深信服上网行为管理的学习笔记，由于软件版本更新相关特性可能变动，仅供参考哈。。

权威内容请访问深信服官方社区：https://bbs.sangfor.com.cn/

DNS相关

全局智能DNS

虚拟地址池

同步角色

同步公差

全局应用负载

通信同步端口： TCP 558

本地智能DNS

调度原则

调度策略

监视地址

健康状态检查

延迟切换

DNS代理

终端PC DNS配置

DNS会话保持

代理策略

缓存

并发查询

代理目标范围

前置调度策略

其它注意实现

智能DNS

网络配置

接口

拨号接口PPPOE：7.0.3以上

管理口：10.252.252.252/24、10.254.254.254/24

交换口

WAN口

聚合网口

vlan子接口（vlan接口）

地址转换/端口映射

自动SNAT

手动SNAT优先级高于自动SNAT

端口映射优先级低于虚拟服务。如同时存在与虚拟服务相同的端口映射。则虚拟服务更优先

iptables -t nat -xnvl

发布内网服务器

路由

路由优先级

AD禁止配置8个0默认路由，会导致动态路由和智能路由失效

ipv6需要配置目的网段为0::0的默认路由

静态路由

智能路由

部署模式

a) 路由模式=入站负载+出站负载+服务器负载

b) 单臂模式=服务器负载+入站负载，不支持出站负载

c)多线单臂=入站负载+出站负载+服务器负载

特性

网络安全

外/内网防DDOS

ACL

ARP/ND防护

ARP代理

管理员安全

调试排障

连接会话查询

抓包排查

下载黑盒日志

缓存查询

缓存缺失查询

会话保持查询

ipro

Lua语言编写，7层虚拟服务

TCP策略

TCP时间戳

TCP连接池

ip-anycast任意播

注意

广播触发条件

路由开销决定最终目的调度

虚拟服务

前置调度策略

服务类型

自动SNAT（SNAT地址集）优先于NAT规则

节点池

高可用

双机组播地址

条件

模式

心跳口

配置同步选项

故障切换

双机故障切换条件

加入集群

双机支持配置恢复导入,在配置同步完成后会重启设备

没有主控被控区别，任意设备更改在集群内同步生效

公共对象

自定义内容

使用场景

服务器负载

场景

负载方式

服务类型

负载算法

节点选择

健康状态检查

链路负载

入站链路负载

出站链路负载

IPV6改造

NAT6-4

天窗

服务器性能优化

TCP链接复用

页面缓存

HTTP压缩

SSL卸载

命令行

SSH命令行

模式

注意事项

指令类型

语法

使用方法

web consel

session srcaddr 192.168.133.4 //查看IP会话

API

由客户端发起

HTTP请求中URI表示目标配置（资源）

HTTP请求中Method表示操作方法（增/删/改/查）

HTTP请求必须带有认证信息（token）

设备处理后返回HTTP应答

HTTP应答包含结果状态（状态码）

HTTP应答包含预期数据（应答实体）

数据以JSON格式传输

CMD

nslookup

后台

openad

取黑匣子

高可用

双机条件

要求硬件平台必须一致

授权必须要一致（除升级序列号之外的序列号授权一致）

软件版本信息必须一致（appversion完全一致）

高可用配置

心跳口

故障切换

同步对象

联动配置

主备模式

高可用集群

概念：不同业务组运行于不同集群设备上

浮动IP

集群条件

配置流程

心跳线

成员管理

设备组管理

应用组管理

集群设备状态

报表中心（默认关闭）

链路统计

总流量、上下行

访问次数

带宽利用率

可用性、稳定性

节点统计

总流量、上下行

访问次数

并发连接数

可用性、稳定性

虚拟服务统计

总流量、上下行

访问次数

可用性、稳定性

智能路由统计

总流量、上下行

访问次数

智能DNS

数据中心

虚拟IP池

LDNS集合

来源分布

异常请求

系统操作

AD升级路线

高危操作

ipv4添加8个0默认路由

配置SSL卸载虚拟服务，HTTPS控制台使用443端口

未填写虚拟MAC时切换应用组生效设备 — 高可用模块主备信息开启MAC同步

更改链路数授权将重启设备，需拆除双机

后台

OPEN AD

负载方式

HTTPS

HTTP

TCP

分配策略

轮询算法

最少连接

源IP算法

会话保持类型

HTTP/HTTPS

TCP

健康检测类型

PING

TCP

HTTP

上网卡顿

mpstat文件

nf_conntrack_count文件

uptime文件

dev文件

mem_overload文件

DNS相关

全局智能DNS

虚拟地址池

本地DNS映射和全局DNS映射的区别：AD本地（本机）DNS映射用于单个站点，非分布式环境中；全局（多机）DNS映射用于多个站点，分布式环境中，并且各个站点的全局DNS映射配置可以相互同步

本地虚拟IP池

作用于本地DNS映射

本地DNS映射主要是实现域名和虚拟IP池中地址的映射关系，当有域名记录的请求访问设备时，返回IP池中记录的IP地址，实现域名解析

全局虚拟IP池

作用于全局DNS映射

AD全局DNS映射用于用户在不同的地方有相同的服务器提供服务,然后用户通过同一个域名访问,通过AD可以实现不同用户的地方,选择最快的链路来接入访问服务器

同步角色

不同步 — 不参与全局同步
从属 — 从其它数据中心下载配置文件到本站
主控 — 向其它数据中心下发本站的全局文件配置
双向 — 同时扮演上传和下载角色

同步公差

两个数据中心间的配置文件修改时间差的阈值
两个数据中心配置文件修改时间差值大于[同步公差]，表明修改时间较早的数据中心配置文件需要被更新
当两个数据中心配置文件修改时间的差值小于等于[同步公差]时，表明两个数据中心的配置文件被视为等效且不同步
类似于心跳包，小于心跳时间说明需要更改配置文件，大于心跳时间等效

全局应用负载

本地服务设备

SNMP 161

通信同步端口： TCP 558

本地智能DNS

调度原则

智能DNS优先级高于内网DNS
一级调度，选虚拟IP池：域名—IP映射（一级调度）—设置虚拟IP池
二级调度，池里选IP：域名—虚拟IP池（二级调度）—设置DNS映射

调度策略

轮询

交替调度

加权轮询

按权值交替调度

哈希

对DNS请求的源IP进行运算

动态就近性

依据来源LDNS到各个链路IP时延，返回时延最小的IP

首个可用
加权最小链接

返回所在链路连接数加权后的结果

加权最小流量
静态就近性
返回所有IP
拒绝【备选策略】

向客户端返回拒绝信息

丢弃【备选策略】

直接丢包不回应

返回备用IP【备选策略】

当首选调度失败则返回该IP

监视地址

默认监视所有地址，但也可以指定

健康状态检查

开启调试日志

系统日志中产生详细连接记录 — 不建议开启，会将正常日志刷掉

延迟切换

需要人为干预切换时才启用，建议禁用

DNS代理

终端PC DNS配置

AD监听地址
DNS服务器列表里的IP

DNS会话保持

dproxy_cmd dump_ldns_ps //可以查看单台PC重复发起DNS请求，AD间返回同一IP，默认为300秒
dproxy_cmd flush_ldns_ps //清除DNS会话保持

代理策略

轮询 //1：1
加权轮询 //越大约优先
加权最小流量
优先级

缓存

AD直接返回DNS结果，不像LDNS发请求

并发查询

谁先返回谁优先

代理目标范围

指定服务器

仅代理向DNS服务器列表内和发给监听地址的DNS请求

指定域名

仅代理匹配前置调度策略中地址集的DNS请求

内网记录中的所有DNS请求

全部DNS请求

代理目前地址为任意的DNS查询请求

前置调度策略

某些域名通过指定的DNS解析
某些用户通过指定DNS解析

其它注意实现

智能DNS

增大TTL，防止NS迭代过多或跨运营商开销导致DNS请求超时，尽量避免每次均从AD返回结果

网络配置

接口

拨号接口PPPOE：7.0.3以上

管理口：10.252.252.252/24、10.254.254.254/24

交换口

a) AD交换网口用于将AD设备的多个网口从逻辑上合并成一个二层交换机的接口,其中AD的每个网口都可以当做一个二层交换机的接口来处理，
b) 常见场景：用于口字形上下主备不能联动切换的情况下，上下互联口全部配置为交换口，并共享一个IP地址，并同步端口的MAC地址。
c) 端口聚合：加大带宽+链路冗余

WAN口

智能DNS调度仅针对WAN口属性接口生效
虚拟服务只能关联WAN口属性的接口
WAN口入站路由转发

无法进行除虚拟服务、DNS、源地址转换、端口映射、远程登录、匹配智能路由或静态路由之外的数据传输

聚合网口

哈希

基于源IP和目的IP计算hash，选择相应接口

轮询
802.3ad

1、LACP自动协商2、自动选择带宽链路最大为主链路，其余为备链路。如带宽一样，则采用哈希算法发送数据。

冗余双网卡

多个物理网口绑定为一个逻辑接口，只有一个物理网口处于工作状态，当主网口宕掉后备网口切换成主网口工作。

vlan子接口（vlan接口）

基于网口、聚合口生效
TRUNK标签

深信服应用交付（AD）学习笔记

DNS相关

全局智能DNS

虚拟地址池

同步角色

同步公差

全局应用负载

通信同步端口： TCP 558

本地智能DNS

调度原则

调度策略

监视地址

健康状态检查

延迟切换

DNS代理

终端PC DNS配置

DNS会话保持

代理策略

缓存

并发查询

代理目标范围

前置调度策略

其它注意实现

智能DNS

网络配置

接口

拨号接口PPPOE：7.0.3以上

管理口：10.252.252.252/24、10.254.254.254/24

交换口

WAN口

聚合网口

vlan子接口（vlan接口）

地址转换/端口映射

自动SNAT

手动SNAT优先级高于自动SNAT

端口映射优先级低于虚拟服务。如同时存在与虚拟服务相同的端口映射。则虚拟服务更优先

iptables -t nat -xnvl

发
来源：Ether_Dzh

声明：本站部分文章及图片转载于互联网，内容版权归原作者所有，如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢！

深信服应用交付（AD）学习笔记

DNS相关

全局智能DNS

虚拟地址池

同步角色

同步公差

全局应用负载

通信同步端口 ： TCP 558

本地智能DNS

调度原则

调度策略

监视地址

健康状态检查

延迟切换

DNS代理

终端PC DNS配置

DNS会话保持

代理策略

缓存

并发查询

代理目标范围

前置调度策略

其它注意实现

智能DNS

网络配置

接口

拨号接口PPPOE：7.0.3以上

管理口：10.252.252.252/24、10.254.254.254/24

交换口

WAN口

聚合网口

vlan子接口（vlan接口）

地址转换/端口映射

自动SNAT

手动SNAT优先级高于自动SNAT

端口映射优先级低于虚拟服务。如同时存在与虚拟服务相同的端口映射。则虚拟服务更优先

iptables -t nat -xnvl

发 来源：Ether_Dzh 声明：本站部分文章及图片转载于互联网，内容版权归原作者所有，如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢！

相关推荐

通信同步端口： TCP 558

发
来源：Ether_Dzh

声明：本站部分文章及图片转载于互联网，内容版权归原作者所有，如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢！