深信服科技
AD日常维护手册
深信服科技 大客户服务部
2015年04月
修订历史 编号 修订内容简述 修订日期 修订前修订后修订人 批准人 版本号 版本号 注:修订历史记录本文档提交时的当前有效的基本控制信息,当前版本文档有效期将在新版本文档生效时自动结束。文档版本号小于 时,表示该版本文档为草案,仅供参考。
■ 版权声明
本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属深信服所有,受到有关产权及版权法保护。任何个人、机构未经深信服的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录
第1章 SANGFOR AD设备的每天例行检查 ......................... 错误!未定义书签。
例行检查前需准备: ...................................... 错误!未定义书签。
设备硬件状态例行检查项 .................................. 错误!未定义书签。
设备状态灯的检查 ............................... 错误!未定义书签。 接口指示灯的检查 ............................... 错误!未定义书签。 设备CPU运行检查 ............................... 错误!未定义书签。 设备异常状况检查 ............................... 错误!未定义书签。 日常维护注意事项 ........................................ 错误!未定义书签。 升级客户端的使用 ........................................ 错误!未定义书签。 第2章 SANGFOR AD设备的每周例行检查 ......................... 错误!未定义书签。
控制台账号安全性检查 .................................... 错误!未定义书签。 关闭远程维护 ............................................ 错误!未定义书签。 设备配置备份 ............................................ 错误!未定义书签。 第3章 常见问题排错 .......................................... 错误!未定义书签。
无法登陆设备控制台 ...................................... 错误!未定义书签。 AD新建了虚拟服务,但是无法访问? ....................... 错误!未定义书签。 链路负载,上网时快时慢,DNS有时解析不了域名 ............ 错误!未定义书签。 DNS策略不生效 .......................................... 错误!未定义书签。 DNS代理不生效 .......................................... 错误!未定义书签。 智能路由不生效 .......................................... 错误!未定义书签。 登陆应用系统,一会儿弹出并提示重新登陆 .................. 错误!未定义书签。 技术支持..................................................... 错误!未定义书签。
第1章 SANGFOR AD设备的每天例行检查
1.1 例行检查前需准备:
(1) 安装了WINDOWS系统的电脑一台
(2) 设备与步骤1所描述的电脑在网络上是可连通的 (3) 附件中所带的工具包一份 (包括:升级客户端程序)
1.2 设备硬件状态例行检查项
为了保证设备的稳定运行,工作人员需要以天为周期对设备进行检查,例行检查的项目如下:
1.1.1 设备状态灯的检查
SANGFOR AD系列硬件设备正常工作时电源灯常亮,设备的状态指示灯(设备面板左上角标示“状态”字样)只在设备启动时因系统加载会长亮(约一分钟),正常工作时熄灭。如果在使用过程中此灯长亮(注意双机热备的备机此灯会以闪烁),且设备无法正常使用请按照如下步骤进行操作:
(1) 请立即将设备断电关闭,将系统切换到备机;
(2) 半小时后将设备重启,若重启后红灯仍一直长亮不能熄灭,请速与我司技术支
持取得联系。
1.1.2 接口指示灯的检查
正常情况下,网口link灯在感知到电信号的时候会呈绿色(百兆链路,如果是千兆链路,该灯会成橙色)且长亮,网口ACT灯在有数据通过的时候会呈橙色且会不停闪烁,如果link或者ACT灯不闪或者不亮,请按照如下步骤进行操作:
(1) 检查该网线是否破损
(2) 检查网口水晶头是否有破损 (3) 检查网卡双工模式是否协商匹配
(4) 上述均没有问题,请及时重启设备切换主备,并及时联系深信服技术支持
1.1.3 设备CPU运行检查
通过设备控制台的网关运行状态,检查CPU占用率是否长期居高,注:登陆设备后显示的第一页面就是网关运行状态,如果CPU长期居高,请按照如下步骤进行操作:
(1) 在线用户数是否超过了设备能够承受的并发参数
(2) 设备是否遭受到了DOS攻击?(设备默认关闭防dos攻击,开启后可产生日志) (3) 某个进程是否异常 ?(需联系深信服技术支持确认)
1.1.4 设备异常状况检查
检查设备硬件是否有异常(风扇,硬盘是否有异常声响)
如果设备内部有异常声响,可能是硬盘或风扇的异常工作导致,请立即断开电源停止设备工作,如有备用机,请立即将系统切换到备用机;并及时联系我司客服部门以确认故障并返修设备。
1.3 日常维护注意事项
维护事项 设备搬移 维护说明 在移动设备前一定要拔掉所有电源线和外部电缆。 1、AD2000以上(含AD2000)设备必须安装托盘或导轨。 2、用户并不具备标准机柜情况下,可将设备安装在干净的工作台上。并保证保证安装工作台足够牢固,足以承担设备及电缆的重量,设备四周留出10cm散热空间。 3、不可在设备上放置重物。 4、在机器上架安装过程中,注意同一机柜中其它设备,避免在安装过程中碰掉其他设备的电源,网线接口等 设备安装托盘或导轨后,可视情况不安装耳片。其他情况都必须安装耳片。 有冗余电源设备必须接通冗余电源。 1、布放走道线缆时,必须绑扎。绑扎后的线缆应互相紧密靠拢,外观平直整齐,线扣间距均匀,松紧适度。布放槽道线缆时,可以不绑扎. 2、信号电缆、尾纤、电源线的布放尽量避开,不要靠得太近,更不能绑扎在一起。线缆在机柜中捆扎后,应平直、捆扎整齐,不得有线缆缆缠绕、弯曲等现象。 3、尾纤绑扎前检查光纤走线区域附近是否有毛刺、锐边或锐角物体等,如果发现应尽量规避。在机柜外布放时,建议安装光纤保护套管(波纹管)。 线缆必须贴标签注明 1、电源线标签:内容为电缆对端位置信息 ,填写标签所在电缆侧对端设备、控制柜、分线盒或插座的位置信息。 设备上架 设备耳片安装 电源接线 布线 标签 2、信号线标签:标签两面内容分别标识电缆两端所连端口的位置信息。 3、粘贴标签之前先在整版标签纸上填写或打印好标签内容,然后揭下、粘贴在电缆或标识牌线扣上。 1.4 升级客户端的使用
升级客户端是我司开发的用于调试设备的一个客户端工具,集成了一些常用的网络命令,和具备升级、备份设备配置的功能,对于日常维护工作有很大帮助,下载地址:请至服务与支持-软件下载-常用工具中下载最新版本的升级客户端 注:使用升级客户端登陆设备须放通tcp 51111端口。
下载升级客户端后,解压压缩包,打开SANGFOR Firmware 文件,如下图:
输入设备的IP地址,并输入登录密码即可登录。
默认的登录密码是“dlanrecover”或“控制台Admin管理员的密码”。界面如下: 登录成功后,会出现登录成功的提示,如下图:
按F10,可进入如下界面
【备份】:包括备份配置、恢复备份配置选项,如下图:
【备份配置】:将现有的配置信息进行备份。
【恢复备份配置】:将以前备份过的配置信息恢复到设备。 【命令】:包括Ping、查看路由表、查看ARP表、查看网络配置选项。如下图
第2章 SANGFOR AD设备的每周例行检查
为了保证设备信息的完整性和可恢复性,请以月为周期进行如下例行检查:
2.1 控制台账号安全性检查
检查项:
1. 控制台管理员密码是否为默认或是空?
如果空密码或默认密码则检查不通过,请立即修改密码 2. 控制台管理员密码一个月内有没有修改过?
如果控制台管理员密码一个月内都没有修改过,请立即修改并妥善保存密码 3. 控制台是否有多余账号?
如果有的话,请删除多余账号,保留控制台账号
2.2 关闭远程维护
为了避免设备被非法入侵,请及时关闭远程维护功能。
2.3 设备配置备份
为了保证网络的稳定运行,建议客户每半个月进行一次配置的备份,以防止系统意外瘫痪导致系统无法迅速恢复。
方法:见升级客户端章节中关于备份配置的介绍。
第3章 常见问题排错
本部分主要介绍了AD设备在使用中可能会碰到的一些问题和维护的方法:
3.1 无法登陆设备控制台
(1) 检查设备面板上红色alarm灯是否常亮 (2) 是否能够正常ping通设备管理口
(3) 从内网是否能telnet通设备443、51111端口
(4) Tracert设备管理口地址,看数据包是否能够到达设备内网口 (5) 如经过上述步骤仍无法登陆设备速联系我司技术支持
3.2 AD新建了虚拟服务,但是无法访问?
(1) 在【链路状态】里查看线路是否在线,如不在线,说明外网线路问题; (2) 在【虚拟服务状态】里查看虚拟服务状态,如果繁忙、离线,则不能访问; (3) 在【节点状态】检查节点是否在线;
(4) 检查访问的IP地址是否正确, 是否配置了互联网ip地址 , dns策略和http重
定向会使用互联网ip地址替换IP组的地址;
(5) 如果是网关模式,可以先禁用虚拟服务,然后建立端口映射,试着用端口映射是否
能访问到;
(6) 如果是网桥模式,检查IP组设置的是否包含网桥IP,访问的是否是网桥IP; (7) 如果节点在线,线路也未离线,如果是旁路模式部署,那检查是否做了SNAT; (8) 从内网不经过AD查看是否可以访问到应用系统;
(9) 如果是使用 cookie 会话保持,改用 源IP会话保持看是否能恢复正常; (10) 如果不是基于http协议的,有专门的客户端软件的,(例如手机炒股软件之类),
测试时注意配置好虚拟服务后,要重启客户端。
3.3 链路负载,上网时快时慢,DNS有时解析不了域名
问题产生的原因:
(1) 使用了线路繁忙保护,导致上网数据匹配到智能路由里面的default策略,default
策略
采用流量最小加权算法,所以导致一会走线路1一会走线路2; (2) 访问的目标IP不在ISP地址段里面;
(3) 链路监视器问题,导致外网链路不停的出现离线的情况;
(4) 使用电信的地址去访问网通的DNS服务器,网通的DNS不回复,导致DNS解析不了; (5) 若启用了DNS代理,调度策略选轮询或加权轮询,有可能会出现访问一个电信的站点,
恰好调度到联通的DNS,导致联通解析DNS不了域名;
(6) 若启用了DNS代理,查看【DNS状态】,看DNS服务器是否不停离线。 解决方法:
(1) 把繁忙保护比例设置成99%(建议刚部署设备时,把繁忙保护比例设置成99%),当
只有1条电信或1条联通线路时,建议禁用繁忙保护。 (2) 确定dns客户端里面配置的DNS服务器都在ISP地址段里面。
3.4 DNS策略不生效
(1) (2) (3) (4) (5)
检查域名是不是A记录;
【服务器设置】里面是否有填写监听地址;
检查【服务器设置】里面的地址,是否和DNS代理的监听地址冲突; 将电脑的DNS地址填写成AD的IP,能否解析; 查看公网的NS记录是否填写正确。
3.5 DNS代理不生效
(1) 监听地址有没有填; (2) DNS服务器列表有没有填;
(3) 【DNS状态】中dns服务器是否在线;
(4) 客户端电脑的DNS是否填的监听地址或者DNS服务器列表中的地址。
3.6 智能路由不生效
(1) 检查智能路由的配置是否正确;
(2) 查看【链路状态】中的外网线路是否离线或者繁忙; (3) 在【路由测试】中进行测试,看测试结果;
(4) 检查【出站高级配置】,出站会话保持的子网掩码是否合适。
3.7 登陆应用系统,一会儿弹出并提示重新登陆
(1) 检查是否开启会话保持;
(2) 对于cookie会话保持,检查客户PC的系统时间是否不正确,是否有较大误
差;
(3) 对于cookie会话保持,检查AD的系统时间是否有较大误差; (4) cookie会话保持超时时间是否设置过短;
(5) 检查客户的浏览器是否把安全等级设置过高,是否禁用部分cookie。
技术支持
技术支持电话: 400-630-6430 技术支持论坛: 用户支持 公司主页:
因篇幅问题不能全部显示,请点此查看更多更全内容