Cache_peer的理解

1) cache_peer鄰居分為parent(父鄰居),sibling(子鄰居).parent和sibling的區(qū)別在于父鄰居能為子cache轉(zhuǎn)發(fā)丟失的Cache,而子鄰居不可能.

 2) cache_peer通過cache_peer_access和cache_peer_domain來控制鄰居的訪問.二者的區(qū)別在于前者一般需要先定義一個ACL而后者都直接匹配相應(yīng)的域名就可以了.
  如: 
         cache_peer 192.168.0.1 parent 3128 3130
         acl AllowDomain dst www.abc.com
         cache_peer_access AllowDomain 192.168.0.1
         cache_peer_domain 192.168.0.1  parent .xyc.com
   
 3) cache_peer通過never_direct,always_direct,hierarchy_stoplist等限制對鄰居的訪問.

 4) squid與鄰居cache的通信一般為先為never_direct,always_direct確定怎么樣轉(zhuǎn)發(fā)(根據(jù)相應(yīng)的標(biāo)識driect, never_direct標(biāo)識為direct_no,always_direct標(biāo)識為direct_yes即直接轉(zhuǎn)發(fā)到原始服務(wù)器等等 direct_maybe詳情見Squid中文權(quán)威指南10.10.1),接著Squid根據(jù)Squid的設(shè)置查看耕鄰居的摘要是否命中(根據(jù)ICP或 HCTP的請求所發(fā)現(xiàn)的),若命中則立即放入轉(zhuǎn)發(fā)列表中.這一切也依靠cache_peer_access,cache_peer_domain的.同時 squid檢查netdb偵測的RTT是否最優(yōu),決定是否選擇此鄰居轉(zhuǎn)發(fā).

 5)子鄰居不轉(zhuǎn)發(fā)任何命中丟失的請求,而父鄰居可以轉(zhuǎn)發(fā),若Squid發(fā)現(xiàn)父鄰居到原始服務(wù)器的RTT(往返時間)小于自已到原始服務(wù)器的RTT,將此請求轉(zhuǎn)發(fā)給此父鄰居.(RTT時間需借助Netdb選項的檢測,對于父鄰居的選擇還有另外一些定義選項如:Weigh=N設(shè)置父鄰居的權(quán)重來給予他更高的優(yōu)先級)

Squid代理服務(wù)器介紹及相關(guān)配置

一、代理服務(wù)器的作用

1．通過緩存的方式為用戶提供Web訪問加速

2．對用戶的Web訪問進行過濾控制

二、代理服務(wù)器分類

1．普通代理服務(wù)

即標(biāo)準的、傳統(tǒng)的代理服務(wù)

需要客戶機在瀏覽器中指定代理服務(wù)器的地址、端口

2．透明代理服務(wù)

適用于企業(yè)的網(wǎng)關(guān)主機（共享接入Internet）中

客戶機不需要指定代理服務(wù)器地址、端口等信息

需要設(shè)置防火墻策略將客戶機的Web訪問數(shù)據(jù)轉(zhuǎn)交給代理服務(wù)程序處理

3． 反向代理服務(wù)

為Internet用戶訪問企業(yè)Web站點提供緩存加速

三、squid 基本配置

1．所需軟件包

軟件包名：squid-2.6.STABLE6（版本可能不一樣）

服務(wù)名：squid

主程序：/usr/sbin/squid

配置目錄：/etc/squid/

主配置文件：/etc/squid/squid.conf

默認監(jiān)聽端口：TCP 3128

默認訪問日志文件：/var/log/squid/access.log

2．主配置文件squid.conf

常用配置項

http_port 3128                         //默認監(jiān)聽端口

cache_mem 64 MB                     //緩存所占的內(nèi)存空間大小，建議為物理內(nèi)存的1/4—1/3

maximum_object_size 4096 KB           //最大緩存對象大小

reply_body_max_size 10240000 allow all  //限定最大請求的文件大小 單位是字節(jié) allow al表示允許所有人的請求

access_log /var/log/squid/access.log squid   //訪問日志

visible_hostname proxy.test.com        //反向解析自己的ip地址 以獲得主機名

cache_dir ufs /var/spool/squid 100 16 256    //定義緩存目錄  數(shù)據(jù)存儲格式 緩存到的目錄  為緩存目錄分配的磁盤空間（MB） 緩存空間的一級子目錄個數(shù)  二級子目錄個數(shù)

3．普通代理的相關(guān)配置

按照上面的常用配置項修改主配置文件

測試語法

#  squid –k parse

初始化squid緩存目錄

#  squid –z

啟動squid 服務(wù)

#  service squid start

接下來需要在客戶機上做相應(yīng)的代理設(shè)置，如下圖所示

服務(wù)器的地址（192.168.1.1）、端口（3128）

驗證代理服務(wù)器功能

在客戶機的瀏覽器上訪問某個站點（外網(wǎng)測試機ip 218.29.30.29

），網(wǎng)頁訪問成功后，檢查代理服務(wù)器的日志文件，應(yīng)發(fā)現(xiàn)客戶機的HTTP訪問記錄

[root@localhost ~]# tail -1 /var/log/squid/access.log

1244386040.208     62 192.168.1.100 TCP_MISS/200 2828 GET http://218.29.30.29/icons/apache_pb2.gif – DIRECT/218.29.30.29 image/gif

檢查外網(wǎng)測試機的Web訪問日志，應(yīng)發(fā)現(xiàn)進行訪問的是代理服務(wù)器主機（218.29.30.31），而不是客戶機

[root@gw1 ~]# tail -1 /var/log/httpd/access_log

218.29.30.31 – - [16/May/2009:12:39:39 +0800] “GET /icons/apache_pb2.gif HTTP/1.0″ 200 2414 “http://218.29.30.29″ “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; .NET CLR 1.0.3705; aff-kingsoft-ciba)”

4．配置透明代理

實現(xiàn)透明代理的基本條件

前提：（1）客戶機的Web訪問數(shù)據(jù)要能經(jīng)過防火墻

（2）代理服務(wù)構(gòu)建在網(wǎng)關(guān)（防火墻）主機中

配置要求：（1）代理服務(wù)程序能夠支持透明代理

（2）設(shè)置防火墻規(guī)則，將客戶機的Web訪問數(shù)據(jù)自動重定向給代理服務(wù)程序處理

基本實現(xiàn)步驟

（1）修改squid.conf配置文件，并重新加載該配置

http_port 192.168.10.1:8080 transparent

注意：不要忘了定義規(guī)則，因為默認是拒絕所有的。規(guī)則可以這樣定義：

acl myacl src 192.168.0.0/255.255.255.0

http_access allow myacl

（2）添加iptables規(guī)則

# iptables -t nat -I PREROUTING -i eth1 -s 192.168.10.0/24 -p tcp –dport 80 -j REDIRECT –to-ports 8080

（3）客戶機瀏覽器

不需要在瀏覽器中指定代理服務(wù)器的地址、端口

（4）驗證透明代理的實施效果

5．配置反向代理

（1）拓撲圖：

（2）基本實現(xiàn)步驟

修改squid.conf文件，并重新加載該配置

語法：cache_peer Web服務(wù)器地址 服務(wù)器類型 http端口 icp端口 [可選項]

http_port  218.29.30.31:80 vhost

cache_peer 192.168.10.7 parent 80 0 originserver weight=5 max-conn=30

cache_peer 192.168.10.8 parent 80 0 originserver weight=5 max-conn=30

cache_peer 192.168.10.9 parent 80 0 originserver weight=5 max-conn=30

cache_peer 192.168.10.6 parent 80 0 originserver weight=1 max-conn=8

（3）驗證反向代理的實施效果

在上游Web服務(wù)器（192.168.10.6～192.168.10.9）中開啟httpd服務(wù)

在Internet中的客戶機（218.29.30.29）中訪問反向代理服務(wù)器主機（http://218.29.30.31），應(yīng)能夠看到實際由上游Web服務(wù)器提供的網(wǎng)頁內(nèi)容

查看反向代理服務(wù)器的訪問日志信息

[root@localhost ~]# tail -1  /var/log/squid/access.log

1231256531.038  35 218.29.30.29 TCP_MISS/200 2869 GET http://218.29.30.31/index.php? – FIRST_UP_PARENT/192.168.10.6 image/gif

6. ACL訪問控制

（1）ACL（Access Control List，訪問控制列表）

可以從客戶機的IP地址、請求訪問的URL/域名/文件類型、訪問時間、并發(fā)請求數(shù)等各方面進行控制

（2）應(yīng)用訪問控制的方式

定義acl列表

acl 列表名稱 列表類型 列表內(nèi)容 …

常用的acl列表類型

src

dst

port

srcdomain

dstdomain

time

maxconn

url_regex

urlpath_regex

ACL列表定義示例

acl LAN1 src 192.168.10.0/24

acl PC1 src 192.168.10.12/32

acl Blk_Domain dstdomain .qq.com

acl Work_Hours time MTWHF 08:30-17:30

acl Max20_Conn maxconn 20

acl Blk_URL url_regex -i ^rtsp:// ^mms://

acl Blk_Words urlpath_regex -i sex adult

acl RealFile urlpath_regex -i \.rmvb$ \.rm$

針對acl列表進行限制

http_access allow或deny 列表名……

根據(jù)已經(jīng)定義的部分ACL列表進行訪問控制

http_access deny LAN1 Blk_URL

http_access deny LAN1 Blk_Words

http_access deny PC1 RealFile

http_access deny PC1 Max20_Conn

http_access allow LAN1 Work_Hours

訪問控制規(guī)則的匹配順序

沒有設(shè)置任何規(guī)則時，將拒絕所有客戶端的訪問請求

有規(guī)則但找不到相匹配的項時，將采用與最后一條規(guī)則相反的權(quán)限，即如果最后一條規(guī)則是allow，那么就拒絕客戶端的請求，否則允許該請求