神州云科

YunkeChina

YK-ADCI5000S產品

用戶操作手冊

北京神州數碼云科信息技術有限公司

目錄

第一章引言6

第二章產品簡介7

2.1產品平臺7

2.2產品部署7

2.2.1單臂部署模式7

2.2.2雙臂部署模式8

2.2.3雙機冗余部署模式8

2.2.4多機集群部署模式9

第三章設備管理10

3.1準備工作10

3.1.1YK-ADCI5000S產品接口說明錯誤!未定義書簽。

3.1.2YK-ADCI5000S產品系統默認網絡參數10

3.1.3連接設備10

3.2系統管理控制臺登錄10

3.2.1登錄WebGUI管理控制臺10

3.2.2SSH登錄CLI管理控制臺11

3.2.3串口登錄CLI管理控制臺11

第四章系統管理功能13

4.1系統信息查看13

4.2設備管理13

4.2.1管理控制參數13

4.2.2配置管理14

4.23軟件許可14

4.2.4系統升級15

4.3系統參數15

431常規參數配置15

4.3.2高級參數配置15

4.4高級管理16

4.4.1進程管理16

4.4.2內存監控17

4.4.3資源管理17

4.5SNMP配置管理17

451SNMP配置管理17

4.5.2SNMPv3管理17

4.5.3SNMP訪問控制白名單17

4.6證書管理17

4.6.1RSA證書管理18

4.6.2國密證書管理18

4.6.3證書吊銷列表管理19

4.7用戶管理19

4.7.1用戶管理20

4.7.2角色管理20

4.7.3認證管理21

4.8HA管理21

4.8.1主備模式21

4.8.2多主模式22

4.8.3切換監控策略25

第五章網絡管理26

5.1端口管理26

5.1.1網絡端口配置26

5.1.2端I」聯動組27

5.2端口聚合管理27

5.3二層轉發管理42

5.4ARP管理42

5.5VLAN管理43

5.5.1常規模式43

5.5.2單浮動IP模式44

5.6生成樹管理44

5.7路由管理45

5.7.1路由概覽45

5.7.2設置靜態路由45

5.73OSPFv2路由45

5.7.4OSPFV3路由46

5.7.5RIP路由47

5.7.6策略路由47

5.7.7LLB智能路由47

5.8NAT管理48

5.8.1SNAT管理48

5.8.2一對一NAT49

5.8.3端口映射管理50

5.9ACL管理50

5.10DHCP管理51

5.10.1DHCPV4服務52

5.10.2DHCPV6服務52

5.11IPV6路由通告52

5.11.1IPV6路由通告53

5.11.2路由通告網段53

第六章健康檢查54

6.1ICMP類型健康檢查54

6.2TCP類型健康檢查55

6.3SMTP類型健康檢查55

6.4Http/Https類型健康檢查55

6.5Http-ECV/Https-ECV類型健康檢查56

6.6腳本(Script)類型健康檢查57

6.7DNS類型健康檢查58

6.8FTP類型健康檢查58

6.9POP3類型健康檢查58

6.11IMAP類型健康檢查59

6.12MYSQL類型健康檢查59

6.13RADIUS類型健康檢杳59

6.14LDAP類型健康檢查60

6.16被動式（passive）類型健康檢查60

6.15GSLB類型健康檢查60

6.16健康檢查方法組合61

第七章應用負載均衡管理62

7.1四層虛擬服務器管理62

7.1.1負載均衡算法63

7.1.2會話保持方式64

7.13SNAT規則65

7.1.4DDOS防護65

7.1.5溫暖上線66

7.1.6SNMP監控66

7.2七層虛擬服務器管理66

7.2.1負載均衡算法68

7.2.2會話保持方式69

7.23SNAT規則70

7.2.4DDOS防護70

7.2.5上線保護70

7.2.6SmartRule應用控制策略71

7.2.7定制頁面71

7.2.8Web優化71

7.2.9Web安全防護71

7.2.10SNMP監控72

7.3會話保持組管理72

7.4應用池管理73

7.4.1真實服務器74

7.4.2服務器漸退75

第八章配置模板管理76

8.1會話保持模板76

8.2TCP&UDP模板77

8.3HTTP模板79

8.3.1基本配置參數80

8.3.2數據壓縮81

8.3.3內容緩存81

8.3.4流量控制81

8.3.5高級配置82

8.3.6Weblog導出82

8.4SSL模板82

8.5WEB安全模板84

8.5.1基本配置84

8.5.2Httpflood防護85

8.53WAF(Web應用防火墻)86

8.5.4HTTP協議清洗87

8.6訪問控制模板87

第九章SmartRule策略規則管理89

9.1SmartRule策略規貝U編寫89

9.2圖形化規則向導編輯工具91

9.3初級腳本編輯工具91

9.4Lua高級腳本編輯工具91

第十章鏈路負載均衡服務管理92

10.1LLB工作原理92

10.2LLB虛擬服務器93

10.3智能選路算法95

10.4LLB應用池管理96

10.5鏈路健康檢查97

10.6地理拓撲管理97

10.6.1IP地址庫98

10.6.2地理拓撲選路策略99

10.7入向流量智能選路100

第十一章全局負載均衡管理101

11.1GSLB智能DNS解析流程101

11.2偵聽器管理102

11.2GSLB節點設備管理102

11.3GSLB虛擬服務器管理103

11.4智能DNS解析算法104

11.4GSLB應用池管理106

11.5健康檢查管理109

11.6地理拓撲管理109

11.6.1IP地址庫109

11.6.2地理拓撲解析策略110

11.7標準DNS管理111

11.7.1域(Zone)管理111

11.7.2視圖(View)管理111

11.7.3DNS解析記錄112

11.7.4DNS看己置113

11.8DNS訪問日志114

第十二章診斷管理115

12.1日志管理115

12.1.1系統日志115

12.1.2審計日志115

12.13規則(SmartRule)日志116

12.1.4安全日志116

12.1.5日志存儲管理116

12.2告警管理116

12.2.1郵件告警117

12.2.2SNMPTrap告警117

12.2.3SYSLOG告警117

12.3會話連接表118

12.3.1四層SLB會話連接表118

12.3.2反向代理會話連接表119

12.3.3Smart-Http會話連接表119

12.3.4SLB會話保持模板119

12.3.5鏈路LLB會話連接表120

12.3.6鏈路LLB會話保持模板120

12.3.7全局NAT記錄表120

12.4診斷工具121

第十三章儀表盤和統計124

13.1儀表盤124

13.2統計報表125

第一章引言

負載均衡服務器YK-ADCI5000S產品由神州云科公司生產制造，本文檔詳細介紹YK-ADC

I5000S產品的功能和操作說明。

適用版本

本文檔描述內容適用于5.2.0版本軟件。本手冊僅作為操作指導，除非另行約定，本手

冊內容如發生更改，恕不另行通知。如需要獲取最新手冊，請聯系北京神州數碼云科信息技

術有限公司。

適用對象

本文檔適用于配置、維護YK-ADCI5000S產品的系統管理人員或網絡管理人員。

文檔內容摘要

第章引言

第二章產品簡介，包括YK-ADCI5000S產品概述、設備型號及部署方式

第三章設備管理，介紹YK-ADCI5000S產品管理控制臺訪問方法

第四章系統管理，介紹YK-ADCI5000S產品系統參數的配置方法

第五章網絡管理，介紹YK-ADCI5000S產品網絡配置方法

第六章健康檢查管理，介紹健康檢查的配置方法

第七章應用負載均衡管理，介紹四層、七層虛擬服務器工作原理及配置方法

第八章配置模板管理，介紹各種配置模板的配置方法

第九章SmartRule管理，介紹應用策略規則的配置方法

第十章鏈路負載均衡服務管理，介紹鏈路負載均衡的工作原理及配置方法

第十一章全局負載均衡服務管理，介紹廣域網絡負載均衡工作原理及配置方法

第十二章診斷管理，介紹系統日常維護和故障診斷的工具及使用方法

第十三章儀表盤和統計，介紹系統儀表盤和重要運行指標的統計功能

第二章產品簡介

YK-ADCI5000S產品由神州云科公司生產制造。它基于國產鰥鵬CPU硬件平臺，采用神

州云科鰥泰服務器，幫助數據中心快速構建穩定可靠、安全可信、智能可控及專注專屬的應

用交付基礎架構。此架構針對應用系統的特點量身打造，可提高應用系統的穩定性及效率,

有效降低網絡架構的復雜度。確保快速、靈活而且不間斷地向用戶交付應用、內容與服務。

YK-ADCI5000S產品作為最終用戶和應用系統之間的橋梁，在數據中心或云端構建了一

個應用虛擬化層。它部署在數據中心邊界的戰略控制點，承載應用系統與訪問者之間所有交

互信息，實現智能流量管理、系統優化和安全加固。YK-ADCI5000S產品采用創新的技術體

系架構，將全面的4-7層服務器負載均衡、鏈路負載均衡和全局負載均衡技術緊密集成在一

體。為應用交付提供負載均衡、健康檢查、會話保持、NAT、TCP連接復用、TCP單邊加速、

Web緩存、數據壓縮、SSL加速、國密算法、ACL、DDoS防護、Web安全防護等豐富技術手

段。從而幫助客戶全面掌控網絡與應用，合理調度流量、消除業務中斷、改善應用性能，保

障應用安全，確保數據中心穩固、高效、安全和可控。

2.1產品平臺

YK-ADCI5000S產品硬件信息如下:

CPU鯉鵬9205221K

內存64G

硬盤512G

網絡接口8個千兆電口：4個萬兆口

串口1個

USB2個

電源900W雙電源

2.2產品部署

典型網絡環境中，YK-ADCI5000S產品一般部署在應用系統的前端，邏輯上位于訪問客

戶端和應用服務器之間。YK-ADCI5000S產品配置的虛擬服務器（Vserver）為應用訪問者提供

一個虛擬而統一的訪問入口，客戶端全部通過虛擬服務器獲得應用交付服務。

YK-ADCI5000S產品部署需要保障它與客戶端和應用服務器的網絡連通，物理部署模式

支持單臂（旁路）/雙臂（串行）部署，支持雙機/多機冗余部署，并支持STP協議構建全冗

余的網絡部署架構。

2.2.1單臂部署模式

單臂模式是一種旁路部署方式。此時YK-ADCI5000S產品只用一個網絡接口連接至網絡,

但邏輯上客戶端和應用服務器的流量仍必須通過YK-ADCI5000S產品進行交互。此模式部署

非常簡單，對網絡結構調整非常少，是最為常見的部署方法。下圖為單臂部署模式示例：

圖2.1

2.2.2雙臂部署模式

雙臂模式是一種串行部署方式，此時YK-ADCI5000S產品利用多人網絡接口連接到不同

的網段，使設備部署在客戶端和服務器之間。例如：一個單獨的網絡接口連接客戶端側網

絡，另一個單獨的網絡接口連接應用服務器側網絡。在串行部署方式中，客戶端和應用服務

器都通過網絡連接YK-ADCI5000S產品，YK-ADCI5000S產品提供流量調度管理。

在更為復雜的冗余網絡拓撲環境下，YK-ADCI5000S產品也支持冗余部署，可以使用多

個接口形成交叉冗余的連接方式。此時，YK-ADCI5000S產品可以啟動STP協議，參與鏈路

的自動選擇，防止全交叉冗余方式下形成環路。下圖為雙臂部署模式的示例：

圖2.2

2.2.3雙機冗余部署模式

YK-ADCI5000S產品為提高自身的可靠性，支持HA高可靠功能，實現雙機冗余部署。

2.2.4多機集群部署模式

YK-ADCI5000S產品也支持多機協同部署，以提高系統可靠性和處理性能。這種部署模

式，可使用HA多主配置方法或ECMP集群配置方法，使多臺設備共同參與應用業務的處理。

第三章設備管理

YK-ADCI5000S產品提供3種途徑實現設備管理，使用系統CLI命令行和Web管理界面:

?串LJ管理（可登錄CU命令行）

?SSH管理（可登錄CLI命令行）

?Web管理（可登錄WebGUI管理界面）

3.1準備工作

安裝應做好兩項準備工作：企業網絡規劃和網絡參數確定。

3.1.2YK-ADCI5000S產品系統默認網絡參數

缺省網絡參數配置如下（出廠值）

出廠信息

網管接口IP地址：54網絡掩碼：

WEB登錄用戶名：admin登錄密碼：

CLI登錄用戶名：wsadmin登錄密碼：

CLI配置模式用戶名：system密碼:enable

表3.1

3.1.3連接設備

在配置YK-ADCI5000S產品之前，需要準備一臺PC終端，并確定該PC網絡接口和串

行通訊接口可以正常使用。

使用設備隨機攜帶的網絡線纜連接PC與設備網管接口，或者使月隨機攜帶的串行通訊

線纜連接PC與設備串行通訊接口，參照如下步驟.可以通過多種方式登錄系統WAh或CII

管理控制臺，執行參數配置，并最終將設備部署到生產網絡。

3.2系統管理控制臺登錄

YK-ADCI5000S產品提供兩種管理方式：WebGUI（圖形管理界面）和CLI（命令行），管

理員可以通過WebGUI或CLI管理控制臺來管理配置設備。其中WebGUI管理控制臺僅支持

網絡途徑訪問，而CLI（命令行）管理控制臺則可以通過設備串口和網絡兩種途徑訪問。

3.2.1登錄WebGUI管理控制臺

YK-ADCI5000S產品WebGUI管理控制臺支持用戶使用Web瀏覽器進行訪問，建議用戶

使用Firefox12.0或更高版本瀏覽器。

為了提高系統的安全性，WebGUI使用HTTPS協議，所有交互信息均被SSL加密，默認

的訪問端口為10443o

以下將詳細介紹訪問設備WebGUI控制臺的操作步驟，并以設備初始配置（默認出廠參

數）做為背景。

1.通過網絡連接設備專用網管接口。

2.為管理PC配置■個10.10.254.X網段的IP（如配置00）,然后在瀏覽器

中輸入網關的默認登陸IP及端口，輸入:10443,Web瀏覽器會自動彈出一個安全

警報。基于安全因素的考慮，設備管理交互信息通過SSL信道加密傳輸，以保證數

據安全可靠。

3.選擇“我已充分了解可能的風險證書”。然后單擊【添加例外】按鈕，在彈出的頁面

單擊【確認安全例外】按鈕。即進入登陸界面。

4.輸入管理賬戶admin及密碼（默認密碼參見設備默認參數表），并輸入驗證碼。

△注意：強烈建議登錄后立即修改默認密碼。如何修改月戶密碼及添加用戶帳

戶的信息請參閱本手冊用戶管理章節。

5.單擊【登錄】按鈕，進入管理界面，頁面內容為當前系統的基本信息。

3.2.2SSH登錄CLI管理控制臺

YK-ADCI5000S產品還提供命令行（CLI）管理控制臺，管理員可以通過SSH工具軟件（如

PuTTY或SecureSSH）通過網絡登錄設備。具體步驟如下：

1.通過網絡連接設備專用網管接口。

2.采用SSH客戶端軟件訪句負載均衡設備的管理接口地址（默認是54）,

協議（ssh2）,服務端口為22,輸入管理帳戶的用戶名和密碼后進入命令行（CLI）

管理界面。

3.輸入CLI管理員wsadmin的帳戶及密碼（默認密碼參見設備默認參數表），登錄設

備CLI管理控制臺。

4,進入配置模式，需要再執行system命令，輸入密碼即可（缺省密碼參見設備默認

參數表）。

5.在CLI配置管理模式下，管理員可以設置產品功能參數，完成產品部署和業務發布。

更多CLI命令的使用，請參考《YK-ADCI5000S產品.命令行操作手冊》

3.2.3串口登錄CLI管理控制臺

管理PC連接設備串口，通過串行通訊協議連接CLI管理控制臺，串行通訊終端工具的

參數配置步驟如下：

1.使用設備隨機攜帶的Console電纜，RJ45接口一端連接設備，DB-9接口一端連

接PC終端。

2.以超級終端軟件為例，串口參數設置如圖3.1。

圖3.2

3.打開超級終端，正常連接設備后，出現登錄提示頁面。

4.輸入OJ管理賬戶wsadmin及密碼，即可進入系統命令行（CLI）管理控制臺。

5.進入系統配置模式，需要再執行system命令，輸入密碼即可（缺省密碼參見設備默

認參數表）。

第四章系統管理功能

系統管理功能是設備管理的基礎，管理員可以在【系統】管理界面下進行如下相關操作。

4.1系統信息查看

管理員進入【系統】管理界面時，界面將呈現當前設備的系統信息，包括：設備型號、

設備序列號、系統版本、主機名稱、管理口IP地址/掩碼、主備運行模式、系統時間等信息。

4.2設備管理

在【系統】1【設備管理】界面中，可以執行管理控制臺參數配置、配置管理、軟件許

可管理、系統升級和設備集中網管參數配置。

4.2.1管理控制參數

在【設備管理】T【管理控制參數】界面中，提供Web及CLI管理控制臺的控制參數,

管理員可以對這些參數進行調整。管理控制參數詳見下表:

參數描述

專用網管接口地址IP地址類型，網絡/掩碼格式（支持IPV4與IPV6類型）。

Web界面HTTPS訪問端口設置WebGUI服務監聽端口。

SSH終端訪問端口設置SSH服務監聽端口。

API服務端口設置API服務監聽端口。

登錄超時時間（秒）管理終端登錄Web管理控制臺，如果超出設定時間沒有任

何操作，控制臺將終止連接。用戶再次操作需要重新登錄。

登錄嘗試次數管理終端登錄Web管理控制臺，如果執行登錄操作后時，

發生用戶名和密碼錯誤，則視為登錄嘗試。系統可以控制登

錄的次數，如果超過嘗試次數則鎖定一段時間禁止登錄請

求。

登錄嘗試失敗鎖定時間管理終端登錄Web管理控制臺，登錄嘗試次數達到高限值

（秒）后，則在鎖定時間內禁止登錄，鎖定時間過后允許再次登錄。

客戶端訪問控制管理終端通過網絡登錄Web或CLI管理控制臺，系統支持

設置訪問控制黑白名單，可以通過IP地址列表限制客戶端

訪問。訪問控制方式如下：

1.啟用黑名單方式,意味系統將輸入的客戶端IP地址列表作

為黑名單處理，這些IP地址的客戶端將不允許登錄控制臺，

其它IP地址的客戶端可以訪問；

2.后用白名單方式，意味系統將輸入的客戶端IP地址列表作

為白名單處理，僅這些IP地址的客戶瑞允許登錄控制臺，

其它IP地址客戶端將不允許訪問。

3.不做任何配置的情況下，表示不對客戶端訪問進行任何

限制。

表4.1管理控制臺配置參數說明

4.2.2配置管理

在【設備管理】今【配置管理】界面中，提供系統配置備份，配置上傳，配置下載，配

置刪除，配置恢復，恢復初始化配置等管理功能，方便用戶對當前系統基本配置進行各種操

作。

?配置備份

配置備份是將當前系統運行配置保存在設備中，并支持將備份配置文件以壓縮包文件的

形式導出，它是一些配置文件的集合，包含全部配置信息，SLB配置信息，LLB配置信

息，GSLB配置信息。系統最多支持保留10份配置備份文件。超過10份，系統默認自

動刪除第1個備份配置，以此類推。

?配置上傳

配置上傳是將存儲在外部的系統備份配置文件導入到設備內部，方便用戶選擇已備份配

置文件進行配置恢復。

?配置下載

配置下載是將存儲在設備上的系統配置文件下載到設備外部進行存儲。

?配置刪除

配置刪除是將存儲在設備上的系統配置文件刪除。

?配置恢復

配置恢復是將選定的備份配置文件恢復成系統運行配置，配置恢復需要重啟設備。

E提示：用戶在恢復配置時，設備需要重啟會導致系統服務暫時中斷。

?系統初始配置恢復

在設備配置紊亂或用戶更換服務場景時，用戶可以使用系統提供的恢復出廠設置功能對

系統恢復默認設置。恢復初妗配置方式分為兩種：

1）完全初始化：即配置信息完全恢復為設備出廠默認的狀態；

2）部分初始化：（僅保留網絡相關參數，包括：端口管理、端口聚合、vlan管理、路

由管理、生成樹管理、NAT管理、ARP管理模塊的參數），即在保留現有網絡配置

的基礎上，其它部分配置參數全部恢復為出廠默認狀態，便亍遠程通過網絡調試做

配置清理；

囂示:用戶…廠信息,需…

4.2.3軟件許可

用戶在設備正式啟用之前需要確保已經安裝正式軟件許可（License）。軟件許可管理提

供License申請、安裝和下載的功能。具體操作在【系統】-【設備管理】-【軟件許可】界

面下執行。

?申請License

單擊【申請License】按鈕，彈出License申請文件下載界面。下載后的License申請文

件需要提供給廠商，用于獲取License文件。

?安裝License

單擊【安裝License】按鈕，彈出文件選擇對話框，選擇正確的License文件，單擊【確

定】按鈕，License文件開始上傳并加載。單擊【取消】按鈕，則取消當前操作。

?下載License

單擊【下載License】按鈕，可以允許將該設備的License文件保存到外部。

4.2.4系統升級

YK-ADCI5000S產品提供系統軟件升級功能，方便用戶對現有設備進行軟件版本升級。

?軟件升級操作步驟

在【系統】-【設備管理】-【系統升級】界面下，單擊【瀏覽】按鈕，彈出的文件選擇

框，選擇正確的軟件版本文件，隨后開始上傳版本文件。文件上傳完成后，系統提示用

戶是否要進行升級操作。單擊【是】按鈕，系統進行升級并重啟設備。重啟完成后，系

統運行升級后的新版本；單擊【否】按鈕，系統不進行升級操作。

飛

U進行系統升級前，確認己經獲取正確的系統升級包。

4.3系統參數

YK-ADCI5000S產品在【系統】今【系統參數】界面中提供系統常規參數和高級參數的配

置功能。

4.3.1常規參數配置

系統常規參數包括：主機名稱、系統時間、NTP、DNS等系統基礎配置參數。

?主機名稱

系統提供系統主機名稱的修改功能，出廠默認的主機名可以后期修改。

?日期與時間

系統提供修改系統時間的功能，方便用戶根據實際情況來對系統的時間進行調整，確保

系統當前時間的準確性。

?網絡時間同步

系統提供網絡時間同步的功能,可以指定系統在指定周期內去指定的時間服務器.上同步

時間，確保系統時間正確。

?DNS配置管理

系統提供DNS的配置功能，可以指定系統的DNS服務器，為設備本身解析域名。

4.3.2高級參數配置

系統高級參數包括：全局會話連接超時參數，TCP單邊加速參數等。

?會話連接超時參數

系統連接超時參數基本配置參數說明，參見表4.2配置，如下:

參數描述

TCP_RST（秒）發送RST信號后等待回應的超時時間。

TCP_SYN（秒）發送SYN信號后等待回應的超時時間。

TCP_ESTABLISHED（秒）連接建立后無數據交互等待的超時時間。

TCP_FIN（秒）發送FIN信號后等待回應的超時時間。

default（秒）除TCP、ICMP協議外其他協議（如UDP協議）的超時時間。

ICMP（秒）發送ICMP探測信號后等待回應的超時時間。

表4.2會話連接超時參數說明

0

e提示：此處配置的會話連接超時參數為全局生效，僅適用于全局SNAT、一對--NAT、

DNAT相關會話；會話連接超時參數更新生效后，新連接才開始啟用更新后的超時參數，

原有現存的會話連接維持原來的參數值。

?TCP單邊加速

系統提供TCP單邊加速配置的功能，系統支持的可供選擇的擁塞控制算法包括：cubic

（默認算法）、bic^htcp、hybla>vegas>venowestwood（>

2提示：TCP單邊加速功能利用配置內核TCP協議棧的擁塞控制算法來實現，因此適

用于Smartl7的虛擬服務器業務。

?GSLB_Agent配置管理

系統提供GSLB_Agent驗證密碼的修改功能，GSLB_Agent驗證密碼用于設備開啟

GSLB_Agent功能時，GSLB設備與SLB設備之間通訊合法性驗證。

4.4高級管理

YK-ADCI5000S產品在【系統】分【高級管理】界面中提供核心進程管理、內存監控以

及系統資源管理等高級管理功能。

4.4.1進程管理

系統提供核心進程的管理控制，允許管理員針對核心進程手動執行啟用/停止/重啟三種

操作（個別服務不允許停止或重啟）。核心進程包括：smartlb,smart?,mysqLgslbdnsd,

smartagent,named,keepalived,apache,smartapio

E提示用戶在停止或重啟某些核心進程時，確保沒有重要業務正在訪問，否

則核心進程停止或者重啟時，會導致相關的正在訪問的業務中斷。

4.4.2內存監控

系統提供針對核心進程的內存監控和管理功能，可以設置進程內存占用閾值，持續高于

閾值時間以及超過閾值進程是否重啟三個參數。

4.4.3資源管理

系統提供系統資源(CPU、內存、網絡)的分配配置。可設置smartlb24進程使用的CPU

core、內存參數、網口，也可以設置smarts進程使用的CPUcore、Smartl7初始并發連接數,

kernel驅動等。

g提示：高級參數設置必須由專業的技術人員操作。資源管理參數調整后，還

需要重啟系統。

4.5SNMP配置管理

YK-ADCI5000S產品支持SNMP網絡管理協議，為第三方網管平臺提供管理手段。如果

啟用系統的SNMP管理功能，第三方的網管系統可以查詢設備上的SNMP代理，該代理將

按照網管系統的要求，發送相應數據。YK-ADCI5000S產品提供標準的管理信息庫(MIB)。

YK-ADCI5000S產品的SNMP代理支持SNMP版本2(SNMPv2)和SNMP版本

3(SNMPv3)o同時支持SNMP陷阱(SNMPTrap)，SNMPTrap將SNMP代理產生的異常事件

主動通知SNMP管理器。SNMPTr印配置詳見【診斷管理】中的【告警管理】章節。

4.5.1SNMP配置管理

系統在【系統】今【SNMP配置】今【SNMP配置管理】界面中，提供SNMP協議參數

管理功能。

管理員可以通過SNMP啟停開關控制是否啟用SNMP管理。如果啟用，需要輸入SNMP

共同體(Community)參數，例如：public。并選擇共同體權限為"只讀"或者"讀寫"。

4.5.2SNMPv3管理

在啟用SNMPv3協議時，除了使用共同體參數(Community)進行合法性驗證之外，還

支持賬號認證。此時，需要在系統上添加SNMP授權賬號及密碼。

4.5.3SNMP訪問控制白名單

在啟用SNMP管理協議時,可以使用訪問控制白名單策略對SNMP管理器進行過濾，通

過IP地址及掩碼對單獨IP或網段授予訪問權限。

4.6證書管理

YK-ADCI5000S產品支持管理RSA證書和國密證書。在【系統】-＞【證書管理】界面中

可以創建自簽名證書、CA簽名證書和證書申請文件，也可以將外部的證書(certficate文件

和key文件)導入系統，供系統使用。除此之外，SSL證書管理工具還可以導出普通證書和

P12格式證書。

自簽名證書/CA簽名證書/證書申請文件的的基本參數配置列表說明，參見表4.3配置,

如下：

參數描述

證書名稱證書的名稱。

簽名方式CA簽名/自簽名/申請文件

通用名稱通用名稱

組織名稱組織名稱

單位名稱單位名稱

位置名稱位置名稱

國家國家名稱

有效期證書有效期，僅CA簽名和自簽名有此參數

加密位數如果選擇RSA證書類型，選項為51y1024/204^4090；如果選

擇國密證書類型，選項只有256；

密碼證書密碼

確認密碼證書密碼

表4.3自簽名證書/CA簽名證書/證書申請文件配置參數說明

4.6.1RSA證書管理

?創建RSA自簽名證書

點擊【增加】按鈕，輸入證書名稱、選擇簽名方式、輸入通用名稱、組織名稱、單位名

稱、位置名稱、國家名稱、有效期、加密位數、密碼、確認密碼等參數，保存即可。

?刪除

勾選證書，點擊【刪除】按鈕刪除選擇的證書集。

?導入外部證書

點擊【導入】按鈕，輸入證書名稱、選擇證書格式、選擇導入的證書文件和私鑰文件、

輸入證書讀取密碼，將外部證書導入設備中。

?導出證書

在證書列表中，選擇需要到處的證書，點擊【導出】按鈕。在彈出框中選擇證書格式、

輸入證書讀取密碼（如果選擇PFX/P12格式），即可將證書導出。

?查看證書路徑

勾選證書，點擊查看證書路徑，彈出該證書的路徑提示框。

?查看證書

勾選證書，點擊查看證書，顯示該證書的詳細信息。

4.6.2國密證書管理

?創建國密自簽名證書

點擊【增加】按鈕，輸入證書名稱、選擇簽名方式、輸入通用名稱、組織名稱、單位名

稱、位置名稱、國家名稱、有效期、加密位數、密碼、確認密碼等參數，保存即可。

?刪除

勾選證書，點擊【刪除】按鈕刪除選擇的證書集。

?導入外部證書

點擊【導入】按鈕，輸入證書名稱、選擇證書格式、選擇導入的國密簽名證書和加密證

書文件和私鑰文件、輸入證書讀取密碼，將外部證書導入設備中。

?導出證書

在證書列表中，選擇需要到處的證書，點擊【導出】按鈕。在彈出框中選擇證書格式、

輸入證書讀取密碼(如果選擇PFX/P12格式)，即可將證書導出。

?查看證書路徑

勾選證書，點擊查看證書路徑，彈出該證書的路徑提示框。

?查看證書

勾選證書，點擊查看證書，顯示該證書的詳細信息。

$

U提示：國密證書采用雙證書標準，國密證書包括簽名證書和加密證書。

4.6.3證書吊銷列表管理

證書吊銷列表(CertificateRevocationList,CRL)是在網絡中使用公鑰結構存取服務器的

常用方法之一，此列表中記錄已經吊銷的證書信息。

系統提供證書吊銷列表的管理維護功能，為驗證客戶端證書提供依據。并且將根據預設

的獲取證書吊銷列表的URL及更新周期，定期下載和更新吊銷列表。

證書吊銷列表管理操作說明如下：

?添加證書吊銷列表及獲取URL

點擊【增加】按鈕，輸入證書吊銷列表名稱、輸入uH地址、更新周期，保存即可。

?修改證書吊銷列表

勾選某證書吊銷列表，點擊修改，允許修改吊銷列表管理參數。

?刪除證書吊銷列表

勾選證書吊銷列表，點擊刪除即可。

?導入證書吊銷列表

系統允許從外部導入吊銷證書列表文件獲取吊銷證書信息，點擊【導入】按鈕，輸入證

書吊銷列表名稱、選擇證書吊銷列表文件，導入即可。

4.7用戶管理

在【系統】T【用戶管理】界面中提供系統帳戶管理功能，用于登錄Web管理控制臺

或API調用時認證與授權。包括：用戶管理、角色管理及認證管理。

4.7.1用戶管理

YK-ADCI5000S產品的Web管理控制臺需要用戶登錄認證與授權，系統本地缺省內置一

個超級管理員賬號admin。該賬號具有最高權限，且不可修改其角色類型，也不可被刪除。

只有超級管理員賬號（admin）才具有用戶管理、角色管理和認證管理功能。下面我們

介紹超級管理員賬戶如何增加/刪除/修改管理賬戶。

?增加管理賬戶

點擊【增加】按鈕，輸入用戶名、密碼、確認密碼、選擇角色類型、選擇認證加密類型、

選擇是否用于API驗證，點擊保存。

Q提示：API驗證選項，表示此賬號是否可以用于API調用時作為認證賬戶。

?刪除管理賬戶

勾選系統用戶，點擊刪除即可刪除此賬戶。

?修改管理賬戶

勾選系統用戶，點擊修改，可以修改管埋賬戶信息。

4.7.2角色管理

YK-ADCI5000S產品為管理賬戶提供角色定義功能，用于控制此賬戶的操作權限。

系統預先內置超級管理員角色，它具有所有管理權限。除此之外，內置系統管理員和系

統審計員兩個角色。這些角色賦權如下：

角色描述

超級管理員擁有所有功能的可操作權限，包括讀取和修改。此角色僅賦予超

級管理員admin賬戶。

系統管理員擁有除用戶管理、角色管理和認證管理之外的所有可操作權限。

系統審計員擁有只讀權限，僅可以查看配置，沒有修改權限。

表4.4管理員角色權限說明

超級管理員賬尸（admin）還可以創建新的角色。創建新角色時，系統將列出所有功能

單元，并允許為每一個功能點定義權限。可選只讀、讀寫或隱藏的權限。角色權限選項參

數說明如下：

權限描述

只讀設置權限為“只讀〃后，對該功能只能進行查看，不能進行修改，

添加，刪除操作。

讀寫設置權限為“讀寫”后，對該功能可以進行修改，添加，刪除操作。

隱藏設置權限為"隱藏"后，對該功能在web不可見。

表4.5角色權限說明

角色管理的參數設置說明如下：

?增加角色

點擊【增加】按鈕，輸入角色名稱、設置各種功能的權限，點擊【保存】即可。

?刪除角色

勾選角色，點擊【刪除】按鈕即可。

?修改角色

勾選某角色，點擊【修改】按鈕，修改完成后點擊【保存】即可。

4.7.3認證管理

YK-ADCI5000S產品Web管理系統賬戶認證支持LOCAL本地認證、LDAP認證、AD認證、

RADIUS認證等四種認證模式。之前介紹的管理賬戶都可以設置自身央用的認證模式，不同

的認證模式意味著驗證認證請求的方法和途徑不同。

本地認證：表示系統賬戶信息存儲在本設備中，認證請求將在本地進行驗證。

LDAP/AD/Radius認證：表示系統賬戶信息存儲在外部的LDAP、AD和Radius服務器中，

認證請求將會被轉發給這些服務器進行驗證。

因此系統針對LDAP認證、AD認證、RADIUS認證模式提供認證管理功能，允許設置這

些認證服務器的相關信息。

K提示：超級管理員admin是系統內置賬戶，僅支持本地認證模式。

4.8HA管理

YK-ADCI5000S產品在【系統】-＞【HA管理】界面中提供主備和多主模式的HA高可靠

管理功能，確保為用戶提供穩定可靠的應用交付服務，避免設備自身的單點故障。

配置HA管理前，首先確保主機備機已接入網絡，并選擇相應網絡接口作為雙機熱備通

訊和數據同步的專用接口。

4.8.1主備模式

主備模式由兩臺設備組成，其中一臺設備做為主設備，處于業務工作狀態，主動接收請

求并做業務處理。另外一臺設備作為備份設備，不參與業務處理，但實時監控主設備運行狀

態C如果主設備出現故障或觸發切換策略.則備份設備迅速替代原主設備身份并承擔業務處

理的職責。

HA主備模式基本配置參數說明如下表所示:

字段描述

本機當前狀態顯示本機在當前主備模式下的狀態，有主機和備機兩種狀態。

對方運行狀態顯示對方設備在當前主備模式下的狀態，有up和down兩種狀態。

名稱VRRP組名稱。

VRRP組IDVRRP組的ID,數字類型。

VRRP驗證碼VRRP驗證碼，字母，數字類型。

狀態監測間（秒）狀態檢查間隔時間，數字類型。

VRRP優先級優先級，數字類型。

VRRP通信VLAN用于HA系統設備之間VRRP組播通訊的專用接口VLAN,該VLANIP地

址必須為IPv4類型。

HA數據同步用于HA系統設備之間的配置和會話同步專用通訊接口VLAN,該VLAN

VLANIP地址必須為IPv4類型。

對端同步接口IP對端HA數據同步接口vlan設置的IP地址，必須為IPv4類型。

啟用vmac啟用vmac功能，虛擬服務器VIP與vmac綁定，vmac始終浮動在主機

設備的對應網絡接口上；如果啟用VRRP虛擬mac功能，前提是HA狀

態監控接口必須選擇業務數據Vian接口。

nopreemptHA系統單機運行，當第二臺設備重新啟動后，需要根據主備機的VRRP

優先級重新確認主備狀態，可能會引起一次主備切換。而通過

nopreenmpt參數可以為管理員提供一個手工干預的機會，避免再次發

生切換的可能。同一個VRRP組，選擇一方配置nopreempt,并且本方

的VRRP優先級要高于對方。

切換監控策略定義HA系統進行故障切換的監控策略。

會話同步控制選擇需要進行會話同步的虛擬服務器

表4.6HA主備模式配置參數說明

下面我們介紹如何HA主備模式的配置步驟。

?選擇高可靠工作模式

在【HA管理】界面，選擇主備工作模式。管理界面將呈現HA主備管理的配置菜單.

?增加VRRP組

在HA主備管理界面下，點擊【增加】按鈕添加VRRP組。需要輸入VRRP名稱、VRRP

組ID、VRRP驗證碼、輸入狀態監測間隔（亳秒）、VRRP優先級、選擇VRRP通信VLAN和

數據同步VLA、輸入對端同步接口IP、選擇啟用或者不啟用vmac功能、選擇網絡監控

策略、選擇需要進行會話同步的虛擬服務器，點擊保存即可。

?強制切換

系統提供的強制切換功能，可以人工實現主備機切換。

?配置同步

HA主備管理系統部署完成后，允許管理員手工將主機設備上的業務配置直接同步到備

機中。方便管理員快速完成業務配置，避免手工操作可能造成的差異。

在主機設備上，點擊【配置同步】按鈕，可以將配置同步到備機上。

*提不：

1.主備機的VRRP驗證碼必須一致，保障VRRP協商成功。

2.主備機狀態監控間隔參數必須設置一致，否則會導致兩邊狀態天正確。

4.8.2多主模式

多主模式下，多臺設備都會參與不同應用業務的處理（基于SLB虛擬服務器區分），但

是同一個應用仍只能在某個設備上實際運行，這臺設備就是該應用的主設備，其它設備針對

此應用提供備份保障，此時，這臺設備就是本機設備，其他設備就是對端設備。例如不同虛

擬服務器（VSl、VS2和VS3）分別運行在三臺設備（A、B、C）上，在A設備上運行的VS1

應用將由B和C設備提供備份，在設備A上，設備A為本機設備，設備B和設備C為對端

設備。

HA多主模式基本配置參數說明如下表所示:

字段描述

本機當前狀態顯示本機在當前主備模式下的狀態，有主機和備機兩種狀態。

對方運行狀態顯示對方設備在當前主備模式下的狀態，有up和down兩種狀態。

名稱VRRP組名稱。

VRRP組IDvrrp組的ID,數字類型。

VRRP驗證碼vrrp驗證碼，字母，數字類型。

狀態監測間（秒）狀態檢查間隔時間，數字類型。

VRRP優先級vrrp組的優先級，數字類型。

VRRP通信VLAN用于HA系統設備之間VRRP組播通訊的專用接口VLAN,該VLANIP地

址必須為IPv4類型。

HA數據同步用于HA系統設備之間的配置和會話同步專用通訊接口VLAN,該VLAN