SANGFOR AD V4.度培训08 AD常见问题排错指导.ppt

培训内容 培训目标 虚拟服务访问不到 掌握虚拟服务访问不到的问题处理思路 上网时快时慢 掌握上网时快时慢的问题处理思路 入站负载不生效 掌握入站负载不生效的问题处理思路 DNS代理不生效 掌握DNS代理不生效的问题处理思路 智能路由不生效 掌握智能路由不生效的问题处理思路 虚拟服务访问不到问题排查思路 检查数据包的目的端口和协议 虚拟服务处理流程 匹配 检查数据包的目标IP 匹配 检查是否符合前置调度策略 匹配 根据前置调度策略调度 不匹配或者无配置 根据节点池策略调度 交由其他模块处理 不匹配 不匹配 AD设备虚拟服务 IP组 节点池 服务 前置策略 客户端 数据包 AD设备虚拟服务 IP组 节点池 服务 前置策略 不通过虚拟服务，直接访问服务器测试。 检查链路状态处链路是否在线 检查节点是否在线 通过端口映射访问试试 容易忽略的配置：旁路模式要做代理上网 问题现象：新建了虚拟服务，但是发现访问不到。 排查思路 入站链路负载不生效问题排查思路 入站链路负载数据流走向 ISP服务商 1 2 3 4 5 6 第一步：将DNS请求发送给Local DNS 第二步：Local DNS将请求往上级查询，直到ISP服务商。 第三步：ISP服务商告诉Local DNS，查询该域名对应的IP要去问AD设备。 第四步：Local DNS向AD设备发送DNS请求 第五步：AD设备根据智能DNS告诉Local DNS域名对应的IP 第六步：Local DNS将解析到的IP地址返回给客户端 Local DNS AD设备 客户端 问题现象：AD做入站链路负载，设置了智能DNS，发现解析不到，不生效。 第一步：为排除公网ISP服务商和Local DNS中间交互的问题，将客户端的DNS直接设置成AD的WAN口IP地址测试。如果改成AD的IP后可以，说明是公网未将DNS请求发送给AD设备，可能是NS记录没有生效等原因。如不行，继续第二步。 第二步：检查DNS服务器有没有将设备接口IP加入DNS服务器列表。不加入列表设备不会响应DNS请求。 第三步：检查DNS服务器里面的地址，是否和DNS代理的服务器列表冲突。 排查思路 上网时快时慢，DNS有时解析不到 出站链路负载问题分析 一般情况下要访问到一个网页，首先要进行DNS请求（UDP53端口数据），请求到了IP地址之后才是发送HTTP 80端口的数据向公网IP请求数据，所以出站问题分开两步来分析： 第一步：判断DNS请求解析的过程是否正常。 第二步：判断上网的数据出站是否正常。 注意：如果启用了DNS代理，那么DNS请求包（UDP53端口数据）是不会走智能路由的，会走DNS代理模块去选路解析。如果没有启用DNS代理，那么DNS请求包会走智能路由。可以说DNS代理的优先级高于智能路由。 DNS有时解析不到问题排查 第一步：若启用了DNS代理，调度策略选轮询或加权轮询，有可能会出现我访问一个电信的站点，恰好调度到联通的DNS，但是这个域名联通解析不了。用DNS前置调度策略解决。(该情况很少见) 第二步：若启用了DNS代理，查看【DNS状态】，看DNS服务器是否不停离线。 可能是DNS服务器的问题或者监视域名有问题。 第三步：若没有启用DNS代理，则DNS请求可能走智能路由，检查ISP地址段是否包含DNS服务器地址。 问题现象：AD做出站负载，发现上网时快时慢，DNS有时候也解析不到。 排查方法 问题现象：AD做出站负载，发现上网时快时慢，DNS有时候也解析不到。 上网时快时慢问题排查 第一步：如果使用了线路繁忙保护，导致上网数据匹配到智能路由里面的default策略，default策略采用加权最小流量算法，所以导致一会走线路1，一会走线路2。需要把繁忙保护比例设置成99%（建议新配置设备时，繁忙保护比例就设置成99%），当只有1条电信和1条联通线路时，建议禁用繁忙保护。 第二步：目标IP选择的是ISP网段，则可能访问的目标IP不在ISP地址段里面。将目标IP填写到对应的ISP地址段即可。 第三步：可能链路监视器设置有问题，导致外网链路不停的出现离线的情况。修改监视地址查看是否可以。 排查方法 DNS代理不生效 问题现象：AD路由模式做DNS代理，发现内网用户并没有走代理或者解析不到域名。 DNS代理问题大部分情况下都是配置不当造成，需要检查的地方如下： 如果PC的DNS填写AD设备接口地址，注意查看DNS监听地址有没有填，需要将AD设备接口地址填写到DNS监听地址处。 查看DNS服务器列表有没有填。 客户端电脑的DNS是否填写正确。需要填写DNS服务器列表的地址或者AD的LAN口地址。 【系统概况】-【DNS状态】中DNS服务器是否在线.。离线的DNS服务