一、DNS正常引導

  1、cname引導

    此引導方式是大多數CDN廠商的做法，面向各網站主，用cname的方式為其提供接入CDN系統的入口，在操作上，一般CDN廠家會提供一個域名供網站主做cname使用，在做完cname的那一刻，你連接的服務器就由CDN廠家來控制了，也就成功將用戶請求智能的引導到他們的設備上去了。另外，要正常提供服務，主要得關注兩個問題，一個是cname解析，另一個是網站回源問題。

 2、forword引導

    此引導方式是大多數運營商的做法，他們有自己的DNS，有自己的寬帶用戶、專線用戶、無線用戶，為了節省網間流量成本的同時提高用戶體驗，他們會自建或找cache廠家合作進行cache集群建設，拿cache廠家為例，在操作上，運營商或cache廠家會先分析出一批可以做緩存的網間域名，然后將這些域名forword到cache廠家自建的DNS（二次開發后適合cache配置的）上，cache廠家的dns根據不同的解析規則（比如輪序、hash等）解析到后端的cache集群，進而成功的將用戶請求引導到了cache廠家的設備上，每臺緩存代理服務器會安裝bind并配置回源DNS（或者直接根域回源）。當然cache廠家也做了很好的高可用策略，比如說cache集群掛了訪問直接回源、兩臺DNS做高可用等等。

    有同學問運營商為什么要用forword遞歸的方式，而不是迭代指定dns的方式.先說一下迭代和遞歸的區別，舉個例子,你向A詢問什么是互聯網，A不知道，他告訴我讓我問B或C然后就不管了，這叫迭代，但同樣如果A不知道，但他說雖然我不知道但我向B或C問清楚后再告訴你，這就是遞歸，很清楚了吧。遞歸有個好處，每經過的環節能夠做到信息同步，所以用遞歸處理。下面是一個精簡的業務架構原理圖：

二、劫持污染

    劫持和污染是運營商進行請求引導的另外一種重要方式，在操作上會在入口鏈路上使用分光設備將流量復制一份，復制后的流量使用流量分析設備進行分析處理，由于更靠近網內網民，設備會將要劫持的請求搶先將偽造的結果回傳給用戶，而這個結果就是欺騙網民去訪問指定的服務器，從而達到將請求劫持到cache服務集群上的效果，從劫持的請求看分為dns劫持和http劫持。有些同學叫這種dns引導方式為dns污染，因為感覺只是偽裝回復沒有劫持，反正不管怎么叫，都是這么一個理，畫了一張業務流程架構圖如下：

  1、DNS劫持（污染）

    DNS劫持（污染）是指流量分析劫持設備在分析到需要的DNS查詢請求后（一般為udp53號端口，要抓取的dns的ip地址設置白名單），搶先偽裝一個DNS回復請求給用戶，為什么會搶先呢，因為用戶和流量分析劫持設備是網內對網內，不管是時延也好還是其它鏈路質量也好，都要比網間要快很多很多，而udp的特點是沒有驗證機制，用戶會接受第一個查詢結果，其余的將會被拋棄。

  2、http請求劫持

    http請求劫持是指流量分析劫持設備在分析道需要的http請求后，偽裝客戶端給源站發一個reset標記斷開連接，然后偽裝源站給用戶回一個302重定向到cache設備上，比如說你訪問的是www.aaa.com/123.html，cache設備是1.1.1.1，被劫持后會發一個http://1.1.1.1/www.aaa.com/123.html的302重定向給用戶，用戶自然就被引導到1.1.1.1上面了。

三、透明代理引導

  透明代理是將cache設備作為中間網關串聯到鏈路中去的，作為網關其實說白了cache設備要開啟路由轉發，承擔了路由器的作用，很多大的企事業單位為什么節約流量，會在其出口上安裝一臺這樣的設備，比如說原來需要買兩個G帶寬，在做了透明代理后只需要買1.5個G了，的對于用戶而言沒有任何需要操作的，所以叫透明代理。

  透明代理也有兩種方式，都是基于iptable，一種是基于端口轉發，將目的地址是80的請求，轉發到本地啟用的比如說8080的cache應用上，由cache應用處理后為客戶提供服務，這種方式的弊端是有可能影響一些服務，因為80端口過來不一定全是http請求。另外一種是采用tcp旁路監聽代理的方式tproxy，此種方式是非常好的，配置iptable的mangle表的PREROUTING鏈，對tcp的socket的連接打上mark標記，然后新建路由表讓打過標記的tcp通過，監聽目的端口是80的tcp通過tproxy代理至8080的cache應用上，由cache應用處理后為客戶提供服務。

    操作上，服務器要開啟路由轉發、開啟iptable，要安裝緩存代理軟件，然后進行相應的配置，當然在高可用性上要做到對路由的心跳，一旦代理服務器故障，直接跳過代理服務器到下一跳，保證業務的持續性。