深信服负载均衡AD日常维护手册.doc

- -深信服科技AD日常维护手册深信服科技大客户效劳部2015年04月- word.zl- -修订历史编号修订内容简述修订日期修订前版本号修订后版本号修订人批准人注：修订历史记录本文档提交时的当前有效的根本控制信息，当前版本文档有效期将在新版本文档生效时自动完毕。文档版本号小于1.0 时，表示该版本文档为草案，仅供参考。声明本文中出现的任何文字表达、文档格式、插图、照片、方法、过程等内容，除另有特别注明，均属深信服所有，受到有关产权及法保护。任何个人、机构未经深信服的书面授权许可，不得以任何方式复制或引用本文的任何片断。目录第1章 SANGFOR AD设备的每天例行检查31.1例行检查前需准备：31.2设备硬件状态例行检查项31.2.1设备状态灯的检查31.2.2接口指示灯的检查31.2.3设备CPU运行检查31.2.4设备异常状况检查31.3日常维护考前须知31.4升级客户端的使用3第2章 SANGFOR AD设备的每周例行检查32.1控制台账号平安性检查32.2关闭远程维护32.3设备配置备份3第3章常见问题排错33.1无法登陆设备控制台33.2 AD新建了虚拟效劳，但是无法？33.3链路负载，上网时快时慢，DNS有时解析不了域名33.4 DNS策略不生效33.5 DNS代理不生效33.6智能路由不生效33.7登陆应用系统，一会儿弹出并提示重新登陆3技术支持3第1章 SANGFOR AD设备的每天例行检查1.1 例行检查前需准备：(1) 安装了WINDOWS系统的电脑一台(2) 设备与步骤1所描述的电脑在网络上是可连通的(3) 附件中所带的工具包一份包括：升级客户端程序1.2 设备硬件状态例行检查项为了保证设备的稳定运行，工作人员需要以天为周期对设备进展检查，例行检查的工程如下：1.2.1 设备状态灯的检查SANGFOR AD系列硬件设备正常工作时电源灯常亮，设备的状态指示灯设备面板左上角标示“状态字样只在设备启动时因系统加载会长亮约一分钟，正常工作时熄灭。如果在使用过程中此灯长亮注意双机热备的备机此灯会以闪烁，且设备无法正常使用请按照如下步骤进展操作：(1) 请立即将设备断电关闭，将系统切换到备机；(2) 半小时后将设备重启，假设重启后红灯仍一直长亮不能熄灭，请速与我司技术支持取得联系。1.2.2 接口指示灯的检查正常情况下，网口link灯在感知到电信号的时候会呈绿色百兆链路，如果是千兆链路，该灯会成橙色且长亮，网口ACT灯在有数据通过的时候会呈橙色且会不停闪烁，如果link或者ACT灯不闪或者不亮，请按照如下步骤进展操作：(1) 检查该网线是否破损(2) 检查网口水晶头是否有破损(3) 检查网卡双工模式是否协商匹配(4) 上述均没有问题，请及时重启设备切换主备，并及时联系深信服技术支持1.2.3 设备CPU运行检查通过设备控制台的网关运行状态，检查CPU占用率是否长期居高，注：登陆设备后显示的第一页面就是网关运行状态，如果CPU长期居高，请按照如下步骤进展操作：(1) 在线用户数是否超过了设备能够承受的并发参数(2) 设备是否遭受到了DOS攻击？设备默认关闭防dos攻击，开启后可产生日志(3) 某个进程是否异常？需联系深信服技术支持确认1.2.4 设备异常状况检查检查设备硬件是否有异常风扇，硬盘是否有异常声响如果设备内部有异常声响，可能是硬盘或风扇的异常工作导致，请立即断开电源停顿设备工作，如有备用机，请立即将系统切换到备用机；并及时联系我司客服部门以确认故障并返修设备。1.3 日常维护考前须知维护事项维护说明设备搬移在移动设备前一定要拔掉所有电源线和外部电缆。设备上架1、AD2000以上含AD2000设备必须安装托盘或导轨。2、用户并不具备标准机柜情况下，可将设备安装在干净的工作台上。并保证保证安装工作台足够结实，足以承当设备及电缆的重量，设备四周留出10cm散热空间。3、不可在设备上放置重物。4、在机器上架安装过程中，注意同一机柜中其它设备，防止在安装过程中碰掉其他设备的电源，网线接口等设备耳片安装设备安装托盘或导轨后，可视情况不安装耳片。其他情况都必须安装耳片。电源接线有冗余电源设备必须接通冗余电源。布线1、布放走道线缆时，必须绑扎。绑扎后的线缆应互相严密靠拢，外观平直整齐，线扣间距均匀，松紧适度。布放槽道线缆时，可以不绑扎.2、信号电缆、尾纤、电源线的布放尽量避开，不要靠得太近，更不能绑扎在一起。线缆在机柜中捆扎后，应平直、捆扎整齐，不得有线缆缆缠绕、弯曲等现象。3、尾纤绑扎前检查光纤走线区域附近是否有毛刺、锐边或锐角物体等，如果发现应尽量躲避。在机柜外布放时，建议安装光纤保护套管波纹管。标签线缆必须贴标签注明1、电源线标签：内容为电缆对端位置信息，填写标签所在电缆侧对端设备、控制柜、分线盒或插座的位置信息。2、信号线标签：标签两面内容分别标识电缆两端所连端口的位置信息。3、粘贴标签之前先在整版标签纸上填写或打印好标签内容，然后揭下、粘贴在电缆或标识牌线扣上。1.4 升级客户端的使用升级客户端是我司开发的用于调试设备的一个客户端工具，集成了一些常用的网络命令，和具备升级、备份设备配置的功能，对于日常维护工作有很大帮助，下载地址：.sangfor./请至效劳与支持-软件下载-常用工具中下载最新版本的升级客户端注：使用升级客户端登陆设备须放通tcp 51111端口。下载升级客户端后，解压压缩包，翻开SANGFOR Firmware Updater.exe文件，如下列图：输入设备的IP地址，并输入登录密码即可登录。默认的登录密码是“dlanrecover或“控制台Admin管理员的密码。界面如下：登录成功后，会出现登录成功的提示，如下列图：按F10，可进入如下界面【备份】：包括备份配置、恢复备份配置选项，如下列图：【备份配置】：将现有的配置信息进展备份。【恢复备份配置】：将以前备份过的配置信息恢复到设备。【命令】：包括Ping、查看路由表、查看ARP表、查看网络配置选项。如下列图第2章 SANGFOR AD设备的每周例行检查为了保证设备信息的完整性和可恢复性，请以月为周期进展如下例行检查：2.1 控制台账号平安性检查检查项:1. 控制台管理员密码是否为默认或是空？如果空密码或默认密码那么检查不通过，请立即修改密码2. 控制台管理员密码一个月内有没有修改正？如果控制台管理员密码一个月内都没有修改正，请立即修改并妥善保存密码3. 控制台是否有多余账号？如果有的话，请删除多余账号，保存控制台账号2.2 关闭远程维护为了防止设备被非法入侵，请及时关闭远程维护功能。2.3 设备配置备份为了保证网络的稳定运行，建议客户每半个月进展一次配置的备份，以防止系统意外瘫痪导致系统无法迅速恢复。方法：见1.4升级客户端章节中关于备份配置的介绍。第3章 常见问题排错本局部主要介绍了AD设备在使用中可能会碰到的一些问题和维护的方法：3.1 无法登陆设备控制台(1) 检查设备面板上红色alarm灯是否常亮(2) 是否能够正常ping通设备管理口(3) 从内网是否能telnet通设备443、51111端口(4) Tracert设备管理口地址，看数据包是否能够到达设备内网口(5) 如经过上述步骤仍无法登陆设备速联系我司技术支持3.2 AD新建了虚拟效劳，但是无法？(1) 在【链路状态】里查看线路是否在线，如不在线，说明外网线路问题；(2) 在【虚拟效劳状态】里查看虚拟效劳状态，如果繁忙、离线，那么不能；(3) 在【节点状态】检查节点是否在线；(4) 检查的IP地址是否正确，是否配置了互联网ip地址， dns策略和 重定向会使用互联网ip地址替换IP组的地址；(5) 如果是网关模式，可以先禁用虚拟效劳，然后建立端口映射，试着用端口映射是否能到；(6) 如果是网桥模式，检查IP组设置的是否包含网桥IP，的是否是网桥IP；(7) 如果节点在线，线路也未离线，如果是旁路模式部署，那检查是否做了SNAT；(8) 从内网不经过AD查看是否可以到应用系统；(9) 如果是使用 cookie 会话保持，改用源IP会话保持看是否能恢复正常；(10) 如果不是基于 协议的，有专门的客户端软件的，例如手机炒股软件之类，测试时注意配置好虚拟效劳后，要重启客户端。3.3 链路负载，上网时快时慢，DNS有时解析不了域名问题产生的原因：(1) 使用了线路繁忙保护，导致上网数据匹配到智能路由里面的default策略，default策略采用流量最小加权算法，所以导致一会走线路1一会走线路2；(2) 的目标IP不在ISP地址段里面；(3) 链路监视器问题，导致外网链路不停的出现离线的情况；(4) 使用电信的地址去网通的DNS效劳器，网通的DNS不回复，导致DNS解析不了；(5) 假设启用了DNS代理，调度策略选轮询或加权轮询，有可能会出现一个电信的站点，恰好调度到联通的DNS，导致联通解析DNS不了域名；(6) 假设启用了DNS代理，查看【DNS状态】，看DNS效劳器是否不停离线。解决方法：(1) 把繁忙保护比例设置成99%建议刚部署设备时，把繁忙保护比例设置成99%，当只有1条电信或1条联通线路时，建议禁用繁忙保护。(2) 确定dns客户端里面配置的DNS效劳器都在ISP地址段里面。3.4 DNS策略不生效（1） 检查域名是不是A记录；（2） 【效劳器设置】里面是否有填写监听地址；（3） 检查【效劳器设置】里面的地址，是否和DNS代理的监听地址冲突；（4） 将电脑的DNS地址填写成AD的IP，能否解析；（5） 查看公网的NS记录是否填写正确。3.5 DNS代理不生效（1） 监听地址有没有填；（2） DNS效劳器列表有没有填；（3） 【DNS状态】中dns效劳器是否在线；（4） 客户端电脑的DNS是否填的监听地址或者DNS效劳器列表中的地址。3.6 智能路由不生效（1） 检查智能路由的配置是否正确；（2） 查看【链路状态】中的外网线路是否离线或者繁忙；（3） 在【路由测试】中进展测试，看测试结果；（4） 检查【出站高级配置】，出站会话保持的子网掩码是否适宜。3.7 登陆应用系统，一会儿弹出并提示重新登陆（1） 检查是否开启会话保持；（2） 对于cookie会话保持，检查客户PC的系统时间是否不正确，是否有较大误差；（3） 对于cookie会话保持，检查AD的系统时间是否有较大误差；（4） cookie会话保持超时时间是否设置过短；（5） 检查客户的浏览器是否把平安等级设置过高，是否禁用局部cookie。技术支持技术支持：400-630-6430技术支持论坛：.sangfor./forum用户支持：supportsangfor.公司主页：.sangfor.- word.zl-