深信服负载均衡AD日常维护手册

深信服科技AD日常维护手册
深信服科技大客户服务部2015年04月
■版权声明
本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属深信服所有，受到有关产权及版权法保护。

任何个人、机构未经深信服的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录
第1章SANGFOR AD设备的每天例行检查 (4)
1.1例行检查前需准备： (4)
1.2设备硬件状态例行检查项 (4)
1.2.1设备状态灯的检查 (4)
1.2.2接口指示灯的检查 (4)
1.2.3设备CPU运行检查 (5)
1.2.4设备异常状况检查 (5)
1.3日常维护注意事项 (5)
1.4升级客户端的使用 (6)
第2章SANGFOR AD设备的每周例行检查 (10)
2.1控制台账号安全性检查 (10)
2.2关闭远程维护 (10)
2.3设备配置备份 (10)
第3章常见问题排错 (11)
3.1无法登陆设备控制台 (11)
3.2 AD新建了虚拟服务，但是无法访问？ (11)
3.3链路负载，上网时快时慢，DNS有时解析不了域名 (12)
3.4 DNS策略不生效 (12)
3.5 DNS代理不生效 (12)
3.6智能路由不生效 (13)
3.7登陆应用系统，一会儿弹出并提示重新登陆 (13)
技术支持 (13)
第1章SANGFOR AD设备的每天例行检查1.1 例行检查前需准备：
(1)安装了WINDOWS系统的电脑一台
(2)设备与步骤1所描述的电脑在网络上是可连通的
(3)附件中所带的工具包一份
（包括：升级客户端程序）
1.2 设备硬件状态例行检查项
为了保证设备的稳定运行，工作人员需要以天为周期对设备进行检查，例行检查的项目如下：
1.2.1设备状态灯的检查
SANGFOR AD系列硬件设备正常工作时电源灯常亮，设备的状态指示灯（设备面板左上角标示“状态”字样）只在设备启动时因系统加载会长亮（约一分钟），正常工作时熄灭。

如果在使用过程中此灯长亮（注意双机热备的备机此灯会以闪烁），且设备无法正常使用请按照如下步骤进行操作：
(1)请立即将设备断电关闭，将系统切换到备机；
(2)半小时后将设备重启，若重启后红灯仍一直长亮不能熄灭，请速与我司技术支
持取得联系。

1.2.2接口指示灯的检查
正常情况下，网口link灯在感知到电信号的时候会呈绿色（百兆链路，如果是千兆链路，该灯会成橙色）且长亮，网口ACT灯在有数据通过的时候会呈橙色且会不停闪烁，如果link 或者ACT灯不闪或者不亮，请按照如下步骤进行操作：
(1)检查该网线是否破损
(2)检查网口水晶头是否有破损
(3)检查网卡双工模式是否协商匹配
(4)上述均没有问题，请及时重启设备切换主备，并及时联系深信服技术支持
1.2.3设备CPU运行检查
通过设备控制台的网关运行状态，检查CPU占用率是否长期居高，注：登陆设备后显示的第一页面就是网关运行状态，如果CPU长期居高，请按照如下步骤进行操作：
(1)在线用户数是否超过了设备能够承受的并发参数
(2)设备是否遭受到了DOS攻击？（设备默认关闭防dos攻击，开启后可产生日
志）
(3)某个进程是否异常？（需联系深信服技术支持确认）
1.2.4设备异常状况检查
检查设备硬件是否有异常（风扇，硬盘是否有异常声响）
如果设备内部有异常声响，可能是硬盘或风扇的异常工作导致，请立即断开电源停止设备工作，如有备用机，请立即将系统切换到备用机；并及时联系我司客服部门以确认故障并返修设备。

1.3 日常维护注意事项
1.4 升级客户端的使用
升级客户端是我司开发的用于调试设备的一个客户端工具，集成了一些常用的网络命令，和具备升级、备份设备配置的功能，对于日常维护工作有很大帮助，下载地址：
/
请至服务与支持-软件下载-常用工具中下载最新版本的升级客户端
注：使用升级客户端登陆设备须放通tcp 51111端口。

下载升级客户端后，解压压缩包，打开SANGFOR Firmware Updater.exe文件，如下图：
输入设备的IP地址，并输入登录密码即可登录。

默认的登录密码是“dlanrecover”或“控制台Admin管理员的密码”。

界面如下：登录成功后，会出现登录成功的提示，如下图：
按F10，可进入如下界面
【备份】：包括备份配置、恢复备份配置选项，如下图：
【备份配置】：将现有的配置信息进行备份。

【恢复备份配置】：将以前备份过的配置信息恢复到设备。

【命令】：包括Ping、查看路由表、查看ARP表、查看网络配置选项。

如下图
第2章SANGFOR AD设备的每周例行检查为了保证设备信息的完整性和可恢复性，请以月为周期进行如下例行检查：
2.1 控制台账号安全性检查
检查项:
1.控制台管理员密码是否为默认或是空？
如果空密码或默认密码则检查不通过，请立即修改密码
2.控制台管理员密码一个月内有没有修改过？
如果控制台管理员密码一个月内都没有修改过，请立即修改并妥善保存密码
3.控制台是否有多余账号？
如果有的话，请删除多余账号，保留控制台账号
2.2 关闭远程维护
为了避免设备被非法入侵，请及时关闭远程维护功能。

2.3 设备配置备份
为了保证网络的稳定运行，建议客户每半个月进行一次配置的备份，以防止系统意外瘫痪导致系统无法迅速恢复。

方法：见1.4升级客户端章节中关于备份配置的介绍。

第3章常见问题排错
本部分主要介绍了AD设备在使用中可能会碰到的一些问题和维护的方法：
3.1 无法登陆设备控制台
(1)检查设备面板上红色alarm灯是否常亮
(2)是否能够正常ping通设备管理口
(3)从内网是否能telnet通设备443、51111端口
(4)Tracert设备管理口地址，看数据包是否能够到达设备内网口
(5)如经过上述步骤仍无法登陆设备速联系我司技术支持
3.2 AD新建了虚拟服务，但是无法访问？
(1)在【链路状态】里查看线路是否在线，如不在线，说明外网线路问题；
(2)在【虚拟服务状态】里查看虚拟服务状态，如果繁忙、离线，则不能访问；
(3)在【节点状态】检查节点是否在线；
(4)检查访问的IP地址是否正确，是否配置了互联网ip地址，dns策略和http重定
向会使用互联网ip地址替换IP组的地址；
(5)如果是网关模式，可以先禁用虚拟服务，然后建立端口映射，试着用端口映射是否
能访问到；
(6)如果是网桥模式，检查IP组设置的是否包含网桥IP，访问的是否是网桥IP；
(7)如果节点在线，线路也未离线，如果是旁路模式部署，那检查是否做了SNAT；
(8)从内网不经过AD查看是否可以访问到应用系统；
(9)如果是使用cookie 会话保持，改用源IP会话保持看是否能恢复正常；
(10)如果不是基于http协议的，有专门的客户端软件的，（例如手机炒股软件之类），测
试时注意配置好虚拟服务后，要重启客户端。

3.3 链路负载，上网时快时慢，DNS有时解析不了域名
问题产生的原因：
(1)使用了线路繁忙保护，导致上网数据匹配到智能路由里面的default策略，default策略
采用流量最小加权算法，所以导致一会走线路1一会走线路2；
(2)访问的目标IP不在ISP地址段里面；
(3)链路监视器问题，导致外网链路不停的出现离线的情况；
(4)使用电信的地址去访问网通的DNS服务器，网通的DNS不回复，导致DNS解析不了；
(5)若启用了DNS代理，调度策略选轮询或加权轮询，有可能会出现访问一个电信的站
点，恰好调度到联通的DNS，导致联通解析DNS不了域名；
(6)若启用了DNS代理，查看【DNS状态】，看DNS服务器是否不停离线。

解决方法：
(1)把繁忙保护比例设置成99%（建议刚部署设备时，把繁忙保护比例设置成99%），当
只有1条电信或1条联通线路时，建议禁用繁忙保护。

(2)确定dns客户端里面配置的DNS服务器都在ISP地址段里面。

3.4 DNS策略不生效
（1）检查域名是不是A记录；
（2）【服务器设置】里面是否有填写监听地址；
（3）检查【服务器设置】里面的地址，是否和DNS代理的监听地址冲突；
（4）将电脑的DNS地址填写成AD的IP，能否解析；
（5）查看公网的NS记录是否填写正确。

3.5 DNS代理不生效
（1）监听地址有没有填；
（2）DNS服务器列表有没有填；
（3）【DNS状态】中dns服务器是否在线；
（4）客户端电脑的DNS是否填的监听地址或者DNS服务器列表中的地址。

3.6 智能路由不生效
（1）检查智能路由的配置是否正确；
（2）查看【链路状态】中的外网线路是否离线或者繁忙；
（3）在【路由测试】中进行测试，看测试结果；
（4）检查【出站高级配置】，出站会话保持的子网掩码是否合适。

3.7 登陆应用系统，一会儿弹出并提示重新登陆
（1）检查是否开启会话保持；
（2）对于cookie会话保持，检查客户PC的系统时间是否不正确，是否有较大误差；
（3）对于cookie会话保持，检查AD的系统时间是否有较大误差；
（4）cookie会话保持超时时间是否设置过短；
（5）检查客户的浏览器是否把安全等级设置过高，是否禁用部分cookie。

技术支持
技术支持电话：400-630-6430
技术支持论坛：/forum
用户支持邮箱：*******************.cn
公司主页：。