AD高級培訓PPT總結

AD高級培訓PPT總結

https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=44905&highlight=

 

 

說明：其中「一」表明第1章，「1」表明某章第1個知識點，依此類推。

 

  1、負載均衡的原理

 

一、智能DNS調度算法

 

  （1）輪詢、加權輪詢（依賴鏈路權重）、首個可用、哈希、靜態就近性、動態就近性、

 

   加權最小流量（依賴鏈路權重）、加權最小鏈接（依賴鏈路權重）

 

  （2）首個可用

 

  首個IP地址經過監視器檢測可用則始終返回到這一個IP地址給Local DNS，當此IP地址不可用時，調度到其餘IP。

 

  （3）哈希

 

  根據Local DNS的IP地址作哈希運算，不一樣的Local DNS請求均衡返回鏈路IP地址。

 

  （4）動態就近性

 

  當AD設備接收到客戶端DNS服務器的域名請求時，設備從全部鏈路向該客戶端DNS服務器發起反向探測請求，最快收到迴應（包含拒絕）的鏈路認爲最優，返回最優的鏈路IP給客戶端DNS服務器。

 

  （5）加權最小鏈接

 

  當AD收到外網DNS服務器的域名請求時，根據當前有效鏈路的一個動態比值（鏈路的鏈接數/鏈路的權重），該比值越小，優先級越高，返回最高優先級的鏈路的IP給外網DNS服務器。

 

  （6）加權最小流量

 

  當AD接收到外網DNS服務器的域名請求時，根據當前有效鏈路的一個動態比值（鏈路的流量/鏈路的權重），該比值較小，優先級越高，返回最高優先級的鏈路IP給外網DNS服務器。

 

  （7）推薦使用算法

 

  若是擁有多條同一運營商的鏈路，可考慮使用輪詢或加權輪詢或哈希。

 

  若是擁有不一樣運營商的鏈路，可考慮使用靜態就近性算法。

 

  若是是入站流量不大且源IP範圍大可能是國外，可考慮使用動態就近性。

 

  若是鏈路之間的帶寬差別比較大，可考慮使用加權最小流量或加權輪詢。

 

 

 

二、智能路由調度算法

 

  若是擁有多條同一運營商的鏈路，可考慮使用輪詢。

 

  若是鏈路之間的帶寬差別比較大，可考慮使用帶寬比例或加權最小流量。

 

  注：靜態就近性不是可選算法，而是自建策略。若有電信和聯通2條線路，能夠新建2條策略，目標IP是電信的走電信，聯通同理。

 

 

 

三、虛擬服務節點調度算法

 

  （1）節點調度策略

 

   輪詢、加權輪詢、加權最小鏈接、最快響應時間、動態反饋、優先級、哈希。

 

  （2）最快響應時間

 

   發送數據包進行探測，調度到響應最快的節點，必須配置connetc/dns/radius/database監視器。

 

  （3）動態反饋

 

   節點監視器經過SNMP監視節點負載，根據節點負載改變其權值。

 

  （4）推薦使用算法

 

   若是各個服務器的性能都相同的狀況下，可考慮使用輪詢。

 

   若是各個服務器的性能存在必定的差別，可考慮使用加權輪詢。

 

   若是處於新舊服務器過渡舊服務器僅作備用的狀況，可考慮使用優先級。

 

   若是沒有以上明顯特徵，可嘗試使用其餘算法。

 

 

 

四、智能DNS工做原理

 

   （1）PC將DNS請求發送給Local DNS服務器

 

   （2）Local DNS將請求發送給域名提供商

 

   （3）域名提供商將域名對應的NS記錄和NS記錄對應的A記錄返回給Local DNS服務器

 

   （4）Local DNS根據域名供應商返回的NS記錄將請求發給AD設備

 

   （5）AD根據配置的策略返回一個IP級Local DNS

 

   （6）Local DNS將IP告訴客戶端

 

   A記錄用A表示，NS記錄用NS表示。

 

 

 

五、虛擬服務工做原理

 

   （1）PC訪問www.xxx.com，解釋爲1.1.1.1。

 

   （2）AD檢查目標IP 1.1.1.1，匹配IP組，目標端口80，匹配服務。

 

   （3）根據虛擬IP池配置的調度策略，選擇合適的節點。

 

 

 

 

 

 

 

2、高可用部署

 

 

 

一、雙機熱備部署

 

  （1）各類部署模式均支持雙機熱備，當主設備出現問題，自動切換到備機。

 

  （2）上架思路

 

  a.配置主機（配置基礎網絡配置、虛擬服務、雙機維護），確保放入網絡中業務能夠正常運行。

 

  b.配置備機（僅配置雙機維護）並將該主機關機，接主機B的雙機口到主機A的對應接口。

 

  c.主機開機。

 

  d.主機會將配置同步至備機。備機的Alarm燈一直閃爍，說明工做正常。

 

  e.將主機關機，查看AD是否正常。

 

  （3）注意事項

 

  a.能夠在雙機頁面設置名稱，該名稱不會被雙機同步。

 

  b.雙機故障檢測口要接在同一個二層廣播域方可正常檢測到。

 

  c.主機一旦修改配置，則實時向備機同步，能夠在雙機維護的狀態信息處看到同步狀態及百分比。

 

  d.通訊介紹的網口的做用：同步配置； 維持心跳。

 

 

 

二、高可用集羣

 

  （1）優點

 

  雙主，可同時承載多個虛擬服務。

 

  擴展性好，平滑擴充。

 

  （2）原理

 

  a.集羣控制中心：集羣中設備統一管理平臺，經過集羣管理IP訪問。

 

  b.集羣管理IP：跟各設備的管理口同網段，經過此IP訪問控制檯。

 

  c.HA口：用於各設備間同步配置，定時進行心跳檢測，如設備直連則使用交叉線。

 

  d.浮雲IP：虛擬服務訪問的IP，至關於單臺設備時的IP組，可根據狀況漂浮在不一樣設備間，一個浮動IP同時只能在一臺設備上生效。

 

  e.靜態IP：對服務器/鏈路作健康檢查時用到的IP，每臺設備在業務口都必須配置最少一個靜態IP。

 

  f.虛擬MAC：對應鏈路上使用虛擬MAC供鏈路全部IP與其餘設備通訊。

 

  g.虛擬服務關聯組：全部引用了相同節點池，或引用了相同浮動（IP）組的虛擬服務。

 

  h.應用組：即集羣的最小切換單元，包括浮動IP、虛擬服務關聯組、NAT單元（DNAT、SNAT），這些配置使該應用組具備發佈服務的能力。

 

  （3）配置要求

 

  a.設備要求：軟件版本一致，硬件平臺一致，序列號受權一致（升級序列號除外），兩臺設備的網口位置和順序一致。

 

  b.環境要求：兩臺設備作集羣，HA使用交叉線直連；三臺及以上設備作集羣，需準備單獨交換機鏈接HA口（或單獨劃分vlan）。

 

  （4）IP規劃

 

  管理IP：兩個設備管理IP，一個集羣管理IP，要求在同網段。

 

  HA口IP：同網段。

 

  浮動IP和靜態IP：至關於單臺設備時業務口配置的業務口IP，要求跟服務器、外網通訊正常。浮動IP在不一樣的設備上生效，靜態IP在一臺設備上生效。浮動IP用於虛擬服務接入，靜態IP用於健康檢查。

 

  （5）思路

 

  a.設備的業務口和管理口分別接入交換機，HA口用交叉線互連。

 

  b.在設備A建立集羣。

 

  c.登陸集羣控制中心，將設備B加入集羣。

 

  d.配置業務網口信息，包括浮動IP、靜態IP，配置SNAT、DNAT等。

 

  e.虛擬服務。

 

  f.配置應用組，將須要一塊兒切換的模塊關聯起來，保證切換正常。

 

  （6）注意

 

  a.退出集羣會恢復默認配置。

 

  b.集羣登陸帳戶密碼默認cluster/cluster。

 

  c.首次加入集羣的設備會接受一次批量同步，並重啓全部服務，已加入的設備，採用觸發增量更新的方式，判斷設備是否接受更新。

 

  d.主控和備控沒有權限修改配置，只能登陸集羣控制中心進行配置。

 

  e.集羣中其餘設備能夠登陸查看配置，登陸設備管理IP或者在集羣控制中心成員管理中點擊「跳轉」。

 

  f.全部引用了相同節點池，或引用了相同浮動IP（IP組）的虛擬服務會自動加入到同一個虛擬服務關聯組中，因此無需配置。

 

  g.SNAT指定了轉換爲相同的源地址（或包含），會被放到同一個源地址轉換關聯組（自動生成）。

 

  h.DNAT須要手動關聯應用組，保證端口映射也可隨着設備切換。

 

  i.應用管理組須要手動配置，關聯DNAT、SNAT、虛擬服務關聯組、浮動IP。

 

  j.故障切換

 

   應用組關聯的鏈路發生故障

 

   應用組關聯的虛擬服務中，節點監視器所有離線

 

   設備自身發生故障

 

  k.加入集羣后設備的全局智能DNS功能將失效。

 

  

 

三、高可用集羣鏈路負載雙主

 

  （1）原理

 

   a.SNAT1和SNAT2分別關聯2個應用組，運行在兩個設備上。

 

   b.當設備2故障，SNAT2隨應用組切換到設備1上。

 

   c.此時，SNAT1和SNAT2同時在設備上生效，有前後順序，後加入的在後。

 

   d.沒有同步鏈接跟蹤，那麼應用組2的鏈接匹配到SNAT1，轉換的地址變化，致使鏈接斷開。

 

   e.沒同步智能路由會話，從新選路，走不一樣線路，致使鏈接斷開。

 

  （2）配置

 

   a.組建集羣

 

   b.IP分配：浮動IP、靜態IP，平均分佈到各臺設備。

 

   c.SNAT：每條線路配置2條SNAT規則，轉換爲指定IP。

 

   d.關聯應用組（接口IP、虛擬服務、SNAT、DNAT）。

 

   e.應用組配置虛擬MAC（每一個接口）。

 

   

 

四、高性能集羣

 

  （1）功能對比

 

   高可用集羣：一個服務只運行於一臺設備之上，提供服務的這臺設備即爲這個服務的主設備。

 

               多個服務能夠分別運行在不一樣的設備上，並互相做爲備份。

 

   高性能集羣：一個服務同時運行在集羣的每臺設備上。

 

               設備因故障退出或從新加入集羣時，均可保證流量在設備間均衡分配，業務不會中斷。

 

  （2）環境準備

 

   a.全部業務數據接口須要進行聚合

 

   b.軟件版本一致（appversion）

 

   c.硬件平臺（deversion）、網口數量和順序一致

 

   d.序列號一致

 

  （3）配置過程

 

   a.模式切換

 

   b.建立/加入集羣

 

   c.故障檢測設置

 

     根據鏈路狀態/節點池狀態進行判斷

 

     故障設備不做爲集羣控制器

 

     故障設備不參與服務調度

 

   d.成員管理

 

     管理IP必須和主控管理IP同網段

 

     健康狀態（初始化、警告、離線、故障、沉默、在線）

 

   e.端口聚合配置

 

     先配置聚合，再配置wan/lan

 

     不一樣AD引用相同接口

 

     全部AD同一接口進行聚合

 

  （4）切換條件

 

     a.lan/wan鏈路離線

 

     b.節點池離線

 

     c.服務狀態切換

 

     d.HA掉線（沉默）

 

     e.成員故障（硬盤故障等）

 

  （5）注意事項

 

    a.節點監視器須要配置靜態IP

 

    b.業務口必須先聚合再起wan/lan

 

    c.業務口聚合只支持802.3AD（LACP），其餘聚合算法會致使故障切換過程當中丟包

 

    d.HA口也支持聚合，聚合協議不限制

 

      HA口同步通訊流量可能很是大

 

      一般業務口（wan）數量要跟HA聚合口數量至關

 

  （6）高性能集羣不支持的功能

 

    a.不支持鏈路負載

 

    b.不支持IPv6應用負載

 

    c.不支持SSL會話複用

 

    d.不支持動態路由

 

    e.不支持集羣互導配置

 

 

 

 

 

 

 

3、鏈路無法跟你服務器負載高級功能應用

 

 

 

一、虛擬服務前置調度策略

 

  （1）功能介紹

 

   前置調度策略用於符合設定條件的請求始終調度到某一臺或者多臺服務器上。前置調度策略優先於虛擬服務關聯的節點池調度策略。

 

  （2）適用場景

 

   客戶多臺業務服務器經過同一個公網IP發佈，而服務器提供服務的端口均爲80，如使用虛擬服務會報「虛擬IP端口存在衝突」，須要使用前置調度策略。

 

 

 

二、虛擬服務優化策略

 

  （1）TCP單邊加速

 

   經過優化TCP協議，解決一些TCP協議自己的缺陷，來實現加速的效果。主要用於丟包大的狀況。

 

  （2）HTTP鏈接池

 

   在服務器端保持必定數量的HTTP鏈接處於活動狀態，同一個鏈接可發多個請求，提升服務器的響應效率，減小服務器新建鏈接，能有效下降CPU負載。注：因爲第二次訪問是複用以前的會話，因此服務器看到的源IP是第一次發起訪問的客戶端IP。

 

  （3）HTTP緩存

 

   設備內置HTTP緩存，能減輕大量重複請求對服務器的壓力。該緩存於內存中，重啓設備將被清除。

 

  （4）HTTP壓縮

 

   客戶端請求頁面，AD設備返回緩存內容或者服務器返回內容給客戶端時，AD設備對HTTP響應並進行壓縮編碼，下降數據量，從而減小數據在網絡上的傳輸時間。

 

  （5）傳輸客戶端IP至後臺服務器

 

   在設備旁路部署狀況下，wan口作snat將全部訪問數據源IP轉換成wan口IP，服務器沒法統計到客戶端的真實源IP，此時若是可使用該功能讓服務器查看客戶端的真實源IP。注：服務器必須是經過檢查http頭部的方式作源IP統計纔有效，不適用於服務器直接檢查數據包IP層的源IP作統計。

 

 

 

三、虛擬服務SSL策略

 

  （1）適用場景

 

   a.客戶服務器使用https提供服務，使用ssl卸載功能，將https加解密過程在AD設備上實現，減輕服務器性能壓力。服務器需改爲HTTP提供服務。

 

   b.客戶服務器使用http提供服務，可使用ssl卸載功能在客戶端與AD設備之間經過ssl進行加密，保證數據傳輸的案例。

 

 

 

  （2）SSL認證流程

 

   a.單向認證：設備只須要將ssl證書提交給客戶端，客戶端對服務器的證書進行驗證。

 

   b.雙向認證：即在單向認證的基礎上，要求對客戶端訪問進行驗證，客戶端也要提供證書給AD設備進行驗證。

 

 

 

  （3）注意事項

 

   a.部分WEB頁面裏嵌套的HTTP請求沒法打開，請在配置虛擬服務的時候啓用HTTP自動跳轉到HTTPS。如AD設備是旁路模式部署在內網而且須要把服務發佈到互聯網，爲保證HTTP到HTTPS跳轉功能生效，前置防火牆還需映射80到AD設備WAN口。

 

   b.部分頁面嵌套HTTP，成功發佈HTTPS後，打開時IE會出現「此網頁包含的內容將不使用安全的HTTPS鏈接傳送，可能危及到整個網頁的安全」的警告。解決辦法：每次點擊「否」繼續瀏覽；每臺電腦更改IE設置，更改方式：工具--Internet選項-安全-Internet-自定義級別-顯示混合內容-啓用；聯繫WEB開發人員，取消頁面嵌套的HTTP鏈接。

 

   c.AD設備能夠支持申請服務器證書導入功能，若是客戶自己就有CA，則能夠生成證書請求將設備證書導入設備進行加密。

 

 

 

四、鏈路負載前置調度策略（DNS代理）

 

  （1）使用場景

 

   AD設備設置了DNS代理後，內網用戶的DNS請求會根據調度算法將DNS請求分配到不一樣的DNS服務器進行解析。某些域名自己作了限制，必須經過一個DNS才能解析，此時須要前置調度策略將解析域名的請求始終分發給固定的DNS服務器。

 

  （2）路徑：網絡配置--DNS代理--前置調度策略

 

 

 

五、內網DNS記錄

 

  （1）使用場景

 

   AD作鏈路負載，訪問域名www.xxx.com時，進行DNS負載，外網用戶返回外網IP，內網用戶返回內網IP（不須要作lan-lan端口映射）

 

  （2）路徑：

 

   a.網絡配置--DNS代理--內網DNS記錄

 

   b.網絡配置--DNS代理--DNS透明代理--代理內網網段

 

 

 

 

 

 

 

4、服務器負載HTTP頭部改寫

 

 

 

  一、X-forwarded-for

 

  （1）需求場景

 

    AD設備單臂部署，作http應用負載。發現服務器沒法看到客戶端的真實IP。

 

  （2）原理

 

   AD設備在客戶端的http請求頭部插入x-forwarded-for字段，服務器可根據x-forwarded-for字段的值來識別客戶端IP。

 

  （3）路徑

 

   應用負載--策略--HTTP改寫。

 

 

 

   注：同優化策略裏的「傳輸客戶IP至後臺服務器」的做用同樣，配置HTTP改寫更復雜些。

 

 

 

  二、302跳轉

 

  （1）需求場景

 

   同一個網站兩個部門使用，經過路徑區分，客戶想實現輸入IP便可訪問本身的目錄。

 

  （2）原理

 

   AD設備能夠根據IP地址等條件靈活返回指定頁面。

 

  （3）配置

 

   a.公共對象--自定義內容，新建302跳轉。

 

   b.應用負載--策略--前置調度策略，根據源IP範圍返回內容。

 

 

 

  三、referer字段

 

  （1）客戶網站被盜鏈，形成本身服務器和帶寬資源的浪費。

 

  （2）方案：經過reerer字段能夠控制連接的源網站，不符合的網站禁止連接。

 

  （3）配置

 

   應用負載--策略--前置調度策略，請求頭部的字段爲referer，條件包含baidu，屬性爲條件取反，動做關閉鏈接。

 

 

 

   referer字段告訴AD設備該請求連接是從哪一個主站過來的。

 

 

 

  四、注意

 

  （1）請求改寫發生在AD收到客戶端的請求後，發給服務器以前，這時AD改寫了請求頭部，對於客戶端來講是透明的，不必定會看出效果。

 

  （2）應答改寫發生在AD收到服務器的迴應以後，發送給客戶端以前，因此客戶端必定能夠看到效果。

 

 

 

 

 

 

 

5、監視器

 

 

 

一、節點監視器簡介

 

   AD設備的節點監視器能夠模板各類服務器真實請求數據，並經過返回結果來判斷服務器最真實的工做狀態。

 

   AD設備內置了HTTP、數據庫、DNS、Radius、FTP等常見服務器的檢測模板。

 

 

 

二、HTTP被動監視器

 

  （1）功能介紹

 

   HTTP被動監視器適用於BS架構業務系統，經過監視指定URL請求的應答行爲判斷客戶業務的好壞。

 

   對於HTTP訪問來講，每一個請求都必定會有迴應，咱們根據HTTP響應狀態碼來判斷服務器狀態。

 

  （2）配置

 

   a.設置虛擬服務

 

   b.訪問此虛擬服務，訪問以前在活動查看的URL統計中點擊「開始統計」，統計此虛擬服務訪問的全部URL。

 

   c.根據統計的URL設置http被動監視器，並將此監視器關聯給節點池。

 

  （3）注意

 

   a.必定要B/S架構的業務系統

 

   b.必定要建七層負載，服務要選HTTP

 

   c.根據實際業務狀況來設置監視器

 

 

 

三、TCP被動監視器

 

  （1）介紹

 

   TCP被動監視器不依賴某個具體應用，只要是TCP的應用均可使用。它經過監視TC協議交互過程當中服務器返回的Reset包或零窗口來判斷服務器好壞。

 

   RST包：沒法正常釋放鏈接時，強制斷開鏈接的報文。

 

   零窗口：滑動窗口協議是用來改善吞吐量的一種技術，即允許發送方在接收任何應答以前傳送附加的包。接收方告訴發送方在某一時刻能發送多少包（窗口尺寸），窗口尺寸爲零即零窗口。

 

  （2）配置

 

   a.配置虛擬服務，開啓統計報表。

 

   b.測試一段時間，查看報表，AD會顯示出可疑時間點的歷史數據，根據可疑時間查看節點監視器調試的日誌，會顯示統計的服務器發送的rst包和tcp零窗口的個數。

 

   c.根據歷史數設置tcp被動監視器。

 

  （3）注意事項

 

   a.TCP被動監視器適用於全部架構的TCP應用

 

   b.可疑狀態是設備內置的TCP被動監視器反饋的結果，只是提供一個依據，不會影響虛擬服務使用。

 

   c.根據實際狀況來設置監視器的具體參數

 

 

 

四、鏈路監視器

 

   網絡配置--網絡接口--健康檢查。

 

 

 

 

 

 

 

6、智能DNS全局負載

 

 

 

一、需求場景

 

   客戶在各地都部署了多臺服務器並申請了雙線路，但願能就近接入。

 

 

 

二、原理

 

   全局入站負載基於地域和IPS的分佈式部署，各設備之間同步配置，一體化工做。從物理上保障可靠性，提供故障檢測手段，同時經過算法保障接入速度。

 

   A記錄：用來指定主機名（或域名）對應的IP地址。

 

   NS記錄：域名服務器記錄，用來指定該域名由哪一個DNS服務器來進行解析。

 

   NS記錄推薦格式：

 

   www.abc.com NS ns1.abc.com

 

   ns1.abc.com A 8.8.8.8

 

 

 

三、配置

 

   a.在域名提供商處設置域名的NS記錄指向AD的IP

 

   b.在AD上添加DNS服務器，監聽NS記錄指向的IP

 

   c.定義數據中心，讓各AD互相知道其餘設備的IP，保持通信

 

   d.在IP地址集裏面設定不一樣地域，供後面引用

 

   e.設置虛擬IP池，DNS映射。把域名和節點對應起來

 

   f.設置LDNS集合，根據地域來分，引用IP地址集

 

   g.設置靜態就近性，根據LDNS來調度接入AD和線路

 

 

 

 

 

 

 

7、虛擬化部署

 

 

 

一、需求場景

 

  （1）一臺物理設備虛擬多臺應用交付設備的功能，不一樣vAD分配給不一樣租房使用。

 

  （2）不一樣vAD間的資源虛擬隔離，根據不一樣租房的工做負荷，按需分配資源，達到資源的合理利用。

 

 

 

二、價值

 

  （1）實現了單臺設備虛擬多臺應用交付設備功能，支持vlan和聚合網口，知足了多租戶使用AD的需求和網口資源隔離的需求。

 

  （2）支持配置vAD的CPU資源、內存資源和新建併發數值，可讓用戶根據不一樣租戶的需求分配不一樣的資源能力等級。

 

  （3）支持萬兆網口的透傳，使vAD性能能夠知足高端用戶使用要求。

 

  （4）實現了在單個硬盤下，物理AD系統和MAD系統的切換，節省了用戶的硬件成本。

 

  （5）在MAD系統上實現了vAD的批量升級管理，使用戶在統一管理升級系統方面更加便利。

 

  （6）不一樣主機之間的虛擬vAD支持雙機部署，確保客戶業務穩定。

 

 

 

三、虛擬化管理系統模塊

 

   AD：物理AD，實體設備

 

   MAD：AD虛擬化管理系統

 

   vAD：AD虛擬機

 

 

 

四、MAD

 

  （1）安裝MAD對硬件的要求

 

   a.硬盤大於500G、7200r/min、64M緩存

 

   b.內存大於16G

 

   c.CPU支持且BIOS開啓VT-x、VT-d

 

  （2）登陸

 

   https://12.252.252.252  admin/admin

 

  （3）新建vAD

 

   a.要求剩餘內存>4GB

 

   b.內存上限：總內存/4-1

 

   c.CPU：2*級別；內存：4*級別 GB

 

  （4）網絡接口（虛擬交換機）

 

   a.支持vlan

 

    可選tagged/untagged

 

    能夠橋接物理網口或聚合口

 

    tagged和untagged不能混配

 

   b.支持聚合

 

    輪詢、冗餘雙網卡、哈希、802.3ad

 

  （5）MAD管理

 

    20個管理員

 

    可批量升級vAD

 

    可恢復MAD默認配置

 

  （6）MAD序列號

 

    vAD繼承MAD的序列號

 

    增長虛擬多租戶受權（vAD數量）

 

 

 

五、vAD不支持功能

 

  （1）不支持交換網口、vlan端口、端口聚合

 

  （2）不支持修改接口模式

 

  （3）不支持集羣部署

 

  （4）不支持雙機串口通信；不支持vAD和普通AD作雙機

 

  （5）不支持串口短信貓（內置短信告警模塊）

 

  （6）不支持添加/刪除管理IP（管理IP在MAD上配置）

 

  （7）不支持修改管理員用戶（管理員密碼在MAD上修改）

 

  （8）恢復配置不會恢復設備管理IP和管理員用戶

 

  （9）不支持U盤恢復密碼

 

  （10）不支持SSL硬件加速卡

 

 

 

六、vAD功能特性

 

  （1）vAD宕機自動重啓

 

  （2）物理網口狀態透傳

 

 

 

 

 

 

 

8、智能DNS及虛擬服務排錯指導

 

 

 

一、智能DNS不生效

 

  （1）NS記錄沒作或作錯，或者剛作時間不久還未生效。

 

   a.讓客戶提供域名提供商處的設置截圖，看是否正確配置了NS記錄。

 

   b.用nslookup命令測試，看域名是否有NS記錄。

 

     nslookup--set q=ns--www.xx.com--set q=a--ns1.xx.com

 

  （2）檢查AD設備上配置

 

   a.仔細檢查配置，是否有疏漏

 

   b.把電腦的DNS直接指向AD看是否以解析，若是能正常解析，多是公網問題，若是不能解析，則除了判斷公網線路是否正常外，還須要仔細檢查AD設備的配置。

 

  （3）智能DNS數據流走向

 

   a.將請求發給Local DNS服務器

 

   b.Loacl DNS將請求發送給域名提供商

 

   c.域名提供商將域名對應的NS記錄和NS記錄對應的A記錄返回給Local DNS服務器

 

   d.Local DNS將請求發送給AD設備

 

   e.AD根據配置的策略返回一個IP給Local DNS

 

   f.Local DNS將IP告訴客戶端

 

 

 

二、虛擬服務訪問不到如何排查問題

 

  （1）虛擬服務處理流程

 

   a.AD虛擬服務四元素：服務、IP組、前置策略、節點池。

 

   b.檢查數據包的目的端口和協議（匹配服務），若是匹配走c，若是不匹配將由其餘模塊處理。

 

   c.檢查數據包的目的IP（匹配IP組），若是匹配走d，若是不匹配交由其餘模塊處理。

 

   d.檢查是否符合前置調度策略（匹配前置調度策略），若是匹配走e，若是不匹配或者無配置根據節點池策略調度。

 

   e.根據前置調度策略調度

 

  （2）檢查是否服務器的服務不可用。

 

   a.從內網不通過AD查看是否能夠訪問到應用系統。

 

   b.若是是網關模式，能夠先禁用虛擬服務，而後創建端口映射，試着用端口映射是否能訪問到。

 

   c.檢查鏈路狀態是否正常；檢查網絡接口狀態配置是否有誤。

 

   d.檢查前置策略的配置或者臨時不關聯前置策略看是否能訪問。

 

   e.檢查節點狀態是否正常；檢查節點池配置是否有誤。

 

   f.若是是旁路模式部署，檢查是否作了SNAT和路由。

 

   g.若是是使用cookie會話保持，改用源IP會話保持看是否能恢復正常。

 

 

 

 

 

 

 

9、智能路由及其餘常見問題排錯指導

 

 

 

一、智能路由不生效問題排查

 

  （1）先檢查智能路由的配置是否正確。智能路由由上往下匹配。

 

  （2）查看「系統概況--鏈路狀態」中的外網線路是否離線或者繁忙。

 

  （3）在「智能路由-路由測試」中進行測試，看測試結果。

 

  （4）「智能路由-出站高級配置」中，出站會話保持的子網掩碼是否合適。若是掩碼過大，會致使不少這個網段的IP走會話保持，智能路由不生效。

 

  （5）不能使用ping長測試，長ping公網某個IP地址，而後拔掉一個WAN口線，發現不通了。這是因爲ICMP有鏈接跟蹤保持（爲30秒），其實直接使用http訪問是正常的。

 

 

 

二、上網時快時慢，DNS有時解析不到

 

  （1）出站鏈路負載問題排查思路

 

     a.判斷DNS請求解析的過程是否正常

 

     b.判斷上網的數據出站是否正常。

 

   注意：若是啓用了DNS代理，那麼DNS請求包（UDP53端口數據）是不會走智能路由的，會走DNS代理模塊去選路解析。若是沒有啓用DNS代理，那麼DNS請求包會走智能路由。能夠說DNS代理的優先級高於智能路由。

 

  （2）DNS有時解析不到

 

   a.啓用了DNS代理，調度策略選擇輪詢或加權輪詢，有可能會出現我訪問一個電信的站點，剛好調度到聯通的DNS，可是這個域名聯通解析不了。用DNS前置調度策略解決。

 

   b.若啓用了DNS代理，查年地「DNS狀態」，看DNS服務器是否不停離線。多是DNS服務器的問題或者監視域名有問題。

 

   c.若沒有啓用DNS代理，則DNS請求可能走智能路由，檢查ISP地址段是否包含DNS服務器地址。

 

  （3）上網時快時慢

 

   a.若是使用了線路繁忙保護，致使上網數據匹配到智能路由裏面的default策略，defautl策略採用加權最小流量算法，因此致使一會走線路1，一下子走線路2。須要把繁忙保護比例設置成99%（建議新配置設備時，繁忙保護比例就設置成99%），當只有1條電信和1條聯通線路時，建議禁用繁忙保護。

 

   b.目標IP選擇的是ISP網段，則可能訪問的目標IP不在ISP地址段裏面。將目標IP填寫到對應的ISP地址段便可。

 

   c.可能鏈路監視器設置有問題，致使外網鏈路不停的出現離線的狀況。修改監視地址查看是否能夠。

 

  （4）DNS代理不生效

 

   a.若是PC的DNS填寫AD設備接口地址，注意查看DNS監聽地址有沒有填，須要將AD設備接口地址填寫到DNS監聽地址處。

 

   b.查看DNS服務器列表有沒有填。

 

   c.客戶端電腦的DNS是否填寫正確。須要填寫DNS服務器列表的地址或者AD的LAN口地址。

 

   d.「系統概況--DNS狀態」中DNS服務器是否在線。離線的DNS服務器是不會參與調度的。

 

=================== End