Bluecoat 正向代理配置

3）

从Web管理界面configuration/Policy/Policy files进入，选择Local policies的安装方式为Text Editor，如下图示：

4）

将以下策略加到窗口的编辑框中，注意不要修改原内容

delete_on_abandonment(yes)

url.scheme=http condition=Limit limit_bandwidth.server.inbound(limit)

url.domain=sandai.net deny url.domain=xunlei.com deny

url.domain=sohu.com http.server.recv.timeout(80)

define condition NO_or_LARGE_CONTENT_LENGTH response.header.Content-Length=!\

第41页/共56页

Bluecoat 正向代理配置

response.header.Content-Length=!\end condition NO_or_LARGE_CONTENT_LENGTH

define condition MEDIA_MIME_TYPES response.header.Content-Type=\

response.header.Content-Type=\ response.header.Content-Type=\ response.header.Content-Type=\ response.header.Content-Type=\ response.header.Content-Type=\ response.header.Content-Type=\

response.header.Content-Type=\end condition MEDIA_MIME_TYPES

define condition Byte_range request.header.Range=\end Byte_range

define condition

VIDEO_AUDIO_with_NO_or_LARGE_CONTENT_LENGTH condition=NO_or_LARGE_CONTENT_LENGTH condition=MEDIA_MIME_TYPES end condition

VIDEO_AUDIO_with_NO_or_LARGE_CONTENT_LENGTH

define condition Limit

condition=VIDEO_AUDIO_with_NO_or_LARGE_CONTENT_LENGTH

condition=Byte_range end condition Limit

第42页/共56页

Bluecoat 正向代理配置

该策略将对下载超过1M大小、下载工具使用的续传、视频及语音信息访问进行带宽限制，并屏蔽迅雷。 5）

点击窗口下方Install，完成安装。

7.2 CPU突发过载的保护策略

由于用户的使用环境很复杂。有时会出现CPU突发过载的情况。观察到的现象是平时CPU使用率不高，只有50%以下。但是会在某个时刻突然CPU攀升至90%以上甚至100%，而流量及Request/s并没有明显增加。持续一分钟或稍长的时间后CPU自动下降到正常水平。严重时有可能引发用户上网速度变慢甚至中断。

此时请检查如下的SG参数,如下图中红框所标出的： SG上的链接地址为：https://sgip:8082/tcp/summary

检查项目为：Entries in TCP time wait queue。此项目需要周期性的刷新做检查，如果出现CPU升高而同时表中的TCP连接值下降，则可判定是由于TCP Time Wait队列清除任务引发的CPU负载突发过高。此时SG中会有一个进程清楚大量在TCP Time Wait队列中的无用TCP连接（处于Time Wait状态的TCP连接），由于某些特定的应用场景，Time Wait队列中可能有超过几千个TCP无用链接，所以会导致清楚任务消耗大量CPU资源并有可能引发设备过载和服务中断。

第43页/共56页

Bluecoat 正向代理配置

要解决此问题，需要了解TCP Time Wait队列的原理。 在RFC标准中客户机和服务器的TCP连接断掉后，在SG侧会把已经关掉的连接信息放入Time Wait队列，以避免黑客使用刚关掉的连接进行攻击。这个队列Timeout超时时间通常标准是120秒。如果SG上处理的TCP连接数太多，也自然会导致TCP Time Wait队列中的TCP连接变多。而当达到一定数量后会增加CPU开销，因而SG会尝试清除Time Wait队列降低CPU开销，但清楚工作本身又会临时增加CPU开销从而容易导致突发CPU过载。为了解决此问题需要更改设备配置如下：

Demo-test-sg400#(config)tcp-ip tcp-2msl 20 ok

Demo-test-sg400#(config)http persistent-timeout client 5 ok

第44页/共56页