深信服負(fù)載均衡AD日常維護(hù)手冊(cè)

1、深信服科技AD日常維護(hù)手冊(cè)深信服科技 大客戶服務(wù)部2015年04月修訂歷史編號(hào)修訂內(nèi)容簡(jiǎn)述修訂日期修訂前版本號(hào)修訂后版本號(hào)修訂人批準(zhǔn)人注：修訂歷史記錄本文檔提交時(shí)的當(dāng)前有效的基本控制信息，當(dāng)前版本文檔有效期將在新版本文檔生效時(shí)自動(dòng)結(jié)束。文檔版本號(hào)小于1.0 時(shí)，表示該版本文檔為草案，僅供參考。 版權(quán)聲明本文中出現(xiàn)的任何文字?jǐn)⑹?、文檔格式、插圖、照片、方法、過(guò)程等內(nèi)容，除另有特別注明，版權(quán)均屬深信服所有，受到有關(guān)產(chǎn)權(quán)及版權(quán)法保護(hù)。任何個(gè)人、機(jī)構(gòu)未經(jīng)深信服的書(shū)面授權(quán)許可，不得以任何方式復(fù)制或引用本文的任何片斷。目錄 TOC o 1-3 h z u HYPERLINK l _Toc360026920

2、 第1章 SANGFOR AD設(shè)備的每天例行檢查 PAGEREF _Toc360026920 h 4 HYPERLINK l _Toc360026921 1.1 例行檢查前需準(zhǔn)備： PAGEREF _Toc360026921 h 4 HYPERLINK l _Toc360026922 1.2 設(shè)備硬件狀態(tài)例行檢查項(xiàng) PAGEREF _Toc360026922 h 4 HYPERLINK l _Toc360026923 1.2.1設(shè)備狀態(tài)燈的檢查 PAGEREF _Toc360026923 h 4 HYPERLINK l _Toc360026924 1.2.2接口指示燈的檢查 PAGEREF _

3、Toc360026924 h 4 HYPERLINK l _Toc360026925 1.2.3設(shè)備CPU運(yùn)行檢查 PAGEREF _Toc360026925 h 5 HYPERLINK l _Toc360026926 1.2.4設(shè)備異常狀況檢查 PAGEREF _Toc360026926 h 5 HYPERLINK l _Toc360026927 1.3 日常維護(hù)注意事項(xiàng) PAGEREF _Toc360026927 h 5 HYPERLINK l _Toc360026928 1.4 升級(jí)客戶端的使用 PAGEREF _Toc360026928 h 6 HYPERLINK l _Toc3600

4、26929 第2章 SANGFOR AD設(shè)備的每周例行檢查 PAGEREF _Toc360026929 h 10 HYPERLINK l _Toc360026930 2.1 控制臺(tái)賬號(hào)安全性檢查 PAGEREF _Toc360026930 h 10 HYPERLINK l _Toc360026931 2.2 關(guān)閉遠(yuǎn)程維護(hù) PAGEREF _Toc360026931 h 10 HYPERLINK l _Toc360026932 2.3 設(shè)備配置備份 PAGEREF _Toc360026932 h 10 HYPERLINK l _Toc360026933 第3章 常見(jiàn)問(wèn)題排錯(cuò) PAGEREF _T

5、oc360026933 h 11 HYPERLINK l _Toc360026934 3.1 無(wú)法登陸設(shè)備控制臺(tái) PAGEREF _Toc360026934 h 11 HYPERLINK l _Toc360026935 3.2 AD新建了虛擬服務(wù)，但是無(wú)法訪問(wèn)？ PAGEREF _Toc360026935 h 11 HYPERLINK l _Toc360026936 3.3 鏈路負(fù)載，上網(wǎng)時(shí)快時(shí)慢，DNS有時(shí)解析不了域名 PAGEREF _Toc360026936 h 12 HYPERLINK l _Toc360026937 3.4 DNS策略不生效 PAGEREF _Toc360026937

6、 h 12 HYPERLINK l _Toc360026938 3.5 DNS代理不生效 PAGEREF _Toc360026938 h 12 HYPERLINK l _Toc360026939 3.6 智能路由不生效 PAGEREF _Toc360026939 h 13 HYPERLINK l _Toc360026940 3.7 登陸應(yīng)用系統(tǒng)，一會(huì)兒彈出并提示重新登陸 PAGEREF _Toc360026940 h 13 HYPERLINK l _Toc360026941 技術(shù)支持 PAGEREF _Toc360026941 h 13SANGFOR AD設(shè)備的每天例行檢查例行檢查前需準(zhǔn)備：安

7、裝了WINDOWS系統(tǒng)的電腦一臺(tái)設(shè)備與步驟1所描述的電腦在網(wǎng)絡(luò)上是可連通的附件中所帶的工具包一份 （包括：升級(jí)客戶端程序）設(shè)備硬件狀態(tài)例行檢查項(xiàng)為了保證設(shè)備的穩(wěn)定運(yùn)行，工作人員需要以天為周期對(duì)設(shè)備進(jìn)行檢查，例行檢查的項(xiàng)目如下：設(shè)備狀態(tài)燈的檢查SANGFOR AD系列硬件設(shè)備正常工作時(shí)電源燈常亮，設(shè)備的狀態(tài)指示燈（設(shè)備面板左上角標(biāo)示“狀態(tài)”字樣）只在設(shè)備啟動(dòng)時(shí)因系統(tǒng)加載會(huì)長(zhǎng)亮（約一分鐘），正常工作時(shí)熄滅。如果在使用過(guò)程中此燈長(zhǎng)亮（注意雙機(jī)熱備的備機(jī)此燈會(huì)以閃爍），且設(shè)備無(wú)法正常使用請(qǐng)按照如下步驟進(jìn)行操作：請(qǐng)立即將設(shè)備斷電關(guān)閉，將系統(tǒng)切換到備機(jī)；半小時(shí)后將設(shè)備重啟，若重啟后紅燈仍一直長(zhǎng)亮不能熄滅，

8、請(qǐng)速與我司技術(shù)支持取得聯(lián)系。接口指示燈的檢查正常情況下，網(wǎng)口link燈在感知到電信號(hào)的時(shí)候會(huì)呈綠色（百兆鏈路，如果是千兆鏈路，該燈會(huì)成橙色）且長(zhǎng)亮，網(wǎng)口ACT燈在有數(shù)據(jù)通過(guò)的時(shí)候會(huì)呈橙色且會(huì)不停閃爍，如果link或者ACT燈不閃或者不亮，請(qǐng)按照如下步驟進(jìn)行操作：檢查該網(wǎng)線是否破損檢查網(wǎng)口水晶頭是否有破損檢查網(wǎng)卡雙工模式是否協(xié)商匹配上述均沒(méi)有問(wèn)題，請(qǐng)及時(shí)重啟設(shè)備切換主備，并及時(shí)聯(lián)系深信服技術(shù)支持設(shè)備CPU運(yùn)行檢查通過(guò)設(shè)備控制臺(tái)的網(wǎng)關(guān)運(yùn)行狀態(tài)，檢查CPU占用率是否長(zhǎng)期居高，注：登陸設(shè)備后顯示的第一頁(yè)面就是網(wǎng)關(guān)運(yùn)行狀態(tài)，如果CPU長(zhǎng)期居高，請(qǐng)按照如下步驟進(jìn)行操作：在線用戶數(shù)是否超過(guò)了設(shè)備能夠承受的并

9、發(fā)參數(shù)設(shè)備是否遭受到了DOS攻擊？（設(shè)備默認(rèn)關(guān)閉防dos攻擊，開(kāi)啟后可產(chǎn)生日志）某個(gè)進(jìn)程是否異常 ？（需聯(lián)系深信服技術(shù)支持確認(rèn)）設(shè)備異常狀況檢查檢查設(shè)備硬件是否有異常（風(fēng)扇，硬盤(pán)是否有異常聲響）如果設(shè)備內(nèi)部有異常聲響，可能是硬盤(pán)或風(fēng)扇的異常工作導(dǎo)致，請(qǐng)立即斷開(kāi)電源停止設(shè)備工作，如有備用機(jī)，請(qǐng)立即將系統(tǒng)切換到備用機(jī)；并及時(shí)聯(lián)系我司客服部門(mén)以確認(rèn)故障并返修設(shè)備。日常維護(hù)注意事項(xiàng)維護(hù)事項(xiàng)維護(hù)說(shuō)明設(shè)備搬移在移動(dòng)設(shè)備前一定要拔掉所有電源線和外部電纜。設(shè)備上架1、AD2000以上（含AD2000）設(shè)備必須安裝托盤(pán)或?qū)к墶?、用戶并不具備標(biāo)準(zhǔn)機(jī)柜情況下，可將設(shè)備安裝在干凈的工作臺(tái)上。并保證保證安裝工作臺(tái)足夠

10、牢固，足以承擔(dān)設(shè)備及電纜的重量，設(shè)備四周留出10cm散熱空間。3、不可在設(shè)備上放置重物。4、在機(jī)器上架安裝過(guò)程中，注意同一機(jī)柜中其它設(shè)備，避免在安裝過(guò)程中碰掉其他設(shè)備的電源，網(wǎng)線接口等設(shè)備耳片安裝設(shè)備安裝托盤(pán)或?qū)к壓?，可視情況不安裝耳片。其他情況都必須安裝耳片。電源接線有冗余電源設(shè)備必須接通冗余電源。布線1、布放走道線纜時(shí)，必須綁扎。綁扎后的線纜應(yīng)互相緊密靠攏，外觀平直整齊，線扣間距均勻，松緊適度。布放槽道線纜時(shí)，可以不綁扎.2、信號(hào)電纜、尾纖、電源線的布放盡量避開(kāi)，不要靠得太近，更不能綁扎在一起。線纜在機(jī)柜中捆扎后，應(yīng)平直、捆扎整齊，不得有線纜纜纏繞、彎曲等現(xiàn)象。3、尾纖綁扎前檢查光纖走線區(qū)

11、域附近是否有毛刺、銳邊或銳角物體等，如果發(fā)現(xiàn)應(yīng)盡量規(guī)避。在機(jī)柜外布放時(shí)，建議安裝光纖保護(hù)套管（波紋管）。標(biāo)簽線纜必須貼標(biāo)簽注明1、電源線標(biāo)簽：內(nèi)容為電纜對(duì)端位置信息 ，填寫(xiě)標(biāo)簽所在電纜側(cè)對(duì)端設(shè)備、控制柜、分線盒或插座的位置信息。 2、信號(hào)線標(biāo)簽：標(biāo)簽兩面內(nèi)容分別標(biāo)識(shí)電纜兩端所連端口的位置信息。3、粘貼標(biāo)簽之前先在整版標(biāo)簽紙上填寫(xiě)或打印好標(biāo)簽內(nèi)容，然后揭下、粘貼在電纜或標(biāo)識(shí)牌線扣上。升級(jí)客戶端的使用升級(jí)客戶端是我司開(kāi)發(fā)的用于調(diào)試設(shè)備的一個(gè)客戶端工具，集成了一些常用的網(wǎng)絡(luò)命令，和具備升級(jí)、備份設(shè)備配置的功能，對(duì)于日常維護(hù)工作有很大幫助，下載地址： HYPERLINK / /請(qǐng)至服務(wù)與支持-軟件下載

12、-常用工具中下載最新版本的升級(jí)客戶端注：使用升級(jí)客戶端登陸設(shè)備須放通tcp 51111端口。下載升級(jí)客戶端后，解壓壓縮包，打開(kāi)SANGFOR Firmware Updater.exe文件，如下圖：輸入設(shè)備的IP地址，并輸入登錄密碼即可登錄。默認(rèn)的登錄密碼是“dlanrecover”或“控制臺(tái)Admin管理員的密碼”。界面如下：登錄成功后，會(huì)出現(xiàn)登錄成功的提示，如下圖：按F10，可進(jìn)入如下界面【備份】：包括備份配置、恢復(fù)備份配置選項(xiàng)，如下圖：【備份配置】：將現(xiàn)有的配置信息進(jìn)行備份。【恢復(fù)備份配置】：將以前備份過(guò)的配置信息恢復(fù)到設(shè)備?！久睢浚喊≒ing、查看路由表、查看ARP表、查看網(wǎng)絡(luò)配置選

13、項(xiàng)。如下圖SANGFOR AD設(shè)備的每周例行檢查為了保證設(shè)備信息的完整性和可恢復(fù)性，請(qǐng)以月為周期進(jìn)行如下例行檢查：控制臺(tái)賬號(hào)安全性檢查檢查項(xiàng):控制臺(tái)管理員密碼是否為默認(rèn)或是空？如果空密碼或默認(rèn)密碼則檢查不通過(guò)，請(qǐng)立即修改密碼控制臺(tái)管理員密碼一個(gè)月內(nèi)有沒(méi)有修改過(guò)？如果控制臺(tái)管理員密碼一個(gè)月內(nèi)都沒(méi)有修改過(guò)，請(qǐng)立即修改并妥善保存密碼控制臺(tái)是否有多余賬號(hào)？如果有的話，請(qǐng)刪除多余賬號(hào)，保留控制臺(tái)賬號(hào)關(guān)閉遠(yuǎn)程維護(hù)為了避免設(shè)備被非法入侵，請(qǐng)及時(shí)關(guān)閉遠(yuǎn)程維護(hù)功能。設(shè)備配置備份為了保證網(wǎng)絡(luò)的穩(wěn)定運(yùn)行，建議客戶每半個(gè)月進(jìn)行一次配置的備份，以防止系統(tǒng)意外癱瘓導(dǎo)致系統(tǒng)無(wú)法迅速恢復(fù)。方法：見(jiàn)1.4升級(jí)客戶端章節(jié)中關(guān)于備

14、份配置的介紹。常見(jiàn)問(wèn)題排錯(cuò)本部分主要介紹了AD設(shè)備在使用中可能會(huì)碰到的一些問(wèn)題和維護(hù)的方法：無(wú)法登陸設(shè)備控制臺(tái)檢查設(shè)備面板上紅色alarm燈是否常亮是否能夠正常ping通設(shè)備管理口從內(nèi)網(wǎng)是否能telnet通設(shè)備443、51111端口Tracert設(shè)備管理口地址，看數(shù)據(jù)包是否能夠到達(dá)設(shè)備內(nèi)網(wǎng)口如經(jīng)過(guò)上述步驟仍無(wú)法登陸設(shè)備速聯(lián)系我司技術(shù)支持AD新建了虛擬服務(wù)，但是無(wú)法訪問(wèn)？在【鏈路狀態(tài)】里查看線路是否在線，如不在線，說(shuō)明外網(wǎng)線路問(wèn)題；在【虛擬服務(wù)狀態(tài)】里查看虛擬服務(wù)狀態(tài)，如果繁忙、離線，則不能訪問(wèn)；在【節(jié)點(diǎn)狀態(tài)】檢查節(jié)點(diǎn)是否在線；檢查訪問(wèn)的IP地址是否正確， 是否配置了互聯(lián)網(wǎng)ip地址 ， dns策

15、略和http重定向會(huì)使用互聯(lián)網(wǎng)ip地址替換IP組的地址；如果是網(wǎng)關(guān)模式，可以先禁用虛擬服務(wù)，然后建立端口映射，試著用端口映射是否能訪問(wèn)到；如果是網(wǎng)橋模式，檢查IP組設(shè)置的是否包含網(wǎng)橋IP，訪問(wèn)的是否是網(wǎng)橋IP；如果節(jié)點(diǎn)在線，線路也未離線，如果是旁路模式部署，那檢查是否做了SNAT；從內(nèi)網(wǎng)不經(jīng)過(guò)AD查看是否可以訪問(wèn)到應(yīng)用系統(tǒng)；如果是使用 cookie 會(huì)話保持，改用 源IP會(huì)話保持看是否能恢復(fù)正常；如果不是基于http協(xié)議的，有專(zhuān)門(mén)的客戶端軟件的，（例如手機(jī)炒股軟件之類(lèi)），測(cè)試時(shí)注意配置好虛擬服務(wù)后，要重啟客戶端。鏈路負(fù)載，上網(wǎng)時(shí)快時(shí)慢，DNS有時(shí)解析不了域名問(wèn)題產(chǎn)生的原因：使用了線路繁忙保護(hù)，

16、導(dǎo)致上網(wǎng)數(shù)據(jù)匹配到智能路由里面的default策略，default策略采用流量最小加權(quán)算法，所以導(dǎo)致一會(huì)走線路1一會(huì)走線路2；訪問(wèn)的目標(biāo)IP不在ISP地址段里面；鏈路監(jiān)視器問(wèn)題，導(dǎo)致外網(wǎng)鏈路不停的出現(xiàn)離線的情況；使用電信的地址去訪問(wèn)網(wǎng)通的DNS服務(wù)器，網(wǎng)通的DNS不回復(fù)，導(dǎo)致DNS解析不了；若啟用了DNS代理，調(diào)度策略選輪詢(xún)或加權(quán)輪詢(xún)，有可能會(huì)出現(xiàn)訪問(wèn)一個(gè)電信的站點(diǎn)，恰好調(diào)度到聯(lián)通的DNS，導(dǎo)致聯(lián)通解析DNS不了域名；若啟用了DNS代理，查看【DNS狀態(tài)】，看DNS服務(wù)器是否不停離線。解決方法：把繁忙保護(hù)比例設(shè)置成99%（建議剛部署設(shè)備時(shí)，把繁忙保護(hù)比例設(shè)置成99%），當(dāng)只有1條電信或1條聯(lián)通線路時(shí)，建議禁用繁忙保護(hù)。確定dns客戶端里面配置的DNS服務(wù)器都在ISP地址段里面。DNS策略不生效檢查域名是不是A記錄；【服務(wù)器設(shè)置】里面是否有填寫(xiě)監(jiān)聽(tīng)地址；檢查【服務(wù)器設(shè)置】里面的地址，是否和DNS代理的監(jiān)聽(tīng)地址沖突；將電腦的DNS地址填寫(xiě)成AD的IP，能否解析；查看公網(wǎng)的NS記錄是否填寫(xiě)正確。DNS代理不生效監(jiān)聽(tīng)地址有沒(méi)有填；DNS服務(wù)器列表有沒(méi)有填；【DNS狀態(tài)】中dns服務(wù)器是否在線；客戶端電腦的DNS是否填的監(jiān)聽(tīng)地址或者DNS服務(wù)器列表中的地址。智能路由不生效檢查智能路由的配置是否正確；查看【鏈路狀態(tài)】中的外網(wǎng)線