深信服负载均衡AD日常维护手册

深信服应用交付AD深信服，作为中国最大最有竞争力的前沿网络设备供应商，为3万多家客户提供了稳定可靠的访问，每秒钟经过深信服AD处理的业务交易量高达数千万笔，在中国入选世界500强的企业中，85%以上企业都是深信服的客户。

中国第一品牌全球知名分析机构Frost & Sullivan发布的《2013年中国应用交付产品（ADC）市场分析报告》显示：深信服应用交付AD在2013年依然保持强劲增长，在中国市场占比中，超越Radware，升至第二，与F5再次缩小距离，并继续保持国产厂商第一的领导地位。

④报告数据显示，Sangfor（深信服）2013年在中国地区应用交付市场的份额达到14.1%，排名升至第二位。

④自2009年推出到市场上以来，深信服AD产品由第九名一跃进入三甲，在国产厂商中名列前茅。

AD产品广泛应用于国家部委单位的核心系统与电信运营商的生产网。

④优异的市场表现，也促使深信服成为唯一入选Gartner应用交付魔力象限的国产厂商，分析师对深信服产品的安全性评价尤为突出。

面向未来的应用交付产品随着大数据时代的来临，即便是当前强劲的10Gbps性能设备在面对数十G业务量的并发处理时，也难免也会捉襟见肘。

顺应网络发展的趋势，深信服AD系列产品采取基于原生64位系统的软硬架构设计，在确保高性能处理能力的同时，提供电信级的设备可靠性。

深信服AD可帮助用户有效提升✓应用系统的处理性能与高可用性✓多条ISP出口线路的访问通畅、均衡利用✓分布式数据中心的全局调度、业务永续✓业务应用的安全发布与高效访问④兼顾高性能与高稳定性的架构设计，原生64位内核OS，数据面与控制面相分离，确保软件系统的稳定高效。

④非对称多处理架构发挥出多核硬件平台的极致性能，实现高达60Gbps的单机性能处理性能。

④提供100Gbps 以上业务量的性能扩容方案，以满足运营商和金融行业对于扩展性与高可用性的追求。

典型客户案例国家税务总局：SSL加速确保全国网上报税的安全发布国家税务总局所建设的的金税三期工程，面对全国纳税人提供7x24小时便捷网上报税服务。

技术方案本方案包含两个部分，上网行为管理技术方案和负载均衡技术方案一、上网行为管理技术方案1、需求概述背景介绍随着互联网技术的发展，组织的业务模式和员工的工作模式、行为习惯都在不断发生改变：⏹网上业务：组织建设了更多的网上业务平台，通过互联网来开展业务；⏹沟通桥梁：内部员工也更加依赖互联网与外部的合作伙伴、人员进行沟通和交流，提升工作效率，获取资讯和知识，维系人脉关系；⏹移动互联网：移动互联网的消费化趋势也逐渐影响到组织内部的IT系统，员工更喜欢通过WLAN、移动终端类开展工作；因此，在员工的日常工作中，ISD需要针对互联网出口平台的如下上网行为管理、上网安全防护需求进行改造，提供一个更安全、更高效的上网环境。

上网行为管理需求员工访问互联网的习惯正在发生变化，从最早使用PC、有线局域网，到更多使用移动终端、WLAN来进行办公，如果过度开放的上网环境会带来以下问题：工作效率低下网络的普及改变了传统的办公方式，而内网中总有部分用户在上班时间有意无意的做与工作无关的网络行为，比如聊天、炒股、玩网游、看视频、网购等，而且越来越多的员工正在通过企业无线网络来使用移动APP版的淘宝、陌陌。

这严重影响工作效率，从而导致企业竞争力的下降。

所以，组织需要针对PC、移动终端等各种应用、APP进行更有效的识别和管控。

带宽滥用和浪费互联网中充斥着P2P下载、在线视频、游戏、在线小说等耗费带宽的非关键业务应用，用户在使用这些应用的过程中必然会占用大量的带宽，而关键的业务应用、关键人员角色则得不到足够的资源。

此外，传统的带宽管理策略都是静态的，当带宽空闲时，依然会限制用户的流量，带宽价值被大大浪费。

所以，IT部门需要针对各种应用类型、用户角色、带宽占用情况等，提供更加灵活、细致、动态的带宽管理策略，提升用户上网体验。

BYOD难管理随着移动终端的普及，员工往往会采用PC、智能手机、Pad等多种终端，通过有线和无线网络，在不同的位置（办公座位、会议室等），接入企业IT系统。

R a d w a r e-A p p D i r e c t o r负载均衡器维护手册要点第1章系统维护1.1 保存配置文件从1.06.09以后的配置文件全是文本格式的，可以直接编辑修改上传，不需要转换。

打开File> Configuration File> Receive From Device,在File Name中, 输入你想保存的文件名.点击"set" 保存配置1.2 恢复配置文件打开File> Configuration File> Send to Device,点击 "set"系统会提示你,需要重启设备才能使配置生效.1.3 SNMP的字串管理修改SNMP的字串打开Security>Community Table,加入新的管理字串”FJJJ2006”, 分配“Super”权限给它.点击"set"字串修改1.4 用户名和密码管理打开 Security>Users,点击Create,添加新的用户.如果需要修改用户密码, 直接点击用户名, 在Password中输入新的密码，可以给用户以只读权限。

1.5 修改系统日期时间新的设备到时，如果没启用NTP，最好同时修改主备机的系统时间。

进入Device->Global Parameters时间格式为时：分：秒日期格式为日/月/年命令行配置如下：AD-Backup#system time set 16 00 00 New time is : 16 00 00AD-Backup#system date set 22 05 2009 New date is : 22 05 20091.6 NTP配置有时为了管理需要，必须使用NTP。

NTP Server: 配置NTP服务器的IP地址NTP Timezone：根据当地时区设置，中国配置为+08:00 NTP Status：设置enable命令行配置如下：AD-Backup# services ntp server set 172.1.1.20AD-Backup# services ntp time-zone set +8:00AD-Backup# services ntp status set enable1.7 检查设备CPUAD可以通过Web方式检查负载均衡设备的CPU使用率。

深信服科技AD日常维护手册深信服科技大客户服务部2015年04月有特别注明，版权均属深信服所有，受到有关产权及版权法保护。

任何个人、机构未经深信服的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录SANGFOR AD设备的每天例行检查例行检查前需准备：(1)安装了WINDOWS系统的电脑一台(2)设备与步骤1所描述的电脑在网络上是可连通的(3)附件中所带的工具包一份（包括：升级客户端程序）设备硬件状态例行检查项为了保证设备的稳定运行，工作人员需要以天为周期对设备进行检查，例行检查的项目如下：1.2.1设备状态灯的检查SANGFOR AD系列硬件设备正常工作时电源灯常亮，设备的状态指示灯（设备面板左上角标示“状态”字样）只在设备启动时因系统加载会长亮（约一分钟），正常工作时熄灭。

如果在使用过程中此灯长亮（注意双机热备的备机此灯会以闪烁），且设备无法正常使用请按照如下步骤进行操作：(1)请立即将设备断电关闭，将系统切换到备机；(2)半小时后将设备重启，若重启后红灯仍一直长亮不能熄灭，请速与我司技术支持取得联系。

1.2.2接口指示灯的检查正常情况下，网口link灯在感知到电信号的时候会呈绿色（百兆链路，如果是千兆链路，该灯会成橙色）且长亮，网口ACT灯在有数据通过的时候会呈橙色且会不停闪烁，如果link或者ACT灯不闪或者不亮，请按照如下步骤进行操作：(1)检查该网线是否破损(2)检查网口水晶头是否有破损(3)检查网卡双工模式是否协商匹配(4)上述均没有问题，请及时重启设备切换主备，并及时联系深信服技术支持1.2.3设备CPU运行检查通过设备控制台的网关运行状态，检查CPU占用率是否长期居高，注：登陆设备后显示的第一页面就是网关运行状态，如果CPU长期居高，请按照如下步骤进行操作：(1)在线用户数是否超过了设备能够承受的并发参数(2)设备是否遭受到了DOS攻击？（设备默认关闭防dos攻击，开启后可产生日志）(3)某个进程是否异常？（需联系深信服技术支持确认）1.2.4设备异常状况检查检查设备硬件是否有异常（风扇，硬盘是否有异常声响）如果设备内部有异常声响，可能是硬盘或风扇的异常工作导致，请立即断开电源停止设备工作，如有备用机，请立即将系统切换到备用机；并及时联系我司客服部门以确认故障并返修设备。

深信服智能DNS全局负载均衡解决⽅案智能DNS全局负载均衡解决⽅案——深信服AD系列应⽤交付产品背景介绍在数据⼤集中的趋势下，多数组织机构都建⽴了统⼀运维的数据中⼼。

考虑到单⼀数据中⼼在遭遇到不抗拒的因素（如⽕灾、断电、地震）时，业务系统就很有可能⽴即瘫痪，继⽽造成重⼤损失，因此很多具有前瞻性的组织机构都在建设多数据中⼼以实现容灾。

那么如何充分利⽤多个数据中⼼的资源才能避免资源浪费？如何在⼀个数据出现故障时，将⽤户引导⾄正常的数据中⼼？在多个数据中⼼都健康的情况下如何为⽤户选择最佳的数据中⼼？问题分析随着组织的规模扩⼤，⽤户群体和分⽀机构分布全国乃⾄全球，这⼀过程中组织对信息化应⽤系统的依赖性越来越强。

对于企事业单位⽽⾔，要实现业务完整、快速的交付，关键在于如何在⽤户和应⽤之间构建的⾼可⽤性的访问途径。

跨运营商访问延迟－由于运营商之间的互连互通⼀直存在着瓶颈问题，企业在兴建应⽤服务器时，若只采⽤单⼀运营商的链路来发布业务应⽤，势必会造成其他运营商的⽤户接⼊访问⾮常缓慢。

在互联⽹链路的稳定性⽇益重要的今天，通过部署多条运营商链路，有助于保证应⽤服务的可⽤性和可靠性。

多数据中⼼容灾－考虑到单数据中⼼伴随的业务中断风险，以及⽤户跨地域、跨运营商访问的速度问题，越来越多组织选择部署同城/异地多数据中⼼。

借助多数据中⼼之间的冗余和就近接⼊机制，以保障关键业务系统的快速、持续、稳定的运⾏。

深信服解决⽅案智能DNS全局负载均衡解决⽅案，旨在通过同步多台深信服AD系列应⽤交付设备，以唯⼀域名的⽅式将多个数据中⼼对外发布出去，并根据灵活的负载策略为访问⽤户选择最佳的数据中⼼⼊⼝。

⽤户就近访问④⽀持静态和动态两种就近性判断⽅法，保障⽤户在访问资源时被引导⾄最合适的数据中⼼④通过对⽤户到各站点之间的距离、延时、以及当前数据中⼼的负荷等众多因素进⾏分析判断④内置实时更新的全球IP地址库，进⼀步提⾼⽤户请求就近分配的准确性，避免遭遇跨运营商访问站点健康检查④对所有数据中⼼发布的虚拟服务进⾏监控，全⾯检查虚拟服务在IP、TCP、UDP、应⽤和内容等所有协议层上的⼯作状态④实时监控各个数据中⼼的运⾏状况，及时发现故障站点，并相应地将后续的⽤户访问请求都调度到其他的健康的数据中⼼⼊站流量管理④⽀持轮询、加权轮询、⾸个可⽤、哈希、加权最⼩连接、加权最少流量、动态就近性、静态就近性等多种负载均衡算法，为⽤户访问提供灵活的⼊站链路调度机制④⼀旦某条链路中断仍可通过其它链路提供访问接⼊，实现数据中⼼的多条出⼝链路冗余⽅案价值④合理地调度来⾃不同⽤户的⼊站访问，提升对外发布应⽤系统的稳定性和⽤户访问体验④多个数据中⼼之间形成站点冗余，保障业务的⾼可⽤性，并提升各站点的资源利⽤率④充分利⽤多条运营商链路带来的可靠性保障，提升⽤户访问的稳定性和持续性。

技术方案本方案包含两个部分，上网行为管理技术方案和负载均衡技术方案一、上网行为管理技术方案1、需求概述背景介绍随着互联网技术的发展，组织的业务模式和员工的工作模式、行为习惯都在不断发生改变：⏹网上业务：组织建设了更多的网上业务平台，通过互联网来开展业务;⏹沟通桥梁：内部员工也更加依赖互联网与外部的合作伙伴、人员进行沟通和交流，提升工作效率，获取资讯和知识,维系人脉关系；⏹移动互联网：移动互联网的消费化趋势也逐渐影响到组织内部的IT系统,员工更喜欢通过WLAN、移动终端类开展工作；因此，在员工的日常工作中，ISD需要针对互联网出口平台的如下上网行为管理、上网安全防护需求进行改造，提供一个更安全、更高效的上网环境.上网行为管理需求员工访问互联网的习惯正在发生变化，从最早使用PC、有线局域网,到更多使用移动终端、WLAN来进行办公，如果过度开放的上网环境会带来以下问题: 工作效率低下网络的普及改变了传统的办公方式,而内网中总有部分用户在上班时间有意无意的做与工作无关的网络行为，比如聊天、炒股、玩网游、看视频、网购等，而且越来越多的员工正在通过企业无线网络来使用移动APP版的淘宝、陌陌.这严重影响工作效率，从而导致企业竞争力的下降。

所以,组织需要针对PC、移动终端等各种应用、APP进行更有效的识别和管控。

带宽滥用和浪费互联网中充斥着P2P下载、在线视频、游戏、在线小说等耗费带宽的非关键业务应用，用户在使用这些应用的过程中必然会占用大量的带宽，而关键的业务应用、关键人员角色则得不到足够的资源。

此外,传统的带宽管理策略都是静态的，当带宽空闲时，依然会限制用户的流量，带宽价值被大大浪费。

所以,IT部门需要针对各种应用类型、用户角色、带宽占用情况等，提供更加灵活、细致、动态的带宽管理策略，提升用户上网体验。

BYOD难管理随着移动终端的普及,员工往往会采用PC、智能手机、Pad等多种终端，通过有线和无线网络，在不同的位置(办公座位、会议室等），接入企业IT系统。

深信服科技AD日常维护手册深信服科技大客户服务部2015年04月■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属深信服所有，受到有关产权及版权法保护。

任何个人、机构未经深信服的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录第1章SANGFOR AD设备的每天例行检查 (4)1.1例行检查前需准备： (4)1.2设备硬件状态例行检查项 (4)1.2.1设备状态灯的检查 (4)1.2.2接口指示灯的检查 (4)1.2.3设备CPU运行检查 (5)1.2.4设备异常状况检查 (5)1.3日常维护注意事项 (5)1.4升级客户端的使用 (6)第2章SANGFOR AD设备的每周例行检查 (10)2.1控制台账号安全性检查 (10)2.2关闭远程维护 (10)2.3设备配置备份 (10)第3章常见问题排错 (11)3.1无法登陆设备控制台 (11)3.2 AD新建了虚拟服务，但是无法访问？ (11)3.3链路负载，上网时快时慢，DNS有时解析不了域名 (12)3.4 DNS策略不生效 (12)3.5 DNS代理不生效 (12)3.6智能路由不生效 (13)3.7登陆应用系统，一会儿弹出并提示重新登陆 (13)技术支持 (13)第1章SANGFOR AD设备的每天例行检查1.1 例行检查前需准备：(1)安装了WINDOWS系统的电脑一台(2)设备与步骤1所描述的电脑在网络上是可连通的(3)附件中所带的工具包一份（包括：升级客户端程序）1.2 设备硬件状态例行检查项为了保证设备的稳定运行，工作人员需要以天为周期对设备进行检查，例行检查的项目如下：1.2.1设备状态灯的检查SANGFOR AD系列硬件设备正常工作时电源灯常亮，设备的状态指示灯（设备面板左上角标示“状态”字样）只在设备启动时因系统加载会长亮（约一分钟），正常工作时熄灭。

如果在使用过程中此灯长亮（注意双机热备的备机此灯会以闪烁），且设备无法正常使用请按照如下步骤进行操作：(1)请立即将设备断电关闭，将系统切换到备机；(2)半小时后将设备重启，若重启后红灯仍一直长亮不能熄灭，请速与我司技术支持取得联系。

SANGFOR AD 快速安装手册技术支持说明为了让您在安装，调试、配置、维护和学习SANGFOR 设备时，能及时、快速、有效的获得技术支持服务，我们建议您：1.参考本快速安装手册图文指导，帮助你快速的完成部署、安装SANGFOR设备。

如果快速安装手册不能满足您的需要，您可以到SANGFOR技术论坛或官网获得电子版的完整版用户手册或者其他技术资料，以便你获得更详尽的信息。

2.致电您的产品销售商（合同签约商），寻求技术支持。

为了更快速的响应您的服务要求和保证服务质量，您所在地的SANGFOR的产品销售商配备有经过厂家认证的技术工程师，会向您提供快捷的电话咨询、远程调试及必要的上门技术服务。

3.在不紧急的情况下，您可以访问SANGFOR的技术论坛，寻求技术问题的解决方案和办法。

4.致电SANGFOR客服中心，确认最适合您的服务方式和服务提供方，客服中心会在您的技术问题得到解决后，帮助您获得有效的服务信息和服务途径，以便您在后续的产品使用和维护中最有效的享受技术支持服务，及时、有效的解决产品使用中的问题。

SANGFOR技术论坛：公司网址：技术支持服务热线：400-630-6430（手机、固话均可拨打）邮箱：*******************.cn目录技术支持说明 (1)声明 (3)前言 (4)第1章AD系列硬件设备的安装 (5)1.1.环境要求 (5)1.2.电源 (5)1.3.产品接口说明 (5)1.4.配置与管理 (6)1.5.设备接线方式 (8)第2章AD系列硬件设备的部署 (10)2.1.路由模式 (10)2.1.1.AD路由模式介绍 (10)2.1.2.AD路由模式部署案例 (10)2.2.旁路模式 (23)2.2.1.AD旁路模式介绍 (23)2.2.2.AD旁路模式部署案例 (23)第3章AD应用配置案例 (28)3.1.客户环境与需求 (28)3.2.配置思路 (28)3.3. AD设备配置步骤 (29)第4章密码安全风险提示 (38)4.1 修改控制台登陆密码 (38)4.2 修改网关升级与恢复系统登陆密码 (39)声明Copyright © 2012 深圳市深信服电子科技有限公司及其许可者版权所有，保留一切权利。

深信服负载均衡⽅案⼀、概述随着互联⽹技术的不断发展，企业开始更多地使⽤互联⽹来交付其关键业务应⽤，企业⽣产⼒的保证越来越多的依赖于企业IT 架构的⾼可靠运⾏，尤其是企业数据中⼼关键业务应⽤的⾼可⽤性,所以企业越来越关注如何在最⼤节省IT成本的情况下维持关键应⽤7×24⼩时⼯作,保证业务的连续性和⽤户的满意度。

然⽽，由于中国电信发展的历史问题，使得不同运营商之间的互连互通⼀直存在着很⼤的问题。

例如，通过电信建⽴的应⽤服务器，如果是⽹通的⽤户访问该资源的时候，Ping的延时有⼏百甚⾄上千毫秒，⽤户访问时，可能会出现应⽤响应缓慢甚⾄没有响应造成⽆法访问的问题。

这样企业在建⽴应⽤服务器时，如果⽤户采⽤单条接⼊链路，⽆论是采⽤电信还是⽹通⽹络链路，势必都会造成相应的⽹通或电信⽤户访问⾮常缓慢。

如果只保持⼀条到公共⽹络的连接链路则意味着频繁的单点故障和脆弱的⽹络安全性。

在互联⽹链路的稳定性⽇益重要的今天，显然，单个互联⽹⽆法保证应⽤服务的质量和应⽤的可⽤性以及可靠性，⽽应⽤服务的中断，将会带来重⼤损失。

因此，采⽤多条链路已成为保证互联⽹链路稳定性和快速性的必然选择。

⽽传统的多链路的解决⽅案也不能完全保证应⽤的可靠性和可⽤性；传统多归路⽅案通过每条互联⽹链路为内⽹分配⼀个不同的IP地址⽹段来实现对链路质量的保证。

这样来解决⽅案虽然能够解决⼀些接⼊链路的单点故障问题，但是这样不仅没有实现真正上的负载均衡，⽽且配置管理复杂。

1.路由协议不会知道每⼀个链路当前的流量负载和活动会话。

此时的任何负载均衡都是很不精确的，最多只能叫做“链路共享”。

2.出站访问，有的链路会⽐另外的链路容易达到。

虽然路由协议知道⼀些就近性和可达性，但是他们不可能结合诸如路由器的HOP数和到⽬的⽹络延时及链路的负载状况等多变的因素，做出精确的路由选择。

3.⼊站流量，有的链路会⽐另外的链路更好地对外提供服务。

没⼀种路由机制能结合DNS，就近性，路由器负载等机制做出判断哪⼀条链路可以对外部⽤户来提供最优的服务。