H3C SecPath ACG1000系列应用控制网关 用户FAQ(R6612 E6453)-6W102

手册下载

H3C SecPath ACG1000系列应用控制网关

用户FAQ

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2021 新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。

 


 

1 部署方式FAQ·· 1

设备应部署在哪里?·· 1

设备部署方式有哪些?·· 1

什么是路由模式?·· 1

路由模式使用在什么情况下?·· 1

路由模式下无法访问外网?·· 1

什么是透明模式?·· 1

透明模式无效果?·· 1

透明模式的工作原理?·· 1

透明模式的实用性在哪里?·· 2

什么是旁路模式?·· 2

使用旁路模式的好处是什么?·· 2

查看设备日志信息为空时怎么处理?·· 2

部署设备有什么好处?·· 2

为什么设备配置正确但是数据无法通过?·· 2

接口在修改地址模式为pppoe,由于达到规格下发失败时会清掉原有的静态ipdhcp配置?·· 2

配置向导支持哪些使用场景?·· 2

2 设备管理FAQ·· 2

为什么管理员用户不能通过HTTPSSH、或者Telnet登录设备,不显示web页面?·· 2

为什么HTTPS无法打开防火墙的WEB页面?·· 3

在“系统管理>管理员”,“添加管理员”页面中的"管理IP/掩码"的作用是什么?·· 3

用户登录成功后,可在哪里修改密码?·· 3

默认admin管理员账户的密码如何重置?·· 3

什么是管理员双因子认证?·· 3

USBkey支持哪些厂商?·· 3

更新CA根证书后https访问设备不能打开设备登录界面?·· 3

使用IE浏览器https无法访问设备WEB界面?·· 3

火狐浏览器默认不能调用Ukey中的证书?·· 3

修改https的端口后使用https的方式登录界面,再使用http方式登录失败?·· 4

手动升级相同的特征库日志和自动升级相同特征库日志记录不一致?·· 4

NTP间设定是否支持IPv6服务器地址的时间同步功能?·· 4

同一浏览器使用httphttps两种方式打开管理页面进行配置,http页面无法登录?·· 4

使用同一主机下登录了一个管理员时,再打开一个管理页面输入另一个管理员密码使之超过最大登录尝试次数,原先正常登录的管理员也会被限制?·· 4

设置多个管理员,同时登录两个管理员时,若退出其中一个,另一个也会退出?·· 4

管理设定中的页面超时时间提交后不能立即生效,需要清理浏览器缓存才能生效?·· 5

设备开启实时保存后使用限制?·· 5

修改系统时间后,管理员密码有效期是否会更新?·· 5

3 审计策略FAQ·· 5

如何查看当前的审计策略?·· 5

IPv4审计策略匹配说明·· 5

审计日志可以存储多少条?·· 5

审计日志按照时间查询多天日志时,为什么会有空白页?·· 6

为什么审计不报日志?·· 6

为什么访问网站未记录网站访问日志?·· 6

为什么远程syslog服务器收不到日志?·· 6

邮件日志中为何有的邮件日志对应的是下载按钮,有的邮件日志对应是查看按钮?·· 6

为何邮件日志中有时看不到查看的按钮?·· 6

即时通讯审计有哪些限制?·· 6

社区日志中没有百度贴吧的日志?·· 7

审计日志内容显示会包含部分格式字符?·· 7

审计日志导出后打开term_supplierterm_platform两列内容为空?·· 7

邮件日志外发时附件个数最多发送5个?·· 7

邮件日志外发时日志字段中的file_size=0·· 7

SMTP邮件审计支持的格式?·· 7

修改微信认证用户模式之后,终端上下线日志用户名未改变?·· 7

分别用不同操作系统(IOS版和Andriod版)终端使用pc开启的wifi进行无线上网,然后登录QQ客户端,在设备的IM聊天软件日志里都识别为Iphone IOS 版?·· 7

文件传输日志HTTP文件下载支持对哪些格式的审计·· 7

IM聊天软件日志中QQ客户端的收发消息显示为登录?·· 8

Web mail邮件附件为txt文件的审计,日志页面显示的正确的名称及txt后缀,但下载下来后文件后缀怎么是.tar的压缩文件?   8

审计日志显示有6000多万条,而页面只能显示出86条,其余都是空白,而导出只有64条且提示信息中不显示导出日志的截止时间?·· 8

IPv4审计策略为什么没有记录日志,什么情况下才会记录审计日志·· 8

4 控制策略FAQ·· 10

安全策略的复制功能有哪些限制?·· 10

控制策略匹配说明·· 11

控制策略里子策略配置说明·· 11

HTTP上传关键字检测不支持压缩文件检测·· 11

关键字过滤不区分大小写字母?·· 11

关键字过滤同一条流只过滤第一个关键字?·· 11

论坛和邮件附件上传是否支持附件内容过滤?·· 11

为什么恶意URL白名单不生效?·· 11

FTP应用是否支持关键字过滤?·· 11

网页内容关键字过滤存在网页加载不全的情况?·· 11

在应用对象自定义应用中添加一个域名为www.baidu.com的应用,并将应用类选择为搜索引擎类,此时在控制策略中基于WEB搜索引擎关键字过滤时,百度搜索关键字不生效。·· 11

邮件控制都支持哪些?·· 12

邮件控制中匹配控制顺序是什么?·· 12

邮件控制中支持匹配几个关键字?·· 12

邮件控制关键字匹配原则是什么?·· 12

虚拟账号规格?·· 12

关键字规格?·· 12

虚拟账号匹配?·· 12

苹果系统虚拟账号不支持?·· 12

虚拟账号控制依赖条件?·· 12

安卓移动端虚拟账号使用限制?·· 12

旁路模式虚拟账号使用限制?·· 12

虚拟账号日志产生条件?·· 13

配置的虚拟账号阻断,应用控制放行 qq登录阻断前后会有一条放行的日志?·· 13

文件类型过滤功能的使用限制有哪些?·· 13

为什么配置终端公告功能,内网用户访问时,未弹公告页面?·· 13

为什么内网安卓手机打开浏览器没有弹出终端公告?·· 13

配置的定时推送功能,推送时间已过的情况下,新上线用户还会推送么?·· 14

配置的定时推送功能,推送时间已过,为什么没有推送出公告页面?·· 14

为什么配置基于多终端的控制策略,内网多终端用户却没有匹配控制策略?·· 14

微信内收发文字消息不产生应用控制日志?·· 14

自由门软件无法识别和控制?·· 14

控制策略网络协议动作配置为允许时不发日志?·· 14

控制策略动作为允许时支持记录日志吗·· 14

应用控制阻断文件传输,网页中的图片仍然可以下载成功?·· 14

QQ发送文件,为什么有时候显示有阻断日志,但是现象却是发送出去了?·· 15

控制策略引用自定义url匹配说明·· 15

配置了*.baidu.com的自定义URL阻断,为什么无法阻断www.baidu.com.cn网站?·· 15

如果自定义URL包含预定义组中的域名但是并未对它进行引用,对预定义中包含该URL的分类进行DNS阻断,是否会阻断?   15

配置了应用白名单后,为什么在出口抓包,可以抓取到非此应用的报文?·· 15

配置应用白名单功能,有哪些注意事项?·· 15

DDI设备联动针对终端类型进行控制时,终端型号支持显示的长度是多少?·· 16

DDI设备联动针对终端类型进行控制时,设备重启,同步的终端类型是否会丢失?·· 16

DDI设备联动针对终端类型进行控制时,终端类型是否支持修改?·· 16

DDI设备同步过来的终端型号是空格,为什么设备上显示为下划线?·· 16

DDI设备联动完成针对终端类型的控制的使用说明·· 16

描述信息参数前面带空格,下发后会被自动去掉?·· 16

当设备内存使用率较高时,下发控制策略会出现设备cpu100的现象?·· 16

5 策略分析FAQ·· 17

策略分析功能有什么作用?·· 17

策略分析能检测哪几种策略情况?·· 17

策略宽松度如何定义的?·· 17

为什么策略引用过期用户,被分析成空策略而不是过期策略?·· 17

6 流控FAQ·· 17

带宽的上下行如何区分?·· 17

配置最大带宽和保障带宽为何无法成功?·· 17

流量控制通道有多个匹配条件时如何匹配?·· 18

最大带宽和保障带宽分别有什么作用?·· 18

配置了保障带宽但是在拥塞时流量无法达到其保障带宽?·· 18

配置了多个流量控制通道,只有第一个通道有流量匹配?·· 18

什么是流量排除策略?·· 18

IP限速和通道带宽限制的处理关系?·· 18

为什么配置每IP限速后,下载速率只有配置值的三分之一?·· 18

QOS通道子通道每IP/每用户带宽允许大于父通道带宽?·· 18

如何限制P2P的流量?·· 19

流量控制通道的高、中、低级别有何作用?·· 19

子通道的保障带宽总和大于父通道保障带宽,如何分配保障带宽?·· 19

线路整体带宽仍然有富裕,部分应用延时很大?·· 19

QOS通道带宽自适应?·· 19

QOS通道带宽百分比范围?·· 19

QOS通道带宽联动?·· 19

QOS通道自适应算法说明·· 19

QOS通道自适应每IP和每用户说明·· 20

QOS透明部署配置Qos时,线路绑定说明·· 20

QOS三层部署配置Qos时,线路绑定说明·· 20

QOS子接口部署配置Qos时,线路绑定说明·· 20

QOS聚合接口部署配置Qos时,线路绑定说明·· 20

如何定位QoS策略是否被命中,命中哪条QoS策略?·· 20

哪些报文不受QOS限制?·· 20

如何定位数据包是否被QoS策略丢弃?·· 20

限制通道和普通通道的匹配优先级是什么?·· 20

流量经过限制通道和普通通道时统计的流量大小不一致?·· 21

限制通道、惩罚通道、普通通道的规格是多大?·· 21

限制通道不依赖于线路?·· 21

惩罚通道的用途是什么?·· 21

惩罚通道支持升级配置兼容吗?·· 21

两个方向的UDP单向流都命中惩罚通道的出方向带宽限制?·· 21

7 首页FAQ·· 21

为什么首页行为管理中审计日志没有统计计数展示?·· 21

为什么首页行为管理中流量分析没有分析展示?·· 21

首页的在线用户统计哪些用户?·· 21

首页的系统日志为什么和系统日志页面的记录不一样?·· 22

首页的审计日志是统计所有的日志么?·· 22

首页的阻断用户数都统计哪些用户及行为?·· 22

首页的流量分析评分标准是什么?·· 22

当设备重启、注销或重新打开Web管理页面时,锁定会话会保留吗·· 23

8 监控统计FAQ·· 24

设备流量统计的值为何比实际数据包的速率小?·· 24

设备流量统计为何与用户流量统计有所出入?·· 24

设备异常掉电后,为何丢失了部分数据?·· 24

更改系统时间对设备流量统计会产生哪些影响?·· 24

接口状态页面,没有完全显示所有接口的状态信息?·· 24

接口状态页面上有接收或发送速率的信息,但健康统计页面整机转发流量无数据?·· 24

设备健康统计页面,整机转发流量只能看到上行或者下行的流量信息?·· 24

接口状态页面的数据,多长时间更新一次?·· 25

设备健康统计采集规则·· 25

为什么在同一时刻,监控统计中的会话统计与设备健康统计中的会话统计存在误差?·· 25

支持时间段查询,为什么有时点击页面没有反应?·· 25

导出的功能的数据范围是什么?·· 25

导出数据中内存的三列都是什么?·· 26

如何开启/关闭内存页面的数据面内存和控制面内存展示?·· 26

所有页面都存在定时刷新功能吗?·· 26

修改系统时间后,页面数据如何展示?·· 26

查看的时间区间不在同一天,页面如何显示?·· 26

设备健康统计优化页面统计的数据是瞬时值还是平均值?·· 26

设备健康统计的数据存在哪?多久存一次?什么情况下会丢?异常情况下的自我保护功能怎么样? 例如CPU繁忙、内存繁忙、异常断电、进程挂死等。·· 27

会话统计排名为什么只有前50个?·· 27

会话监控页面有的会话存在时间为0秒?·· 27

会话监控页面上用户/用户组列有些显示具体的用户及用户组,有些显示为空?·· 27

HA备机设备会话监控中用户和用户组不显示?·· 27

会话监控,某些ip提取不到用户名和组?··· 27

单用户故障检测功能有哪些限制和注意事项?·· 28

9 用户信息中心FAQ·· 28

当用户中心用户识别错误的时候,同时用户数已经达到了用户中心的规格数,如何操作?·· 28

为何用户中心的应用日志数有时会多于日志链接的日志页面的总数?·· 28

当用户很大时,特定用户的信息为何没有更新?·· 28

当用户流量很大时,特定用户的审计日志统计信息统计为0·· 28

当用户数量很大时,停流40分钟后CPU0仍然很忙,显示为100%·· 28

为何用户流量统计有时会出现某应用类的应用未显示在饼图中?·· 29

为何网站访问分析总数有时会比该用户网站日志总数少?·· 29

为何用户在线时长有时会比在线用户显示的时长少?·· 29

为何用户信息中心在线时长有时会比在线用户显示的时长多?·· 29

用户中心用户的排名是按照什么方式?·· 29

为何用户的应用行为不能记录到时间?·· 29

为何在无线环境下在用户中心看到的账号信息不正确?·· 29

为什么用户信息中心只记录部分审计日志计数后不入库了?·· 30

10 安全分析FAQ·· 30

安全事件分析包含了哪些功能日志?·· 30

安全事件分析中的级别,如何定义的?·· 30

资产安全分析包含了哪些功能日志?·· 30

资产安全分析中级别如何定义的?·· 30

11 策略路由FAQ·· 31

什么是策略路由?·· 31

同一条策略路由最多支持几个下一跳?同时配置多个下一跳的情况下,如何转发报文?·· 31

策略路由转发流程图·· 31

策略路由下一跳不可达的判断条件是什么?·· 31

IPv6策略路由下一跳是否支持出接口(tunnel)·· 32

各种路由的优先级是什么样的?·· 32

当同一个策略路由存在多个下一跳的情况下,流量如何转发?·· 32

改变策略路由的优先级,对策略路由有什么影响?·· 32

12 ISP路由FAQ·· 32

什么是ISP路由?·· 32

ISP路由的工作环境是什么?·· 32

ISP路由是怎样工作的?·· 33

ISP路由如何进行流量负载均衡?·· 33

ISP路由和静态路由有什么区别?·· 33

13 IPsec VPN FAQ·· 33

如何查看当前IKE SA信息?·· 33

如何查看当前IPsec sa信息?·· 33

IPsec VPN中报文的默认加密方式是什么?·· 34

一条VPN最多支持多少条隧道?·· 34

为什么IPsec VPN第一阶段协商不成功?·· 34

为什么IPsec VPN第二阶段协商不成功?·· 34

为什么保护子网不能通讯?·· 35

为什么某些移动终端接入VPN不成功?·· 35

NAT环境下IPSEC协商不成功?·· 35

IPSEC建起连接后,一端断开后,IPSEC无法协商?·· 35

本端SA状态显示连接,流量无法转发?·· 35

当设备存在多出口时,其它参数正确,IPSEC协商失败?·· 35

IPSEC使用国密证书协商不成功?·· 35

IPSEC快速配置与IPSEC VPN标准配置有什么区别?·· 36

IPSEC快速配置一阶段和二阶段默认参数?·· 36

IPSEC快速配置默认参数支持修改吗?·· 36

IPSEC预共享密钥有字符限制么?·· 36

主链路断开后为什么ipsec链路没断开?·· 37

主链路被引用后还能继续当做其它链路的备链路吗?·· 37

主备切换必须等待ipsec老化时间结束才能切换吗?·· 37

主链路选择连接方式为监控链路故障自动连接后主链路选择下拉为什么为空?·· 37

链路断开是监控哪个阶段?·· 37

使用测试仪打单向流量,一条隧道的情况下为什么解密端cpu0核使用率很高?·· 37

IPSEC场景,DPD未开启的情况下,ipsec关联的物理接口down后,ikeipsec sa不会跟随断开连接?·· 37

IPsec快速配置分支节点对端网关的配置说明·· 37

14 IPv6 FAQ·· 38

配置IPv6有什么优点?·· 38

什么是IPv6邻居发现协议?·· 38

IPv6中的路由器请求报文作用(Router Solicitation)?·· 38

IPv6中的路由器通告报文作用(Router Advertisement)?·· 38

邻居请求(Neighbor Solicitation)报文作用?·· 39

邻居通告(Neighbor Advertisement)报文作用?·· 39

邻居发现协议的功能是什么?·· 39

在配置IPv6静态路由之前,需完成以下任务?·· 39

IPv6缺省路由的生成方式?·· 39

Tunnel接口上配置了相关的参数后(例如隧道的起点、终点地址和隧道模式)仍未处于up状态?·· 39

6to4隧道是否需要配置目的地址?·· 40

ISATAP隧道是否需要配置目的地址?·· 40

从设备端执行什么配置去主动ping另一台设备的IPv6地址?·· 40

什么IPv6手动隧道?·· 40

什么是6to4自动隧道?·· 40

什么中ISATAP自动隧道?·· 40

如何配置基于IPv6的域名白名单功能?·· 41

设备上配置了域名白名单,设备ping域名后,使用display user-policy whitelist显示无内容·· 41

15 DHCPv6 FAQ·· 41

DHCPv6配置了ac地址,但是抓包查看没有带ac地址信息·· 41

DHCPv6 Server地址池中有地址分配出去时,是否可以修改地址池范围?·· 41

修改DHCPv6 Server端的配置时,是否会导致Client端地址失效?·· 41

DHCPv6 server端默认配置有哪些?·· 41

DHCPv6 server是否支持静态地址分配?·· 41

DHCPv6 server分配地址是否按顺序?·· 41

DHCPv6 server分配网关吗?·· 42

DHCPv6 ServerRA的关系?·· 42

DHCPv6如何区分有状态和无状态?·· 42

DHCPv6 Client支持DHCPv6无状态吗?·· 42

DHCPv6 Client支持PD吗?·· 42

DHCPv6 Client有地址冲突检查机制吗?·· 42

DHCPv6 Client 可以处理managed flag 1RA报文吗?·· 42

开启DHCPv6 Relay服务时,为什么有时候提示接口地址不是全球单播地址?·· 43

DHCPv6 Relay使用过程中能否改变relay接口的IPv6地址?·· 43

DHCPv6 Relay配置过程中有哪些需要注意的?·· 43

对端路由器发送的RA包中配置的前缀,如果不是64位的,本端NDRA的接口可以获取到这个前缀吗?·· 43

对端路由器发送的RA包中,如果被管理标志位置位,本端NDRA的接口可以获取到这个前缀吗?·· 43

ND-RA功能和路由器的RA功能有何区别?·· 43

ND-RA功能和IPv6路由通告的功能有何差别?·· 44

16 ND-RA功能扮演终端模式,IPv6路由通告功能扮演路由器模式。VRF FAQ·· 44

不同的VRF间如何相连?·· 44

设备最多可以创建多少个VRF·· 44

VRF基本设计概念是什么?·· 44

路由表隔离功能的逻辑?·· 44

流表的隔离功能?·· 44

VRF模块设计背景?·· 44

VRF接口支持哪些功能?·· 44

VRF接口ping不通?·· 44

17 动态路由 FAQ·· 45

RIP支持v1v2功能吗?·· 45

RIP开启时默认是V1还是V2版本?·· 45

OSPF是否支持pppoe接口?·· 45

OSPFRouter ID如何配置,缺省是什么?·· 45

OSPF没有路由,甚至邻居都不能形成Full关系,最常见的原因是什么?·· 45

有什么好的办法知道OSPF出了什么问题?·· 46

OSPF如何自动计算接口cost的?·· 46

OSPF链路两端配置不同的网络类型,能否形成Full关系?·· 46

OSPF路由聚合是否可以跨区域聚合?·· 46

OSPFVirtual-Link是否很有用处?·· 46

OSPFv3在界面中是否有配置选项?·· 47

OSPFv3邻居无法建立?·· 47

OSPFv3路由信息不正确?·· 47

当执行no router ospf6后,其它接口有关ospfv3配置是否自动删除?·· 47

18 HA FAQ·· 47

配置HA的优点?·· 47

HA的工作模式·· 47

什么是HA的主备模式?·· 47

什么是HA的主主模式?·· 48

HA工作状态·· 48

HA接口概念·· 48

抢占模式·· 48

抢占延时定时器·· 48

心跳报文·· 49

HA管理地址·· 49

HA状态同步·· 49

HA主备状态切换·· 49

HA主主状态切换·· 49

HA主主邻居为什么建立不起来·· 49

HA主主地址代理·· 50

HA主主非对称路由·· 50

HA主备场景下执行手动同步配置,备设备重启完成后,主设备HA监控仍显示配置不同?·· 50

配置抢占模式后,如果主机重启过程中,备机配置进行了修改,主机重启后是否进行抢占?·· 50

HA主备环境中,备机上哪些配置允许修改?·· 50

19 Bypass FAQ·· 50

每台设备最多有多少组Bypass接口?·· 50

Bypass接口使用在哪种网络场景中?·· 50

Bypass功能默认开启吗?·· 50

进程异常时是否会触发Bypass·· 50

系统运行过程断电是否会触发Bypass·· 50

系统启动过程中是否会持续Bypass状态?·· 51

从系统正常到掉电进入Bypass状态时,会丢几个ICMP报文?·· 51

20 APP缓存 FAQ·· 51

APP缓存能缓存哪些文化类型?·· 51

APP模糊匹配URL如何设置?·· 51

本地文件如果不存在怎么办?·· 51

App缓存文件存储在哪里?·· 51

为什么重启后app缓存计数不正确?·· 51

APP动态缓存的规格?·· 51

URL链接为什么无法提交?·· 51

CLI下上传的文件能大于剩余缓存空间?·· 51

磁盘空间大于80%,设备是否还能正常上传app文件?·· 52

页面上动态缓存域名下的已经下载的多个app缓存文件,能否单独删除其中一个app缓存文件?·· 52

动态缓存的app文件类型?·· 52

文件名包含中文时APP动态缓存失败?·· 52

应用缓存功能在PC端连续下载两次文件,缓存计数只命中一次,一次在设备下载,一次在server下载?·· 52

Smartbits打入混合流量,设备的内存占用较高,此时导入应用缓存,WEB或者Console概率出现错误提示,WEB会处于一直上传的状态?·· 52

APP动态缓存设备http服务端口必须为80,不支持端口漂移?·· 52

21 会话限制FAQ·· 52

会话限制基于什么原则来进行限制?·· 52

配置两条会话限制,引用的地址对象分别都包含了某个IP地址,但是会话限制的配置不同,那么该以哪一个为标准?   53

会话限制是否可以只限制会话总数,而不限制新建会话速度?·· 53

同一个地址对象是否可以配置多个会话限制?·· 53

在配置会话限制之前,地址对象的会话总数已经超过了该会话限制的会话总数,那么配置该条会话限制后是否会将会话数保持在限制的数目下?·· 53

会话控制是否支持对IPv6地址对象进行限制?·· 54

22 DNS FAQ·· 54

display dns statistics介绍·· 54

dns规格·· 54

dns session功能·· 54

dns缓存达到5w规格后,对新来的dns请求处理·· 54

DNS报文数据段>512后,dns处理·· 54

DNS接口类型改变后dns法解析·· 54

DNS A记录显示·· 54

DNS cache显示·· 54

开启DNS透明代理的功能,无法上网·· 55

域名比较长,页面查询这样的域名是无法查询·· 55

设备直接ping域名·· 55

设备dns流程·· 55

dns-proxy debug说明·· 55

DNS多链路基于负载·· 55

多链路DNS基于优先级·· 56

为什么进行包含域名的策略控制会放行一段时候后才可匹配策略?·· 56

客户端A没有配置设备为DNS代理,客户端B配置设备为DNS代理,客户端A发出经过设备的DNS请求,之后客户端B也发出相同域名的DNS请求,设备在对B的请求处理过程是怎样的?·· 56

dns透明代理的会话是不是查询不到?·· 56

配置了DNS v4 server,未配置v6 server 为什么会处理v6DNS请求?·· 56

配置了DNS v6 server,也配置了域名对应的v6地址,为什么ping域名没有收到应答?·· 56

域名管理中,同一个域名支持IPv4IPv6双栈地址配置吗?·· 56

23 入侵防御 FAQ·· 57

为什么配置入侵防御后无法生效?·· 57

规则中包含的签名集是否包括要检测的签名·· 57

什么时候需要开启入侵防御相关配置·· 57

测试时,为什么IPS检测率比较低?·· 57

为什么IPS日志聚合不生效(F6612P01及以上版本)·· 57

IPS升级到新IPS引擎版本,原来的IPS配置是否兼容(F6612P01及以上版本)·· 57

IPS新引擎降级到F6612P01以下版本时,哪些配置会丢失?·· 57

控制策略里引用的IPS模板会丢失。IPS模板的最大规格是多少(F6612P01及以上版本)·· 57

IPS自定义规则的最大规格是多少(F6612P01及以上版本)·· 58

IPS模板有哪些类别,有什么区别(F6612P01及以上版本)·· 58

配置文件里IPS规则保存格式的含义(F6612P01及以上版本)·· 58

IPS规则里的阻断和隔离动作,分别对报文如何处理(F6612P01及以上版本)·· 58

IPS的防逃避功能如何开启(F6612P01及以上版本)·· 58

日志聚合产生日志的方式(F6612P01及以上版本)·· 58

在大流量场景下,配置IPS日志聚合,日志中报文长度和配置的长度不一致·· 59

为什么入侵日志中有的攻击成功标志一直是否?·· 59

24 病毒防护 FAQ·· 59

病毒防护支持哪些压缩格式的文件?·· 59

FTP协议病毒文件可正常检测并报,但病毒文件仍然下载成功?·· 59

IMAP协议传输病毒文件概率性出现病毒文件下载成功?·· 59

FTP传输使用ASCII或文本传输病毒文件无法检测?·· 59

WebMail邮件上传的部分带病毒附件不能阻断?·· 59

病毒防护,对于filezilla等这种支持断点续传的ftp无法阻断?·· 59

25 安全防护FAQ·· 60

启用防ND欺骗关闭ND学习功能后无法访问设备?·· 60

扫描攻击防御中的黑名单作用是什么?·· 60

配置满规格黑名单后,重复提交IP地址为什么还能提交成功?·· 60

是不是所有的防暴力破解日志都能记录破解账号?·· 60

DNS隧道检测支持什么组网模式?·· 60

DNS隧道检测方式的适用场景?·· 60

行为模型日志规格?·· 60

行为模型缓存规格?·· 60

行为模型日志记录?·· 60

行为模型动作为拒绝并加入黑名单后续处理流程?·· 61

行为模型预置白名单?·· 61

行为模型自定义白名单规格?·· 61

行为模型与全局白名单的关系?·· 61

反向报文触发的dns隧道日志记录?·· 61

行为模型日志记录实现说明?·· 61

行为模型日志行为描述两种情况说明?·· 61

26 WEB防护FAQ·· 61

WEB防护中的CC攻击防护在修改防护范围的时候访问次数会变成默认值·· 61

Web防护分析的日志规格?·· 62

Web防护中的网页防篡改能防护动态页面吗?·· 62

精确访问控制规则的匹配顺序是什么,一条精确访问控制规则内多个条件的关系是什么·· 62

非法外联地址支持配置域名吗?·· 62

27 统计集FAQ·· 62

统计集统计最近1小时、最近1天、最近1周数据统计的刷新间隔是多少?·· 62

统计集应用流量统计中所显示的流速计算?·· 62

统计集用户统计中用户的类型?·· 62

统计集统计用户及应用的规格?·· 62

统计集中总流量是如何计算的?·· 63

统计集中刷新按钮的作用?·· 63

上行流量和下行流量如何区分?·· 63

统计集数据是否支持HA·· 63

统计集数据保存重启后是否会丢失?导出再导入是否会丢失?·· 63

饼图默认显示Top多少?其它应用是什么?·· 63

统计集中是否会统计出到本地流量?·· 63

当统计集显示页面放大或缩小时,饼图显示变化?·· 63

统计集是否支持旁路模式?·· 63

统计集中应用统计与用户统计查看区别?·· 63

28 地址探测FAQ·· 64

如何配置track·· 64

为什么ping类型的track状态不稳定?·· 64

为什么tcp类型的探测不成功?·· 64

为什么dns类型探测失败?·· 64

设备配置HA并且关联track,主墙无法切换?·· 64

HA联动备墙无法跨网段探测?·· 64

WEB页面导入csv格式用户和用户组无法同步?·· 64

29 策略优化FAQ·· 65

七元组策略按照什么顺序进行匹配?·· 65

添加或修改七元组策略会有什么影响?·· 65

30 IMC联动FAQ·· 65

如何排查用户无法登录IMC服务器管理页面?·· 65

为什么认证时无法接收认证推送页面?·· 65

使用NAT用户通过认证后访问外网页面依然弹出认证页面,导致循环认证?·· 65

为什么认证时,可以接收推送认证页面,用户名密码输入完毕后无法认证成功?·· 65

为什么用户认证时点击一次上线,显示设备拒绝请求,点击多次后可认证成功?·· 65

登录超时后重新认证,在认证窗口填写用户名密码后点击“上线”提示“用户已在线”?·· 66

为什么认证模板设置IE10浏览器没有调色板按钮,只能通过数字设置认证按钮颜色?·· 66

用户在线时间超出所配置的超时时间,有时可下线、有时不可下线?·· 66

跨三层环境IMC做第三方Portal认证,用户自动下线,日志显示被管理员踢下线·· 66

31 第三方用户存储认证··· 66

如何排查用户无法登录RadiusIMC)服务器管理页面?·· 66

为什么认证时无法重定向到认证页面?·· 66

输入用户名及密码后,认证失败,提示“用户名或密码错误”,如何定位认证失败原因,并及时修改?·· 67

32 断点续传FAQ·· 67

什么情况下属于断点续传?·· 67

33 特征库升级FAQ·· 67

特征库升级结果中出现“特征库加载失败”?··· 67

34 抓包工具FAQ·· 67

抓包工具开始抓包后,什么情况下停止抓包?·· 67

抓包工具高级选项里的抓取新建会话是什么意思?·· 67

物理接口加入聚合组后,在物理接口抓不到包?·· 67

35 服务质量管理FAQ·· 68

服务质量管理条目“最后一次成功率”和“最后一次延时”在建立前的时间也有数据显示?·· 68

为什么tcp类型的服务质量管理条目探测结果为零?·· 68

为什么dns类型的服务质量管理条目探测数据一直为零?·· 68

为什么debug service-quality不显示dns类型的服务质量管理条目发送的探测报文?·· 68

36 基于用户MAC的转发策略FAQ·· 68

在设备上配置有用户认证策略,并新建用户将PCMAC地址绑定,为什么PC仍无法上网并重定向到认证页面?   68

37 链路负载均衡FAQ·· 68

负载均衡使用场景?·· 68

负载均衡支持的负载方式?·· 69

带宽比的负载方式使用的算法?·· 69

带宽比负载使用条件?·· 69

优先级定义·· 69

负载方式为优先级的使用条件?·· 69

会话保持与带宽比结合使用·· 69

会话保持与优先级·· 69

过载保护使用说明?·· 70

健康检查·· 70

38 新版本链路负载均衡FAQ·· 70

负载均衡配置规格?·· 70

负载均衡支持的负载方式?·· 70

权重的负载方式使用的算法?·· 70

权重的负载使用条件?·· 70

优先级定义·· 70

负载方式为优先级的使用条件?·· 71

会话保持使用说明?·· 71

过载保护使用说明?·· 71

健康检查·· 71

链路负载均衡出接口配置说明?·· 71

免负载均衡地址使用说明?·· 71

负载均衡策略匹配条件-匹配应用使用说明?·· 71

负载均衡,策略路由,静态路由匹配顺序?·· 71

负载均衡流量匹配说明?·· 72

负载均衡的ISP地址配置说明?·· 72

负载均衡分配不均,未完全按照配置的权重大小比例进行分担?·· 72

39 服务器负载均衡FAQ·· 72

服务器负载均衡算法·· 72

权重大小的说明·· 72

探测方式说明·· 72

服务器负载权重匹配说明·· 73

40 三权分立FAQ·· 73

三权模式下各管理员的职责?·· 73

三权模式可以切换到普通模式吗?·· 73

三个默认管理员账号是否可编辑?·· 73

普通模式切换到三权模式后,原来的系统管理员、审计员账号还可以登录吗?·· 73

三权模式下CLI有配置权限吗?·· 73

41 广告推送FAQ·· 73

广告对象规格·· 73

广告策略规格·· 73

广告策略引用广告对象规格·· 74

广告对象里图片规格及限制·· 74

广告策略引用广告对象限制·· 74

广告对象命令行限制·· 74

广告策略引用对象位置·· 74

广告对象和广告策略里设备IP的使用·· 74

域名白名单匹配规则·· 74

手机端广告图片展示限制·· 74

广告策略跨网段使用限制·· 74

手机端浏览器使用限制·· 74

微博类网站广告使用限制·· 75

一些网站不弹广告·· 75

邮箱类不弹广告·· 75

开启广告推送后,一些网页打不开·· 75

HA主备环境下广告推送使用·· 75

广告图片展示时间·· 75

广告设置白名单规格·· 75

广告策略匹配顺序·· 75

广告策略里启用按钮和推送按钮的作用·· 75

广告对象图片上传大小·· 75

手机端广告对象限制·· 76

Edge浏览器不支持广告推送·· 76

推送广告网站类型·· 76

广告对象里图片不能全部删除·· 76

今日头条app不推送广告·· 76

https网站类型使用http方式访问网页打不开·· 76

开启广告推送后访问部分网站但是过了几秒网页变成黑色·· 76

广告推送只对域名方式的URL生效?·· 76

当新创建的广告对象与之前的广告对象重名时,新创建的广告对象中已经上传的图片被删除?·· 76

广告策略推送间隔内怎么推送了两次广告?·· 76

42 防共享FAQ·· 77

防共享终端显示与实际终端型号不一致?·· 77

一个热点下多台小米手机未识别出是共享终端?·· 77

HA环境防共享监控用户列表不能同步到备设备?·· 77

阻断提示中<frozen-time>单位如何处理?·· 77

防共享检测方式是否可以不选择?·· 77

手动惩罚的共享检测用户不会产生共享接入日志?·· 77

防共享检测方式配置为阻断或者限速,共享检测终端数量达到阈值,是否继续检测?·· 77

防共享检测用户达到阈值之后阻断用户,阻断提示有时可以弹出,有时弹不出来?·· 77

43 认证策略FAQ·· 77

认证策略支持配置哪几种认证方式?·· 77

混合认证支持哪几种认证方式?·· 78

版本升级出现配置丢失打印unknown信息?·· 78

认证策略用户录入使用场景?·· 78

认证策略用户录入未配置时认证用户的处理?·· 78

第三方录入用户,如果用户未下线,用户的处理?·· 78

认证策略录入用户有效期录入,有效期过期后用户的处理?·· 78

认证策略录入用户有效时间的三种方式?·· 78

认证策略临时录入用户命令行clear user-recognition·· 78

用户认证性能优化支持哪几种认证方式?·· 78

配置Portal Server认证方式的用户录入,当imc配置推送用户组时与设备配置用户录入到用户组哪个优先?·· 79

同一个终端弹出或打开了多个认证页面时,为什么有的验证码不生效?·· 79

用户限额信息推送支持那些认证方式?·· 79

认证成功后为什么没有显示限额信息推送按钮?·· 79

本地WEB认证支持指定用户范围功能有哪些限制和注意事项?·· 79

认证流量二次过设备时,认证时为什么无法重定向到认证页面?·· 79

44 如果选中的是用户组,那么只要用户组里面的成员没有被排除,都可以通过本地WEB认证上网。认证模板设置FAQ   79

什么是认证模板设置?·· 79

认证模板预览有认证方式切换功能?·· 79

45 微信认证FAQ·· 80

修改微信认证用户名之后,终端上下线日志用户名未改变?·· 80

微信认证有些安卓手机连接wifi后出现不自动弹微信认证页面?·· 80

移动端弹出portal,并点击打开微信后,按认证页面提示的步骤操作后认证失败,如何定位认证失败原因,并及时修改?   80

PC端是否支持微信认证?·· 80

微信连wifi未认证情况下用户微信能收发消息?·· 80

是否支持强制关注?·· 80

微信软件版本支持哪些,为什么微信软件版本7.0.14唤醒微信失败?·· 80

R6608版本升级到R6611版本,微信认证页面的认证背景图片为什么还是R6608的背景图片?·· 81

微信认证默认使用的设备http端口是80,是否支持修改http端口·· 81

46 短信认证FAQ·· 81

用户使用浏览器A获取短信验证码,在浏览器B上输入手机号和验证码,是否能短信认证成功?·· 81

设备导出设备配置,是否包含短信认证配置?·· 81

双机主备环境,主设备配置短信认证,备设备是否同步短信认证的配置?·· 81

47 免认证FAQ·· 81

免认证用户不需要认证账号?·· 81

48 无感知认证FAQ·· 81

什么是无感知认证?·· 81

无感知认证超时时间计算标准?·· 82

无感知认证支持跨三层组网吗?·· 82

哪几种方式支持无感知?·· 82

无感知在哪些情况下生效?·· 82

HA主机上本地无感知上线的用户不会同步到HA备机?·· 82

49 访客二维码认证FAQ·· 82

二维码认证功能应用场景有哪些?·· 82

审核人配置的是any,为什么我的手机无法进行审核操作?·· 83

50 钉钉认证FAQF6612及以上版本)··· 83

手机端钉钉认证时,必须使用钉钉进行二维码扫描?·· 83

钉钉认证需要在钉钉开放平台打开通讯录权限吗?·· 83

PC端是否支持钉钉认证?·· 83

在钉钉认证成功界面点击注销按钮,页面不能重新开始认证?·· 83

51 其它认证方式FAQ·· 83

POP3认证时,POP3服务器的地址是否支持域名?·· 83

APP认证的FAQ·· 83

IC刷卡认证FAQ·· 83

52 IPv6本地认证FAQ·· 84

认证策略中没有看到IPv6本地认证的配置项·· 84

本地认证的高级策略对IPv6生效么·· 84

IPv6本地认证支持第三方认证么?·· 84

IPv6数据匹配其它类型认证策略时如何处理?·· 84

53 混合认证FAQ·· 84

什么是混合认证?·· 84

混合认证能选择单一的认证方式吗?·· 84

混合认证的模板和其它认证一样吗?·· 84

54 用户源MAC日志显示FAQ·· 85

用户源MAC如何获取?·· 85

55 httpsportal FAQ·· 85

什么是httpsportal·· 85

安卓手机httpsporta警告非安全怎么办?·· 85

https弹出portal以后没有认证为什么可以正常打开网页?·· 85

httpsportal支持所有https域名url吗?·· 85

为什么在浏览器上通过导航网站访问https类型网站时没有弹portal·· 85

怎样能使https类型的网站弹portal·· 86

浏览器多次访问https页面,会出现弹出认证页面很慢的情况?·· 86

访问https类型网站时有的浏览器无法弹出portal认证界面?·· 86

默认不使能httpsportal功能·· 86

用户httpsportal通过认证后不支持自动跳转?·· 86

56 Portal抑制 FAQ·· 86

portal抑制原理是什么?·· 86

refresh重定向是一定起作用吗?·· 86

refresh重定向能有效抑制所有的软件吗?·· 86

57 地址本域名FAQ·· 87

什么是地址本域名?·· 87

地址本域名在策略中引用后不生效?·· 87

58 NAT FAQ·· 87

NAT44支持端口利用吗?·· 87

NAT44端口分配规则?·· 87

NAT44NAT64NAT46是否支持ALG·· 87

目的NAT的目的地址配置为any时,同网段其它设备会报地址冲突·· 87

NAT64NAT46是否支持调整策略优先级?·· 87

59 4G上网卡 FAQ·· 87

目前支持哪些型号4G上网卡?·· 87

60 PPPOE拨号 FAQ·· 88

设备CPU100%情况下停流后仍然不能成功拨号?·· 88

61 用户/用户组FAQ·· 88

用户/用户组的规格?·· 88

用户页面能否完整显示8个所属用户组?·· 88

用户组引用用户的个数规格?·· 88

用户/用户组的移动?·· 88

用户/用户组的导入导出?·· 88

导入一个不存在的用户配置文件,页面一直处于加载中?·· 88

user-group有限制但是依然可以使用受限制的特殊字符。比如:!¥。。。。。?·· 89

用户组最多支持几级?·· 89

在用户组织结构根目录下,选择用户>所有页执行批量编辑操作后,为什么其它组下的用户状态修改不成功?   89

用户排除地址提交总是提示不合法?·· 89

引用用户规格是多少?·· 89

属性组如何导出·· 89

在线用户中哪些认证方式会在认证用户组中创建用户组?·· 89

用户组下最多允许多少个对象?·· 90

用户导入时导入用户不全·· 90

认证策略中,导入认证策略与创建的策略的用户有效时间格式不一致?·· 90

用户允许绑定几个IP地址?·· 91

用户认证上线通过IP地址自动完成用户分组·· 91

"每用户终端个数限制"功能有哪些限制?·· 91

62 用户同步FAQ·· 92

用户同步规格·· 92

LDAP用户录入·· 92

异常AD域用户名同步到设备的处理·· 92

LDAP服务器同步端口?·· 92

LDAP组的作用?·· 92

LDAP同步绑定方式?·· 92

LDAP同步支持的服务器?·· 92

LDAP同步用户的限制?· 92

LDAP BaseDN写法?·· 92

被策略引用的远端用户被删除时,策略的变化·· 92

使用LDAP用户认证通过后,在服务器删除认证用户并在设备上同步该OU·· 93

IPSecSSLVPN使用LDAP认证?·· 93

LDAP同步周期?·· 93

多个用户同步任务并存时处理?·· 93

使用AD域用户认证,修改Ad域上密码后,认证使用旧密码还可以认证?·· 93

LDAP同步用户处理?·· 93

LDAP组认证处理?·· 93

ARP扫描网段限制?·· 93

ARP扫描和SNMP用户录入?·· 94

SNMP同步设备学习不到交换机mac地址?·· 94

新增的IP/MAC条目设备不能及时学习到该IP的数据如何处理?·· 94

如果交换机的MAC不在扫描列表中用户数据处理流程?·· 94

如果交换机的MAC在扫描列表中用户数据处理流程?· 94

IPMAC绑定中配置含有SQL注入风险字符可以导入,但是在页面无法编辑修改?··· 94

每次SNMP同步结果如何处理?· 95

跨三层MAC扫描的学习过程是什么?· 95

快速老化机制是什么?· 95

老化定时器的工作原理?· 95

在认证页面用户主动注销之后,在原来认证界面重新使用别的用户认证登录出现不录入?·· 95

radiusldap认证服务器,点击测试有效性是如何进行测试的?·· 95

63 端口镜像FAQ·· 95

端口镜像规则有哪些配置限制·· 95

配置端口镜像后并未镜像出业务流量·· 96

配置端口镜像后只镜像出了部分业务流量·· 96

如何配置将多个接口的流量镜像到同一个监控接口·· 96

是否支持远端镜像功能·· 96

使用设备上的抓包工具是否能够抓取到监控接口镜像过来的业务报文·· 96

如何查看镜像功能是否生效·· 96

是否可以配置将万兆口流量镜像到千兆口或千兆口流量镜像到百兆口·· 96

64 解密策略FAQ·· 96

设备开启https解密后,电脑必须要安装设备上导出的证书吗?·· 96

电脑端证书如何导入?·· 96

证书的有效期是否影响解密?·· 97

设备DNS设置全局模式时,为什么显示的证书不是颁发证书?·· 97

为什么安装证书以后,chrome浏览器访问12306网站显示非安全连接?·· 97

两台防火墙串联,用户电脑应该导入哪一台的证书?·· 97

防火墙的证书一定要和用户导入证书一致吗?·· 97

防火墙下连的无线设备,手机端也需要导入证书吗?怎么导入?·· 97

所有邮箱客户端都支持解密吗?·· 97

配置Https解密后百度页面打不开?·· 97

https解密审计对移动终端生效吗·· 97

https解密策略开启后移动终端APP无法访问网络·· 98

开启解密策略,手机安装证书后仍然一直提示不安全,点击继续后仍然会一直弹安全告警?·· 98

SSL解密证书推送不支持的终端有哪些?·· 98

安装证书后为什么还一直推送证书?·· 98

证书安装的检测时间?·· 98

访问https网站,为什么没有弹出证书推送?·· 98

同一目的IP的不同域名的HTTPS流量,只要有一个域名在HTTPS对象中且解析了域名IP,另一个域名的HTTPS流量在没有建立HTTPS对象的情况下仍然可以进入解密流程。·· 98

65 限额策略FAQ·· 98

限额策略支持流量限额·· 98

限额策略支持时间限额·· 99

限额策略惩罚方式·· 99

惩罚通道的配置·· 99

流量限额提醒功能对https页面访问是否生效·· 99

建立多条限额策略,但是同一个用户只能匹配最上面的一条策略,其余策略无法匹配?·· 99

用户被阻断后限额的流量统计仍然会增长·· 99

限额策略配置修改后,统计数据不会清零·· 99

月限额统计日期实现机制·· 99

限额统计支持配置恢复·· 99

限额用户统计在线时长与认证用户实际在线时长不一致·· 100

不在限额策略源IP范围内的用户也会匹配上策略·· 100

66 DDNSFAQ·· 100

DDNS规格限制·· 100

当公网口存在多个IP时使用哪个IP地址?·· 100

DDNS配置了更新某一特定域名,为什么此账户下的所有域名地址都进行了更新?·· 100

DDNSDNS功能模块功能关系?·· 100

阿里云DDNS支持IPv6吗?·· 100

阿里云DDNS支持四级域名吗?·· 100

67 DNS-DNAT功能FAQ·· 101

DNS-DNAT规格·· 101

如果设备同时开启dns透明代理和dns-dant功能,DNS报文如何处理?·· 101

DNS-DNAT探测功能是什么?·· 101

如何查看DNS服务器是否正常状态?·· 101

68 多配置管理功能FAQ·· 101

配置文件限制·· 101

配置文件保存在哪?清除配置重启时是否会清除掉配置文件?·· 101

如何查看我保存的配置文件?·· 101

在使用ftp方式导出配置文件时为什么配置了服务器地址和文件名称后面还提示输入服务器地址?·· 102

导入配置文件进行配置恢复,设备重启过程中不能选择配置保存?·· 102

FTPv6是否支持导出配置文件?·· 102

TFTPv6是否支持导出配置文件?·· 102

69 Portal 逃生FAQ·· 102

设备portal逃生用户根据设备内存大小来设置存储规格?·· 102

portal逃生功能开启,全局逃生模式的含义?·· 102

portal逃生功能开启,已认证用户逃生模式的含义?·· 103

portal逃生存储用户数达到规格时设备如何更新?·· 103

portal逃生功能什么时候生效?·· 103

70 零配置上线FAQ·· 103

零配置启动盘格式?·· 103

零配置启动盘生效后能作为硬盘吗?·· 103

零配置启动盘里根目录下的version和序列号文件夹里version有什么差别?·· 103

设备运行阶段插入零配置上线U盘有影响吗?·· 104

零配置启动盘只能生效一次吗?·· 104

零配置启动盘失败会有提示吗?·· 104

零配置启动盘只能针对一台设备吗?·· 104

零配置启动盘序列号文件夹下启动配置和备份配置分别支持几个?·· 104

71 审计日志导出FAQ·· 104

同一设备可以同时导出多个类型日志吗?·· 104

审计日志包括哪些类型?·· 104

审计日志导出支持附件内容导出吗?·· 104

所有设备都能导出审计日志吗?·· 104

审计日志有规格限制吗?·· 104

如果近一周审计日志的某天是没有日志,还能导出来吗?·· 105

修改系统时间小于当前时间后,导出今天的审计日志实际导出来的是其它日期的日志?·· 105

日志导出不支持基于查询条件导出?·· 105

72 探针日志FAQF6612P01及以上版本)··· 105

如何发送探针日志?·· 105

探针日志包括哪几类日志?·· 105

73 业务告警FAQ·· 105

配置完邮箱服务器怎么关闭该功能?·· 105

会话警告阈值规格是按照什么统计的?·· 105

邮箱服务器发送地址用户密码是指邮箱登录密码吗?·· 106

配置了邮箱服务器但是没有收到邮件?·· 106

邮箱服务器重置配置没有清空?·· 106

告警日志弹窗会在任何界面弹出吗?·· 106

告警日志记录最大规格?·· 106

哪些告警配置可以恢复?·· 106

有些告警日志在告警事件中没有配置开关··· 106

74 应用自定义FAQ·· 106

导入自定义应用的规格?·· 106

自定义应用可以用任意的端口号吗?·· 106

自定义应用选择规则都必须填写吗?·· 106

会话监控里用户和应用没有被识别?·· 107

自定义应用没有审计日志只有阻断日志?·· 107

75 中英文切换FAQ·· 107

为什么切换成英文版系统日志和操作日志会显示中文日志?·· 107

切换成英文版的设备控件显示中文?·· 107

切换中英文版本会导致配置丢失吗?·· 107

76 用户标签FAQ·· 107

用户标签使用前置条件·· 107

标签上报服务器规格·· 107

标签规格·· 107

设备记录用户标签规格·· 108

用户标签使用场景·· 108

用户标签上报类型·· 108

用户标签存储周期·· 108

用户标签上报周期·· 108

日志上报失败的三个条件·· 108

日志上报标签错误或者无记录排查·· 108

用户标签启用禁用·· 108

用户标签ID对应关系·· 109

77 AD域单点登录FAQ·· 110

AD域单点登录仅支持单域·· 110

关于AD域单点登录启动脚本·· 110

关于AD域单点登录数据·· 111

AD域单点登录不支持HA同步?·· 111

不同用户登录同一台域内测试pc,在线用户只显示一个账号?·· 111

78 无线非经FAQ·· 111

升级最新非经版本之后,设备上为什么没有无线非经模块·· 111

开启无线非经功能之后,设备上没有任何审计日志·· 111

无线非经普通内容日志显示包含格式类字符?·· 111

英文管理页面下不显示无线非经配置?·· 111

设备上收到了Radius报文,但是并未审计到Radius相关账号信息导致非经日志不产生·· 112

开启无线非经功能之后,设备本地有审计日志,但是未产生非经日志·· 112

设备本地产生了非经日志,但是网监平台反馈未收到·· 112

网监平台反馈上报的上网数据为什么都来自同一个AP· 112

网监平台反馈某些应用日志的账号为真实身份账号,非虚拟身份账号·· 112

AP配置导入时,AP导入文件中不能在一个AP上配置多个AP地址范围进行导入·· 112

sftp上报配置一台未开启SFTP服务的IP地址上进行数据上报,命令行使用display wireless-count查看上报计数有统计   112

非经配置导出修改后再导入提示信息中的信息显示不准确?·· 113

非经特征库升级的注意事项·· 113

79 WEB页面提示格式化硬盘··· 113

Web页面提示格式化硬盘的条件·· 113

Web页面格式化硬盘后,设备的状·· 113

设备启动后,硬盘没有挂载成功?·· 113

设备启动后,硬盘没有识别,UI上不显示硬盘?·· 113

Web页面格式化硬盘后,设备的状态?·· 113

80 全局配置FAQ·· 114

两种识别模式的区别是什么?·· 114

81 第三方用户同步··· 114

pppoe未开启更新网关更新dns,第三方pppoe监听用户不上线?·· 114

本地用户与第三方录入用户同名时,第三方同名用户上线后,本地用户无法编辑、删除?·· 114

Web用户同步的规格限制有哪些?·· 114

82 在线用户FAQ·· 115

在线用户冻结是否支持IP维度?·· 115

在线用户踢除是否支持IP维度?·· 115

在线用户是否对MAC0的用户进行统计?·· 115

83 SSL VPN FAQ·· 115

为什么通过SSL VPN拨入后,无法访问该设备的WEB页面?·· 115

VPN客户端都支持哪些操作系统?·· 115

为什么客户端主动下线后,此时查看设备端,发现此用户还在线?·· 115

为什么资源里放通FTP服务后,客户端还是无法下载FTP资源?·· 115

SSL VPN客户端因为未分配到IP地址拨号失败,但设备上会显示此在线用户?·· 116

用户配置了初次认证修改密码,SSL VPN使用此用户上线后不需修改密码?·· 116

导入SSL VPN资源和策略后,会覆盖原来的配置吗?·· 116

配置证书登录时,客户端无法通过证书校验·· 116

本地证书和对端证书导入了已注销的证书,为什么客户端可以通过证书校验?·· 116

SSL VPN资源的导入导出文件中Type的值表示的含义·· 116

通过命令行修改SSL VPN隧道接口的配置后,相关配置会丢失?·· 116

SSL VPN用户上线后,修改SSL VPN的全局配置会导致已上线的用户全部下线吗?·· 116

84 虚拟网线FAQ·· 117

虚拟网线不能配置IP,如何通过页面管理设备?·· 117

配置虚拟网线后,用户认证、防共享功能还能使用吗?·· 117

85 旁路认证FAQ·· 117

旁路认证默认状态是什么样?在哪里开启?·· 117

旁路认证的用户认证策略如何配置?·· 117

旁路认证时,没有匹配到源地址也会弹认证页面?·· 117

旁路认证时,用户302重定向页面无法打开·· 117

旁路认证不支持哪些认证方式?·· 117

86 旁路阻断FAQ·· 117

旁路阻断默认状态是什么样?在哪里开启?·· 117

旁路阻断控制策略应该如何配置?·· 117

配置好旁路阻断后访问外网页面无提示。·· 118

配置好旁路阻断后还是可以ping通外部地址·· 118

配置好旁路阻断后能正常访问外网·· 118

测试PC到旁路阻断设备不可达,功能生效吗?·· 118

87 管理员外部认证FAQ·· 118

管理员外部认证对哪种模式生效?·· 118

管理员外部认证能选择几个服务器对象?·· 118

配置管理员外部认证关闭服务器异常开启本地认证会有什么后果·· 118

使用管理员外部认证,使用服务器账号无法登录设备·· 118

88 热补丁FAQ·· 118

允许最多上传几个热补丁?·· 118

允许连续对热补丁进行操作吗?·· 119

对已经加载热补丁进行升级版本操作,热补丁内容如何处理?·· 119

主备模式下热补丁如何给备机加载热补丁?·· 119

89 统计报表FAQ·· 119

新建报表任务时报表格式有些设备只显示html格式,有些显示pdfhtml两种格式?·· 119

统计报表模块有些设备能显示,有些设备不显示?·· 119

统计报表中的数据不准确存在异常不符的情况?·· 119

报表中的CPU利用率统计和UI上的统计不符?·· 119

统计报表开启数据统计,在日志量较大时cpu0会周期性出现使用率较高?·· 120

HA主备环境下使用手工同步,不同步历史报表?·· 120

统计报表中CPU利用率统计的信息与实际情况不符?·· 120

90 全局白名单··· 120

如果源地址既是白名单又是黑名单如何处理?·· 120

设备上配置了全局白名单,但该用户仍会匹配上网行为相关策略?·· 120

在全局白名单中使用ip地址进行搜索时为什么没在配置ip地址范围内的ip也会搜索出来?·· 120

全局白名单是否支持IPv6地址?·· 120

91 公告页面FAQ·· 121

是否支持上传公告页面?·· 121

编辑公告页面时,是否可以支持插入图片、文件及链接?·· 121

编辑公告页面时,无法提交成功,提示页面超过2M,如何删除导入的图片、文件?·· 121

哪些功能支持HTTPS网站在触发控制时弹出公告页面·· 121

92 移动终端管理FAQ·· 121

为什么配置移动终端管理冻结策略,内网PC并未被冻结?·· 121

移动终端识别的方式有哪些?·· 121

93 应用智能识别FAQ·· 121

迅雷智能识别两种级别宽松度有什么区别?·· 121

P2P智能识别三种级别宽松度有什么区别?·· 121

应用智能识别是什么功能,是否能保证迅雷应用和P2P应用的100%识别?·· 121

94 告警功能FAQ·· 122

告警功能里的邮件配置第一个配置QQ邮箱时,会出现收不到告警邮件?·· 122

95 资产管理FAQ·· 122

资产管理功能使用场景?·· 122

资产支持几种识别方式?·· 122

为什么资产管理已经有资产信息,但是在资产安全分析未展示数据?·· 122

HA环境下,为什么部分资产未同步到备机?·· 122

资产管理中,为什么有资产是活跃状态,有资产是空闲状态?·· 122

资产管理满规格后,如何处理?·· 123

资产管理的导入导出文件中属性状态这一列的数字表示的含义·· 123

资产识别是否支持本地链路IPv6地址?·· 123

资产管理同步策略状态的同步方式有哪些?·· 123

资产管理策略的匹配逻辑是怎样的?·· 123

资产管理中的资产的时间为什么是1970年?·· 123

96 接口及其它 FAQ·· 123

接口从地址是否能配置为相同网段?·· 123

设备编码格式是什么?·· 124

物理口加到安全域后无法加入到聚合口?·· 124

安全域内网桥的接口跨三层互访控制或审计时,是否需要将相应网桥的BVI接口加入到安全域内?·· 124

串口下配置逐流分担时是否可以任意配置?·· 124

本机访问控制中的Center-monitor管理方式是否支持IPv6·· 124

L2TP内层流量识别功能有哪些限制?·· 124

 


部署方式FAQ

设备应部署在哪里?

设备推荐使用在某个区域的网关或与外网接入处,一般来说,外部网络是最具有威胁的。当所有外网流量进入内网时都需要经过边界网关。由此来说设备放置的位置应为与外网接入的地方。如果内网某一区域对安全性有高要求也可放置设备。但要注意,所有设备应放在区域与区域相接处。

设备部署方式有哪些?

设备能够工作在三种模式下:路由模式、透明模式和旁路模式。如果设备以第三层对外连接(接口具有IP 地址),则认为设备工作在路由模式下;若设备通过第二层对外连接(接口无IP地址),则设备工作在透明模式下;若设备在完全不影响原网络运行的情况下部署,则设备工作在旁路模式下。

什么是路由模式?

当设备位于内部网络和外部网络之间时,需要将设备与内部网络、外部网络区域相连的接口分别配置成不同网段的IP地址,重新规划原有的网络拓扑,此时相当于一台路由器。也就是说,路由模式设备连接两个不同的子网。

路由模式使用在什么情况下?

在网络出口需要定义一些访问控制列表(ACL)来对内外网访问进行更严格的要求时,采用路由模式时,路由模式设备可以完成ACL包过滤、NAT转换等功能。

路由模式下无法访问外网?

如出现该情况可检查路由表,执行display ip route命令查看路由表中是否存在外网路由,如路由表正常,查看设备安全策略,在设备中默认安全策略为deny,需要手工设定放行条目,执行display running-config policy命令查看设备安全策略。

什么是透明模式?

透明模式设备进行工作时,可以避免改变拓扑结构造成的麻烦,此时设备对于子网用户和路由器来说是完全透明的。也就是说,用户完全感觉不到设备的存在。

透明模式无效果?

检查物理接口是否划入到了bvi接口中,display running-config interface查看当前接口下信息。

透明模式的工作原理?

在透明模式下,设备将流过的所有二层数据进行解封装,把数据根据用户定义的规则进行从二层到四层的过滤。但与路由模式不同的是,设备会将过滤后的数据重新用原来的二层源地址和目的地址再封装成帧进行转发,而不改变数据帧的源地址和目的地址。

透明模式的实用性在哪里?

透明模式设备一般使用在原网络拓扑在已经完善的情况下增添设备。配置透明模式设备,设备相当于二层设备。可以将设备的多个接口连接到相同子网。可以在不更改其它设备的路由网关对网络进行保护。减少工作量。

什么是旁路模式?

旁路模式在不更改原网络部署环境的前提下使用。旁路模式设备将通过的流量进行监听、审计等作用。

使用旁路模式的好处是什么?

旁路模式部署不会大范围影响原网络拓扑结构。只需在原出口设备连接上设备即可。

查看设备日志信息为空时怎么处理?

查看旁路模式设备审计日志时无相应显示,该情况可查看策略配置,执行display running-config policy命令于查看设备的部署策略。

部署设备有什么好处?

设备具有很好的保护网络安全的效果。入侵者必须首先穿越设备的安全防线,才能接触目标计算机。用户可以将设备配置多种策略,如控制端口、协议、应用等。

为什么设备配置正确但是数据无法通过?

设备默认存在一条全拒绝的控制策略,使用设备时应先注意安全策略是否匹配。

接口在修改地址模式为pppoe,由于达到规格下发失败时会清掉原有的静态ipdhcp配置?

是的,由于在修改下发时需要先清掉接口地址模式的配置然后在下发配置,因此导致原有配置会被清掉,点击取消后也没有了,如果需要原有配置的话,需重新配置下。

配置向导支持哪些使用场景?

此功能主要为了实现设备快速部署于网络中,支持网关模式、网桥模式和旁路模式。

设备管理FAQ

为什么管理员用户不能通过HTTPSSH、或者Telnet登录设备,不显示web页面

确认登录的接口是否允许通过这些方式登录,可以在每个接口下进行具体配置,详细配置请参见命令行配置指导或者Web配置指导。

为什么HTTPS无法打开防火墙的WEB页面

查看接口下是否配置了HTTPS访问控制,查看是否开启了管理员证书认证功能但并没有对应的证书。

在“系统管理>管理员”,“添加管理员”页面中的"管理IP/掩码"的作用是什么

可在"管理IP/掩码"输入框中以"IP/掩码"的形式设置用户主机的IP和掩码,用户登录时,如果用户名、密码正确,并且用户的主机地址与其设置的任意一组IP和掩码与运算的值相等,就可以成功登录。如果用户没有设置"管理IP/掩码"或任意一组"管理IP/掩码"设置为"0.0.0.0/0",则登录时不会判断用户的主机地址,只要用户名、密码正确既可成功登录。

用户登录成功后,可在哪里修改密码

在“系统管理>管理员”页面中,点击某管理员的<编辑>按钮,进入“修改管理员”页面,即可修改该管理员的密码。也可以点击页面上方右侧的“修改密码”图标,进入“修改密码”页面,即可修改当前登录用户的密码。

默认admin管理员账户的密码如何重置?

断电或reboot重启设备,按ctrl+c进入menuboot,当出现“Please input your choice[0-8]:”时,输入’4’,执行Reset administrator passowrd并输入’0’重启设备,重启后,密码即可恢复为默认的admin/admin登录。

什么是管理员双因子认证?

结合管理员登录账号和Ukey证书双重身份的认证方式。

USBkey支持哪些厂商?

USBKey目前仅支持epass一个厂商。

更新CA根证书后https访问设备不能打开设备登录界面?

在管理员双因子认证功能已正常开启的情况下,如果设备CA证书发生变更,需要先关闭管理员双因子认证功能然后再次开启,以便重新关联新的CA根证书。

使用IE浏览器https无法访问设备WEB界面?

IE浏览器因对证书安全检验级别较高,不受信任的证书网站浏览器会禁止用户继续访问,导致无法通过https访问设备。

火狐浏览器默认不能调用Ukey中的证书?

火狐浏览器需要做兼容性设置,否则无法调用Ukey中的证书。

修改https的端口后使用https的方式登录界面,再使用http方式登录失败?

该问题主要原因是由于用户会话的加密导致,原因为:

(1)     首次打开一个登录窗口使用https方式进行登录,此时会话IDSecure属性为true,登录成功然后点击退出登录,退出登录后此时页面跳出登录页面,此时登录方式依然为https方式,在这种情况下会话IDSecure属性依然是true

(2)     通过浏览器重新打开一个新窗口,采用http方式进行登录,由于未关闭当前会话,所以即使换一个新窗口会话ID依然是加密状态,导致加密session后台无法识别,所以认证失败。

由于用户登录验证是通过会话ID,验证码也是通过session机制进行的校验,所以造成登录失败。

 

手动升级相同的特征库日志和自动升级相同特征库日志记录不一致?

特征库的版本号有固定规范不能随意修改添加,但考虑一些特殊局点,需要特殊的特征库,故提供的特征库版本号一致。这种特殊的特征库都采用手动升级的方式,所以手动升级不检测版本号,以手动导入的为准。

NTP时间设定是否支持IPv6服务器地址的时间同步功能?

NTP时间服务器支持IPv4IPv6地址,域名只支持IPv4的域名,不支持IPv6域名。

同一浏览器使用httphttps两种方式打开管理页面进行配置,http页面无法登录?

是的,因为安全红线要求,在使用HTTPS访问时将浏览器的会话COOKIE设置了Secure属性,

若此时更换访问方式为HTTP,由于还是同一个会话,COOKIE是不变化的,同时Secure属性仅支持HTTPS访问的设置,HTTP访问无法读取已设置 SecureCOOKIE,从而导致登录失败。

处理方法:

(1)     清空浏览器缓存后,刷新页面或关闭浏览器重新打开;

(2)     使用其它浏览器访问。

使用同一主机下登录了一个管理员时,再打开一个管理页面输入另一个管理员密码使之超过最大登录尝试次数,原先正常登录的管理员也会被限制?

是的,管理员登录失败阻断是基于IP的,因此原来的管理员也是会被限制的,需要等超过阻断的时间后才能正常登录。

设置多个管理员,同时登录两个管理员时,若退出其中一个,另一个也会退出?

是的,此情况只有在使用同一浏览器登录同一设备时存在,若使用两个不同的浏览器或登录不同的管理设备,在其中一个点击退出时,另一个是不会退出的,因为同一浏览器登录同一设备是使用同一个会话id标记的,因此会存在此现象。

管理设定中的页面超时时间提交后不能立即生效,需要清理浏览器缓存才能生效?

是的,使用管理员登录设备,然后修改管理设定中的页面超时时间,提交后未立即生效,管理员没有即时退出,需要清理浏览器缓存才能生效。

设备开启实时保存后使用限制?

设备在开启实时保存后,每次进行配置的时候都会执行配置保存,非常消耗设备资源,因此不建议开启,由于开启后频繁快速操作或者配合HA使用时可能存在以下现象:

(1)     SNMP用户同步过程中,连续生成2次录入用户任务,第一次的用户录入大概率无法同步到备设备;

(2)     控制策略引用一条空的url对象,然后在url对象页面添加内容,概率出现引用关系消失;

(3)     在自动保存配置的过程中,同时删除多个用户,提示信息有误等问题。

这些问题原因都是因为开启了实时保存,设备在执行保存的操作同时又对设备做修改导致的问题。规避手段:如果开启了实时保存,需要在每次执行完配置后等待1-2分钟,设备完全保存好配置后在进行相关的操作。

修改系统时间后,管理员密码有效期是否会更新?

修改系统时间后,每个管理员的密码到期时间会随之更新。将扣除已经生效的时间,剩余时间不变。

如:设置管理员密码周期为30天,在202031日新建管理员A,即管理员A的原始到期时间是2020331日;如果在202037日将系统时间修改为202011日,此时管理员A已经的有效期已经生效6天,因此管理员A的到期时间更新为2020125日。

 

审计策略FAQ

如何查看当前的审计策略?

可以使用命令display running audit poliy查看当前的审计策略。

IPv4审计策略匹配说明

IPv4审计策略的匹配是从上向下匹配,审计策略里面的源目接口和源目地址都是双向匹配。

审计日志可以存储多少条?

当日志占用空间超过磁盘容量的90%时就会删除日志,每半小时检查一次,当超过90%时就会执行删除,未超过90%时则不进行删除,每次删除最早1天的日志,同时对于邮件、邮件附件、网盘文件这种留存的原始文件进行文件个数限制,每天限制最多10万个(邮件、邮件附件、网盘存储的文件个数共用同一个10万的规格),对于日志没有条数限制,即当此类日志超过10万时还会记录相关日志信息,但是无法下载原始文件。

审计日志按照时间查询多天日志时,为什么会有空白页?

日志查询结果按天显示,如果某一天没有所要查询的日志,那么该天对应的日志查询结果页面为空。

为什么审计不报日志?

(1)     首先检查应用审计策略是否正确;

(2)     查看应用审计日志是否记录;

(3)     查看应用审计与识别的细节信息,判断是否识别与审计成功;

(4)     通过查看首页应用流量排名统计来查看是否有误识别和漏识别情况;

(5)     查看特定IP地址的会话的AppName字段来确认是否为误识别,命令为:display ip connection protocol protocol-name ip source source-addr dest dest-addr;调试命令:debug app audit detaildebug application identify

为什么访问网站未记录网站访问日志?

(1)     检查审计策略是否正确;

(2)     查看应用识别审计是否开启;

(3)     所访问网站是否符合包含content-type字段类型为text/html

(4)     查看HTTP返回码是否为200

(5)     查看网页标题长度是否大于128字符;

(6)     查看URL长度是否大于512

为什么远程syslog服务器收不到日志?

(1)     查看应用审计日志是否发送,日志服务器是否启用,服务器IP及端口是否正确;

(2)     Syslog服务器是否启动,端口是否与设备配置一致;

(3)     查看路由是否正确,ping服务器地址是否能ping通。

邮件日志中为何有的邮件日志对应的是下载按钮,有的邮件日志对应是查看按钮?

使用邮件客户端,配置不加密,审计到的邮件日志对应的是下载按钮;webmail:新浪邮箱、QQ邮箱等,审计到的邮件日志对应的是查看按钮。

为何邮件日志中有时看不到查看的按钮?

达到了邮件还原的最大限制数。

即时通讯审计有哪些限制?

QQ概率性审计不到退出,偶尔会出现退出跟登录和收发消息是同一条连接,获取不到结束退出的特征,此外有时登录QQ也会概率性审计不到登录日志。

微信审计不到退出、收发消息、语音视频,加密应用无法获取到这些行为特征。

阿里旺旺审计不到退出和收发消息,加密应用无法获取到这两种行为特征

社区日志中没有百度贴吧的日志?

百度贴吧需要开启https解密才能够进行审计,https对象中需要包含BBS站点;对于百度贴吧应用的网页浏览日志是放在其它应用日志里面的,只有登录和发表时审计日志才会记录到社区日志,而且登录只能审计用账号密码登录的情况,使用手机验证码登录的方式数据单独加密无法进行审计,发布日志由于百度贴吧使用了新的加密方式,目前只能审计到内容,不支持审计账号。

审计日志内容显示会包含部分格式字符?

审计内容的获取是会把部分格式的内容也审计下来,涉及的日志种类很多,由于基本没影响,改动又较大。下个大版本考虑统一做优化。

审计日志导出后打开term_supplierterm_platform两列内容为空?

这两老字段现在没有实际用途,为了保证版本升级数据库兼容性所以保留下来(避免版本升级要清库导致日志丢失),UI做了屏蔽不会显示。

邮件日志外发时附件个数最多发送5个?

邮件日志外发时,附件个数规格限制为5个,最多发送5个附件。

邮件日志外发时日志字段中的file_size=0

由于设备审计邮件是作为整体来审计的,不判断附件个数和大小,在日志外发时再单个拆分附件并统计大小,比较繁琐,非常耗性能,再加上目前并无附件大小统计显示的需求,所以file_size按默认显示为0

SMTP邮件审计支持的格式?

仅支持MIME(Multipurpose Internet Mail Extensions)多用途互联网邮件扩展类型的邮件,目前网络中邮件基本都采用MIME格式。

修改微信认证用户模式之后,终端上下线日志用户名未改变?

终端上下线日志是存在数据库中的,模式切换后只有新产生的终端上下线日志才会更新用户名,在线用户处用户名会改变,因为是从内存中保存的用户信息获取的。

分别用不同操作系统(IOS版和Andriod版)终端使用pc开启的wifi进行无线上网,然后登录QQ客户端,在设备的IM聊天软件日志里都识别为Iphone IOS 版?

操作系统类型是通过HTTP中的UA字段来识别的,用户第一次上网产生的流量携带了UA标识,如果后续流量未产生UA标识的情况下,会直接取上一次的UA标识的操作系统结果来产生日志,因此操作系统显示只能作为参考,不能保证百分之百正确。

文件传输日志HTTP文件下载支持对哪些格式的审计

目前HTTP文件下载支持的文件格式后缀如下:

.apk,mpeg,mpg,wma,wav,mp3,aac,compressed,zip,.rar,.gz,.bz2,.tgz,.tbz,.arj,.lzh,.tar,.ace,.uue,.jar,.iso,.7z,.bin,.zip,.txt,.hdr,.doc,.xls,.xlsx,.pacp,.pacpng,.cap,.img,.xz,.exe,.cmd,.bat,.msi,.dmg,.dll,.rpm,.ptada,.gpg,.pdf,.ps,.info,.cat,.cfg,.lss,.msg

IM聊天软件日志中QQ客户端的收发消息显示为登录?

由于目前QQ最新版本收发消息和登录在同一条流中,无法进行阻断,所以将收发消息合并到登录行为中了。

Web mail邮件附件为txt文件的审计,日志页面显示的正确的名称及txt后缀,但下载下来后文件后缀怎么是.tar的压缩文件?

由于目前大部分浏览器对于.txt格式的文件会自动打开查看而不能进行下载,而且查看的时候浏览器默认使用utf-8格式的编码打开,从而导致出现非utf-8编码的.txt文件在浏览器直接打开查看时显示乱码,无法查看审计到的.txt附件内容,为规避浏览器此问题,目前设备自动对txt文件压缩为.tar格式,这样就能够正常下载到本地解压缩查看了,而页面还是正常显示真实的文件名称及后缀,只是下载时把.txt文件压缩到.tar文件来进行下载。

审计日志显示有6000多万条,而页面只能显示出86条,其余都是空白,而导出只有64条且提示信息中不显示导出日志的截止时间?

目前日志总条数的统计是通过计算一天内最大和最小ID值的差值来计算的,目的是为了减少统计时间(如果查询真实的日志数量,当日志量很大时查询会很慢,会导致很长时间显示不出总条数和相关的日志展示,很影响用户体验),而页面显示的是数据库中真实存在的数据条目,如果往前修改系统时间就会造成两次写入数据库的ID值不是连续的(修改为当日时间和往后修改时间是没有影响的),从而出现计算的日志数量与实际日志数量不一致,出现后面没有数据而显示空白的情况;导出只有64条是因为前面64条日志是第一次入库时的数据,其ID值是连续递增的,由于日志每次导出支持10w条是根据ID值来进行规格限制的,从而导致后面的22条日志未导出(后面日志的ID值为6000多万,远远大于了10w),如果想导出后面的22条日志,可通过查看页面记录的日志时间,选择时间范围导出即可,由于规格限制是10w,通过ID去取第10w条日志是不存在的,由于取不到日志中的时间信息,也就导致显示不出截止时间。

IPv4审计策略为什么没有记录日志,什么情况下才会记录审计日志

审计策略匹配优先级从上至下进行匹配,支持配置多条,不进行去重校验;

由于控制和审计功能独立,不是识别出应用就记录日志的,需要审计到相关应用的账号或内容才会记录审计日志,由于有些是加密传输的,设备无法审计到相关内容,因此测试时需要配合解密的功能。

·     HTTP类审计

(1)     网站访问

匹配条件:

a.     HTTP协议解码模块正确解析获取到host字段。

b.     URL库中正确对该host进行URL分类处理。

c.     审计模块正确审计到网页标题。

注意项:

不开启https解密,默认对内置的https网页进行审计(https audit predefine),网页标题从内置的网站与标题的对应文件中获取。可以通过命令配置https audit all对所有https网页进行审计,如果访问的域名在设备内置文件列表中没有查到,则截取域名的一部分当做网页标题,例如(www.soso.com,则网页标题显示为soso)。

(2)     网络社区

匹配条件:

a.     应用识别模块识别到论坛和微博发帖行为;

b.     审计模块根据审计特征正确提取到发帖内容。

对论坛和微博相关应用的发帖行为进行审计,记录日志到发帖/发微博日志模块。

(3)     网页搜索

匹配条件:

a.     应用识别模块识别到具体的应用搜索行为。

b.     审计模块根据审计特征可以正确提取到搜索关键字内容。

对搜索引擎类、电子商务类的搜索行为进行审计,记录日志到搜索关键字日志模块。

(4)     HTTP外发下载文件

匹配条件:

a.     应用识别模块正确识别到HTTP文件传输行为。

b.     审计模块根据审计特征正确提取到传输文件名

(5)     Web网盘上传下载文件(需开启解密功能)

匹配条件:

a.     通过特征识别网盘文件上传、下载会话,提取文件名信息。

b.     文件内容先缓存在内存中,整个文件的内容缓存完成后,以文件形式写在硬盘上。

c.     通过点击文件传输审计日志里面的文件名,把设备里的文件下载到本地。

注意项:

网页版网盘上传、下载文件支持百度网盘、360网盘、网易网盘的审计;附件单个文件大小最大支持100M(也可能是99.9M,会有一点点的误差)。

 

·     邮件类审计

(1)     SMTP/POP3/IMAP邮件收发

匹配条件:

a.     应用识别模块正确识别到收邮件行为(IMAPPOP3)或发邮件行为(SMTP)

b.     审计模块正确审计到邮件发送者、邮件接收者、邮件主题、邮件内容等相关信息。

如果邮件是加密的需要开启https邮件解密才能审计到此类行为的邮件 

(2)     Webmail发送接收邮件

匹配条件:

a.     通过特征识别邮件附件上传、下载会话,提取附件名、把附件内容首先缓存在内存中,整个附件的内容缓存完成后,以文件形式写在硬盘上;

b.     通过特征识别邮件发送、接收会话,提取发件人、收件人、抄送人、主题等信息;

c.     留存的附件通过附件名与邮件日志关联

注意项:

a.     Webmail接收邮件只支持163126QQ邮箱三个,点击收邮件,且得点开邮件查看内容才会有收邮件的请求,才能审计到;如果要审计附件必须点击附件下载,才能审计到;

b.     Webmail邮件发送接收邮件上传下载附件都会先在文件传输中审计到,再关联到邮件审计日志中里面去;

c.     Webmail邮件附件默认最大支持100M

 

·     即时通讯类审计

匹配条件:

a.     应用识别模块正确识别到IM登录行为;

b.     审计模块正确审计到IM账号信息。

 

·     基础协议类审计

基础协议审计主要是对各个高层协议进行审计,5.0支持FTP协议审计。FTP审计主要审计FTP协议传输文件名、账号、ftp操作命令,记录日志到文件传输日志模块。

匹配条件:

a.     应用识别模块正确识别到FTP传输文件行为。

b.     FTP解码模块可以正确解析出传输文件名

 

·     娱乐股票类审计

娱乐股票类审计目前必须审计到对应的账号或评论之后才能产生对应的审计日志;

娱乐类审计:支持娱乐类应用的账号、评论审计。比如看视频,听音乐,游戏;

股票类审计:支持股票类软件的账号审计;

娱乐股票类审计支持如下应用测试:QQ游戏大厅登录、优酷视频登录、9188彩票(需要解密)、大参考登录。

·     网络应用类审计

网络应用行为审计主要对其它网络应用中能获取到账号的应用行为进行审计,记录日志到其它应用日志模块。

电子商务类登录有审计账号的都会在网络应用类审计中产生其它应用日志。

控制策略FAQ

安全策略的复制功能有哪些限制?

安全策略复制功能不支持CLI配置,目前只支持在WEB 页面进行复制。

不支持批量复制,一次只能复制一条“控制策略”或“审计策略”。

控制策略匹配说明

控制策略匹配是从上向下匹配,源目接口单向匹配,例如报文是从ge0入从ge1出,此时策略只能匹配到源接口为ge0,目的接口为ge1的控制策略。

控制策略里子策略配置说明

新建控制策略和子策略后取消,整个控制策略不下发。

当在已存在的控制策略里新建子策略后,点击取消,子策略会一起下发。控制策略和里面的子策略是不同的配置页面,在控制策略里新建子策略提交后,子策略的配置就已经下发成功。

HTTP上传关键字检测不支持压缩文件检测?

不支持,压缩文件上传时不是明文的,无法检测到关键字。

关键字过滤不区分大小写字母?

关键字过滤不区分大小写字母,无论配置为大写或小写均可正常检测和过滤。

关键字过滤同一条流只过滤第一个关键字?

关键字过滤同一条流只要检查到第一个符合条件的关键字就会停止匹配。

论坛和邮件附件上传是否支持附件内容过滤?

不支持附件内容过滤,只支持基于附件名过滤。

为什么恶意URL白名单不生效?

恶意url白名单是精确匹配。例:被阻断的网站为qq.com,新建恶意URL白名单www.qq.com后还是不能访问,只能是qq.com,才能访问。

FTP应用是否支持关键字过滤?

FTP应用暂不支持关键字过滤。

网页内容关键字过滤存在网页加载不全的情况?

网页内容过滤时,有时关键字在网页中的位置比较靠后,此时检测到关键字后,部分网页内容已经加载成功,所以会出现网页部分加载的情况。

在应用对象自定义应用中添加一个域名为www.baidu.com的应用,并将应用类选择为搜索引擎类,此时在控制策略中基于WEB搜索引擎关键字过滤时,百度搜索关键字不生效。

WEB搜索引擎关键字过滤是针对设备预定义应用中已经提取了搜索关键字特征的应用进行过滤操作,虽然百度搜索引擎在预定义搜索引擎中,但是自定义应用中又配置了百度相关的域名,此时应用识别的时候会优先识别自定义应用,从而无法走到预定义百度搜索的识别中去,所以导致百度搜索关键字基于web搜索引擎关键字过滤不生效。

邮件控制都支持哪些?

邮件控制只支持SMTP客户端发送邮件进行控制,收邮件均不支持控制,网页邮箱等也不支持。

邮件控制中匹配控制顺序是什么?

配置好邮件控制后根据发送smtp邮件进行控制,匹配邮件控制顺序为:发件人->收件人->邮件大小->附件个数->邮件主题->邮件内容。

邮件控制中支持匹配几个关键字?

邮件控制中收件人过滤、收件人过滤和标题及内容关键字均只支持选择一个关键字。

邮件控制关键字匹配原则是什么?

关键字匹配规格为发送邮件中的关键字包含配置的自定义关键字才能匹配;反之则不会匹配邮件控制。

虚拟账号规格?

单条控制策略只能引用1个关键字对象。

关键字规格?

关键字条目规格5121024条,每个关键字对象里可以配置1024个关键字。

虚拟账号匹配?

QQ账号黑白名单关键字控制,关键字匹配为精确匹配。

苹果系统虚拟账号不支持?

苹果系统虚拟账户控制不生效,特征加密问题。

虚拟账号控制依赖条件?

虚拟账号控制依赖应用特征库,特征库不识别时无法控制。

安卓移动端虚拟账号使用限制?

移动端(安卓)测试虚拟账号控制时,需要关闭移动网络。

旁路模式虚拟账号使用限制?

旁路模式qq 阻断不生效。

虚拟账号日志产生条件?

虚拟账户匹配到白名单,应用控制不产生日志(只有黑名单阻断后才产生日志)。

配置的虚拟账号阻断,应用控制放行 qq登录阻断前后会有一条放行的日志?

QQ登录识别报文和获取账号报文不在同一个报文中,前一个报文识别为QQ登录,未获取到QQ账号,命中了应用控制策略报放行日志。后一个报文获取到QQ账号,命中了虚拟账号策略,报阻断日志,此情况属于正常现象。

 

文件类型过滤功能的使用限制有哪些?

(1)     文件后缀超过15个字符时,日志记录会截断前15个字符;

(2)     阻断FTP时,本地会创建临时的文件;

(3)     升级特征库,预定义文件类型需要手动点击重置才可以更新;

(4)     真实文件类型识别中:jpgjpeg无法区分;

(5)     开启真实文件类型过滤后,如果识别到真实文件类型为png,但配置为jpg阻断,文件名称后缀为.jpg,不会实现阻断,开启真实文件类型识别后优先进行真实文件判断;

(6)     默认真实文件类型识别为关闭状态;在Web管理页面,进入“策略配置>对象管理>应用识别模式>应用识别高级配置”,可以开启真实文件类型识别;或者通过命令行file-type ident magic mode enable 开启

(7)     解密后真实文件类型应用支持: 163邮箱(上传/下载)、QQ邮箱下载、126邮箱(上传/下载)、百度网盘下载、360云盘非真实文件类型上传和真实文件类型下载;

(8)     真实文件识别支持类型包括:avimp4mp3chmjpgjpeggifbmptiffpngdcmheicicojxrpsd ziprargz7zdocxpptxxlsxpdfrtf

(9)     文件类型对象名称匹配不区分大小写,配置ZIP与配置zip阻断效果一样。

(10)     如果使用的FTP连接端口为非标准端口,需要在设备中配置FTP非标准端口,配置后就可以正常控制了,HTTP均是正常可以控制的。

为什么配置终端公告功能,内网用户访问时,未弹公告页面?

终端公告正常弹出需要满足以下条件:

·     策略开启终端公告提醒,接口管理方式必须开启http

·     终端访问http页面,才会触发弹出公告,目前不支持https

·     终端公告提醒前置条件,终端能正常访问公告页面。

为什么内网安卓手机打开浏览器没有弹出终端公告?

安卓手机后台会偷跑http流量,所以有些时候,打开浏览器没有弹出公告,这个时候需要保证后台运行的其它软件没有触发http流量。

配置的定时推送功能,推送时间已过的情况下,新上线用户还会推送么?

用户若第一次上线(在线用户中没有此用户即为第一次上线),即使定时推送时间已过,也会弹终端公告。

配置的定时推送功能,推送时间已过,为什么没有推送出公告页面?

公告页面的推送基于间隔的是间隔时间推送一次,基于定时的是过了此时间点推送一次,推送过后在下次时间点未过之前就不再推送了,虽然目前已有UA过滤,尽量避免非浏览器的推送,但做不到完全过滤掉非浏览器的报文,建议基于时间点的推送如果没有推送出来,可通过注销在线用户再次使用浏览器查看能否正常推送出来,如果能够推送出来那就表示功能正常(注销用户会把其记录的已经推送过的标记清掉)。

为什么配置基于多终端的控制策略,内网多终端用户却没有匹配控制策略?

首先要看在线用户中此用户的终端类型是否识别为多终端,只有识别成多终端的情况下,才会匹配此控制策略。

微信内收发文字消息不产生应用控制日志?

微信中收发文字消息被加密,无法识别此加密行为。

自由门软件无法识别和控制?

自由门软件实现机制比较特殊,提取不到有效的特征,目前暂无法识别和控制。

 

控制策略网络协议动作配置为允许时不发日志?

基础网络协议日志量太大,为了避免大量刷日志,做了特殊处理,只有在阻断的时候才会产生日志,动作为允许时不发日志。

控制策略动作为允许时支持记录日志吗

默认控制策略动作为“允许”时,设备syslog日志支持记录级别为“info”的控制策略日志,所以在设置日志外发级别需要选择“全部级别”,或者“信息”,或者“调试”,远端syslog服务器才能收到日志。

注意:建议不要勾选记录日志。控制策略动作为允许的时候,如果勾选日志并外发,会产生大量外发日志,可能对设备性能有影响。

应用控制阻断文件传输,网页中的图片仍然可以下载成功?

HTTP下载针对网页中的图片不做识别,否则会影响网页浏览,且HTTP下载的识别针对特定类型的文件后缀生效:

.bin,.zip,.rar,.gz,.bz2,.tgz,.tbz,.arj,.lzh,.tar,.ace,.uue,.iso,.7z,.txt,.hdr,.doc,.xls,.xlsx,.pcap,.pcapng,.cap,.img,.xz,.csv,.p12,,.data,.exe,.cmd,.bat,.msi,.apk,.dmg,.dll,.jar,.rpm,.ptada,.gpg,.pdf,.ps,.info,.cat,.cfg,.lss,.msg,.odt,.pom,.gem,zip,.mpeg,.mpg,.wma,.wav,.mp3

QQ发送文件,为什么有时候显示有阻断日志,但是现象却是发送出去了?

QQ发送文件如果是秒传文件那是无法阻断的(秒传文件指之前曾经传输过的文件,或者是从公众网站上下载的一些安装包),之前传输过的文件或公众网站上的一些安装包,腾讯服务器上已经保留了文件的MD5等信息,当再次传输这个文件的时候,腾讯服务器上发现存在相同的MD5文件,这个时候QQ就采用一种特殊的方式,快速的把这个文件传送到接收端,而QQ客户端并没有真实的发送文件,所以就阻止不了,导致看到的现象是对端收到了文件,没有阻断掉。

控制策略引用自定义url匹配说明

(1)     配置自定义URL,无论IPv4策略是否引用,都会对访问的URL按照配置的自定义URL以类的方式识别。如果IPv4策略引用自定义URL,则对引用的对象进行放行或者阻断。

(2)     URL匹配配置的自定义URL是支持模糊匹配的,优先精确匹配,匹配不到再进行模糊匹配。例如策略引用了两个自定义URL,名称分别为门户网站和测试网站,门户网站包含URL为“www.sina.com”,测试网站包含URL为“sina.com”,当访问www.sina.com时会优先匹配到“www.sina.com”,URL即属于名称为门户网站的自定义URL,当访问sport.sina.com时,会匹配到“sina.com”,URL即属于分类为测试网站的自定义URL

配置了*.baidu.com的自定义URL阻断,为什么无法阻断www.baidu.com.cn网站?

模糊匹配时后缀需要全匹配,例如:*.baidu.com,只能匹配www.baidu.com或者new.baidu.com,不能匹配www.baidu.com.cn

如果自定义URL包含预定义组中的域名但是并未对它进行引用,对预定义中包含该URL的分类进行DNS阻断,是否会阻断?

URL过滤中,自定义URL的优先级高于预定义URL

若创建了一个自定义URL又没有将其引用到任何控制策略中,就意味着对这个自定义URL的访问是全放通的。

因为自定义优先级高于预定义的设定,预定义生效,会直接放通而不会阻断。

配置了应用白名单后,为什么在出口抓包,可以抓取到非此应用的报文?

配置了应用白名单策略,当应用在20个报文内都没有识别,这20个报文会被放行,20个包之后进行阻断。

配置应用白名单功能,有哪些注意事项?

(1)     如果应用使用的服务器和端口承载了其它应用,会存在误识别成其它应用的可能。

(2)     同一应用存在多种终端,如果配置了基于应用的控制,需要把策略应用树上与该应用相关的应用都选中,避免功能实现和配置逻辑不统一。

(3)     DNS报文必须经过设备,否则应用白名单功能无法生效。

(4)     目前只有应用对象中的智能应用支持应用白名单功能,且很多应用存在交集的情况,因此,在配置时,需要首选看一下此应用是否包含于智能应用中,并看一下此智能应用的描述。

DDI设备联动针对终端类型进行控制时,终端型号支持显示的长度是多少?

终端型号支持长度是1-63字符,超过63字符后会截断显示,目前正式对接中还未出现大于63字符长度的终端类型。

DDI设备联动针对终端类型进行控制时,设备重启,同步的终端类型是否会丢失?

如果重启设备时保存配置,重启不会丢失同步过来的ddi-user,如果没有手动保存配置,会丢失30分钟内同步的ddi-user信息。

DDI设备联动针对终端类型进行控制时,终端类型是否支持修改?

目前设备支持的终端类型是版本内置的,暂不支持修改。

DDI设备同步过来的终端型号是空格,为什么设备上显示为下划线?

由于在命令行配置恢复时空,格隔离开后会识别为是不同关键字,导致配置恢复失败,因此将空格转换为下划线进行显示和配置。

转换方法为:如果前后空格不转换,中间有多个空格时只转换为一个下划线。

DDI设备联动完成针对终端类型的控制的使用说明

此功能默认关闭,可通过命令行或者页面开启。如果未开启此功能,控制策略、审计策略、流量控制策略中的终端配置即使配置后也不会进行匹配,与终端类型配置为any效果一致。

同时此功能只对同步过来的IP地址、终端型号和老化时间关联进行显示和相关策略的匹配,DDI消息报文中的其它字段暂不关注。

描述信息参数前面带空格,下发后会被自动去掉?

是的,目前描述信息参数配置的字符中带有空格时,在字符串最前面和最后面的空格会自动去掉,只有字符串中间的空格进行配置下发,目前很多模块的描述对于空格的下发均是此种处理方式。

当设备内存使用率较高时,下发控制策略会出现设备cpu100的现象?

当设备dp内存使用90%以上或者有内存碎块时,下发控制策略,由于内存不足会造成策略编译失败,出现设备cpu100的现象。可以通过display memory命令中Flow一行查看dp内存信息。

解决方法如下:

(1)     通过命令行clear ip connection all 清流释放内存

(2)     重新下发控制策略

(3)     查看策略状态恢复正常通过display policy accelerate命令行查看State列显示为opened说明策略编译成功状态正常

策略分析FAQ

策略分析功能有什么作用?

当前网络环境的复杂性,网络服务与网络终端的多样性,相应的设备就需要更多、更复杂的控制策略。这些控制策略经过一段时间的积累,往往会造成老策略不敢删,新策略不断增加,单台设备会积累成千上万的策略,极大降低设备性能和用户体验。

从策略分析的角度,一键分析当前的冲突、冗余、隐藏、合并、过期和空策略,一定程度上解决防火墙管理的难题,使每一条策略都直观可视,让设备更易于使用、便于维护管理。

策略分析能检测哪几种策略情况?

冲突策略:不区分匹配的前后顺序,若策略A和策略B存在数据流交集(非包含和被包含关系),且AB策略的行为不同,则AB互为冲突策略。

冗余策略:根据匹配的前后顺序(先匹配A策略再匹配B策略),如果A策略匹配的所有数据流会被B策略包含在里面,删除A策略不会对其余策略产生影响,如果AB策略行为相同,那么A策略会被计算为冗余策略。

隐藏策略:根据匹配的前后顺序(先匹配A策略再匹配B策略),如果B策略匹配的所有数据流会被A策略包含在里面,如果AB策略行为相同,那么B策略会被计算为隐藏策略。

可合并策略:不区分匹配的前后顺序,策略内元组信息只有一项不同(且可合并)的情况下,则认为是可以合并的策略。

空策略:当策略中匹配的任何一个对象为空时,那么该策略会被计算为空策略。

过期策略:发现当前策略中,匹配的时间范围已经不会再次出现的策略。

策略宽松度如何定义的?

极宽松、较宽松、正常、准确以引用的源地址、目的地址中包含的实际IP地址数目换算得到,大于65535IP为极宽松,256-65535为较宽松,32-256为中正常,小于32为准确。

为什么策略引用过期用户,被分析成空策略而不是过期策略?

因为过期用户和配置为空的用户组处理方式一样,无法区分,因此被分析为空策略,目前过期策略只支持时间过期。

流控FAQ

带宽的上下行如何区分?

从线路策略绑定接口出去的流量为上行,从线路策略绑定接口进来的流量为下行。

配置最大带宽和保障带宽为何无法成功?

流量控制通道的保障带宽必须小于等于其最大带宽,流量控制通道的保障带宽必须小于等于其上一级通道的保障带宽。流量控制通道的最大带宽必须小于等于其上一级通道的最大带宽。

流量控制通道有多个匹配条件时如何匹配?

多个匹配条件是与的关系,当同时满足所有匹配条件时才认为命中该通道。当一个流控通道的匹配条件为空时,会去匹配其子节点的匹配条件。

最大带宽和保障带宽分别有什么作用?

最大带宽只是起到一个限制的作用,限制流量不能超过其最大带宽。保障带宽的作用是在流量发生拥塞的时流量仍能够达到其保障带宽。

配置了保障带宽但是在拥塞时流量无法达到其保障带宽?

需要检查如下配置是否正确:

(1)     线路的最大带宽和保障带宽和其实际的带宽一致,若外网的带宽为20M,就需要配置线路的最大带宽和保障带宽为20M

(2)     下一级通道的保障带宽总和(包括缺省通道)是否已经超过了其保障带宽。

配置了多个流量控制通道,只有第一个通道有流量匹配?

多个流量控制通道是按顺序匹配的,若流量和某一条流量控制通道匹配,就不会再匹配后续的流量控制通道。

什么是流量排除策略?

QOS排除策略也称为白名单,就是指定的用户或者地址的流量,不受QOS管制,直接转发,最大限度的保证这些用户使用网络。

IP限速和通道带宽限制的处理关系?

流量先被每IP限速处理,然后再被流控通道处理。每IP限速的周期是一秒,流控通道是实时的。被IP限速通过的流量可能会继续被流控通道丢弃。

为什么配置每IP限速后,下载速率只有配置值的三分之一?

设备配置限制通道及线路通道中的每IP限速,会导致下载附件时实际下载速率为限速值的三分之一,为避免出现此种现象可在设备上开启每IP缓存命令qos perip cache-mode enable,默认情况下该命令为关闭状态qos perip cache-mode disable,且此命令只对线路通道生效。

QOS通道子通道每IP/每用户带宽允许大于父通道带宽?

是的,由于增加了QOS百分比及线路带宽调整,每IP/用户不支持QOS百分比功能,但修改线路带宽会调整通道的带宽,每IP/用户的带宽又无法改变,因此就可能出现调整后的通道带宽小于每IP/用户带宽的情况,若保存配置后重启会出现每IP/用户配置加载失败的情况。为了避免出现配置丢失的严重问题,此种情况作为软件限制处理。

如何限制P2P的流量?

P2P的流量存在不对称性,可能会出现大量的下行流量。多余的流量被流控通道丢弃,但是会影响总体的带宽使用率;建议在实际部署时减小P2P的上行流量,这样可以有效抑制下行流量。

流量控制通道的高、中、低级别有何作用?

当发生带宽借用时,高级别的通道优先借用带宽。若多个通道的级别相同,则平均分配借用带宽。

子通道的保障带宽总和大于父通道保障带宽,如何分配保障带宽?

当子通道的保障带宽之和大于父通道,按照各个子通道的保障带宽比例分配。

线路整体带宽仍然有富裕,部分应用延时很大?

对延时要求高的一类应用可以放在单独的流控通道中,该通道的流量不要超过其保障带宽。

查看当前通道流量的命令display qos statistics

QOS通道带宽自适应?

Qos通道带宽自适应,只支持WEB页面配置,不支持命令行配置。

QOS通道带宽百分比范围?

限速百分比支持0.01-100%,并且支持4位有效数字,所有小于0.01的都显示为0.00%

QOS通道带宽联动?

(1)     配置限速通道的保障带宽、最大带宽的限速百分比;自动根据父通道的保障带宽、最大带宽、当前通道的保障带宽生成绝对速率。

(2)     配置限速通道的保障带宽、最大带宽的限速速率;自动根据父通道的保障带宽、最大带宽、当前通道的保障带宽生成百分比。

(3)     更改父线路或者父通道的保障带宽、最大带宽、子通道的最大带宽、保障带宽自动根据百分比发生变化。

QOS通道自适应算法说明

(1)     初次配置的带宽百分比是基数不会变。

(2)     用带宽/线路值=百分比A(如果≥8Kb显示正常的带宽;算出来的带宽<8kb,带宽置为8kb,百分比A不变(带宽最小8kb)。

(3)     调整线路后,用百分比A*调整后的线路=带宽值。如果≥8Kb显示正常的带宽;算出来的带宽<8kb,带宽置为8kb,百分比A不变(带宽最小8kb)。

(4)     web页面qos通道页面编辑后提交。相当于带宽重新下发,需要以web页面当前的带宽和线路算百分比。

QOS通道自适应每IP和每用户说明

(1)     ui先配置带宽后配置每ip的时候有检测,命令行配置perip带宽不检测。

(2)     如果上一步的基础上修改线路带宽后,页面不做检测,修改线路带宽不受影响。

(3)     ui修改通道带宽或者编辑通道的时候,UI会检测perip大于通道最大带宽,弹出提示。

(4)     这种情况如果保存配置重启,配置不会丢失。

QOS透明部署配置Qos时,线路绑定说明

在透明部署模式下配置QoS时,线路中绑定的接口必须是bvi接口的成员物理接口,功能才能生效,若在线路中绑定bvi接口则QoS功能无法生效。

QOS三层部署配置Qos时,线路绑定说明

在三层部署模式下进行QoS时,线路中绑定的接口必须是三层接口,功能才能生效。另外,当使用bvi接口进行三层转发时,QoS线路需要绑定在bvi接口上才能生效。

QOS子接口部署配置Qos时,线路绑定说明

在子接口模式下进行QoS时,线路中绑定的接口必须在子接口上做,绑定在子接口的物理口上不生效。

QOS聚合接口部署配置Qos时,线路绑定说明

在聚合接口模式下进行QoS时,线路中绑定的接口必须在聚合接口上做,绑定在聚合接口的物理口上不生效。

如何定位QoS策略是否被命中,命中哪条QoS策略?

可在命令行下执行“debug qos match”,通过debug消息可知道具体命中条目。

哪些报文不受QOS限制?

本地报文、非IP报文,另外桥接口报文只受物理口QOS策略限制不受桥口QOS策略限制。

如何定位数据包是否被QoS策略丢弃?

可在命令行下执行“debug qos drop”,通过debug消息可知道数据包是否被QoS丢弃。

限制通道和普通通道的匹配优先级是什么?

同一个接口既配置普通通道又配置限制通道,只会匹配限制通道,命中限制通道后不会继续匹配。

在外网口和内网口同时配置限制通道和普通通道,先匹配流量流入接口的策略,再匹配流量流出接口的策略。

流量经过限制通道和普通通道时统计的流量大小不一致?

为了提升QOS限制通道的处理性能,目前流量统计粒度比QOS通道的粗,流量统计存在5%左右的误差。

限制通道、惩罚通道、普通通道的规格是多大?

限制通道、惩罚通道、普通通道共用总规格256

限制通道不依赖于线路?

新增的限制通道和惩罚通道不需要绑定线路,与QOS线路并列显示,因此限制通道与线路和其它限制通道可以配置同一接口。

惩罚通道的用途是什么?

惩罚通道提供给限额策略引用,可以实现有条件的进入带宽限速,单独配置没有任何影响,只在限额策略引用之后生效。没有启用禁用选项。

惩罚通道支持升级配置兼容吗?

支持,低版本是基于QOS通道来实现惩罚通道功能的,升级到支持惩罚通道功能的版本时,当设备重启后会自动删掉被限额策略引用的QOS通道,然后自动创建同名的惩罚通道,保证配置兼容。

两个方向的UDP单向流都命中惩罚通道的出方向带宽限制?

一条流包正反两个方向,对于TCP流,设备根据流量发起方确定为正向流,匹配出方向带宽限制,五元组相同的另一个方向的反向流则匹配入方向带宽限制,对于UDP流由于无法区分正反向,会将流量进入设备的那一个方向确定为正向流,匹配出方向带宽限制,五元组相同的然后另一个方向的流确定为反向流匹配入方向带宽限制。综上,如果使用测试仪模拟UDP流量,两个方向的流如果五元组不一样,则均为UDP单向流,会同时命中惩罚通道出方向带宽限制。

首页FAQ

为什么首页行为管理中审计日志没有统计计数展示?

该功能依赖硬盘,如果没有硬盘的设备,数据不做统计,如果有硬盘的设备,统计全部是以当天的维度,显示当天总的审计日志条数及具体每个审计模块的日志条数。

为什么首页行为管理中流量分析没有分析展示?

该功能需要配合流控策略使用,支持2条线路质量分析,统计线路下行带宽数据来分析整体线路质量。

首页的在线用户统计哪些用户?

首页的在线用户中只统计认证用户和匿名用户,点击在线用户可跳转到在线用户页面。

首页的系统日志为什么和系统日志页面的记录不一样?

首页的系统日志只报级别是警告及以上的最近20条日志。

首页的审计日志是统计所有的日志么?

首页的审计日志统计各日志当天的记录,并可以点击每一类日志进行详细日志查看。

首页的阻断用户数都统计哪些用户及行为?

策略违规展示的是应用控制日志中阻断用户。

共享终端违规展示的是共享接入监控中的阻断用户(阻断和限速)。

限额违规展示的是限额策略中限额用户统计中阻断用户(禁止上网和限速)。

首页的流量分析评分标准是什么?

流量分析显示并统计当前流控策略的线路,默认统计前两条流控策略的线路;线路值只统计线路下行带宽,每10s刷新一次。

具体的评分标准是:

·     单条线路

线路优=80:使用带宽占比低于50%

线路良=60:使用带宽占比高于50%,低于60%

线路中=50;使用带宽占比高于60%,低于80%

线路差=40;使用带宽占比高于80%

·     整体评估

整体线路评分值为:线路1评分值*(线路1带宽限速值/(线路1带宽限速值+线路2带宽限速值))+线路2评分值*(线路2带宽限速值/线路1带宽限速值+线路2带宽限速值)

整体线路评级标准:

优:整体线路评分值大于等于80

良:整体线路评分值大于等于60,小于80

中:整体线路评分值大于等于50,小于60

差:整体线路评分值小于50

 

举例说明:

·     单条线路:

31.1/40*100%=77.75%,根据评分标准,此线路质量为中。评分标准如下:

线路优=80:使用带宽占比低于50%

线路良=60:使用带宽占比高于50%,低于60%

线路中=50;使用带宽占比高于60%,低于80%

线路差=40;使用带宽占比高于80%

·     两条线路:

线路12331.1/40*100%=77.75%,根据评分标准,此线路质量为中,则线路123的评分值为:50

线路sdf28.0/40*100%=70%,根据评分标准,此线路质量为中,则线路sdf的评分值为:50

评分标准如下:

线路优=80:使用带宽占比低于50%

线路良=60:使用带宽占比高于50%,低于60%

线路中=50;使用带宽占比高于60%,低于80%

线路差=40;使用带宽占比高于80%

整体线路评估:

线路1评分值*(线路1带宽限速值/(线路1带宽限速值+线路2带宽限速值))+线路2评分值*(线路2带宽限速值/线路1带宽限速值+线路2带宽限速值)=50*(40/(40+40))+ 50*(40/(40+40))=50, 根据评分标准,此整体线路质量为中。评分标准如下:

优:大于等于80

良:大于等于60,小于80

中:大于等于50,小于60

差:小于50

当设备重启、注销或重新打开Web管理页面时,锁定会话会保留吗

不会。当设备重启或者用户注销、清除会话时,被锁定的会话也不存在,不能再进行解锁会话,需要重新登录生成新会话ID进行设备管理。

当浏览器重新打开窗口访问设备的Web页面,会再次生成一个Session Id,如果锁定需要重新执行锁定会话。

监控统计FAQ

设备流量统计的值为何比实际数据包的速率小?

设备流量统计收发包的大小实际上是去掉了4字节的CRC校验,所以会小于实际的流速。使用实际的发包大小减去4字节,再计算出来的流速将与设备统计值相等。

设备整机转发流量中上行、下行如何区分?

整机转发流量统计的为设备的流速,上行即为外网口的发包速率,下行即为内网口的发包速率。当不设置外网口时,上行流速即为0

设备流量统计为何与用户流量统计有所出入?

设备整机流量统计本地发包和转发,而用户流量统计只统计转发的流量,所以两者的值会有所出入。

设备异常掉电后,为何丢失了部分数据?

设备流量统计的值每隔1小时会把数据保存一次,当设备异常掉电,未能及时保存数据,设备启动后,最多会丢失1小时的数据。

更改系统时间对设备流量统计会产生哪些影响?

设备流量统计,每次取的时间是绝对时间。更改系统时间,设备流量统计不会随着系统时间的更改而变化。当设备时间为1000,已经产生近一小时的流量图,把系统时间更改为1100时,近一小时的流量图依然不变,只是显示的时间有所更改,变为1000-1100的流量图。同理当更改为900时,设备流量图依然不变,显示的时间变为800-900

特殊情况是:当更改完系统时间后马上重启,此时会对设备流量图有所影响。

如上的例子,当设备时间为1000,更改为1100后,马上重启,启动后设备流量图1000-1100会为0,之前的数据依然保存。当更改为900,马上重启,启动后,900之前的数据会为空,因为更改时间后,把之前的数据给覆盖了,所以之前的数据都会为空。

接口状态页面,没有完全显示所有接口的状态信息?

接口状态页面显示的接口信息是物理接口的接口信息,不包括子接口、网桥接口、聚合接口、隧道接口和3G接的状态信息。

接口状态页面上有接收或发送速率的信息,但健康统计页面整机转发流量无数据?

接口统计的数据为接口接收到或转发的流量信息,而整机转发的流量是指结果设备处理的流量信息,如果接口接收到或转发的流量没有经过设备处理,则整机转发流量信息为空。

设备健康统计页面,整机转发流量只能看到上行或者下行的流量信息?

整机转发流量的上行流量和下行流量,是通过接口的内网口和外网口属性来确定的,通过内网口转发的流量为下行流量,通过外网口转发的流量为上行流量。

接口状态页面的数据,多长时间更新一次?

接口状态页面的数据,默认自动刷新的时间为30s,也可以手动刷新,刷新时向后台获取一次数据。

设备健康统计采集规则

(1)     最近1小时,1分钟采集一次。

(2)     最近4小时,5分种采集一次。

(3)     最近1天,10分钟采集一次。

(4)     最近1周,1小时采集一次。

为什么在同一时刻,监控统计中的会话统计与设备健康统计中的会话统计存在误差?

监控统计中会话统计与设备健康统计中会话统计,同一时刻数据存在误差,是由于两个功能采集方式不一致导致,会话监控采集周期是1秒一次,而设备健康统计中最小采集周期是1分钟一次

支持时间段查询,为什么有时点击页面没有反应?

支持选择时间段查询,必须点击到数据点才可以,如下图:

 

(1)     最近1小时,不支持选择时间查询;

(2)     4小时->1小时,只有后三个小时支持选择时间查询,最近一小时不支持,需要切换统计时间查询;

(3)     最近1->4小时->1小时,只有后20个小时支持选择时间查询,最近4小时不支持,需要切换统计时间查询;

(4)     最近1->1->4小时->1小时,只有后6天支持选择时间查询,最近1天不支持,需要切换统计时间查询。

导出的功能的数据范围是什么?

导出功能只能导出最近一周的数据,也可以通过命令(export health statistic info tftp)导出

导出数据中内存的三列都是什么?

导出数据中内存会展示三列:全部内存、控制内存、数据内存。

如何开启/关闭内存页面的数据面内存和控制面内存展示?

页面默认只展示全部内存数据,可以通过命令(health memory detail info enable|disable)打开及关闭展示控制内存和数据内存。

所有页面都存在定时刷新功能吗?

只有统计时间为最近1小时,才有定时刷新功能,周期为1分钟。

修改系统时间后,页面数据如何展示?

设备运行过程中,设备修改了系统时间,统计数据展示不会根据时间来丢弃原有数据,只有掉电重启后,才会根据修改后时间来展示数据。

查看的时间区间不在同一天,页面如何显示?

如果查看的时间区间不在同一天,以最近4小时(时间范围2018-09-04  22:052018-09-05  02:05)为例:在最近4小时页面,点击其中“23:0500:05”区间,页面显示时间范围图标为:

 

设备健康统计优化页面统计的数据是瞬时值还是平均值?

(1)     流量统计:采集的是平均值。

(2)     会话数:允许和阻断,采集的是瞬时值。

(3)     CPU信息:加权平均值,假如采集点是1分钟一个,那1分钟收集12个瞬时值,然后将这12个值进行平均计算。

(4)     内存信息:采集的是瞬时值。

(5)     会话信息:当前会话数和新建会话数,采集的是瞬时值。

设备健康统计的数据存在哪?多久存一次?什么情况下会丢?异常情况下的自我保护功能怎么样? 例如CPU繁忙、内存繁忙、异常断电、进程挂死等。

(1)     目前统计信息存储在/mnt/目录下,设备启动之后,1分钟保存一下临时数据,15分钟保存到/mnt/目录下。

(2)     正常重启前(比如执行reboot),会将临时数据保存到/mnt目录下;异常情况,比如断掉或者nmi,无法及时将临时数据拷贝到/mnt下。

(3)     cpu繁忙会影响数据的记录(定时器得不到调度),只要dplane进程不挂死,就可以正常收集数据,如果dplane控制核挂死,无法记录数据。

会话统计排名为什么只有前50个?

会话统计的排名是按照会话连接数的多少进行的排名,默认只显示前50个会话的排名。

会话监控页面有的会话存在时间为0秒?

原因是当一条流老化后,又重新产生了一条这样的流,此时存在时间就为0秒。在清流过后,立即在web监控页面查看会话监控,容易出现此情况。

会话监控页面上用户/用户组列有些显示具体的用户及用户组,有些显示为空?

如果该会话不在用户识别范围中,则无法获取到对应的用户及用户组,所以会话监控统计页面上用户及用户组显示为空。

HA备机设备会话监控中用户和用户组不显示?

因为HA主备环境下不同步匿名用户,备机上有没有相关流量识别匿名用户,所以备机上没有此相关用户,从而不显示。

 

会话监控,某些ip提取不到用户名和组?

用户和组显示为空的几个可能原因:

1、匿名用户超过最大限制(在线用户规格)

超过限制之后,设备会踢掉一些在线用户(最早的上线的那个),此时会话仍然存在。

2、会话刚创建还未进行识别

这种情况下的隔一小会儿就会正常识别。

3、会话老化

会话老化的也会主动将用户信息清除。

4、用户注销或老化

5、用户不活跃超过20分钟,系统内部有一个定时器,超过20分钟不活跃的用户也会被清除。

单用户故障检测功能有哪些限制和注意事项?

单用户故障检测功能的使用限制和注意事项:

(1)     自定义监测地址不支持https网站。

(2)     如果多个终端使用同一个认证用户上网,终端都会推送测试页面,但只能监测一个终端。

若探测用户名为IP地址,则只针对此IP地址的用户进行单用户检测,不会检测此IP地址的匿名用户。

用户信息中心FAQ

当用户中心用户识别错误的时候,同时用户数已经达到了用户中心的规格数,如何操作?

Clear ucc user可以清除内存中的用户缓存,清除后便可以识别出新用户。

为何用户中心的应用日志数有时会多于日志链接的日志页面的总数?

当产生日志时,用户中心的日志计数即加1,但若使用测试仪,1s的日志量很大,已经达到了数据库入库的限制,日志在入库时会产生丢失日志的现象,此时便会出现用户中心的日志数少于链接过去的日志数。

当用户很大时,特定用户的信息为何没有更新?

未到更新时间,用户根据设备型号不同,同步的时间也各不相同,当用户中心规格高于或等于2w时,每15s同步250个用户;低于2w时,每30s同步100个用户。display capacity命令可以查看当前用户中心的规格数UCC_USER即代表的用户中心的用户数,此规格限制是针对内存中对于用户的限制。

当用户流量很大时,特定用户的审计日志统计信息统计为0

用户根据设备型号不同,同步的时间也各不相同,当用户中心规格高于或等于2w时,每15s同步250个用户;低于2w时,每30s同步100个用户。并且当在线用户远远大于用户信息中心规格时,超过规格的用户审计日志不会入库,就会出现统计为0的情况,display capacity命令可以查看当前用户中心的规格数UCC_USER即代表的用户中心的用户数,此规格限制是针对内存中对于用户的限制。

当用户数量很大时,停流40分钟后CPU0仍然很忙,显示为100%

系统启动时会创建一个进程dplane_email_dump专门用来将用户的数据存储到硬盘和数据库中;

每隔30s就会将用户的数据通过update语句更新到数据库中,每次最多更新250个用户,每个用户每次只有一条数据,更新完该用户的数据后,会将该用户移到链表的尾部,等待下次更新;

停流后,用户的数据依然在链表上,没有存储到数据库,设备用户中心最多存储20000(不同设备型号规格不一样)个用户,每30s存储250个用户,20000个用户则需要40分钟;

为何用户流量统计有时会出现某应用类的应用未显示在饼图中?

用户流量统计饼图是显示的top99+9+表示的是除top9以外的应用流量统一为其它。但当某应用类的流量小于总流量的0.8%时,饼图不单独呈现该应用类,只是放在其它里统一呈现。

为何网站访问分析总数有时会比该用户网站日志总数少?

用户中心网站访问分析中不记录URL为其它类的日志数,所以用户中心中的网站访问日志数会比该用户总的网站数少。

为何用户在线时长有时会比在线用户显示的时长少?

用户中心的在线时长是记录1天的总的时间,当跨天的时候,用户中心会重新计算。而在线用户跨天存在时,在线用户所记录的在线时长是总的时间,所以会多于用户中心所记录的在线时长。

为何用户信息中心在线时长有时会比在线用户显示的时长多?

用户信息中心在线时长统计的是当天用户累加的在线时长信息,而在线用户统计的是用户最近一次的在线时长,如果设备当天重启或其它方式进行下线,用户再次重新上线,在线用户会重新记录在线时长,而用户信息中心会把当天重新上线前的时间也记录,所以会出现用户信息中心的在线时长多于在线用户显示的时长。

用户中心用户的排名是按照什么方式?

用户中心用户的排名是根据虚拟身份、日志数、流量大小、网站访问数做的综合分析,得到一个权值,按这个值进行的排名。

为何用户的应用行为不能记录到时间?

时间轴记录的应用行为以及相同应用再次记录的时间间隔如下:

·     即时通讯类登录行为:时间间隔为1天,也就是1天内时间轴上只会记录不同即时通讯应用。

·     搜索类搜索行为:时间间隔为2分钟。

·     社区类发表行为:时间间隔为1分钟。

·     邮件类发送行为:时间间隔为1分钟。

·     视频类下载行为:时间间隔为30分钟。

·     文件传输类文件传输行为:时间间隔为150秒。

·     电子商务类搜索行为:时间间隔为150秒。

当时间间隔未达到时,同种应用行为不会被记录到时间轴上。

为何在无线环境下在用户中心看到的账号信息不正确?

由于无线网络时多个用户同时使用无线,使得用户中心看到的账号信息为多个用户所使用的账号信息,不建议在无线下使用用户中心查看用户信息,仅做参考使用。

为什么用户信息中心只记录部分审计日志计数后不入库了?

数据中心数据统计入库存在保护机制。当设备最后一个核CPU的使用率大于90%时,将不在进行数据更新入库操作,统计流程进入保护状态。当设备最后一个核CPU的使用率降低至小于60%时,统计流程恢复,正常记录更新数据统计入库。

10  安全分析FAQ

安全事件分析包含了哪些功能日志?

安全事件分析包含入侵防御检测日志、WEB防护日志、防暴力破解日志、网络层攻击日志(只统计扫描攻击防护日志)。

安全事件分析中的级别,如何定义的?

在安全事件分析中呈现的级别是根据该攻击源中产生的最高级别攻击日志展示的。

资产安全分析包含了哪些功能日志?

资产安全分析包含入侵防御检测日志、WEB防护日志、弱密码防护日志、防暴力破解日志、网络层攻击日志(只统计扫描攻击防护日志)、病毒防护日志、非法外联日志、行为模型(DNS隧道)日志。

各种类型日志,使用资产IP做检索,不同的安全日志检索的源和目的不同,说明如下:

·     入侵防御日志:基于目的地址统计;

·     WAF日志:基于目的地址统计;

·     弱密码防护:基于目的地址统计;

·     防暴力破解日志:基于目的地址统计;

·     网络层攻击(扫描攻击防护日志):基于目的地址统计;

·     病毒防护日志:基于源地址统计;

·     非法外联日志:基于源地址统计;

·     行为模型(DNS隧道):基于源地址统计。

资产安全分析中级别如何定义的?

风险计算算法,通过计算威胁事件条数来确定风险级别(1-100为低风险,101-200为中风险,201以上为高风险)。

 

11  策略路由FAQ

什么是策略路由?

策略路由,也叫做基于策略的路由,是指在决定一个IP包的下一跳转发地址时,不是简单的根据目的或源IP地址来决定,而是综合考虑多种因素决定。它转发分组到特定网络需要基于预先配置的策略,这个策略可能指定从一个特定的网络发送的通信应该被转发到一个指定的接口。

同一条策略路由最多支持几个下一跳?同时配置多个下一跳的情况下,如何转发报文?

目前,设备支持同一条策略路由中配置8个不同下一跳。

同一条策略路由中同时配置多个下一跳的情况下,第一个下一跳作为主用路由,其余下一跳作为备份路由,实现路由备份功能。

策略路由转发流程图

图1 策略路由转发流程图

 

策略路由下一跳不可达的判断条件是什么?

通常我们都认为下一跳失效的判断条件为下一跳是否可达,但实际上设备在实现上并没有探测下一跳是否可达的机制,因此设备只能根据自身的各种因素进行判断。下面我们分两种情况进行讨论。

(1)     下一跳是直连网段地址的情况:

设备判断下一跳是否可达的条件是ARP,只要存在正确的对应下一跳地址的ARP表项,则策略路由认为下一跳可达。值得一提的是,如果配置静态ARP,则需要同时配置对应VLAN和出接口,此时策略路由才认为下一跳可达。

(2)     下一跳是非直连网段地址的情况:

对于非直连网段的下一跳地址,设备可以进行路由迭代,即针对下一跳地址查找路由表,如果能匹配到路由,则认为策略路由下一跳可达。如果没有匹配到任何路由,或者只能匹配缺省路由,则认为策略路由下一跳不可达。

IPv6策略路由下一跳是否支持出接口(tunnel)

IPv6策略路由下一跳信息暂时不支持“出接口(tunnel)”,设备目前暂时不支持IPv6 ipsec vpn

各种路由的优先级是什么样的?

优先级依次为:策略路由->链路负载均衡策略->静态路由(ISP路由)->动态路由,ISP路由也是一种静态路由,所以两者默认优先级完全一样,如果出现相同的目的网段同时同时配置ISP路由和静态路由的下一跳不同,流量负载分担。

当同一个策略路由存在多个下一跳的情况下,流量如何转发?

当策略路由存在多个下一跳出口时,流量权重是根据会话来区分的,如果只有一条会话,流量只会随机选择其中的一个下一跳转发。

改变策略路由的优先级,对策略路由有什么影响?

·     删除低优先级的策略路由,不影响高优先级的策略路由的正常转发。

·     删除高优先级的策略路由,次高优先级的策略路由开始生效。

·     反复移动策略路由的优先级,始终是优先级高的策略路由生效。

12  ISP路由FAQ

什么是ISP路由?

ISP路由是将数据包从一个网络转发到另一个网络中的目的地址的过程。路由器是处在两个网络之间转发数据包的设备。路由器根据路由表中储存的各种传输路径传输数据包,每一个传输路径即为一个路由条目。

ISP路由的工作环境是什么?

很多用户通常会申请多条线路进行流量负载均衡。然而,一般的均衡是不会根据流量的流向做均衡的,如果网通的服务器通过电信访问,网速就会很慢。安全网关针对该问题,提供ISP路由功能,使不同ISP流量走专有路由,从而提高网络访问速度。

ISP路由是怎样工作的?

用户在ISP路由配置页面新建策略,可以引用ISP信息预定义的运营商网段表,使相应ISP路由生效,同时支持在ISP信息页面自定义创建新的ISP对象,添加对应的目的地址网段,然后在ISP路由页面创建策略来引用以使其生效。

ISP路由如何进行流量负载均衡?

ISP路由在NAT配置、安全策略配置时可直接调用相应地址对象的流量。通过ISP路由策略(双ISP缺省路由)进行控制相应的流量走向问题,从而达到负载均衡。

ISP路由和静态路由有什么区别?

(1)     ISP路由下发的就是静态路由,只不过ISP路由支持以文件的形式批量下发路由,为了便于区分两种路由的下发形式,display ip route中在手工配置的静态路由前会标识SISP形式下发的路由前会标识为I

(2)     ISP路由下发的条目在静态路由配置页面不显示,进行了过滤,避免影响用户手工创建的静态路由的配置查看。

(3)     静态路由和ISP路由规格是共用的,是占用的同一个规格表。

(4)     如果配置一条静态路由再自定义创建一条ISP路由分别指向不同的下一跳,实现的是等价路由的效果。

(5)     存在ISP路由的情况下,再创建相同的静态路由,静态路由不能下发,实际还是一条路由,反之亦然。

(6)     CLI下通过no ip route xxxx可以删除相应的ISP路由,如果要恢复此条ISP路由,需要删除ISP路由重新创建以触发下发整个ISP路由表。

13  IPsec VPN FAQ

如何查看当前IKE SA信息?

可以使用命令display ike sa查看当前IKE SA的信息:

HOST# display ike sa

----------------------------------------------------

Name: dut1    id: 3184

        local_addr: 30.1.1.2

        peer_addr: 30.1.1.3

        stat: establish

        life time: 86390

*********************************************************

Data: ike sa    Total count: 1.

*********************************************************

如何查看当前IPsec sa信息?

可以使用命令display ipsec sa查看当前IPsec sa的信息

HOST# display ipsec sa

----------------------------------------------------

Name: dut1    id: 4667

        local_addr: 30.1.1.2    peer_addr: 30.1.1.3

        esp: yes    mode: tunnel

            enc_algo/auth_algo: aes256/sha1

            inbound_spi/outbound_spi: 237441483/134485286

        ah: no

        stat: establish

        life time/cur_life_time: 86400/86304

        inbound/outbound: 5/5 kbytes

        local_net: 20.1.1.0/24

        peer_net: 10.1.1.0/24

*********************************************************

Data: ipsec sa  Total count: 1.

*********************************************************

IPsec VPN中报文的默认加密方式是什么?

IPsec VPN的默认加密方式是aes256-sha1

一条VPN最多支持多少条隧道?

一条IPsec VPN隧道,配置多个网段的感兴趣流,最多支持100条。

为什么IPsec VPN第一阶段协商不成功?

(1)     第一阶段协商不成功,首先可以检查IKE的配置,查看两端的配置是否一致。

(2)     其次检查路由,查看对端是否可达。

(3)     如果一端配置对端网关配置的是动态,另一端配置静态对端网关,查看配置静态对端网关的一端,是否开启了自动连接,若未配置自动连接,流量需要从静态那一端发起,触发IKE SA的协商。

(4)     一阶段是否配置了两套一样的IKE提议:对端IP,算法提议,对端ID,本地源IP,这些信息一样。如果存在两套一样的提议,设备就无法确认使用哪个IKE配置进行协商了

主模式:对端IP,算法提议,本地源IP(如果配置了就检查)

野蛮模式:对端ID、算法提议、本地源IP

无论哪种模式匹配的标准是一样的,对端IP,算法提议,本地源IP,对端ID。只不过如果没有带的话,这一项就不检查了。

调试命令:debug ipsec-VPN debug

为什么IPsec VPN第二阶段协商不成功?

(1)     首先可以检查IPsec的配置,查看两端的配置是否一致。

(2)     检测感兴趣流,查看两端的感兴趣流是否一致。

(3)     检测路由,查看对端是否可达。若是基于tunnel口,检查是否配置tunnel口的路由。

调试命令:debug ipsec-vpn debug

为什么保护子网不能通讯?

隧道模式时查看是否配置策略。

查看感兴趣流的方向性是否正确。

若是感兴趣流的问题,可以通过以下命令查看:

display ike dump-tunn,查看基于tunnelIPSec VPNsp状态是否建立成功。

为什么某些移动终端接入VPN不成功?

(1)     有些手机的IKE协商模式是野蛮模式,有些是主模式,所以一条VPN隧道不能保证所有的手机都能接入成功。

(2)     手机发起的加密算法也各不相同,可以通过debug ipsec-vpn debug命令,查看协商不成功的原因,同时也可以查看对端发来的加密算法是否与本端一致。

NAT环境下IPSEC协商不成功?

搭建IPSEC的环境中间有过NAT并且配置了AH认证导致ipsec无法协商成功,AH封装的校验从IP头开始,如果NATIP的头部改动,AH的校验就会失败,因此我们得出结论,AH是无法与NAT共存的。此时去掉AH认证IPSEC可以协商成功。

IPSEC建起连接后,一端断开后,IPSEC无法协商?

IPSEC断开后对端设备并没有把原先建立好的Sa清除,就不再接受再次发起的协商请求,导致无法建立连接。

(1)     在对端设备手动删除SA

(2)     双方启用DPD检测。

本端SA状态显示连接,流量无法转发?

问题原因:对端手动清除了SA;对端同时启用了按秒计时和按流量统计,本端只配置了按秒计时,如果流量过大,可能导致在按秒计时的生存周期内流量已经超出,导致对端SA端口连接

(1)     双方把各自一阶段的SA生存期和二阶段SA生存周期改成一致;

(2)     一阶段启用DPD检测。

当设备存在多出口时,其它参数正确,IPSEC协商失败?

(1)     当有多出口时,需要指定用于建立IPsec的本端IP地址。

(2)     如果指定的是本地源接口,则使用该接口上的主IP作为本端IP地址。

IPSEC使用国密证书协商不成功?

(1)     IPSEC认证方式选择国密认证后,需要填写本端证书、对端证书和CA证书。

(2)     协商不成功需要检查本端证书与对端证书是否导入正确。

IPSEC快速配置与IPSEC VPN标准配置有什么区别?

(1)     IPSEC快速配置大大简化了IPSEC VPN配置,接入一个新的站点只需要配置节点类型、本端或对端网关IP,保护网段即可实现IPSEC接入,IKE一阶段、IPSEC二阶段、tunnel接口、保护网段路由等动态生成。

(2)     IPSEC快速配置支持网段映射,能很好的解决分支站点保护网段冲突的情况。

(3)     IPSEC快速配置支持选路策略动态调整,调整主备链路只需要调整分支节点线路顺序,设备会根据线路顺序自动调整路由优先级,默认线路优先级为5678,最多支持4条线路。

IPSEC快速配置一阶段和二阶段默认参数?

(1)     执行命令display ike easy-ipsec-gen可以查看一阶段默认参数如下:

    set mode main

    set remotegw 172.16.1.1

    authentication pre-share

      lifetime 86400

    dpd enable

    dpd interval 5

    dpd retry-interval 2

    set nat 10

    group 2

    set policy 1

      encrypt 3des

      hash md5

(2)     执行命令display ike easy-ipsec-gen可以查看二阶段默认参数如下:

vpn ipsec phase2

    mode tunnel

    auto-connect enable(分支节点开启自动连接,中心节点默认关闭自动连接)

    auto-connect interval 10

    set lifetime seconds 86400

set proposal1 esp-aes256-sha1 ah-null

IPSEC快速配置默认参数支持修改吗?

IPSEC快速配置一二阶段默认参数不支持修改,进入命令行编辑模式时会有错误提示,不允许用户修改。

IPSEC预共享密钥有字符限制么?

预共享密钥尽量避免使用特殊字符,如 “<>”否则有可能会出现显示报错,但 不影响最终使用,尽量避免。

主链路断开后为什么ipsec链路没断开?

因为每一条ipsec链路都有设置的老化时间,链路断开后,会等待ipsec链路老化时间结束后,再根据设置的切换时间切换链路。

主链路被引用后还能继续当做其它链路的备链路吗?

不能,主备链路是一对一的关系,被引用的主链路和备链路都不能再被其它链路引用。

主备切换必须等待ipsec老化时间结束才能切换吗?

一般情况下,需要等待ipsec链路老化时间结束后才开始切换时间,但是可以在ike配置DPD对端检测,链路断开后,根据设置的对端检测时间,ipsec链路就会断开。

主链路选择连接方式为监控链路故障自动连接后主链路选择下拉为什么为空?

主链路选择是指备链路来选择哪条链路作为主链路,主链路配置的时候不需要选择连接方式为监控链路故障自动连接。

链路断开是监控哪个阶段?

主备链路监控的是IPSEC SA的状态。

使用测试仪打单向流量,一条隧道的情况下为什么解密端cpu0核使用率很高?

目前对于低端设备没有完全意义上的控制核,cpu0核也会处理ipsec vpn业务,数据包通过ipsec加密端设备加密后就变成了相同的五元组:协议、源目的IP、源目的端口的报文,由于设备支持流保序功能,从而导致流量默认全部分到了cpu0,可通过switch keep-order off命令关闭。

IPSEC场景,DPD未开启的情况下,ipsec关联的物理接口down后,ikeipsec sa不会跟随断开连接?

IPSEC设置有3种:本地源接口,本地源IP,无,对于本地源IP和无的配置,接口down是无法判断要清除那个SA的,所以统一处理逻辑为接口down不自动清IKE,通过DPD机制来检测链路状态即可,DPD保活失败,会自动清除SA

IPsec快速配置分支节点对端网关的配置说明

分支节点中的对端网关配置为嵌套的方式,独立于整个的IPsec快速配置页面,在编辑或新建对端网关配置提交后,对端网关的配置就已经下发成功了。

 

14  IPv6 FAQ

配置IPv6有什么优点?

IPv6具有128位的IP地址结构,提供充足的地址空间。层次化的网络结构,提高了路由效率。支持自动配置,即插即用。支持端到端的安全。支持移动特性。新增流标签功能,更利于支持QoS

什么是IPv6邻居发现协议?

邻居发现协议(Neighbor Discovery Protocol)是IPv6协议的一个基本的组成部分,它实现了在IPv4中的地址解析协议(ARP)、控制报文协议(ICMP)中的路由器发现部分、重定向协议的所有功能,并具有邻居不可达检测机制。

邻居发现协议实现了路由器和前缀发现、地址解析、下一跳地址确定、重定向、邻居不可达检测、重复地址检测等功能。

IPv6中的路由器请求报文作用(Router Solicitation)?

当主机没有配置单播地址(例如系统刚启动)时,就会发送路由器请求报文。路由器请求报文有助于主机迅速进行自动配置而不必等待IPv6路由器的周期性IPv6路由器通告报文。

IPv6路由请求为ICMP报文,类型为133

IPv6路由器请求报文中的源地址通常为未指定的IPv6地址(0::0)。如果主机已经配置了一个单播地址,则此接口的单播地址可在发送路由器请求报文时作为源地址填充。

IPv6路由器请求报文中的目的地址是所有路由器组播地址(FF02::2),作用域为本地链路。如果路由器通告是针对路由器请求发出的,则其目的地址为相应路由器请求报文的源地址。

IPv6中的路由器通告报文作用(Router Advertisement)?

每个IPv6路由器的配置接口会周期发送路由器通告报文。在本地链路上收到IPv6节点的路由器请求报文后,路由器也会发送路由器通告报文。

IPv6路由器通告报文发送到所有节点的链路本地组播地址(FF02 ::1)或发送路由器请求报文节点的IPv6单播地址。

路由器通告为ICMP报文,类型为134,包含以下内容:

·     是否使用地址自动配置。

·     标记支持的自动配置类型(无状态或有状态自动配置)。

·     一个或多个本地链路前缀-本地链路上的节点可以使用这些前缀完成地址自动配置。

·     通告的本地链路前缀的生存期。

·     是否发送路由器通告的路由器可作为缺省路由器,如果可以还包括此路由器可作为缺省路由器的时间(用秒表示)。

·     和主机相关的其它信息,如跳数限制,主机发起的报文可以使用的最大MTU

邻居请求(Neighbor Solicitation)报文作用?

当一个节点需要得到同一本地链路上另外一个节点的链路本地地址时,就会发送邻居请求报文。此报文类似于IPv4中的ARP请求报文,不过使用组播地址而不使用广播,只有被请求节点的最后24比特和此组播相同的节点才会收到此报文,减少了广播风暴的可能。

源节点使用目的节点的IPv6地址的最右24比特形成相应的组播地址,然后在相应链路上发送ICMPv6类型为135的报文。目的节点在响应报文中填充其链路地址。为了发送邻居请求报文,源节点必须首先知道目的节点的IPv6地址。

邻居请求报文也用来在邻居的链路层地址已知时验证邻居的可达性。

邻居通告(Neighbor Advertisement)报文作用?

IPv6邻居通告报文是对IPv6请求报文的响应。

收到邻居请求报文后,目的节点通过在本地链路上发送ICMPv6类型为136的邻居通告报文进行响应。收到邻居通告后,源节点和目的节点可以进行通信。

当一个节点的本地链路上的链路层地址改变时也会主动发送邻居通告报文。

邻居发现协议的功能是什么?

·     路由器和前缀发现。

·     地址解析。

·     重定向功能。

·     邻居不可达检测。

·     重复地址检测。

在配置IPv6静态路由之前,需完成以下任务?

配置相关接口的物理参数,配置相关接口的链路层属性、使能IPv6报文转发能力、邻节点网络层(IPv6)可达。

IPv6缺省路由的生成方式?

IPv6缺省路由是在路由器没有找到匹配的IPv6路由表项时使用的路由。

IPv6缺省路由有两种生成方式:

·     第一种是网络管理员手工配置。指定的目的地址为::/0(前缀长度为0)。

·     第二种是动态路由协议生成,由路由能力比较强的路由器将IPv6缺省路由发布给其它路由器,其它路由器在自己的路由表里生成指向那台路由器的缺省路由。

Tunnel接口上配置了相关的参数后(例如隧道的起点、终点地址和隧道模式)仍未处于up状态?

可以按照如下步骤进行:

(1)     Tunnel接口未处于up状态的最常见原因是隧道起点的物理接口没有处于up状态。使用display interfacedisplay IPv6 interface命令查看隧道起点的物理接口状态为up还是down。如果物理接口状态是down,请检查网络连接。

(2)     Tunnel接口未处于up状态的另一个可能的原因是隧道的终点地址不可达。使用display IPv6 routedisplay ip route命令查看是否终点地址通过路由可达。如果路由表中没有保证隧道通讯的路由项,请配置相关路由。

6to4隧道是否需要配置目的地址?

6to4隧道不需要配置目的地址,因为隧道的目的地址可以通过6to4 IPv6地址中嵌入的IPv4地址自动获得。

ISATAP隧道是否需要配置目的地址?

ISATAP隧道不需要配置目的地址,因为隧道的目的地址可以通过ISATAP地址中嵌入的IPv4地址自动获得。

从设备端执行什么配置去主动ping另一台设备的IPv6地址?

执行ping6 IPv6地址即可,使用ping命令仅为IPv4下使用的。

什么是IPv6手动隧道?

手动隧道是点到点之间的链路,一条链路就是一个单独的隧道。主要用于边缘路由器—边缘路由器或主机—边缘路由器之间定期安全通信的稳定连接,可实现与远端IPv6网络的连接。

什么是6to4自动隧道?

6to4隧道是点到多点的自动隧道,主要建立在边缘路由器之间,用于将多个IPv6孤岛通过IPv4网络连接到IPv6网络。6to4隧道通过在IPv6报文的目的地址中嵌入IPv4地址,来实现自动获取隧道终点的IPv4地址。

6to4隧道采用特殊的6to4地址,其格式为:2002:abcd:efgh:子网号::接口ID/64,其中2002表示固定的IPv6地址前缀,abcd:efgh表示该6to4隧道对应的32位全球唯一的IPv4地址,用16进制表示(如1.1.1.1可以表示为0101:0101)。2002:abcd:efgh之后的部分唯一标识了一个主机在6to4网络内的位置。通过这个嵌入的IPv4地址可以自动确定隧道的终点,使隧道的建立非常方便。

由于6to4地址的64位地址前缀中的16位子网号可以由用户自定义,前缀中的前48位已由固定数值、隧道起点或终点设备的IPv4地址确定,使IPv6报文通过隧道进行转发成为可能。6to4隧道可以实现利用IPv4网络完成IPv6网络的互连,克服了IPv4兼容IPv6自动隧道使用的局限性。

什么中ISATAP自动隧道?

现有的IPv4网络中将会出现越来越多的IPv6主机,ISATAP隧道技术为这种应用提供了一个较好的解决方案。ISATAP隧道是点到多点的自动隧道技术,通过在IPv6报文的目的地址中嵌入的IPv4地址,可以自动获取隧道的终点。

使用ISATAP隧道时,IPv6报文的目的地址和隧道接口的IPv6地址都要采用特殊的ISATAP地址。ISATAP地址格式为:Prefix(64bit):0:5EFE:abcd:efgh。其中,64位的Prefix为任何合法的IPv6单播地址前缀,abcd:efgh表示32IPv4源地址,用16进制表示(如1.1.1.1可以表示为0101:0101),该IPv4地址不要求全球唯一。通过这个嵌入的IPv4地址就可以自动建立隧道,完成IPv6报文的传送。

ISATAP隧道主要用于在IPv4网络中IPv6路由器—IPv6路由器、IPv6主机—IPv6路由器的连接。

如何配置基于IPv6的域名白名单功能?

设备只支持命令行下配置IPv6的域名白名单,如:user-policy whitelist host www.baidu.com

设备上配置了域名白名单,设备ping域名后,使用display user-policy whitelist显示无内容

此功能是通过转发或者旁路流量应用识别DNS报文的域名和地址,设备本地ping不会进入识别流程,所以无法使用display user-policy whitelist显示。

15  DHCPv6 FAQ

DHCPv6配置了ac地址,但是抓包查看没有带ac地址信息

AC地址协议定义字段option52,默认不会主动发送该信息,必须收到携带option52的请求消息才会触发下发该地址。

DHCPv6 Server地址池中有地址分配出去时,是否可以修改地址池范围?

不可以,建议删掉地址池之后重新新建地址。

修改DHCPv6 Server端的配置时,是否会导致Client端地址失效?

Server端和Client端不是实时交互的,是根据租约时间由客户端主动交互,在服务端做的操作不会实时同步到客户端,如删除地址池、删除监视器条目等操作不会导致客户端立即释放地址。

DHCPv6 server端默认配置有哪些?

DHCPv6 Server端默认只支持四步交互、日志不开启、优先级为0;如要调整这个参数可通过命令行配置。

DHCPv6 server是否支持静态地址分配?

v4 Server是支持的,v6 Server不支持。

 

DHCPv6 server分配地址是否按顺序?

DHCPv6 server不是按地址池顺序分配地址的,跟v4不同。v6 Server是按照固定的算法给客户端分配地址。

DHCPv6 server分配网关吗?

DHCPv6 server协议规定是不分配网关的,跟v4不同。客户端获取IPv6网关地址是通过RA学习到对端的linklocal地址,所以一般DHCPv6 server服务接口最好开启RA,否则客户端将不会有IPv6的网关。

DHCPv6 ServerRA的关系?

RA是指导设备获取地址的方式,RAMO的取值关系决定客户端的地址获取方式,具体对应如下:

DHCPv6如何区分有状态和无状态?

IPv6地址获取方式有两种:

(1)     IPv6无状态获取地址,即通过RA下发的前缀自动生成IPv6地址;

(2)     DHCPv6获取地址,DHCPv6又分为两种,即DHCPv6有状态和无状态,有状态即DHCPv6客户端能获取IPv6地址和DNS等信息;无状态即DHCPv6客户端不获取IPv6地址,只获取DNS等信息。

DHCPv6 Client支持DHCPv6无状态吗?

目前设备作为DHCPv6 Client时,不支持DHCPv6无状态。

DHCPv6 Client支持PD吗?

目前设备对PD的支持有限,只能获取PD前缀,但不能将前缀下发到用户,且获取到的PD信息在本机页面不显示。

DHCPv6 Client有地址冲突检查机制吗?

目前设备作为DHCPv6 Client时,地址冲突检查能力有限,当获取的IPv6地址与本机其它接口IPv6地址有冲突时,可以检测到并且不将该地址配置到接口;但是当获取的IPv6地址与其它设备IPv6地址有冲突时,会将该IPv6地址配置到接口。

DHCPv6 Client 可以处理managed flag 1RA报文吗?

DHCPv6 Client侧不处理managed flag 1RA报文。

开启DHCPv6 Relay服务时,为什么有时候提示接口地址不是全球单播地址?

开启DHCPv6 Relay服务时会检查开启Relay功能的接口地址是否为全球单播地址,如果出现提示时,需要检查该接口的地址配置。如下图所示,ge1接口是指开启Relay服务的接口。

DHCPv6 Relay使用过程中能否改变relay接口的IPv6地址?

删除或修改开启Relay服务的接口的IPv6地址时,最好先关闭该接口的Relay服务,因为Relay服务启动时会初始化,获取接口IPv6地址,所以服务运行过程中接口IPv6地址有变化,Relay服务会失效。

DHCPv6 Relay配置过程中有哪些需要注意的?

因为Relay是实现跨网段的DHCPv6服务,所以一般情况下Relay接口和Server接口是不在同一网段的,所以无动态路由学习功能的服务器上需要添加静态路由到中继口,该问题容易被忽略,所以一定要检查路由是否通后,再开始使用Relay

对端路由器发送的RA包中配置的前缀,如果不是64位的,本端NDRA的接口可以获取到这个前缀吗?

不能,对端路由器发送的RA包中所包含前缀必须是64位前缀,否则会丢弃。

对端路由器发送的RA包中,如果被管理标志位置位,本端NDRA的接口可以获取到这个前缀吗?

不能,如果被管理标志位置位,不会去获取前缀,只会去获取默认网关。

ND-RA功能和路由器的RA功能有何区别?

路由器的RA功能,包含响应终端的RS以及定期发送RA

设备上接口如果配置了ND-RA,相当于接口处于终端模式,会发送一定数量的RS,并且会解析收到的对端发送的RA包并从中获取IPv6前缀。

ND-RA功能和IPv6路由通告的功能有何差别?

16  ND-RA功能扮演终端模式,IPv6路由通告功能扮演路由器模式。VRF FAQ

不同的VRF间如何相连?

可以通过物理网线相连接,也可以通过虚拟接口如子接口方式相连接。

设备最多可以创建多少个VRF

可以创建最多256vrf,超出时提示:Error: The total number of vrf has exceeded the maximum size(Capacity reached)

VRF基本设计概念是什么?

VRF功能提供了从一台物理路由器变成多台虚拟路由器的功能。设备的VRF功能提供了路由表隔离,接口切换VRF,外部能够正常支持访问已经切换VRF的接口地址,支持本机报文正确选择对应接口向外主动发送报文。

路由表隔离功能的逻辑?

路由表隔离功能是通过在创建和删除VRF时,同时创建对应的fib表实现的,实现形式就是每个VRF一个独立的FIB表,设备在没有开启VRF功能时,是默认存在一个VRF0结构的,路由表和流表都是从属与该结构。

流表的隔离功能?

流表的隔离,是通过在流表结构中添加VRF_ID字段来实现的,功能主要流程为,在流里结构中添加了一个VRF_ID的字段,该VRF_ID字段赋值为报文入接口的VRF_ID,查找流表的时候,比较五元组的同时还需比较VRF_ID是否相同,如果五元组和VRF_ID均相同,则表示查找成功,否则,新建对应的流表。

VRF模块设计背景?

VRF模块属于设备的功能模块,实现虚拟路由转发功能。

VRF接口支持哪些功能?

绑定了VRF的接口,仅支持NAT和静态路由功能,不支持其它功能,例如动态路由等。

VRF接口ping不通?

接口加入VRF后,ping本机VRF中的接口地址ping不通,对端直连设备也无法ping通本端VRF接口的地址。

17  动态路由 FAQ

RIP支持v1v2功能吗?

RIP支持v1v2两个版本。

RIP开启时默认是V1还是V2版本?

RIP开启时默认为V2版本,若需要可以手动切换到v1版本。

OSPF是否支持pppoe接口?

Ospf不支持pppoe接口。

OSPFRouter ID如何配置,缺省是什么?

简单的说我们采用如下策略:

·     如果有loopback接口配置了,就选IP地址数值最大的loopback地址。

·     如果没有配置loopback接口地址,就选IP地址数值最大的物理接口地址。

·     选择完成后不可抢占。

·     我们也可以在启动OSPF进程时同时指定Router ID,如:router-id 1.1.1.1

·     需要注意的是,如果当前OSPF进程正在运行,Router ID即使是重新手工配置或计算都不会马上生效,而需要OSPF进程重新启动才会生效。这个要求是合理的,因为Router IDOSPF协议来说太重要,不可能在OSPF保持邻居不断的情况下更新。

OSPF没有路由,甚至邻居都不能形成Full关系,最常见的原因是什么?

·     OSPF网络类型是NBMA的,但你忘记在OSPF协议模式下配置邻居了。

·     OSPF网络类型是NBMA的,你配置了邻居,但在诸如Frame relaymap语句中忘记加broadcast关键字了,导致协议报文不能到达对方。

·     OSPF邻居的hellodead interval值不一致。

·     StubNSSA区域,有些路由器没有配置成StubNSSA

·     OSPF验证配置错误。

·     OSPF Router ID有问题,可能和某个其它路由器一样了。

·     OSPF链路两端的网络类型不一致。

·     OSPF链路两端的MTU相差比较大,尤其注意和不同厂商实现互通时(需要在其接口下配置OSPF忽略MTU检查或修改MTU)。

·     该网络根本就没有启动OSPF

·     区域号不一致;链路的网络地址不一致,注意检查两边的mask

有什么好的办法知道OSPF出了什么问题?

其实很简单,也是必须知道的。调试开关是需要打开的,其中最有效,最常用的就是debug ospf packet命令,协商完成后执行display log debug,它能让你对OSPF的大部分问题看的一目了然。当然它也不是万能的,它是在正确接收OSPF报文的基础上才能有相应的错误事件。

OSPF如何自动计算接口cost的?

当链路接口没有明确配置OSPF cost的时候,Cost按配置的基值除以接口带宽来计算。这个基值缺省为100M,例如10M的链路,cost缺省是100/10=10。显然当运行OSPF的路由器存在多个速率不同的1000M以上的高速接口时候,如果接口没有明确赋予OSPF Cost,按缺省公式自动计算的Cost将都为1,不能反映链路速率。这个时候有一个Bandwidth-Reference的命令,来调节基准值的,但要注意,整个OSPF路由域都要对应调整。因此,最好的方法,还是在网络做好规划,手工对链路接口的Cost赋值。

OSPF链路两端配置不同的网络类型,能否形成Full关系?

看起来很奇怪的问题,其实比较有意思。很多人的第一感觉就是:两端的了链路网络类型都不一样,哪能形成邻居关系呢?其实不然。OSPF协议并没有规定,要去严格检查链路的网络类型,链路的网络类型最重要的描述也是在Type 1 LSA中,形成邻居的关系条件检查并没有去检查它。仔细阅读协议并做实验,你会发现不少情况下,比如两台路由器以太网连接,一端保持缺省的广播网络类型,一端配置成OSPF P2P网络类型,肯定是可以形成邻居,并交换LSDB达到Full状态的。但很奇怪的事情是:到达Full状态了,为什么学不到路由呢?其实答案很简单,OSPF路由器需要LSDB来构建SPTShortest Path Tree),由于LSDB的数据库是脱节有问题的(在我的Router LSA中,我认为你是个广播邻居;而在你的Router LSA中认为我应该是个P2P邻居),根本无法构建正确的SPT SPF算法也无法计算出正确的路由。

OSPF路由聚合是否可以跨区域聚合?

先看一个问题,简单示意的OSPF网络拓扑,area 1——area0area2area1中三条路由:10.1.0.0/1610.2.0.0/1610.3.0.0/16,在area1area0之间的ABR没有配置聚合(将上述三条聚合成10.0.0.0/8),但在area0area2之间的ABR配置聚合却不生效。这就是跨区域的聚合问题,这个表现是否正确呢?

仔细看下RFC 2328 12.4.3 Summary-LSAs中的描述,我们可以知道ABR产生type 3 LSA时,如果是inter-area,就直接处理,产生相应的type 3 LSA,而不需要考虑配置的range,而在考虑intra-area路由的时候,才要去考虑配置的聚合。

所以,上述描述的结果是正常的现象。区域间路由的聚合是在连接产生该路由的区域的ABR上处理的,而不能跨区域聚合。

OSPFVirtual-Link是否很有用处?

从协议的角度上来看,OSPF的虚连接Virtual Link非常有用,一是可以将不与骨干区域直接物理连接的区域连接起来,让它能正常路由,这在一些网络的合并中比较有用;二是可以提高网络的可靠性,让骨干区不至于轻易断开而不能正常路由(RFC 2328中的例子)。

OSPFv3在界面中是否有配置选项?

OSPFv3仅提供命令行下配置,可以在界面上查看学习到的路由条目。

OSPFv3邻居无法建立?

如果物理连接和下层协议正常,则检查接口上配置的OSPFv3参数,必须保证与相邻路由器的参数一致,区域号相同。

相邻的两台路由器接口的网络类型必须一致。若网络类型为广播网,则至少有一个接口的DR优先级应大于零。

OSPFv3路由信息不正确?

应保证骨干区域与所有的区域相连接。若一台路由器配置了两个以上的区域,则至少有一个区域应与骨干区域相连。骨干区域不能配置成Stub区域。

Stub区域内的路由器不能接收外部AS的路由。如果一个区域配置成Stub区域,则与这个区域相连的所有路由器都应将此区域配置成Stub区域。

当执行no router ospf6后,其它接口有关ospfv3配置是否自动删除?

各项口下进行的功能特性配置,在删除router ospf6主进程后,该接口上的所有配置也将被删除。

18  HA FAQ

配置HA的优点?

HAHigh Availability缩写,即高可用性,可防止网络中由于单个网关产品的设备故障或链路故障导致网络中断,保证网络服务的连续性和安全强度。

随着网络的快速普及和应用的日益深入,各种增值业务(如 IPTV、视频会议等)得到了广泛部署,

网络中断可能影响大量业务、造成重大损失。因此,作为业务承载主体的基础网络,其可靠性日益

成为受关注的焦点。

在实际网络中,总避免不了各种非技术因素造成的网络故障和服务中断。因此,提高系统容错能力、

提高故障恢复速度、降低故障对业务的影响,是提高系统可靠性的有效途径。

HA的工作模式

目前产品支持两台网关设备以主-备模式运行。

什么是HA的主备模式?

主备模式是指实现HA的两台设备中, 一台作为主设备, 另外一台作为备设备。主设备在进行业务的同时, 将相关的配置和数据信息实时同步到备设备。当主设备出现故障或主设备的链路中断时,备用设备成为主设备,接管原主设备的工作,实现网络业务的无缝切换。

在主备模式下,主设备响应各类报文请求,并且转发网络流量;备用设备不响应报文请求,也不转发网络流量。主备设备之间通过HA心跳线同步状态信息,配置信息以及特征库文件。

主备模式支持路由模式和透明模式。

什么是HA的主主模式?

主主模式是指实现HA的两台设备中, 两台均为主设备。主设备在进行业务的同时, 将流表信息和认证用户信息同步到对端。当其中一台设备出现故障或链路中断时,另外一台设备作为故障设备的备份,接管原主设备的工作,实现网络业务的无缝切换。

在主主模式下,两台设备均工作,转发流量。主主设备之间通过HA心跳线同步状态信息。

主主模式支持路由模式和透明模式。

HA工作状态

HA主备的工作状态主要有两种,主模式和备模式:

·     主模式是指在设备HA主备模式中,实际参与工作。

·     备模式是指设备在HA主备模式中,作为主设备备份,不参与实际工作。只有当主设备失效,才转换为主设备,接替其工作。

HA主主的工作状态为主模式:

·     主模式是指在设备HA主主模式中,两台设备均参与工作。其中一台设备出现故障,另外一台承接出现故障的业务。

HA接口概念

HA中,主要有两种接口概念:

·     HA接口:连接两台HA设备的接口,不参与报文的转发,只用于HA设备接收心跳报文和同步报文使用。

·     监控接口:HA必须重点关注的设备接口,如果此接口状态为down,表明网络状态发生故障,需要切换主备设备来修复故障。

抢占模式

·     非抢占方式:如果备份组中的路由器工作在非抢占方式下,则只要主路由器没有出现故障,备设备不会主动成为主设备。

·     抢占模式:抢占模式时指用户可以根据需要,制定某一台设备优选为主设备或者为备设备。如果配置优选为主设备的设备工作正常,即使当前设备为备状态,也要“抢占”成主设备。

·     HA的两台设备抢占模式必须匹配。或者全部配置成非抢占模式,或者一个配置成抢占为主,一个配置成抢占为备。否则HA无法正确协商。

抢占延时定时器

为了避免HA设备频繁进行主备状态转换,备设备在网络状态恢复为正常状态后,也不会马上抢占为主,而是在流表等信息同步完成后,等待一定时间。只有在这段时间内,设备依然正常,才会通知主设备,抢占成主。

心跳报文

HA设备之间用来相互通告设备的HA配置和HA状态的报文。如果一个设备在规定时间没有收到邻居心跳报文,可以认定HA邻居已经失效。

HA管理地址

处于备状态的HA设备不会参与网络转发,因此无法通过其接口配置的IP地址访问。为了解决这一问题,可以在设备上配置管理地址,用作备设备的网络管理。用户可以从外部访问备设备的telnet服务和web管理界面。

HA状态同步

HA作为热备份,为了在状态切换的过程中,尽量减小对网络的影响。HA会将主设备上的一些实时的状态同步给备设备。同步的内容主要包括三种:session信息,设备配置,特征库。

·     session信息:包括设备连接表、fdb、用户信息、PKI

·     设备配置:同步的设备配置中不包含HA配置信息,以及一些特殊的配置。

·     特征库:特征库包括IPS特征库,AV特征库,APP特征库以及URL特征库。

HA主备状态切换

·     当设备启用HA主备模式后,设备进入init(初始化状态)。在这个状态,设备不参与报文转发,只接受对端HA设备的keepalive报文。如果收到了主设备发出的keepalive报文,设备会进入备状态。如果没有收到keepalive报文,设备会进入主状态。

·     如果设备成为主状态后,会向外发送免费arp报文,用来更新上下游设备的arp表(工作在路由模式),或者向外发送特殊的报文刷新上下游交换机的fdb信息(工作在透明模式)。

·     如果设备成为备设备,设备会清除自己的fdb表(如果工作在透明模式),并且向主设备请求状态信息。

HA主主状态切换

当设备启用HA主主模式后,设备进入init(初始化状态),然后状态置为master。设备收到对端发来的keepalive报文,两端设备协商参数。建立master邻居后,靠心跳报文保持邻居关系,并启动定时器。若在定时器(定时器时间为interval *retry次数)时间内,未收到心跳报文,则状态置为masterA)。出现故障的设备状态置为masterN)。masterN)状态的设备,监控接口不参与报文转发。

HA主主邻居为什么建立不起来

·     两台设备必须型号一致,板卡一致。

·     两台设备的序列号要求不一致。序列号一致建不起来邻居。

·     查看心跳线接口状态是否正常。

HA主主地址代理

两台设备均配置监控接口,当其中一台设备的接口down掉后,两台一台设备的接口将对端地址代理,代理地址置为active,此接口参与出现故障设备的业务转发。

HA主主非对称路由

Ha主主环境下,流表信息同步,某种业务的控制报文走的其中一台主主设备,数据报文可以从另外一台设备收上来。

HA主备场景下执行手动同步配置,备设备重启完成后,主设备HA监控仍显示配置不同?

低端硬件型号不支持硬盘,如果主设备上插了U盘或移动硬盘,而备设备上没有,这样主设备上就会下发非经的配置,备设备由于没有硬盘就不会下发配置的配置,这样就会导致主备手动配置同步后,由于主设备上存在非经的配置,会导致配置对比始终不相同,如果出现此现象,拔掉主设备的U盘重启即可。

配置抢占模式后,如果主机重启过程中,备机配置进行了修改,主机重启后是否进行抢占?

HA主备机配置抢占模式后,如果主机重启过程中,备机的配置进行了修改,当主机重启后会比对配置文件,如果不一致,主机将不进行抢占。

HA主备环境中,备机上哪些配置允许修改?

HA主备环境中,配置同步项在备机上不允许修改配置,配置不同项在备机可以进行修改。

 

19  Bypass FAQ

每台设备最多有多少组Bypass接口?

根据不同机型分别定义,最少一组Bypass接口对,最多不限制。

Bypass接口使用在哪种网络场景中?

使用在二层网络场景。

Bypass功能默认开启吗?

Bypass功能默认开启。

进程异常时是否会触发Bypass

系统异常时设备会自动重启,会触发Bypass

系统运行过程断电是否会触发Bypass

异常断电会触发Bypass

系统启动过程中是否会持续Bypass状态?

会持续Bypass状态一直到系统启动成功。

从系统正常到掉电进入Bypass状态时,会丢几个ICMP报文?

系统断电或启动过程会丢3ICMP报文。

20  APP缓存 FAQ

APP缓存能缓存哪些文化类型?

可缓存exe文件,如缓存txtPDF类文件将在页面直接显示无法下载。

APP模糊匹配URL如何设置?

APP模糊匹配的URL设置需要去掉host字段,如精确匹配时设置为http://www.test.com/test/sys.apk,那么模糊匹配时URL设置成/test/sys.apk即可,因为模糊匹配时是不会检查host字段的,如果设置了host字段会导致匹配不上。

本地文件如果不存在怎么办?

本地文件不存在时,会去源站点下载。

App缓存文件存储在哪里?

如果有硬盘则存储在硬盘上,如没有则存储在CF卡上。

为什么重启后app缓存计数不正确?

App缓存命中统计为每小时向文件同步一次,如果出现系统异常或重启,则最近一小时的命中统计数据会丢失。

APP动态缓存的规格?

APP动态缓存最多可以写8个域名。

URL链接为什么无法提交?

下载URL必须为真实的下载地址,即符合URL三要素(资源类型、存放资源的主机域名、资源文件名)。

CLI下上传的文件能大于剩余缓存空间?

此为软件限制,cli上传文件,使用的是tftp方式。tftp在上传完成前无法获知上传文件大小

磁盘空间大于80%,设备是否还能正常上传app文件?

当磁盘占用率大于80,无法正常下载。

页面上动态缓存域名下的已经下载的多个app缓存文件,能否单独删除其中一个app缓存文件?

无法单独删除其中一个app缓存文件,只能删除域名同时删除该域名下的所有缓存app文件。

动态缓存的app文件类型?

动态缓存的文件只包含*.apk*.ipa两种类型且文件类型区分大小写。

文件名包含中文时APP动态缓存失败?

使用公网真实的服务器测试不会出现缓存失败现象,测试环境中出现过缓存失败的情况,且只有文件资源名包含中文时才会出现,真实场景是不存在文件名为中文的情况的,目前发现HFS1.5g版本搭建的webserver服务器当文件名包含中文时其对中文进行编码时使用的中文对照的16进制符号不是标准的,会导致设备下载资源后解码出的文件名与实际下载的文件名对应不上,这样即使下载成功了也不能正确显示,测试环境使用的HFS2.3版本无问题,推荐使用该版本进行测试,或者直接使用公网环境测试。

应用缓存功能在PC端连续下载两次文件,缓存计数只命中一次,一次在设备下载,一次在server下载?

应用缓存实现机制:将用户get报文截获做302重定向到设备本地下载,因为操作过快,导致两次下载的GET实际是在同一条流上,因为302重定向是针对单条流只会重定向一次,后续的GET是直接放通的,所以会出现此现象,是302重定向的机制实现。在实际应用场景中,客户端为手机,不存在连续下载多次相同文件的情况,所以在实际应用场景中也就不存在这个问题。

Smartbits打入混合流量,设备的内存占用较高,此时导入应用缓存,WEB或者Console概率出现错误提示,WEB会处于一直上传的状态?

软件限制,出现概率非常小,不影响使用。

APP动态缓存设备http服务端口必须为80,不支持端口漂移?

是的,目前APP缓存302重定向设备服务端口必须为80,不支持端口漂移,如果管理端口被修改后配置的动态缓存的应用将无法下载。

21  会话限制FAQ

会话限制基于什么原则来进行限制?

基于会话的源和目的IP来进行限制,当会话没有匹配到源IP地址,就会继续匹配目的IP地址。如果匹配到了源IP地址,那么不会继续匹配目的IP地址。限制的方式包括并发会话数和每秒新建会话数两种控制方式。

配置两条会话限制,引用的地址对象分别都包含了某个IP地址,但是会话限制的配置不同,那么该以哪一个为标准?

一条新建的流量能够同时匹配多条会话限制时,将以会话限制配置的从上到下顺序进行匹配,以配置在上面的条目为准。

比如对公司内部各IP进行会话数限制,地址对象为any,总会话数限制为200,每秒新建限制为10,对技术支持组的各IP进行会话限制,地址对象为192.168.2.0/24,总会话数限制为100,每秒新建限制为10

配置了两条会话限制,技术支持组的地址对象包含于地址对象any

 

查看限制阻断,匹配到192.168.2.0/24的地址的会话限制都采用的是技术支持组的会话限制配置,符合预期效果。

 

会话限制是否可以只限制会话总数,而不限制新建会话速度?

可以,会话总数和每秒新建的速度,如果只希望限制一个,可以将另一个的数值设置为0,表示对该项不进行限制。

同一个地址对象是否可以配置多个会话限制?

不可以,如果已经配置了某个地址对象的会话限制,那么下一次新建该地址对象的会话限制后,将覆盖之前配置的会话限制。

在配置会话限制之前,地址对象的会话总数已经超过了该会话限制的会话总数,那么配置该条会话限制后是否会将会话数保持在限制的数目下?

不会,由于会话已经建立,且数量大于当前配置的会话限制中的总数,下一次该地址对象的流量到来后,将不会受到会话限制的影响,除非该会话老化。如果一直有该地址对象的流量通过,那么该会话将无法老化,可以通过手动清除当前的会话,来使得会话限制对该地址对象立即生效。

会话控制是否支持对IPv6地址对象进行限制?

支持,会话控制支持对IPv4地址和IPv6地址对象的会话进行控制。

22  DNS FAQ

display dns statistics介绍

query current count: 48977    当前dns并发请求数

query total count: 677413      发送的dns累计请求次数

cache count: 0                       缓存数量

local count: 0                         设备ping一个域名,成功会+1

dns规格

dns并发数可以达到1W,设备最多允许接收5Wdns缓存动态5万条,静态和特定域名各128

dns session功能

dns session  主要影响特定域名。

dns session enable特定域名优先走session

dns session diable特定域名使用特定DNS服务器进行动态解析。

dns缓存达到5w规格后,对新来的dns请求处理

dns代理缓存达到5w以后,新来的dns请求继续处理并回应请求端;此时不再对新来的dns请求产生的应答进行缓存。

DNS报文数据段>512后,dns处理

DNS报文数据段>512dns响应报文不能大于512,对于大于512的响应报文,设备进一步回复给客户,但不进行动态缓存。

DNS接口类型改变后dns无法解析

接口类型改变后必须去手动修改DNS链路的配置,否则会造成业务不通。

DNS A记录显示

A记录设备最多显示8条,如果超过8,剩下的使用...省略号。

DNS cache显示

display dns cache和页面支持显示4个具体ip地址,后面()显示总的ip地址个数;命令行下display dns cache + 域名可支持最多显示出8个具体IP地址。

例:

开启DNS透明代理的功能,无法上网

开启DNS透明代理的功能,但是没有配置透明代理的策略,仍会命中透明代理的流程,导致用户无法上网,需要配置dns透明代理策略。

域名比较长,页面查询这样的域名是无法查询

如果域名比较长,在页面的DNS缓存中无法完全显示(无法显示部分...代替),如果想在页面查询这样的域名是无法查询的。

设备直接ping域名

本机报文不走dns代理流程,只需要在全局dns配置一个有效的DNS地址(DNS全局代理可关闭),在设备上就可以ping域名。

设备dns流程

开启DNS透明代理或者DNS全局代理其中一个,DNS流量就会正常的进入DNS静态域名,DNS动态域名流程。

dns-proxy debug说明

debug显示出接口为NULL时表示匹配的特定域名解析,否则显示出匹配的DNS链路出接口,例:

<2016-12-14 15:07:54> DNSP src ip = 20.1.1.3, dst ip = 200.111.111.1, send target ip = 111.1.1.6, out interface = ge4.4021, domain = www.spirentcom.com, retry = 0

<2016-12-14 15:07:54> DNSP src ip = 20.1.1.3, dst ip = 200.111.111.1, send target ip = 111.1.1.3, out interface = NULL, domain = 3.33334.www.spirentcom.com.cn, retry = 0

DNS多链路基于负载

多条链路,配置基于负载,当某个dns链路出接口没有路由时,还是会负载DNS报文,选到有路由的就发出去,选到没有路由的就发不出去,就会造成部分网络不通。

多链路DNS基于优先级

多条链路,配置基于优先级,当优先级高的没有到dns服务器端路由的时候不会切换到优先级低的dns链路发送,会造成网络不通。

为什么进行包含域名的策略控制会放行一段时候后才可匹配策略?

策略中的地址对象会去DNS模块查询匹配,当查询到DNS模块中的IP和域名的对应关系后,在将原策略中调用的域名对象与IP关联来实现策略控制,所以会有短时间的时间差。

客户端A没有配置设备为DNS代理,客户端B配置设备为DNS代理,客户端A发出经过设备的DNS请求,之后客户端B也发出相同域名的DNS请求,设备在对B的请求处理过程是怎样的?

(1)     在透明代理模式下,当A经过设备的DNS请求收到响应后,在设备上会产生该域名的动态缓存;如果B再向设备发出请求,当设备存有该域名的缓存,并且该缓存的TTL时间没有减到0,那么设备将该缓存直接转发给B,作为DNS响应;如果该动态缓存已经老化,即TTL时间减到0,则向DNS代理的服务器发出请求。

(2)     在全局代理模式下,当A经过设备的DNS请求收到响应后,在设备上不会产生该域名的动态缓存;如果在B向设备发出请求时,当设备存有该域名的缓存,并且该缓存的TTL时间没有减到0,那么设备将该缓存直接转发给B,作为DNS响应;如果该动态缓存已经老化,即TTL时间减到0,则向DNS代理的服务器发出请求。

dns透明代理的会话是不是查询不到?

是的,由于dns报文被重新组装发送而不是基于会话转发的,所以查询不到。

配置了DNS v4 server,未配置v6 server 为什么会处理v6DNS请求?

设备支持DNS 4to6DNS 6to4的转换,无论是IPv4还是IPv6DNS请求都会处理。

配置了DNS v6 server,也配置了域名对应的v6地址,为什么ping域名没有收到应答?

答:需检查终端发出的DNS请求是否是AAAA,如果发出的是A则是请求IPv4的地址,服务器未配置IPv4地址无法应答。

域名管理中,同一个域名支持IPv4IPv6双栈地址配置吗?

支持。根据DNS请求的类型进行应答:

·     如果收到的DNS请求是A,则会在一个DNS响应包中回应这两个V4地址,不会回应V6地址

·     如果收到的DNS请求是AAAA,则会在一个DNS响应包中回应这两个V6地址,不会回应V4地址

·     如果收到的DNS请求包括AAAAA的,则会用两个DNS响应包分别回应AAAAA的请求。

23  入侵防御 FAQ

为什么配置入侵防御后无法生效?

是否没有更新最新入侵防御特征库。

规则中包含的签名集是否包括要检测的签名

规则中包含的签名集需要包含要检测的签名。

什么时候需要开启入侵防御相关配置

防止外部攻击防御,开启该功能以预防。

测试时,为什么IPS检测率比较低?

由于部分特征需要修改检测深度才行识别,可以通过配置max-ips-detect 4096命令,提升检测深度,注:此命令只适合测试使用,实际使用开启此命令,会导致性能大幅度下降。

为什么IPS日志聚合不生效(F6612P01及以上版本)

设备同时配置有日志聚合和告警规则时,告警规则优先,即:匹配命中告警规则的报文产生的日志不聚合。

IPS升级到新IPS引擎版本,原来的IPS配置是否兼容(F6612P01及以上版本)

除了自定义规则,其它所有配置不进行恢复,如果原来控制策略中配置了IPS策略,则默认恢复为引用All模板的IPS策略。

IPS新引擎降级到F6612P01以下版本时,哪些配置会丢失?

·     IPS日志聚合配置会丢失。

·     IPS所有模板以及模板下的规则配置和协议异常配置都会丢失。

·     IPS自定义规则会丢失。

·     IPS高级告警配置会丢失。

控制策略里引用的IPS模板会丢失。IPS模板的最大规格是多少(F6612P01及以上版本)

设备的内存大小不同,IPS规则模板的规格也不同。具体规格如下:

·     内存为1G的设备,IPS模板最多支持16个;

·     内存为2G-4G的设备,IPS模板最多支持32个;

·     内网为8G及以上的设备,IPS模板最多支持64个。

以上规则总数包含4个预定义规则模板。

IPS自定义规则的最大规格是多少(F6612P01及以上版本)

IPS自定义规则最多可配置32条,每条自定义规则最多可包含8个协议字段,每个协议字段最多可包含8个协议匹配条件。

IPS模板有哪些类别,有什么区别(F6612P01及以上版本)

IPS模板分为预定义规则模板、派生规则模板和自定义规则模板:

·     预定义模板:由系统自动创建,不允许增加或删除,每条规则的配置也不允许修改。

·     派生模板:由预定义规则模板派生而来,不允许增加或删除,但是可以修改每条规则的配置。

·     自定义模板:由用户自己定义创建,其中包含的规则以及配置都可以修改。

配置文件里IPS规则保存格式的含义(F6612P01及以上版本)

为了减小IPS规则过多而导致配置文件太大,影响设备启动,对IPS规则保存格式进行了精简保存,从而提升设备启动速度。

每条规则的保存格式,以“52224 14107200”为例说明:

第一段52224ID,后面第一位表示启用禁用(01),第二位是日志级别(1/4/5/6/8),第三位表示阻断(01),第四位表示抓包(01),后面几位表示隔离规则:如果不隔离是0,如果隔离,则表示为隔离时间,比如7200()

IPS规则,使用命令display running-config查看不到,只有导出配置的时候保存为配置文件:IPS.cfg

IPS规则里的阻断和隔离动作,分别对报文如何处理(F6612P01及以上版本)

IPS规则如果配置了阻断,命中该规则后会丢弃当前报文。如果是TCP协议,阻断会发rst;如果是UDP协议,阻断直接丢弃报文。阻断只是阻断当前连接或会话。

IPS规则如果配置了隔离,命中该规则后会将报文的源地址加入加黑名单(时间可配置),加黑名单以后,该地址用户后续的报文都会阻断。

IPS的防逃避功能如何开启(F6612P01及以上版本)

IPS的防逃避功能只能通过命令行开启,Web页面不支持配置,此功能开启后对性能影响比较大,不建议开启,仅在特殊场景下使用。

日志聚合产生日志的方式(F6612P01及以上版本)

例如聚合方式为“根据源IP和目的IP聚合”,所有源IP、目的IP相同的流产生的攻击会统计在一条日志中,定时发送一条日志。日志中会有汇聚参数字段,汇聚次数是这段时间内产生的总的攻击次数,定时器是1分钟。

如果日志链表里有超过256条日志的话,多于256条的部分日志,会在下一个一分钟发送。比如按照源地址聚合,构造了300个源地址的攻击报文,有256个是1分钟发一次日志,聚合次数就是这一分钟内命中规则的次数。剩下的44条日志会在第二分钟发送,如果回放2分钟,就是2分钟的总命中次数。

在大流量场景下,配置IPS日志聚合,日志中报文长度和配置的长度不一致

如果在大流量场景下,如果将DNS域名长度配置为较小的值,并且配置了日志聚合。因为长度很小,导致产生了很多日志,在配置日志聚合的情况下,日志都被缓存了。日志聚合的缓存大小是50000条,然后以每分钟256条的速度进行入库,在日志量很大缓存满的时候,会需要约3小时(50000/256 = 195分钟)才能全部入库完成。

所以,在将DNS域名长度配置成1024时,并不是检测错误产生了日志,而是之前缓存的日志还在不停入库。

为什么入侵日志中有的攻击成功标志一直是否?

因为目前仅支持木马后门、蠕虫病毒、挖矿、webshell、木马外联五类攻击,因为这五类攻击是攻击渗透成功之后做的向外传输数据的动作,一般有这种流量基本确定内网已有主机被攻陷,所以能断定被攻击成功,其它种类攻击目前暂不支持判断,成功标志为否。

 

24  病毒防护 FAQ

病毒防护支持哪些压缩格式的文件?

目前支持对zipgzbz2等压缩文件进行扫描。

FTP协议病毒文件可正常检测并报,但病毒文件仍然下载成功?

FTP客户端软件下载部分文件存在概率出现断点续传的情况,被阻断的报文会另起会话进行传输。

IMAP协议传输病毒文件概率性出现病毒文件下载成功?

某些情况下IMAP协议传输会出现大量报文乱序的情况,目前设备默认规格是支持20个乱序报文重组,已新增命令application tcprsm level [20-80]可配置支持重组乱序报文个数是20-80个。

FTP传输使用ASCII或文本传输病毒文件无法检测?

只支持二进制方式传输,一般FTP客户端默认是自动选择传输方式,优先使用二进制方式。

WebMail邮件上传的部分带病毒附件不能阻断?

WebMail只支持126/163邮箱,且单个附件存在分多个post上传的情况,此种情况无法识别。

病毒防护,对于filezilla等这种支持断点续传的ftp无法阻断?

是的,病毒防护功能是通过计算传输文件的MD5值和特征库比较来确认是否为病毒文件的,计算md5的时候需要文件已经是一个收集完整的文件,而断点续传的话,有可能属于多条流,目前无法组合多条流相关数据来统一计算md5,从而无法进行阻断。

25  安全防护FAQ

启用防ND欺骗关闭ND学习功能后无法访问设备?

关闭nd学习必须配合IP-MAC绑定使用,否则对端无法学习到设备MAC,造成业务不通。

 

扫描攻击防御中的黑名单作用是什么?

在扫描攻击防御中启用加入黑名单功能后,当一个IP地址被识别为攻击源后,会被自动加入黑名单,并在设定的时间丢弃所有该IP发送的报文。

配置满规格黑名单后,重复提交IP地址为什么还能提交成功?

新建已存在黑名单,会进行替换,下发成功后会替换之前的黑名单,并且不会增加黑名单条数,如果已经满规格,进行新的配置,才会给出已超过规格的提示。

是不是所有的防暴力破解日志都能记录破解账号?

答:不一定,以下两种情况不能记录破解账号:

1、目前防暴力破解日志支持对于telnetftppop3smtp4种协议记录破解账号,其它协议不支持。

2、如果解码时获取不到用户名,防暴力破解则无法记录破解账号。

DNS隧道检测支持什么组网模式?

支持网桥模式、路由模式、旁路模式,其中旁路模式只支持检测,其余模式支持检测和阻断

DNS隧道检测方式的适用场景?

基于异常报文检测方式适用设备部署在NAT后场景,所有和基于流量模型检测适用于除NAT后之外的场景。

行为模型日志规格?

dns-tunnel日志一天最多入库5W条,超过5W条后,覆盖最早的日志。

行为模型缓存规格?

dns-tunnel缓存规格5000条包括所有dns-tunnel的流量。规格超了,就走dns-tunnel检测流程。

行为模型日志记录?

Dns隧道动作允许和拒绝都可以记录日志。

行为模型动作为拒绝并加入黑名单后续处理流程?

dns-tunnel报文匹配阻断并且加入黑名单后,后续的报文再过来直接在黑名单那里就阻断,不会再走dns隧道检测流程。

行为模型预置白名单?

预置白名单是指在(网络配置-基础网络-DNS服务器下配置的DNS服务器地址)勾选后不会再走dns-tunnel流程。

行为模型自定义白名单规格?

最大支持64个自定义DNS服务器地址。配置后不会再走dns-tunnel流程。

行为模型与全局白名单的关系?

全局白名单开启后不会再走dns-tunnel流程。

反向报文触发的dns隧道日志记录?

桥和旁路模式,并且是反向报文触发攻击日志的发送的情况,mac记为:-

行为模型日志记录实现说明?

相同源、目的ip、源端口的dns-tunnel5分钟报一条日志,日志发送是没锁的,偶尔可能间隔不完全准确。

行为模型日志行为描述两种情况说明?

记录的是检测到dns隧道的原因,有两种情况,一种是满足dns请求报文个数超过阈值,记为:DNS流量过大,一种是既满足请求报文个数超过阈值又存在异常报文情况,记为:DNS流量过大且存在异常报文。

26  WEB防护FAQ

WEB防护中的CC攻击防护在修改防护范围的时候访问次数会变成默认值

CC攻击防护的防护范围配置在全站和指定URL这两个方式只能选择一种,全站的防护的范围会比较广,所以默认给的阈值比较大,指定URL,是针对某一个URL的访问防护,所以默认阈值比较小,在进行切换的时候,由于全站的访问次数配置的比较大,切换到指定UR防护,不进行修改的话会影响指定指定URL的防护效果,反之指定URL配置的较小,切换到全站如果不进行修改的话会造成误阻断,所以切换方式的话就默认变成了推荐值,防止影响CC攻击防护功能的使用效果。

Web防护分析的日志规格?

规格防护支持统计最近1W条规则防护日志进行分析,高级防护支持统计最近5W条高级防护日志进行分析。

Web防护中的网页防篡改能防护动态页面吗?

网页防篡改功能不支持防护动态页面,只保护静态页面;访问一个静态页面5次之后,页面被篡改才会有告警。每次访问后需要清理浏览器缓存。

精确访问控制规则的匹配顺序是什么,一条精确访问控制规则内多个条件的关系是什么

多条精确访问控制规则之间是或的关系,匹配顺序为从上往下顺序匹配,如果匹配中某一条精确访问控制规则,就不再匹配后续的规则。

一条精确访问控制规则可以包含10个匹配条件,多个匹配条件之间是与的关系,流量必须满足该条规则的所有条件,才能命中该条规则。

非法外联地址支持配置域名吗?

外联地址支持配置IP或者域名,配置域名的情况下,域名不能直接参与匹配,需要先对经过设备的DNS流量进行学习,记录域名对应的IP地址,匹配服务器外联地址时,与学习到的域名对应IP进行匹配。

27  统计集FAQ

统计集统计最近1小时、最近1天、最近1周数据统计的刷新间隔是多少?

统计集中最近1小时的刷新间隔是1分钟刷新一次,统计最近1天的刷新监控是10分钟刷新一次、统计最近1周的刷新间隔是60分钟刷新一次。

统计集应用流量统计中所显示的流速计算?

1小时流量趋势图中,将鼠标移动到每分钟上,会显示当时的流速即1分钟内流量的平均值;近1天流量趋势图中,将鼠标移动到每整10分钟时,会显示当时的流速即10分钟内流量的平均值;近1周流量趋势图中,将鼠标移动到每整小时时,会显示当时的流速即1小时内流量的平均值。

统计集用户统计中用户的类型?

统计集中用户的类型包括匿名用户(IPv4用户及IPv6用户)、静态绑定用户、本地认证用户及第三方认证用户。

统计集统计用户及应用的规格?

对于不同的系统平台,统计集所显示及统计的用户及应用的规格是不同的,可以通过命令display flow-account specification查看规格。

统计集中总流量是如何计算的?

统计集每个应用的总流量为上下数据加下行数据统计出来的总流量,其中总量值后边小数点两位进行四舍五入,所以会造成上行+下行大于或小于总流量现象,误差小于1%

统计集中刷新按钮的作用?

统计集右上角有一个刷新按钮,页面不会自动更新,当用户设置统计集按最近一小时、最近一天、最近一周时,后台分别以1分钟、10分钟、60分钟进行更新,此时前台页面需要手动点击<更新>按钮进行刷新页面。

上行流量和下行流量如何区分?

统计集每个应用的总流量为上下数据加下行数据统计出来的总流量,其中总量值后边小数点两位进行四舍五入,所以会造成上行+下行大于或小于总流量现象,误差小于1%

统计集数据是否支持HA

统计集暂时不支持HA,即主墙数据不会同步到备墙,当HA主备切换后,备墙开始记录数据。

统计集数据保存重启后是否会丢失?导出再导入是否会丢失?

统计集数据目前不能保存,也不能随配置导出再导入。

饼图默认显示Top多少?其它应用是什么?

饼图默认显示流量最高的10种应用以及其它应用,Top10+1,其它应用是指应用总流量小于0.8%时,记录到其它应用中。

统计集中是否会统计出到本地流量?

只统计转发流量,不统计到本地流量。

当统计集显示页面放大或缩小时,饼图显示变化?

当页面放大或缩小时,饼图的应用注释会与饼图分享,不建议将页面放大或缩小查看。

统计集是否支持旁路模式?

统计集支持设备旁路模式,能够将Span镜像出来的数据进行数据统计。

统计集中应用统计与用户统计查看区别?

应用统计可以在应用中进行点击,页面跳转到使用该应用的用户页面,用户统计即当前发起流量的IP或实名认证用户,点击该用户,可以具体查看该用户所发起的应用流量。

28  地址探测FAQ

如何配置track

进入WEB页面内的“对象管理>地址>地址探测”点击新建地址探测。

为什么ping类型的track状态不稳定?

进入WEB页面内的“对象管理>地址>地址探测”查看探测track的间隔时间和重试次数是否时间太短。建议探测间隔时间和重试次数使用默认值10*4

为什么tcp类型的探测不成功?

进入WEB页面内的“对象管理>地址>地址探测”查看探测track状态失败,先确定配置的探测条目tcp端口是否打开。

为什么dns类型探测失败?

(1)     探测内网的dns服务器时,首先确定设备dns服务器是否指向了内网dns服务器;

(2)     探测外网的知名dns时,首先确定设备是否配置了dns服务器,并且配置有到达外网的路由。

设备配置HA并且关联track,主墙无法切换?

(1)     设备备墙上查看HA配置。

(2)     设备备墙上查看HA所关联track状态是否为Failed

(3)     设备备墙查看引用的track对象的探测目标是从哪个接口出去的。

(4)     设备备墙在探测目标的接口下配置管理ip地址。

HA联动备墙无法跨网段探测?

(1)     Track联动HA时,因为HA备设备只允许源地址为管理地址的报文发送,所以需要将探测报文的源地址指定为接口的管理地址。

(2)     Track联动HA时不支持跨网段的探测,因为跨网段的话,你要把往其它网段的报文发到HA管理IP的网关上,备设备看来,HA管理IP的网关就是它自己,但是它自己是备状态,报文发不出。

WEB页面导入csv格式用户和用户组无法同步?

WEB页面导入csv格式用户和用户组后,备墙无法实时同步,需要在主墙同步一次配置后,HA状态才会一致。

29  策略优化FAQ

七元组策略按照什么顺序进行匹配?

当设备中配置了多条七元组策略时,报文会按照一定的顺序与这些规则进行匹配,一旦匹配上某条策略便结束匹配过程。策略的显示顺序与匹配顺序一致,即按照WEB界面(或者通过display run policy命令)显示的顺序,从上到下一次匹配。同时,七元组策略支持通过命令移动策略位置来调整策略的匹配顺序。

添加或修改七元组策略会有什么影响?

添加或修改七元组策略后,所有的流量都会重新进行策略匹配,以使新的策略生效。

30  IMC联动FAQ

如何排查用户无法登录IMC服务器管理页面?

查看设备中是否有策略将流量拒绝或进入“网络配置>路由>路由表”查看是否存在IMC服务器地址路由条目。

为什么认证时无法接收认证推送页面?

进入WEB页面“用户管理>认证设置>Portal Server”中查看“认证URL”是否正确。配置URL时,根据“例如”信息,将Server ip地址更改为服务器的IP地址。

使用NAT用户通过认证后访问外网页面依然弹出认证页面,导致循环认证?

NAT环境中,用户访问服务器时MAC地址会发生更改。导致服务器接收的MAC地址与接入用户的MAC不符,产生循环认证的问题。命令行中使用user-portal-server mac-sensitive enable可解决。

为什么认证时,可以接收推送认证页面,用户名密码输入完毕后无法认证成功?

(1)     首先在接收的认证页面中输入正确的用户名密码“上线”后,错误信息“向设备发送请求失败。可以检查设备中RADIUS服务器端口号是否与IMC服务器端端口号相同;

(2)     查看输入的用户名、密码与IMC服务器中配置的接入用户信息不一致。可查看IMC服务器中接入的用户名、密码是否与输入的相符;

(3)     查看IMC服务器内的“用户>接入策略管理>Portal服务管理>IP地址组配置”查看认证用户的IP地址范围是否在IP地址组范围内。

为什么用户认证时点击一次上线,显示设备拒绝请求,点击多次后可认证成功?

设备内将RADIUS组调用在Portal Server中,该组内有多个RADIUS服务器存在,配置与IMC服务器相同的RADIUS服务器不是该RADIUS组中第一个RADIUS服务器。所以需要进行多次RADIUS服务器匹配,当匹配到与IMC服务器相同RADIUS服务器时即可认证成功。

登录超时后重新认证,在认证窗口填写用户名密码后点击“上线”提示“用户已在线”?

用户的PC上原认证页面未关闭,将原认证页面关闭或在认证页面填写已认证用户名、密码、服务后,点击下线后,可正常重新认证认证。

为什么认证模板设置IE10浏览器没有调色板按钮,只能通过数字设置认证按钮颜色?

在浏览器调用调色板时需要浏览器支持color类型。只有支持color类型的浏览器才可看到颜色按钮,如不支持的浏览器则会出现此问题现象。

这个问题并非设备选用调色板插件问题,主要在于浏览器的支持color情况。目前已知的浏览器限制有IESafari两款浏览器,因与浏览器相关,设备不可控,故将此问题定位为软件限制,在发布说明书中体现。

用户在线时间超出所配置的超时时间,有时可下线、有时不可下线?

(1)     配置超时时间分为两项,一项是IMC服务器上配置的用户在线时长,另一项是设备的Portal Server页面配置的超时时间,当IMC服务器和设备同时配置超时时间,这样会在两者内选择一个最小值最为最终的超时时间。当用户在线时长触及了最小超时时间,用户立即下线;

(2)     IMC服务器未配置用户在线时长,仅在设备的Portal Server内配置超时时间,在这样的情况下,用户的超时会以在超时时间范围内是否有流量来衡量用户是否超时下线。当在超时时间范围无流量产生,则该用户被下线。有流量产生,则按流量停止时间开始计算,闲置时间超出配置的超时时间,用户被强制下线。

跨三层环境IMC做第三方Portal认证,用户自动下线,日志显示被管理员踢下线

跨三层环境下设备上记录的用户MAC都是下联三层设备的接口MAC,而不是用户的真实MAC,不同IP每次上线使用的是同一mac地址,IMC会误认为是同一用户重复上线,导致把用户的超时时间置为0,设备收到超时时间为0的报文后会将用户直接踢下线,在跨三层环境中的Portal认证需要开启SNMP同步(跨三层MAC地址学习)来解决。

31  第三方用户存储认证

如何排查用户无法登录RadiusIMC)服务器管理页面?

(1)     首先查看ipv4策略是否将此数据包拒绝;

(2)     查看设备路由是否正确;

(3)     查看用户策略的目的IP是否将服务器的IP地址排除在外。

为什么认证时无法重定向到认证页面?

(1)     首先查看ipv4策略是否将此数据包拒绝;

(2)     查看设备路由是否正确;

(3)     查看用户策略是否正确,PC上网时是否匹配到此用户策略。

(4)     查看网络拓扑,抓包判断是否存在认证流量二次过设备的情况,此时需要在认证策略中将源目地址排除掉设备地址。

输入用户名及密码后,认证失败,提示“用户名或密码错误”,如何定位认证失败原因,并及时修改?

根据debug aaa event或系统日志信息查看,认证失败原因:

(1)     服务器无响应:查看路由及IPV4策略是否错误;服务器端口是否匹配;

(2)     服务器密码错误(指Radius);

(3)     用户名或密码错误:查看所输入的用户名是否与第三方服务器上的用户名一致;确定密码是否正确,与服务器上对应用户名的密码一致。特别需要指出的是对于Radius第三方用户存储认证,所使用的服务器为IMC服务器中的Radius部分,所以输入的用户名还要包括服务类型标识部分,账号与服务类型之间用@连接,如htest@kkk,其中htest表示账号名称,kkk为服务类型标识,这两者用@连接后整体作为认证用户的用户名。

32  断点续传FAQ

什么情况下属于断点续传?

属于断点续传的有服务器不可达/服务器down/vtysh超时退出(这种情况下,属于断点下载范围。当设备版本下载过程中断掉后,再次开始后从上一次的进度处开始下载)。下载过程中,用户主动断掉(ctrl+c,这种情况不属于断点下载,需要重头开始下载)。

33  特征库升级FAQ

特征库升级结果中出现“特征库加载失败”?

特征库升级结果中出现“特征库加载失败”,此时是由于内存碎片太多或者剩余可用的内存太少导致,目前已经做了优化,建议在特征库升级时配置自动升级,升级时间配置为流量较小的时间点,例如凌晨零点到两点之间。

34  抓包工具FAQ

抓包工具开始抓包后,什么情况下停止抓包?

2G及以下内存的设备,抓取的报文文件最大为20M2G以上内存的设备,抓取的报文文件最大为50M。当用户抓包的报文文件达到最大值或者抓包时间为300s时,系统自动停止抓包,也可以手动停止抓包。

抓包工具高级选项里的抓取新建会话是什么意思?

抓取新建会话:新的五元组信息产生的新的流。当高级选项抓取新建会话为2时,指的是一条新建流的前两个包。

物理接口加入聚合组后,在物理接口抓不到包?

是的,抓包功能是基于软件层面的,接口加入到聚合口后,在软件逻辑上来说不在是独立运行的接口了,因此在抓包时需要选择聚合口来抓取相关的报文。

35  服务质量管理FAQ

服务质量管理条目“最后一次成功率”和“最后一次延时”在建立前的时间也有数据显示?

对于服务质量管理条目建立之前的“最后一次成功率”和“最后一次延时”数据进行补零显示;

为什么tcp类型的服务质量管理条目探测结果为零?

进入WEB页面内的“网络优化>服务质量管理”查看探测结果,先确定配置的探测条目tcp端口是否打开。

为什么dns类型的服务质量管理条目探测数据一直为零?

(1)     探测内网的dns服务器时,首先确定设备dns服务器是否指向了内网dns服务器;

(2)     探测外网的知名dns时,首先确定设备是否配置了dns服务器,并且配置有到达外网的路由。

为什么debug service-quality不显示dns类型的服务质量管理条目发送的探测报文?

当设备上未配置DNS服务器时会出现以上情况:

(1)     探测内网的dns服务器时,首先确定设备dns服务器是否指向了内网dns服务器;

(2)     探测外网的知名dns时,首先确定设备是否配置了dns服务器,并且配置有到达外网的路由。

36  基于用户MAC的转发策略FAQ

在设备上配置有用户认证策略,并新建用户将PCMAC地址绑定,为什么PC仍无法上网并重定向到认证页面?

PC能够重定向到认证页面,说明设备的路由及IPV4策略是没有问题的。

(1)     首先查看绑定的MAC地址是否与PCMAC地址一致;

(2)     再查看下组网方式,若是设备通过三层交换机与内网PC相连,目前设备没有跨三层MAC地址学习功能,则无法直接获取到内网PCMAC地址,这样即使绑定了MAC地址,任然需要通过认证才能上网。

37  链路负载均衡FAQ

负载均衡使用场景?

(1)     多出口场景下使用。

(2)     接口最少2个最多4个。

(3)     目前不支持ISP就近探测。

(4)     如果在出口使用的话路由需要配置为默认等价路由。且在同一负载均衡组下。

(5)     如果一个路由的多下一跳出口分属不同的负载均衡组,对于这种存在冲突的情况,按照之前的路由选路方式进行,不再进行负载均衡

(6)     只有物理口能加入负载均衡组。

(7)     加入到负载均衡组中的接口不能再加入到桥口或聚合口和HA心跳口。

负载均衡支持的负载方式?

目前支持带宽比负载和优先级负载两种方式。

带宽比的负载方式使用的算法?

根据每条链路的带宽,通过分配新建链接,采用轮询负载均衡接口的方式选择出口,达到负载均衡的目的。

带宽比负载使用条件?

(1)     必须有两个出口。

(2)     只有加入到负载均衡的接口,且路由可达的接口才对流量做负载均衡。

(3)     采用带宽比负载均衡时,接口组里的所有接口都需要配置带宽,否则该接口组不生效,阈值可不配置。

(4)     不配置阈值的情况下,按照带宽比例进行负载。配置阈值的情况下,根据接口带宽和阈值的值进行转发。

(5)     如果没有配置过载保护接口的话,当链路阈值到达后,该链路不再承载新连接的流量,转由其它链路进行负载。当所有链路都达到阈值后,则会对新连接丢包。

(6)     如果有多个过载保护口,只选择当前负载最小的接口。

优先级定义

基于优先级的是 谁的优先级高先走谁 接口达到阀值后在找第二优先级的接口走,相同优先级,接口流量满了后才从其它接口转发。

负载方式为优先级的使用条件?

(1)     必须有两个出口。

(2)     只有加入到负载均衡的接口,且路由可达的接口才对流量做负载均衡。

(3)     接口必须配置优先级。默认优先级为4,数字越小,优先级越高。带宽阈值可不配置。

(4)     负载方式为优先级并且配置有接口带宽和阈值,当优先级高的链路达到阈值后,走优先级低的链路。

会话保持与带宽比结合使用

(1)     负载方式为带宽比的情况下,会话保持优于带宽比。

(2)     会话保持保证同一源IP出接口一样。如FTP控制流和数据流走同一链路,同一用户的请求能持续在同一个链路进行负载,避免网银等业务不可用。

会话保持与优先级

(1)     负载方式为优先级,同时开启了会话保持,先走优先级。

(2)     会话保持对优先级无效,因为优先级强调的本来就是优先走哪个接口,这俩互斥。

过载保护使用说明?

(1)     负载均衡组指定过载保护接口,该接口在负载均衡组中。当负载均衡的各个出口都达到阈值后,再有新建会话则从指定的过载保护口出,并且该口不受阈值限制。

(2)     如果有多个过载保护口,只选择当前负载最小的接口。

健康检查

支持在负载均衡接口上配置健康检查,引用已有的tack机制。当track状态发生变化时,对应接口的路由状态发生变化。基于track,已实现ICMPTCPHTTPFTPDNS等)。对于需要多种检测方式的,引用track组。

38  新版本链路负载均衡FAQ

负载均衡配置规格?

(1)     负载均衡出接口配置规格32

(2)     单独一个出接口允许添加健康检查的个数规格8

(3)     负载均衡策略配置规格32

(4)     单独一条负载均衡策略可以添加的出接口(包括出接口组)规格8

(5)     出接口组中可以添加的出接口的规格4

(6)     免负载地址可以添加的地址对象(包括地址对象组)规格8

(7)     加入到负载均衡组中的接口不能再加入到桥口或聚合口和HA心跳口。

负载均衡支持的负载方式?

目前支持基于权重负载和优先级负载两种方式。

权重的负载方式使用的算法?

选路的规则是按照链接哈希,结合权重完成选路,同一链接的所有转发要求使用同一个接口完成。

关于父子链接的应用:siph323pptpftptftp等要求主从链接必须使用同一个接口完成转发,使用源地址hash,这样就可以保证同一源地址的所有请求使用唯一接口完成转发。

权重的负载使用条件?

(1)     权重的范围1-100

(2)     出接口状态为up的接口能够参与权重比计算。

优先级定义

负载均衡策略添加的出接口,按照由上到下的匹配顺序,进行转发。

这里的优先级需要明确,最优链路出现故障,则使用第二优先级的链路转发,一旦最优链路恢复,则新的链接使用最优链路完成转发,旧得连接在原有的接口上维护。

负载方式为优先级的使用条件?

(1)     优先级的匹配顺序是由上到下。

(2)     最优链路出现故障,则使用第二优先级的链路转发,一旦最优链路恢复,则新的链接使用最优链路完成转发,旧得连接在原有的接口上维护。

(3)     优先级可以通过上下箭头进行调整,按照调整后优先级完成转发。

会话保持使用说明?

新版本的会话保持功能,使用源地址hash,这样就可以保证同一源地址的所有请求使用唯一接口完成转发,如FTP控制流和数据流走同一链路,同一用户的请求能持续在同一个链路进行负载,避免网银等业务不可用。

过载保护使用说明?

新版本暂时不支持过载保护功能。

健康检查

(1)     链路负载出接口,添加健康检查(健康检查地址需要配置可达地址)。

(2)     健康检查支持协议:暂时仅支持ICMP检测。

(3)     链路负载均衡出接口,最多添加8个健康检查条目,8个检查条目,只要有任何一个检测失败,认为该出接口健康检测失败,该接口状态为不可用。

链路负载均衡出接口配置说明?

(1)     出接口为三层口静态ip的接口,必须配置下一跳地址。

(2)     出接口为pppoedhcptunnel接口,不需要手动配置下一跳地址

免负载均衡地址使用说明?

(1)     默认配置排除设备的直连网段,也就是说直连网段的地址访问外网,不需要进入负载均衡流程。

(2)     选中的免负载均衡地址访问外网,不需要进入负载均衡流程。

负载均衡策略匹配条件-匹配应用使用说明?

新版本暂时不支持匹配应用的负载均衡。

负载均衡,策略路由,静态路由匹配顺序?

首先匹配策略路由,未匹配上策略路由匹配负载均衡策略,均为匹配上,匹配静态路由。

负载均衡流量匹配说明?

(1)     链路负载均衡本身的匹配顺序,先匹配免负载均衡地址,负载均衡策略由上到下匹配。

(2)     负载均衡能够匹配正向发送的流量,无法匹配反向进入设备的流量(配置负载均衡策略,同样要配置相应的默认路由,保证目的nat功能可用)。

负载均衡的ISP地址配置说明?

(1)     ISP地址的导入命令:copy ftp 服务器ip 导入的isp地址库名称 isp-address

(2)     isp地址导出命令行:export isp-address by ftp 服务器地址

(3)     ISP地址导入后需要执行isp address update,导入的isp地址生效

(4)     ISP地址导入后需要执行isp address creatisp地址生效

(5)     ISP地址删除命令,isp address delete

负载均衡分配不均,未完全按照配置的权重大小比例进行分担?

基于权重负载的负载均衡策略是按照源IP地址进行hash运算的,当源IP数量较少时由于hash算法原因查看匹配计数未完全按照配置的权重大小的比例进行负载分担,只有当源IP数量较多时才能够与配置的权重大小比例一致。

 

39  服务器负载均衡FAQ

服务器负载均衡算法

基于源地址散列+权重。

为了保持一致性,同一个源的报文被送到同一个服务器处理,这里需要采取基于源地址hash的算法,同时还具有加权随机的算法,最终选择实服务器,即DNAT规则。

基于权重。

ip每次都会进行匹配后进行转发。

权重大小的说明

范围为1-100

权值越小,优先级越高。

探测方式说明

支持icmp

通过发送icmp数据,检查服务器是否存活。

支持tcp

通过发送指定端口的tcp数据,检查服务器是否存活。

服务器负载权重匹配说明

负载算法是先根据源地址计算出一个随机数,用随机数对权重和求余数。比如权重配置是是1:1,加起来就是2,匹配概率0或者1,当源地址比较少的时候很大概率只能匹配到其中一个服务器。此时需要修改权重值为一个比较大的范围比如是10:10,匹配概率会变成1-19,此时负载基本能按照权重匹配(但是匹配数也不太可能完全11,如果源地址范围越大,权重总和越大,就越接近1:1)。

40  三权分立FAQ

三权模式下各管理员的职责?

账号管理员:创建/删除/编辑系统管理员账号以及查看自己的操作日志。

权限分配管理员:为系统管理员分配权限以及查看自己的操作日志。

审核员:可以查看所有管理员的操作日志。

系统管理员:对自己已有权限的模块行进操作。

三权模式可以切换到普通模式吗?

设备由普通模式切换到三权模式后,不能再切换到普通模式。

三个默认管理员账号是否可编辑?

账号管理员、权限分配管理员、审核员这三个默认管理员的名称不可以修改、但密码可以修改。

普通模式切换到三权模式后,原来的系统管理员、审计员账号还可以登录吗?

设备由普通模式切换到三权模式后,原来的系统管理员和审计员都成为系统管理员,但权限为空。

三权模式下CLI有配置权限吗?

切换到三权模式后,CLI的控制权限就被回收了,只有如下命令的权限是放开的"exit",

"end","en","enable","ping","configure terminal","interface","no shutdown","ip address","save","display running-config","display version","display running-config","allow access"

"no admin-switch three-power-mode""debug","log"

41  广告推送FAQ

广告对象规格

广告对象配置支持16条。

广告策略规格

广告策略配置支持16条。

广告策略引用广告对象规格

一条广告策略可引用1-3个广告服务对象。

广告对象里图片规格及限制

本地广告服务对象最多支持4张图片,图片格式目前支持jpgpng,不支持动态图片上传gif,不支持bmp格式图片。

广告策略引用广告对象限制

策略中引用的广告对象必须种类相同,不可第三方及本地同时引用。且被引用的广告对象不可修改类型。

广告对象命令行限制

命令行不支持新建广告对象。只能修改一些参数,图片不支持修改,命令行主要做配置恢复。

命令行不支持图片导入,不支持图片ha

广告策略引用对象位置

一条策略里三组图片,如果图片位置一样的话,pc访问页面广告覆盖显示。

广告对象和广告策略里设备IP的使用

广告对象里的设备ip不通的情况下广告图片无法加载;策略里地址对象不通导致web页面打不开。

域名白名单匹配规则

域名白名单模糊匹配(使用简单的字符串匹配)。配xw.qq.com访问www.xw.qq.com这才是包含关系。

手机端广告图片展示限制

手机广告对象弹出只有置中与广告对象上下左右不一致。广告对象位置信息只针对PC端生效,移动端全屏显示。支持配置多张图片,以轮播的形式展示,最多支持4张,且每张图片支持广告URL及描述配置。

广告策略跨网段使用限制

广告推送如果跨网段推送广告。需要在下联用户的入接口开启http服务(推送模板需要基于设备的一些js库,需走设备入接口http服务)。

手机端浏览器使用限制

手机端UC浏览器需要关闭广告过滤推送的广告才能显示。

微博类网站广告使用限制

腾讯微博和新浪微博内置了域名白名单不会弹送广告。

一些网站不弹广告

某些网站安全检查走的是云加速,存在302跳转导致无法打开。开启云加速功能后无法抓到第一个GET包,目前手机qq浏览器需关闭“云加速”后才能够弹出广告。

邮箱类不弹广告

163126邮箱页面和广告模板存在兼容问题,不推送广告。

开启广告推送后,一些网页打不开

由于某些网站类型限制,导致插入广告后会存在网页打不开现象。网页刷新三次后可以打开(为了提高推送广告的成功率,广告间隔60秒里推送2次)。

HA