深信服负载均衡主备双机配置

技术方案本方案包含两个部分，上网行为管理技术方案和负载均衡技术方案一、上网行为管理技术方案1、需求概述背景介绍随着互联网技术的发展，组织的业务模式和员工的工作模式、行为习惯都在不断发生改变：⏹网上业务：组织建设了更多的网上业务平台，通过互联网来开展业务；⏹沟通桥梁：内部员工也更加依赖互联网与外部的合作伙伴、人员进行沟通和交流，提升工作效率，获取资讯和知识，维系人脉关系；⏹移动互联网：移动互联网的消费化趋势也逐渐影响到组织内部的IT系统，员工更喜欢通过WLAN、移动终端类开展工作；因此，在员工的日常工作中，ISD需要针对互联网出口平台的如下上网行为管理、上网安全防护需求进行改造，提供一个更安全、更高效的上网环境。

上网行为管理需求员工访问互联网的习惯正在发生变化，从最早使用PC、有线局域网，到更多使用移动终端、WLAN来进行办公，如果过度开放的上网环境会带来以下问题：工作效率低下网络的普及改变了传统的办公方式，而内网中总有部分用户在上班时间有意无意的做与工作无关的网络行为，比如聊天、炒股、玩网游、看视频、网购等，而且越来越多的员工正在通过企业无线网络来使用移动APP版的淘宝、陌陌。

这严重影响工作效率，从而导致企业竞争力的下降。

所以，组织需要针对PC、移动终端等各种应用、APP进行更有效的识别和管控。

带宽滥用和浪费互联网中充斥着P2P下载、在线视频、游戏、在线小说等耗费带宽的非关键业务应用，用户在使用这些应用的过程中必然会占用大量的带宽，而关键的业务应用、关键人员角色则得不到足够的资源。

此外，传统的带宽管理策略都是静态的，当带宽空闲时，依然会限制用户的流量，带宽价值被大大浪费。

所以，IT部门需要针对各种应用类型、用户角色、带宽占用情况等，提供更加灵活、细致、动态的带宽管理策略，提升用户上网体验。

BYOD难管理随着移动终端的普及，员工往往会采用PC、智能手机、Pad等多种终端，通过有线和无线网络，在不同的位置（办公座位、会议室等），接入企业IT系统。

深信服负载均衡AD 日常维护手册文档仅供参考，不当之处，请联系改正。

深信服科技AD日常维护手册深信服科技大客户服务部04月■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属深信服所有，受到有关产权及版权法保护。

任何个人、机构未经深信服的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录第1章 SANGFOR AD设备的每天例行检查 (5)1.1例行检查前需准备： (5)1.2设备硬件状态例行检查项 (5)1.2.1设备状态灯的检查 (5)1.2.2接口指示灯的检查 (6)1.2.3设备CPU运行检查 (6)1.2.4设备异常状况检查 (7)1.3日常维护注意事项 (7)1.4升级客户端的使用 (8)第2章 SANGFOR AD设备的每周例行检查 (12)2.1控制台账号安全性检查 (12)2.2关闭远程维护 (12)2.3设备配置备份 (12)第3章常见问题排错 (14)3.1无法登陆设备控制台 (14)3.2 AD新建了虚拟服务，但是无法访问？ (14)3.3链路负载，上网时快时慢，DNS有时解析不了域名 (15)3.4 DNS策略不生效 (16)3.5 DNS代理不生效 (17)3.6智能路由不生效 (17)3.7登陆应用系统，一会儿弹出并提示重新登陆 (17)技术支持 (18)第1章SANGFOR AD设备的每天例行检查1.1 例行检查前需准备：(1)安装了WINDOWS系统的电脑一台(2)设备与步骤1所描述的电脑在网络上是可连通的(3)附件中所带的工具包一份（包括：升级客户端程序）1.2 设备硬件状态例行检查项为了保证设备的稳定运行，工作人员需要以天为周期对设备进行检查，例行检查的项目如下：1.2.1设备状态灯的检查SANGFOR AD系列硬件设备正常工作时电源灯常亮，设备的状态指示灯（设备面板左上角标示“状态”字样）只在设备启动时因系统加载会长亮（约一分钟），正常工作时熄灭。

深信服负载均衡AD-4000-BS参数一、性能及配置要求序号技术指标指标要求1 接口要求千兆电口≥6个千兆光口≥4个2 硬件配置内存≥8GB存储介质≥500GB3 性能要求吞吐量≥6Gbps并发会话数≥800万四层每秒新建会话数≥20万七层每秒新建会话数≥40万二、功能要求技术指标指标要求部署方式支持串接部署、旁路部署；支持三角传输模式。

设备形态独立专业负载设备，非插卡式扩展的负载均衡设备。

高可用性支持双机热备部署，设备之间同步会话信息。

负载均衡算法支持轮询、加权轮询、加权最小连接、动态反馈、最快响应、最小流量、带宽比例、哈希、主备、首个可用、UDP强行负载等算法。

会话保持机制支持源IP、Cookie（插入/被动/改写）、HTTP-Header、Radius、SSL Session ID等多种会话保持机制。

链路健康检查支持多种链路检测方法，能够通过PING、TCP、HTTP等方式监控链路的连通性。

支持链路冗余机制，当某一条链路故障时，可将访问流量切换到其它链路，保障用户业务的持久通畅。

服务器健康检查支持常见的主动式健康检查功能，提供基于SNMP、ICMP、TCP/UDP、FTP、HTTP、DNS、RADIUS，ORACLE/MSSQL/MYSQL 数据库等多种类型的探测判断机制。

支持被动式健康检查，可根据对业务流量的观测采样，辅助判断应用服务器健康状况；对常规HTTP应用可配置基于反映URL失效的HTTP响应状态码的观测判断机制，对于复杂应用可配置基于RST关闭连接和零窗口等异常TCP传输行为的观测判断机制。

支持主动探测方式与被动观测方式结合使用的服务器健康检查手段，以便适应各种复杂应用交互流程，保障业务系统的高可用性。

业务交付优化支持非对称式部署的TCP协议优化技术，提升远端用户访问应用服务的速度。

无需在用户终端或应用服务器上安装任何插件和软件，不受操作系统类型、浏览器版本等兼容性因素限制，并且用户首次访问应用服务即可产生加速效果。

深信服负载均衡⽅案⼀、概述随着互联⽹技术的不断发展，企业开始更多地使⽤互联⽹来交付其关键业务应⽤，企业⽣产⼒的保证越来越多的依赖于企业IT 架构的⾼可靠运⾏，尤其是企业数据中⼼关键业务应⽤的⾼可⽤性,所以企业越来越关注如何在最⼤节省IT成本的情况下维持关键应⽤7×24⼩时⼯作,保证业务的连续性和⽤户的满意度。

然⽽，由于中国电信发展的历史问题，使得不同运营商之间的互连互通⼀直存在着很⼤的问题。

例如，通过电信建⽴的应⽤服务器，如果是⽹通的⽤户访问该资源的时候，Ping的延时有⼏百甚⾄上千毫秒，⽤户访问时，可能会出现应⽤响应缓慢甚⾄没有响应造成⽆法访问的问题。

这样企业在建⽴应⽤服务器时，如果⽤户采⽤单条接⼊链路，⽆论是采⽤电信还是⽹通⽹络链路，势必都会造成相应的⽹通或电信⽤户访问⾮常缓慢。

如果只保持⼀条到公共⽹络的连接链路则意味着频繁的单点故障和脆弱的⽹络安全性。

在互联⽹链路的稳定性⽇益重要的今天，显然，单个互联⽹⽆法保证应⽤服务的质量和应⽤的可⽤性以及可靠性，⽽应⽤服务的中断，将会带来重⼤损失。

因此，采⽤多条链路已成为保证互联⽹链路稳定性和快速性的必然选择。

⽽传统的多链路的解决⽅案也不能完全保证应⽤的可靠性和可⽤性；传统多归路⽅案通过每条互联⽹链路为内⽹分配⼀个不同的IP地址⽹段来实现对链路质量的保证。

这样来解决⽅案虽然能够解决⼀些接⼊链路的单点故障问题，但是这样不仅没有实现真正上的负载均衡，⽽且配置管理复杂。

1.路由协议不会知道每⼀个链路当前的流量负载和活动会话。

此时的任何负载均衡都是很不精确的，最多只能叫做“链路共享”。

2.出站访问，有的链路会⽐另外的链路容易达到。

虽然路由协议知道⼀些就近性和可达性，但是他们不可能结合诸如路由器的HOP数和到⽬的⽹络延时及链路的负载状况等多变的因素，做出精确的路由选择。

3.⼊站流量，有的链路会⽐另外的链路更好地对外提供服务。

没⼀种路由机制能结合DNS，就近性，路由器负载等机制做出判断哪⼀条链路可以对外部⽤户来提供最优的服务。

深信服负载均衡主备双机一、主备双机配置界面『主备』设置双机热备功能。

界面如下图所示：『名称』自定义设备的名称，方便区分当前哪台设备处于主模式。

『状态』中[启用]用来启用双机，[禁用]用来禁用双机。

『超时时间』当在超时时间内备机一直无法收到主机发送的心跳包，则认为主机超时，备机主动切换成主机。

『通信介质』选择连接双机的接口，可以用串口和空闲的网口。

选择网口后，需要为该网口配置一个IP地址，只要不与正在使用的IP地址冲突即可。

建议选择网口作为通信介质，通过网口来做双机切换比串口切换花费的时间短。

通信介质选择网口，则可以实现会话同步。

『MAC同步』用于设置双机切换是否同步MAC地址。

『同步网口列表』用于设置切换双机的时候同步哪些接口的MAC地址，需要开启MAC 同步才会显示该选项。

『通信介质故障检测』通过网络数据包来检测对端是否存在，避免两台设备成为主机导致IP冲突。

两台设备的通信介质故障检测网口需要接到同一个广播域，可以选择已经使用的网口，也可以选择空闲网口，选择空闲网口需要设置IP地址。

界面如下：『同步配置』点击向备机同步配置。

『故障切换』用于设置双机切换条件，符合此处设置的条件则进行主备切换，界面如下：『状态』用于设置是否启用双机故障切换检测，『检测类型』分为『掉线检测』、『ARP检测』、『健康检查』3的检测方法。

『掉线检测』当检测到网口物理状态不正常则进行切换。

『ARP检测』AD设备向选择的接口发送ARP广播，如果监视主机里填写的IP地址有回应ARP，则判断正常。

该监视主机地址需要填写与AD设备接口同一网段的地址。

界面如下：『健康检查』通过网络接口处设置的链路健康检查机制来检测，当选择健康检查后，只有启用了链路健康检查的链路才可选，界面如下：『主备状态』分为“主机”、“备机”，可通过右边的切换按钮进行主备切换。

界面如下：『升级模式』升级模式在有升级需要时才手动启用，启用时不会发生主备切换，并且不会同步配置。