深信服负载均衡AD日常维护手册

1、深信服科技AD日常维护手册深信服科技 大客户服务部2015 年 04 月修订历史编号修订内容简述修订日期修订前 版本号修订后 版本号修订人批准人注：修订历史记录本文档提交时的当前有效的基本控制信息， 当前版本文档有效期将在新版 本文档生效时自动结束。文档版本号小于 时，表示该版本文档为草案，仅供参考。 版权声明本文中出现的任何文字叙述、 文档格式、 插图、 照片、 方法、 过程等内容， 除另有特别注明， 版权均属深信服所有， 受到有关产权及版权法保护。 任何个人、 机构未经深信服的书面授权 许可，不得以任何方式复制或引用本文的任何片断。错误 ! 未定义书签。 错误 ! 未定义书签。目录第1章

2、SANGFOR AD设备的每天例行检查 例行检查前需准备： . 设备硬件状态例行检查项 . 错误 !未定义书签。设备状态灯的检查 错误 ! 未定义书签。接口指示灯的检查 错误 !未定义书签。设备 CPU运行检查 错误 !未定义书签。设备异常状况检查 错误 !未定义书签。日常维护注意事项 . 错误 !未定义书签。升级客户端的使用 . 错误 !未定义书签。第2章 SANGFOR AD设备的每周例行检查 错误!未定义书签。控制台账号安全性检查 . 错误 !未定义书签。关闭远程维护 . 错误 !未定义书签。设备配置备份 . 错误 !未定义书签。第 3 章 常见问题排错 . 错误 ! 未定义书签。无法登

3、陆设备控制台 . 错误 !未定义书签。AD 新建了虚拟服务，但是无法访问 错误 ! 未定义书签。链路负载，上网时快时慢， DNS有时解析不了域名 错误 !未定义书签。DNS策略不生效 错误 !未定义书签。DNS代理不生效 错误 !未定义书签。智能路由不生效 . 错误 !未定义书签。登陆应用系统，一会儿弹出并提示重新登陆 错误 !未定义书签。技术支持 错误 !未定义书签。第1章 SANGFOR AD设备的每天例行检查1.1 例行检查前需准备：(1) 安装了 WINDOW系S 统的电脑一台(2) 设备与步骤 1 所描述的电脑在网络上是可连通的(3) 附件中所带的工具包一份(包括：升级客户端程序)1

4、.2 设备硬件状态例行检查项为了保证设备的稳定运行，工作人员需要以天为周期对设备进行检查，例行检查的项 目如下：1.1.1 设 备状态灯的检查SANGFOR AD系列硬件设备正常工作时电源灯常亮，设备的状态指示灯(设备面板 左上角标示“状态”字样)只在设备启动时因系统加载会长亮(约一分钟)，正常工作时熄灭。 如果在使用过程中此灯长亮(注意双机热备的备机此灯会以闪烁)，且设备无法正常使用请按照如下步骤进行操作：(1) 请立即将设备断电关闭，将系统切换到备机；(2) 半小时后将设备重启，若重启后红灯仍一直长亮不能熄灭，请速与我司技术支 持取得联系。1.1.2 接 口指示灯的检查正常情况下，网口 l

5、ink 灯在感知到电信号的时候会呈绿色(百兆链路，如果是千兆链 路，该灯会成橙色) 且长亮，网口 ACT灯在有数据通过的时候会呈橙色且会不停闪烁，如果link 或者 ACT灯不闪或者不亮，请按照如下步骤进行操作：(1) 检查该网线是否破损(2) 检查网口水晶头是否有破损(3) 检查网卡双工模式是否协商匹配(4) 上述均没有问题，请及时重启设备切换主备，并及时联系深信服技术支持1.1.3 设 备 CPU运行检查通过设备控制台的网关运行状态，检查CPU 占用率是否长期居高，注：登陆设备后显示的第一页面就是网关运行状态，如果CPU长期居高，请按照如下步骤进行操作：（1）在线用户数是否超过了设备能够承

6、受的并发参数（2）设备是否遭受到了 DOS攻击（设备默认关闭防dos 攻击，开启后可产生日志）（3）某个进程是否异常 （需联系深信服技术支持确认）1.1.4 设 备异常状况检查检查设备硬件是否有异常（风扇，硬盘是否有异常声响） 如果设备内部有异常声响，可能是硬盘或风扇的异常工作导致，请立即断开电源 停止设备工作，如有备用机，请立即将系统切换到备用机；并及时联系我司客服部门 以确认故障并返修设备。1.3 日常维护注意事项维护事项维护说明设备搬移在移动设备前一定要拔掉所有电源线和外部电缆。设备上架1、AD2000以上（含 AD2000）设备必须安装托盘或导轨。 2、用户并不具备标准机柜情况下，可将

7、设备安装在干净 的工作台上。 并保证保证安装工作台足够牢固， 足以承担 设备及电缆的重量，设备四周留出 10cm散热空间。 3、不可在设备上放置重物。4、在机器上架安装过程中，注意同一机柜中其它设备， 避免在安装过程中碰掉其他设备的电源，网线接口等设备耳片安装设备安装托盘或导轨后， 可视情况不安装耳片。 其他情况 都必须安装耳片。电源接线有冗余电源设备必须接通冗余电源。布线1、布放走道线缆时，必须绑扎。绑扎后的线缆应互相紧 密靠拢，外观平直整齐，线扣间距均匀，松紧适度。布放 槽道线缆时，可以不绑扎 .2、信号电缆、尾纤、电源线的布放尽量避开，不要靠得 太近，更不能绑扎在一起。 线缆在机柜中捆扎

8、后， 应平直、 捆扎整齐，不得有线缆缆缠绕、弯曲等现象。3、尾纤绑扎前检查光纤走线区域附近是否有毛刺、锐边 或锐角物体等，如果发现应尽量规避。在机柜外布放时， 建议安装光纤保护套管（波纹管） 。标签线缆必须贴标签注明1、电源线标签：内容为电缆对端位置信息 ，填写标签所 在电缆侧对端设备、控制柜、分线盒或插座的位置信息。2、信号线标签：标签两面内容分别标识电缆两端所连端 口的位置信息。3、粘贴标签之前先在整版标签纸上填写或打印好标签内 容，然后揭下、粘贴在电缆或标识牌线扣上。1.4 升级客户端的使用升级客户端是我司开发的用于调试设备的一个客户端工具， 集成了一些常用的网络命令， 和 具备升级、

9、备份设备配置的功能，对于日常维护工作有很大帮助， 下载地址：请至服务与支 持- 软件下载 - 常用工具中下载最新版本的升级客户端注：使用升级客户端登陆设备须放通 tcp 51111 端口。 下载升级客户端后，解压压缩包，打开SANGFOR Firmware 文件，如下图：输入设备的 IP 地址，并输入登录密码即可登录。默认的登录密码是“ dlanrecover ” 或“控制台 Admin 管理员的密码” 。界面如下： 登录成功后，会出现登录成功的提示，如下图：按 F10，可进入如下界面备份】：包括备份配置、恢复备份配置选项，如下图：备份配置】 ：将现有的配置信息进行备份。恢复备份配置】 ：将以

10、前备份过的配置信息恢复到设备。 命令】：包括 Ping 、查看路由表、查看 ARP表、查看网络配置选项。如下图第2章 SANGFOR AD设备的每周例行检查为了保证设备信息的完整性和可恢复性，请以月为周期进行如下例行检查：2.1 控制台账号安全性检查检查项 :1. 控制台管理员密码是否为默认或是空 如果空密码或默认密码则检查不通过，请立即修改密码2. 控制台管理员密码一个月内有没有修改过 如果控制台管理员密码一个月内都没有修改过，请立即修改并妥善保存密码3. 控制台是否有多余账号 如果有的话，请删除多余账号，保留控制台账号2.2 关闭远程维护为了避免设备被非法入侵，请及时关闭远程维护功能。2.

11、3 设备配置备份为了保证网络的稳定运行，建议客户 每半个月 进行一次配置的备份，以防止系统 意外瘫痪导致系统无法迅速恢复。方法：见升级客户端章节中关于备份配置的介绍。第 3章 常见问题排错本部分主要介绍了 AD设备在使用中可能会碰到的一些问题和维护的方法：3.1 无法登陆设备控制台(1) 检查设备面板上红色 alarm 灯是否常亮(2) 是否能够正常 ping 通设备管理口(3) 从内网是否能 telnet 通设备 443、51111 端口(4) Tracert 设备管理口地址，看数据包是否能够到达设备内网口(5) 如经过上述步骤仍无法登陆设备速联系我司技术支持3.2 AD 新建了虚拟服务，但

12、是无法访问(1) 在【链路状态】里查看线路是否在线，如不在线，说明外网线路问题；(2) 在【虚拟服务状态】里查看虚拟服务状态，如果繁忙、离线，则不能访问；(3) 在【节点状态】检查节点是否在线；(4) 检查访问的 IP 地址是否正确， 是否配置了互联网 ip 地址 ， dns 策略和 http 重 定向会使用互联网 ip 地址替换 IP 组的地址；(5) 如果是网关模式，可以先禁用虚拟服务，然后建立端口映射，试着用端口映射是否 能访问到；(6) 如果是网桥模式，检查 IP 组设置的是否包含网桥 IP ，访问的是否是网桥 IP；(7) 如果节点在线，线路也未离线，如果是旁路模式部署，那检查是否做

13、了SNAT；(8) 从内网不经过 AD 查看是否可以访问到应用系统；(9) 如果是使用 cookie 会话保持，改用 源 IP 会话保持看是否能恢复正常；(10) 如果不是基于 http 协议的，有专门的客户端软件的， (例如手机炒股软件之类) ， 测试时注意配置好虚拟服务后，要重启客户端。3.3 链路负载，上网时快时慢， DNS有时解析不了域名问题产生的原因：（1）使用了线路繁忙保护，导致上网数据匹配到智能路由里面的 default 策略， default 策略采用流量最小加权算法，所以导致一会走线路1一会走线路 2；（2）访问的目标 IP不在 ISP地址段里面；（3）链路监视器问题，导致外

14、网链路不停的出现离线的情况；（4）使用电信的地址去访问网通的 DNS服务器，网通的 DNS不回复，导致 DNS解析不了；（5）若启用了 DNS代理，调度策略选轮询或加权轮询， 有可能会出现访问一个电信的站点， 恰好调度到联通的 DNS，导致联通解析 DNS不了域名；（6）若启用了 DNS代理，查看【 DNS状态】，看 DNS服务器是否不停离线。解决方法：（1）把繁忙保护比例设置成 99%（建议刚部署设备时，把繁忙保护比例设置成99%），当只有 1条电信或 1条联通线路时，建议禁用繁忙保护。（2）确定 dns客户端里面配置的 DNS服务器都在 ISP地址段里面。3.4 DNS 策略不生效（ 1）

15、 检查域名是不是 A 记录；（ 2） 【服务器设置】里面是否有填写监听地址；（ 3） 检查【服务器设置】里面的地址，是否和DNS代理的监听地址冲突；（4）将电脑的 DNS地址填写成 AD的 IP ，能否解析；（ 5） 查看公网的 NS记录是否填写正确。3.5 DNS 代理不生效（1） 监听地址有没有填；（2） DNS服务器列表有没有填；（3）【DNS状态】中 dns 服务器是否在线；（4）客户端电脑的 DNS是否填的监听地址或者 DNS服务器列表中的地址。3.6 智能路由不生效1）检查智能路由的配置是否正确；2）查看【链路状态】中的外网线路是否离线或者繁忙；3）在【路由测试】中进行测试，看测试结果；4）检查【出站高级配置】 ，出站会话保持