- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
整本手册
本章节下载 (1.07 MB)
H3C SecPath ACG1000系列应用控制网关
用户FAQ
|
Copyright © 2018 新华三技术有限公司 版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部, 并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。 |
|
为什么管理员用户不能通过HTTP、SSH、或者Telnet登录设备,不显示web页面?
在“系统管理>管理员”,“添加管理员”页面中的"管理IP/掩码"的作用是什么?
设备从R6603升级为R6604版本时,对应用审计日志有影响么?
邮件日志中为何有的邮件日志对应的是下载按钮,有的邮件日志对应是查看按钮?
当用户中心用户识别错误的时候,同时用户数已经达到了用户中心的规格数,如何操作?
为何用户中心的应用日志数有时会多于日志链接的日志页面的总数?
接口状态页面上有接收或发送速率的信息,但健康统计页面整机转发流量无数据?
设备健康统计页面,整机转发流量只能看到上行或者下行的流量信息?
同一条策略路由最多支持几个下一跳?同时配置多个下一跳的情况下,如何转发报文?
IPv6中的路由器请求报文作用(Router Solicitation)?
IPv6中的路由器通告报文作用(Router Advertisement)?
邻居请求(Neighbor Solicitation)报文作用?
邻居通告(Neighbor Advertisement)报文作用?
在Tunnel接口上配置了相关的参数后(例如隧道的起点、终点地址和隧道模式)仍未处于up状态?
从设备端执行什么配置去主动ping另一台设备的IPv6地址?
OSPF没有路由,甚至邻居都不能形成Full关系,最常见的原因是什么?
当执行no router ospf6后,其它接口有关ospfv3配置是否自动删除?
两台设备均配置监控接口,当其中一台设备的接口down掉后,两台一台设备的接口将对端地址代理,代理地址置为active,此接口参与出现故障设备的业务转发。HA主主非对称路由
从系统正常到掉电进入Bypass状态时,会丢几个ICMP报文?
配置两条会话限制,引用的地址对象分别都包含了某个IP地址,但是会话限制的配置不同,那么该以哪一个为标准?
在配置会话限制之前,地址对象的会话总数已经超过了该会话限制的会话总数,那么配置该条会话限制后是否会将会话数保持在限制的数目下?
客户端A没有配置设备为DNS代理,客户端B配置设备为DNS代理,客户端A发出经过设备的DNS请求,之后客户端B也发出相同域名的DNS请求,设备在对B的请求处理过程是怎样的?
统计集统计最近1小时、最近1天、最近1周数据统计的刷新间隔是多少?
单条七元组审计策略中的应用审计规则、URL审计规则按照什么顺序进行匹配?
使用NAT用户通过认证后访问外网页面依然弹出认证页面,导致循环认证?
为什么认证时,可以接收推送认证页面,用户名密码输入完毕后无法认证成功?
为什么用户认证时点击一次上线,显示设备拒绝请求,点击多次后可认证成功?
登录超时后重新认证,在认证窗口填写用户名密码后点击“上线”提示“用户已在线”?
为什么认证模板设置IE10浏览器没有调色板按钮,只能通过数字设置认证按钮颜色?
用户在线时间超出所配置的超时时间,有时可下线、有时不可下线?
输入用户名及密码后,认证失败,提示“用户名或密码错误”,如何定位认证失败原因,并及时修改?
在页面认证服务器>本地Web认证页面,在用户登录唯一性检查项,配置单一账号登陆,并禁止禁止同名用户再次登录后,为什么用户第三方Radius认证对于同一账号仍能多次登陆?
安装完成后打不开ACG1000日志分析与管理平台提示端口被占用怎么办?
如何设置映射端口使ACG1000日志分析与管理平台可以接收到ACG设备的信息?
ACG1000日志分析与管理平台默认登录用户名和密码是什么?
打开ACG1000日志分析与管理平台登录界面看不到验证码怎么办?
如何在ACG1000日志分析与管理平台直接进入设备管理界面?
某一台客户端查询不到设备流量,但是另外一台管理相同设备的ACG1000日志分析与管理平台却可以查询的到,这是什么原因?
导入正式License后,Manager首页仍显为试用授权90天?
服务质量管理条目“最后一次成功率”和“最后一次延时”在建立前的时间也有数据显示?
为什么debug service-quality不显示dns类型的服务质量管理条目发送的探测报文?
在ACG上配置有用户认证策略,并新建用户将PC的MAC地址绑定,为什么PC仍无法上网并重定向到认证页面?
新增的IP/MAC条目设备不能及时学习到该IP的数据如何处理?
移动端弹出portal,并点击一键微信连wifi后,认证失败,如何定位认证失败原因,并及时修改?
若环境中无线路由器为cisco无线路由器,且支持2.4G和5G信号,假设ssid分别为cisco与cisco-5G,此时应该连接哪个ssid?
部分安卓手机弹出portal页面,点击一键微信连WIFI后,页面无反应或者会有提示信息“该浏览器不支持自动跳转微信请手动打开微信”,应如何解决?
微信认证成功后,在用户信息中心中查看微信图像没有加载成功,如何定位?
微信认证有些安卓手机扫码连接wifi后出现网络连接失败现象?
微信连wifi电脑端弹出的portal微信二维码一段时间后超时,提示:服务器繁忙请一分钟后刷新重试?
https弹出portal以后没有认证为什么可以正常打开网页?
使用LDAP用户认证通过后,在服务器删除认证用户并在设备上同步该OU?
使用设备上的抓包工具是否能够抓取到监控接口镜像过来的业务报文
是否可以配置将万兆口流量镜像到千兆口或千兆口流量镜像到百兆口
为什么安装证书以后,chrome浏览器访问12306网站显示非安全连接?
设备接口数量特别多时,SNMP能一次性获取所有接口的节点信息吗?
ACG推荐使用在某个区域的网关或与外网接入处,一般来说,外部网络是最具有威胁的。当所有外网流量进入内网时都需要经过边界网关。由此来说ACG放置的最佳位置应为与外网接入的地方。如果内网某一区域对安全性有高要求也可放置ACG。但要注意,所有ACG应放在区域与区域相接处。
ACG能够工作在三种模式下:路由模式、透明模式和旁路模式。如果ACG以第三层对外连接(接口具有IP 地址),则认为ACG工作在路由模式下;若ACG通过第二层对外连接(接口无IP 地址),则ACG工作在透明模式下;若ACG在完全不影响原网络运行的情况下部署,则ACG工作在旁路模式下。
当ACG位于内部网络和外部网络之间时,需要将ACG与内部网络、外部网络区域相连的接口分别配置成不同网段的IP 地址,重新规划原有的网络拓扑,此时相当于一台路由器。也就是说,路由模式ACG连接两个不同的子网。
在网络出口需要NAT转换时。
如出现该情况可检查路由表,执行display ip route命令查看路由表中是否存在外网路由,如路由表正常,查看ACG安全策略,在ACG设备中默认安全策略为deny,需要手工设定放行条目,执行display running-config policy命令查看ACG安全策略。
透明模式ACG进行工作时,可以避免改变拓扑结构造成的麻烦,此时ACG对于子网用户和路由器来说是完全透明的。也就是说,用户完全感觉不到ACG的存在。
检查物理接口是否划入到了bvi接口中,display running-config interface查看当前接口下信息。
在透明模式下,ACG将流过的所有二层数据进行解封装,把数据根据用户定义的规则进行从二层到四层的过滤。但与路由模式不同的是,ACG会将过滤后的数据重新用原来的二层源地址和目的地址再封装成帧进行转发,而不改变数据帧的源地址和目的地址。
透明模式ACG一般使用在原网络拓扑在已经完善的情况下增添ACG。配置透明模式ACG,ACG相当于二层设备。可以将ACG的多个接口连接到相同子网。可以在不更改其他设备的路由网关对网络进行保护。减少工作量。
旁路模式在不更改原网络部署环境的前提下使用。旁路模式ACG将通过的流量进行监听、审计等作用。
旁路模式部署不会大范围影响原网络拓扑结构。只需在原出口设备连接上ACG即可。
查看旁路模式ACG审计日志时无相应显示,该情况可查看策略配置,执行display running-config policy命令于查看ACG的部署策略。
ACG具有很好的保护网络安全的效果。入侵者必须首先穿越ACG的安全防线,才能接触目标计算机。你可以将ACG配置多种策略,如控制端口、协议、应用等。
ACG默认存在一条全拒绝的控制策略,使用ACG时应先注意安全策略是否匹配。
确认登录的接口是否允许通过这些方式登录,可以在每个接口下进行具体配置,详细配置请参见命令行配置指导或者Web配置指导。
查看接口下是否配置了HTTPS访问控制,查看是否开启了管理员证书认证功能但并没有对应的证书。
可在"管理IP/掩码"输入框中以"IP/掩码"的形式设置用户主机的IP和掩码,用户登录时,如果用户名、密码正确,并且用户的主机地址与其设置的任意一组IP和掩码与运算的值相等,就可以成功登录。如果用户没有设置"管理IP/掩码"或任意一组"管理IP/掩码"设置为"0.0.0.0/0",则登录时不会判断用户的主机地址,只要用户名、密码正确既可成功登录。
在“系统管理>管理员”页面中,点击某管理员的<编辑>按钮,进入“修改管理员”页面,即可修改该管理员的密码。也可以点击页面上方右侧的“修改密码”图标,进入“修改密码”页面,即可修改当前登录用户的密码。
ACG1000-V系列产品不支持此功能。
断电或reboot重启设备,按ctrl+c进入menuboot,当出现Please input your choice[0-8]:时,输入’4’,执行Reset administrator password.并输入’0’重启设备,重启后,密码即可恢复为默认的admin/admin登录。
可以使用命令display running poliy查看当前的应用审计策略。
通过配置应用审计策略,可以实现关键过滤。
当日志占用空间超过硬盘容量95%时就会删除日志,直到日志占用空间为85%时停止删除。
升级当天的日志会丢失,升级后可以正常记录日志。
日志查询结果按天显示,如果某一天没有所要查询的日志,那么该天对应的日志查询结果页面为空。
(1) 首先检查应用审计策略是否正确;
(2) 查看应用审计日志是否记录;
(3) 查看应用审计与识别的细节信息,判断是否识别与审计成功;
(4) 通过查看首页应用流量排名统计来查看是否有误识别和漏识别情况;
(5) 查看特定IP地址的会话的AppName字段来确认是否为误识别,命令为:display ip connection protocol protocol-name ip source source-addr dest dest-addr;调试命令:debug app audit detail,debug application identify。
表1 检查应用审计策略是否正确;
(6) 查看应用识别审计是否开启;
(7) 所访问网站是否符合包含content-type字段类型为text/html;
(8) 查看HTTP返回码是否为200;
(9) 查看网页标题长度是否大于128字符;
(10) 查看URL长度是否大于512;
恶意url白名单是精确匹配。例:被阻断的网站为qq.com,新建恶意URL白名单www.qq.com后还是不能访问,只能是qq.com,才能访问。
表1 查看应用审计日志是否发送,日志服务器是否启用,服务器IP及端口是否正确;
(11) Syslog服务器是否启动,端口是否与设备配置一致;
(12) 查看路由是否正确,ping 服务器地址是否能ping通。
使用邮件客户端,配置不加密,审计到的邮件日志对应的是下载按钮;webmail:新浪邮箱、QQ邮箱等,审计到的邮件日志对应的是查看按钮。
达到了邮件还原的最大限制数。
Clear ucc user可以清除内存中的用户缓存,清除后便可以识别出新用户。
当产生日志时,用户中心的日志计数即加1,但若使用测试仪,1s的日志量很大,已经达到了数据库入库的限制,日志在入库时会产生丢失日志的现象,此时便会出现用户中心的日志数少于链接过去的日志数。
未到更新时间,用户根据设备型号不同,同步的时间也各不相同,当用户中心规格高于或等于2w时,每15s同步250个用户;低于2w时,每30s同步100个用户。display capacity命令可以查看当前用户中心的规格数UCC_USER即代表的用户中心的用户数,此规格限制是针对内存中对于用户的限制。
用户流量统计饼图是显示的top9和9+,9+表示的是除top9以外的应用流量统一为其他。但当某应用类的流量小于总流量的0.8%时,饼图不单独呈现该应用类,只是放在其他里统一呈现。
用户中心网站访问分析中不记录URL为其他类的日志数,所以用户中心中的网站访问日志数会比该用户总的网站数少。
用户中心的在线时长是记录1天的总的时间,当跨天的时候,用户中心会重新计算。而在线用户跨天存在时,在线用户所记录的在线时长是总的时间,所以会多于用户中心所记录的在线时长。
设备当天出现重启现象,在线用户会重新识别,重新记录在线时长,而用户中心会把重启前的时间也记录,所以这种情况会出现用户中心的在线时长多于在线用户显示的时长。
用户中心用户的排名是根据虚拟身份、日志数、流量大小、网站访问数做的综合分析,得到一个权值,按这个值进行的排名。
时间轴记录的应用行为以及相同应用再次记录的时间间隔如下:
即时通讯类登录行为:时间间隔为1天,也就是1天内时间轴上只会记录不同即时通讯应用。
搜索类搜索行为:时间间隔为2分钟
社区类发表行为:时间间隔为1分钟
邮件类发送行为:时间间隔为1分钟
视频类下载行为:时间间隔为30分钟
文件传输类文件传输行为:时间间隔为150秒
电子商务类搜索行为:时间间隔为150秒
当时间间隔未达到时,同种应用行为不会被记录到时间轴上。
由于无线网络时多个用户同时使用无线,使得用户中心看到的账号信息为多个用户所使用的账号信息 ,不建议在无线下使用用户中心查看用户信息,仅做参考使用。
从线路策略绑定接口出去的流量为上行,从线路策略绑定接口进来的流量为下行。
流量控制通道的保障带宽必须小于等于其最大带宽,流量控制通道的保障带宽必须小于等于其上一级通道的保障带宽。流量控制通道的最大带宽必须小于等于其上一级通道的最大带宽。
多个匹配条件是与的关系,当同时满足所有匹配条件时才认为命中该通道。当一个流控通道的匹配条件为空时,会去匹配其子节点的匹配条件。
最大带宽只是起到一个限制的作用,限制流量不能超过其最大带宽。保障带宽的作用是在流量发生拥塞的时流量仍能够达到其保障带宽。
(1) 线路的最大带宽和保障带宽和其实际的带宽一致,若外网的带宽为20M,就需要配置线路的最大带宽和保障带宽为20M。
(2) 下一级通道的保障带宽总和(包括缺省通道)是否已经超过了其保障带宽。
多个流量控制通道是按顺序匹配的,若流量和某一条流量控制通道匹配,就不会再匹配后续的流量控制通道。
QOS排除策略也称为白名单,就是指定的用户或者地址的流量,不受QOS管制,直接转发,最大限度的保证这些用户使用网络。
流量先被每IP限速处理,然后再被流控通道处理。每IP限速的周期是一秒,流控通道是实时的。被IP限速通过的流量可能会继续被流控通道丢弃。
P2P的流量存在不对称性,可能会出现大量的下行流量。多余的流量被流控通道丢弃,但是会影响总体的带宽使用率;建议在实际部署时减小P2P的上行流量,这样可以有效抑制下行流量。
当发生带宽借用时,高级别的通道优先借用带宽。若多个通道的级别相同,则平均分配借用带宽。
当子通道的保障带宽之和大于父通道,按照各个子通道的保障带宽比例分配。
对延时要求高的一类应用可以放在单独的流控通道中,该通道的流量不要超过其保障带宽。
查看当前通道流量的命令 display qos statistics。
当前仅可以通过CLI修改流控通道的顺序,在CLI下进入一条流控通道,然后通过move命令调整其顺序。
可在命令行下执行“debug qos match”,通过debug消息可知道具体命中条目。
可在命令行下执行“debug qos drop”,通过debug消息可知道数据包是否被QoS丢弃。
设备流量统计收发包的大小实际上是去掉了4字节的CRC校验,所以会小于实际的流速。使用实际的发包大小减去4字节,再计算出来的流速将与设备统计值相等。
整机转发流量统计的为设备的流速,上行即为外网口的发包速率,下行即为内网口的发包速率。当不设置外网口时,上行流速即为0。
设备整机流量统计本地发包和转发,而用户流量统计只统计转发的流量,所以两者的值会有所出入。
设备流量统计的值每隔1小时会把数据保存一次,当设备异常掉电,未能及时保存数据,设备启动后,最多会丢失1小时的数据。
设备流量统计,每次取的时间是绝对时间。更改系统时间,设备流量统计不会随着系统时间的更改而变化。当设备时间为10:00,已经产生近一小时的流量图,把系统时间更改为11:00时,近一小时的流量图依然不变,只是显示的时间有所更改,变为10:00-11:00的流量图。同理当更改为9:00时,设备流量图依然不变,显示的时间变为8:00-9:00。
特殊情况是:当更改完系统时间后马上重启,此时会对设备流量图有所影响。
如上的例子,当设备时间为10:00,更改为11:00后,马上重启,启动后设备流量图10:00-11:00会为0,之前的数据依然保存。当更改为9:00,马上重启,启动后,9:00之前的数据会为空,因为更改时间后,把之前的数据给覆盖了,所以之前的数据都会为空。
接口状态页面显示的接口信息是物理接口的接口信息,不包括子接口、网桥接口、聚合接口、隧道接口和3G接的状态信息。
接口统计的数据为接口接收到或转发的流量信息,而整机转发的流量是指结果设备处理的流量信息,如果接口接收到或转发的流量没有经过设备处理,则整机转发流量信息为空。
整机转发流量的上行流量和下行流量,是通过接口的内网口和外网口属性来确定的,通过内网口转发的流量为下行流量,通过外网口转发的流量为上行流量。
接口状态页面的数据,默认自动刷新的时间为30s,也可以手动刷新,刷新时向后台获取一次数据。
策略路由,也叫做基于策略的路由,是指在决定一个IP包的下一跳转发地址时,不是简单的根据目的或源IP地址来决定,而是综合考虑多种因素决定。它转发分组到特定网络需要基于预先配置的策略,这个策略可能指定从一个特定的网络发送的通信应该被转发到一个指定的接口。
目前,设备支持同一条策略路由中配置8个不同下一跳。
同一条策略路由中同时配置多个下一跳的情况下,第一个下一跳作为主用路由,其余下一跳作为备份路由,实现路由备份功能。
图1 策略路由转发流程图
通常我们都认为下一跳失效的判断条件为下一跳是否可达,但实际上设备在实现上并没有探测下一跳是否可达的机制,因此设备只能根据自身的各种因素进行判断。下面我们分两种情况进行讨论。
(2) 首先我们讨论下一跳是直连网段地址的情况。
设备判断下一跳是否可达的条件是ARP,只要存在正确的对应下一跳地址的ARP表项,则策略路由认为下一跳可达。值得一提的是,如果配置静态ARP,则需要同时配置对应VLAN和出接口,此时策略路由才认为下一跳可达。
(3) 我们再来讨论下一跳是非直连网段地址的情况。
对于非直连网段的下一跳地址,设备可以进行路由迭代,即针对下一跳地址查找路由表,如果能匹配到路由,则认为策略路由下一跳可达。如果没有匹配到任何路由,或者只能匹配缺省路由,则认为策略路由下一跳不可达。
ISP路由是将数据包从一个网络转发到另一个网络中的目的地址的过程。路由器是处在两个网络之间转发数据包的设备。路由器根据路由表中储存的各种传输路径传输数据包,每一个传输路径即为一个路由条目。
很多用户通常会申请多条线路进行流量负载均衡。然而,一般的均衡是不会根据流量的流向做均衡的,如果网通的服务器通过电信访问,网速就会很慢。安全网关针对该问题,提供ISP路由功能,使不同ISP流量走专有路由,从而提高网络访问速度。
用户首先需要将内网用户添加到相同的地址对象中,通过引用设置的地址对象,进行配置不同运营商为目的地的ISP路由。用户可以自定义ISP信息,也可以上传ISP或包含不同ISP信息的配置文件。
ISP路由在NAT配置、安全策略配置时可直接调用相应地址对象的流量。通过ISP路由策略(双ISP缺省路由)进行控制相应的流量走向问题,从而达到负载均衡。
可以使用命令display ike sa查看当前IKE SA的信息:
HOST# display ike sa
----------------------------------------------------
Name: dut1 id: 3184
local_addr: 30.1.1.2
peer_addr: 30.1.1.3
stat: establish
life time: 86390
*********************************************************
Data: ike sa Total count: 1.
*********************************************************
可以使用命令display ipsec sa查看当前IPsec sa的信息。
HOST# display ipsec sa
----------------------------------------------------
Name: dut1 id: 4667
local_addr: 30.1.1.2 peer_addr: 30.1.1.3
esp: yes mode: tunnel
enc_algo/auth_algo: 3des/md5
inbound_spi/outbound_spi: 237441483/134485286
ah: no
stat: establish
life time/cur_life_time: 86400/86304
inbound/outbound: 5/5 kbytes
local_net: 20.1.1.0/24
peer_net: 10.1.1.0/24
*********************************************************
Data: ipsec sa Total count: 1.
*********************************************************
IPsec VPN的默认加密方式是3DES_MD5。
一条IPsec VPN隧道,配置多个网段的感兴趣流,最多支持100条。
(1) 第一阶段协商不成功,首先可以检查IKE的配置,查看两端的配置是否一致。
(2) 其次检查路由,查看对端是否可达。
(3) 如果一端配置对端网关配置的是动态,另一端配置静态对端网关,查看配置静态对端网关的一端,是否开启了自动连接,若未配置自动连接,流量需要从静态那一端发起,触发IKE SA的协商。
调试命令:debug ipsec-VPN debug。
表1 首先可以检查IPsec的配置,查看两端的配置是否一致。
(4) 检测感兴趣流,查看两端的感兴趣流是否一致。
(5) 检测路由,查看对端是否可达。若是基于tunnel口,检查是否配置tunnel口的路由。
调试命令:debug ipsec-vpn debug。
表1 隧道模式时查看是否配置策略。
(6) 查看感兴趣流的方向性是否正确
若是感兴趣流的问题,可以通过以下命令查看:
display ike dump-spd,查看基于策略的IPSec VPN的sp状态是否建立成功。
display ike dump-tunn,查看基于tunnel的IPSec VPN的sp状态是否建立成功。
表1 有些手机的IKE协商模式是野蛮模式,有些是主模式,所以一条VPN隧道不能保证所有的手机都能接入成功。
(7) 手机发起的加密算法也各不相同,可以通过debug ipsec-vpn debug命令,查看协商不成功的原因,同时也可以查看对端发来的加密算法是否与本端一致。
搭建IPSEC的环境中间有过NAT并且配置了AH认证导致ipsec无法协商成功,AH封装的校验从IP头开始,如果NAT将IP的头部改动,AH的校验就会失败,因此我们得出结论,AH是无法与NAT共存的。此时去掉AH认证IPSEC可以协商成功。
IPSEC断开后对端设备并没有吧原先建立好的Sa清除,就不再接受再次发起的协商请求,导致无法建立连接
1、在对端设备手动删除SA
2、双方启用DPD检测
问题原因:对端手动清除了SA;对端同时启用了按秒计时和按流量统计,本端只配置了按秒计时,如果流量过大,可能导致在按秒计时的生存周期内流量已经超出,导致对端SA端口连接
1、双方把各自一阶段的SA生存期和二阶段SA生存周期改成一致;
2、一阶段启用DPD检测。
表1 当有多出口时,需要指定用于建立IPsec的本端IP地址。
表2 如果指定的是本地源接口,则使用该接口上的主IP作为本端IP地址。
表1 IPSEC认证方式选择国密认证后,需要填写本端证书、对端证书和CA证书。
表2 协商不成功需要检查本端证书与对端证书是否导入正确。
表1 IPSEC快速配置大大简化了IPSEC VPN配置,接入一个新的站点只需要配置节点类型、本端或对端网关IP,保护网段即可实现IPSEC接入,IKE一阶段、IPSEC二阶段、tunnel接口、保护网段路由等动态生成。
表2 IPSEC快速配置支持网段映射,能很好的解决分支站点保护网段冲突的情况。
表3 IPSEC快速配置支持选路策略动态调整,调整主备链路只需要调整分支节点线路顺序,设备会根据线路顺序自动调整路由优先级,默认线路优先级为5、6、7、8,最多支持4条线路。
表1 执行命令display ike easy-ipsec-gen可以查看一阶段默认参数如下:
set mode main
set remotegw 172.16.1.1
authentication pre-share
lifetime 86400
dpd enable
dpd interval 5
dpd retry-interval 2
set nat 10
group 2
set policy 1
encrypt 3des
hash md5
表2 执行命令display ike easy-ipsec-gen可以查看二阶段默认参数如下:
vpn ipsec phase2
mode tunnel
auto-connect enable(分支节点开启自动连接,中心节点默认关闭自动连接)
auto-connect interval 10
set lifetime seconds 86400
set proposal1 esp-3des-md5 ah-null
IPSEC快速配置一二阶段默认参数不支持修改,进入命令行编辑模式时会有错误提示,不允许用户修改。
预共享密钥尽量避免使用特殊字符,如 “<>”否则有可能会出现显示报错,但 不影响最终使用,尽量避免。
IPv6具有128位的IP地址结构,提供充足的地址空间。层次化的网络结构,提高了路由效率。支持自动配置,即插即用。支持端到端的安全。支持移动特性。新增流标签功能,更利于支持QoS。
邻居发现协议(Neighbor Discovery Protocol)是IPv6协议的一个基本的组成部分,它实现了在IPv4中的地址解析协议(ARP)、控制报文协议(ICMP)中的路由器发现部分、重定向协议的所有功能,并具有邻居不可达检测机制。
邻居发现协议实现了路由器和前缀发现、地址解析、下一跳地址确定、重定向、邻居不可达检测、重复地址检测等功能。
当主机没有配置单播地址(例如系统刚启动)时,就会发送路由器请求报文。路由器请求报文有助于主机迅速进行自动配置而不必等待IPv6路由器的周期性IPv6路由器通告报文。
IPv6路由请求为ICMP报文,类型为133。
IPv6路由器请求报文中的源地址通常为未指定的IPv6地址(0::0)。如果主机已经配置了一个单播地址,则此接口的单播地址可在发送路由器请求报文时作为源地址填充。
IPv6路由器请求报文中的目的地址是所有路由器组播地址(FF02::2),作用域为本地链路。如果路由器通告是针对路由器请求发出的,则其目的地址为相应路由器请求报文的源地址。
每个IPv6路由器的配置接口会周期发送路由器通告报文。在本地链路上收到IPv6节点的路由器请求报文后,路由器也会发送路由器通告报文。
IPv6路由器通告报文发送到所有节点的链路本地组播地址(FF02 ::1)或发送路由器请求报文节点的IPv6单播地址。
路由器通告为ICMP报文,类型为134,包含以下内容:
· 是否使用地址自动配置。
· 标记支持的自动配置类型(无状态或有状态自动配置)。
· 一个或多个本地链路前缀-本地链路上的节点可以使用这些前缀完成地址自动配置。
· 通告的本地链路前缀的生存期。
· 是否发送路由器通告的路由器可作为缺省路由器,如果可以还包括此路由器可作为缺省路由器的时间(用秒表示)。
· 和主机相关的其它信息,如跳数限制,主机发起的报文可以使用的最大MTU。
当一个节点需要得到同一本地链路上另外一个节点的链路本地地址时,就会发送邻居请求报文。此报文类似于IPv4中的ARP请求报文,不过使用组播地址而不使用广播,只有被请求节点的最后24比特和此组播相同的节点才会收到此报文,减少了广播风暴的可能。
源节点使用目的节点的IPv6地址的最右24比特形成相应的组播地址,然后在相应链路上发送ICMPv6类型为135的报文。目的节点在响应报文中填充其链路地址。为了发送邻居请求报文,源节点必须首先知道目的节点的IPv6地址。
邻居请求报文也用来在邻居的链路层地址已知时验证邻居的可达性。
IPv6邻居通告报文是对IPv6请求报文的响应。
收到邻居请求报文后,目的节点通过在本地链路上发送ICMPv6类型为136的邻居通告报文进行响应。收到邻居通告后,源节点和目的节点可以进行通信。
当一个节点的本地链路上的链路层地址改变时也会主动发送邻居通告报文。
· 路由器和前缀发现
· 地址解析
· 重定向功能
· 邻居不可达检测
· 重复地址检测
配置相关接口的物理参数,配置相关接口的链路层属性、使能IPv6报文转发能力、邻节点网络层(IPv6)可达。
IPv6缺省路由是在路由器没有找到匹配的IPv6路由表项时使用的路由。
· 第一种是网络管理员手工配置。指定的目的地址为::/0(前缀长度为0)。
· 第二种是动态路由协议生成,由路由能力比较强的路由器将IPv6缺省路由发布给其它路由器,其它路由器在自己的路由表里生成指向那台路由器的缺省路由。
可以按照如下步骤进行:
(1) Tunnel接口未处于up状态的最常见原因是隧道起点的物理接口没有处于up状态。使用display interface和display ipv6 interface命令查看隧道起点的物理接口状态为up还是down。如果物理接口状态是down,请检查网络连接。
(2) Tunnel接口未处于up状态的另一个可能的原因是隧道的终点地址不可达。使用display ipv6 route和display ip route命令查看是否终点地址通过路由可达。如果路由表中没有保证隧道通讯的路由项,请配置相关路由。
6to4隧道不需要配置目的地址,因为隧道的目的地址可以通过6to4 IPv6地址中嵌入的IPv4地址自动获得。
ISATAP隧道不需要配置目的地址,因为隧道的目的地址可以通过ISATAP地址中嵌入的IPv4地址自动获得。
执行ping6 IPv6地址即可,使用ping命令仅为IPv4下使用的。
手动隧道是点到点之间的链路,一条链路就是一个单独的隧道。主要用于边缘路由器—边缘路由器或主机—边缘路由器之间定期安全通信的稳定连接,可实现与远端IPv6网络的连接。
6to4隧道是点到多点的自动隧道,主要建立在边缘路由器之间,用于将多个IPv6孤岛通过IPv4网络连接到IPv6网络。6to4隧道通过在IPv6报文的目的地址中嵌入IPv4地址,来实现自动获取隧道终点的IPv4地址。
6to4隧道采用特殊的6to4地址,其格式为:2002:abcd:efgh:子网号::接口ID/64,其中2002表示固定的IPv6地址前缀,abcd:efgh表示该6to4隧道对应的32位全球唯一的IPv4地址,用16进制表示(如1.1.1.1可以表示为0101:0101)。2002:abcd:efgh之后的部分唯一标识了一个主机在6to4网络内的位置。通过这个嵌入的IPv4地址可以自动确定隧道的终点,使隧道的建立非常方便。
由于6to4地址的64位地址前缀中的16位子网号可以由用户自定义,前缀中的前48位已由固定数值、隧道起点或终点设备的IPv4地址确定,使IPv6报文通过隧道进行转发成为可能。6to4隧道可以实现利用IPv4网络完成IPv6网络的互连,克服了IPv4兼容IPv6自动隧道使用的局限性。
现有的IPv4网络中将会出现越来越多的IPv6主机,ISATAP隧道技术为这种应用提供了一个较好的解决方案。ISATAP隧道是点到多点的自动隧道技术,通过在IPv6报文的目的地址中嵌入的IPv4地址,可以自动获取隧道的终点。
使用ISATAP隧道时,IPv6报文的目的地址和隧道接口的IPv6地址都要采用特殊的ISATAP地址。ISATAP地址格式为:Prefix(64bit):0:5EFE:abcd:efgh。其中,64位的Prefix为任何合法的IPv6单播地址前缀,abcd:efgh表示32位IPv4源地址,用16进制表示(如1.1.1.1可以表示为0101:0101),该IPv4地址不要求全球唯一。通过这个嵌入的IPv4地址就可以自动建立隧道,完成IPv6报文的传送。
ISATAP隧道主要用于在IPv4网络中IPv6路由器—IPv6路由器、IPv6主机—IPv6路由器的连接。
可以通过物理网线相连接,也可以通过虚拟接口如子接口方式相连接。
可以创建最多256个vrf,超出时提示:Error: The total number of vrf has exceeded the maximum size(Capacity reached)。
VRF功能提供了从一台物理路由器变成多台虚拟路由器的功能。ACG1000的VRF功能提供了路由表隔离,接口切换VRF,外部能够正常支持访问已经切换VRF的接口地址,支持本机报文正确选择对应接口向外主动发送报文。
路由表隔离功能是通过在创建和删除VRF时,同时创建对应的fib表实现的,实现形式就是每个VRF一个独立的FIB表,设备在没有开启VRF功能时,是默认存在一个VRF0结构的,路由表和流表都是从属与该结构。
流表的隔离,是通过在流表结构中添加VRF_ID字段来实现的,功能主要流程为,在流里结构中添加了一个VRF_ID的字段,该VRF_ID字段赋值为报文入接口的VRF_ID,查找流表的时候,比较五元组的同时还需比较VRF_ID是否相同,如果五元组和VRF_ID均相同,则表示查找成功,否则,新建对应的流表。
VRF模块属于ACG1000的功能模块,实现虚拟路由转发功能。
RIP支持v1和v2两个版本。
RIP开启时默认为V2版本,若需要可以手动切换到v1版本。
Ospf不支持pppoe接口
简单的说我们采用如下策略:
· 如果有loopback接口配置了,就选IP地址数值最大的loopback地址。
· 如果没有配置loopback接口地址,就选IP地址数值最大的物理接口地址。
· 选择完成后不可抢占。
· 我们也可以在启动OSPF进程时同时指定Router ID,如:router-id 1.1.1.1。
· 需要注意的是,如果当前OSPF进程正在运行,Router ID即使是重新手工配置或计算都不会马上生效,而需要OSPF进程重新启动才会生效。这个要求是合理的,因为Router ID对OSPF协议来说太重要,不可能在OSPF保持邻居不断的情况下更新。
· OSPF网络类型是NBMA的,但你忘记在OSPF协议模式下配置邻居了。
· OSPF网络类型是NBMA的,你配置了邻居,但在诸如Frame relay的map语句中忘记加broadcast关键字了,导致协议报文不能到达对方。
· OSPF邻居的hello及dead interval值不一致。
· 在Stub或NSSA区域,有些路由器没有配置成Stub或NSSA。
· OSPF验证配置错误。
· OSPF Router ID有问题,可能和某个其它路由器一样了。
· OSPF链路两端的网络类型不一致。
· OSPF链路两端的MTU相差比较大,尤其注意和不同厂商实现互通时(需要在其接口下配置OSPF忽略MTU检查或修改MTU)。
· 该网络根本就没有启动OSPF。
· 区域号不一致;链路的网络地址不一致,注意检查两边的mask。
其实很简单,也是必须知道的。调试开关是需要打开的,其中最有效,最常用的就是debug ospf packet命令,协商完成后执行display log debug,它能让你对OSPF的大部分问题看的一目了然。当然它也不是万能的,它是在正确接收OSPF报文的基础上才能有相应的错误事件。
当链路接口没有明确配置OSPF cost的时候,Cost按配置的基值除以接口带宽来计算。这个基值缺省为100M,例如10M的链路,cost缺省是100/10=10。显然当运行OSPF的路由器存在多个速率不同的1000M以上的高速接口时候,如果接口没有明确赋予OSPF Cost,按缺省公式自动计算的Cost将都为1,不能反映链路速率。这个时候有一个Bandwidth-Reference的命令,来调节基准值的,但要注意,整个OSPF路由域都要对应调整。因此,最好的方法,还是在网络做好规划,手工对链路接口的Cost赋值。
看起来很奇怪的问题,其实比较有意思。很多人的第一感觉就是:两端的了链路网络类型都不一样,哪能形成邻居关系呢?其实不然。OSPF协议并没有规定,要去严格检查链路的网络类型,链路的网络类型最重要的描述也是在Type 1 LSA中,形成邻居的关系条件检查并没有去检查它。仔细阅读协议并做实验,你会发现不少情况下,比如两台路由器以太网连接,一端保持缺省的广播网络类型,一端配置成OSPF P2P网络类型,肯定是可以形成邻居,并交换LSDB达到Full状态的。但很奇怪的事情是:到达Full状态了,为什么学不到路由呢?其实答案很简单,OSPF路由器需要LSDB来构建SPT(Shortest Path Tree),由于LSDB的数据库是脱节有问题的(在我的Router LSA中,我认为你是个广播邻居;而在你的Router LSA中认为我应该是个P2P邻居),根本无法构建正确的SPT, SPF算法也无法计算出正确的路由。
先看一个问题,简单示意的OSPF网络拓扑,area 1——area0-area2,area1中三条路由:10.1.0.0/16,10.2.0.0/16,10.3.0.0/16,在area1和area0之间的ABR没有配置聚合(将上述三条聚合成10.0.0.0/8),但在area0和area2之间的ABR配置聚合却不生效。这就是跨区域的聚合问题,这个表现是否正确呢?
仔细看下RFC 2328 12.4.3 Summary-LSAs中的描述,我们可以知道ABR产生type 3 LSA时,如果是inter-area,就直接处理,产生相应的type 3 LSA,而不需要考虑配置的range,而在考虑intra-area路由的时候,才要去考虑配置的聚合。
所以,上述描述的结果是正常的现象。区域间路由的聚合是在连接产生该路由的区域的ABR上处理的,而不能跨区域聚合。
从协议的角度上来看,OSPF的虚连接Virtual Link非常有用,一是可以将不与骨干区域直接物理连接的区域连接起来,让它能正常路由,这在一些网络的合并中比较有用;二是可以提高网络的可靠性,让骨干区不至于轻易断开而不能正常路由(RFC 2328中的例子)。
OSPFv3仅提供命令行下配置,可以在界面上查看学习到的路由条目。
如果物理连接和下层协议正常,则检查接口上配置的OSPFv3参数,必须保证与相邻路由器的参数一致,区域号相同。
相邻的两台路由器接口的网络类型必须一致。若网络类型为广播网,则至少有一个接口的DR优先级应大于零。
应保证骨干区域与所有的区域相连接。若一台路由器配置了两个以上的区域,则至少有一个区域应与骨干区域相连。骨干区域不能配置成Stub区域。
在Stub区域内的路由器不能接收外部AS的路由。如果一个区域配置成Stub区域,则与这个区域相连的所有路由器都应将此区域配置成Stub区域。
各项口下进行的功能特性配置,在删除router ospf6主进程后,该接口上的所有配置也将被删除。
HA是High Availability缩写,即高可用性,可防止网络中由于单个网关产品的设备故障或链路故障导致网络中断,保证网络服务的连续性和安全强度。
随着网络的快速普及和应用的日益深入,各种增值业务(如 IPTV、视频会议等)得到了广泛部署,
网络中断可能影响大量业务、造成重大损失。因此,作为业务承载主体的基础网络,其可靠性日益
成为受关注的焦点。
在实际网络中,总避免不了各种非技术因素造成的网络故障和服务中断。因此,提高系统容错能力、
提高故障恢复速度、降低故障对业务的影响,是提高系统可靠性的有效途径。
目前产品支持两台网关设备以主-备模式运行。
主备模式是指实现HA的两台设备中, 一台作为主设备, 另外一台作为备设备。主设备在进行业务的同时, 将相关的配置和数据信息实时同步到备设备。当主设备出现故障或主设备的链路中断时,备用设备成为主设备,接管原主设备的工作,实现网络业务的无缝切换。
在主备模式下,主设备响应各类报文请求,并且转发网络流量;备用设备不响应报文请求,也不转发网络流量。主备设备之间通过HA心跳线同步状态信息,配置信息以及特征库文件。
主备模式支持路由模式和透明模式。
主主模式是指实现HA的两台设备中, 两台均为主设备。主设备在进行业务的同时, 将流表信息和认证用户信息同步到对端。当其中一台设备出现故障或链路中断时,另外一台设备作为故障设备的备份,接管原主设备的工作,实现网络业务的无缝切换。
在主主模式下,两台设备均工作,转发流量。主主设备之间通过HA心跳线同步状态信息
主主模式支持路由模式和透明模式。
HA主备的工作状态主要有两种,主模式和备模式:
· 主模式是指在设备HA主备模式中,实际参与工作。
· 备模式是指设备在HA主备模式中,作为主设备备份,不参与实际工作。只有当主设备失效,才转换为主设备,接替其工作。
HA主主的工作状态为主模式:
· 主模式是指在设备HA主主模式中,两台设备均参与工作。其中一台设备出现故障,另外一台承接出现故障的业务
HA中,主要有两种接口概念:
· HA接口:连接两台HA设备的接口,不参与报文的转发,只用于HA设备接收心跳报文和同步报文使用。
· 监控接口:HA必须重点关注的设备接口,如果此接口状态为down,表明网络状态发生故障,需要切换主备设备来修复故障。
· 非抢占方式:如果备份组中的路由器工作在非抢占方式下,则只要主路由器没有出现故障,备设备不会主动成为主设备。
· 抢占模式:抢占模式时指用户可以根据需要,制定某一台设备优选为主设备或者为备设备。如果配置优选为主设备的设备工作正常,即使当前设备为备状态,也要“抢占”成主设备。
· HA的两台设备抢占模式必须匹配。或者全部配置成非抢占模式,或者一个配置成抢占为主,一个配置成抢占为备。否则HA无法正确协商。
为了避免HA设备频繁进行主备状态转换,备设备在网络状态恢复为正常状态后,也不会马上抢占为主,而是在流表等信息同步完成后,等待一定时间。只有在这段时间内,设备依然正常,才会通知主设备,抢占成主。
HA设备之间用来相互通告设备的HA配置和HA状态的报文。如果一个设备在规定时间没有收到邻居心跳报文,可以认定HA邻居已经失效。
处于备状态的HA设备不会参与网络转发,因此无法通过其接口配置的IP地址访问。为了解决这一问题,可以在设备上配置管理地址,用作备设备的网络管理。用户可以从外部访问备设备的telnet服务和web管理界面。
HA作为热备份,为了在状态切换的过程中,尽量减小对网络的影响。HA会将主设备上的一些实时的状态同步给备设备。同步的内容主要包括三种:session信息,设备配置,特征库。
· session信息:包括设备连接表、fdb、用户信息、PKI。
· 设备配置:同步的设备配置中不包含HA配置信息,以及一些特殊的配置。
· 特征库:特征库包括IPS特征库,AV特征库,APP特征库以及URL特征库。
· 当设备启用HA主备模式后,设备进入init(初始化状态)。在这个状态,设备不参与报文转发,只接受对端HA设备的keepalive报文。如果收到了主设备发出的keepalive报文,设备会进入备状态。如果没有收到keepalive报文,设备会进入主状态。
· 如果设备成为主状态后,会向外发送免费arp报文,用来更新上下游设备的arp表(工作在路由模式),或者向外发送特殊的报文刷新上下游交换机的fdb信息(工作在透明模式)。
· 如果设备成为备设备,设备会清除自己的fdb表(如果工作在透明模式),并且向主设备请求状态信息。
· 当设备启用HA主主模式后,设备进入init(初始化状态),然后状态置为master。设备收到对端发来的keepalive报文,两端设备协商参数。建立master邻居后,靠心跳报文保持邻居关系,并启动定时器。若在定时器(定时器时间为interval *retry次数)时间内,未收到心跳报文,则状态置为master(A)。出现故障的设备状态置为master(N)。master(N)状态的设备,监控接口不参与报文转发。
· 两台设备必须型号一致,板卡一致
· 两台设备的序列号要求不一致。序列号一致建不起来邻居
· 查看心跳线接口状态是否正常
Ha主主环境下,流表信息同步,某种业务的控制报文走的其中一台主主设备,数据报文可以从另外 一台设备收上来。
根据不同机型分别定义,最少一组Bypass接口对,最多不限制。
使用在二层网络场景。
Bypass功能默认开启。
系统异常时设备会自动重启,会触发Bypass。
异常断电会触发Bypass。
会持续Bypass状态一直到系统启动成功。
系统断电或启动过程会丢3个ICMP报文。
本地文件不存在时,会去源站点下载。
如果有硬盘则存储在硬盘上,如没有则存储在CF卡上。
App缓存命中统计为每小时向文件同步一次,如果出现系统异常或重启,则最近一小时的命中统计数据会丢失。
可缓存exe文件,如缓存txt、PDF类文件将在页面直接显示无法下载。
下载URL必须为真实的下载地址,即符合URL三要素(资源类型、存放资源的主机域名、资源文件名)。
此为软件限制,cli上传文件,使用的是tftp方式。tftp在上传完成前无法获知上传文件大小。
基于会话的源和目的IP来进行限制,当会话没有匹配到源IP地址,就会继续匹配目的IP地址。如果匹配到了源IP地址,那么不会继续匹配目的IP地址。限制的方式包括并发会话数和每秒新建会话数两种控制方式。
一条新建的流量能够同时匹配多条会话限制时,将以会话限制配置的从上到下顺序进行匹配,以配置在上面的条目为准。
比如对公司内部各IP进行会话数限制,地址对象为any,总会话数限制为200,每秒新建限制为10,对技术支持组的各IP进行会话限制,地址对象为192.168.2.0/24,总会话数限制为100,每秒新建限制为10。
配置了两条会话限制,技术支持组的地址对象包含于地址对象any。
查看限制阻断,匹配到192.168.2.0/24 的地址的会话限制都采用的是技术支持组的会话限制配置,符合预期效果。
可以,会话总数和每秒新建的速度,如果只希望限制一个,可以将另一个的数值设置为0,表示对该项不进行限制。
不可以,如果已经配置了某个地址对象的会话限制,那么下一次新建该地址对象的会话限制后,将覆盖之前配置的会话限制。
不会,由于会话已经建立,且数量大于当前配置的会话限制中的总数,下一次该地址对象的流量到来后,将不会受到会话限制的影响,除非该会话老化。如果一直有该地址对象的流量通过,那么该会话将无法老化,可以通过手动清除当前的会话,来使得会话限制对该地址对象立即生效。
query current count: 48977 当前dns并发请求数
query total count: 677413 发送的dns累计请求次数
cache count: 0 缓存数量
local count: 0 设备ping一个域名,成功会+1
dns并发数可以达到1W,设备最多允许接收5W; dns缓存动态5万条,静态和特定域名各128.
dns session 主要影响特定域名
dns session enable特定域名优先走session
dns session diable特定域名使用特定DNS 服务器进行动态解析
dns代理缓存达到5w以后,新来的dns请求继续处理并回应请求端;此时不再对新来的dns请求产生的应答进行缓存
DNS报文数据段>512,dns响应报文不能大于512,对于大于512的响应报文,设备进一步回复给客户,但不进行动态缓存
接口类型改变后必须去手动修改DNS链路的配置,否则会造成业务不通
A记录设备最多显示8条,如果超过8,剩下的使用...省略号
display dns cache 和页面支持显示4个具体ip地址,后面()显示总的ip地址个数;命令行下display dns cache + 域名可支持最多显示出8个具体IP地址
图2 示例
开启DNS透明代理的功能,但是没有配置透明代理的策略,仍会命中透明代理的流程,导致用户无法上网,需要配置dns透明代理策略。
如果域名比较长,在页面的DNS缓存中无法完全显示(无法显示部分...代替),如果想在页面查询这样的域名是无法查询的。
本机报文不走dns代理流程,只需要在全局dns配置一个有效的DNS地址(DNS全局代理可关闭),在设备上就可以ping域名。
开启DNS透明代理或者DNS全局代理其中一个,DNS流量就会正常的进入DNS静态域名,DNS动态域名流程。
debug显示出接口为NULL时表示匹配的特定域名解析,否则显示出匹配的DNS链路出接口,例:
<2016-12-14 15:07:54> DNSP src ip = 20.1.1.3, dst ip = 200.111.111.1, send target ip = 111.1.1.6, out interface = ge4.4021, domain = www.spirentcom.com, retry = 0
<2016-12-14 15:07:54> DNSP src ip = 20.1.1.3, dst ip = 200.111.111.1, send target ip = 111.1.1.3, out interface = NULL, domain = 3.33334.www.spirentcom.com.cn, retry = 0
多条链路,配置基于负载,当某个dns链路出接口没有路由时,还是会负载DNS报文,选到有路由的就发出去,选到没有路由的就发不出去,就会造成部分网络不通。
多条链路,配置基于优先级,当优先级高的没有到dns服务器端路由的时候不会切换到优先级低的dns链路发送,会造成网络不通。
策略中的地址对象会去DNS模块查询匹配,当查询到DNS模块中的IP和域名的对应关系后,在将原策略中调用的域名对象与IP关联来实现策略控制,所以会有短时间的时间差。
1、在透明代理模式下,当A经过设备的DNS请求收到响应后,在设备上会产生该域名的动态缓存;如果B再向设备发出请求,当设备存有该域名的缓存,并且该缓存的TTL时间没有减到0,那么设备将该缓存直接转发给B,作为DNS响应;如果该动态缓存已经老化,即TTL时间减到0,则向DNS代理的服务器发出请求。
2、在全局代理模式下,当A经过设备的DNS请求收到响应后,在设备上不会产生该域名的动态缓存;如果在B向设备发出请求时,当设备存有该域名的缓存,并且该缓存的TTL时间没有减到0,那么设备将该缓存直接转发给B,作为DNS响应;如果该动态缓存已经老化,即TTL时间减到0,则向DNS代理的服务器发出请求。
在扫描攻击防御中启用加入黑名单功能后,当一个IP地址被识别为攻击源后,会被自动加入黑名单,并在设定的时间丢弃所有该IP发送的报文。
统计集中最近1小时的刷新间隔是1分钟刷新一次,统计最近1天的刷新监控是10分钟刷新一次、统计最近1周的刷新间隔是60分钟刷新一次。
近1小时流量趋势图中,将鼠标移动到每分钟上,会显示当时的流速即1分钟内流量的平均值;近1天流量趋势图中,将鼠标移动到每整10分钟时,会显示当时的流速即10分钟内流量的平均值;近1周流量趋势图中,将鼠标移动到每整小时时,会显示当时的流速即1小时内流量的平均值。
统计集中用户的类型包括匿名用户(IPv4用户及IPv6用户)、静态绑定用户、本地认证用户及第三方认证用户。
对于不同的系统平台,统计集所显示及统计的用户及应用的规格是不同的,可以通过命令display flow-account specification查看规格。
统计集每个应用的总流量为上下数据加下行数据统计出来的总流量,其中总量值后边小数点两位进行四舍五入,所以会造成上行+下行大于或小于总流量现象,误差小于1%。
统计集右上角有一个刷新按钮,页面不会自动更新,当用户设置统计集按最近一小时、最近一天、最近一周时,后台分别以1分钟、10分钟、60分钟进行更新,此时前台页面需要手动点击“更新”按钮进行刷新页面。
统计集每个应用的总流量为上下数据加下行数据统计出来的总流量,其中总量值后边小数点两位进行四舍五入,所以会造成上行+下行大于或小于总流量现象,误差小于1%。
统计集暂时不支持HA,即主墙数据不会同步到备墙,当HA主备切换后,备墙开始记录数据。
统计集数据目前不能保存,也不能随配置导出再导入。
饼图默认显示流量最高的10种应用以及其它应用,即Top10+1, 其它应用是指应用总流量小于0.8%时,记录到其它应用中。
只统计转发流量,不统计到本地流量。
当页面放大或缩小时,饼图的应用注释会与饼图分享,不建议将页面放大或缩小查看。
统计集支持设备旁路模式,能够将Span镜像出来的数据进行数据统计。
应用统计可以在应用中进行点击,页面跳转到使用该应用的用户页面,用户统计即当前发起流量的IP或实名认证用户,点击该用户,可以具体查看该用户所发起的应用流量。
进入WEB页面内的“对象管理>地址>地址探测”点击新建地址探测。
进入WEB页面内的“对象管理>地址>地址探测”查看探测track的间隔时间和重试次数是否时间太短。建议探测间隔时间和重试次数使用默认值10*4。
进入WEB页面内的“对象管理>地址>地址探测”查看探测track状态失败,先确定配置的探测条目tcp端口是否打开。
(1) 探测内网的dns服务器时,首先确定设备dns服务器是否指向了内网dns服务器;
(2) 探测外网的知名dns时,首先确定设备是否配置了dns服务器,并且配置有到达外网的路由。
表1 ACG备墙上查看HA配置
(3) ACG备墙上查看HA所关联track状态是否为Failed
(4) ACG备墙查看引用的track对象的探测目标是从哪个接口出去的
(5) ACG备墙在探测目标的接口下配置管理ip地址
表1 Track联动HA时,因为HA备设备只允许源地址为管理地址的报文发送,所以需要将探测报文的源地址指定为接口的管理地址
(6) Track联动HA时不支持跨网段的探测,因为跨网段的话,你要把往其它网段的报文发到HA管理IP的网关上,备设备看来,HA管理IP的网关就是它自己,但是它自己是备状态,报文发不出
WEB页面导入csv格式用户和用户组后,备墙无法实时同步,需要在主墙同步一次配置后,HA状态才会一致。
当设备中配置了多条七元组策略时,报文会按照一定的顺序与这些规则进行匹配,一旦匹配上某条策略便结束匹配过程。策略的显示顺序与匹配顺序一致,即按照WEB界面(或者通过display run policy命令)显示的顺序,从上到下一次匹配。同时,七元组策略支持通过命令移动策略位置来调整策略的匹配顺序。
单条七元组中可以配置多条应用审计规则和URL审计规则。此版本针对应用规则的匹配顺序包括:全匹配、顺序匹配。默认为全匹配,即当报文可以匹配到该七元组策略的多条应用规则(同时包含拒绝、允许两种动作)时,执行拒绝动作。顺序匹配则按照匹配到的第一条应用规则执行。
添加或修改七元组策略后,所有的流量都会重新进行策略匹配,以使新的策略生效。
进入WEB页面内的“上网行为管理>策略管理>IPv4策略”查看ACG设备中是否有策略将流量拒绝或进入“网络配置>路由>路由表”查看是否存在IMC服务器地址路由条目。
进入WEB页面“用户管理>认证服务器>Portal Server”中查看“认证URL”是否正确。配置URL时,根据“例如”信息,将Server ip地址更改为服务器的IP地址
在NAT环境中,用户访问服务器时MAC地址会发生更改。导致服务器接收的MAC地址与接入用户的MAC不符,产生循环认证的问题。命令行中使用user-portal-server mac-sensitive enable可解决。
(1) 首先在接收的认证页面中输入正确的用户名密码“上线”后,错误信息“向设备发送请求失败。可以检查设备中RADIUS服务器端口号是否与IMC服务器端端口号相同;
(2) 查看输入的用户名、密码与IMC服务器中配置的接入用户信息不一致。可查看IMC服务器中接入的用户名、密码是否与输入的相符;
(3) 查看IMC服务器内的“用户>接入策略管理>Portal服务管理>IP地址组配置”查看认证用户的IP地址范围是否在IP地址组范围内。
ACG内将RADIUS组调用在Portal Server中,该组内有多个RADIUS服务器存在,配置与IMC服务器相同的RADIUS服务器不是该RADIUS组中第一个RADIUS服务器。所以需要进行多次RADIUS服务器匹配,当匹配到与IMC服务器相同RADIUS服务器时即可认证成功。
用户的PC上原认证页面未关闭,将原认证页面关闭或在认证页面填写已认证用户名、密码、服务后,点击下线后,可正常重新认证认证。
在浏览器调用调色板时需要浏览器支持color类型。只有支持color类型的浏览器才可看到颜色按钮,如不支持的浏览器则会出现此问题现象。
这个问题并非ACG选用调色板插件问题,主要在于浏览器的支持color情况。目前已知的浏览器限制有IE和Safari两款浏览器,因与浏览器相关,ACG不可控,故将此问题定位为软件限制,在发布说明书中体现。
表1 配置超时时间分为两项,一项是IMC服务器上配置的用户在线时长,另一项是ACG1000的Portal Server页面配置的超时时间,当IMC服务器和ACG1000同时配置超时时间,这样会在两者内选择一个最小值最为最终的超时时间。当用户在线时长触及了最小超时时间,用户立即下线;
(4) 当IMC服务器未配置用户在线时长,仅在ACG1000的Portal Server内配置超时时间,在这样的情况下,用户的超时会以在超时时间范围内是否有流量来衡量用户是否超时下线。当在超时时间范围无流量产生,则该用户被下线。有流量产生,则按流量停止时间开始计算,闲置时间超出配置的超时时间,用户被强制下线。
(1) 首先查看ipv4策略是否将此数据包拒绝;
(2) 查看AGG设备路由是否正确;
(3) 查看用户策略的目的IP是否将服务器的IP地址排除在外。
(1) 首先查看ipv4策略是否将此数据包拒绝;
(2) 查看AGG设备路由是否正确;
(3) 查看用户策略是否正确,PC上网时是否匹配到此用户策略。
根据debug aaa event或系统日志信息查看,认证失败原因:
(1) 服务器无响应:查看路由及IPV4策略是否错误;服务器端口是否匹配;
(2) 服务器密码错误(指Radius);
(3) 用户名或密码错误:查看所输入的用户名是否与第三方服务器上的用户名一致;确定密码是否正确,与服务器上对应用户名的密码一致。特别需要指出的是对于Radius第三方用户存储认证,所使用的服务器为IMC服务器中的Radius部分,所以输入的用户名还要包括服务类型标识部分,账号与服务类型之间用@连接,如htest@kkk,其中htest表示账号名称,kkk为服务类型标识,这两者用@连接后整体作为认证用户的用户名。
对于这种第三方的用户,是否允许用户重复登录,应该由认证服务器去做限制,本地认证的配置只能对本地用户做限制;用户第三方Radius认证使用的服务器为IMC服务器,服务器中对于每个账号都有上线人数限制,但对于接入设备类型为H3C(General)设备,此上线人数限制暂时不起作用。
属于断点续传的有 服务器不可达/服务器down/vtysh超时退出(这种情况下, 属于断点下载范围。 当设备版本下载过程中断掉后,再次开始后从上一次的进度处开始下载)。下载过程中, 用户主动断掉(ctrl+c, 这种情况不属于断点下载, 需要重头开始下载)
会话统计的排名是按照会话连接数的多少进行的排名,默认只显示前50个会话的排名。
原因是当一条流老化后,又重新产生了一条这样的流,此时存在时间就为0秒。这种情况大多出现在清流过后,立即在web监控页面查看会话监控,容易出现此情况。
当用户抓包达到20M或者300s时自动停止抓包或者也可以手动停止抓包。
抓取新建会话:新的五元组信息产生的新的流。当高级选项抓取新建会话为2时,指的是一条新建流的前两个包。
ACG1000日志分析与管理平台推荐安装在64位的操作系统上,包括windows 7/windows XP/windows server 2003/windows server 2000。
系统运行环境最低配置为:PC服务器/Pentium IV CPU/4G内存/100G以上存储空间,最好是磁盘阵列。系统运行环境建议配置为:PC服务器/Pentium IV CPU/16G内存/500G以上存储空间,最好是磁盘阵列。
端口占用说明:web服务(80端口),日志服务器(514端口),数据库(60005端口),内部服务(60006端口), ftp服务器(21端口),请确保以上端口不被别的程序占用。
硬件环境 PC机或笔记本/Pentium II CPU / 512M内存,软件环境IE9.0版本、Mozilla21.0版本浏览器,最佳显示分辨率为1366×768。
由于我们ACG1000日志分析与管理平台是安装在服务器上,有可能和其他厂家类似软件产生冲突,建议保持服务器纯净尽量少安装其他软件,如果遇到错误(以80端口占用为例)请用以下步骤查找原因。
· 在CMD模式下执行命令netstat -aon | findstr 80占用80端口的进程,然后执行msinfo32命令查看正在运行的进程的ID的安装路径卸载该程序或者停止它,如果还遇到问题请卸载重启之后安装。
· 由于win2003服务器由于自带服务“World Wide Web Publishing Service”占用80端口所以请先停止该服务在安装。控制面板->管理工具->服务,打开服务找到“World Wide Web Publishing Service”右键选择停止即可。
模拟场景:ACG1000日志分析与管理平台在北京总公司,连接某一台防火墙,另外ACG设备在其他地方,这样就需要在ACG1000日志分析与管理平台和防火墙进行端口映射,设备需要访问ACG1000日志分析与管理平台的514,21端口。ACG1000日志分析与管理平台需要访问设备的8888端口,访问ACG1000日志分析与管理平台的服务器需要80端口。
系统默认的管理员用户为super,密码为super.123。用户可以使用这个管理员账号从任何可访问设备的地址登录设备,并且使用设备的所有功能。
系统有三权分立默认账户分别为:
· 审计管理员:用户名为admin_audit,密码为audit.123。
· 配置管理员:用户名为admin_config,密码为config.123。
· 用户管理员:用户名为admin_user,密码为user.123。
系统默认的syslog接收端口为514。
通过运行浏览器对ACG1000日志分析与管理平台软件进行配置和管理。ACG1000日志分析与管理平台安装之后默认开启了web服务。
请用户使用IE9.0、Mozilla21.0版本浏览器对ACG1000日志分析与管理平台进行web管理。
将服务器ACG1000日志分析与管理平台软件的服务重新启动。
(1) 查看ACG1000日志分析与管理平台是否可以管理到该设备。
(2) 查看设备端的日志设置的日志服务器IP地址是否填写正确,日志过滤里是否记录并且发送日志。
(3) 查看设备端的安全策略是否填写记录上网行为。
(4) 查看ACG1000日志分析与管理平台服务器的服务是否都已经开启了。
系统管理 > 管理员 > 选择用户 > 点击编辑密码,就可以进入修改该用户密码界面。
查看服务器上ACG1000日志分析与管理平台的服务是否都已经正确开启,浏览器选择是否正确。
设备管理>设备管理>添加设备,填写正确的设备IP地址、用户名、密码,点击<确定>按钮就完成添加一台设备。
在设备管理界面的左侧,有设备组,选择设备所在的设备组,点击进入查看,查看设备是否正确分配到指定设备组。
(1) 在确定设备IP地址正确,用户名密码填写正确的的情况下,如果设备显示未上线状态,查看设备电源是否断电,设备线路连接是否无误,路由转发是否正确。
(2) 设备端没有问题但就是依然无法连接到设备,查看是否当前经过设备的流量过大。导致设备超负荷而无法连接。
(3) 某些设备默认情况下的端口center-monitor是关闭的,需要开启,进入设备命令行,输入display running-config 查看连接端口是否开启allow access center-monitor。 如果没有开启的话,进入设备命令行,进入管理连接端口,执行命令allow access center-monitor。
如果不进行授权,只允许最多添加9台低端设备(ACG1000-C和ACG1000-S),不允许添加高端设备。
授权包括:高端授权和集中授权,单独完成高端授权允许添加低端设备和高端设备,最大数量为9台。
单独完成集中授权允许添加低端设备500台,不允许添加高端设备。如果同时完成高端授权和集中授权,那么允许添加低端设备和高端设备共500台。
在ACG1000日志分析与管理平台的设备管理里,根据选择进入哪台设备点击后边的WEB界面,就可以进入这台设备的管理界面。
可以进行分组存放设备,在设备管理界面,点击添加,添加设备组,新建一个设备组后,可以将设备按照一定要求存放在你想放的设备组里,这样就很大程度上的方便了管理设备。
全部设备信息都导出。
设备突然掉线,修复故障后,点击这台设备后面的<操作>按钮,会尝试重新连接,如果IP地址,用户名,密码,并且设备正常运行,那么就会重新连接上。
点击设备管理下面的设备升级,选择需要重启的设备,点击左上方的<重启>按钮即可。
在设备管理界面有搜索功能,并且功能支持模糊搜索,只要知道设备的名称、设备IP、设备SN其中的一项就可以在搜索里进行搜索,并且可以快速找到要管理的设备。
对已经添加的设备进行修改,先选择设备,然后点击<修改>按钮,就可以对设备进行从新的定义,但是设备名称是不可以修改的。
如果删除一台设备后,这台设备之前的日志也会被清空。
首先在ACG1000日志分析与管理平台设备管理界面下载一份模版,根据模版正确的填写设备名称、设备IP、用户名、密码、设备型号后,保存,在设备管理点击导入,信息填写正确可以完成导入,如果信息填写错误导入后则会提示导入失败,并且有失败原因。
在设备管理页面的文件发下任务中包含自动探测配置,在自动探测配置里,用户可以选择是否开启自动探测任务,并且设置自动探测任务时间,还有选择是否开启自动下发所有任务,并且设备自动下发所有任务的时间。设置好,自动探测和自动下发后,在文件管理中,新建一个正确的URL地址和名称后,在规定的时间内就可以自动探测和自动下发文件到所有设备中。
日志分析与管理平台只支持http协议的URL自动探测。
服务器内存可用内存不足4G的,但使用效果可能无法达到预期效果。
监控统计包括4大部分:系统状态、设备流量监控、用户流量监控、应用流量监控。
可以调节的有:选择设备、时间范围、统计依据、显示前多少项、选择用户、过滤条件。
· 管理状态:时间、软件版本、数据库大小、数据库版本、磁盘空间大小、设备数量情况、授权信息、可以管理最大设备数。
· 最新报表汇总:最近生成的报表任务信息。
· 最近一天日志数量统计:设备操作日志、系统事件日志、流量日志、NAT日志、网站访问日志、聊天日志、恶意网站访问日志。
· 最近一天设备流量统计:用柱状图表示设备最近一天经过有多少流量。
点击设备流量监控可以查看所有设备在某一段时间的流量统计,并且在下方会有设备流量排名信息,点击设备的柱状图会跳转到流量趋势界面,可以看到某一段时间内的流量情况,其时间间隔根据选择查看的日期而不同,在流量趋势界面的下方会有用户和应用的排名。回到流量排名界面,在下方设备流量排名点击某一台设备的用户排名会跳转到用户流量排名,并且是根据当前设备来判断的,回到流量排名界面,在下方设备流量排名点击某一台设备的应用排名会跳转到用户应用排名,可以看到哪些应用用了多少流量,并且是根据当前设备来判断的。
选择好要查看的设备后,会看到这台设备的所有用户的流量排名,点击下方的用户应用排名,会看到这个用户都有哪些应用产生了多少流量从大到小排列。
选择好要查看的设备后,会看到这台设备的应用流量情况柱状图,可以看到都有哪些应用产生了多少流量,点击下方的应用用户排名可以看到,同一个应用哪个用户的流量多少。
· 时间范围:最近一天,波形图时间间隔:10分钟。
· 时间范围:最近一周,波形图时间间隔:1小时。
· 时间范围:最近一月,波形图时间间隔:4小时。
· 时间范围:最近一年,波形图时间间隔:1天。
· 时间范围:自定义时间,波形图时间间隔:参考上面4个范围,给出间隔时间。
可能的因素如下:
(1) 服务器ACG1000日志分析与管理平台的服务没有开启。
(2) 在设备端的日志设定中的日志服务器没有选择服务器IP地址。
(3) 这台客户端的流量表损坏。
(4) 确定连接线路没有故障。
可以添加、修改、删除、克隆地址对象,按照正确的要求添加地址对象后,在地址对象界面会出现新添加的这条地址对象,用户可以对这条地址对象进行:修改、删除、克隆等操作,在成功添加地址对象后,在其他的项目中可以引用正确添加的地址对象,比如:地址组对象、集中策略中的源/目的地址,都可以引用正确添加的地址对象。其重要作用就是将部分IP地址归结到一起,方便以后的使用。
在服务对象中包括:自定义服务对象,可以按照要求添加新的服务,服务组对象,将部分服务综合起来利于大家的发展,预定义服务器,系统默认的服务,不允许修改,但是允许引用。
对于自定义服务对象,服务组对象可以进行添加、修改、删除、克隆操作,并且成功的添加服务对象后,可以被策略管理所引用,用来管理服务。
时间对象可以添加的计划有:单次计划,每日计划,每周计划。
· 单次计划:只执行一次,可以对单次计划进行添加,删除,修改,克隆操作。
· 每日计划:每天固定的时间执行,可也是多个时间段,可以被每周计划引用,可以对每日计划进行添加,删除,修改,克隆操作。
· 每周计划:可以安排一个星期的计划,每周计划不允许为空,但是允许其中的某几天计划为空,并且可以引用每日计划,但是不能引用单次计划。可以对每周计划进行添加,删除,修改,克隆操作。
对于应用对象,不可以进行添加,修改,删除等操作,但是可以通过系统文件来升级应用对象。应用组对象,引用多个应用对象,组成新的应用组对象,可以进行添加,删除,修改操作。
应用对象和应用组对象可以被策略管理中的应用选择所引用,但是新建的应用组对象不能被策略管理的应用过滤引用,应用过滤只引用系统的应用对象。
· 预定义URL分类,不可以进行添加,修改,删除等操作,只能通过系统文件来升级URL分类。
· 自定义URL,可以进行添加、修改、删除、克隆操作。一个自定义URL里可以包含多个URL。
在策略管理的URL过滤中,可以应用系统的URL分类,也可以引用自定义的URL。
可以添加新的关键字,并且成功添加一条关键字以后,可以对其进行修改,删除,克隆操作。在策略管理中的应用过滤里,有关键字匹配,在那里可以应用成功添加的关键字。
在集中略里中点击<添加>按钮,按照需求进行配置,正确配置以后,点击<确定>按钮,此时在策略管理界面会出现新添加的集中策略,选择这条集中策略,点击上方红色<下发>按钮,此时会弹出选择设备对话框,选择要下发到哪一台设备,点击确定,如果没有问题则提示,下发成功,如果有问题则提示下发失败。
如果一条策略下发失败以后,这条策略的下发结果为下发失败,点击左侧的设备名称查看具体失败原因。
如果一条策略成功下发以后,打开设备的上网行为管理-策略配置-IPv4策略,就可以看到刚刚下发的策略,并且ACG1000日志分析与管理平台下发的策略的优先级最高。
不允许同时下发多条策略,但是允许同一条策略同时下发到多台设备。
有修改,删除,下发操作,都可以正确的执行命令。
用户可以通过不同行为的查询,查询到设备上的用户在某些时间段内的具体操作,可以有效的统计和管理。
例如想要查看用户今天都访问了哪些网站就可以选择日志查询-上网行为日志-网站访问,在设置界面选择要查看的设备,选择要看的用户IP地址,时间选择最近一天,点击<确定>按钮,就会出现这个用户最近一天都访问了哪些网站。
日志查询是通过查询数据库中的表来返回查询结果的。
例如数据库中表:t_log_nat_201408 存储的就是2014年8月份的NAT日志,表t_log_other_201409存储的就是2014年9月份的其他日志审计的日志等等,日志查询就是通过查询不同的项目,找到对应的表来返回表中的结果
选择要查询的日志种类,选择要查询哪台设备,选择时间段,之后点击<确定>按钮就会出现这台设备在这段时间内的操作。
例如:要查询设备:192.168.2.55在最近1天内的网站访问日志,操作过程:
(1) 点击“日志查询 >上网行为日志 > 网站访问”
(2) 选择设备地方不选择全部设备,选择192.168.2.55这台设备
(3) 创建时间选择最近一天6、点击<确定>按钮。
这样就会出现2.55这台设备最近一天的网站访问日志。
没有查询的日志的原因可能如下:
· 客户端日志过滤选项没有配置发送到syslog服务器。
· 在设备端的日志设定中的日志服务器没有选择服务器IP地址。
· 设备端的相应功能是否设置为记录日志。
· 这台客户端的流量表损坏。
· 确定连接线路没有故障。
· 利用抓包工具查看是否有日志信息发过来,没有的话则是设备端没有发送日志,去查看设备端是否产生了日志,如果发送过来了,则是日志没有入库,可以稍等1分钟。
过滤条件有:选择设备,筛选用户,过滤源地址和目的地址,URL分类过滤,域名过滤,URL过虑,动作过滤,级别过滤,筛选时间段。
如果在管理很多台设备,需要查询一台设备里的某一个用户,就可以用到日志过滤查询功能。
日志数量的多少、用户的多少、是否涉及多个月份、过滤条件、此时是否有数据存储。
通过新建报表任务或者预定义报表任务,可以查询到某台设备的每周,每月,某个时间段的设备流量,上网行为,网络总体,关键字用户,应用审计的具体信息,将以柱状图,波形图,饼图等形式展示出来。可以方便用户对设备的管理和统计。
报表文件是通过报表任务或者预定义报表任务执行得到的关于某台设备在某段时间行为的的统计数据。
报表任务是用户自己定义的任务形式,其中可以选择表报任务的行为有:设备流量、上网行为、网络总体、关键字用户、应用审计。在统计内容中具体选择哪个报表模块,设置统计条件,设置生成时间,选择生成格式即可。
预定义报表任务是程序自带的报表任务,总共包括:每周设备应用流量报表,每周设备用户流量排名,每周设备流量排名,月度设备应用流量排名,月度设备用户流量排名,月度设备流量排名。预定义报表任务只能修改名称和设备,其他的选项为固定的。
这样的提示说明此时没有连接到你的设备,请点击<编辑按钮,选择要生成报表的设备即可。
报表文件的格式分为:HTML或者PDF。在编辑表报任务的生成格式可以选择HTML格式和PDF格式。
选择设备时只允许选择一台。
等待一会,生成报表文件需要一定的时间,如果等待一会也没有报表文件出现,查看报表任务执行是否正确。
在系统管理-管理员可以选择super超级管理员进行修改密码。
使用超级管理员可以为其他管理员分配权限,在系统管理-管理员-角色管理中可以为管理员分配权限。
可以通过使用super账号,对丢失密码的管理员进行密码重置,从而找回密码。
在系统管理-数据库备份还原中输入正确的备份路径,就可以将当前的数据库备份到路径文件下。
在系统管理-数据库备份还原中输入正确的还原路径和文件名称,就可以将备份的数据库还原到现在数据库上。
在系统管理-日志备份还原中选择要备份的日志类型,也可以多选和全选,选择要备份日志的日期,填写正确的备份路径,就可以将选择的日志备份到填写的路径文件下。
在系统管理-日至备份还原-日志还原,填写正确的还原文件的路径和文件名称,点击<确定>按钮,就可以将备份的日志还原到ACG1000日志分析与管理平台上。
自动备份的数据库存放在配置自动备份时填写的路径内,可以通过查询备份结果确定。
数据库备份结果页面会显示自动备份数据库信息和立即备份当月数据库信息,不会显示立即备份全部的数据库信息。
· 数据库备份和还原时,服务会关闭,所以在执行数据库备份还原时需要注意数据会不入库。
· 在还原的时候一定要按照备份时间顺序还原,否则有可能导致数据异常。
在重启设备时可以选择是否保存配置,如果仅仅重启设备,不会保存设备的配置信息,如果选择设备重启并且保存配置会先保存设备的配置信息,保存成功后,重启设备。
试用授权为用户增加3个月体验效果,在3个月内可免费使用软件,导入正式授权后,默认授权不会失效,从而叠加正式授权,不会对软件造成影响。试用授权过期后授权状态即可切换为永久。
对于服务质量管理条目建立之前的“最后一次成功率”和“最后一次延时”数据进行补零显示;
进入WEB页面内的“网络优化>服务质量管理”查看探测结果,先确定配置的探测条目tcp端口是否打开。
表2 探测内网的dns服务器时,首先确定设备dns服务器是否指向了内网dns服务器;
(2) 探测外网的知名dns时,首先确定设备是否配置了dns服务器,并且配置有到达外网的路由。
当设备上未配置DNS服务器时会出现以上情况:
表1 探测内网的dns服务器时,首先确定设备dns服务器是否指向了内网dns服务器;
(3) 探测外网的知名dns时,首先确定设备是否配置了dns服务器,并且配置有到达外网的路由。
PC能够重定向到认证页面,说明设备的路由及IPV4策略是没有问题的。
(1) 首先查看绑定的MAC地址是否与PC的MAC地址一致;
(2) 再查看下组网方式,若是ACG通过三层交换机与内网PC相连,目前ACG没有跨三层MAC地址学习功能,则无法直接获取到内网PC的MAC地址,这样即使绑定了MAC地址,任然需要通过认证才能上网。
(1) 多出口场景下使用。
(2) 接口最少2个最多4个,
(3) 目前不支持ISP就近探测
(4) 如果在出口使用的话路由需要配置为默认等价路由。且在同一负载均衡组下
(5) 如果一个路由的多下一跳出口分属不同的负载均衡组,对于这种存在冲突的情况,按照之前的路由选路方式进行,不再进行负载均衡。
(6) 只有物理口能加入负载均衡组。
(7) 加入到负载均衡组中的接口不能再加入到桥口或聚合口和HA心跳口。
目前支持带宽比负载和优先级负载两种方式
根据每条链路的带宽,通过分配新建链接,采用轮询负载均衡接口的方式选择出口,达到负载均衡的目的。
表1 必须有两个出口
(8) 只有加入到负载均衡的接口,且路由可达的接口才对流量做负载均衡。
(9) 采用带宽比负载均衡时,接口组里的所有接口都需要配置带宽,否则该接口组不生效,阈值可不配置。
(10) 不配置阈值的情况下,按照带宽比例进行负载。配置阈值的情况下,根据接口带宽和阈值的值进行转发
(11) 如果没有配置过载保护接口的话,当链路阈值到达后,该链路不再承载新连接的流量,转由其他链路进行负载。当所有链路都达到阈值后,则会对新连接丢包。
如果有多个过载保护口,只选择当前负载最小的接口
基于优先级的是 谁的优先级高先走谁 接口达到阀值后在找第二优先级的接口走,相同优先级,接口流量满了后才从其它接口转发
表1 必须有两个出口
(12) 只有加入到负载均衡的接口,且路由可达的接口才对流量做负载均衡。
(13) 接口必须配置优先级。默认优先级为4,数字越小,优先级越高。带宽阈值可不配置
(14) 负载方式为优先级并且配置有接口带宽和阈值,当优先级高的链路达到阈值后,走优先级低的链路。
表1 负载方式为带宽比的情况下,会话保持优于带宽比。
(15) 会话保持保证同一源IP出接口一样。如FTP控制流和数据流走同一链路,同一用户的请求能持续在同一个链路进行负载,避免网银等业务不可用。
表1 负载方式为优先级,同时开启了会话保持,先走优先级
表2 会话保持对优先级无效,因为优先级强调的本来就是优先走哪个接口,这俩互斥
表1 负载均衡组指定过载保护接口,该接口在负载均衡组中。当负载均衡的各个出口都达到阈值后,再有新建会话则从指定的过载保护口出,并且该口不受阈值限制。
表2 如果有多个过载保护口,只选择当前负载最小的接口
支持在负载均衡接口上配置健康检查,引用已有的tack机制。当track状态发生变化时,对应接口的路由状态发生变化。基于track,已实现ICMP、TCP(HTTP、FTP、DNS等)。对于需要多种检测方式的,引用track组
账号管理员:创建/删除/编辑系统管理员账号以及查看自己的操作日志。
审核员:可以查看所有管理员的操作日志。
系统管理员:对自己已有权限的模块行进操作。
三个默认管理员账号是否可编辑?
账号管理员、权限分配管理员、审核员这三个默认管理员的名称和密码都可以修改。
普通模式切换到三权模式后,原来的系统管理员、审计员账号还可以登陆吗?
设备由普通模式切换到三权模式后,原来的系统管理员和审计员都成为系统管理员,但权限为空。
可以使用命令display run http查看当前http的信息:
http hijack enable
http hijack advertise-type local
http hijack advertise-url http://192.168.2.73/adv/js/ad_pop.js
2) 自定义广告暂不支持ha同步,如HA切换后需要重新配置流量劫持。
3) 自定义广告配置仅可由界面来配置
4) 暂时只支持全局配置
5) 广告推送域名白名单仅支持命令行配置
6) 流量劫持广告弹出与网速带宽、广告过滤软件等都关,网速慢的情况下图片加载就慢
7) 一个网页多个跳转后广告无法弹出原因是同一条连接发起了多个get请求只对第一个get请求作插入;302跳转的情况可以处理
8) 网站弹出广告页面显示不完全受网速等条件限制,如广告弹出较慢刷新页面或者等待页面加载完全后,广告可以显示。
9) 个别网站在开启流量劫持的情况下,网页停留一段时间后,提示网页已重置(网页邮箱)这类网站会定期向服务器端发送请求报文,与流量劫持插入代码冲突,导致网页显示重置,目前没有好的处理办法。建议在域名白名单排除掉该网站
10) 在会话未老话情况下,不得使用同五元组会话触发广告插入,否则广告无法做二次插入
11) 一些网站结构为frameset框架布局,主界面里包含多个其它请求,广告图片会显示多个,目前暂无法处理,建议:此类网站加入域名白名单排除掉该网站。
12) 广告不弹出的情况下开启debug http hijack查看http请求是否匹配到流量劫持
1) 新建交换机条目的mac地址是与设备相连的交换机的地址
2) 设备配置的团体名需要跟交换机上的团体名一致
3) 团体名不能包含中文
开启跨三层扫描及MAC-IP绑定后,交换机下的新用户IPMAC如果不能及时学习到,数据直接放通,在线用户列表中的MAC会显示成三层交换机的MAC
如果交换机的MAC不在跨三层学习交换机列表中,直接拿数据MAC与IP-MAC绑定表比对
如果交换机的MAC在跨三层学习列表中,先遍历IPMAC学习表获取真实MAC,然后再与IP-MAC绑定表比对
配置更新时间为30s,扫描开始后串行逐个扫描,待所有交换机扫描完毕后等待30s再开始下一轮扫描
如果旧表中有对应mac,则更新老化时间,如果没有,则新增。对于旧表中有但没有新学习到的mac,等老化后删除
学习是分两步
1)、snmp协议跟交换机交互报文,来学习IP/mac条目,并将IP/mac条目存到文件中(网络好时报文交互快,学的也快)
2)、从文件中读IP/mac,进行新旧对比并更新老化时间
1)IPMAC表达到59000条时触发快速老化,将已经老化的IP/mac全清掉,规格满直接丢新的条目。
2)、两次快速老化的时间间隔是10分钟
正常情况下,全局开启跨三层扫描后启动老化定时器,30分钟执行一次老化,然后更新定时器的时间进行下一次老化,如果条目达到59000条,触发定时器快速老化(记录本次快速老化的时间),然后刷新定时器为30分钟;当再次达到59000条时,if判断当前时间-上次快速老化时间〈10分钟,什么都不做;否则触发定时器快速老化(记录本次快速老化的时间),然后刷新定时器为30分钟。
同一个小米手机会带多个终端型号:如MI2会同时带MI2、MI2S的终端标识,终端类型会显示成先识别的终端标识,这样就可能会把MI2识别成MI2S。
同一个小米手机会带多个终端型号:如MI2会同时带MI2、MI2S的终端标识,为防止误识别,小米手机型号不能做为用户唯一的标识。
目前暂不支持防共享监控用户列表HA主备同步,主备切换后需要重新检测共享终端。
阻断提示中<frozen-time>的单位是动态显示的,大于1分钟时会自动以分钟为单位,小于1分钟时会自动以秒为单位。
(1) 首先查看ipv4策略是否将此数据包拒绝;
(2) 查看AGG设备路由是否正确;
(3) 查看用户策略是否正确,移动端或PC上网时是否匹配到此用户策略。
(1) 首先查看ipv4策略是否将此数据包拒绝;
(2) 查看AGG设备路由是否正确;
(3) 查看用户策略是否正确,IPhone是否匹配到此用户策略;
(1) 查看微信认证配置中应用ID是否与微信公众平台开发者中心的开发者ID中的AppId一致;
(2) 查看微信认证配置中门店ID是否与微信公众平台开发者中心的设备所在门店ID一致;
(3) 查看微信认证配置中Secretkey是否与微信公众平台开发者中心的Secretkey项一致;
(4) 由于微信公众平台一个门店下所有SSID的Secretkey都一样,所以设备侧SSID一定要与公众平台上的SSID保持一致,否则需要保证微信公众平台上所需连接的ssid排列在最后;
(5) 查看微信认证配置中其他参数是否正确。
(1) 若微信配置与微信公众平台注册时设置WIFI名称均为2.4G信号的ssid即cisco,那么微信认证时应该连接ssid为cisco;
(2) 若微信配置与微信公众平台注册时设置WIFI名称均为5G信号的ssid即cisco-5G,那么微信认证时应该连接ssid为cisco-5G;
(3) 两者不能同时使用。
此时可以更换浏览器尝试。
不支持。
不支持。
可以将用户认证策略具体化,比如AP1的用户需要进行微信认证,则将源地址设置为AP1的DHCP地址池;这样避免的连接AP2的用户走微信认证策略。
(1) 查看ACG是否配置DNS Server;
(2) 查看ACG是否开启了DNS代理功能。
微信连wifi不能区分双频AP两个信号共用DHCP同时接入,设备无法区分SSID,只能通过IP区分,若两个SSID使用不同的DHCP地址段可通过IP来区分。
单台设备下只能支持一个SSID
支持HTTPS弹portal
安卓手机扫码后手机上会显示商户对应的SSID,点击立即连接,完成手机自动连接商户对应的SSID,之后“出现网络连接失败现象”,即使重新连接也不能成功,因为微信扫码只是实现了自动连接SSID的功能,边上SSID后,手机会通过微信触发https流量,但此时由于用户通过认证,所以流量会被设备阻断,设备上放通微信流量的报文时机是在portal页面上点击一键唤醒微信的按钮之后才会放通一分钟。再加上设备无法对微信的https流量进行重定向,所以无法自动弹portal。此时需要手动打开浏览器触发弹portal完成接下来的认证流程,实现上网。
PC端进行微信认证时的浏览器支持IE9及以上,火狐、谷歌浏览器,对于火狐浏览器网银模式不支持,请务使用网银模式。
移动终端浏览器推荐:
|
手机品牌 |
推荐浏览器 |
|
iPhone |
QQ浏览器、百度浏览器 |
|
ipad |
QQ浏览器、百度浏览器 |
|
三星 |
QQ浏览器、百度浏览器 |
|
华为 |
QQ浏览器、百度浏览器 |
|
oppo |
QQ浏览器、百度浏览器 |
|
小米 |
QQ浏览器、百度浏览器 |
|
魅族 |
QQ浏览器、百度浏览器 |
设备上的wifi名称(SSID)建议不要使用中文、如果使用中文可能会存在兼容性问题出现乱码或无法连接的问题。具体请参考微信公众平台说明:https://mp.weixin.qq.com/wiki,附截图说明如下
为了实现微信内置浏览器弹Portal,默认放通了dns.weixin.qq.com(DNS报文会封装到这个域名的报文中)、short.weixin.qq.com(获取用户OpenId)的流量,不认证的情况下微信能正常收发消息,因为微信收发消息被封装在short.weixin.qq.com的报文中了。
微信内置浏览器中大部分应用都部署在微信服务器上,访问时报文已被微信私有协议mmtls加密,导致不能弹portal,此类url host一般是http://mp.weixin.qq.com。
例如:http://mp.weixin.qq.com/s/YOkQ0zn7fYi35KK8m3Gw8w,经测试统计这类应用的比例高达40%左右,另外还包含以下情况不能弹Portal:
1、 微信内置浏览器中的https页面不支持弹portal
2、 部分http页面不能弹portal,原因是终端建立tcp3次握手后,不发送GET请求了,与终端行为有关。
3、 订阅号中的应用不支持弹portal,都是内置在微信服务器上的应用,微信不会响应302重定向报文
苹果手机不支持扫码认证,在微信扫码认证时,因为微信需要获取root权限打开手机无线,苹果手机没有开放root权限,安卓手机默认都开放了root权限。
强制关注支持订阅号和服务号,但强制关注所用的订阅号和服务号必须是已通过微信官方认证的,否则没有权限获取access_token。
原因:微信客户端一次请求的等待时间为10s,请确保后台认证服务器在微信客户端向authUrl发送请求10s之内返回AC认证结果,即http返回码。超过10s未返回认证结果将视为认证失败。 参见Wi-Fi硬件鉴权协议接口说明——3.7 常见问题
用户源MAC获取方式因组网环境不同会有差异:
二层组网:直接获取报文中的用户源MAC,显示到日志中。
三层组网:不开启SNMP跨三层MAC学习功能的话,也是直接获取报文中的用户源MAC,显示到日志中。如果开启SNMP跨三层MAC学习功能,先取报文中的源MAC同交换机列表中的MAC进行比对,如果匹配到,则到该交换机列表中获取真实的源MAC显示到日志中,如果没匹配到则显示报文中的源MAC。
免认证方式是一种支持用户自定义认证portal进行广告宣传,同时不需要输入账号即可实现快速上线的认证方式,可提升用户体验。用户访问网页时被重定向到已定义好的portal页面,点击登录按钮即可完成认证流程。
用户第一次接入网络时会弹portal认证页面,用户按照要求输入正确的用户名及密码后完成认证并成功上线,此时设备会将该用户的MAC加入到无感知列表,当用户下次上线时先查无感知列表,如果用户MAC在无感知列表中,设备自动完成认证,将用户无感知上线,简化了认证流程,提升了用户体验。
用户认证上线后,设备将该用户的MAC加入到无感知列表,当用户下线后,设备启动超时定时器,在超时时间范围内用户再次上网可以无感知上线,若大于超时时间,设备会将该用户MAC从无感知列表中删除,此后用户下次上线时需要重新输入账号密码进行认证。
无感知认证支持跨三层组网,但需要在设备上开启SNMP跨三层MAC学习功能,以获取用户的真实MAC。如果未开启SNMP跨三层MAC学习功能,会把报文中的三层设备的MAC加入到无感知列表,从而导致三层设备下的用户都可以无感知上线了。
混合认证就是在用户认证时提供多种认证方式供用户选择,用户可根据需要灵活切换认证方式,混合认证目前支持微信认证、短信认证、本地认证、免认证四种认证方式。
在混合认证里既可以选择单一的认证方式,同时也选择1种至4种的认证方式。
不一样,混合认证的模板是轮播模板,支持广告轮播。然而其他认证模板是默认模板。
微信白名单就是认证方式选择为微信认证,配置微信白名单以后,可以免认证上网。
全局白名单针对的是所有的认证方式,而微信白名单针对的是微信认证这一认证方式。
微信白名单在混合认证方式中不生效,因为混合认证方式会弹混合认证风格的认证界面,支持认证方式手动切换,如果混合认证中包含微信认证方式,弹portal之前无法确认用户是否会选择微信认证,即使用户选择了微信认证,也无法匹配白名单了,因为白名单的流程是在认证弹portal之前,弹portal后再命中白名单违背了白名单的设计初衷,即配置白名单的用户是不会弹portal的。
https弹portal是指终端访问https的网站认证上网,https网站能弹出认证页面portal。
由于https是加密的,访问https页面就需要ssl证书,所以手机访问部分https网页的时候,会弹出一个警告信息,部分https网站提示完可以继续访问,但是也有部分网站直接禁止继续访问该页面。这时候可以换一个浏览器或者换一个https网页重新访问。
因为微信认证中,由于用户与微信服务器的交互都是https加密的,对于PC端而言,打开https网页弹出portal以后,流量会自动放通一分钟,以便用户能与微信服务器通信完成交互生成二维码信息,对于移动终端而言,弹portal后点击“一键唤醒微信连wifi”的按钮后流量会自动放通一分钟以便正常唤醒微信,完成接下来的认证流程。
由于不同的浏览器对一些流行的购物网站(如京东、淘宝)或门户网站(百度)证书安全级别有强制保护检查,浏览器检测到https弹portal的行为证书不合法,则不会继续访问portal页面,导致无法弹portal,此外对于银行https网站都无法实现弹portal。
IE11浏览器有合法证书强制检查,不信任的证书网站不允许用户继续浏览,进行强制保护,导致设备无法对https网站弹portal。
微信认证强制关注就是用户需要关注客户公众号才能在认证成功后持续稳定上网,否则会在5分钟内被设备踢下线。
不需要,强制关注实现原理是:用户无论是否关注过公众号,均可以正常弹portal完成微信认证,当用户通过微信认证上线后,设备会定期(5分钟一次)与微信公众平台交互获取对应公众号关注列表,如果用户上线后不关注公众号,关注列表中没有此用户,那么设备会把此用户踢下线,防止用户蹭网。所以如果在微信认证成功后要想持续稳定上网,建议在完成认证流程后点击关注公众号。
认证模板设置包含本地认证、微信认证、短信认证、免认证的弹出portal页面的风格自定义,同时增加了轮播模板,可用于以上四种认证方式,即每一种认证方式都包含两套模板:默认模板以及轮播模板,轮播模板支持3张背景图片循环播放。
认证模板预览支持认证方式切换效果的展示,但目前尚不支持此功能。
策略查找界面提供基于以下维度的搜索功能:
策略ID-------------------精确匹配
源地址------------------地址对象精确匹配,IP地址模糊匹配
入接口(源区域)--------精确匹配,且该选项是唯一性的
用户--------------------精确匹配,该选项是多选项
目的地址----------------地址对象精确匹配,IP地址模糊匹配
出接口(目的区域)------精确匹配,且该选项是唯一性的
应用--------------------精确匹配,该选项是多选项
服务--------------------精确匹配,该选项是多选项
注:
以上搜索中多选条件项,每项最多可以同时选择8个对象。
同一个条件内部是或的关系,只要包含其中一个对象即可。条件与条件之间是与的关系,必须全部满足才可以搜索成功
地址本域名是指在地址对象中支持添加域名方式的对象,并支持在其他策略中引用。
地址本域名支持添加域名形式的地址对象,设备会将域名解析成对应的IP地址,在策略匹配过程中实际还是直接匹配的IP,如果发现策略命中不生效,检查设备是否配置了DNS,以及查看域名是否成功解析成了IP地址。
NAT44支持端口复用,只要一条流的DIP、Dport、portocol有一个参数不一样就可以转化成相同的源端口
NAT44端口分配是随机的,从尚未使用的端口号中随机选择一个进行转化。
ACG1000-V系列产品不支持此FAQ。
目前仅支持华为E3372联通版本的4G网卡。
设备在CPU100%的情况下会出现大量丢包,拨号报文发不出去,在连续发10个包后,没有响应,会导致lcp down,然后报close事件,根据PPP状态机,PPP切换到closing状态。
然后超时,收到To-事件,状态切换到closed状态,此时收到server端的Configure-Request packets时,会发送一个Terminate-Ack。收到server端的Terminate-Acks被静静的丢弃,以防止造成循环。
不再主动发包,等待up事件触发,所以需要接口shutdown、no shutdown
(1) 负载均衡出接口配置规格32
(2) 单独一个出接口允许添加健康检查的个数规格8
(3) 负载均衡策略配置规格32
(4) 单独一条负载均衡策略可以添加的出接口(包括出接口组)规格8
(5) 出接口组中可以添加的出接口的规格4
(6) 免负载地址可以添加的地址对象(包括地址对象组)规格8
(7) 加入到负载均衡组中的接口不能再加入到桥口或聚合口和HA心跳口。
目前支持基于权重负载和优先级负载两种方式
选路的规则是按照链接哈希,结合权重完成选路,同一链接的所有转发要求使用同一个接口完成。
关于父子链接的应用:sip,h323,pptp,ftp,tftp等要求主从链接必须使用同一个接口完成转发,使用源地址hash,这样就可以保证同一源地址的所有请求使用唯一接口完成转发
表3 权重的范围1-100
(8) 出接口状态为up的接口能够参与权重比计算
负载均衡策略添加的出接口,按照由上到下的匹配顺序,进行转发
这里的优先级需要明确,最优链路出现故障,则使用第二优先级的链路转发,一旦最优链路恢复,则新的链接使用最优链路完成转发,旧得连接在原有的接口上维护
表4 优先级的匹配顺序是由上到下
(9) 最优链路出现故障,则使用第二优先级的链路转发,一旦最优链路恢复,则新的链接使用最优链路完成转发,旧得连接在原有的接口上维护
(10) 优先级可以通过上下箭头进行调整,按照调整后优先级完成转发
表5 新版本的会话保持功能,使用源地址hash,这样就可以保证同一源地址的所有请求使用唯一接口完成转发,如FTP控制流和数据流走同一链路,同一用户的请求能持续在同一个链路进行负载,避免网银等业务不可用
表6 新版本暂时不支持过载保护功能
表7 链路负载出接口,添加健康检查(健康检查地址需要配置可达地址)
表8 健康检查支持协议:暂时仅支持ICMP检测
表9 链路负载均衡出接口,最多添加8个健康检查条目,8个检查条目,只要有任何一个检测失败,认为该出接口健康检测失败,该接口状态为不可用
表10 出接口为三层口静态ip的接口,必须配置下一跳地址
表11 出接口为pppoe,dhcp,tunnel接口,不需要手动配置下一跳地址
表12 默认配置排除设备的直连网段,也就是说直连网段的地址访问外网,不需要进入负载均衡流程
表13 选中的免负载均衡地址访问外网,不需要进入负载均衡流程
表14 新版本暂时不支持匹配应用的负载均衡
表15 首先匹配策略路由,未匹配上策略路由匹配负载均衡策略,均为匹配上,匹配静态路由
表16 链路负载均衡本身的匹配顺序,先匹配免负载均衡地址,负载均衡策略由上到下匹配
表17 负载均衡能够匹配正向发送的流量,无法匹配反向进入设备的流量(配置负载均衡策略,同样要配置相应的默认路由,保证目的nat功能可用)
表18 ISP地址的导入命令:copy ftp 服务器ip 导入的isp地址库名称 isp-address
表19 isp地址导出命令行:export isp-address by ftp 服务器地址
表20 ISP地址导入后需要执行 isp address update ,导入的isp地址生效
表21 ISP地址导入后需要执行 isp address creat,isp地址生效
表22 ISP地址删除命令,isp address delete
(1) 用户的规格是根据不同设备型号(不同的内存来决定的,范围是4096-32768)
(2) 用户组的规格所有设备相同,均为1024
用户页面能够完整显示前3个用户组,剩余的用户组通过省略号代替,但是会显示具体的所属用户组个数
用户组中引用用户的规格为2048,当所选用户超过2048个,无法全选移动到指定用户组
用户支持批量移动,用户组不支持批量移动,仅支持单独移动
(3) 用户导入支持追加导入,不支持覆盖导入,如导入文件中的用户与系统中已存在用户名称相同,则导入失败。回退导入操作
(4) 导出:导出所有用户和用户组
(5) 导入/导出的文件后缀格式(.csv)
LDAP服务器用户名长度大于63字符后同步到设备用户名会截断成63字符。
LDAP服务器同步目前支持389明文传输,不支持636密文传输(加密跟服务器交互不了 身份验证不了)。
在用户管理--全局配置--第三方LDAP认证处,选择ldap组统一认证。
Windows AD域不支持匿名同步用户,OpenLdap服务器支持匿名同步499个用户。
AD或者Openldap服务器上用户名超长(大于63字符);(汉字数字字母以及@._-()[]|以外的特殊字符);单OU下大于2048个用户的。
LDAP BaseDN如果写根OU的话,同步LDAP服务器的时候会把根OU下的所有子OU以及用户全部同步下来。
远端用户删除后重新同步ldap组后,远端被删除的用户移除用户组,本地用户没被删除,不会影响到策略。
(1) 由于远端用户认证未下线所以本地即使没有该认证用户也不影响下联pc上网
(2) 当远端pc 认证用户下线后重新使用被删除的用户进行认证是提示用户不存在
HA主备环境配置不会比较ldap同步下来的用户。
IPSes条件下使用LDAP认证时,IPSes认证使用用户名密码认证后,会从本地查找该用户名用户,若该用户不存在,则不会添加该用户到认证用户组。所以若使用该方式认证,需保证本地存在该用户。
LDAP定时同步设定的时间范围为0-23,例如:23,所代表的含义是时间整点为23点的一个小时时间段内均为自动同步的有效时间,即23:00-23:59为自动同步有效时间。
(1)接口已经作为镜像规则源接口时不可再配置为其它规则的监控接口;
(2)接口已经作为镜像规则监控接口时不可再配置为其它规则的源接口;
(3)源接口和监控接口不能是同一个物理接口,要么配置为源接口,要么配置为监控接口,不能同时配置;
(4)管理口以及旁路接口不可配置为监控接口;
(5)在线业务口不可配置为监控接口(在线业务口即为现网在跑正常业务的物理接口)
(1)查看接口是否up,只有镜像接口up时才进行端口流量镜像,否则不进行流量镜像;
(2)设备packet buffer数量使用率超过3/4,可通过display statistics fpa命令中PKI_POOL一行查看当前的使用情况,如果正常业务流量的packet buffer数量使用率超过3/4则镜像功能失效,不再镜像业务流量。
设备packet buffer数量使用率超过3/4,可通过display statistics fpa命令中PKI_POOL一行查看当前的使用情况,如果正常业务流量的packet buffer数量使用率未超过3/4,但匹配镜像功能后超过3/4,则会出现只镜像出部分业务流量的现象。
需要配置多条端口镜像规则,每条规则配置不同的源端口镜像到同一个监控接口, 目前端口镜像规则的源接口、监控接口只允许配置一个物理接口,无法配置多个物理接口。
不支持,由于ACG仅仅支持单台模式,因此仅仅支持本地镜像,而不支持远端镜像。
不能。
使用display statistics phy-interface命令或在web页面查看监控接口的发送的流量大小是否等于端口镜像规则源接口所配置镜像方向的流量的大小。
可以,但是镜像前要保证被镜像的源接口的流量小于监控接口真实的物理带宽,否则监控接口发送报文出现拥塞,造成系统大量丢包,影响报文正常转发,造成业务中断,因此建议使用时配置低带宽向高带宽接口镜像,尽量不要高带宽往低带宽接口镜像。
电脑端需要安正证书在浏览器的受信任根目录下,具体导入过程见【证书导入文档】。
证书有始发日期和结束日期,当导入证书以后,用户电脑当前时间小于证书的始发日期会导致证书无法使用。用户电脑当前时间大于证书的结束日期也会导致证书无法使用。
当设备DNS设置成全局模式时,用户电脑的DNS需要指向设备的入接口,以保证DNS过设备,解密策略才能生效。若DNS不经过设备的话,解密策略不生效。
Chrome浏览器原本打开的12306就是报非安全连接,并且Chrome和Firefox浏览器把全部http视为非安全连接。
如果两台防火墙串联(PC-ACG1-ACG2),ACG1证书为mm.cer,ACG2证书为https.cer,用户电脑应该导入ACG1的证书mm.cer。
防火墙的证书必须和用户导入的证书一致,否则浏览器依然显示证书非安全。
手机端(Android/ios)都需要导入证书,如果不导入,手机端访问网址、发送邮件、升级系统都会报非安全连接或者验证错误。
不是,有些邮箱客户端(网易邮箱大师/闪电邮)的smtp是使用的TLS加密,TLS加密不支持解密。
可以,ACG中路由功能对目的网段地址未做该限制,支持配置组播地址,建议根据网络环境配置正确的静态路由,不建议配置组播地址。
接口超过1000个时,可能出现获取缓慢或超时情况。
会,当有路由环路时,且网络中流量较大,可能会出现设备CPU 100%的情况。
请确认设备是否包含恶意url的特征库。
没有,插卡的管理口mgt0口只是做管理使用,相关的流量、用户排名、流量排名、在线用户不会统计。
正常,因流控采用FIFO队列,被控制IP的流量小于流控策略时会直接转发,如流量溢出策略阀值,并不会将此条会话丢弃。当该IP下一条会话再次经过ACG时才会对报文进行分片处理。当流量低于设置阀值时在进行直接转发的流程。如此循环。所以会出现轻微流量溢出的情况。
不支持。
不能,插卡的管理口双工速率只能自协商。
应用审计日志条目特别多时,查询会比较慢。根据实验室测试情况,当某类日志达到6千万条时,查询约40分钟左右。
仅ACG1000-V系列产品支持此FAQ。
ACG1000不支持热插拔机制,添加虚拟网卡时需要关闭虚机,才能进行添加与删除
可以利用安装好的模版进行部署安装ACG1000
ACG1000支持virtio、vmxnet3、E1000、E1000E、SR-IOV网卡驱动
ACG1000支持QCOW2、RAW、VMDK、ISO镜像格式
(1) 查看虚拟接口是否绑定在物理接口下。
(2) 查看云平台安全组规则是否打开了相应协议与端口
(3) 是否开启了arp安全防护。需要关闭arp防护功能,否则pc学习不到ACG1000的arp。
(1) 安全策略是否没有配置允许通过。
(2) 流量是否到达了ACG1000的接口。
(3) 查看云平台是否开启了校验接口IP/MAC机制导致报文不能转发,如果开启了请删除或者允许其它IP/MAC地址通过ACG1000
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
