×

新手719320 发表于 2024-1-21 12:29
  
感谢分享,有助于工作,学习学习
常见产品巡检
  

sangfor_水 38363人觉得有帮助

{{ttag.title}}
      巡检大全1.0
1、巡检准备:
下载纪元平台最新版本
纪元平台使用说明
https://bbs.sangfor.com.cn/plugin.php?id=sangfor_databases:index&mod=viewdatabase&tid=150423
纪元平台内设备规则库最新版本
不同设备巡检使用的端口以及设备如何开启远程端口给巡检工具(重点51111端口)
设备的用户名和密码

巡检前:
将纪元平台的登录有效期修改为1个小时以上。
掌握不同的登录纪元平台的方法,包括离线巡检(扫码获取授权码)
检查巡检工具的巡检端口和AD控制台登录端口、SSH远程端口是否一致。
根据实际情况,开启LAN或者WAN口和纪元平台对接
不同版本的设备巡检时候端口不一致,根据不同的版本开启巡检使用的端口。
巡检产品的插件库是最新的,否则无法巡检。

巡检中:
对设备的CPU、内存、硬盘等进行检查。
对设备的业务使用状态、规则库等进行检查
使用巡检工具对设备进行巡检,根据巡检报告进行逐一检查
根据巡检需求对照巡检报告进行检查

巡检后:
根据纪元平台的巡检报告,进行对比,形成巡检文档。
按照纪元平台给出的建议和客户真实需求,解决告警或者异常。
假如有需要补丁包修复的,现场不要直接修复,要走变更流程。

注意:升级时候,需要查看版本信息,appversion。若版本信息中带有KB包、customs字段等,不能直接升级,请联系人工.
注意:有时候巡检结果不提示打补丁包,需要到控制台patch_info或者后台              cat /app/jg_patches_info  查看补丁包版本信息,确认补丁包是否打上。

2、不同设备的巡检方法
2.1、常用巡检端口
ssh维护端口:22345
ssh命令行端口:22
设备管理端口:根据域名后面的端口对应即可。

巡检查看的设备参数:CPU  内存  硬盘使用率     
版本补丁在哪看-----找不到就打补丁包,一般在升级界面能看到

如果存在以下3种情况,都会导致巡检报告解析异常,状态描述和改进意见内容为空
1、双机/集群环境,ssh维护端口号为22346
2、双机/集群环境,客户密码包含特殊字符叹号!单引号'双引号"
3、双机/集群环境,主备机心跳口故障,导致无法连通

2.2AD巡检
1AD普通版本5.4及以上版本支持aCheck巡检;信创版本支持:7.0.8ZX7.0.8FT7.0.8R6FTSSL安全网关版本支持:M7.4.2M7.4.3
2AD主备/集群模式下不需要退出双机,巡检主机/主控,可同时把备机/备控一并进行巡检,并回传结果生成报告
3AD7.0.21版本开始,备机业务口支持登录控制台以及巡检,网口下需要配置静态IP分别给AD主备两台设备使用
4AD7.0.8R4之前巡检需要保障到ADTCP443(控制台端口)、51111端口是通信的,7.0.8R4及之后关闭了51111端口,保证到AD44322345端口是通的即可;若有更改控制台端口,可以手动指定更改后的端口进行巡检
开启22345端口步骤: 系统配置里面---用户配置---角色----guest角色,开启SSH端口。
开启51111端口步骤: 直接下载51111端口的包,然后进web接口版本升级即可。
假如51111端口包,升级失败,可以在AD的后台用命令/etc/init.d/updateme start 开启端口51111
查看打包信息:控制台:patch_info
      后台: cat  /app/jg_patches_info  查看补丁包版本信息
             cd  /etc/sinfor/ad/app   然后ls -l

                     



2.3SSL-VPN巡检
SSL登录默认IP10.254.254.254 4430
10.254.253.254 4430,   巡检是开启远程端口51111
    单台SSL-VPN巡检正常开启51111端口即可,开启步骤系统设置---系统配置---运维配置中,打开启动LAN临时访问。
客户两台VPN做集群,巡检的时候,先对分发器的VPN做巡检,假如不知道,则对真实服务器巡检的时候,端口检测的时候,会提示端口检测失败,51111端口没有开启。这是因为VPN默认是开启51111端口,但是VPN做集群的时候,只有分发器是默认开启51111端口,真实服务器被分发器纳管,所以提示端口检测失败,这个时候需要登录到分发器的控制台界面,再系统设置---系统配置---运维配置中,打开启动LAN临时访问,然后保存。(注意:登录到真实服务器上开启是无法保存的,因为被分发器纳管。)。然后再重新检测端口,重新巡检。巡检后,临时端口会自动关闭。



2.4AF巡检
默认登录IP10.251.251.251 443
端口443(控制台)51111(ssh端口)
从标准版本AF8.0.59开始,acheck巡检和升级AF只用到控制台端口(443端口),无需开启SSH,与51111端口无关,可关闭【动态验证码】再进行连接:在【系统】-【通用配置】-【控制台配置】关闭
注意:AF8.0.51暂时不支持巡检,若需巡检需要先升级设备版本至标准版本8.0.59及以
开启ssh端口,需要在网络接口中开启,仅三层部署,假如是二层部署,透明模式下,需要在设备登录的区域开启SSH;
主备环境下,需在主控设备开启SSH即可,备控设备会自动同步。
2.5AC巡检
默认登录IPeth0  (LAN)10.251.251.251  443
eth1默认地址(DMZ口):10.252.252.252
eth2默认地址(WAN口):200.200.67.163/24 (需开启远程维护)设备启用了远程维护的情况下才可以通过该地址登录设备,如果需要登录设备,请使用eth0或者eth1口访问)
eth0默认子接口地址:128.127.125.252/255.255.255.248(设备修改部署模式,子接口在对应的lan口或者网桥口)
eth1默认地址(DMZ口):10.252.252.252/255.255.255.0
eth1默认子接口地址:128.128.125.252/255.255.255.248(设备修改部署模式,子接口在对应的dmz口)
注意:如果登录修改过的话是使用修改后的地址,忘记登录地址可以尝试使用子接口地址登录
需要开启51111(升级端口)22345(接入端口)端口,然后进行巡检,开启方法【系统管理】-【高级配置】页面,选择<系统维护>,在“升级维护”模块选择<启用LAN访问>或者ssh登录模块。
如果需要通过公网进行巡检,需要开启443远程维护端口,再系统配置里面。
巡检的时候选择SG巡检。


2.6HCI 巡检  (支持纪元平台和aDeploy巡检)
需要开启22端口,可以通过HCI或者SCP进行巡检
1HCI开启22端口,
        方法1:登录HCI控制台-【系统管理】-【端口管理】-启用SSH端口。
方法2、 在管理--服务与下载--远程协助 点击开启远程协助即可开启SSH,此方法需要587R1及之后版本才有
方法3、管理--高可用(HA)与资源调度配置--系统参数 将禁用SSH取消勾选保存即可,587R1之前的版本以及老的护网补丁需要在此处开启
方法4、未在前面两个方法的可以在【管理】--【补丁升级】--SSH开关】
2、SCP开启22端口
方法一:【系统维护与升级】-【远程维护】-开启【SSH端口】
方法二:【管理】-【系统维护】-【服务与支持】-【远程协助】界面,点击【开启ssh端口】
方法三:【产品与服务】-【管理】-【系统维护与升级】-【远程维护】,点击【开启ssh端口】
SCP6.3.0 以前的版本用户名为 rootSCP6.3.0 及之后版本后台用户名为sysadm
SSH端口:
SCP6.1.0 以前的版本SSH端口为 22SCP6.1.0 及之后版本SSH端口为 22345
密码:SCP web控制台密码
巡检之前需要先开启ssh端口,
2.7EDR巡检
acheck支持EDR 3.2.13以上版本。截止最新版本EDR3.5.30EDR自身暂不支持巡检,也不支持自动巡检,可以使用acheck工具对EDR进行巡检 。
保证控制台端口和ssh端口开启,步骤:【系统管理】-【系统设置】-【网络设置】-SSH服务设置】勾选开启。

注意:
1EDR3.2.17及之后的版本是admin账号控制台密码巡检,其他PKG离线安装包部署或者老版本使用的是后台root帐号的密码巡检;如果修改了默认admin账户名,巡检还是用admin的名称
2EDR 进行acheck巡检不会影响业务。

2.8SIP巡检
网页巡检和acheck巡检
1、网页巡检
SIP从标准版本SIP3.0.7开始支持系统检测功能。以标准版本SIP3.0.35操作路径为例,在设备控制台界面右上角【admin】-【系统设置】-【系统维护】-【系统检测】中可以检测平台配置和探针配置是否完善。

    2acheck巡检
SIP巡检使用acheck工具v,需要打开SIP的SSH端口,路径为:【系统设置】-【通用设置】临时开启SSH。
SIP打包可界面直接打,【系统设置】-【升级管理】-【补丁升级】导入补丁包升级即可,补丁包可在acheck的补丁包管理页面获取

2.9adesk巡检
采用智能交付工具巡检(aDesk_tools),也可以采用新版4.2.7纪元平台(aCheck升级版)巡检。通过工具巡检之前需分别开启对应平台的端口,VDC VMP的巡检端口均为22号端口.
巡检注意事项:
1、桌面云设备巡检一般不会影响业务,但是为了安全起见,建议选择在非业务时间段进行操作,如巡检完之后涉及升级打包操作,请务必先确认补丁包的影响
2、巡检可以不需要联网,但如果巡检工具版本不是最新的话就需要联网更新
3、巡检完之后会自动生成word格式的巡检报告
4、桌面云智能交付工具只能巡检x86的桌面云,如果是ARM的需要下载【HCI智能交付工具】
5如果使用纪元平台巡检桌面云。需要先登录纪元平台-高级功能-工具箱-常用工具先下载且安装aDesk_Tools后再执行启动。否则会提示未找到巡检插件
VMP开启SSH22)端口:
标准版本VDI5.4.5之前VMP默认开启SSH端口。从标准版本VDI5.4.5开始可以登录VMP控制台【管理】页面下,找到授权与服务,点击【服务与支持】页面下点击【开启SSH端口】
VDC开启SSH22)端口:
1、标准版本VDI5.3.2之前需要转人工协调工程师后台开启
2、标准版本VDI5.3.2-5.4.5之前开启VDCSSH端口登录VDC控制台在【系统维护】-【系统排障】命令控制台中输入sshftp启用
3、标准版本VDI5.4.5开始开启VDCSSH端口登录VDC控制台在【系统配置】-【运维配置】-ssh维护】勾选启用即可

默认IP
VDSVMP)一体机eth0默认IP10.254.254.10/24
VDC LANeth0)口默认IP10.254.254.254/24DMZeth1)口默认IP10.254.253.254/24
LAN口(eth0)保留IP10.111.222.33/30  ,使用保留IP地址登录时,用于登录的物理PCIP需配置为:10.111.222.34/30
备注:VDSVMP)没有保留地址,只有eth0口有默认IP,其他网口没有
登录方式:
VMPhttps://设备IP
VDChttps://设备IP:4430
默认密码:
VMPVDC默认用户名/密码:admin/admin

2.10atrust巡检
aTrust2.1.2及以上的版本均支持使用纪元平台巡检和控制台巡检,推荐使用纪元平台巡检,需要在设备先启用纪元平台巡检授权;
具体配置路径:【系统管理】-【系统运维】-【设备巡检】-acheck巡检】页面中点击开启纪元平台巡检授权,巡检的时候填写的登录密码是aTrust设备上的授权码,授权开启后2小时内有效。
acheck里面的登录密码是在atrust的巡检界面的密钥,而不是用户登录密码。
aTrust设备巡检端口为22
可以登陆aTrust控制台,在【系统管理】-【系统配置】-【通用配置】-【控制台选项】-【远程维护】里勾选启用远程维护(SSH),SSH默认使用22端口,可以进行修改,但是修改的SSH端口不能与WEB应用的前端访问地址端口冲突。
   SSH端口启用后1小时关闭,但是不影响存在的连接。
2.11STA巡检
从标准版本STA3.0.24开始,可以使用acheck一键巡检工具对探针进行巡检;
以标准版本STA3.0.29版本为例,STA通过ACHECK巡检需要开启系统升级和SSH后台,能通信设备的TCP51111端口和22345端口,系统升级在【系统】-【系统配置】-【系统升级】进行启用,SSH在【系统】-【系统配置】-【控制台配置】进行开启

2.12BBC巡检
BBC巡检没有巡检脚本,BBC 2.5.x版本支持纪元平台(aCheck)巡检。BBC巡检采用22端口,需要登录BBC控制台【管理】-【系统设置】-【安全设置】启用后台接入即可

打赏鼓励作者,期待更多好文!

打赏
3人已打赏

发表新帖
热门标签
全部标签>
安全效果
西北区每日一问
技术盲盒
干货满满
【 社区to talk】
技术笔记
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
2023技术争霸赛专题
功能体验
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
升级&主动服务
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
高频问题集锦
社区新周刊
POC测试案例
全能先锋系列
云化安全能力

本版版主

10
17
3

发帖

粉丝

关注

124
74
30

发帖

粉丝

关注

26
8
0

发帖

粉丝

关注

70
36
1

发帖

粉丝

关注

6
14
0

发帖

粉丝

关注

18
10
5

发帖

粉丝

关注

本版达人