标签归档：深信服

深信服AC增加备HA口的配置方案

一、现有情况

目前有两台深信服AC使用eth2口作为HA口，使用一根网线互联。

二、本次需求

再增加一根心跳线，启用备HA口，以实现两台AC之间有两根心跳线。

三、实现步骤

操作前备份AC配置！

1、在AC主机A上修改部署模式，将eth3口加入到DMZ口，配置IP地址9.9.9.1/24，然后提交，此时A会重启， B由备机切换成主机，A重启完成后，此时B仍然是主机，A是备机；

2、修改B的部署模式，将eth3口加入到DMZ口，配置IP地址9.9.9.2/24，然后提交，此时B重启，A由备机切换成主机，B重启完成后，仍然是备机；

3、修改A的高可用性配置，将eth3口加入到备HA口，修改HA口的配置会提交重启高可用的进程，一旦进程重启时没有检测到备机，就会切换，一般设置的间隔时间是5秒钟，一般是不会引起主备切换，但是仍有一定几率会引起主备切换，B由备机切换成主机；

4、修改B的高可用性配置，将eth3口加入到备HA口，修改HA口的配置有一定几率会引起主备切换，A由备机切换成主机；

5、将A的eth3口与B的eth3口连接网线，整个过程完成。

四、影响范围

整个过程会发生4次主备切换，每次切换预计30秒左右，会短暂影响业务。

五、回退措施

如果配置后，HA状态异常或者业务中断，则优先恢复业务，回退本次修改的配置，并处理相关问题。

两台深信服防火墙主备部署在出口，前置两台运营商线路接入交换机场景的配置方法

现有两台深信服防火墙，部署在公网出口，做HA，有电信、联通两条运营商线路，拓扑大概如下：

用户为了防止单台接入交换机故障，所以增加一台接入交换机，并且这两台接入交换机做堆叠。

交换机1的1口接电信线路，2口和3口做聚合，配置trunk，仅允许vlan100、vlan200通过，2口连接主防火墙的1口，3口连接备防火墙的1口。交换机2的1口接联通线路，2口和3口做聚合，配置trunk，仅允许vlan100、vlan200通过，2口连接主防火墙的5口，3口连备防火墙的5口。

主防火墙的1口和5口配置聚合口，二层透明口，新建vlan100配置电信公网IP地址，vlan200配置联通公网IP地址。2口、3口做聚合分别接下面两台核心交换机，4口为HA口连接备防火墙，备防火墙也做相同的连线方法。

下面两台核心交换机做堆叠，聚合模式要与防火墙的接口聚合模式一致。

防火墙上配置策略路由，第一条电信走电信，第二条联通走联通，第三条轮询，也可再配置一条走电信的默认路由，以防止策略路由失效。再配置代理上网，做放通策略，再配置用户防护策略和业务防护策略，再开启相关日志。

两台深信服防火墙主备部署在出口，前置一台运营商线路接入交换机场景的配置方法

现有两台深信服防火墙，部署在公网出口，做HA，有电信、联通两条运营商线路，拓扑大概如下：

接入交换机上1口接电信线路，2口接联通线路，3口接主防火墙的1口，4口接主防火墙的2口，5口接备防火墙的1口，6口接备防火墙的2口。交换机的1口、3口、5口属于vlan100，2口、4口、6口属于vlan200。

主防火墙1口配置电信公网IP，2口配置联通公网IP，3口和4口做聚合，分别接下面两台交换机，5口为HA口连接备防火墙，备防火墙的网口也做相同的接线方法。

下面两台核心交换机做堆叠，聚合模式要与防火墙的接口聚合模式一致。

防火墙上配置策略路由，也可再配置一条走电信的默认路由，以防止策略路由失效。

深信服VSSL管理员密码恢复的办法

对于硬件SSL VPN设备，可以通过U盘来恢复admin的密码，大概方法是将U盘格式化成FAT32分区，新建reset-password.txt文件，插入设备，重启设备，等设备重启完成后，拔下U盘查看是否生成reset-password.log文件，如果生成则恢复成功，有时候需要多试几次才会恢复成功。

但是对于VSSL，即虚拟化的VPN，截止最新的769R1版本，都不支持这种方式（虚拟机挂载U盘）来恢复密码。

如果要恢复VSSL的管理员密码，一般可以通过将VSSL的虚拟磁盘挂载到linux虚拟机上，然后查看ctrl_user.sfr，路径是/config/etc/sangfor/或者/sftmpfs/etc/sangfor/，这两个路径下的ctrl_user.sfr保存的密码是一样的，但是admin密码加密过了，可以联系深信服厂家人员解密。

配置备份文件里也会保存admin密码，如果有配置备份文件，也可以将配置文件交给深信服厂家获取admin密码。

深信服防火墙AF上arp表数量限制导致网络问题的处理说明

现有一台深信服防火墙AF，内网口上启用多个vlan接口，每个vlan接口为该各自网段的网关，测试时总用户数大概在2000左右，正式上线后总用户数在7000左右。

测试时，使用一切正常，CPU利用率低于10%，内存利用率低于30%，网络也都正常。

但是用户陆续开机上线后，发现部分用户网络不通，到网关（防火墙上vlan接口）都不通。

在深信服AF上查看arp，发现总数是4095，与研发确认，发现深信服AF上arp表总数就是4096个，也就是在这种场景下，总用户也只能达到4000多点。

与研发商量后，预计要做定制包实现，但是用户强烈要求当天解决，后来多名研发确认只需要修改AF后台的某个参数即可实现对限制的放开，且修改该参数不影响业务。

对主备两台参数分别修改为20000后，已正常使用。

截止目前最新的AF版本8.0.26，都存在这个问题。当然在大规模的网络中，一般也很少会将内网用户的网关都启用在防火墙上，更多是将网关放在核心交换机上。对于这种少见的特殊的部署场景才将这个问题暴露了出来。

另外深信服AF的arp老化时间是15秒，且无法修改。并且AF上的vlan数量也有限制，限制为256个vlan，dhcp地址池也有限制，限制为1万个。不过对于vlan数量以及dhcp地址池的限制可以通过定制来解决。

具体修改方法，参见：修改linux系统的arp缓存数量的方法。

深信服设备限制导致tracert不显示设备地址的说明

现有一网络，拓扑为出口深信服上网行为管理AC，下接深信服防火墙AF，AC的WAN口接公网，AC的LAN口接AF的WAN口，AF的LAN口为内网PC的网关。AC上做NAT代理上网，AF上不启用NAT。现在内网PC上网正常，ping百度也正常，但是tracert百度的时候，第一跳是AF的内网，第二跳第三跳都是星号*，第四跳就是AC的WAN口的网关，就是运营商的地址了。

在防火墙上去traceroute百度，前两跳仍然不显示。继续排查，发现是深信服AC的机制问题。

关于深信服AC跟踪路由不显示的说明如下：

1、AC设备主要用于上网管理和审计，为了避免被内网终端窥探，及出于网络安全考虑，默认不回复跟踪路由的请求，因此跟踪路由时会显示为*号。
2、截止标准版本上网行为管理12.0.42和全网行为管理13.0.7，AC暂不支持界面设置开启tracert显示AC IP地址功能

深信服防火墙AF做双机时虚拟MAC问题的处理办法

现有四台深信服防火墙AF，名称分别为A、B、C、D，A和B做成HA，C和D做成HA，都是路由模式，网口1都是带外管理口，并且都加入到了监视网口，双机热备配置的虚拟ID组都是默认的100，A、B两台带外管理口地址是192.168.1.1/24，C、D两台带外管理口地址是192.168.1.2/24。

做好配置后，发现192.168.1.1/24和192.168.1.2/24无法同时管理，当可以打开192.168.1.1控制台时，192.168.1.2则打不开，并且两个IP也无法同时ping通，当192.168.1.1可以ping通时，192.168.1.2则ping不通，当192.168.1.2可以ping通时，则192.168.1.1ping不通，在同网段设备上查看arp，发现192.168.1.1和192.168.1.2的MAC地址是一样的。

经确认，深信服防火墙AF做双机时，网卡的虚拟MAC是根据虚拟ID组和网口编号计算得出的，所以这个环境中，虚拟ID组都是100，网卡编号都是eth1口，它们的虚拟MAC就是一样的。

这种情况的处理办法非常简单，一是修改其中一个的虚拟ID组即可，还有一种办法是将A、B或者C、D的带外管理口不要加到网口监视中，并且每台带外管理口配置成-HA的不同的地址即可。

针对这个问题，建议厂家可以将虚拟MAC的计算方式复杂一点，比较加个随机数或者加个网关编号、硬盘ID等等，使得每个虚拟MAC都不相同。

有的环境下，尤其一个项目中，防火墙设备数量较多的情况下，建议修改默认的虚拟ID组，并且不同的HA设备采用的心跳口都设置成不同的网段，比如A、B用5.5.5.0/24段，C、D用6.6.6.0/24段，来避免一些问题。

深信服防火墙AF管理员登录地址限制以及SNMP源地址限制的方法

深信服防火墙AF管理员登录地址限制的配置方法是在控制台页面，网络——接口/区域，区域，在WEBUI下勾选允许管理此设备的IP选择指定的IP即可。如图：

对SNMP源地址限制，其实在配置SNMPd的时候就要配置主机或者网段，只需要在这里配置即可。如图：

深信服上网行为管理AC的OID表

zabbix监控深信服上网行为管理AC时，会需要用到上网行为管理的OID，以下就是截止2020年9月，最新的OID表格：

CPU占用率，以百分比为单位	1.3.6.1.4.1.33333.1.1.1.0
设备类型(如M5000)	1.3.6.1.4.1.33333.1.1.2.0
剩余内存，free+buffers，以KB为单位	1.3.6.1.4.1.33333.1.1.3.0
设备运行时间（UPTIME），以1/100秒为单位。	1.3.6.1.2.1.1.3.0
系统描述	1.3.6.1.2.1.1.1.0
设备型号	1.3.6.1.2.1.1.5.0
接口数量	1.3.6.1.2.1.2.1.0
接口描述信息（不同的x数值代表不同的接口，视设备回复而定）	1.3.6.1.2.1.2.2.1.2.x
接口接收总流量，以Byte为单位（不同的x数值代表不同的接口，视设备回复而定）	1.3.6.1.2.1.2.2.1.10.x
接口发送总流量，以Byte为单位（不同的x数值代表不同的接口，视设备回复而定）	1.3.6.1.2.1.2.2.1.16.x
接口接口状态（1-up，2-down）（不同的x数值代表不同的接口，视设备回复而定）	1.3.6.1.2.1.2.2.1.8.x
接口速率，以10bps为单位（不同的x数值代表不同的接口，视设备回复而定）（查看接口是千兆还是百兆）	1.3.6.1.2.1.2.2.1.5.x

关于深信服防火墙AF的OID可查看这篇文章：深信服防火墙AF的OID表https://www.eumz.com/2020-10/2064.html

深信服防火墙AF的OID表

zabbix监控深信服防火墙AF时，会需要用到防火墙的OID，以下就是截止2020年9月，最新的OID表格：

Name	Description	OID
sysDescr	系统描述	.1.3.6.1.2.1.1.1
sysContact	联系	.1.3.6.1.2.1.1.4
sysName	系统名	.1.3.6.1.2.1.1.5
sysLocation	位置	.1.3.6.1.2.1.1.6
sysServices	系统服务	.1.3.6.1.2.1.1.7
sysConnNum	连接数	.1.3.6.1.2.1.1.10
sysCpuUsag	cpu占用率	.1.3.6.1.2.1.1.11
sysMemUsage	内存占用率	.1.3.6.1.2.1.1.12
sysDiskUsage	磁盘占用率	.1.3.6.1.2.1.1.13
sysNewConnTable	新建连接表	.1.3.6.1.2.1.1.14
hrSystemDate	系统日期	.1.3.6.1.2.1.25.1.2
hrSystemUptime	运行的时间	.1.3.6.1.2.1.25.1.1

系统信息

Name	Description	OID
hrSystemUptime	运行的时间	.1.3.6.1.2.1.25.1.1
hrSystemDate	系统日期	.1.3.6.1.2.1.25.1.2
hrSystemNumUsers	用户数	.1.3.6.1.2.1.25.1.5
hrSystemProcesses	进程数	.1.3.6.1.2.1.25.1.6
hrSystemMaxProcesses	最大进程数	.1.3.6.1.2.1.25.1.7
hrMemorySize	系统内存	.1.3.6.1.2.1.25.2.2
hrStorageTable	存储设备信息表（内存，磁盘的使用情况）	.1.3.6.1.2.1.25.2.3
hrDeviceTable	系统设备列表	.1.3.6.1.2.1.25.3.2
hrSWRunTable	系统进程列表	.1.3.6.1.2.1.25.4.2

CPU

Name	Description	OID
ssCpuUser	用户使用CPU情况	.1.3.6.1.4.1.2021.11.9
ssCpuSystem	系统使用CPU情况	.1.3.6.1.4.1.2021.11.10
ssCpuIdle	空闲CPU	.1.3.6.1.4.1.2021.11.11
sysCpuUsag	cpu占用率	.1.3.6.1.2.1.1.11.0

内存

Name	Description	OID
memTotalSwap	总swap分区	.1.3.6.1.4.1.2021.4.3
memAvailSwap	可用swap分区	.1.3.6.1.4.1.2021.4.4
memTotalReal	内存总量(真实内存）	.1.3.6.1.4.1.2021.4.5
memAvailReal	可用内存(真实内存）	.1.3.6.1.4.1.2021.4.6
memTotalFree	可用内存（真实内存+虚拟内存）	.1.3.6.1.4.1.2021.4.11
memShared	共享内存数量	.1.3.6.1.4.1.2021.4.13
memBuffer	buffer内存数量	.1.3.6.1.4.1.2021.4.14
memCached	Cache内存数量	.1.3.6.1.4.1.2021.4.15
hrMemorySize	内存总量	.1.3.6.1.2.1.25.2.2
hrStorageTable	存储设备信息表（内存，磁盘）	.1.3.6.1.2.1.25.2.3

硬盘

Name	Description	OID
sysDiskUsage	磁盘占用率	.1.3.6.1.2.1.1.13
hrStorageTable	存储设备信息表（内存，磁盘）	.1.3.6.1.2.1.25.2.3

网口

Name	Description	OID
ifNumber	接口总数	.1.3.6.1.2.1.2.1
ifTable	接口表（接口名，开启状态，MAC，出口流量，入口流量等）	.1.3.6.1.2.1.2.2
ifIndex	索引	.1.3.6.1.2.1.2.2.1.1
ifName	网口	.1.3.6.1.2.1.2.2.1.2
ifType	接口类型	.1.3.6.1.2.1.2.2.1.3
ifMtu	接口MTU	.1.3.6.1.2.1.2.2.1.4
ifPhysAddress	接口mac地址	.1.3.6.1.2.1.2.2.1.6
ifAdminStatus	所希望的接口工作状态	.1.3.6.1.2.1.2.2.1.7
ifOperStatus	当前接口工作状态	.1.3.6.1.2.1.2.2.1.8
ifInOctets	接口收到的字节总数	.1.3.6.1.2.1.2.2.1.10
ifOutOctets	接口发送的字节总数	.1.3.6.1.2.1.2.2.1.16

地址转换表

Name	Description	OID
atTable	地址转换表	.1.3.6.1.2.1.3.1

Name	Description	OID
ipForwarding	是否作为一个IP网关	.1.3.6.1.2.1.4.1
ipDefaultTTL	IP头中的Time To Live字段的值	.1.3.6.1.2.1.4.2
ipInReceives	IP层从下层接收的数据报总数	.1.3.6.1.2.1.4.3
ipInHdrErrors	由于IP头出错而丢弃的数据报	.1.3.6.1.2.1.4.4
ipInAddrErrors	地址出错（无效地址、不支持的地址和非本地主机地址）的数据报	.1.3.6.1.2.1.4.5
ipForwDatagrams	已转发的数据报	.1.3.6.1.2.1.4.6
ipInUnknownProtos	不支持数据报的协议，因而被丢弃	.1.3.6.1.2.1.4.7
ipInDiscards	因缺乏缓冲资源而丢弃的数据报	.1.3.6.1.2.1.4.8
ipInDelivers	由IP层提交给上层的数据报	.1.3.6.1.2.1.4.9
ipOutRequests	由IP层交给下层需要发送的数据报，不包括ipForwDatagrams	.1.3.6.1.2.1.4.10
ipOutDiscards	在输出端因缺乏缓冲资源而丢弃的数据报	.1.3.6.1.2.1.4.11
ipOutNoRoutes	没有到达目标的路由而丢弃的数据报	.1.3.6.1.2.1.4.12
ipReasmTimeout	数据段等待重装配的最长时间（秒）	.1.3.6.1.2.1.4.13
ipReasmReqds	需要重装配的数据段	.1.3.6.1.2.1.4.14
ipReasmOKs	成功重装配的数据段	.1.3.6.1.2.1.4.15
ipReasmFails	不能重装配的数据段	.1.3.6.1.2.1.4.16
ipFragOKs	分段成功的数据段	.1.3.6.1.2.1.4.17
ipFragFails	不能分段的数据段	.1.3.6.1.2.1.4.18
ipFragCreates	产生的数据报分段数	.1.3.6.1.2.1.4.19
ipAddrTable	IP地址表	.1.3.6.1.2.1.4.20
ipRouteTable	IP路由表	.1.3.6.1.2.1.4.21
ipNetToMediaTable	IP与物理地址转换表	.1.3.6.1.2.1.4.22
ipRoutingDiscards	无效的路由项，包括为释放缓冲空间而丢弃路由项	.1.3.6.1.2.1.4.23

TCP

Name	Description	OID
tcpRtoAlgorithm	重传时间算法	.1.3.6.1.2.1.6.1
tcpRtoMin	重传时间最小值	.1.3.6.1.2.1.6.2
tcpRtoMax	重传时间最大值	.1.3.6.1.2.1.6.3
tcpMaxConn	可建立的最大连接数	.1.3.6.1.2.1.6.4
tcpActiveOpens	主动打开的连接数	.1.3.6.1.2.1.6.5
tcpPassiveOpens	被动打开的连接数	.1.3.6.1.2.1.6.6
tcpAttemptFails	连接建立失败数	.1.3.6.1.2.1.6.7
tcpEstabResets	连接复位数	.1.3.6.1.2.1.6.8
tcpCurrEstab	状态为established或closeWait的连接数	.1.3.6.1.2.1.6.9
tcpInSegs	接收的TCP段总数	.1.3.6.1.2.1.6.10
tcpOutSegs	发送的TCP段总数	.1.3.6.1.2.1.6.11
tcpRetransSegs	重传的TCP段总数	.1.3.6.1.2.1.6.12
tcpConnTable	连接表	.1.3.6.1.2.1.6.13
tcpInErrors	接收的出错TCP段数	.1.3.6.1.2.1.6.14
tcpOutRests	发出的含RST标志的段数	.1.3.6.1.2.1.6.15

UDP

udpInDatagrams	接收的数据报总数	.1.3.6.1.2.1.7.1
udpNoPorts	没有发现端口而无法提交的数据报	.1.3.6.1.2.1.7.2
udpInErrors	出错的数据报	.1.3.6.1.2.1.7.3
udpOutDatagrams	上层协议要求输出的数据报	.1.3.6.1.2.1.7.4
udpTable	UDP表	.1.3.6.1.2.1.7.5

SNMP

snmpInPkts	SNMP模块接收到的分组数	.1.3.6.1.2.1.11.1
snmpInTotalReqVars	被成功读取的Object数，包括get-request和get-next操作	.1.3.6.1.2.1.11.13
snmpInGetRequests	SNMP模块接收到并处理的get-request的分组数	.1.3.6.1.2.1.11.15
snmpInGetNexts	SNMP模块接收到并处理的get-next的分组数	.1.3.6.1.2.1.11.16
snmpOutGetResponses	SNMP模块发出的get-responses的分组数	.1.3.6.1.2.1.11.28
snmpEnableAuthenTraps	标记是否允许代理程序产生检验失败警告	.1.3.6.1.2.1.11.30

关于深信服上网行为管理AC的OID可查看这篇文章：深信服上网行为管理AC的OID表https://www.eumz.com/2020-10/2064.html