深信服負(fù)載均衡AD日常維護(hù)手冊

1、深信服科技AD日常維護(hù)手冊深信服科技 大客戶服務(wù)部2015年04月深信服科技大客戶服務(wù)部AD日常維護(hù)手冊頁碼14/14修訂歷史編號修訂內(nèi)容簡述修訂日期修訂前版本號修訂后版本號修訂人批準(zhǔn)人注：修訂歷史記錄本文檔提交時(shí)的當(dāng)前有效的基本控制信息，當(dāng)前版本文檔有效期將在新版本文檔生效時(shí)自動(dòng)結(jié)束。文檔版本號小于1.0 時(shí)，表示該版本文檔為草案，僅供參考。 版權(quán)聲明本文中出現(xiàn)的任何文字?jǐn)⑹觥⑽臋n格式、插圖、照片、方法、過程等內(nèi)容，除另有特別注明，版權(quán)均屬深信服所有，受到有關(guān)產(chǎn)權(quán)及版權(quán)法保護(hù)。任何個(gè)人、機(jī)構(gòu)未經(jīng)深信服的書面授權(quán)許可，不得以任何方式復(fù)制或引用本文的任何片斷。目錄第1章 SANGFOR AD設(shè)備

2、的每天例行檢查41.1 例行檢查前需準(zhǔn)備：41.2 設(shè)備硬件狀態(tài)例行檢查項(xiàng)41.2.1設(shè)備狀態(tài)燈的檢查41.2.2接口指示燈的檢查41.2.3設(shè)備CPU運(yùn)行檢查51.2.4設(shè)備異常狀況檢查51.3 日常維護(hù)注意事項(xiàng)51.4 升級客戶端的使用6第2章 SANGFOR AD設(shè)備的每周例行檢查102.1 控制臺賬號安全性檢查102.2 關(guān)閉遠(yuǎn)程維護(hù)102.3 設(shè)備配置備份10第3章 常見問題排錯(cuò)113.1 無法登陸設(shè)備控制臺113.2 AD新建了虛擬服務(wù)，但是無法訪問？113.3 鏈路負(fù)載，上網(wǎng)時(shí)快時(shí)慢，DNS有時(shí)解析不了域名123.4 DNS策略不生效123.5 DNS代理不生效123.6 智能路

3、由不生效133.7 登陸應(yīng)用系統(tǒng)，一會兒彈出并提示重新登陸13技術(shù)支持13第1章 SANGFOR AD設(shè)備的每天例行檢查1.1 例行檢查前需準(zhǔn)備：(1) 安裝了WINDOWS系統(tǒng)的電腦一臺(2) 設(shè)備與步驟1所描述的電腦在網(wǎng)絡(luò)上是可連通的(3) 附件中所帶的工具包一份 （包括：升級客戶端程序）1.2 設(shè)備硬件狀態(tài)例行檢查項(xiàng)為了保證設(shè)備的穩(wěn)定運(yùn)行，工作人員需要以天為周期對設(shè)備進(jìn)行檢查，例行檢查的項(xiàng)目如下：1.2.1 設(shè)備狀態(tài)燈的檢查SANGFOR AD系列硬件設(shè)備正常工作時(shí)電源燈常亮，設(shè)備的狀態(tài)指示燈（設(shè)備面板左上角標(biāo)示“狀態(tài)”字樣）只在設(shè)備啟動(dòng)時(shí)因系統(tǒng)加載會長亮（約一分鐘），正常工作時(shí)熄滅。如

4、果在使用過程中此燈長亮（注意雙機(jī)熱備的備機(jī)此燈會以閃爍），且設(shè)備無法正常使用請按照如下步驟進(jìn)行操作：(1) 請立即將設(shè)備斷電關(guān)閉，將系統(tǒng)切換到備機(jī)；(2) 半小時(shí)后將設(shè)備重啟，若重啟后紅燈仍一直長亮不能熄滅，請速與我司技術(shù)支持取得聯(lián)系。1.2.2 接口指示燈的檢查正常情況下，網(wǎng)口link燈在感知到電信號的時(shí)候會呈綠色（百兆鏈路，如果是千兆鏈路，該燈會成橙色）且長亮，網(wǎng)口ACT燈在有數(shù)據(jù)通過的時(shí)候會呈橙色且會不停閃爍，如果link或者ACT燈不閃或者不亮，請按照如下步驟進(jìn)行操作：(1) 檢查該網(wǎng)線是否破損(2) 檢查網(wǎng)口水晶頭是否有破損(3) 檢查網(wǎng)卡雙工模式是否協(xié)商匹配(4) 上述均沒有問題，

5、請及時(shí)重啟設(shè)備切換主備，并及時(shí)聯(lián)系深信服技術(shù)支持1.2.3 設(shè)備CPU運(yùn)行檢查通過設(shè)備控制臺的網(wǎng)關(guān)運(yùn)行狀態(tài)，檢查CPU占用率是否長期居高，注：登陸設(shè)備后顯示的第一頁面就是網(wǎng)關(guān)運(yùn)行狀態(tài)，如果CPU長期居高，請按照如下步驟進(jìn)行操作：(1) 在線用戶數(shù)是否超過了設(shè)備能夠承受的并發(fā)參數(shù)(2) 設(shè)備是否遭受到了DOS攻擊？（設(shè)備默認(rèn)關(guān)閉防dos攻擊，開啟后可產(chǎn)生日志）(3) 某個(gè)進(jìn)程是否異常 ？（需聯(lián)系深信服技術(shù)支持確認(rèn)）1.2.4 設(shè)備異常狀況檢查檢查設(shè)備硬件是否有異常（風(fēng)扇，硬盤是否有異常聲響）如果設(shè)備內(nèi)部有異常聲響，可能是硬盤或風(fēng)扇的異常工作導(dǎo)致，請立即斷開電源停止設(shè)備工作，如有備用機(jī)，請立即將系

6、統(tǒng)切換到備用機(jī)；并及時(shí)聯(lián)系我司客服部門以確認(rèn)故障并返修設(shè)備。1.3 日常維護(hù)注意事項(xiàng)維護(hù)事項(xiàng)維護(hù)說明設(shè)備搬移在移動(dòng)設(shè)備前一定要拔掉所有電源線和外部電纜。設(shè)備上架1、AD2000以上（含AD2000）設(shè)備必須安裝托盤或?qū)к墶?、用戶并不具備標(biāo)準(zhǔn)機(jī)柜情況下，可將設(shè)備安裝在干凈的工作臺上。并保證保證安裝工作臺足夠牢固，足以承擔(dān)設(shè)備及電纜的重量，設(shè)備四周留出10cm散熱空間。3、不可在設(shè)備上放置重物。4、在機(jī)器上架安裝過程中，注意同一機(jī)柜中其它設(shè)備，避免在安裝過程中碰掉其他設(shè)備的電源，網(wǎng)線接口等設(shè)備耳片安裝設(shè)備安裝托盤或?qū)к壓?，可視情況不安裝耳片。其他情況都必須安裝耳片。電源接線有冗余電源設(shè)備必須接通

7、冗余電源。布線1、布放走道線纜時(shí)，必須綁扎。綁扎后的線纜應(yīng)互相緊密靠攏，外觀平直整齊，線扣間距均勻，松緊適度。布放槽道線纜時(shí)，可以不綁扎.2、信號電纜、尾纖、電源線的布放盡量避開，不要靠得太近，更不能綁扎在一起。線纜在機(jī)柜中捆扎后，應(yīng)平直、捆扎整齊，不得有線纜纜纏繞、彎曲等現(xiàn)象。3、尾纖綁扎前檢查光纖走線區(qū)域附近是否有毛刺、銳邊或銳角物體等，如果發(fā)現(xiàn)應(yīng)盡量規(guī)避。在機(jī)柜外布放時(shí)，建議安裝光纖保護(hù)套管（波紋管）。標(biāo)簽線纜必須貼標(biāo)簽注明1、電源線標(biāo)簽：內(nèi)容為電纜對端位置信息 ，填寫標(biāo)簽所在電纜側(cè)對端設(shè)備、控制柜、分線盒或插座的位置信息。 2、信號線標(biāo)簽：標(biāo)簽兩面內(nèi)容分別標(biāo)識電纜兩端所連端口的位置信息

8、。3、粘貼標(biāo)簽之前先在整版標(biāo)簽紙上填寫或打印好標(biāo)簽內(nèi)容，然后揭下、粘貼在電纜或標(biāo)識牌線扣上。1.4 升級客戶端的使用升級客戶端是我司開發(fā)的用于調(diào)試設(shè)備的一個(gè)客戶端工具，集成了一些常用的網(wǎng)絡(luò)命令，和具備升級、備份設(shè)備配置的功能，對于日常維護(hù)工作有很大幫助，下載地址：請至服務(wù)與支持-軟件下載-常用工具中下載最新版本的升級客戶端注：使用升級客戶端登陸設(shè)備須放通tcp 51111端口。下載升級客戶端后，解壓壓縮包，打開SANGFOR Firmware Updater.exe文件，如下圖：輸入設(shè)備的IP地址，并輸入登錄密碼即可登錄。默認(rèn)的登錄密碼是“dlanrecover”或“控制臺Admin管理員的密

9、碼”。界面如下：登錄成功后，會出現(xiàn)登錄成功的提示，如下圖：按F10，可進(jìn)入如下界面【備份】：包括備份配置、恢復(fù)備份配置選項(xiàng)，如下圖：【備份配置】：將現(xiàn)有的配置信息進(jìn)行備份?！净謴?fù)備份配置】：將以前備份過的配置信息恢復(fù)到設(shè)備?！久睢浚喊≒ing、查看路由表、查看ARP表、查看網(wǎng)絡(luò)配置選項(xiàng)。如下圖第2章 SANGFOR AD設(shè)備的每周例行檢查為了保證設(shè)備信息的完整性和可恢復(fù)性，請以月為周期進(jìn)行如下例行檢查：2.1 控制臺賬號安全性檢查檢查項(xiàng):1. 控制臺管理員密碼是否為默認(rèn)或是空？如果空密碼或默認(rèn)密碼則檢查不通過，請立即修改密碼2. 控制臺管理員密碼一個(gè)月內(nèi)有沒有修改過？如果控制臺管理員密碼一

10、個(gè)月內(nèi)都沒有修改過，請立即修改并妥善保存密碼3. 控制臺是否有多余賬號？如果有的話，請刪除多余賬號，保留控制臺賬號2.2 關(guān)閉遠(yuǎn)程維護(hù)為了避免設(shè)備被非法入侵，請及時(shí)關(guān)閉遠(yuǎn)程維護(hù)功能。2.3 設(shè)備配置備份為了保證網(wǎng)絡(luò)的穩(wěn)定運(yùn)行，建議客戶每半個(gè)月進(jìn)行一次配置的備份，以防止系統(tǒng)意外癱瘓導(dǎo)致系統(tǒng)無法迅速恢復(fù)。方法：見1.4升級客戶端章節(jié)中關(guān)于備份配置的介紹。第3章 常見問題排錯(cuò)本部分主要介紹了AD設(shè)備在使用中可能會碰到的一些問題和維護(hù)的方法：3.1 無法登陸設(shè)備控制臺(1) 檢查設(shè)備面板上紅色alarm燈是否常亮(2) 是否能夠正常ping通設(shè)備管理口(3) 從內(nèi)網(wǎng)是否能telnet通設(shè)備443、51

11、111端口(4) Tracert設(shè)備管理口地址，看數(shù)據(jù)包是否能夠到達(dá)設(shè)備內(nèi)網(wǎng)口(5) 如經(jīng)過上述步驟仍無法登陸設(shè)備速聯(lián)系我司技術(shù)支持3.2 AD新建了虛擬服務(wù)，但是無法訪問？(1) 在【鏈路狀態(tài)】里查看線路是否在線，如不在線，說明外網(wǎng)線路問題；(2) 在【虛擬服務(wù)狀態(tài)】里查看虛擬服務(wù)狀態(tài)，如果繁忙、離線，則不能訪問；(3) 在【節(jié)點(diǎn)狀態(tài)】檢查節(jié)點(diǎn)是否在線；(4) 檢查訪問的IP地址是否正確， 是否配置了互聯(lián)網(wǎng)ip地址 ， dns策略和http重定向會使用互聯(lián)網(wǎng)ip地址替換IP組的地址；(5) 如果是網(wǎng)關(guān)模式，可以先禁用虛擬服務(wù)，然后建立端口映射，試著用端口映射是否能訪問到；(6) 如果是網(wǎng)橋模

12、式，檢查IP組設(shè)置的是否包含網(wǎng)橋IP，訪問的是否是網(wǎng)橋IP；(7) 如果節(jié)點(diǎn)在線，線路也未離線，如果是旁路模式部署，那檢查是否做了SNAT；(8) 從內(nèi)網(wǎng)不經(jīng)過AD查看是否可以訪問到應(yīng)用系統(tǒng)；(9) 如果是使用 cookie 會話保持，改用 源IP會話保持看是否能恢復(fù)正常；(10) 如果不是基于http協(xié)議的，有專門的客戶端軟件的，（例如手機(jī)炒股軟件之類），測試時(shí)注意配置好虛擬服務(wù)后，要重啟客戶端。3.3 鏈路負(fù)載，上網(wǎng)時(shí)快時(shí)慢，DNS有時(shí)解析不了域名問題產(chǎn)生的原因：(1) 使用了線路繁忙保護(hù)，導(dǎo)致上網(wǎng)數(shù)據(jù)匹配到智能路由里面的default策略，default策略采用流量最小加權(quán)算法，所以導(dǎo)致

13、一會走線路1一會走線路2；(2) 訪問的目標(biāo)IP不在ISP地址段里面；(3) 鏈路監(jiān)視器問題，導(dǎo)致外網(wǎng)鏈路不停的出現(xiàn)離線的情況；(4) 使用電信的地址去訪問網(wǎng)通的DNS服務(wù)器，網(wǎng)通的DNS不回復(fù)，導(dǎo)致DNS解析不了；(5) 若啟用了DNS代理，調(diào)度策略選輪詢或加權(quán)輪詢，有可能會出現(xiàn)訪問一個(gè)電信的站點(diǎn)，恰好調(diào)度到聯(lián)通的DNS，導(dǎo)致聯(lián)通解析DNS不了域名；(6) 若啟用了DNS代理，查看【DNS狀態(tài)】，看DNS服務(wù)器是否不停離線。解決方法：(1) 把繁忙保護(hù)比例設(shè)置成99%（建議剛部署設(shè)備時(shí)，把繁忙保護(hù)比例設(shè)置成99%），當(dāng)只有1條電信或1條聯(lián)通線路時(shí)，建議禁用繁忙保護(hù)。(2) 確定dns客戶端里

14、面配置的DNS服務(wù)器都在ISP地址段里面。3.4 DNS策略不生效（1） 檢查域名是不是A記錄；（2） 【服務(wù)器設(shè)置】里面是否有填寫監(jiān)聽地址；（3） 檢查【服務(wù)器設(shè)置】里面的地址，是否和DNS代理的監(jiān)聽地址沖突；（4） 將電腦的DNS地址填寫成AD的IP，能否解析；（5） 查看公網(wǎng)的NS記錄是否填寫正確。3.5 DNS代理不生效（1） 監(jiān)聽地址有沒有填；（2） DNS服務(wù)器列表有沒有填；（3） 【DNS狀態(tài)】中dns服務(wù)器是否在線；（4） 客戶端電腦的DNS是否填的監(jiān)聽地址或者DNS服務(wù)器列表中的地址。3.6 智能路由不生效（1） 檢查智能路由的配置是否正確；（2） 查看【鏈路狀態(tài)】中的外網(wǎng)線路是否離線或者繁忙；（3） 在【路由測試】中進(jìn)行測試，看測試結(jié)果；（4） 檢查【出站高級配置】，出站會話保持的子網(wǎng)掩碼是否合適。3.7