金诺网络_JET 发表于 2018-11-28 18:10
  
分享最近实施的一个案例:
客户上架一台AC,12.0.12版本的,在对象定义-过滤词 新建策略后死活提交不了,用IE,360这些浏览器都无效,打400问了,用谷歌浏览器试试,结果真的可以!!这个坑真的始料不及:伤心:,因为这个我还忘记上社区参加每日答题了:大哭:
zhaoyang 发表于 2018-11-28 21:03
  
桌面云双副本,两台一体机,突然有一天,一部分虚拟机登陆不上了,检查了半天一台一体机宕机了,着急莽荒的联系某公司的技术,一检查,原来是固态盘的系统坏了,只能苦逼的把设备扛回去,最后给我们重新寄了一块固态盘(大约1周),换上发现一个BUG,必须要签名,才能识别硬盘,还要找个公网ip,总部远程给设备做签名,经过我们的努力,最后终于算是恢复好了。最难忘的一次事故。
Windroid 发表于 2018-11-28 21:29
  
本帖最后由 Windroid 于 2018-11-28 21:49 编辑

最有成就感的其实还是这个:借助出口AD实现了两个WOC的“双活”。这个项目VPN分支超级多(后期差不多接近1000个了)!而且涉及到多级VPN组网,网络环境复杂,但是好在是部署阶段,其他某公司设备都稳扎稳打配置完成,当时单一WOC性能扛不住。视频会议卡顿马赛克。但是WOC目前又不支持双活,我曾经在社区分享过详细步骤和方案评估:https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=49691
当然这个方案最后落地还是得感谢某公司同事以及原厂的给力支持,毕竟这个方案当我第一次咨询的时候,都说理论可行但是几乎没有先例,所以我也只能摸着石头过河。我记得割接那天晚上某公司原厂一个小哥哥还打电话问我怎么想到的2333333:好棒:,好像还很感兴趣地问了我的实施过程。

另一个是借助frp实现了没有公网环境的SSL VPN接入,我在社区也做了分享:
https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=57000
我司目前就采用这种方案,给老板一年省了十万专线投入:好棒:
Remblue 发表于 2018-11-29 10:03
  
有一次去实施桌面云项目100个点,然后要把旧PC的数据复制到新的PC上面来,和我来一起两个人 ,客户那边IT要我们自己和那些用户协调复制数据,刚开始两个人做还好,我另一个同事有其他项目 ,所以就剩我一个了,客户这边也不排人一起帮忙复制,犹豫客户那边每个用户数据都不一样,有的很多,我苦逼的一个人连续搞了一个星期,每天早上9点到客户那里,晚上8 9点回去。:大哭:
神奇轱辘 发表于 2018-11-29 13:32
  
某次去客户那里做设备替换,我们AF设备替换原有防火墙设备,由于原来防火墙上面策略很多,好几页,然后后当天早上过去在机房里面就折腾这个策略转换,时间很快过去,弄好已经下班了,出来发现门被锁了,联系客户,结果是客户把我也给忘记了,下班把门直接给锁了!坑爹的是我后来才知道可以把配置导出来给研发转配置,直接导入!:无语:
主动出击 发表于 2018-11-29 13:59
  
我一个人扛起公司运维的大旗,这其中的心辛酸真是一波接着一波,他们一天到晚最希望的就是我的AC挂掉,哎。
vito 发表于 2018-11-29 15:12
  
公司用的信服AC,AF,还有信锐WLC。某天无线上网间歇性断网,过个几分钟又好了,这一下就影响200号人上网,有线上网一直正常,看起来出口线路没有问题,莫非有人在干扰无线网络,也不可能啊,再想问题还是出在上网控制设备这块,然后检查信服AC,AF,看到无线控制器的IP被放到封锁名单了,估计是无线终端有些敏感会话触发了AF的安全策略,把无线控制器给封锁了,赶紧捞出来,添加到全局放行名单,无线上网就都正常了。
RS 发表于 2018-11-29 15:46
  
我们2011年购买的AD、AC、SSL VPN ,使用了五年之久,但极其稳定。没有的任何的问题。在本地服务商的建议下,2016年年底更换的某公司超整合,产品有AD、AC、AF、SSL VPN,在上线的过程当中出了很多的问题,光与400长沙服务联系,一周达到3次之多,
而且每一次的刚解决的问题,又出现另外的问题。具体把问题描述
AD、算是比较稳定的产品  AC、1、在用户登记的情况下,旧产品最多可以登记20个MAC,但目前的版本,仅能5个。导致在迁移的过程中,出现部分漏掉。部分的电脑无法上网。不能说人为,全部都是复制的过程中反馈。
AF 1、上线期内,出现AF死了2次,经研发多次核查原因,和每次的调整策略,足足花了半多个月,才把相关的补丁打入。2、上线后刚开始是业务系统出现个别外面的服务商不能访问,只能添加到AF白名单,3、我们公司的打印机可以自动扫描到电子邮箱,但突然某天出现全部不能,打印机服务商过来处理了2天,结果未能解决。但通过某公司本地的技术工程师过来,通过排除法,一个一个地解决,在3小时。就找到了问题。原因是把虚拟设备迁移到另外的一台服务器。就解决了。所以,运维很重要,特别是系统的稳定性。保障公司的信息网络安全。在这里,对某公司的AD 、AC 产品,确实不错。有条件的企业确实可以上。
avic 发表于 2018-11-29 16:38
  
PC配置的DNS是内网的DNS服务器(比如:192.168.1.253),现在客户想要实现DNS代理,实现20%的DNS请求从某条链路出去(比如从其中的电信链路走),如何在DNS上配置?可以考虑如下的方法:
1、6.2版本的DNS代理新增了“代理目标范围”,无非就是解决PC填写的LDNS DNS地址能否匹配上DNS代理模块的问题,但是有个根本问题,就是DNS代理是存在会话保持的,而且会话保持是基于源IP地址。当然这个优先级是最高的,也就是说某个IP有会话在且未超时,后续该IP的分发都匹配从之前的线路出去。比如你这种内网存在DNS的环境,相同AD收到的DNS请求数据其实都是内网DNS服务器一个地址发过来的,必然会造成DNS的流量不均衡。为解决这可以考虑客户端PC的LDNS DNS地址直接填写其他地址,以便AD收到的源地址都是不一样。

2、如果内网PC必须填写内网DNS地址,则可以考虑另外一个方法来顶替DNS代理的效果:发布服务端口为53的虚拟服务,节点池里面填写公网的DNS地址,IP组填写设备LAN,内网DNS服务器的转发地址填写AD的LAN口地址保证可以匹配上该虚拟服务。同时记住,节点池里面不要关联会话保持选择none即可,策略可以选择加权。
ztbf 发表于 2018-11-30 09:20
  
  2017年10月6日凌晨3点钟,我的电话响来了,领导说集团总经理在欧洲出差发现某公司ssl vpn 无法使用,不能登入OA系统,现在有急事需要处理,十万火急。因为公司为了安全有规定ssl vpn 不能远程管理 ,也禁止Ping ,没有办法,痛苦起床,迷糊中订了出租车,出发到公司。在车子里,思路开始清晰,开始分析什么问题原因造成的,是因为设备有故障吗?马上打电话给厂家售后问题,做技术保障。半个小时后到了公司,马上从内网登上某公司的设备正常,发现正常。不会是运营商的链路有问题了,马上把禁ping取消,用电脑连手机热点带外网测试,发现从外网能ping 到某公司务ssl vpn 设备。这是厂家售后给我了提示,是不是ssl vpn 端口号443 被运营商封了,马上修改ssll vpn 端口号 ,测试正常了。原来故障原因是运营商把端口封了。目前通知全公司员工修改ssl vpn 端口号不现实,马上联系运营商,才知道原来前任it没有向运营商申报ssl vpn 公司地址 ,导致封端口。没有办法向电信服务经理施压,2个小时后,临时放开原来443端口,马上通知领导向总经理汇报。10天后,写了报告通知全公司修改ssl vpn 端口。这么多看运维发现不仅是技术有要求,还有懂的寻找厂家技术帮忙,还有懂公司流程,也许自己还要在运维道路上不断学习。

发表新帖
热门标签
全部标签>
每日一问
技术盲盒
技术笔记
每周精选
干货满满
技术咨询
信服课堂视频
秒懂零信任
自助服务平台操作指引
新版本体验
标准化排查
产品连连看
安装部署配置
功能体验
GIF动图学习
玩转零信任
2023技术争霸赛专题
技术晨报
安全攻防
每日一记
深信服技术支持平台
天逸直播
华北区交付直播
社区帮助指南
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
纪元平台
通用技术
卧龙计划
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV

本版版主

461
244
13

发帖

粉丝

关注

本版达人

feeling

本周分享达人

新手29676...

本周提问达人