巡检大全1.0
1、巡检准备: 下载纪元平台最新版本 纪元平台使用说明 https://bbs.sangfor.com.cn/plugin.php?id=sangfor_databases:index&mod=viewdatabase&tid=150423 纪元平台内设备规则库最新版本 不同设备巡检使用的端口以及设备如何开启远程端口给巡检工具(重点51111端口) 设备的用户名和密码
巡检前: 将纪元平台的登录有效期修改为1个小时以上。 掌握不同的登录纪元平台的方法,包括离线巡检(扫码获取授权码)。 检查巡检工具的巡检端口和AD控制台登录端口、SSH远程端口是否一致。 根据实际情况,开启LAN或者WAN口和纪元平台对接 不同版本的设备巡检时候端口不一致,根据不同的版本开启巡检使用的端口。 巡检产品的插件库是最新的,否则无法巡检。
巡检中: 对设备的CPU、内存、硬盘等进行检查。 对设备的业务使用状态、规则库等进行检查 使用巡检工具对设备进行巡检,根据巡检报告进行逐一检查 根据巡检需求对照巡检报告进行检查
巡检后: 根据纪元平台的巡检报告,进行对比,形成巡检文档。 按照纪元平台给出的建议和客户真实需求,解决告警或者异常。 假如有需要补丁包修复的,现场不要直接修复,要走变更流程。
注意:升级时候,需要查看版本信息,appversion。若版本信息中带有KB包、customs字段等,不能直接升级,请联系人工. 注意:有时候巡检结果不提示打补丁包,需要到控制台patch_info或者后台 cat /app/jg_patches_info 查看补丁包版本信息,确认补丁包是否打上。
2、不同设备的巡检方法2.1、常用巡检端口 ssh维护端口:22345 ssh命令行端口:22 设备管理端口:根据域名后面的端口对应即可。
巡检查看的设备参数:CPU 内存 硬盘使用率 版本补丁在哪看-----找不到就打补丁包,一般在升级界面能看到
如果存在以下3种情况,都会导致巡检报告解析异常,状态描述和改进意见内容为空 1、双机/集群环境,ssh维护端口号为22346 2、双机/集群环境,客户密码包含特殊字符叹号!单引号'双引号" 3、双机/集群环境,主备机心跳口故障,导致无法连通
2.2、AD巡检 1、AD普通版本5.4及以上版本支持aCheck巡检;信创版本支持:7.0.8ZX、7.0.8FT、7.0.8R6FT;SSL安全网关版本支持:M7.4.2、M7.4.3 2、AD主备/集群模式下不需要退出双机,巡检主机/主控,可同时把备机/备控一并进行巡检,并回传结果生成报告 3、AD7.0.21版本开始,备机业务口支持登录控制台以及巡检,网口下需要配置静态IP分别给AD主备两台设备使用 4、AD7.0.8R4之前巡检需要保障到AD的TCP443(控制台端口)、51111端口是通信的,7.0.8R4及之后关闭了51111端口,保证到AD的443和22345端口是通的即可;若有更改控制台端口,可以手动指定更改后的端口进行巡检。 开启22345端口步骤: 系统配置里面---用户配置---角色----guest角色,开启SSH端口。 开启51111端口步骤: 直接下载51111端口的包,然后进web接口版本升级即可。 假如51111端口包,升级失败,可以在AD的后台用命令/etc/init.d/updateme start 开启端口51111 查看打包信息:控制台:patch_info 后台: cat /app/jg_patches_info 查看补丁包版本信息 cd /etc/sinfor/ad/app 然后ls -l
2.3、SSL-VPN巡检 SSL登录默认IP: 10.254.254.254 :4430 10.254.253.254 :4430, 巡检是开启远程端口51111。 单台SSL-VPN巡检正常开启51111端口即可,开启步骤系统设置---系统配置---运维配置中,打开启动LAN临时访问。 客户两台VPN做集群,巡检的时候,先对分发器的VPN做巡检,假如不知道,则对真实服务器巡检的时候,端口检测的时候,会提示端口检测失败,51111端口没有开启。这是因为VPN默认是开启51111端口,但是VPN做集群的时候,只有分发器是默认开启51111端口,真实服务器被分发器纳管,所以提示端口检测失败,这个时候需要登录到分发器的控制台界面,再系统设置---系统配置---运维配置中,打开启动LAN临时访问,然后保存。(注意:登录到真实服务器上开启是无法保存的,因为被分发器纳管。)。然后再重新检测端口,重新巡检。巡检后,临时端口会自动关闭。
2.4、AF巡检 默认登录IP: 10.251.251.251 : 443 端口443(控制台)和51111(ssh端口) 从标准版本AF8.0.59开始,acheck巡检和升级AF只用到控制台端口(443端口),无需开启SSH,与51111端口无关,可关闭【动态验证码】再进行连接:在【系统】-【通用配置】-【控制台配置】关闭 注意:AF8.0.51暂时不支持巡检,若需巡检需要先升级设备版本至标准版本8.0.59及以上。 开启ssh端口,需要在网络接口中开启,仅三层部署,假如是二层部署,透明模式下,需要在设备登录的区域开启SSH。; 主备环境下,需在主控设备开启SSH即可,备控设备会自动同步。 2.5、AC巡检 默认登录IP:eth0 (LAN口)10.251.251.251 : 443 eth1默认地址(DMZ口):10.252.252.252 eth2默认地址(WAN口):200.200.67.163/24 (需开启远程维护)设备启用了远程维护的情况下才可以通过该地址登录设备,如果需要登录设备,请使用eth0或者eth1口访问) eth0默认子接口地址:128.127.125.252/255.255.255.248(设备修改部署模式,子接口在对应的lan口或者网桥口) eth1默认地址(DMZ口):10.252.252.252/255.255.255.0 eth1默认子接口地址:128.128.125.252/255.255.255.248(设备修改部署模式,子接口在对应的dmz口) 注意:如果登录修改过的话是使用修改后的地址,忘记登录地址可以尝试使用子接口地址登录 需要开启51111(升级端口)和22345(接入端口)端口,然后进行巡检,开启方法【系统管理】-【高级配置】页面,选择<系统维护>,在“升级维护”模块选择<启用LAN访问>或者ssh登录模块。 如果需要通过公网进行巡检,需要开启443远程维护端口,再系统配置里面。 巡检的时候选择SG巡检。
2.6、HCI 巡检 (支持纪元平台和aDeploy巡检) 需要开启22端口,可以通过HCI或者SCP进行巡检 1、HCI开启22端口,
方法1:登录HCI控制台-【系统管理】-【端口管理】-启用SSH端口。 方法2、 在管理--服务与下载--远程协助 点击开启远程协助即可开启SSH,此方法需要587R1及之后版本才有 方法3、管理--高可用(HA)与资源调度配置--系统参数 将禁用SSH取消勾选保存即可,587R1之前的版本以及老的护网补丁需要在此处开启 方法4、未在前面两个方法的可以在【管理】--【补丁升级】--【SSH开关】。 2、SCP开启22端口 方法一:【系统维护与升级】-【远程维护】-开启【SSH端口】 方法二:【管理】-【系统维护】-【服务与支持】-【远程协助】界面,点击【开启ssh端口】 方法三:【产品与服务】-【管理】-【系统维护与升级】-【远程维护】,点击【开启ssh端口】 SCP6.3.0 以前的版本用户名为 root,SCP6.3.0 及之后版本后台用户名为sysadm SSH端口: SCP6.1.0 以前的版本SSH端口为 22,SCP6.1.0 及之后版本SSH端口为 22345 密码:SCP web控制台密码 巡检之前需要先开启ssh端口, 2.7、EDR巡检 acheck支持EDR 3.2.13以上版本。截止最新版本EDR3.5.30,EDR自身暂不支持巡检,也不支持自动巡检,可以使用acheck工具对EDR进行巡检 。 保证控制台端口和ssh端口开启,步骤:【系统管理】-【系统设置】-【网络设置】-【SSH服务设置】勾选开启。
注意: 1、EDR3.2.17及之后的版本是admin账号控制台密码巡检,其他PKG离线安装包部署或者老版本使用的是后台root帐号的密码巡检;如果修改了默认admin账户名,巡检还是用admin的名称 2、EDR 进行acheck巡检不会影响业务。
2.8、SIP巡检 网页巡检和acheck巡检 1、网页巡检 SIP从标准版本SIP3.0.7开始支持系统检测功能。以标准版本SIP3.0.35操作路径为例,在设备控制台界面右上角【admin】-【系统设置】-【系统维护】-【系统检测】中可以检测平台配置和探针配置是否完善。
2、acheck巡检 SIP巡检使用acheck工具v,需要打开SIP的SSH端口,路径为:【系统设置】-【通用设置】临时开启SSH。 SIP打包可界面直接打,【系统设置】-【升级管理】-【补丁升级】导入补丁包升级即可,补丁包可在acheck的补丁包管理页面获取
2.9、adesk巡检 采用智能交付工具巡检(aDesk_tools),也可以采用新版4.2.7纪元平台(aCheck升级版)巡检。通过工具巡检之前需分别开启对应平台的端口,VDC 和VMP的巡检端口均为22号端口. 巡检注意事项: 1、桌面云设备巡检一般不会影响业务,但是为了安全起见,建议选择在非业务时间段进行操作,如巡检完之后涉及升级打包操作,请务必先确认补丁包的影响 2、巡检可以不需要联网,但如果巡检工具版本不是最新的话就需要联网更新 3、巡检完之后会自动生成word格式的巡检报告 4、桌面云智能交付工具只能巡检x86的桌面云,如果是ARM的需要下载【HCI智能交付工具】 5、如果使用纪元平台巡检桌面云。需要先登录纪元平台-高级功能-工具箱-常用工具先下载且安装aDesk_Tools后再执行启动。否则会提示未找到巡检插件 VMP开启SSH(22)端口: 标准版本VDI5.4.5之前VMP默认开启SSH端口。从标准版本VDI5.4.5开始可以登录VMP控制台【管理】页面下,找到授权与服务,点击【服务与支持】页面下点击【开启SSH端口】 VDC开启SSH(22)端口: 1、标准版本VDI5.3.2之前需要转人工协调工程师后台开启 2、标准版本VDI5.3.2-5.4.5之前开启VDC的SSH端口登录VDC控制台在【系统维护】-【系统排障】命令控制台中输入sshftp启用 3、标准版本VDI5.4.5开始开启VDC的SSH端口登录VDC控制台在【系统配置】-【运维配置】-【ssh维护】勾选启用即可
默认IP: VDS(VMP)一体机eth0默认IP:10.254.254.10/24 VDC LAN(eth0)口默认IP:10.254.254.254/24,DMZ(eth1)口默认IP:10.254.253.254/24 LAN口(eth0)保留IP:10.111.222.33/30 ,使用保留IP地址登录时,用于登录的物理PC的IP需配置为:10.111.222.34/30 备注:VDS(VMP)没有保留地址,只有eth0口有默认IP,其他网口没有 登录方式: VMP:https://设备IP VDC:https://设备IP:4430 默认密码: VMP和VDC默认用户名/密码:admin/admin
2.10、atrust巡检 aTrust2.1.2及以上的版本均支持使用纪元平台巡检和控制台巡检,推荐使用纪元平台巡检,需要在设备先启用纪元平台巡检授权; 具体配置路径:【系统管理】-【系统运维】-【设备巡检】-【acheck巡检】页面中点击开启纪元平台巡检授权,巡检的时候填写的登录密码是aTrust设备上的授权码,授权开启后2小时内有效。 acheck里面的登录密码是在atrust的巡检界面的密钥,而不是用户登录密码。 aTrust设备巡检端口为22。 可以登陆aTrust控制台,在【系统管理】-【系统配置】-【通用配置】-【控制台选项】-【远程维护】里勾选启用远程维护(SSH),SSH默认使用22端口,可以进行修改,但是修改的SSH端口不能与WEB应用的前端访问地址端口冲突。 SSH端口启用后1小时关闭,但是不影响存在的连接。 2.11、STA巡检 从标准版本STA3.0.24开始,可以使用acheck一键巡检工具对探针进行巡检; 以标准版本STA3.0.29版本为例,STA通过ACHECK巡检需要开启系统升级和SSH后台,能通信设备的TCP51111端口和22345端口,系统升级在【系统】-【系统配置】-【系统升级】进行启用,SSH在【系统】-【系统配置】-【控制台配置】进行开启
2.12、BBC巡检 BBC巡检没有巡检脚本,BBC 2.5.x版本支持纪元平台(aCheck)巡检。BBC巡检采用22端口,需要登录BBC控制台【管理】-【系统设置】-【安全设置】启用后台接入即可 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2023-10-9 18:08
发表于 2023-10-10 17:03
工程师3级 
