGate上采用一些优化和压缩技术,来减少广域网
2、的数据传输,节省带宽,减少延迟,提高运行速度。支持的协议有:CIFS (file servers)MAPI (E是change/Outlook)HTTP/HTTPSFTPTCP对于HTTPS需要将服务器CA证书导入FortiGate不属于以上四类服务的其他TCP服务,可以选择TCP优化。,Wan优化2Byte caching,Byte Cache是将大的数据分成小的块(chunk,2KB),标记每个块,并计算每块的hash值,将每个块已经它们的hash值保存在FortiGate的本地硬盘上,这样在通过wan传输数据时,不需要传送实际数据,先传送hash值,如果两端FortiGate上的hash
3、值匹配,就不需要再传输,只有hash不匹配的部分才需要重新传送,这样就节省了带宽。Byte Cache需要硬盘的支持。,Wan优化3Web Cache & 加速,FortiGate支持正向和反向的透明代理缓存,也支持非透明的正向代理Cache.正向:为客户端缓存浏览的网页。减少广域网带宽占用,提高浏览速度。反向:缓存本地服务器的内容,供远程用户访问,用户可以通过它访问静态的网页和文件,减轻本地服务器的负载。,Fortinet Confidential Product Overview,5,Wan优化4SSL和通道,对于SSL加密的流量(如:https),仍支持Wan优化:需要将服务器CA证书输
4、入到FortiGate上。Full模式,从客户端FG-服务器端FG-服务器全程加密Half模式,从客户端FG-服务器端FG为加密,服务器端FG-服务器之间为明文。可以用SSL加密wan加速的通道,称为安全通道(secure tunnel) ,TCP端口为7810(P-P模式下),和非加密通道的端口号一样。SSL和安全通道都需要CP6的支持,Fortinet Confidential Product Overview,6,支持的型号,A-P模式和P-P模式的配置,网络拓扑,测试了一下两种模式,A-P和P-P,还测试了HTTPS的wan优化及FortiGate在透明模式下的wan优化,WAN优化的
5、规划注意事项,网络流量首先匹配防火墙策略,然后匹配WAN OPT规则。WAN OPT与保护内容表不能同时使用,但可以通过VDOM划分实现。LAN VDOM-PP - Inter-Link - VDOM-WANOPT WAN所有FG型号都支持Web proxy和WCCP v2。只有FG50B-HD、FG110C-HD、ASM-S08和某些支持ISCSI的FG型号才支持wan优化。老型号即使有硬盘也不支持。(见后页)只有CP6型号支持基于SSL和安全通道。只支持FG-FG或FG-FortiClient间的WAN OPT,不兼容第三方设备或软件。,两种模式的配置要点,1,都要首先配置对等体(peer
6、-list)对等体可以是一个,也可以是多个),多个对等体需要用Authentication组 配置。FortiClient或者拨号的FGT不需要配置对等体,它们需要配置Authentication组 。2,开始配置规则(rule),选择相关的源地址、目的地址、端口和协议,如果知道具体地址,端口,要用具体地址和端口,不要用网段和端口范围。3,一般要选择Enable Byte Caching,它适用于所有的TCP协议。4,配置安全通道(Secure Tunnel )需要配置Authentication组 5,配置Ssl加密,还要在服务器端FG上配置Ssl服务器6,选择透明(Transparent
7、Mode )和不选择透明,服务器端会看到不同的客户端地址,透明显示客户端PC地址,非透明会显示客户端FG接口地址。,Active-Passive配置1定义对端,必须首先定义对端(peer)FortiGate是靠设置对端来识别对方的。每台FG都需要配置对端(Peer), 配置需要ID和IP地址对等体可以说一个设备,也可以是一组设备,一组设备就要在Authentication Group 中配置。,Peer ID,Peer IP,Active-Passive配置2规则(rule),和防火墙策略一样,wan优化规则自上而下匹配。匹配源地址、目的地址和目标端口第一条匹配的策略被启用,Active-Pa
8、ssive配置3配置规则,客户端,服务器端,客户端主动,服务器端选被动,Active-Passive配置4 注意事项,1,首先要保证客户端PC到服务器端FGT的可达性(Ping)。2,不建议启用NAT,即使启用也不工作。3,服务器端FGT要配置一条从外到内的防火墙策略,以允许外部客户端访问内部服务器。,peer-peer配置1配置对端,和Active-Passive一样,首先定义对等体(peer)FortiGate是靠对等体来识别对方的。每台FG都需要配置Peer, 配置需要ID和IP地址对等体可以说一个设备,也可以是一组设备,一组设备就要在Authentication Group 中配置。,
9、Peer ID,Peer IP,peer-peer配置2配置规则,客户端,服务器端,只需要在客户端配置规则,服务器端只需要正确配置Peer.,peer-peer配置3注意事项,1,peer-peer模式,两个FGT之间会建立一个通道(TCP端口7810),就像VPN通道一样,直接将两边FGT的内网连接在一起,这时服务器端的FGT甚至不需要配置防火墙策略。2,客户端的FGT只要配置相应的策略。Wan优化在服务器端不需要策略,两种模式各自的适用范围,P-P适用于两个固定IP的FortiGate之间建立Wan优化,和IPsec的Site-to-Site类似。A-P适用于移动用户,如拨号的FGT或者F
10、ortiClient,类似于dialup IPsec,A-P模式,A-P模式,P-P模式,Wan优化后的效果演示 -FTP,两次FTP相同文件,时间相差很大,FortiClient与FortiGate之间WAN优化,FortiClient 配置1客户端设置,客户端只需要启用广域网优化即可,FortiClient会通过TCP选项自动和FortiGate通信,建立优化通道,FortiClient 配置2FortiGate端配置,FortiGate端需要配置一个Passive模式的规则,和配置一个Authentication 组,名字为“auth-fc”,Web透明和显式代理,Web透明配置Web
11、Cache Only,这种情况一般都是客户端有FortiGate,客户端,服务器,正向Cache,Web显式代理与Cache,要配置显式代理,然后在Cache设置中启用显式Cache,端口启用显式代理,Cache设定中启用显式代理,Cache设定,一般情况下,使用缺省设置即可总是Revalidate,每次都要检查Cached的有效性。Negative Response Duration,是否Cache negative Response(如:404错误),Cache多长时间。Fresh Factor ,新鲜度指数,新鲜度越低,Cache更新越快,wan带宽占用越高,反之,则Cache更新慢,w
12、an带宽占用低最大/最小/缺省TTL,内容在Cache中最长、最短和缺省时间,监控和诊断,基本概念,三个重要的进程, WAD, WADBD and WAC。AD进程负责处理协议和识别数据,并于WADBD和WACS通信,是最关键的进程。WADBD进程负责处理bytes cacheWACS进程连接后端数据,来处理MD5,更新和存储,负责处理Object Cache如果WACS进程down,数据将不能被Cache到硬盘,Http Object Cache将被缓存到内存中,直到128MWan opt靠WAD会话完成,WAD会话由客户端FG发起,由服务器端FG终结。每个Wad会话需要一条Wad tunn
13、el 来处理。Active-Passvie模式,通过tcp选项“63 02”自动与对端建立TunnelPeer-peer模式,通过Peer-list列表,指定对端,建立Tunnel,通道的TCP端口号为7810。通道可以用SSL加密,常见诊断命令,Commands to Knowdiag vpn ipsec status -显示CP和NP的版本diag wadbd clear -删掉数据库中所有数据缩减(data deduction)的内容diag wadbd check 检查数据库的完整性diag wad session list 显示WAN Op 会话diag wad session cl
14、ear 清楚 WAN Op 会话表diag test app wad -诊断和统计的命令集,用选项3可以显示Wad pro是y和硬盘的情况.diagnose wacs stats -显示Cache的使用情况统计.fnsysctl ps 显示当前运行的进程,可以查看 WAN Op 进程: bin/wa_dbd 和 /bin/wad. 是否在运行diagnose debug application wad 255 显示实时信息diagnose wad console-log enable/diagnose debug enable 在终端上显示Wad的诊断信息,实验,测试FG-FG,FortiClientFG之间FTP协议的A-P和P-P模式的WAN优化,
