深信服负载均衡AD日常维护综合手册.docx

深信服科技 AD日常维护手册 深信服科技 大用户服务部 04月 修订历史 编号 修订内容简述 修订日期 修订前版本号 修订后版本号 修订人 同意人 注：修订历史统计本文档提交时目前有效基础控制信息，目前版本文档使用期将在新版本文档生效时自动结束。文档版本号小于1.0 时，表示该版本文档为草案，仅供参考。 ■ 版权申明 本文中出现任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有尤其注明，版权均属深信服全部，受到相关产权及版权法保护。任何个人、机构未经深信服书面授权许可，不得以任何方法复制或引用本文任何片断。 目录 第1章 SANGFOR AD设备的每天例行检查 4 1.1 例行检查前需准备： 4 1.2 设备硬件状态例行检查项 4 1.2.1 设备状态灯的检查 4 1.2.2 接口指示灯的检查 4 1.2.3 设备CPU运行检查 5 1.2.4 设备异常状况检查 5 1.3 日常维护注意事项 5 1.4 升级客户端的使用 6 第2章 SANGFOR AD设备的每周例行检查 10 2.1 控制台账号安全性检查 10 2.2 关闭远程维护 10 2.3 设备配置备份 10 第3章 常见问题排错 11 3.1 无法登陆设备控制台 11 3.2 AD新建了虚拟服务，但是无法访问？ 11 3.3 链路负载，上网时快时慢，DNS有时解析不了域名 12 3.4 DNS策略不生效 12 3.5 DNS代理不生效 12 3.6 智能路由不生效 13 3.7 登陆应用系统，一会儿弹出并提示重新登陆 13 技术支持 13 第1章 SANGFOR AD设备天天例行检验 1.1 例行检验前需准备： (1) 安装了WINDOWS系统电脑一台 (2) 设备和步骤1所描述电脑在网络上是可连通 (3) 附件中所带工具包一份 （包含：升级用户端程序） 1.2 设备硬件状态例行检验项 为了确保设备稳定运行，工作人员需要以天为周期对设备进行检验，例行检验项目以下： 1.2.1 设备状态灯检验 SANGFOR AD系列硬件设备正常工作时电源灯常亮，设备状态指示灯（设备面板左上角标示“状态”字样）只在设备开启时因系统加载会长亮（约一分钟），正常工作时熄灭。假如在使用过程中此灯长亮（注意双机热备备机此灯会以闪烁），且设备无法正常使用请根据以下步骤进行操作： (1) 请立即将设备断电关闭，将系统切换到备机； (2) 半小时后将设备重启，若重启后红灯仍一直长亮不能熄灭，请速和本企业技术支持取得联络。 1.2.2 接口指示灯检验 正常情况下，网口link灯在感知到电信号时候会呈绿色（百兆链路，假如是千兆链路，该灯会成橙色）且长亮，网口ACT灯在有数据经过时候会呈橙色且会不停闪烁，假如link或ACT灯不闪或不亮，请根据以下步骤进行操作： (1) 检验该网线是否破损 (2) 检验网口水晶头是否有破损 (3) 检验网卡双工模式是否协商匹配 (4) 上述均没有问题，请立即重启设备切换主备，并立即联络深信服技术支持 1.2.3 设备CPU运行检验 经过设备控制台网关运行状态，检验CPU占用率是否长久居高，注：登陆设备后显示第一页面就是网关运行状态，假如CPU长久居高，请根据以下步骤进行操作： (1) 在线用户数是否超出了设备能够承受并发参数 (2) 设备是否遭受到了DOS攻击？（设备默认关闭防dos攻击，开启后可产生日志） (3) 某个进程是否异常 ？（需联络深信服技术支持确定） 1.2.4 设备异常情况检验 检验设备硬件是否有异常（风扇，硬盘是否有异常声响） 假如设备内部有异常声响，可能是硬盘或风扇异常工作造成，请立即断开电源停止设备工作，如有备用机，请立即将系统切换到备用机；并立即联络本企业客服部门以确定故障并返修设备。 1.3 日常维护注意事项 维护事项 维护说明 设备搬移 在移动设备前一定要拔掉全部电源线和外部电缆。 设备上架 1、AD以上（含AD）设备必需安装托盘或导轨。 2、用户并不含有标准机柜情况下，可将设备安装在洁净工作台上。并确保确保安装工作台足够牢靠，足以负担设备及电缆重量，设备四面留出10cm散热空间。 3、不可在设备上放置重物。 4、在机器上架安装过程中，注意同一机柜中其它设备，避免在安装过程中碰掉其它设备电源，网线接口等 设备耳片安装 设备安装托盘或导轨后，可视情况不安装耳片。其它情况全部必需安装耳片。 电源接线 有冗余电源设备必需接通冗余电源。 布线 1、布放走道线缆时，必需绑扎。绑扎后线缆应相互紧密靠拢，外观平直整齐，线扣间距均匀，松紧适度。布放槽道线缆时，能够不绑扎. 2、信号电缆、尾纤、电源线布放尽可能避开，不要靠得太近，更不能绑扎在一起。线缆在机柜中捆扎后，应平直、捆扎整齐，不得有线缆缆缠绕、弯曲等现象。 3、尾纤绑扎前检验光纤走线区域周围是否有毛刺、锐边或锐角物体等，假如发觉应尽可能规避。在机柜外布放时，提议安装光纤保护套管（波纹管）。 标签 线缆必需贴标签注明 1、电源线标签：内容为电缆对端位置信息 ，填写标签所在电缆侧对端设备、控制柜、分线盒或插座位置信息。 2、信号线标签：标签两面内容分别标识电缆两端所连端口位置信息。 3、粘贴标签之前先在整版标签纸上填写或打印好标签内容，然后揭下、粘贴在电缆或标识牌线扣上。 1.4 升级用户端使用 升级用户端是本企业开发用于调试设备一个用户端工具，集成了部分常见网络命令，和含有升级、备份设备配置功效，对于日常维护工作有很大帮助，下载地址： 请至服务和支持-软件下载-常见工具中下载最新版本升级用户端 注：使用升级用户端登陆设备须放通tcp 51111端口。 下载升级用户端后，解压压缩包，打开SANGFOR Firmware Updater.exe文件，以下图： 输入设备IP地址，并输入登录密码即可登录。 默认登录密码是“dlanrecover”或“控制台Admin管理员密码”。界面以下： 登录成功后，会出现登录成功提醒，以下图： 按F10，可进入以下界面 【备份】：包含备份配置、恢复备份配置选项，以下图： 【备份配置】：将现有配置信息进行备份。 【恢复备份配置】：将以前备份过配置信息恢复到设备。 【命令】：包含Ping、查看路由表、查看ARP表、查看网络配置选项。以下图 第2章 SANGFOR AD设备每七天例行检验 为了确保设备信息完整性和可恢复性，请以月为周期进行以下例行检验： 2.1 控制台账号安全性检验 检验项: 1. 控制台管理员密码是否为默认或是空？ 假如空密码或默认密码则检验不经过，请立即修改密码 2. 控制台管理员密码30天内有没有修改过？ 假如控制台管理员密码30天内全部没有修改过，请立即修改并妥善保留密码 3. 控制台是否有多出账号？ 假如有话，请删除多出账号，保留控制台账号 2.2 关闭远程维护 为了避免设备被非法入侵，请立即关闭远程维护功效。 2.3 设备配置备份 为了确保网络稳定运行，提议用户每半个月进行一次配置备份，以预防系统意外瘫痪造成系统无法快速恢复。 方法：见1.4升级用户端章节中相关备份配置介绍。 第3章 常见问题排错 本部分关键介绍了AD设备在使用中可能会碰到部分问题和维护方法： 3.1 无法登陆设备控制台 (1) 检验设备面板上红色alarm灯是否常亮 (2) 是否能够正常ping通设备管理口 (3) 从内网是否能telnet通设备443、51111端口 (4) Tracert设备管理口地址，看数据包是否能够抵达设备内网口 (5) 如经过上述步骤仍无法登陆设备速联络本企业技术支持 3.2 AD新建了虚拟服务，不过无法访问？ (1) 在【链路状态】里查看线路是否在线，如不在线，说明外网线路问题； (2) 在【虚拟服务状态】里查看虚拟服务状态，假如繁忙、离线，则不能访问； (3) 在【节点状态】检验节点是否在线； (4) 检察访问IP地址是否正确， 是否配置了互联网ip地址 ， dns策略和http重定向会使用互联网ip地址替换IP组地址； (5) 假如是网关模式，能够先禁用虚拟服务，然后建立端口映射，试着用端口映射是否能访问到； (6) 假如是网桥模式，检验IP组设置是否包含网桥IP，访问是否是网桥IP； (7) 假如节点在线，线路也未离线，假如是旁路模式布署，那检验是否做了SNAT； (8) 从内网不经过AD查看是否能够访问到应用系统； (9) 假如是使用 cookie 会话保持，改用 源IP会话保持看是否能恢复正常； (10) 假如不是基于http协议，有专门用户端软件，（比如手机炒股软件之类），测试时注意配置好虚拟服务后，要重启用户端。 3.3 链路负载，上网时快时慢，DNS有时解析不了域名 问题产生原因： (1) 使用了线路繁忙保护，造成上网数据匹配到智能路由里面default策略，default策略 采取流量最小加权算法，所以造成一会走线路1一会走线路2； (2) 访问目标IP不在ISP地址段里面； (3) 链路监视器问题，造成外网链路不停出现离线情况； (4) 使用电信地址去访问网通DNS服务器，网通DNS不回复，造成DNS解析不了； (5) 若启用了DNS代理，调度策略选轮询或加权轮询，有可能会出现访问一个电信站点，恰好调度到联通DNS，造成联通解析DNS不了域名； (6) 若启用了DNS代理，查看【DNS状态】，看DNS服务器是否不停离线。 处理方法： (1) 把繁忙保护百分比设置成99%（提议刚布署设备时，把繁忙保护百分比设置成99%），当只有1条电信或1条联通线路时，提议禁用繁忙保护。 (2) 确定dns用户端里面配置DNS服务器全部在ISP地址段里面。 3.4 DNS策略不生效 （1） 检验域名是不是A统计； （2） 【服务器设置】里面是否有填写监听地址； （3） 检验【服务器设置】里面地址，是否和DNS代理监听地址冲突； （4） 将电脑DNS地址填写成ADIP，能否解析； （5） 查看公网NS统计是否填写正确。 3.5 DNS代理不生效 （1） 监听地址有没有填； （2） DNS服务器列表有没有填； （3） 【DNS状态】中dns服务器是否在线； （4） 用户端电脑DNS是否填监听地址或DNS服务器列表中地址。 3.6 智能路由不生效 （1） 检验智能路由配置是否正确； （2） 查看【链路状态】中外网线路是否离线或繁忙； （3） 在【路由测试】中进行测试，看测试结果； （4） 检验【出站高级配置】，出站会话保持子网掩码是否适宜。 3.7 登陆应用系统，一会儿弹出并提醒重新登陆 （1） 检验是否开启会话保持； （2） 对于cookie会话保持，检验用户PC系统时间是否不正确，是否有较大误差； （3） 对于cookie会话保持，检验AD系统时间是否有较大误差； （4） cookie会话保持超时时间是否设置过短； （5） 检验用户浏览器是否把安全等级设置过高，是否禁用部分cookie。 技术支持 技术支持电话： 400-630-6430 技术支持论坛： 用户支持邮箱： 企业主页：