深信服負載均衡AD日常維護手冊

1、深信服科技AD日常維護手冊深信服科技 大客戶服務部2015年04月深信服科技大客戶服務部AD日常維護手冊頁碼14/14修訂歷史編號修訂內容簡述修訂日期修訂前版本號修訂后版本號修訂人批準人注：修訂歷史記錄本文檔提交時的當前有效的基本控制信息，當前版本文檔有效期將在新版本文檔生效時自動結束。文檔版本號小于1.0 時，表示該版本文檔為草案，僅供參考。 版權聲明本文中出現(xiàn)的任何文字敘述、文檔格式、插圖、照片、方法、過程等內容，除另有特別注明，版權均屬深信服所有，受到有關產權及版權法保護。任何個人、機構未經深信服的書面授權許可，不得以任何方式復制或引用本文的任何片斷。目錄第1章 SANGFOR AD設備

2、的每天例行檢查41.1 例行檢查前需準備：41.2 設備硬件狀態(tài)例行檢查項41.2.1設備狀態(tài)燈的檢查41.2.2接口指示燈的檢查41.2.3設備CPU運行檢查51.2.4設備異常狀況檢查51.3 日常維護注意事項51.4 升級客戶端的使用6第2章 SANGFOR AD設備的每周例行檢查102.1 控制臺賬號安全性檢查102.2 關閉遠程維護102.3 設備配置備份10第3章 常見問題排錯113.1 無法登陸設備控制臺113.2 AD新建了虛擬服務，但是無法訪問？113.3 鏈路負載，上網時快時慢，DNS有時解析不了域名123.4 DNS策略不生效123.5 DNS代理不生效123.6 智能路

3、由不生效133.7 登陸應用系統(tǒng)，一會兒彈出并提示重新登陸13技術支持13第1章 SANGFOR AD設備的每天例行檢查1.1 例行檢查前需準備：(1) 安裝了WINDOWS系統(tǒng)的電腦一臺(2) 設備與步驟1所描述的電腦在網絡上是可連通的(3) 附件中所帶的工具包一份 （包括：升級客戶端程序）1.2 設備硬件狀態(tài)例行檢查項為了保證設備的穩(wěn)定運行，工作人員需要以天為周期對設備進行檢查，例行檢查的項目如下：1.2.1 設備狀態(tài)燈的檢查SANGFOR AD系列硬件設備正常工作時電源燈常亮，設備的狀態(tài)指示燈（設備面板左上角標示“狀態(tài)”字樣）只在設備啟動時因系統(tǒng)加載會長亮（約一分鐘），正常工作時熄滅。如

4、果在使用過程中此燈長亮（注意雙機熱備的備機此燈會以閃爍），且設備無法正常使用請按照如下步驟進行操作：(1) 請立即將設備斷電關閉，將系統(tǒng)切換到備機；(2) 半小時后將設備重啟，若重啟后紅燈仍一直長亮不能熄滅，請速與我司技術支持取得聯(lián)系。1.2.2 接口指示燈的檢查正常情況下，網口link燈在感知到電信號的時候會呈綠色（百兆鏈路，如果是千兆鏈路，該燈會成橙色）且長亮，網口ACT燈在有數據通過的時候會呈橙色且會不停閃爍，如果link或者ACT燈不閃或者不亮，請按照如下步驟進行操作：(1) 檢查該網線是否破損(2) 檢查網口水晶頭是否有破損(3) 檢查網卡雙工模式是否協(xié)商匹配(4) 上述均沒有問題，

5、請及時重啟設備切換主備，并及時聯(lián)系深信服技術支持1.2.3 設備CPU運行檢查通過設備控制臺的網關運行狀態(tài)，檢查CPU占用率是否長期居高，注：登陸設備后顯示的第一頁面就是網關運行狀態(tài)，如果CPU長期居高，請按照如下步驟進行操作：(1) 在線用戶數是否超過了設備能夠承受的并發(fā)參數(2) 設備是否遭受到了DOS攻擊？（設備默認關閉防dos攻擊，開啟后可產生日志）(3) 某個進程是否異常 ？（需聯(lián)系深信服技術支持確認）1.2.4 設備異常狀況檢查檢查設備硬件是否有異常（風扇，硬盤是否有異常聲響）如果設備內部有異常聲響，可能是硬盤或風扇的異常工作導致，請立即斷開電源停止設備工作，如有備用機，請立即將系

6、統(tǒng)切換到備用機；并及時聯(lián)系我司客服部門以確認故障并返修設備。1.3 日常維護注意事項維護事項維護說明設備搬移在移動設備前一定要拔掉所有電源線和外部電纜。設備上架1、AD2000以上（含AD2000）設備必須安裝托盤或導軌。2、用戶并不具備標準機柜情況下，可將設備安裝在干凈的工作臺上。并保證保證安裝工作臺足夠牢固，足以承擔設備及電纜的重量，設備四周留出10cm散熱空間。3、不可在設備上放置重物。4、在機器上架安裝過程中，注意同一機柜中其它設備，避免在安裝過程中碰掉其他設備的電源，網線接口等設備耳片安裝設備安裝托盤或導軌后，可視情況不安裝耳片。其他情況都必須安裝耳片。電源接線有冗余電源設備必須接通

7、冗余電源。布線1、布放走道線纜時，必須綁扎。綁扎后的線纜應互相緊密靠攏，外觀平直整齊，線扣間距均勻，松緊適度。布放槽道線纜時，可以不綁扎.2、信號電纜、尾纖、電源線的布放盡量避開，不要靠得太近，更不能綁扎在一起。線纜在機柜中捆扎后，應平直、捆扎整齊，不得有線纜纜纏繞、彎曲等現(xiàn)象。3、尾纖綁扎前檢查光纖走線區(qū)域附近是否有毛刺、銳邊或銳角物體等，如果發(fā)現(xiàn)應盡量規(guī)避。在機柜外布放時，建議安裝光纖保護套管（波紋管）。標簽線纜必須貼標簽注明1、電源線標簽：內容為電纜對端位置信息 ，填寫標簽所在電纜側對端設備、控制柜、分線盒或插座的位置信息。 2、信號線標簽：標簽兩面內容分別標識電纜兩端所連端口的位置信息

8、。3、粘貼標簽之前先在整版標簽紙上填寫或打印好標簽內容，然后揭下、粘貼在電纜或標識牌線扣上。1.4 升級客戶端的使用升級客戶端是我司開發(fā)的用于調試設備的一個客戶端工具，集成了一些常用的網絡命令，和具備升級、備份設備配置的功能，對于日常維護工作有很大幫助，下載地址：請至服務與支持-軟件下載-常用工具中下載最新版本的升級客戶端注：使用升級客戶端登陸設備須放通tcp 51111端口。下載升級客戶端后，解壓壓縮包，打開SANGFOR Firmware Updater.exe文件，如下圖：輸入設備的IP地址，并輸入登錄密碼即可登錄。默認的登錄密碼是“dlanrecover”或“控制臺Admin管理員的密

9、碼”。界面如下：登錄成功后，會出現(xiàn)登錄成功的提示，如下圖：按F10，可進入如下界面【備份】：包括備份配置、恢復備份配置選項，如下圖：【備份配置】：將現(xiàn)有的配置信息進行備份。【恢復備份配置】：將以前備份過的配置信息恢復到設備。【命令】：包括Ping、查看路由表、查看ARP表、查看網絡配置選項。如下圖第2章 SANGFOR AD設備的每周例行檢查為了保證設備信息的完整性和可恢復性，請以月為周期進行如下例行檢查：2.1 控制臺賬號安全性檢查檢查項:1. 控制臺管理員密碼是否為默認或是空？如果空密碼或默認密碼則檢查不通過，請立即修改密碼2. 控制臺管理員密碼一個月內有沒有修改過？如果控制臺管理員密碼一

10、個月內都沒有修改過，請立即修改并妥善保存密碼3. 控制臺是否有多余賬號？如果有的話，請刪除多余賬號，保留控制臺賬號2.2 關閉遠程維護為了避免設備被非法入侵，請及時關閉遠程維護功能。2.3 設備配置備份為了保證網絡的穩(wěn)定運行，建議客戶每半個月進行一次配置的備份，以防止系統(tǒng)意外癱瘓導致系統(tǒng)無法迅速恢復。方法：見1.4升級客戶端章節(jié)中關于備份配置的介紹。第3章 常見問題排錯本部分主要介紹了AD設備在使用中可能會碰到的一些問題和維護的方法：3.1 無法登陸設備控制臺(1) 檢查設備面板上紅色alarm燈是否常亮(2) 是否能夠正常ping通設備管理口(3) 從內網是否能telnet通設備443、51

11、111端口(4) Tracert設備管理口地址，看數據包是否能夠到達設備內網口(5) 如經過上述步驟仍無法登陸設備速聯(lián)系我司技術支持3.2 AD新建了虛擬服務，但是無法訪問？(1) 在【鏈路狀態(tài)】里查看線路是否在線，如不在線，說明外網線路問題；(2) 在【虛擬服務狀態(tài)】里查看虛擬服務狀態(tài)，如果繁忙、離線，則不能訪問；(3) 在【節(jié)點狀態(tài)】檢查節(jié)點是否在線；(4) 檢查訪問的IP地址是否正確， 是否配置了互聯(lián)網ip地址 ， dns策略和http重定向會使用互聯(lián)網ip地址替換IP組的地址；(5) 如果是網關模式，可以先禁用虛擬服務，然后建立端口映射，試著用端口映射是否能訪問到；(6) 如果是網橋模

12、式，檢查IP組設置的是否包含網橋IP，訪問的是否是網橋IP；(7) 如果節(jié)點在線，線路也未離線，如果是旁路模式部署，那檢查是否做了SNAT；(8) 從內網不經過AD查看是否可以訪問到應用系統(tǒng)；(9) 如果是使用 cookie 會話保持，改用 源IP會話保持看是否能恢復正常；(10) 如果不是基于http協(xié)議的，有專門的客戶端軟件的，（例如手機炒股軟件之類），測試時注意配置好虛擬服務后，要重啟客戶端。3.3 鏈路負載，上網時快時慢，DNS有時解析不了域名問題產生的原因：(1) 使用了線路繁忙保護，導致上網數據匹配到智能路由里面的default策略，default策略采用流量最小加權算法，所以導致

13、一會走線路1一會走線路2；(2) 訪問的目標IP不在ISP地址段里面；(3) 鏈路監(jiān)視器問題，導致外網鏈路不停的出現(xiàn)離線的情況；(4) 使用電信的地址去訪問網通的DNS服務器，網通的DNS不回復，導致DNS解析不了；(5) 若啟用了DNS代理，調度策略選輪詢或加權輪詢，有可能會出現(xiàn)訪問一個電信的站點，恰好調度到聯(lián)通的DNS，導致聯(lián)通解析DNS不了域名；(6) 若啟用了DNS代理，查看【DNS狀態(tài)】，看DNS服務器是否不停離線。解決方法：(1) 把繁忙保護比例設置成99%（建議剛部署設備時，把繁忙保護比例設置成99%），當只有1條電信或1條聯(lián)通線路時，建議禁用繁忙保護。(2) 確定dns客戶端里

14、面配置的DNS服務器都在ISP地址段里面。3.4 DNS策略不生效（1） 檢查域名是不是A記錄；（2） 【服務器設置】里面是否有填寫監(jiān)聽地址；（3） 檢查【服務器設置】里面的地址，是否和DNS代理的監(jiān)聽地址沖突；（4） 將電腦的DNS地址填寫成AD的IP，能否解析；（5） 查看公網的NS記錄是否填寫正確。3.5 DNS代理不生效（1） 監(jiān)聽地址有沒有填；（2） DNS服務器列表有沒有填；（3） 【DNS狀態(tài)】中dns服務器是否在線；（4） 客戶端電腦的DNS是否填的監(jiān)聽地址或者DNS服務器列表中的地址。3.6 智能路由不生效（1） 檢查智能路由的配置是否正確；（2） 查看【鏈路狀態(tài)】中的外網線路是否離線或者繁忙；（3） 在【路由測試】中進行測試，看測試結果；（4） 檢查【出站高級配置】，出站會話保持的子網掩碼是否合適。3.7