西北区每日一学知识点汇总——持续更新中
  

sangfor63456 150432人觉得有帮助

{{ttag.title}}
本帖最后由 sangfor63456 于 2024-11-11 10:25 编辑

此贴每周定期更新一次
每日一学(每周工作日)
序号
产品线
时间(2024)
知识点
是否发送
1
AF
8.8日
AF老架构一个接口支持配置256个IP,新架构一个接口最多配置128个IP,替换需要注意是否存在>128个IP的情况
2
AF
8.9日
新架构接口如果超过128个ip地址,可以在接口上配置同段的一个地址,接口会自动代理同段的其他地址arp请求
3
AF
8.13日
AF新架构有带外管理,老架构无带外管理,如果老架构eth0存在业务路由,需要将接口IP以及路由转换到新架构的业务口
4
AF
8.14日
AF新架构带外管理口填写下一跳后直接就在后台生成管理口的默认路由,无须再针对管理口再增加默认路由
5
AF
8.15日
AF老架构默认优先级是:SSLVPN路由 > VPN路由 > 静态路由 、直连路由 > 动态路由 > 策略路由 > 默认路由。
AF新架构默认优先级是:直连路由 > 策略路由 > SSLVPN路由 > VPN路由 > 目的路由(静态路由 、动态路由)> 默认路由,可以自定义修改
6
AF
8.16日
AF新架构设备自身上网不能通过配置的策略路由上网,需要有单独的静态路由或者管理口网关,老架构可以通过配置的策略路由上网
AF新架构支持到目的网络度量值一样的等价路由,根据源目IP哈希算法进行路由选路,老架构不支持
7
AF
8.19日
AF老架构不同接口可以配置同网段IP,新架构不同接口不能配置同网段IP
AF新架构如果客户存在多线路建议接口勾选源进源出/逆向路由,保证数据包的出入一致性,老架构通过策略路由实现源进源出
8
AF
8.20日
AF新架构8.0.75及以后版本支持接口开启巨帧(VXLAN环境使用)
AF新架构去除了网页防篡改功能,由于功能老旧多年没有维护,不再支持
9
AF
8.21日
AF新架构所有的接口如果不选择区域,会匹配any区域的策略,受到应用控制策略中any区域的策略控制,老架构所有的接口如果不选择区域,可以直接转发,不受应用控制策略控制
AF新架构需要给vpntun口划分区域,并进行对应的应用控制策略权限放通才能够访问vpn资源,sslvpn如果启用了L3vpn资源,也需要针对sslvpntun口划分区域并放通对应权限
10
AF
8.26日
AF老架构:SNAT使用的是原始报文的源端口转发
新架构:SNAT默认没开启报文源端口功能,源端口会随机转换成其他端口,可能在替换后出现上联对接设备某些端口有阻拦造成丢包,可以在命令行开启申请报文源端口功能(从8.0.85R版本修改成老架构一致),具体开启方法进入CLI模式,进入config模式, nat-port-resource enable;后续实施项目都建议使用85R以后的版本
11
AF
8.27日
AF新架构在[系统/通用配置/网络参数]中默认是勾选了H.323端口和SIP端口,老架构默认是没有勾选的,如老架构设备有修改成勾选,新架构无须修改此处,如老架构没有勾选,则新架构需要去掉勾选
12
HCI
8.27日
VMware的NG-SDDC(下一代软件定义架构)主要由云管平台、虚拟化平台和容灾技术组成。云管平台(CMP)包含VMware云计算服务中台、VMware智能运维管理平台组成;虚拟化平台包含Tanzu(容器云)、vSphere计算虚拟化、VSAN存储虚拟化、NSX虚拟云网技术、VeloCloud广域网SDN技术组成。容灾技术主要包含SRM云计算容灾技术。
13
AF
8.28日
AF老架构如需支持IPv6,需要在网络参数中勾选“启用IPV4/IPV6双协议栈”功能,然后才能进行对应接口及其他配置。
新架构已经全面支持IPv6,无需单独开启,可直接在接口配置中进行设置
14
HCI
8.28日
HCI与VMware模块对应关系:
SCP——vRealize Automation云计算服务平台;
aOPS——vRealize OperationVMware智能运维管理平台;
KubeManager——Tanzu容器云;
aSV——vSphere计算虚拟化;
aSAN——VSAN存储虚拟化;
aNET&aSEC——NSX虚拟云网技术;
SD-WAN——VeloCloud广域网SDN技术;
CDP&aDR——SRM云计算容灾技术;
aDesk——Horizon云桌面
15
AF
8.29日
AF新架构版本升级不再支持升级客户端升级,仅支持web页面进行升级,升级包为.bin格式包,升级完成后不会自动重启,可在合适的时候在页面进行手动重启进入升级完成的版本,双机场景下升级无需拆双机可完成升级。升级完成后如存在问题,支持回滚到升级前的版本和配置
16
信创
8.29日
什么是信创?
所谓信创,
就是信息技术的应用创新产业。一般来说,信创包括基础硬件、基础软件、应用软件、信息安全四大板块。其中,基础硬件主要包括:芯片、服务器/PC、存储等;基础软件包括:数据库、操作系统、中间件等;应用软件包括:办公软件、ERP和其它软件等;信息安全包括硬件安全、软件安全、安全服务等各类产品。
17
AF
8.30日
AF新架构SP补丁包和KB包也是.bin格式包,是通过界面来进行补丁更新,也支持针对更新的补丁进行回滚操作,不支持通过升级客户端操作
18
信创
8.30日
CPU是信创CPU的服务器即为信创服务器
常见的非信创CPU有intel、AMD、Cyrix等,多为X86架构。
常见的信创CPU有飞腾、鲲鹏、龙芯、海光等,其中海光系为C86架构,鲲鹏、飞腾、龙芯的CPU为ARM架构。
19
AF
9.2日
AF老架构OSPF动态路由里v2和v3是在一起配置,重发布支持直连路由、RIP路由、静态路由和默认路由。
新架构OSPF动态路由里v2和v3需要分别进行配置,同时分为基础配置和高级配置,OSPFv2路由重发布支持直连路由、静态路由、默认路由、BGP、RIP和VPN路由;OSPFv3路由重发布支持直连路由、静态路由、默认路由、BGP
20
信创
9.2日
截至最新版本6100R1,深信服超融合产品支持包含非信创X86架构,信创C86架构和ARM架构的安装包部署。非信创X86架构底层使用的操作系统为深信服自研的SangforOS,信创C86架构与ARM架构底层使用的操作系统为Kylin v10 sp2,着重说明深信服的信创安装包是同麒麟深度合作,麒麟开放了操作系统底层源码,深信服在此基础上开发而成。
21
AF
9.3日
AF老架构:IP必须要配置在接口上,否则不回复该IP的arp请求;新架构:SNAT:转换后的源IP需要在对应网络接口配置上同网段的IP地址,否则不会回复针对转换后的源IP的arp请求;DNAT:转换前的目的IP 需要在对应网络接口配置上同网段的IP地址,否则不会回复针对转换后的目的IP的arp请求(如果没有同网段IP,必须要要保障接口的上一跳,能把数据包丢到防火墙上,即使AF不回上一跳的arp请求也要能够把包发过来)
22
信创
9.3日
C86与X86:C是指“China”,意味着国产的X86架构,目前仅在HCI安装包上区分了C86与X86(C86包中将HCI底层换成了麒麟内核),但是上层的虚拟机镜像和软件包都用X86架构,C86这个名词很重要
23
AF
9.4日
AF新架构WEB页面命令行控制台可在Web页面使用SFCLI对设备进行配置操作、配置查看等操作,使用方式完全同通过SSH登录SFCLI,85之前需要手动登录,登录方式login admin (密码为admin的密码),85之后打开命令控制台自动登录
24
信创
9.4日
国产化操作系统当前主流的有商业版的麒麟v10、UOSv20、红旗,社区开源版的欧拉OpenEuler、龙蜥OpenAnolins。使用信创CPU(如飞腾、鲲鹏、龙芯、海光等)+信创操作系统(如麒麟v10、UOSv20)的PC叫做信创PC。
25
AF
9.5日
AF不支持网卡非自适应的设备,换了网卡,升级/刷盘等操作会出现网口乱序,需要找研发确认调整
26
信创aDesk
9.5日
信创下必须要做的一步:兼容性确认
①此信创服务器上是否支持部署HCI——信创CPU是否支持
②此信创终端上是否支持部署VDI客户端——信创CPU是否支持
③是否可以部署特定版本的UOS和麒麟桌面——OS兼容性(区分X86与ARM)
④客户需要的功能,是否支持在信创桌面和信创终端上使用
27
AF
9.6日
AF的丢包标记是0x7051、0x7052、0x5826(用于7.X版本AF以及AC),如果抓包的标记是这些,说明是AF或者AC拦截了
28
信创aDesk
9.6日
信创场景交付与测试步骤/流程
①服务器+终端兼容性确认
②HCI+VDC部署(包括VS,授权)
③准备兼容的信创虚拟机镜像
④信创虚拟机部署(agent,deb包)
⑤WinServer应用服务器部署(若有)
⑥信创客户端部署(若有)
⑦虚拟机转模板
⑧VDC用户、资源、策略创建
29
AF
9.9日
XDR和SIP的区别?https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=299953
30
信创aDesk
9.9日
ARM架构信创桌面云交付&测试注意事项
(1)ARM架构下,VMP部署、授权和HCI一致,单台服务器不支持组建虚拟存储,推荐使用SSD做本地存储;
(2)ARM架构下,虚拟机安装agent后,会禁掉控制台虚拟机画面,推荐使用$admin账号进行虚拟机模板维护;
(3)ARM版本的VDC不能通过在VMP上新建生成,只能通过导入VMA镜像的方式,VDC的ARM版本的VMA镜像可以在深信服社区下载
31
EDR
9.10日
本地EDR安装agent时,不需要访问互联网,能和控制中心通端口/协议:TCP443、TCP4430、TCP8083、TCP54120、ICMP信即可,SASE-EDR安装agent时才需要访问互联网
32
信创aDesk
9.10日
信创桌面部署常用命令
查看UOS系统的详细版本信息:cat /etc/os-version
查看kylin系统的详细版本信息:cat /etc/.kyinfo
信创系统普通管理员安装agent命令:进入解压后的agent目录,先chmod+x install添加执行权限,使用sudo ./install 提权到超级管理员权限安装
查看信创虚拟机内部agent进程:ps -aux|grep vdi
查看server sbc应用发布服务器内部agent监听端口及连接情况:netstat -ano (重点关注7170,7171-7172,7200端口)
33
atrust
9.11日
aTrust能将web控制台发布出去,实现通过aTrust拨入进来了之后可以访问到aTrust的设备控制台,访问代理网关和综合网关的web管理页面必须使用域名地址发布资源(可以起一个没用过的域名,写一条hosts指向设备ip,且访问web页面也必须要使用域名访问),访问控制中心的web管理页面可以使用域名也可以使用IP地址发布
34
信创aDesk
9.11日
测试信创桌面时,选用兼容性范围内,支持的UOS、Kylin的最高版本(新版本系统问题少,非桌面云问题)
链接:https://pan.baidu.com/s/18n3WydsTKiS4isCQdOr6Ug 提取码:fdjq
35
国密设备
9.12日
国密设备需要激活密码卡才能正常使用,默认密码为12345678。如果设备断电或者重启需要重新激活才可以使用
36
信创aDesk
9.12日
测试或交付项目时,如服务器是海光CPU,请在VMP控制台—系统设置中,取消勾选“开启系统预留核”,勾选“开启PAT优化”,对整体操作体验有提升
37
信创aDesk
9.13日
在部署UOS和麒麟的虚拟机模板及在终端上安装VDI客户端时,请在安装虚拟机agent或安装VDI客户端之前,先给虚拟机模板打上uos_depends_install.deb、kylin_depends_install.deb包(麒麟和UOS打各自对应的deb包),双击安装包直接安装即可
38
atrust
9.13日
分离式aTrust设备需要把控制中心的TCP 443端口和代理网关的TCP 441和TCP 443端口映射到公网,保证用户能正常通信;
一体式aTrust设备需要把综合网关的TCP 443端口和TCP 441端口映射到公网,保证用户能正常通信;
如果需要启用SPA业务隐身功能(UDP+TCP模式),还需要将控制中心的UDP 443端口、代理网关的 UDP 441端口映射至公网。(若是综合网关设备,将综合网关设备的UDP 443、441映射至公网即可)
ps:443端口用户接入端口(可修改),441是隧道资源接入端口
39
atrust
9.18日
aTrust 2.3.10版本支持 ipsec vpn组网能力,需要通过定制包实现,其余版本暂不支持,后续会合入至2.5.10版本
40
信创aDesk
9.18日
UOS桌面优化内容:①开启虚框拖动,在VDI中拖动窗口感知好;②关闭特效模式,启用普通模式;③关闭休眠、待机功能;④禁用无线服务、语音助手和语音唤醒功能;⑤关闭用户体验计划;⑥关闭SMB服务、磁盘自动索引、系统自动更新、屏保。
kylin优化内容:①关闭SSH和屏幕保护;②使用KylinV10 SP1-202203系统,需要在部署模板时在虚拟机内执行“cpu_optimize.sh”
41
atrust
9.19日
设备默认所有资源使用设备地址为源(代理网关/综合网关的业务接口地址)去访问;分离式设备和综合网关设备单臂部署开启虚拟IP时,需要内网网关设备配置虚拟IP池回包路由指向代理网关或者综合网关设备
42
信创aDesk
9.19日
信创SBC:指利用桌面云的远程应用发布功能,在信创终端上登录桌面云客户端后,可以获取和使用后端发布的Windows应用(如客户由于政策要求购买了信创PC,但是业务软件无法运行在上面)
43
atrust
9.20日
atrust启用/修改虚拟ip不会注销用户,但是会导致用户连接的隧道应用断开以虚拟IP重新建立连接;因为启用了虚拟IP之后,设备默认所有资源使用虚拟IP地址去访问了, 需要内网必须有到虚拟IP网段的回包路由指向aTrust设备,资源才可以正常访问;没有启用虚拟IP设置,设备默认所有资源使用设备地址为源(代理网关/综合网关的业务接口地址)去访问
44
信创aDesk
9.20日
信创SBC解决方案中:
多会话方案(RDP协议):应用服务器采用Windows Server或Windows,一个应用服务器上承载多个会话,即可以提供给多个用户接入,是多对一的关系,外设兼容性差
模板下载地址:链接:https://pan.baidu.com/s/1i6H1oHlvcctOt4FEJDB03A
提取码:scoc
单会话方案(SRAP协议):应用服务器采用Windows,一个应用服务器上承载一个会话,是一对一的关系,外设兼容性好。
45
atrust
9.23日
aTrust虚拟IP不支持和设备同网段,atrust设备的虚拟IP配置建议使用生僻IP,避免与常用的内网IP冲突,如果虚拟IP跟客户端的IP保持一致,当用户存在应用反连场景需要将虚拟IP下发给客户端时,此时就会导致访问出现异常,固不建议保持一致
46
HCI
9.23日
HCI较VMware的优势:
HCI支持所有删除的虚拟机会放入回收站,管理员随时可以恢复虚拟机。最大保存时间为30天。30天后自动删除虚拟机文件。而VMwarez则是如果没有删除虚拟机文件,可以找到对应的VMDK文件设置重新注册虚拟机进行恢复,文件保存时间看具体的存储策略。
47
atrust
9.24日
aTrust以虚拟IP地址访问资源的回包路由配置如下:
分离式部署:
1)代理网关单机模式:虚拟IP地址池的回包路由指向代理网关接口真实IP地址
2)主从集群模式:回包路由根据代理网关承载的虚拟IP地址池,分别指向主从代理网关接口真实IP地址
3)主备集群:虚拟IP地址池的回包路由指向代理网关集群虚IP地址。
综合网关部署:
1)综合网关单机模式:虚拟IP地址池的回包路由指向综合网关接口真实IP地址
2)主从集群模式:回包路由根据综合网关承载的虚拟IP地址池,分别指向主从综合网关接口真实IP地址
48
HCI
9.24日
HCI较VMware的优势:
HCI支持虚拟机备份;支持定时自动备份;支持恢复为全新虚拟机;支持恢复到原虚拟机。而VMware6.7无备份功能,需要借助第三方软件或存储设备支持。(6.0具有vdp,后面版本需要使用第三方产品,而且建议使用第三方产品)
49
atrust
9.25日
aTrust设备恢复密码方式有几种:
方法一:虚拟化部署可以通过后台恢复:(硬件部署设备不支持此后台恢复方法)
1、打开虚拟机控制台,输入账号密码:recovery_admin/sdp!#%&)【6位OTP令牌】
2、根据提示输入Y
3、记录输出的新的账号密码
方法二:硬件部署可以通过U盘恢复:(虚拟化部署不支持使用U盘恢复)
1、U盘格式化,文件格式选择FAT32
2、创建reset-password-cmd.txt文件(文件内容可以为空)
3、插入U盘,等待2分钟
4、拔出U盘,查看其中reset-password-success.txt文件中新密码
注意:
1、 U盘恢复密码时,不会影响设备正常业务,只会重启重置密码的服务
2、 U盘恢复密码时,系统每两分钟检测一次脚本,所以U盘插入后,需要等待一段时间才能生效
方法三:使用显示器键盘或console登录恢复密码
1、接上显示器或console,输入账号密码:recovery_admin/sdp!#%&)【6位OTP令牌】
2、根据提示输入Y
3、记录输出的新的账号密码
50
HCI
9.25日
HCI较VMware的优势:
CDP与超融合系统底层结合,可以实现最低1秒的备份频率,而VMware不支持,需借助第三方生态软件支持
51
atrust
9.27日
aTrust访问域名资源客户端的DNS解析顺序是:电脑Hosts>设备Hosts=feakdns>强制下发DNS>网口DNS>PC本机配置的DNS服务器
52
HCI
9.27日
HCI较VMware的优势:
HCI支持通过模板批量创建多台虚拟机,而VMware仅支持模版部署,不支持模版批量部署
53
atrust
9.29日
aTrust设备开启SPA功能后,终端在和设备建立TLS连接时,需要在hello包中携带spa种子方可以建立连接成功。如开启UDP敲门功能,则能够实现端口完全隐藏(端口无法被扫描到),客户端需要向设备的UDP敲门端口发送敲门包(包中携带了spa种子)后,方可临时打开被隐藏的TCP端口
54
HCI
9.29日
HCI较VMware的优势:资源热添加
HCI*支持资源热添加,需要满足以下条件:
虚拟机安装了Vmtools
虚拟机操作系统支持
*支持资源自动热添加支持给虚拟机设置CPU、内存使用率阈值,当监控到超出阈值时系统自动为虚拟机热添加资源。
*VMware支持手动热添加,需要以下条件:
虚拟机安装有VMware tools
虚拟机操作系统支持
*不支持资源自动热添加自动热添加是指虚拟机运行过程中,监控到CPU、内存使用率超过指定阈值,系统自动增加虚拟机CPU、内存资源以保证业务正常运行。资源自动热添加可以提升业务可靠性,减少管理员的运维工作量。
55
atrust
9.30日
SPA安全码分发方式:
1、共享模式支持如下方式分发SPA安全码
a、管理员查看安全码内部通过邮件、IM即时通信软件等方式告知用户【安全中心】-【服务隐身】-【安全码管理】-【共享模式】-【复制安全码】
b、管理员通过短信方式将安全码分发给用户【安全中心】-【服务隐身】-【安全码管理】-【共享模式】-【立即分发】
2、一人一码模式支持如下方式分发SPA安全码
a、 aTrust UDP敲门安全客户端一人一码功能支持短信网关分发; 在配置好短信网关的前提下,可以在【安全中心】-【服务隐身】-【安全码管理】的“SPA安全码分发设置”处,选择对应的短信网关。从aTrust 2.2.2开始的新版本,在【业务管理】-【用户与角色】-每个用户目录处-【安全码设置】-【发送SPA安全码】批量设置对哪些用户发送SPA安全码;
56
HCI
9.30日
HCI较VMware的优势:DRS(HCI6100)
HCI各种场景下,都能保障业务可靠性不降级的情况下,性能也是最优解,不同健康程度的节点负载情况相对均衡;vmware各种场景下,都能保障业务性能是最优解,但未保障虚拟机的可靠性不降级,集群内主机资源使用率相对均衡;
57
atrust
10.9日
aTrust设备的SPA(Single Packet Authorization,单包授权)原理如下:
SPA是SDP(Software Defined Perimeter)中非常重要的一个概念和功能,其主要目的是让服务器在互联网中隐藏自己,不被攻击者发现。具体来说,SPA通过以下方式实现其功能:
1.隐藏服务器端口:很多攻击行为都是从端口探测或扫描开始的,攻击者尝试进行TCP握手来发现服务器暴露的端口,从而进行下一步攻击。SPA功能通过让服务器在没有正确授权的情况下不响应任何探测请求,从而隐藏服务器端口,避免被攻击者发现。
2.单包授权机制:SPA采用UDP敲门和TCP握手结合的单包授权机制。只有经过授权的客户端才能通过UDP敲门包和TCP握手包的组合来访问服务器。未经授权的客户端无法打开零信任系统的认证界面,也无法访问任何业务相关的接口
58
HCI
10.9日
HCI较VMware的优势:
HCI支持存储分卷,而VMware不支持,vSAN不支持存储分卷,无法实现集群内存储分级,全闪存配置与混合配置环境需要分集群管理。
59
atrust
10.10日
aTrust SPA UDP敲门使用的端口:
分离式设备需要开放控制中心的默认客户端接入端口443(TCP+UDP)和代理网关的441端口(TCP+UDP)。
综合网关需要开放443端口(TCP+UDP)和441端口(TCP+UDP)[1]。
aTrust SPA UDP敲门集群环境使用的IP地址和端口:
控制中心集群IP的TCP和UDP的https端口(默认443端口)。
代理网关集群IP的TCP和UDP的441端口
60
HCI
10.10日
HCI较VMware的优势:
HCI支持条带数根据客户集群中的主机自适应配置(1-12),实现最优的性能效果;VMware支持*默认条带数为1,即vSAN默认不开启条带化效果,只能利用一块SSD缓冲加速能力,无法实现最优的性能效果。
61
atrust
10.11日
aTrust针对移动端下载aTrust客户端的方法如下:
1通过aTrust WEB登录页面扫码下载:
支持从aTrust WEB登录页面,使用手机扫码下载aTrust客户端。
2通过应用商店下载:
安卓用户:可以在小米、华为、荣耀应用商店,或应用宝搜索aTrust下载。
iOS用户:可以在苹果应用商店APP Store中搜索aTrust下载。
62
HCI
10.11日
HCI较VMware的优势:
HCI支持数据本地化(高性能关键特性),而vmware的vSAN无数据本地化能力,无法实现最优的性能效果
63
atrust
10.14日
aTrust的WEB URL黑白名单是指:对于Web应用支持基于更细粒度的URL进行鉴权和应用访问控制。基于URL级的鉴权方式,可以精细化到控制只有某些用户可以访问到某应用系统的管理员后台的URL,而某些用户只能访问到应用系统的前台URL,从一定程度上实现应用系统模块级的鉴权粒度
64
HCI
10.14日
HCI较VMware的优势:
HCI支持数据副本分布支持主机内优先跨磁盘组分布策略,支持磁盘组内优先跨磁盘分布策略,支持优先选择组件剩余容量最多策略,满足数据的最优分布,实现最优的性能效果 (高性能关键特性)VMware不支持数据在主机分布策略不满足最优分布,无法实现最优的性能效果
65
AF
10.15日
AF针对域名解析后的IP进行拦截,需要DNS解析数据经过AF。从AF标准版本8.0.32-8.0.48,永久封锁名单支持封锁域名但暂不支持通配符。低于8.0.32版本,如需通过永久封锁名单封堵域名,建议升级版本至8.0.32及以上。AF标准版本8.0.59-8.0.75(新架构)永久封锁名单暂不支持封锁域名,可用应用控制策略针对域名做拒绝,网络对象中的域名可以使用通配符。从标准版本AF8.0.85开始永久封锁名单支持封锁域名,若要封锁恶意域名,则需要自定义僵尸网络对象,然后在安全策略中引用,否则设备会去解析该域名,造成AF主动访问恶意域名的情况
66
HCI
10.15日
HCI较VMware的优势:
HCI的aSAN支持数据分层技术(高性能关键特性)VMware不支持*采用传统的固定比例缓存分区机制(70%读缓存,30%写缓存),在持续性的读写压力下来时,缓存很容易满,造成性能的波动大
67
全产品交付测试推荐
10.16日
各产品线测试&交付版本推荐,建议大家保存书签
https://support.sangfor.com.cn/productDocument/read?product_id=205&version_id=1064
68
HCI
10.16日
HCI较VMware的优势:
缓存淘汰算法方面,HCI采用数据分层热力图作为缓存淘汰机制,即最久未被访问且访问次数少的数据被淘汰,缓存命中率高,且可以抵御扫描性读操作。而VMware采用传统的LRU算法,即最久未被访问数据被淘汰的机制,无法抵御扫描性读操作,缓存命中率低,无法实现最优的性能效果.
69
AF
10.17日
审计管理员、安全管理员和系统管理员的权限分别如下:
系统管理员:具有基础网络配置、用户管理等其他非安全策略的管理权限。
安全管理员:具有查看和修改安全策略的权限,以及日志查看权限。
审计员:只具有查看和修改内置数据中心的权限。
admin:拥有所有权限
需要注意的是,AF的三权分立账号权限都是默认固定的,无法修改相关权限。如果需要自定义权限,需要创建普通管理员并配置相关权限
70
HCI
10.17
HCI较VMware的优势:
HCI支持链接克隆、快速全量克隆,克隆完成快;VMware支持全量克隆和链接克隆,链接克隆仅支持在CLI页面进行,全量克隆速度慢
71
atrust
10.21日
从标准版本2.3.10开始,aTrust支持销售授权与测试授权混用场景,可以新增测试授权给客户体验新功能,测试授权到期后,不影响原正式授权,无需重新更新测试授权文件。
注:期间测试授权如需取消,需等过期或者开新的测试授权覆盖掉。测试授权跟测试授权是覆盖逻辑,跟销售授权是叠加逻辑。
72
HCI
10.21日
HCI较VMware的优势:
HCI支持存储快照功能,存储快照对虚拟机性能的影响较小*支持定时快照策略、快照定时删除、一致性组快照等,提供完整的数据保护方案;而VMware使用主机虚拟化层快照,创建快照导致性能下降严重*虚拟化快照不支持创建定时快照策略、快照定时删除、一致性组快照功能,数据保护方案不完整。
73
atrust
10.22日
关于aTrust客户端异常的修复:使用客户端自带的环境诊断工具,确定终端环境是否正常以及确认具体崩溃现象。aTrust客户端崩溃闪退一般为两种现象:1、运行aTrust客户端后程序卡死无响应或者直接闪退。2、登录aTrust之后再使用过程中托盘自动消失;
在客户端托盘页面,右下角菜单栏即可下载终端诊断工具,运行诊断工具,在首页体检点击“立即扫描”,工具将会根据内置规则来检查Windows系统、aTrust客户端进程等相关项,判断是否存在异常,若存在异常点击一键修复即可
74
HCI
10.22日
信服云迁移工具(SCMT)的主要功能:
①提供将主机(X86服务器或其他特定虚拟化平台的虚拟机)系统完整迁移到深信服超融合HCI平台上的功能,保障业务平滑稳定迁移。
②提供其他存储系统上的数据迁移至深信服分布式存储EDS的功能,分别可实现对象存储、NFS和CIFS存储内的数据迁移到EDS的对象存储、NFS和CIFS存储。
75
AF
10.23日
AF的SSL解密的作用:用于解密外网访问内网服务器发布的HTTPS业务和内网访问互联网HTTPS网站的数据
AF的SSL解密的原理:
1、解密内网服务器发布的业务需要NGAF导入服务器的证书(包含数字证书和私钥),当用户访 问服务器的业务时,NGAF可以用私钥解密出访问服务器的数据来分析针对服务器的IPS和WAF攻击,根据策略动作对数据进行处理
2、解密访问站点的数据是NAGF充当SSL中间人,一方面冒充服务器与客户端进行SSL握手,同时作为一个SSL客户端又与目标服务器进行另一次SSL握手,通过建立两条SSL连接,解密用户访问服务器的数据并进行保护,主要用于加密的邮件安全、https杀毒、https url过滤、https的上传下载过滤
AF解密模块的功能有保护服务器和保护客户端两种:
1、保护服务器场景,解密用于解密访问指定https服务器的流量,将解密出来的明文数据送到IPS、WAF等功能检测
2、保护客户端场景,主要用于内网用户通过设备上网,解密的是加密邮件和HTTPS数据的流量,将解密的数据送到网关杀毒、IPS策略匹配和url过滤等功能检测
76
HCI
10.23日
SCMT(信服云迁移工具)支持对虚拟机进行P2V和V2V的迁移,共包含点对点迁移、备份迁移、热备迁移三种方式;业务影响时间最短的方式为热备迁移;业务影响时间最长的方式为备份迁移。
77
AF
10.24日
AF开启SSL解密,对设备、业务导致的影响如下:
1、AF开启SSL解密功能,会消耗设备性能,造成一定的压力
2、如AF 的SSL解密导的证书有问题,配置解密不成功的话,会导致需要解密的服务器直接访问不到,配置正常不会影响正常业务
3、如AF的SSL解密配置正常,AF能正常识别内网加密服务器访问的数据流,如AF检测到业务数据中涉及到一些攻击行为,可能会出现拦截正常业务情况
综上情况考虑,AF配置SSL 解密建议业务空闲时操作
78
HCI
10.24日
迁移工具支持在线增量迁移,迁移过程业务正常提供服务,业务切换过程热备迁移虚拟机中断时间仅为1分钟以内,点对点虚拟机中断时间为3分钟;
79
AF
10.25日
公有云平台、VMware平台、CSSP/XSec平台、HCI以虚拟机方式部署的VAF支持解密模块,HCI平台以模板部署的老架构(AF8.0.48及之前的)VAF不支持解密模块,从新架构(AF8.0.81或AF8.0.86)VAF支持解密模块
注意:VAF内存需要是4G及以上支持解密功能
80
HCI
10.25日
SCMT工具支持迁移的文件系统格式:ext2、ext3、ext4、xfs、FAT、FAT32、NTFS、Refs;支持的文件设备格式:lvm、GPT、MBR、动态卷、跨区卷、带区卷
81
AF
10.28日
AF的本机DoS防护功能主要防护针对NGAF设备本身的端口扫描、DoS/DDoS攻击,避免因NGAF被攻击导致网络、业务异常;AF的防DoS/DDoS攻击功能可以按攻击方向分为“外网对内网攻击防护策略”和“内网对外网攻击防护策略”两个部分,既可以防止外网对内网的DoS攻击,也可以阻止内网的机器中毒或使用攻击工具发起的DoS攻击
82
HCI
10.28日
SCMT的迁移目的位置仅支持HCI。迁移过程中,要求源端到服务端所在的HCI平台之间网络延迟在50ms以内,丢包率在5%以内;目标端使用深信服HCI进行对接时,要求SCMT工具可以访问HCI平台集群IP的443端口;迁移过程中推荐使用万兆网络进行迁移。
83
AF
10.29日
AF DOS防护策略中块不建议开启功能:
1、【端口扫描】和【IP扫描】默认不开启,可根据实际情况来判断是否需要开启:由于 【端口扫描】和【IP扫描模块】可设置最大阈值(packet/s)是4000,一旦匹配即自动除非联动封锁。避免DOS攻击误判影响业务,如本身网络业务流量比较大,不建议开启端口扫描和IP扫描
2、【IP数据块分片传输防护】不建议开启:正常业务的数据包也有可能会分片,DoS/DDoS防护开启【IP数据块分片传输防护】可能会引起误判,且策略动作设置为拒绝时,检测到IP分片传输则认为是攻击即进行拦截,影响正常业务,非特殊业务场景,不建议勾选此项
84
HCI
10.29日
VMware至HCI的迁移可以通过SCP纳管的方式进行,亦可通过SCMT工具进行免代理或有代理迁移,免代理无需在源虚拟机安装迁移插件,但迁移稳定性差。有代理迁移需要在源虚拟机安装插件,但迁移稳定性高。另:安装/卸载迁移插件不会导致虚拟机重启,对业务无影响。
85
AF
10.30日
软件BYPASS功能:是指的AF的直通策略,开启直通后AF上的所有安全策略和控制策略不再生效
硬件BYPASS功能:
1、接口BYPASS:当BYPSS口做业务口传输时,在设备关机的时候,自动连通两个BYPASS口跳过设备,通过BYPASS口直接转发数据,所有设置都不生效,包含电口BYPSS功能和光口BYPSS功能
2、强制BYPASS开关:在硬件设备面板可看到开关按钮,可在设备上强制打开BYPASS功能,数据传输直接跳过设备检测,设备相当一根网线传输数据,所有设置都不生效;AUTO是自动BYPASS,ENFORCE是强制BYPAS;默认值是在auto一边,强制bypass可以把开关打到enforce
注意事项:
1、接口BYPASS只有在二层部署下才可以实现BYPASS功能,即透明模式和虚拟网线模式才生效,路由模式不生效
2、设备强制BYPASS若设备是路由部署会导致断网,谨慎操作;若设备是透明或虚拟网线部署不影响业务
86
VDC
10.30日
修改VMP序列号:不影响业务,可以直接在界面进行修改或更新。
修改VDC序列号:
VDI 5.5.0之前:会导致VDI服务重启,在线用户会掉线,重启VDI服务时间大约为1分钟。
VDI 5.5.0及之后:修改VDC序列号不影响业务,不会导致用户掉线。
升级序列号:不影响业务。
对于VDI+HCI二合一场景,即从VDC 5.6.0版本开始,VDC更新授权也不影响业务
87
AF
10.31日
AF BYPASS包含如下两种场景:
电口BYPASS:用于保护AF设备在运行过程中出现故障时,如电源异常掉电、硬件故障等,将AF设备旁路绕过而保证网络不受影响
光口BYPASS:光Bypass是一种光路控制设备,可用于保护设备在出现故障(电源中断、硬件故障、软件死锁等)时,将被保护的设备旁路绕过此节点而保证网络不受影响。
88
授权
10.31日
从5.6.0版本开始,VDC授权模式从USB-KEY授权与acenter授权切换为云图授权与SCP授权,不再支持USB-KEY与aCenter授权模式;虚拟化平台从VMP切换为HCI,销售设备HCI不再支持USB-KEY和acenter授权,以vKEY授权替代。升级至二合一架构后,原有授权将失效,设备将提供30天宽限期,保证现有业务不受影响,需要在30天内完成现有授权退换货切换为云图授权或SCP授权并完成重新授权;退换货流程联系原厂售后或者原厂销售。
89
AF
11.4日
SNMP用于支持其他网管设备或软件用SNMP方式来管理和查看深信服设备的相关信息,如接口状态、接口流量、路由等系统相关信息,方便用户集中管理、维护、监控网络。
AF设备从标准版本AF1.0版本开始支持SNMP协议,AF的SNMP支持V1、V2、V3版本,支持SNMPV1/V2、SNMPV3、SNMP TRAP类型。
90
HCI
11.4日
配置超融合上的物理镜像口方法(设备重启失效):适用于在HCI6.8.0之后版本上部署软探针,需要将外部流量镜像给软探针场景。
1、进入容器模式:container_exec -n vn-agent -c bash
2、输入命令:cli
3、进入特权模式:con t
4、dvswitch def_bvs_ethX/channelX
5、flood enable开启接口泛洪
6、quit退出当前模式
7、查看接口泛洪开启状态:do show dvswitch def_bvs_ethX/channelX
8、再找到拓扑界面上的物理出口的 ID,同样进去开启 flood 模式
9、bvswitch 物理出口ID
91
AF
11.5日
AF的OID值代表设备的各种状态信息,通过SNMP协议监控AF的OID数值来源于SNMP协议。SNMP主要包括管理信息库(MIB)、管理信息结构(SMI)及SNMP报文协议。任何一个被管理的资源都表示成一个对象,称为被管理的对象。MIB是被管理对象的集合。它定义了被管理对象的一系列属性:对象的名称、对象的访问权限和对象的数据类型等。每个SNMP设备(Agent)都有自己的MIB。MIB也可以看作是NMS(网管系统)和Agent之间的沟通桥梁。MIB文件中的变量使用的名字取自ISO和ITU管理的对象标识符(object identifier)名字空间。对象标识符OID,唯一标识一个MIB对象;可以在[SNMP]界面,直接下载设备MIB库
92
aDesk
11.5日
aDesk由老版本升级至二合一版本后,其虚拟存储的容量使用阈值将由95%降低至85%,此项配置有可能导致升级后虚拟机使用卡顿,如老版本的容量比低于6%,则建议对缓存盘进行扩容,临时解决方案为联系研发将容量使用阈值回调至95%。
93
AF
11.6日
AF的SNMP支持SNMP V1/V2、SNMPV3、SNMP TRAP,三种类型方式的应用区别如下:
SNMP V1/V2:用于设置允许其他设备通过SNMP V1/V2协议连接设备,并约定连接参数。
SNMP V3:用于设置当以SNMP V3版本通讯时,需要设置的一些高级扩展选项(在V1/V2的基础加密)
SNMP Trap:功能用于主动发送SNMP信息到管理端,以方便管理员实时监控AF的运行状态。
注意:SNMP V1/V2、SNMPV3是使用的161端口传递消息,SNMP TRAP使用的162端口传递消息
94
aDesk
11.6日
如果HCI没有网络虚拟化(aNET)的授权,会对系统产生以下影响:
网络拓扑编辑:仍然支持编辑网络拓扑。
虚拟路由器:只能使用1个虚拟路由器。
虚拟交换机:只能使用2个虚拟交换机。
如用户对于虚拟路由器和虚拟交换机使用有要求,则需增购网络虚拟化授权,有了网络虚拟化(aNET)授权后,虚拟交换机和虚拟路由器的数量将受序列号限制。
95
atrust
11.7日
aTrust集群环境部署中,授权数是共享的。具体的授权规则如下:
Proxy无并发授权。
控制中心/综合网关集群授权规则:
场景1:A控制中心并发授权200,模块为普通级,UEM授权100;B控制中心并发授权为500,模块为增强级,UEM授权0。则集群授权并发授权为700,模块为普通级,UEM授权100。
场景2:A控制中心并发授权为300,模块为普通级,UEM授权100;B控制中心并发授权为400,模块为普通级,UEM授权100。则集群授权并发授权为700,模块为普通级,UEM授权200。
注意事项:
不支持测试授权设备与销售授权设备组建集群。
集群下,如果有主机宕机,集群授权会维持1个月,一个月后,恢复为单机授权
96
HCI
11.7日
Vxlan开启高性能模式会将HCI主机网口的MTU设置为1600字节,这样VXLAN封装的数据发到物理网络时,不会进行分片,能显著提升虚拟网络转发性能。同步需要设置交换机接口的MTU为1600以上(信锐交换机设置为2000)。Vxkan网络同其他网络平面复用场景下,亦可开启网口高性能模式,以提升网络性能。另开启Vxlan高性能模式在HCI控制台操作,关闭高性能模式需要进入HCI后台操作。
97
atrust
11.8日
aTrust用户接入授权占用情况如下:
电脑端:
1、电脑端非沙箱用户以及atrust app用户接入占用并发授权;
2、电脑端沙箱用户会占用一个并发授权+UEM标准版授权。
移动端:
1、标准版本2.3.10及以下版本,aTrust移动端封装应用用户会占用一个并发授权+UEM移动版授权;
2、从标准版本2.4.10开始,aTrust移动端应用封装 【应用数据安全能力】不勾选这个功能,就只占用接入授权;勾选了 【应用数据安全能力】这个功能会占用一个并发授权+uem移动版授权。
注意事项:
1、若封装应用为以aTrustapp为主应用的子应用封装,封装时默认选择数据安全能力,并且不支持取消;
2、若封装应用为独立封装应用或者以其他应用为主应用的子应用封装,封装时可以选择取消数据安全能力
98
aDesk
11.8日
VDI5.5.6R1及之前版本:
派生虚拟机的系统盘和个人盘可以在新派生虚拟机时选择存储在不同的存储上。
可以通过VDC控制台进行设置:进入[VDI设置]-[资源管理]-[新建]-[独享桌面]-[新建],然后分别选择系统盘存储位置和个人磁盘位置即可。
VDI+HCI二合一版本及VDI5.6.0版本开始:
桌面云派生虚拟机的系统盘和个人盘不支持存放在不同存储上
如果确实需要将一个虚拟机的不同磁盘分布在不同的存储上,可以通过裸磁盘映射的方式来实现。通过这种方式,可以将外置存储的磁盘或者服务器上的其他物理磁盘映射给虚拟机,从而实现虚拟机不同磁盘在不同存储上的效果

打赏鼓励作者,期待更多好文!

打赏
6人已打赏

韩_鹏 发表于 2024-11-7 08:59
  
感谢分享                                       
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
干货满满
技术笔记
【 社区to talk】
每日一问
信服课堂视频
GIF动图学习
新版本体验
2023技术争霸赛专题
技术咨询
功能体验
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
升级&主动服务
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
高频问题集锦
社区新周刊
POC测试案例
全能先锋系列
云化安全能力

本版版主

47
14
0

发帖

粉丝

关注

62
24
2

发帖

粉丝

关注

6
2
0

发帖

粉丝

关注

本版达人