深信服负载均衡主备双机配置

技术方案本方案包含两个部分，上网行为管理技术方案和负载均衡技术方案一、上网行为管理技术方案1、需求概述背景介绍随着互联网技术的发展，组织的业务模式和员工的工作模式、行为习惯都在不断发生改变：⏹网上业务：组织建设了更多的网上业务平台，通过互联网来开展业务；⏹沟通桥梁：内部员工也更加依赖互联网与外部的合作伙伴、人员进行沟通和交流，提升工作效率，获取资讯和知识，维系人脉关系；⏹移动互联网：移动互联网的消费化趋势也逐渐影响到组织内部的IT系统，员工更喜欢通过WLAN、移动终端类开展工作；因此，在员工的日常工作中，ISD需要针对互联网出口平台的如下上网行为管理、上网安全防护需求进行改造，提供一个更安全、更高效的上网环境。

上网行为管理需求员工访问互联网的习惯正在发生变化，从最早使用PC、有线局域网，到更多使用移动终端、WLAN来进行办公，如果过度开放的上网环境会带来以下问题：工作效率低下网络的普及改变了传统的办公方式，而内网中总有部分用户在上班时间有意无意的做与工作无关的网络行为，比如聊天、炒股、玩网游、看视频、网购等，而且越来越多的员工正在通过企业无线网络来使用移动APP版的淘宝、陌陌。

这严重影响工作效率，从而导致企业竞争力的下降。

所以，组织需要针对PC、移动终端等各种应用、APP进行更有效的识别和管控。

带宽滥用和浪费互联网中充斥着P2P下载、在线视频、游戏、在线小说等耗费带宽的非关键业务应用，用户在使用这些应用的过程中必然会占用大量的带宽，而关键的业务应用、关键人员角色则得不到足够的资源。

此外，传统的带宽管理策略都是静态的，当带宽空闲时，依然会限制用户的流量，带宽价值被大大浪费。

所以，IT部门需要针对各种应用类型、用户角色、带宽占用情况等，提供更加灵活、细致、动态的带宽管理策略，提升用户上网体验。

BYOD难管理随着移动终端的普及，员工往往会采用PC、智能手机、Pad等多种终端，通过有线和无线网络，在不同的位置（办公座位、会议室等），接入企业IT系统。

深信服负载均衡AD 日常维护手册文档仅供参考，不当之处，请联系改正。

深信服科技AD日常维护手册深信服科技大客户服务部04月■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属深信服所有，受到有关产权及版权法保护。

任何个人、机构未经深信服的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录第1章 SANGFOR AD设备的每天例行检查 (5)1.1例行检查前需准备： (5)1.2设备硬件状态例行检查项 (5)1.2.1设备状态灯的检查 (5)1.2.2接口指示灯的检查 (6)1.2.3设备CPU运行检查 (6)1.2.4设备异常状况检查 (7)1.3日常维护注意事项 (7)1.4升级客户端的使用 (8)第2章 SANGFOR AD设备的每周例行检查 (12)2.1控制台账号安全性检查 (12)2.2关闭远程维护 (12)2.3设备配置备份 (12)第3章常见问题排错 (14)3.1无法登陆设备控制台 (14)3.2 AD新建了虚拟服务，但是无法访问？ (14)3.3链路负载，上网时快时慢，DNS有时解析不了域名 (15)3.4 DNS策略不生效 (16)3.5 DNS代理不生效 (17)3.6智能路由不生效 (17)3.7登陆应用系统，一会儿弹出并提示重新登陆 (17)技术支持 (18)第1章SANGFOR AD设备的每天例行检查1.1 例行检查前需准备：(1)安装了WINDOWS系统的电脑一台(2)设备与步骤1所描述的电脑在网络上是可连通的(3)附件中所带的工具包一份（包括：升级客户端程序）1.2 设备硬件状态例行检查项为了保证设备的稳定运行，工作人员需要以天为周期对设备进行检查，例行检查的项目如下：1.2.1设备状态灯的检查SANGFOR AD系列硬件设备正常工作时电源灯常亮，设备的状态指示灯（设备面板左上角标示“状态”字样）只在设备启动时因系统加载会长亮（约一分钟），正常工作时熄灭。

深信服负载均衡AD-4000-BS参数一、性能及配置要求序号技术指标指标要求1 接口要求千兆电口≥6个千兆光口≥4个2 硬件配置内存≥8GB存储介质≥500GB3 性能要求吞吐量≥6Gbps并发会话数≥800万四层每秒新建会话数≥20万七层每秒新建会话数≥40万二、功能要求技术指标指标要求部署方式支持串接部署、旁路部署；支持三角传输模式。

设备形态独立专业负载设备，非插卡式扩展的负载均衡设备。

高可用性支持双机热备部署，设备之间同步会话信息。

负载均衡算法支持轮询、加权轮询、加权最小连接、动态反馈、最快响应、最小流量、带宽比例、哈希、主备、首个可用、UDP强行负载等算法。

会话保持机制支持源IP、Cookie（插入/被动/改写）、HTTP-Header、Radius、SSL Session ID等多种会话保持机制。

链路健康检查支持多种链路检测方法，能够通过PING、TCP、HTTP等方式监控链路的连通性。

支持链路冗余机制，当某一条链路故障时，可将访问流量切换到其它链路，保障用户业务的持久通畅。

服务器健康检查支持常见的主动式健康检查功能，提供基于SNMP、ICMP、TCP/UDP、FTP、HTTP、DNS、RADIUS，ORACLE/MSSQL/MYSQL 数据库等多种类型的探测判断机制。

支持被动式健康检查，可根据对业务流量的观测采样，辅助判断应用服务器健康状况；对常规HTTP应用可配置基于反映URL失效的HTTP响应状态码的观测判断机制，对于复杂应用可配置基于RST关闭连接和零窗口等异常TCP传输行为的观测判断机制。

支持主动探测方式与被动观测方式结合使用的服务器健康检查手段，以便适应各种复杂应用交互流程，保障业务系统的高可用性。

业务交付优化支持非对称式部署的TCP协议优化技术，提升远端用户访问应用服务的速度。

无需在用户终端或应用服务器上安装任何插件和软件，不受操作系统类型、浏览器版本等兼容性因素限制，并且用户首次访问应用服务即可产生加速效果。

深信服负载均衡⽅案⼀、概述随着互联⽹技术的不断发展，企业开始更多地使⽤互联⽹来交付其关键业务应⽤，企业⽣产⼒的保证越来越多的依赖于企业IT 架构的⾼可靠运⾏，尤其是企业数据中⼼关键业务应⽤的⾼可⽤性,所以企业越来越关注如何在最⼤节省IT成本的情况下维持关键应⽤7×24⼩时⼯作,保证业务的连续性和⽤户的满意度。

然⽽，由于中国电信发展的历史问题，使得不同运营商之间的互连互通⼀直存在着很⼤的问题。

例如，通过电信建⽴的应⽤服务器，如果是⽹通的⽤户访问该资源的时候，Ping的延时有⼏百甚⾄上千毫秒，⽤户访问时，可能会出现应⽤响应缓慢甚⾄没有响应造成⽆法访问的问题。

这样企业在建⽴应⽤服务器时，如果⽤户采⽤单条接⼊链路，⽆论是采⽤电信还是⽹通⽹络链路，势必都会造成相应的⽹通或电信⽤户访问⾮常缓慢。

如果只保持⼀条到公共⽹络的连接链路则意味着频繁的单点故障和脆弱的⽹络安全性。

在互联⽹链路的稳定性⽇益重要的今天，显然，单个互联⽹⽆法保证应⽤服务的质量和应⽤的可⽤性以及可靠性，⽽应⽤服务的中断，将会带来重⼤损失。

因此，采⽤多条链路已成为保证互联⽹链路稳定性和快速性的必然选择。

⽽传统的多链路的解决⽅案也不能完全保证应⽤的可靠性和可⽤性；传统多归路⽅案通过每条互联⽹链路为内⽹分配⼀个不同的IP地址⽹段来实现对链路质量的保证。

这样来解决⽅案虽然能够解决⼀些接⼊链路的单点故障问题，但是这样不仅没有实现真正上的负载均衡，⽽且配置管理复杂。

1.路由协议不会知道每⼀个链路当前的流量负载和活动会话。

此时的任何负载均衡都是很不精确的，最多只能叫做“链路共享”。

2.出站访问，有的链路会⽐另外的链路容易达到。

虽然路由协议知道⼀些就近性和可达性，但是他们不可能结合诸如路由器的HOP数和到⽬的⽹络延时及链路的负载状况等多变的因素，做出精确的路由选择。

3.⼊站流量，有的链路会⽐另外的链路更好地对外提供服务。

没⼀种路由机制能结合DNS，就近性，路由器负载等机制做出判断哪⼀条链路可以对外部⽤户来提供最优的服务。

深信服负载均衡主备双机一、主备双机配置界面『主备』设置双机热备功能。

界面如下图所示：『名称』自定义设备的名称，方便区分当前哪台设备处于主模式。

『状态』中[启用]用来启用双机，[禁用]用来禁用双机。

『超时时间』当在超时时间内备机一直无法收到主机发送的心跳包，则认为主机超时，备机主动切换成主机。

『通信介质』选择连接双机的接口，可以用串口和空闲的网口。

选择网口后，需要为该网口配置一个IP地址，只要不与正在使用的IP地址冲突即可。

建议选择网口作为通信介质，通过网口来做双机切换比串口切换花费的时间短。

通信介质选择网口，则可以实现会话同步。

『MAC同步』用于设置双机切换是否同步MAC地址。

『同步网口列表』用于设置切换双机的时候同步哪些接口的MAC地址，需要开启MAC 同步才会显示该选项。

『通信介质故障检测』通过网络数据包来检测对端是否存在，避免两台设备成为主机导致IP冲突。

两台设备的通信介质故障检测网口需要接到同一个广播域，可以选择已经使用的网口，也可以选择空闲网口，选择空闲网口需要设置IP地址。

界面如下：『同步配置』点击向备机同步配置。

『故障切换』用于设置双机切换条件，符合此处设置的条件则进行主备切换，界面如下：『状态』用于设置是否启用双机故障切换检测，『检测类型』分为『掉线检测』、『ARP检测』、『健康检查』3的检测方法。

『掉线检测』当检测到网口物理状态不正常则进行切换。

『ARP检测』AD设备向选择的接口发送ARP广播，如果监视主机里填写的IP地址有回应ARP，则判断正常。

该监视主机地址需要填写与AD设备接口同一网段的地址。

界面如下：『健康检查』通过网络接口处设置的链路健康检查机制来检测，当选择健康检查后，只有启用了链路健康检查的链路才可选，界面如下：『主备状态』分为“主机”、“备机”，可通过右边的切换按钮进行主备切换。

界面如下：『升级模式』升级模式在有升级需要时才手动启用，启用时不会发生主备切换，并且不会同步配置。

服务器和负载均衡设备采购需求一、采购内容1．联想RQ940机架式服务器：数量一台；配置4路Intel E7-4820 V2 CPU(8核，2.0GHz)、32根8GB DDR3内存（标配4根，需另增加）、3块300GB 10K SAS硬盘、双通道8GB HBA光纤卡2块（标配无，需另增加）、外插R700 512MB SAS RAID卡、Intel双千兆网卡、DVD-RW光驱、导轨、冗余电源；三年7×24×4保修、硬盘免回收服务。

2．深信服ADN450负载均衡设备：数量一台；配置2.4GHz 双核CPU、4G内存、500G存储、6个千兆电口；功能及速率包括（但不限于）四层吞吐量1G、最大并发会话数4000000、交换背板48Gb／s、HTTP压缩500M／s、VLAN 个数4096、TCP单边加速功能、DNS透明代理、智能路由、与VMware vSphere架构深度结合且有针对虚拟机资源的智能与优化机制等；3年免费软件版本升级和硬件质保。

3．网御应用交付控制系统V2.0Leadsec-ADC205-C负载均衡设备：数量一台；配置1.8GHz双核CPU、4G内存、1T存储、5个千兆电口、功能及速率包括（但不限于）最大并发会话数300万、交换背板20Gb／s、HTTP压缩100M／s、VLAN个数4096、支持应用加速与优化、支持ipv6、支持虚拟化、提供专业级安全防护，实现4-7层访问控制和有效抗DDOS攻击等；3年免费软件版本升级和硬件质保。

二、有关要求。

1.为确保售后服务质量，本次竞价仅限于广东省或在广东省内有服务网点的供应商参与。

2.所供货物须由供应商派人送货到汕头海关主机房，不得使用快递或者客户自提等方式发货。

合同签署之日起，15个工作日内交货。

3.所有产品、配件要求原厂生产的全新包装无损坏正品，由厂家负责保修三年，报价和供货时需提供厂家开具的原厂售后服务证明函，并由原厂工程师上门完成虚拟化平台搭建相关调试及使用培训工作。

技术方案本方案包含两个部分，上网行为管理技术方案和负载均衡技术方案一、上网行为管理技术方案1、需求概述背景介绍随着互联网技术的发展，组织的业务模式和员工的工作模式、行为习惯都在不断发生改变：⏹网上业务：组织建设了更多的网上业务平台，通过互联网来开展业务；⏹沟通桥梁：内部员工也更加依赖互联网与外部的合作伙伴、人员进行沟通和交流，提升工作效率，获取资讯和知识，维系人脉关系；⏹移动互联网：移动互联网的消费化趋势也逐渐影响到组织内部的IT系统，员工更喜欢通过WLAN、移动终端类开展工作；因此，在员工的日常工作中，ISD需要针对互联网出口平台的如下上网行为管理、上网安全防护需求进行改造，提供一个更安全、更高效的上网环境。

上网行为管理需求员工访问互联网的习惯正在发生变化，从最早使用PC、有线局域网，到更多使用移动终端、WLAN来进行办公，如果过度开放的上网环境会带来以下问题：工作效率低下网络的普及改变了传统的办公方式，而内网中总有部分用户在上班时间有意无意的做与工作无关的网络行为，比如聊天、炒股、玩网游、看视频、网购等，而且越来越多的员工正在通过企业无线网络来使用移动APP版的淘宝、陌陌。

这严重影响工作效率，从而导致企业竞争力的下降。

所以，组织需要针对PC、移动终端等各种应用、APP进行更有效的识别和管控。

带宽滥用和浪费互联网中充斥着P2P下载、在线视频、游戏、在线小说等耗费带宽的非关键业务应用，用户在使用这些应用的过程中必然会占用大量的带宽，而关键的业务应用、关键人员角色则得不到足够的资源。

此外，传统的带宽管理策略都是静态的，当带宽空闲时，依然会限制用户的流量，带宽价值被大大浪费。

所以，IT部门需要针对各种应用类型、用户角色、带宽占用情况等，提供更加灵活、细致、动态的带宽管理策略，提升用户上网体验。

BYOD难管理随着移动终端的普及，员工往往会采用PC、智能手机、Pad等多种终端，通过有线和无线网络，在不同的位置（办公座位、会议室等），接入企业IT 系统。

SANGFOR AD 快速安装手册技术支持说明为了让您在安装，调试、配置、维护和学习SANGFOR 设备时，能及时、快速、有效的获得技术支持服务，我们建议您：1.参考本快速安装手册图文指导，帮助你快速的完成部署、安装SANGFOR设备。

如果快速安装手册不能满足您的需要，您可以到SANGFOR技术论坛或官网获得电子版的完整版用户手册或者其他技术资料，以便你获得更详尽的信息。

2.致电您的产品销售商（合同签约商），寻求技术支持。

为了更快速的响应您的服务要求和保证服务质量，您所在地的SANGFOR的产品销售商配备有经过厂家认证的技术工程师，会向您提供快捷的电话咨询、远程调试及必要的上门技术服务。

3.在不紧急的情况下，您可以访问SANGFOR的技术论坛，寻求技术问题的解决方案和办法。

4.致电SANGFOR客服中心，确认最适合您的服务方式和服务提供方，客服中心会在您的技术问题得到解决后，帮助您获得有效的服务信息和服务途径，以便您在后续的产品使用和维护中最有效的享受技术支持服务，及时、有效的解决产品使用中的问题。

SANGFOR技术论坛：公司网址：技术支持服务热线：400-630-6430（手机、固话均可拨打）邮箱：*******************.cn目录技术支持说明 (1)声明 (3)前言 (4)第1章AD系列硬件设备的安装 (5)1.1.环境要求 (5)1.2.电源 (5)1.3.产品接口说明 (5)1.4.配置与管理 (6)1.5.设备接线方式 (8)第2章AD系列硬件设备的部署 (10)2.1.路由模式 (10)2.1.1.AD路由模式介绍 (10)2.1.2.AD路由模式部署案例 (10)2.2.旁路模式 (23)2.2.1.AD旁路模式介绍 (23)2.2.2.AD旁路模式部署案例 (23)第3章AD应用配置案例 (28)3.1.客户环境与需求 (28)3.2.配置思路 (28)3.3. AD设备配置步骤 (29)第4章密码安全风险提示 (38)4.1 修改控制台登陆密码 (38)4.2 修改网关升级与恢复系统登陆密码 (39)声明Copyright © 2012 深圳市深信服电子科技有限公司及其许可者版权所有，保留一切权利。

测试指导书SANGFOR_AC_v11.0版本_主备模式部署测试指导书深信服科技有限公司目录1 介绍 (3)1.1 文档目的 (3)2 需求背景 (3)3 测试环境 (3)3.1 测试拓扑 (3)3.2 测试条件 (4)3.3 预期测试效果 (4)4 测试过程 (4)5 测试效果 (8)6 注意事项 (12)1 介绍1.1 文档目的为了方便快速达到功能测试效果，减少现场测试出现问题机率。

2 需求背景主备模式部署是AC中的高可靠设计部分，目的是保证在主机异常时（如设备掉电，网口掉线等），备机接替主机工作，起到冗余备份的作用，并且主机所有配置能实时同步至备机。

两台设备路由模式部署时部署为主备。

3 测试环境3.1 测试拓扑两台同版本的设备路由模式部署，使用3.2 测试条件4.2.1 准备两台(11.0或以上版本)同版本，网口数量相同的设备。

4.2.2 准备一条交叉线连接两台设备空闲网口同步配置3.3 预期测试效果4.3.1 主机修改配置可以实时同步至备机。

4.3.2 拨掉主机监测网口网线，主机切换成备机，备机接替主机工作。

主备切换过程，内网到外网丢包在5个包以内。

4 测试过程5.1 主机配置将认为需要部署为主机的设备按如下步骤配置好5.1.1 基本网络配置(1)配置设备部署模式为路由模式，设置wan口ip，lan口ip，dmz口ip(空闲网口用来同步配置)、dns以及nat。

(2)配置静态路由根据客户网络实际情况，如果内网是三层环境时，需要设置到内网各网段的回包路由。

此处实验环境是二层环境无需配置静态路由5.1.2 高可用性配置(1)【高可用性】点击“启用高可用性服务”,选择“主备模式”(2)配置设备标识；给主机命名方便登录设备时查看当前是哪台设备在工作。

(3)配置监测网口以及同步配置的网口【说明】：抢占为主机；指的是主备模式中的主机出现异常切换为备机状态，后续当原主机恢复正常时是否主动抢占为主机的状态。

XXX服务器负载均衡解决方案深信服科技有限公司20XX年XX月XX日目录第1章概述 (1)第2章需求分析 (1)第3章解决方案 (2)3.1网络拓扑 (2)3.2方案描述 (3)3.2.1方案设计总体描述 (3)3.2.2服务器负载均衡及冗余 (3)3.2.3设备自身冗余性(根据客户需求进行删减) (4)3.2.4易于管理性 (4)第4章关键技术介绍 (4)4.1服务器负载均衡算法 (4)4.2服务器健康检查 (5)4.3会话保持 (6)4.4商业智能分析 (7)4.5SSL卸载技术 (7)第5章SANGFOR专业服务 (8)第1章概述随着Internet的普及以及电子商务、电子政务的发展，单位的应用系统需要面对越来越高的访问量和数据量。

这就对系统的稳定性和可用性以及可靠性提出了更高的要求;这样就使得单一的网络服务设备已经不能满足需要了，由此需要引入服务器的负载平衡，实现客户端同时访问多台同时工作的服务器，实现动态分配每一个应用请求到后台的服务器，并即时按需动态检查各个服务器的状态，根据预设的规则将请求分配给最有效率的服务器。

实现数据流合理的分配，使每台服务器的处理能力都能得到充分的发挥，扩展应用系统的整体处理能力，提高应用系统的整体性能，改善应用系统的可用性和可用性，降低IT投资。

服务器负载均衡技术在现有网络结构之上能够提供一种廉价、有效、透明的方法，来扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性。

它主要能够带来两方面的价值：1.建立有效的负载均衡机制。

传统的负载机制是建立在较简单负载均衡机制和较简单的健康检查机制上的，不能根据服务器提供服务的具体情况向其转发有效的访问流量，通过构建新的负载均衡系统，可以采用多种负载均衡机制，根据服务器的负载能力智能确定该服务器所分担的负载。

主要能够解决如下两个方面的问题：首先，大量的并发访问或数据流量将会被分担到多台设备上分别处理，进而减少用户等待响应的时间；再者，单个重负载的运算分担到多台节点设备上做并行处理，每个节点设备处理结束后，将结果汇总，返回给用户，系统处理能力得到大幅度提高2.建立有效的健康检查机制。

SANGFOR_AC SG_v5.6R1双机测试指导书【说明】：双机热备是AC中的高可靠设计部分，目的是保证在主机异常时（如设备掉电，网口掉线等），备机接替主机工作，起到冗余备份的作用，并且主机所有配置能实时同步至备机。

两台设备路由模式部署时常部署为双机。

一．准备工作1．以两台AC5.6R1M5100作为测试设备，路由模式部署。

2．以192.168.1.10电脑作为测试用户，需要通过设备认证。

测试当双机切换时网络连通性。

3．准备一根双机心跳线。

二．测试拓扑实验拓扑如下：互联出口网关地址192.200.200.199/255.255.255.0,分配给设备外网口的地址192.200.200.140/255.255.255.0。

两台AC wan口（图中eth2）接到同一个交换机同一个vlan，lan口(图中eth0)接到同一个交换机同一个vlan。

两台AC同时使用心跳线连接串口。

三．测试需求及预期结果测试需求1.主机修改配置可以实时同步至备机。

2.拨掉网口网线，主机切换成备机，备机接替主机工作。

主备切换过程，内同到外网丢包在5个包以内。

预期结果1.主机修改配置后，可以实时同步至备机，通过主机的系统日志查看，配置已经同步至备机。

2.拨掉主机网口网线，备机接替主机工作，正常完成主备切换，网络连通性正常。

四．配置步骤1.主机配置将认为需要部署为主机的设备按如下步骤配置好1.1.基本网络配置（1）配置设备的部署模式为路由模式，设置wan口ip，lan口ip，dns以及nat。

（2）检察需要放行的防火墙规则是否已放行。

（3）配置回包路由根据客户网络实际情况，如果内网是三层环境时，需要设置到内网各网段的回包路由。

1.2.双机配置（1）【网络配置】->【高可用性】->【双机维护】，点击“启用双机维护”，启用双机或者禁用双机设备都会重启。

（2）配置设备名称，以方便区分主机和备机，配置超时时间，通常保持默认即可。