Bluecoat 正向代理配置
;; ;; end policy to cache zshare download site ;end_of_policy_file 2.5 强制缓存没有缓存标记的流量
很多的网站(特别是视频网站)有些大的Object既没有Cache-Control 标记也没有Exprie标记,SG是不做缓存的,此时可能出现负增益,需要强制缓存这些Object (如 土豆网的FLV文件80-90%的都是如此)。 如下模板就是当这些文件扩展名文件下载时,如果没有 Cache-Control 和Expires 的header时就强制缓存一定的时间。可以把如下策略加入到Local Policy
condition=FileExtensioncache response.header.Cache-Control=!\cache(yes) force_cache(all)
define condition FileExtensioncache
url.extension=(rm, mp3, flv, wma, zip, exe, rar) end condition FileExtensioncache
2.6 强制缓存微软的升级包
; ; The following is a list of domain suffix ; patterns for Windows updates ; define condition wsus-hosts url.domain=download.windowsupdate.com url.domain=windowsupdate.com url.domain=windowsupdate.microsoft.com url.domain=c.microsoft.com url.domain=update.microsoft.com url.domain=download.microsoft.com url.domain=au.download.microsoft.com end ;
Bluecoat 正向代理配置
; Cache windows-update patch files only, for 22 hours (WSUS update default) request.header.user-agent=\never_serve_after_expiry(yes) ; Don't cache non-patch files from those domains cache(no) 2.7 禁止所有包含Range: bytes header的请求(可选)
本项工作为可选配置,因为这样配置后,所有多线和下载软件的凡是有Range:bytes Header的请求都会被禁止,意味着Client只有第一个线程可以下载,其余的线程都会被禁止。
这样的配置在正常情况下没有问题,因为第一个请求是没有Range Header的,但要注意的是,如果下载过程中出现中断,无论是手工暂停还是网络故障导致下载中断,再次启动时客户端将发出Range请求继续进行下载(断点续传),这样,这个请求就被会被禁止掉,因此下载永远不能完成,除非将已此任务删除重新下载。
所以上述配置是可选配置,需根据具体情况决定。
2.8 关于Blue Coat带宽增益统计数据
有机会时,跟客户解释我们的SG会剥除或修改某些HTTP响应Header,在这样的情况下,我们在给客户端的流量中Client端的流量就会比Server端小,这样对客户的网络是有利的,但会影响我们的统计。我们不能控制服务器给SG发送什么,但可以控制发送什么给Client。
2.9 DNS配置
在大流量的运营商环境或高端企业正向代理环境下,SG会有发起大量的DNS请求到DNS服务器进行地址解析。这一部分规划不好的话会引起性能问题。这里面有几个步骤需要进行。 1.
如果企业使用的网通线路上网,需要配置为网通的DNS服务器,并
且选最稳定的DNS服务器作为首选DNS服务器。如果使用电信的线路则使
第18页/共56页
Bluecoat 正向代理配置
用电信的DNS服务器,不要在使用网通线路上网时配置电信的DNS服务器。这样会引发很多DNS查询超时的问题。并引起DNS Worker被用满。 2.
对于有多DNS服务器的环境,可以把多台DNS服务器加入在同一
Primary组里,增强DNS服务查询的可靠性。在Primary组内配置了多个DNS时,SG只会首先尝试第一个DNS,如果第一个DNS服务器某个域名的解析三次尝试失败后,SG才会尝试第2个DNS服务器做此域名的解析。他们并不是负载分担的工作方式,这一点请大家注意。 3.
如果企业有内部域名的应用需要解析,要把企业内部的域名服务器放
在Alternative DNS的配置里,而不是放在Primary组里。因为在Primary组内的DNS,只要首选的DNS可用,SG是不会查询第二个DNS的。而配置Alternative DNS, 如果首选Primary DNS返回给SG地址解析不到,SG回去问Alternative DNS里的首选DNS服务器。注意,此种配置只适用于用户既要上Internet网,又要有内部的域名内容要访问的情况。 如下图所示的配置是正确的:
第19页/共56页
Bluecoat 正向代理配置
第20页/共56页