Radware配置维护文档.doc

菲尼克斯 LINKPROOF 系统配置维护文档 2010年7月目录配置实例4安装实施拓扑图：41.通过web方式login 设备52.配置vlan tag和vlan table53.三层IP接口配置84.静态路由和默认路由配置115.Farm配置136.Server配置167.Flow配置198.Flow Policy配置20Network配置219.DNS配置24配置Host2410.Smartnat配置25Static NAT25Dynamic NAT2611.Proximity配置28全局配置28高级配置2912.其它维护配置30存配置文件30恢复配置文件31SNMP的字串管理32用户名和密码管理33修改系统日期时间34NTP配置35检查设备CPU36检查设备运行状态37检查服务器状态38获取Support文件，寻求帮助38分析会话表38软件升级40软件版本说明41命令行维护命令42查看接口地址42查看路由表42查看CPU42查看设备温度(仅限ODS)43查看服务器的连接用户数43查看LinkProof的会话表44查看LinkProof的命令全部配置44配置实例设备信息:LinkProof OnDemand Switch - OnDemand Switch VL208Version: 6.12.00 Build: Mar 21 2010, 11:59:16 (Build: 69)安装实施拓扑图：整体配置步骤：1. 通过web方式login设备2. 配置vlan 表3. 配置三层ip接口 4. 配置静态路由和默认路由5. 配置Farm6. 配置Server7. 配置 Flow8. 配置 flow policy9. 配置 dns10. 配置 smartnat11. 配置 Proximity 12. 其它维护配置1. 通过web方式login 设备设备第一次配置前需要启动WEB管理,并需要配置一个IP地址，该IP地址用于管理维护Radware，通过设备串口连接后输入以下命令：net ip-interface create 15 92 G-1输入以下命令启动WEB管理：manage web status set 1。启动IE浏览器（建议IE6.0以上），在地址栏输入15，此时会提示输入用户名/密码，输入用户名密码后即可进入WEB管理界面。目前设备上配置的三层接口ip都可以作为设备管理ip, 因此用户可以直接在office通过远程直接web访问设备,对设备进行管理.2. 配置vlan tag和vlan tableLP使用一条千兆端口连接内部两台防火墙，使用802.1Q Vlan Trunk方式连接，同时在这根链路上启用内部Vlan。为此需要配置Vlan Trunk。首先将全局Vlan环境打开。进入Device - VLAN Tagging(标记) 802.1q Environment: 设置为EnableVLAN Tag Handling: 通常设置为Overwrite。进入Device - VLAN Table, 在vritual lan table中单击 create, 新建 vlan 100002 , type为regular, protocol为ip.在vritual port table中单击 create, 针对新建 vlan 100002 ,分别添加port G-3和G-5建立完的vlan table和vlan port table.3. 三层IP接口配置根据该拓扑图所示，LP需要配置四个IP地址，即一个内网，三个外网（不同ISP）。建立IP地址及绑定的相应端口如下：进入Router-IP Router-interface Parameters点击creat,并依次添加如图不带vlan tag和带vlan tag的相应ip接口：不带vlan tag的ip接口带vlan tag的相应ip接口IP Address:输入IP地址Network mansk:输入子网掩码If Number:选择某个物理端口或者选择已建立的Vlan interface Number 比如100002One Ip: 如果用户的公网IP地址有限，可以使用LP的接口地址来做为公网NAT地址使用。VLAN Tag: 即lp和防火墙之间连接使用的vlan子接口对应的vlan号其他保持默认配置即可。本项目中未启用该项. 点击Set即可完成。& 说明： Radware LinkProof配完IP后，如果需要在此基础上修改IP地址，则只能先将该IP删掉再添加，不能直接修改。如果是修改子网掩码和物理接口，则可以直接修改。10000开头的为Vlan号，这是Radware内部的名称，相当于Vlan名，与交换机的Vlan命名不同，这是基于端口的Vlan。建立完的ip router interface table4. 静态路由和默认路由配置打开“Router Routing Table”, 点击 “Create”，可以配置路由, 需要针对每一条ISP链路配置一条默认路由以及相应的针对内部网段指向防火墙的回指路由.& 说明： Radware LinkProof在配置路由时，只有在端口up的情况下，才能配置。例如：端口1上的IP地址为，掩码为如要配置一条缺省路由，下一跳为54，则只能当端口1 up，才能配置该路由。在命令行的最后面使用help参数可以获取帮助。LP是三层网络设备，并且针对链路做负载均衡，它可以配置多个默认网关，通常只有一个网关是活动的网关。如果我们想让其中一个做为活动，需要调整Metric值，值越大优先级越低。配置完的路由表. 路由表只能看到一条最近增加的默认路由.5. Farm配置Farm代表一个群组。这个群组下包含的服务器具有相同的属性。依次单击 LinkProof Farms Farm Table 进入farm table.点击 “Create”，可以配置farm -all其中Dispatch Method 选择Response TimeNAT Mode 选择Enable做好配置后，点击“set”保存配置。同样点击 “Create”，可以配置farm -/BMctc/ctc/cnc依次单击 LinkProof Farms Farm Extended Parameters 进入farm extended parameters Update table.依次点击 all/BMctc/ctc/cnc,调整persistency mode为client table调整完的farm extended parameters table各条目参数如下：配置farm需要注意的几个参数：Aging time： 会话表的老化时间, 单位是秒, 越长会话保持的越久, 但表的数量会增加。Dispatch Method： 负载均衡算法 Cyclic (Round Robin)：轮循 Weighted Cyclic ：基于权重的轮循方式(通过手工静态地来定义包分发比重) Least Traffic ：最少流量 Least Number of Users：最少用户连接数 Response Time Load Balancing：最快反应时间，需启用健康检查模块配合使用 NT SNMP Parameters：根据Windows服务器SNMP参数取到的值选择服务器，仅对Windows服务器有效，并且Windows服务器需要打开SNMP功能 User-Configurable SNMP Parameters：与NT类似，只不过不限定Windows服务器，任何提供SNMP的服务器都可以，用户需要设置相关的SNMP OID值及权重作为健康检查对象 Hashing：哈希算法, 根据源地址选择服务器, 同一地址无论任何时候访问VIP都会分配到同一台服务器, 当需要做长时间会话保持时, 使用该算法不需要增加会话表的超时时间，有助于减少会话表的条目，同是不影响会话保持LP会自动将所为配置为默认网关的IP加到default-farm中，作用和”ALL” Farm相同6. Server配置服务器是Farm下面的元素，隶属于Farm。定义服务器的名称，IP地址，以及服务的端口号。依次点击 LinkProof Servers Logical Routers Table,点击“creat”图标，如下图所示：红色框为必选项对all farm中增加cnc server 9对BMctc farm中添加ctc server对BMctc farm中添加10Mctc server,其中该server操作模式为Backup.配置完的logical routers table7. Flow配置Farm Flow定义了Flow与Farm的关联。LinkProof Flow Management Farms Flow Table , 进入farms flow table,单击Create, 新建flow - toall 关联all farm.再依次新建to ctc / toBM/toall/tocnc flow;建立完的flow table.8. Flow Policy配置Flow Policy主要功能就是定义数据流的走向，即选路策略,可以基于源/目的ip/应用端口进行选路。配置的步骤是先定义Network，即哪些IP/网络需要特别处理,然后配置Policy。LinkProof Flow Management Modify Policies 在创建选路策略前, 先定义network.Network配置Network定义了网络元素，可以是IP地址范围，也可以网段；如果IP不是一个完整的网段，则选择地址范围；如果IP范围正好是一个网段，则使用地址+掩码的配置方式。默认有一条是any的network。Classes Modify Networks 点击Create依次新建SSG320-VPN-CTC / internet /mail/outboundnet/servernet/SSG320-VPN-INF,建立完的network table单击LinkProof Flow Management Modify Policies Create先定义特殊的选路策略, 比如邮件和vpn出去的策略; 再定义一般的选路策略,比如内网用户outbound出去的特定流量.建立完的选路策略表. 最后注意一定要点击红框标识的update policies.以便激活定义好的策略.9. DNS配置在执行InBound 负载均衡，也即入向负载均衡，外网用户访问内部服务器时，LP利用智能DNS功能，来解析不同ISP的公网地址，从而引导用户使用适当的链路来访问。配置HostHost Table就相当于DNS服务器中A记录列表。LP并不实现完整的DNS功能，它只担当主机的授权DNS服务器，只负责解析主机的A记录。LinkProof DNS Configuration Name To Local IP点击create, 新建 对应解析ip为2完成后的例表.10. Smartnat配置Smart NAT是链路负载均衡设备的最核心价值功能，它可以智能动态地对进出流量进行地址映射，保证业务的正常运行，同时在不同链路间进行流量分担。每条有负载的链路上都应该配置NAT策略，如果有2条链路，那么一台服务器要做负载均衡的话，必须在每条链路上配置NAT策略。Static NATStatic NAT就是一对一的映射，不改变端口，并且是双向的NAT。LinkProof Smart NAT Static NAT Table点击 Create, 针对内部服务器ip以及vpn网关分别捆绑不同线路的公网ip.建立完的static NAT table.Dynamic NATDynamic NAT是多对一的映射，并且改变用户的源端口，而且是单向的，只能出，不能进。LinkProof Smart NAT Dynamic NAT Table 点击 Create, 针对内部网段分别捆绑不同线路outbound出去的公网ip.如果定义内部所有IP地址，需严格按照该格式：From local IP: To local IP: 55如果是指定的某个网段: From local IP: To local IP: 55完成后如下图：11. Proximity配置就近性(Proiximity)，可以为用户带来更好的网络访问服务。内网用户访问Internet，LP可以检测到目的地最快的链路；外网用户访问内网服务器，LP可以解析最佳链路上的公网IP给用户。全局配置首先我们需要全局开启Proximity，默认是No Proximity。如果只使用表态表，则选择Static Proximity；如果只使用出向流量，则选择Full Proximity Outbound；只使用入向，则选择Full Proximity Inbound；如果同时使用双向，动态和静态同时使用，则选择Full Proximity Both，一般情况都选择这个。LinkProof Proximity Proximity Parameter General选择 proximity mode 为 Full Proximity Inbound.高级配置如果开启就近性造成CPU有30%以上的增加，请关闭高级就近性检查，这部分功能有可能会造成CPU高。LinkProof Proximity Proximity Parameter Proximity Check按照下图修改就近性检测参数.12. 其它维护配置存配置文件从6.00以后的配置文件全是文本格式的，可以直接编辑修改上传，不需要转换。打开File Configuration File Receive From Device,点击 set 保存配置恢复配置文件打开File Configuration File Send to Device,点击浏览按钮，输入之前保存的配置文件。点击 set 系统会提示你,需要重启设备才能使配置生效.SNMP的字串管理修改SNMP的字串打开 SecurityCommunity Table,修改原来的管理字串为”test”, 分配 “Super”权限给它.点击 set字串修改用户名和密码管理打开 Device Security Users,点击Create,添加新的用户.如果需要修改用户密码, 直接点击用户名, 在Password中输入新的密码，可以给用户以只读权限。Web Access Level: Read-Only表只能查看，不能修改配置。 Read-Write为管理员用户。修改系统日期时间新的设备到时，如果没启用NTP，最好同时修改主备机的系统时间。进入Device-Global Parameters时间格式为 时：分：秒日期格式为 日/月/年NTP配置有时为了管理需要，必须使用NTP。NTP Server: 配置NTP服务器的IP地址NTP Timezone：根据当地时区设置，中国配置为+08:00NTP Status：设置enable检查设备CPULP可以通过Web方式检查负载均衡设备的CPU使用率。进入Device-Device MonitoringResouce Utilization 表示CPU的使用率，以百分比计算，为RS + RE的值RS表示管理占用的CPURE表示系统负载均衡和转发占用的CPU正常情况下，RE高于RS，CPU使用率在60以内是正常的，如果超过80%，需要分析原因。检查设备运行状态LP可以通过Web方式检查负载均衡设备的运行时间。进入Device-Device Monitoring在这里，我们可以看到系统运行的时间。以及多长时间刷新此管理页面。检查服务器状态LP可以通过Web方式检查各Farm下面的服务器负载分担情况以及服务器的状态。进入Device-Device MonitoringIn表示流入服务器的字节数或数据包个数Out表示流出服务器的字节数或数据包个数获取Support文件，寻求帮助进入菜单 File Support，然后下载Support文件，获取到的Support文件包含了设备当前配置和所有的系统内部状态参数。如果调测过程碰到问题无法解决，可以收集该文件后联系技术支持或厂家。分析会话表我们可以对会话表进行过滤分析，检查应用的分发情况。此过程分为两步，第一部是创建一条过滤规则，第二步是查看会话表。进入菜单进入:LinkProof -Clients - View Filters创建一条新的条目。Filter的参数和L4 Policy类似。网络的要素都可以用来定义策略，还可以选择Farm和Server以及Client Table 的类型，实际需要考虑的是如何过滤出精确的会话分析问题。Status用来定义规则的状态，可以定义多条Filter来同时查看，多条Filter之间是“或”的关系。分析完后，请及时关闭Filter或都删除。然后，就可以查看就可以查看符合所有Filter规则的会话表。进入菜单进入Linkproof -Clients - Filtered Client Table 软件升级在某些情况下，软件存在一些小的问题，需要通过升级软件来解决。在升级前，请先取得设备的MAC地址。因为大版本的软件升级过程需要密码，密码是通过MAC生成的。请将密码发给Radware工程师，他们将负责生成密码和发送相应软件。对于LP1000（AS2）以上的平台在升级前，请先确认一下internal flash存在系统。正常情况下，AS2以上型号的设备CF卡和internal flash各有一套系统，正常情况下，使用CF卡的软件，当升级时，需要临时使用internal flash来为新的软件写BootRom，当软件升级完重启时，你会发现从Internal Flash引导，当internal flash系统没有软件时，就会回到原来的系统。所以，你需要以下几步来完成升级。1 检查目前存在的系统， 使用sys file-system config act-appl命令。编号是0的OnBoardFlash表示Internal flash的软件。编号1和2的是CF卡上的软件。有X的表示当前正在使用的系统。如果没有找到编号为0的软件，请执行第二步，再升级软件。如果存在，则跳过第2步。LP-Backup#sys file-system config act-appl Num Name Version Media Active 0 lp-5.22.00DL-08Mar 5.22 OnBoardFlash 2009_26 1 lp-5.22.00DL-08Mar 5.22 CompactFlash X 2009_26 2 lp-4.35.071DL-22Ap 4.35 CompactFlash r2008_23 2 将CF卡上的系统copy一份到internal flash，红色数字表示软件的编号LP-Master# sys file-system files copy-to-flash 1COMMAND system file-system files copy-to-flash versionIndexDESCRIPTIONCopy selected version to internal flash进入菜单 File Software Update 。输入取得的Password，Software version输入软件的大版本号：比如 5.22.00，File中选择相应的版本，软件为tar压缩包的形式，系统会自动解压缩。默认为Enable New Version，即软件升级后立即重启生效；如果不选中，则只是将软件copy到CF卡上，并不激活。& 说明： 在命令行下面，也可以通过”sys license”或” device-info”命令得到相关信息。最好将这两行命令的输出同时记录下来发给Radware工程师。这样，Radware工程师就知道使用的平台类型，方便发送相关的软件版本。CF卡上一般会保存2套系统，升级时，会自动将未使用的老系统删除。软件版本说明上图是软件文件名和硬件及版本号的关系。ad表示appdirector产品，lp表示linkProof产品，as2表示硬件平台型号，1_07_11表示软件版本为1.07.11，个别版本会是1_07_11DL，表示Bug修复版本。命令行维护命令以下全是命令行下面的常用维护命令，可以通过Console/Telenet/SSH来执行。查看接口地址LP-Master#net ip IP Interface ParametersIP Address Network Mask If Number VlanTag0 1 00 8 00 2 0查看路由表LP-Master#net route table Routing TableDestination Network Mask Next Hop Interface TypeAddress Index 1 remote 1 local 8 local 2 local查看CPULinkProof#sys os cpuDevice Resource Utilization RS Resource Utilization : 0RE Resource Utilization : 0Last 5 sec. Average Utilization : 0Last 60 sec. Average Utilization : 0Master Utilization : 0如果有一项值超过90,就需要引起注意查看设备温度(仅限ODS)这条命令可以显示当前设备CPU的温度。正常值在70摄氏度以下，超过73摄氏度，系统会自动关机，请检查通风状态。LinkProof#sys hardware temperature-showSensor number: 0 - Status: normal, Temperature: 53Sensor number: 1 - Status: normal, Temperature: 52查看服务器的连接用户数可以查看每台Router的进出流量，连接用户数等信息。LP-Master#lp servers extended-table RS NextHopRouter Table IPaddress Name Mac addr AdminSt OperSt MacSt 210. 1. 1. 1 ALL /CNC 00124414d3fc Enable Active Found 61. 1. 1. 1 ALL /TEL 000911dcb6cc Enable Active Found 61. 1. 1. 1 CT /Telecom 000911dcb6cc Enable Active Found IPaddress Type Frms Kbits/s Wght OpMode UsrsNo ConLimit port 210. 1. 1. 1 NxtHopR 46894 168248 2 Regular 28261 0 2 61. 1. 1. 1 NxtHopR 23232 98989 1 Regular 12323 0 1 61. 1. 1. 1 NxtHopR 0 0 1 Regular 0 0 1 IPaddress Kb/s Limit In Limit Out Limit In Rate Out Rate 210. 1. 1. 1 0 0 0 113210 54184 61. 1. 1. 1 0 0 0 32132 11233 61. 1. 1. 1 0 0 0 0 0 IPaddress Total Load In Load Out Load In/Out Per Farm (Kbits) (Kbits) (Kbits) 210. 1. 1. 1 29751163 2211741 27539421 0% 0% 61. 1. 1. 1 24334324 234234 27834874 0% 0