大型或复杂网络的网络配置与优化
1. 网络配置基础
在网络配置中,对于加密算法的选择,通常接受密钥长度处于中高范围的加密算法,即 128 位或更高。TCP 选项方面,可指定nodelay以最小化延迟,使用选择性确认方法(RFC 2018),并设置套接字缓冲区大小和负载均衡器跟踪的最大待处理连接数。不过在多数情况下,应用程序使用默认设置就能有不错的表现。
使用协议处理程序定义中继时,遵循如下模式:
relay wwwssl { # Run as a SSL accelerator listen on $webserver port 443 ssl protocol "httpssl" table <webhosts> loadbalance check ssl }这里添加了check ssl,假定webhosts表中的每个成员都已正确配置以完成 SSL 握手。根据应用需求,可考虑将所有 SSL 处理保留在relayd中,从而减轻后端的加密处理任务。同时,对于基于 CARP 的主机故障转移,relayd可通过在关闭或启动时为指定接口组设置 CARP 演示计数器来支持 CARP 交互。
2. 内部 Web 服务器和邮件服务器的 NAT 配置
当外部可见地址不可用或成本过高,且不希望在主要作为防火墙的机器上运行多个服务时,需要在