更新时间:2023-06-15
aTrust分离式设备以区域的方式来管理代理网关和应用,即代理网关在加入到控制中心时,是需要选择对应的所属区域的,同样的,创建应用时,应用也需要配置其所归属的区域。然后aTrust用户在访问应用时,相关数据便会交给相关区域内的代理网关转发。
创建代理网关区域时,需要设置代理网关的访问地址和UDP敲门地址,以及选路模式,下面根据创建区域的步骤来具体说明:
步骤1、在控制中心[系统管理/代理网关管理]处点击加号“+”进行添加代理网关区域。
步骤2、配置节点名称、访问地址、选路模式。
表48新增代理网关区域说明表
操作 |
说明 |
区域名称 |
填写区域名称,支持中文、英文和数字。 |
局域网访问地址 |
- 此处配置设备的接口地址和隧道监听端口(设备默认使用441不可更改,但支持互联网场景下做非对称映射,即互联网端口可使用非441端口,然后映射给设备的441端口),用于客户端和区域内代理网关建立隧道用。
- 如果开启了SPA的UDP敲门模式,则UDP敲门端口也是使用此处的端口号。
- 此处支持填写多个IP v4地址、IPv6地址和域名及其端口,如1.1.1.1:441、sangfor.com:441、[123::123]:411,如果不填写端口号,则会使用默认的441端口。
- 存在多个地址时,会根据下方的选择模式来选择连接的地址。
- 移动端和linux客户端不支持域名接入。
- aTrust客户端在和代理网关建立隧道时,会优先探测网关所属区域的局域网访问地址,只有全部访问不通时,才会探测区域的互联网访问地址。
|
互联网访问地址 |
此处填写映射给代理网关的互联网IP和端口,用于aTrust用户在互联网接入时,需要通过互联网IP+端口的方式来和代理网关建立隧道的场景。 |
选路模式 |
- 时延优先的适用场景:适用于部署单个代理网关设备,出口多运营商线路架构,能够帮助用户自动接入速度最快的线路。当部署了多个网关时,可能导致所有的连接都集中在一个网关上。其选路方式为:首次接入时,优先选择最小时延的线路进行接入,后续当线路恶化至切换条件时重新选路。
- 时延+负载的适用场景:适用于部署多个代理网关的架构,能够帮助用户自动接入相对速度较快的线路,同时进行流量的均衡分配,多个网关设备的流量负载相对均衡。其选路方式为:首次接入时,根据客户端到访问地址的最小时延(Base)及相对时延阈值(Threshold),随机选择阈值范围内(Base+Threshold)的线路进行接入。
|
高级设置-线路切换 |
本选项主要用于设置客户端在何种条件下切换连接的代理网关:
- 设置客户端探测网关网络质量的时间间隔。
- 设置线路恶化条件(延时达到多少秒即认为线路质量差)。
- 设置连续探测恶化的此处阈值,达到即切换线路。
- 设置进行线路切换时,旧的短连接是否保持在旧的设备上。
|
高级设置-启用智能DNS负载 |
当接入地址中包含域名,且依赖智能DNS解析时,如启用此处的智能DNS负载则根据智能DNS返回的第一个IP地址参与选路;若未启用,则智能DNS返回的所有地址都参与选路 |
步骤3、配置完成并保存配置后即可以看到新增的区域,点击区域名称右侧的···可以打开区域管理按钮,在下拉的菜单中可以进行以下操作:
1、点击<编辑>以进入区域的编辑界面,可修改区域的相关配置。
2、点击<设置为主区域>,则该区域会被设置为主区域(注意只能设置一个主区域),设置为主区域后,当aTrust用户拥有的任意长连接模式TCP资源或UDP资源或ICMP资源且属于主区域时,用户登录后获取到的虚拟IP会被设置在aTrust虚拟网卡上,并且如果虚拟IP池功能也同时开启的时候,用户的应用中的服务器可以通过aTrust用户的虚拟IP反向访问到客户端。
3、删除区域,成功删除区域的前提条件:该区域未被任何应用关联,且没有代理网关在该区域中。