- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
整本手册
本章节下载 (1.19 MB)
H3C SecPath ACG1000系列应用控制网关
用户FAQ
Copyright © 2020新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
为什么管理员用户不能通过HTTP、SSH、或者Telnet登录设备,不显示web页面?
在“系统管理>管理员”,“添加管理员”页面中的"管理IP/掩码"的作用是什么?
设备从R6603升级为R6604版本时,对应用审计日志有影响么?
邮件日志中为何有的邮件日志对应的是下载按钮,有的邮件日志对应是查看按钮?
审计日志导出后打开term_supplier和term_platform两列内容为空?
分别用不同操作系统(IOS版和Andriod版)终端使用pc开启的wifi进行无线上网,然后登录QQ客户端,在ACG的IM聊天软件日志里都识别为Iphone IOS 版?
当用户中心用户识别错误的时候,同时用户数已经达到了用户中心的规格数,如何操作?
为何用户中心的应用日志数有时会多于日志链接的日志页面的总数?
当用户数量很大时,停流40分钟后CPU0仍然很忙,显示为100%?
接口状态页面上有接收或发送速率的信息,但健康统计页面整机转发流量无数据?
设备健康统计页面,整机转发流量只能看到上行或者下行的流量信息?
同一条策略路由最多支持几个下一跳?同时配置多个下一跳的情况下,如何转发报文?
主链路选择连接方式为监控链路故障自动连接后主链路选择下拉为什么为空?
使用测试仪打单向流量,一条隧道的情况下为什么解密端cpu0核使用率很高?
IPSEC场景,DPD未开启的情况下,ipsec关联的物理接口down后,ike和ipsec sa不会跟随断开连接?
IPv6中的路由器请求报文作用(Router Solicitation)?
IPv6中的路由器通告报文作用(Router Advertisement)?
邻居请求(Neighbor Solicitation)报文作用?
邻居通告(Neighbor Advertisement)报文作用?
在Tunnel接口上配置了相关的参数后(例如隧道的起点、终点地址和隧道模式)仍未处于up状态?
从设备端执行什么配置去主动ping另一台设备的IPv6地址?
OSPF没有路由,甚至邻居都不能形成Full关系,最常见的原因是什么?
当执行no router ospf6后,其它接口有关ospfv3配置是否自动删除?
HA主备场景下执行手动同步配置,备设备重启完成后,主设备HA监控仍显示配置不同?
从系统正常到掉电进入Bypass状态时,会丢几个ICMP报文?
页面上动态缓存域名下的已经下载的多个app缓存文件,能否单独删除其中一个app缓存文件?
应用缓存功能在PC端连续下载两次文件,缓存计数只命中一次,一次在设备下载,一次在server下载?
Smartbits打入混合流量,设备的内存占用较高,此时导入应用缓存,WEB或者Console概率出现错误提示,WEB会处于一直上传的状态?
配置两条会话限制,引用的地址对象分别都包含了某个IP地址,但是会话限制的配置不同,那么该以哪一个为标准?
在配置会话限制之前,地址对象的会话总数已经超过了该会话限制的会话总数,那么配置该条会话限制后是否会将会话数保持在限制的数目下?
客户端A没有配置设备为DNS代理,客户端B配置设备为DNS代理,客户端A发出经过设备的DNS请求,之后客户端B也发出相同域名的DNS请求,设备在对B的请求处理过程是怎样的?
统计集统计最近1小时、最近1天、最近1周数据统计的刷新间隔是多少?
单条七元组审计策略中的应用审计规则、URL审计规则按照什么顺序进行匹配?
使用NAT用户通过认证后访问外网页面依然弹出认证页面,导致循环认证?
为什么认证时,可以接收推送认证页面,用户名密码输入完毕后无法认证成功?
为什么用户认证时点击一次上线,显示设备拒绝请求,点击多次后可认证成功?
登录超时后重新认证,在认证窗口填写用户名密码后点击“上线”提示“用户已在线”?
为什么认证模板设置IE10浏览器没有调色板按钮,只能通过数字设置认证按钮颜色?
用户在线时间超出所配置的超时时间,有时可下线、有时不可下线?
输入用户名及密码后,认证失败,提示“用户名或密码错误”,如何定位认证失败原因,并及时修改?
在页面认证服务器>本地Web认证页面,在用户登录唯一性检查项,配置单一账号登录,并禁止禁止同名用户再次登录后,为什么用户第三方Radius认证对于同一账号仍能多次登录?
安装完成后打不开ACG1000日志分析与管理平台提示端口被占用怎么办?
如何设置映射端口使ACG1000日志分析与管理平台可以接收到ACG设备的信息?
ACG1000添加到管理平台后,点击ACG1000页面的“数据中心”无法打开?
ACG1000日志分析与管理平台默认登录用户名和密码是什么?
打开ACG1000日志分析与管理平台登录界面看不到验证码怎么办?
如何在ACG1000日志分析与管理平台直接进入设备管理界面?
某一台客户端查询不到设备流量,但是另外一台管理相同设备的ACG1000日志分析与管理平台却可以查询的到,这是什么原因?
服务质量管理条目“最后一次成功率”和“最后一次延时”在建立前的时间也有数据显示?
为什么debug service-quality不显示dns类型的服务质量管理条目发送的探测报文?
在ACG上配置有用户认证策略,并新建用户将PC的MAC地址绑定,为什么PC仍无法上网并重定向到认证页面?
普通模式切换到三权模式后,原来的系统管理员、审计员账号还可以登录吗?
当新创建的广告对象与之前的广告对象重名时,新创建的广告对象中已经上传的图片被删除?
新增的IP/MAC条目设备不能及时学习到该IP的数据如何处理?
移动端弹出portal,并点击一键微信连wifi后,认证失败,如何定位认证失败原因,并及时修改?
若环境中无线路由器为cisco无线路由器,且支持2.4G和5G信号,假设ssid分别为cisco与cisco-5G,此时应该连接哪个ssid?
部分安卓手机弹出portal页面,点击一键微信连WIFI后,页面无反应或者会有提示信息“该浏览器不支持自动跳转微信请手动打开微信”,应如何解决?
微信认证成功后,在用户信息中心中查看微信图像没有加载成功,如何定位?
微信认证有些安卓手机扫码连接wifi后出现网络连接失败现象?
微信连wifi电脑端弹出的portal微信二维码一段时间后超时,提示:服务器繁忙请一分钟后刷新重试?
用户使用浏览器A获取短信验证码,在浏览器B上输入手机号和验证码,是否能短信认证成功?
双机主备环境,主设备配置短信认证,备设备是否同步短信认证的配置?
https弹出portal以后没有认证为什么可以正常打开网页?
为什么在浏览器上通过导航网站访问https类型网站时没有弹portal?
浏览器多次访问https页面,会出现弹出认证页面很慢的情况?
访问https类型网站时有的浏览器无法弹出portal认证界面?
ldap同步与openldap对接,用户同步下来后,认证失败?
使用LDAP用户认证通过后,在服务器删除认证用户并在设备上同步该OU?
使用设备上的抓包工具是否能够抓取到监控接口镜像过来的业务报文
是否可以配置将万兆口流量镜像到千兆口或千兆口流量镜像到百兆口
设备开启https解密后,电脑必须要安装设备上导出的证书吗?
为什么安装证书以后,chrome浏览器访问12306网站显示非安全连接?
DDNS配置了更新某一特定域名,为什么此账户下的所有域名地址都进行了更新?
如果设备同时开启dns透明代理和dns-dant功能,DNS报文如何处理?
在使用ftp方式导出配置文件时为什么配置了服务器地址和文件名称后面还提示输入服务器地址?
零配置启动盘里根目录下的version和序列号文件夹里version有什么差别?
修改系统时间小于当前时间后,导出今天的审计日志实际导出来的是其他日期的日志?
建立多条限额策略,但是同一个用户只能匹配最上面的一条策略,其余策略无法匹配?
对非经功能进行配置并保存,导出配置文件,再导入另一台设备,非经配置没有导入进去
ACG设备上收到了Radius报文,但是并未审计到Radius相关账号信息导致非经日志不产生
开启无线非经功能之后,ACG设备本地有审计日志,但是未产生非经日志
网监平台反馈某些应用日志的账号为真实身份账号,非虚拟身份账号
AP配置导入时,AP导入文件中不能在一个AP上配置多个AP地址范围进行导入
F6607升级F6608版本出现部分场所和AP下发失败,配置丢失
F6608回退F6607版本出现非经配置回退,基础配置为F6608配置
使用40GE的1分4线缆,ACG1000-X1的8个10GE口接上后,接口识别ERROR,最后两个10GE口不UP?
反复shut/no shut某个有4094子接口的物理口,然后手动重启设备,大量IPC报错?
TE款型,满规格配置8191个子接口后,web页面大概率出现打不开的情况?
ACG推荐使用在某个区域的网关或与外网接入处,一般来说,外部网络是最具有威胁的。当所有外网流量进入内网时都需要经过边界网关。由此来说ACG放置的最佳位置应为与外网接入的地方。如果内网某一区域对安全性有高要求也可放置ACG。但要注意,所有ACG应放在区域与区域相接处。
ACG能够工作在三种模式下:路由模式、透明模式和旁路模式。如果ACG以第三层对外连接(接口具有IP 地址),则认为ACG工作在路由模式下;若ACG通过第二层对外连接(接口无IP地址),则ACG工作在透明模式下;若ACG在完全不影响原网络运行的情况下部署,则ACG工作在旁路模式下。
当ACG位于内部网络和外部网络之间时,需要将ACG与内部网络、外部网络区域相连的接口分别配置成不同网段的IP地址,重新规划原有的网络拓扑,此时相当于一台路由器。也就是说,路由模式ACG连接两个不同的子网。
在网络出口需要定义一些访问控制列表(ACL)来对内外网访问进行更严格的要求时,采用路由模式时,路由模式ACG可以完成ACL包过滤、NAT转换等功能。
如出现该情况可检查路由表,执行display ip route命令查看路由表中是否存在外网路由,如路由表正常,查看ACG安全策略,在ACG设备中默认安全策略为deny,需要手工设定放行条目,执行display running-config policy命令查看ACG安全策略。
透明模式ACG进行工作时,可以避免改变拓扑结构造成的麻烦,此时ACG对于子网用户和路由器来说是完全透明的。也就是说,用户完全感觉不到ACG的存在。
检查物理接口是否划入到了bvi接口中,display running-config interface查看当前接口下信息。
在透明模式下,ACG将流过的所有二层数据进行解封装,把数据根据用户定义的规则进行从二层到四层的过滤。但与路由模式不同的是,ACG会将过滤后的数据重新用原来的二层源地址和目的地址再封装成帧进行转发,而不改变数据帧的源地址和目的地址。
透明模式ACG一般使用在原网络拓扑在已经完善的情况下增添ACG。配置透明模式ACG,ACG相当于二层设备。可以将ACG的多个接口连接到相同子网。可以在不更改其他设备的路由网关对网络进行保护。减少工作量。
旁路模式在不更改原网络部署环境的前提下使用。旁路模式ACG将通过的流量进行监听、审计等作用。
旁路模式部署不会大范围影响原网络拓扑结构。只需在原出口设备连接上ACG即可。
查看旁路模式ACG审计日志时无相应显示,该情况可查看策略配置,执行display running-config policy命令于查看ACG的部署策略。
ACG具有很好的保护网络安全的效果。入侵者必须首先穿越ACG的安全防线,才能接触目标计算机。用户可以将ACG配置多种策略,如控制端口、协议、应用等。
ACG默认存在一条全拒绝的控制策略,使用ACG时应先注意安全策略是否匹配。
确认登录的接口是否允许通过这些方式登录,可以在每个接口下进行具体配置,详细配置请参见命令行配置指导或者Web配置指导。
查看接口下是否配置了HTTPS访问控制,查看是否开启了管理员证书认证功能但并没有对应的证书。
可在"管理IP/掩码"输入框中以"IP/掩码"的形式设置用户主机的IP和掩码,用户登录时,如果用户名、密码正确,并且用户的主机地址与其设置的任意一组IP和掩码与运算的值相等,就可以成功登录。如果用户没有设置"管理IP/掩码"或任意一组"管理IP/掩码"设置为"0.0.0.0/0",则登录时不会判断用户的主机地址,只要用户名、密码正确既可成功登录。
在“系统管理>管理员”页面中,点击某管理员的<编辑>按钮,进入“修改管理员”页面,即可修改该管理员的密码。也可以点击页面上方右侧的“修改密码”图标,进入“修改密码”页面,即可修改当前登录用户的密码。
断电或reboot重启设备,按ctrl+c进入menuboot,当出现“Please input your choice[0-8]:”时,输入’4’,执行Reset administrator passowrd并输入’0’重启设备,重启后,密码即可恢复为默认的admin/admin登录。
结合管理员登录账号和Ukey证书双重身份的认证方式。
USBKey目前仅支持epass一个厂商。
在管理员双因子认证功能已正常开启的情况下,如果设备CA证书发生变更,需要先关闭管理员双因子认证功能然后再次开启,以便重新关联新的CA根证书。
IE浏览器因对证书安全检验级别较高,不受信任的证书网站浏览器会禁止用户继续访问,导致无法通过https访问设备。
火狐浏览器需要做兼容性设置,否则无法调用Ukey中的证书,设置方法参见后面第5节:火狐浏览器兼容性设置方法。
可以使用命令display running poliy查看当前的应用审计策略。
通过配置应用审计策略,可以实现关键过滤。
当日志占用空间超过硬盘容量95%时就会删除日志,直到日志占用空间为85%时停止删除。
升级当天的日志会丢失,升级后可以正常记录日志。
日志查询结果按天显示,如果某一天没有所要查询的日志,那么该天对应的日志查询结果页面为空。
(1) 首先检查应用审计策略是否正确;
(2) 查看应用审计日志是否记录;
(3) 查看应用审计与识别的细节信息,判断是否识别与审计成功;
(4) 通过查看首页应用流量排名统计来查看是否有误识别和漏识别情况;
(5) 查看特定IP地址的会话的AppName字段来确认是否为误识别,命令为:display ip connection protocol protocol-name ip source source-addr dest dest-addr;调试命令:debug app audit detail,debug application identify。
(1) 检查应用审计策略是否正确;
(2) 查看应用识别审计是否开启;
(3) 所访问网站是否符合包含content-type字段类型为text/html;
(4) 查看HTTP返回码是否为200;
(5) 查看网页标题长度是否大于128字符;
(6) 查看URL长度是否大于512。
恶意url白名单是精确匹配。例:被阻断的网站为qq.com,新建恶意URL白名单www.qq.com后还是不能访问,只能是qq.com,才能访问。
(1) 查看应用审计日志是否发送,日志服务器是否启用,服务器IP及端口是否正确;
(2) Syslog服务器是否启动,端口是否与设备配置一致;
(3) 查看路由是否正确,ping服务器地址是否能ping通。
使用邮件客户端,配置不加密,审计到的邮件日志对应的是下载按钮;webmail:新浪邮箱、QQ邮箱等,审计到的邮件日志对应的是查看按钮。
达到了邮件还原的最大限制数。
FTP应用暂不支持关键字过滤。
QQ审计不到退出,因为退出跟登录和收发消息是同一条连接,获取不到结束退出的特征。
微信审计不到退出和收发消息,加密应用无法获取到这两种行为特征。
阿里旺旺审计不到和收发消息,加密应用无法获取到这两种行为特征
百度贴吧需要开启https解密才能够进行审计,https对象中需要包含BBS站点;对于百度贴吧应用的网页浏览日志是放在其他应用日志里面的,只有登录和发表时审计日志才会记录到社区日志,而且登录只能审计用账号密码登录的情况,使用手机验证码登录的方式数据单独加密无法进行审计,发布日志由于百度贴吧使用了新的加密方式,目前只能审计到内容,不支持审计账号。
审计内容的获取是会把部分格式的内容也审计下来,涉及的日志种类很多,由于基本没影响,改动又较大。下个大版本考虑统一做优化。
这两老字段现在没有实际用途,为了保证版本升级数据库兼容性所以保留下来(避免版本升级要清库导致日志丢失),UI做了屏蔽不会显示。
邮件日志外发时,附件个数规格限制为5个,最多发送5个附件。
由于设备审计邮件是做为整体来审计的,不判断附件个数和大小,在日志外发时再单个拆分附件并统计大小,比较繁琐,非常耗性能,再加上目前并无附件大小统计显示的需求,所以file_size按默认显示为0。
终端上下线日志是存在数据库中的,模式切换后只有新产生的终端上下线日志才会更新用户名,在线用户处用户名会改变,因为是从内存中保存的用户信息获取的。
操作系统类型是通过HTTP中的UA字段来识别的,用户第一次上网产生的流量携带了UA标识,如果后续流量未产生UA标识的情况下,会直接取上一次的UA标识的操作系统结果来产生日志,因此操作系统显示只能作为参考,不能保证百分之百正确。
Clear ucc user可以清除内存中的用户缓存,清除后便可以识别出新用户。
当产生日志时,用户中心的日志计数即加1,但若使用测试仪,1s的日志量很大,已经达到了数据库入库的限制,日志在入库时会产生丢失日志的现象,此时便会出现用户中心的日志数少于链接过去的日志数。
未到更新时间,用户根据设备型号不同,同步的时间也各不相同,当用户中心规格高于或等于2w时,每15s同步250个用户;低于2w时,每30s同步100个用户。display capacity命令可以查看当前用户中心的规格数UCC_USER即代表的用户中心的用户数,此规格限制是针对内存中对于用户的限制。
用户根据设备型号不同,同步的时间也各不相同,当用户中心规格高于或等于2w时,每15s同步250个用户;低于2w时,每30s同步100个用户。并且当在线用户远远大于用户信息中心规格时,超过规格的用户审计日志不会入库,就会出现统计为0的情况,display capacity命令可以查看当前用户中心的规格数UCC_USER即代表的用户中心的用户数,此规格限制是针对内存中对于用户的限制。
系统启动时会创建一个进程dplane_email_dump专门用来将用户的数据存储到硬盘和数据库中;
每隔30s就会将用户的数据通过update语句更新到数据库中,每次最多更新250个用户,每个用户每次只有一条数据,更新完该用户的数据后,会将该用户移到链表的尾部,等待下次更新;
停流后,用户的数据依然在链表上,没有存储到数据库,设备用户中心最多存储20000(不同设备型号规格不一样)个用户,每30s存储250个用户,20000个用户则需要40分钟;
用户流量统计饼图是显示的top9和9+,9+表示的是除top9以外的应用流量统一为其他。但当某应用类的流量小于总流量的0.8%时,饼图不单独呈现该应用类,只是放在其他里统一呈现。
用户中心网站访问分析中不记录URL为其他类的日志数,所以用户中心中的网站访问日志数会比该用户总的网站数少。
用户中心的在线时长是记录1天的总的时间,当跨天的时候,用户中心会重新计算。而在线用户跨天存在时,在线用户所记录的在线时长是总的时间,所以会多于用户中心所记录的在线时长。
设备当天出现重启现象,在线用户会重新识别,重新记录在线时长,而用户中心会把重启前的时间也记录,所以这种情况会出现用户中心的在线时长多于在线用户显示的时长。
用户中心用户的排名是根据虚拟身份、日志数、流量大小、网站访问数做的综合分析,得到一个权值,按这个值进行的排名。
时间轴记录的应用行为以及相同应用再次记录的时间间隔如下:
· 即时通讯类登录行为:时间间隔为1天,也就是1天内时间轴上只会记录不同即时通讯应用。
· 搜索类搜索行为:时间间隔为2分钟。
· 社区类发表行为:时间间隔为1分钟。
· 邮件类发送行为:时间间隔为1分钟。
· 视频类下载行为:时间间隔为30分钟。
· 文件传输类文件传输行为:时间间隔为150秒。
· 电子商务类搜索行为:时间间隔为150秒。
当时间间隔未达到时,同种应用行为不会被记录到时间轴上。
由于无线网络时多个用户同时使用无线,使得用户中心看到的账号信息为多个用户所使用的账号信息,不建议在无线下使用用户中心查看用户信息,仅做参考使用。
数据中心数据统计入库存在保护机制。当设备最后一个核CPU的使用率大于90%时,将不在进行数据更新入库操作,统计流程进入保护状态。当设备最后一个核CPU的使用率降低至小于60%时,统计流程恢复,正常记录更新数据统计入库。
从线路策略绑定接口出去的流量为上行,从线路策略绑定接口进来的流量为下行。
流量控制通道的保障带宽必须小于等于其最大带宽,流量控制通道的保障带宽必须小于等于其上一级通道的保障带宽。流量控制通道的最大带宽必须小于等于其上一级通道的最大带宽。
多个匹配条件是与的关系,当同时满足所有匹配条件时才认为命中该通道。当一个流控通道的匹配条件为空时,会去匹配其子节点的匹配条件。
最大带宽只是起到一个限制的作用,限制流量不能超过其最大带宽。保障带宽的作用是在流量发生拥塞的时流量仍能够达到其保障带宽。
(1) 线路的最大带宽和保障带宽和其实际的带宽一致,若外网的带宽为20M,就需要配置线路的最大带宽和保障带宽为20M。
(2) 下一级通道的保障带宽总和(包括缺省通道)是否已经超过了其保障带宽。
多个流量控制通道是按顺序匹配的,若流量和某一条流量控制通道匹配,就不会再匹配后续的流量控制通道。
QOS排除策略也称为白名单,就是指定的用户或者地址的流量,不受QOS管制,直接转发,最大限度的保证这些用户使用网络。
流量先被每IP限速处理,然后再被流控通道处理。每IP限速的周期是一秒,流控通道是实时的。被IP限速通过的流量可能会继续被流控通道丢弃。
P2P的流量存在不对称性,可能会出现大量的下行流量。多余的流量被流控通道丢弃,但是会影响总体的带宽使用率;建议在实际部署时减小P2P的上行流量,这样可以有效抑制下行流量。
当发生带宽借用时,高级别的通道优先借用带宽。若多个通道的级别相同,则平均分配借用带宽。
当子通道的保障带宽之和大于父通道,按照各个子通道的保障带宽比例分配。
对延时要求高的一类应用可以放在单独的流控通道中,该通道的流量不要超过其保障带宽。
查看当前通道流量的命令display qos statistics。
Qos通道带宽自适应,只支持WEB页面配置,不支持命令行配置。
限速百分比支持0.01-100%,并且支持4位有效数字,所有小于0.01的都显示为0.00%。
(1) 配置限速通道的保障带宽、最大带宽的限速百分比;自动根据父通道的保障带宽、最大带宽、当前通道的保障带宽生成绝对速率。
(2) 配置限速通道的保障带宽、最大带宽的限速速率;自动根据父通道的保障带宽、最大带宽、当前通道的保障带宽生成百分比。
(3) 更改父线路或者父通道的保障带宽、最大带宽、子通道的最大带宽、保障带宽自动根据百分比发生变化。
(1) 初次配置的带宽百分比是基数不会变。
(2) 用带宽/线路值=百分比A(如果≥8Kb显示正常的带宽;算出来的带宽<8kb,带宽置为8kb,百分比A不变(带宽最小8kb)。
(3) 调整线路后,用百分比A*调整后的线路=带宽值。如果≥8Kb显示正常的带宽;算出来的带宽<8kb,带宽置为8kb,百分比A不变(带宽最小8kb)。
(4) web页面qos通道页面编辑后提交。相当于带宽重新下发,需要以web页面当前的带宽和线路算百分比。
(1) ui先配置带宽后配置每ip的时候有检测,命令行配置perip带宽不检测。
(2) 如果上一步的基础上修改线路带宽后,页面不做检测,修改线路带宽不受影响。
(3) ui修改通道带宽或者编辑通道的时候,UI会检测perip大于通道最大带宽,弹出提示。
(4) 这种情况如果保存配置重启,配置不会丢失。
在透明部署模式下配置QoS时,线路中绑定的接口必须是bvi接口的成员物理接口,功能才能生效,若在线路中绑定bvi接口则QoS功能无法生效。
在三层部署模式下进行QoS时,线路中绑定的接口必须是三层接口,功能才能生效。另外,当使用bvi接口进行三层转发时,QoS线路需要绑定在bvi接口上才能生效。
在子接口模式下进行QoS时,线路中绑定的接口必须在子接口上做,绑定在子接口的物理口上不生效。
在聚合接口模式下进行QoS时,线路中绑定的接口必须在聚合接口上做,绑定在聚合接口的物理口上不生效。
可在命令行下执行“debug qos match”,通过debug消息可知道具体命中条目。
可在命令行下执行“debug qos drop”,通过debug消息可知道数据包是否被QoS丢弃。
设备流量统计收发包的大小实际上是去掉了4字节的CRC校验,所以会小于实际的流速。使用实际的发包大小减去4字节,再计算出来的流速将与设备统计值相等。
整机转发流量统计的为设备的流速,上行即为外网口的发包速率,下行即为内网口的发包速率。当不设置外网口时,上行流速即为0。
设备整机流量统计本地发包和转发,而用户流量统计只统计转发的流量,所以两者的值会有所出入。
设备流量统计的值每隔1小时会把数据保存一次,当设备异常掉电,未能及时保存数据,设备启动后,最多会丢失1小时的数据。
设备流量统计,每次取的时间是绝对时间。更改系统时间,设备流量统计不会随着系统时间的更改而变化。当设备时间为10:00,已经产生近一小时的流量图,把系统时间更改为11:00时,近一小时的流量图依然不变,只是显示的时间有所更改,变为10:00-11:00的流量图。同理当更改为9:00时,设备流量图依然不变,显示的时间变为8:00-9:00。
特殊情况是:当更改完系统时间后马上重启,此时会对设备流量图有所影响。
如上的例子,当设备时间为10:00,更改为11:00后,马上重启,启动后设备流量图10:00-11:00会为0,之前的数据依然保存。当更改为9:00,马上重启,启动后,9:00之前的数据会为空,因为更改时间后,把之前的数据给覆盖了,所以之前的数据都会为空。
接口状态页面显示的接口信息是物理接口的接口信息,不包括子接口、网桥接口、聚合接口、隧道接口和3G接的状态信息。
接口统计的数据为接口接收到或转发的流量信息,而整机转发的流量是指结果设备处理的流量信息,如果接口接收到或转发的流量没有经过设备处理,则整机转发流量信息为空。
整机转发流量的上行流量和下行流量,是通过接口的内网口和外网口属性来确定的,通过内网口转发的流量为下行流量,通过外网口转发的流量为上行流量。
接口状态页面的数据,默认自动刷新的时间为30s,也可以手动刷新,刷新时向后台获取一次数据。
策略路由,也叫做基于策略的路由,是指在决定一个IP包的下一跳转发地址时,不是简单的根据目的或源IP地址来决定,而是综合考虑多种因素决定。它转发分组到特定网络需要基于预先配置的策略,这个策略可能指定从一个特定的网络发送的通信应该被转发到一个指定的接口。
目前,设备支持同一条策略路由中配置8个不同下一跳。
同一条策略路由中同时配置多个下一跳的情况下,第一个下一跳作为主用路由,其余下一跳作为备份路由,实现路由备份功能。
图1 策略路由转发流程图
通常我们都认为下一跳失效的判断条件为下一跳是否可达,但实际上设备在实现上并没有探测下一跳是否可达的机制,因此设备只能根据自身的各种因素进行判断。下面我们分两种情况进行讨论。
(1) 下一跳是直连网段地址的情况:
设备判断下一跳是否可达的条件是ARP,只要存在正确的对应下一跳地址的ARP表项,则策略路由认为下一跳可达。值得一提的是,如果配置静态ARP,则需要同时配置对应VLAN和出接口,此时策略路由才认为下一跳可达。
(2) 下一跳是非直连网段地址的情况:
对于非直连网段的下一跳地址,设备可以进行路由迭代,即针对下一跳地址查找路由表,如果能匹配到路由,则认为策略路由下一跳可达。如果没有匹配到任何路由,或者只能匹配缺省路由,则认为策略路由下一跳不可达。
ISP路由是将数据包从一个网络转发到另一个网络中的目的地址的过程。路由器是处在两个网络之间转发数据包的设备。路由器根据路由表中储存的各种传输路径传输数据包,每一个传输路径即为一个路由条目。
很多用户通常会申请多条线路进行流量负载均衡。然而,一般的均衡是不会根据流量的流向做均衡的,如果网通的服务器通过电信访问,网速就会很慢。安全网关针对该问题,提供ISP路由功能,使不同ISP流量走专有路由,从而提高网络访问速度。
用户在ISP路由配置页面新建策略,可以引用ISP信息预定义的运营商网段表,使相应ISP路由生效,同时支持在ISP信息页面自定义创建新的ISP对象,添加对应的目的地址网段,然后在ISP路由页面创建策略来引用以使其生效。
ISP路由在NAT配置、安全策略配置时可直接调用相应地址对象的流量。通过ISP路由策略(双ISP缺省路由)进行控制相应的流量走向问题,从而达到负载均衡。
(1) ISP路由下发的就是静态路由,只不过ISP路由支持以文件的形式批量下发路由,为了便于区分两种路由的下发形式,display ip route中在手工配置的静态路由前会标识S,ISP形式下发的路由前会标识为I。
(2) ISP路由下发的条目在静态路由配置页面不显示,进行了过滤,避免影响用户手工创建的静态路由的配置查看。
(3) 静态路由和ISP路由规格是共用的,是占用的同一个规格表。
(4) 如果配置一条静态路由再自定义创建一条ISP路由分别指向不同的下一跳,实现的是等价路由的效果
(5) 存在ISP路由的情况下,再创建相同的静态路由,静态路由不能下发,实际还是一条路由,反之亦然。
(6) CLI下通过no ip route xxxx可以删除相应的ISP路由,如果要恢复此条ISP路由,需要删除ISP路由重新创建以触发下发整个ISP路由表。
可以使用命令display ike sa查看当前IKE SA的信息:
HOST# display ike sa
----------------------------------------------------
Name: dut1 id: 3184
local_addr: 30.1.1.2
peer_addr: 30.1.1.3
stat: establish
life time: 86390
*********************************************************
Data: ike sa Total count: 1.
*********************************************************
可以使用命令display ipsec sa查看当前IPsec sa的信息。
HOST# display ipsec sa
----------------------------------------------------
Name: dut1 id: 4667
local_addr: 30.1.1.2 peer_addr: 30.1.1.3
esp: yes mode: tunnel
enc_algo/auth_algo: aes256/sha1
inbound_spi/outbound_spi: 237441483/134485286
ah: no
stat: establish
life time/cur_life_time: 86400/86304
inbound/outbound: 5/5 kbytes
local_net: 20.1.1.0/24
peer_net: 10.1.1.0/24
*********************************************************
Data: ipsec sa Total count: 1.
*********************************************************
IPsec VPN的默认加密方式是aes256-sha1。
一条IPsec VPN隧道,配置多个网段的感兴趣流,最多支持100条。
(1) 第一阶段协商不成功,首先可以检查IKE的配置,查看两端的配置是否一致。
(2) 其次检查路由,查看对端是否可达。
(3) 如果一端配置对端网关配置的是动态,另一端配置静态对端网关,查看配置静态对端网关的一端,是否开启了自动连接,若未配置自动连接,流量需要从静态那一端发起,触发IKE SA的协商。
(4) 一阶段是否配置了两套一样的IKE提议:对端IP,算法提议,对端ID,本地源IP,这些信息一样。如果存在两套一样的提议,设备就无法确认使用哪个IKE配置进行协商了
主模式:对端IP,算法提议,本地源IP(如果配置了就检查)
野蛮模式:对端ID、算法提议、本地源IP
无论哪种模式匹配的标准是一样的,对端IP,算法提议,本地源IP,对端ID。只不过如果没有带的话,这一项就不检查了。
调试命令:debug ipsec-VPN debug。
(1) 首先可以检查IPsec的配置,查看两端的配置是否一致。
(2) 检测感兴趣流,查看两端的感兴趣流是否一致。
(3) 检测路由,查看对端是否可达。若是基于tunnel口,检查是否配置tunnel口的路由。
调试命令:debug ipsec-vpn debug。
隧道模式时查看是否配置策略。
查看感兴趣流的方向性是否正确。
若是感兴趣流的问题,可以通过以下命令查看:
display ike dump-tunn,查看基于tunnel的IPSec VPN的sp状态是否建立成功。
(1) 有些手机的IKE协商模式是野蛮模式,有些是主模式,所以一条VPN隧道不能保证所有的手机都能接入成功。
(2) 手机发起的加密算法也各不相同,可以通过debug ipsec-vpn debug命令,查看协商不成功的原因,同时也可以查看对端发来的加密算法是否与本端一致。
搭建IPSEC的环境中间有过NAT并且配置了AH认证导致ipsec无法协商成功,AH封装的校验从IP头开始,如果NAT将IP的头部改动,AH的校验就会失败,因此我们得出结论,AH是无法与NAT共存的。此时去掉AH认证IPSEC可以协商成功。
IPSEC断开后对端设备并没有把原先建立好的Sa清除,就不再接受再次发起的协商请求,导致无法建立连接。
(1) 在对端设备手动删除SA。
(2) 双方启用DPD检测。
问题原因:对端手动清除了SA;对端同时启用了按秒计时和按流量统计,本端只配置了按秒计时,如果流量过大,可能导致在按秒计时的生存周期内流量已经超出,导致对端SA端口连接
(1) 双方把各自一阶段的SA生存期和二阶段SA生存周期改成一致;
(2) 一阶段启用DPD检测。
(1) 当有多出口时,需要指定用于建立IPsec的本端IP地址。
(2) 如果指定的是本地源接口,则使用该接口上的主IP作为本端IP地址。
(1) IPSEC认证方式选择国密认证后,需要填写本端证书、对端证书和CA证书。
(2) 协商不成功需要检查本端证书与对端证书是否导入正确。
(1) IPSEC快速配置大大简化了IPSEC VPN配置,接入一个新的站点只需要配置节点类型、本端或对端网关IP,保护网段即可实现IPSEC接入,IKE一阶段、IPSEC二阶段、tunnel接口、保护网段路由等动态生成。
(2) IPSEC快速配置支持网段映射,能很好的解决分支站点保护网段冲突的情况。
(3) IPSEC快速配置支持选路策略动态调整,调整主备链路只需要调整分支节点线路顺序,设备会根据线路顺序自动调整路由优先级,默认线路优先级为5、6、7、8,最多支持4条线路。
(1) 执行命令display ike easy-ipsec-gen可以查看一阶段默认参数如下:
set mode main
set remotegw 172.16.1.1
authentication pre-share
lifetime 86400
dpd enable
dpd interval 5
dpd retry-interval 2
set nat 10
group 2
set policy 1
encrypt 3des
hash md5
(2) 执行命令display ike easy-ipsec-gen可以查看二阶段默认参数如下:
vpn ipsec phase2
mode tunnel
auto-connect enable(分支节点开启自动连接,中心节点默认关闭自动连接)
auto-connect interval 10
set lifetime seconds 86400
set proposal1 esp-aes256-sha1 ah-null
IPSEC快速配置一二阶段默认参数不支持修改,进入命令行编辑模式时会有错误提示,不允许用户修改。
预共享密钥尽量避免使用特殊字符,如 “<>”否则有可能会出现显示报错,但 不影响最终使用,尽量避免。
因为每一条ipsec链路都有设置的老化时间,链路断开后,会等待ipsec链路老化时间结束后,再根据设置的切换时间切换链路。
不能,主备链路是一对一的关系,被引用的主链路和备链路都不能再被其他链路引用。
一般情况下,需要等待ipsec链路老化时间结束后才开始切换时间,但是可以在ike配置DPD对端检测,链路断开后,根据设置的对端检测时间,ipsec链路就会断开。
主链路选择是指备链路来选择哪条链路作为主链路,主链路配置的时候不需要选择连接方式为监控链路故障自动连接。
主备链路监控的是IPSEC SA的状态。
目前对于低端设备没有完全意义上的控制核,cpu0核也会处理ipsec vpn业务,数据包通过ipsec加密端设备加密后就变成了相同的五元组:协议、源目的IP、源目的端口的报文,由于设备支持流保序功能,从而导致流量默认全部分到了cpu0,可通过switch keep-order off命令关闭。
IPSEC设置有3种:本地源接口,本地源IP,无,对于本地源IP和无的配置,接口down是无法判断要清除那个SA的,所以统一处理逻辑为接口down不自动清IKE,通过DPD机制来检测链路状态即可,DPD保活失败,会自动清除SA
IPv6具有128位的IP地址结构,提供充足的地址空间。层次化的网络结构,提高了路由效率。支持自动配置,即插即用。支持端到端的安全。支持移动特性。新增流标签功能,更利于支持QoS。
邻居发现协议(Neighbor Discovery Protocol)是IPv6协议的一个基本的组成部分,它实现了在IPv4中的地址解析协议(ARP)、控制报文协议(ICMP)中的路由器发现部分、重定向协议的所有功能,并具有邻居不可达检测机制。
邻居发现协议实现了路由器和前缀发现、地址解析、下一跳地址确定、重定向、邻居不可达检测、重复地址检测等功能。
当主机没有配置单播地址(例如系统刚启动)时,就会发送路由器请求报文。路由器请求报文有助于主机迅速进行自动配置而不必等待IPv6路由器的周期性IPv6路由器通告报文。
IPv6路由请求为ICMP报文,类型为133。
IPv6路由器请求报文中的源地址通常为未指定的IPv6地址(0::0)。如果主机已经配置了一个单播地址,则此接口的单播地址可在发送路由器请求报文时作为源地址填充。
IPv6路由器请求报文中的目的地址是所有路由器组播地址(FF02::2),作用域为本地链路。如果路由器通告是针对路由器请求发出的,则其目的地址为相应路由器请求报文的源地址。
每个IPv6路由器的配置接口会周期发送路由器通告报文。在本地链路上收到IPv6节点的路由器请求报文后,路由器也会发送路由器通告报文。
IPv6路由器通告报文发送到所有节点的链路本地组播地址(FF02 ::1)或发送路由器请求报文节点的IPv6单播地址。
路由器通告为ICMP报文,类型为134,包含以下内容:
· 是否使用地址自动配置。
· 标记支持的自动配置类型(无状态或有状态自动配置)。
· 一个或多个本地链路前缀-本地链路上的节点可以使用这些前缀完成地址自动配置。
· 通告的本地链路前缀的生存期。
· 是否发送路由器通告的路由器可作为缺省路由器,如果可以还包括此路由器可作为缺省路由器的时间(用秒表示)。
· 和主机相关的其它信息,如跳数限制,主机发起的报文可以使用的最大MTU。
当一个节点需要得到同一本地链路上另外一个节点的链路本地地址时,就会发送邻居请求报文。此报文类似于IPv4中的ARP请求报文,不过使用组播地址而不使用广播,只有被请求节点的最后24比特和此组播相同的节点才会收到此报文,减少了广播风暴的可能。
源节点使用目的节点的IPv6地址的最右24比特形成相应的组播地址,然后在相应链路上发送ICMPv6类型为135的报文。目的节点在响应报文中填充其链路地址。为了发送邻居请求报文,源节点必须首先知道目的节点的IPv6地址。
邻居请求报文也用来在邻居的链路层地址已知时验证邻居的可达性。
IPv6邻居通告报文是对IPv6请求报文的响应。
收到邻居请求报文后,目的节点通过在本地链路上发送ICMPv6类型为136的邻居通告报文进行响应。收到邻居通告后,源节点和目的节点可以进行通信。
当一个节点的本地链路上的链路层地址改变时也会主动发送邻居通告报文。
· 路由器和前缀发现。
· 地址解析。
· 重定向功能。
· 邻居不可达检测。
· 重复地址检测。
配置相关接口的物理参数,配置相关接口的链路层属性、使能IPv6报文转发能力、邻节点网络层(IPv6)可达。
IPv6缺省路由是在路由器没有找到匹配的IPv6路由表项时使用的路由。
· 第一种是网络管理员手工配置。指定的目的地址为::/0(前缀长度为0)。
· 第二种是动态路由协议生成,由路由能力比较强的路由器将IPv6缺省路由发布给其它路由器,其它路由器在自己的路由表里生成指向那台路由器的缺省路由。
可以按照如下步骤进行:
(1) Tunnel接口未处于up状态的最常见原因是隧道起点的物理接口没有处于up状态。使用display interface和display ipv6 interface命令查看隧道起点的物理接口状态为up还是down。如果物理接口状态是down,请检查网络连接。
(2) Tunnel接口未处于up状态的另一个可能的原因是隧道的终点地址不可达。使用display ipv6 route和display ip route命令查看是否终点地址通过路由可达。如果路由表中没有保证隧道通讯的路由项,请配置相关路由。
6to4隧道不需要配置目的地址,因为隧道的目的地址可以通过6to4 IPv6地址中嵌入的IPv4地址自动获得。
ISATAP隧道不需要配置目的地址,因为隧道的目的地址可以通过ISATAP地址中嵌入的IPv4地址自动获得。
执行ping6 IPv6地址即可,使用ping命令仅为IPv4下使用的。
手动隧道是点到点之间的链路,一条链路就是一个单独的隧道。主要用于边缘路由器—边缘路由器或主机—边缘路由器之间定期安全通信的稳定连接,可实现与远端IPv6网络的连接。
6to4隧道是点到多点的自动隧道,主要建立在边缘路由器之间,用于将多个IPv6孤岛通过IPv4网络连接到IPv6网络。6to4隧道通过在IPv6报文的目的地址中嵌入IPv4地址,来实现自动获取隧道终点的IPv4地址。
6to4隧道采用特殊的6to4地址,其格式为:2002:abcd:efgh:子网号::接口ID/64,其中2002表示固定的IPv6地址前缀,abcd:efgh表示该6to4隧道对应的32位全球唯一的IPv4地址,用16进制表示(如1.1.1.1可以表示为0101:0101)。2002:abcd:efgh之后的部分唯一标识了一个主机在6to4网络内的位置。通过这个嵌入的IPv4地址可以自动确定隧道的终点,使隧道的建立非常方便。
由于6to4地址的64位地址前缀中的16位子网号可以由用户自定义,前缀中的前48位已由固定数值、隧道起点或终点设备的IPv4地址确定,使IPv6报文通过隧道进行转发成为可能。6to4隧道可以实现利用IPv4网络完成IPv6网络的互连,克服了IPv4兼容IPv6自动隧道使用的局限性。
现有的IPv4网络中将会出现越来越多的IPv6主机,ISATAP隧道技术为这种应用提供了一个较好的解决方案。ISATAP隧道是点到多点的自动隧道技术,通过在IPv6报文的目的地址中嵌入的IPv4地址,可以自动获取隧道的终点。
使用ISATAP隧道时,IPv6报文的目的地址和隧道接口的IPv6地址都要采用特殊的ISATAP地址。ISATAP地址格式为:Prefix(64bit):0:5EFE:abcd:efgh。其中,64位的Prefix为任何合法的IPv6单播地址前缀,abcd:efgh表示32位IPv4源地址,用16进制表示(如1.1.1.1可以表示为0101:0101),该IPv4地址不要求全球唯一。通过这个嵌入的IPv4地址就可以自动建立隧道,完成IPv6报文的传送。
ISATAP隧道主要用于在IPv4网络中IPv6路由器—IPv6路由器、IPv6主机—IPv6路由器的连接。
可以通过物理网线相连接,也可以通过虚拟接口如子接口方式相连接。
可以创建最多256个vrf,超出时提示:Error: The total number of vrf has exceeded the maximum size(Capacity reached)。
VRF功能提供了从一台物理路由器变成多台虚拟路由器的功能。ACG1000的VRF功能提供了路由表隔离,接口切换VRF,外部能够正常支持访问已经切换VRF的接口地址,支持本机报文正确选择对应接口向外主动发送报文。
路由表隔离功能是通过在创建和删除VRF时,同时创建对应的fib表实现的,实现形式就是每个VRF一个独立的FIB表,设备在没有开启VRF功能时,是默认存在一个VRF0结构的,路由表和流表都是从属与该结构。
流表的隔离,是通过在流表结构中添加VRF_ID字段来实现的,功能主要流程为,在流里结构中添加了一个VRF_ID的字段,该VRF_ID字段赋值为报文入接口的VRF_ID,查找流表的时候,比较五元组的同时还需比较VRF_ID是否相同,如果五元组和VRF_ID均相同,则表示查找成功,否则,新建对应的流表。
VRF模块属于ACG1000的功能模块,实现虚拟路由转发功能。
绑定了VRF的接口,仅支持NAT和静态路由功能,不支持其他功能,例如IPSec VPN、动态路由等。
接口加入VRF后,ping本机VRF中的接口地址ping不通,对端直连设备也无法ping通本端VRF接口的地址。
RIP支持v1和v2两个版本。
RIP开启时默认为V2版本,若需要可以手动切换到v1版本。
Ospf不支持pppoe接口。
简单的说我们采用如下策略:
· 如果有loopback接口配置了,就选IP地址数值最大的loopback地址。
· 如果没有配置loopback接口地址,就选IP地址数值最大的物理接口地址。
· 选择完成后不可抢占。
· 我们也可以在启动OSPF进程时同时指定Router ID,如:router-id 1.1.1.1。
· 需要注意的是,如果当前OSPF进程正在运行,Router ID即使是重新手工配置或计算都不会马上生效,而需要OSPF进程重新启动才会生效。这个要求是合理的,因为Router ID对OSPF协议来说太重要,不可能在OSPF保持邻居不断的情况下更新。
· OSPF网络类型是NBMA的,但你忘记在OSPF协议模式下配置邻居了。
· OSPF网络类型是NBMA的,你配置了邻居,但在诸如Frame relay的map语句中忘记加broadcast关键字了,导致协议报文不能到达对方。
· OSPF邻居的hello及dead interval值不一致。
· 在Stub或NSSA区域,有些路由器没有配置成Stub或NSSA。
· OSPF验证配置错误。
· OSPF Router ID有问题,可能和某个其它路由器一样了。
· OSPF链路两端的网络类型不一致。
· OSPF链路两端的MTU相差比较大,尤其注意和不同厂商实现互通时(需要在其接口下配置OSPF忽略MTU检查或修改MTU)。
· 该网络根本就没有启动OSPF。
· 区域号不一致;链路的网络地址不一致,注意检查两边的mask。
其实很简单,也是必须知道的。调试开关是需要打开的,其中最有效,最常用的就是debug ospf packet命令,协商完成后执行display log debug,它能让你对OSPF的大部分问题看的一目了然。当然它也不是万能的,它是在正确接收OSPF报文的基础上才能有相应的错误事件。
当链路接口没有明确配置OSPF cost的时候,Cost按配置的基值除以接口带宽来计算。这个基值缺省为100M,例如10M的链路,cost缺省是100/10=10。显然当运行OSPF的路由器存在多个速率不同的1000M以上的高速接口时候,如果接口没有明确赋予OSPF Cost,按缺省公式自动计算的Cost将都为1,不能反映链路速率。这个时候有一个Bandwidth-Reference的命令,来调节基准值的,但要注意,整个OSPF路由域都要对应调整。因此,最好的方法,还是在网络做好规划,手工对链路接口的Cost赋值。
看起来很奇怪的问题,其实比较有意思。很多人的第一感觉就是:两端的了链路网络类型都不一样,哪能形成邻居关系呢?其实不然。OSPF协议并没有规定,要去严格检查链路的网络类型,链路的网络类型最重要的描述也是在Type 1 LSA中,形成邻居的关系条件检查并没有去检查它。仔细阅读协议并做实验,你会发现不少情况下,比如两台路由器以太网连接,一端保持缺省的广播网络类型,一端配置成OSPF P2P网络类型,肯定是可以形成邻居,并交换LSDB达到Full状态的。但很奇怪的事情是:到达Full状态了,为什么学不到路由呢?其实答案很简单,OSPF路由器需要LSDB来构建SPT(Shortest Path Tree),由于LSDB的数据库是脱节有问题的(在我的Router LSA中,我认为你是个广播邻居;而在你的Router LSA中认为我应该是个P2P邻居),根本无法构建正确的SPT, SPF算法也无法计算出正确的路由。
先看一个问题,简单示意的OSPF网络拓扑,area 1——area0-area2,area1中三条路由:10.1.0.0/16,10.2.0.0/16,10.3.0.0/16,在area1和area0之间的ABR没有配置聚合(将上述三条聚合成10.0.0.0/8),但在area0和area2之间的ABR配置聚合却不生效。这就是跨区域的聚合问题,这个表现是否正确呢?
仔细看下RFC 2328 12.4.3 Summary-LSAs中的描述,我们可以知道ABR产生type 3 LSA时,如果是inter-area,就直接处理,产生相应的type 3 LSA,而不需要考虑配置的range,而在考虑intra-area路由的时候,才要去考虑配置的聚合。
所以,上述描述的结果是正常的现象。区域间路由的聚合是在连接产生该路由的区域的ABR上处理的,而不能跨区域聚合。
从协议的角度上来看,OSPF的虚连接Virtual Link非常有用,一是可以将不与骨干区域直接物理连接的区域连接起来,让它能正常路由,这在一些网络的合并中比较有用;二是可以提高网络的可靠性,让骨干区不至于轻易断开而不能正常路由(RFC 2328中的例子)。
OSPFv3仅提供命令行下配置,可以在界面上查看学习到的路由条目。
如果物理连接和下层协议正常,则检查接口上配置的OSPFv3参数,必须保证与相邻路由器的参数一致,区域号相同。
相邻的两台路由器接口的网络类型必须一致。若网络类型为广播网,则至少有一个接口的DR优先级应大于零。
应保证骨干区域与所有的区域相连接。若一台路由器配置了两个以上的区域,则至少有一个区域应与骨干区域相连。骨干区域不能配置成Stub区域。
在Stub区域内的路由器不能接收外部AS的路由。如果一个区域配置成Stub区域,则与这个区域相连的所有路由器都应将此区域配置成Stub区域。
各项口下进行的功能特性配置,在删除router ospf6主进程后,该接口上的所有配置也将被删除。
HA是High Availability缩写,即高可用性,可防止网络中由于单个网关产品的设备故障或链路故障导致网络中断,保证网络服务的连续性和安全强度。
随着网络的快速普及和应用的日益深入,各种增值业务(如 IPTV、视频会议等)得到了广泛部署,
网络中断可能影响大量业务、造成重大损失。因此,作为业务承载主体的基础网络,其可靠性日益
成为受关注的焦点。
在实际网络中,总避免不了各种非技术因素造成的网络故障和服务中断。因此,提高系统容错能力、
提高故障恢复速度、降低故障对业务的影响,是提高系统可靠性的有效途径。
目前产品支持两台网关设备以主-备模式运行。
主备模式是指实现HA的两台设备中, 一台作为主设备, 另外一台作为备设备。主设备在进行业务的同时, 将相关的配置和数据信息实时同步到备设备。当主设备出现故障或主设备的链路中断时,备用设备成为主设备,接管原主设备的工作,实现网络业务的无缝切换。
在主备模式下,主设备响应各类报文请求,并且转发网络流量;备用设备不响应报文请求,也不转发网络流量。主备设备之间通过HA心跳线同步状态信息,配置信息以及特征库文件。
主备模式支持路由模式和透明模式。
主主模式是指实现HA的两台设备中, 两台均为主设备。主设备在进行业务的同时, 将流表信息和认证用户信息同步到对端。当其中一台设备出现故障或链路中断时,另外一台设备作为故障设备的备份,接管原主设备的工作,实现网络业务的无缝切换。
在主主模式下,两台设备均工作,转发流量。主主设备之间通过HA心跳线同步状态信息。
主主模式支持路由模式和透明模式。
HA主备的工作状态主要有两种,主模式和备模式:
· 主模式是指在设备HA主备模式中,实际参与工作。
· 备模式是指设备在HA主备模式中,作为主设备备份,不参与实际工作。只有当主设备失效,才转换为主设备,接替其工作。
HA主主的工作状态为主模式:
· 主模式是指在设备HA主主模式中,两台设备均参与工作。其中一台设备出现故障,另外一台承接出现故障的业务。
HA中,主要有两种接口概念:
· HA接口:连接两台HA设备的接口,不参与报文的转发,只用于HA设备接收心跳报文和同步报文使用。
· 监控接口:HA必须重点关注的设备接口,如果此接口状态为down,表明网络状态发生故障,需要切换主备设备来修复故障。
· 非抢占方式:如果备份组中的路由器工作在非抢占方式下,则只要主路由器没有出现故障,备设备不会主动成为主设备。
· 抢占模式:抢占模式时指用户可以根据需要,制定某一台设备优选为主设备或者为备设备。如果配置优选为主设备的设备工作正常,即使当前设备为备状态,也要“抢占”成主设备。
· HA的两台设备抢占模式必须匹配。或者全部配置成非抢占模式,或者一个配置成抢占为主,一个配置成抢占为备。否则HA无法正确协商。
为了避免HA设备频繁进行主备状态转换,备设备在网络状态恢复为正常状态后,也不会马上抢占为主,而是在流表等信息同步完成后,等待一定时间。只有在这段时间内,设备依然正常,才会通知主设备,抢占成主。
HA设备之间用来相互通告设备的HA配置和HA状态的报文。如果一个设备在规定时间没有收到邻居心跳报文,可以认定HA邻居已经失效。
处于备状态的HA设备不会参与网络转发,因此无法通过其接口配置的IP地址访问。为了解决这一问题,可以在设备上配置管理地址,用作备设备的网络管理。用户可以从外部访问备设备的telnet服务和web管理界面。
HA作为热备份,为了在状态切换的过程中,尽量减小对网络的影响。HA会将主设备上的一些实时的状态同步给备设备。同步的内容主要包括三种:session信息,设备配置,特征库。
· session信息:包括设备连接表、fdb、用户信息、PKI。
· 设备配置:同步的设备配置中不包含HA配置信息,以及一些特殊的配置。
· 特征库:特征库包括IPS特征库,AV特征库,APP特征库以及URL特征库。
· 当设备启用HA主备模式后,设备进入init(初始化状态)。在这个状态,设备不参与报文转发,只接受对端HA设备的keepalive报文。如果收到了主设备发出的keepalive报文,设备会进入备状态。如果没有收到keepalive报文,设备会进入主状态。
· 如果设备成为主状态后,会向外发送免费arp报文,用来更新上下游设备的arp表(工作在路由模式),或者向外发送特殊的报文刷新上下游交换机的fdb信息(工作在透明模式)。
· 如果设备成为备设备,设备会清除自己的fdb表(如果工作在透明模式),并且向主设备请求状态信息。
当设备启用HA主主模式后,设备进入init(初始化状态),然后状态置为master。设备收到对端发来的keepalive报文,两端设备协商参数。建立master邻居后,靠心跳报文保持邻居关系,并启动定时器。若在定时器(定时器时间为interval *retry次数)时间内,未收到心跳报文,则状态置为master(A)。出现故障的设备状态置为master(N)。master(N)状态的设备,监控接口不参与报文转发。
· 两台设备必须型号一致,板卡一致。
· 两台设备的序列号要求不一致。序列号一致建不起来邻居。
· 查看心跳线接口状态是否正常。
两台设备均配置监控接口,当其中一台设备的接口down掉后,两台一台设备的接口将对端地址代理,代理地址置为active,此接口参与出现故障设备的业务转发。
Ha主主环境下,流表信息同步,某种业务的控制报文走的其中一台主主设备,数据报文可以从另外一台设备收上来。
低端硬件型号不支持硬盘,如果主设备上插了U盘或移动硬盘,而备设备上没有,这样主设备上就会下发非经的配置,备设备由于没有硬盘就不会下发配置的配置,这样就会导致主备手动配置同步后,由于主设备上存在非经的配置,会导致配置对比始终不相同,如果出现此现象,拔掉主设备的U盘重启即可。
根据不同机型分别定义,最少一组Bypass接口对,最多不限制。
使用在二层网络场景。
Bypass功能默认开启。
系统异常时设备会自动重启,会触发Bypass。
异常断电会触发Bypass。
会持续Bypass状态一直到系统启动成功。
系统断电或启动过程会丢3个ICMP报文。
可缓存exe文件,如缓存txt、PDF类文件将在页面直接显示无法下载。
APP模糊匹配的URL设置需要去掉host字段,如精确匹配时设置为http://www.test.com/test/sys.apk,那么模糊匹配时URL设置成/test/sys.apk即可,因为模糊匹配时是不会检查host字段的,如果设置了host字段会导致匹配不上。
本地文件不存在时,会去源站点下载。
如果有硬盘则存储在硬盘上,如没有则存储在CF卡上。
App缓存命中统计为每小时向文件同步一次,如果出现系统异常或重启,则最近一小时的命中统计数据会丢失。
APP动态缓存最多可以写8个域名。
下载URL必须为真实的下载地址,即符合URL三要素(资源类型、存放资源的主机域名、资源文件名)。
此为软件限制,cli上传文件,使用的是tftp方式。tftp在上传完成前无法获知上传文件大小。
当磁盘占用率大于80,无法正常下载。
无法单独删除其中一个app缓存文件,只能删除域名同时删除该域名下的所有缓存app文件。
动态缓存的文件包含(安卓的*.apk)和(苹果的*.ipa)两种类型。
使用公网真实的服务器测试不会出现缓存失败现象,测试环境中出现过缓存失败的情况,且只有文件资源名包含中文时才会出现,真实场景是不存在文件名为中文的情况的,目前发现HFS1.5g版本搭建的webserver服务器当文件名包含中文时其对中文进行编码时使用的中文对照的16进制符号不是标准的,会导致设备下载资源后解码出的文件名与实际下载的文件名对应不上,这样即使下载成功了也不能正确显示,测试环境使用的HFS2.3版本无问题,推荐使用该版本进行测试,或者直接使用公网环境测试。
应用缓存实现机制:将用户get报文截获做302重定向到设备本地下载,因为操作过快,导致两次下载的GET实际是在同一条流上,因为302重定向是针对单条流只会重定向一次,后续的GET是直接放通的,所以会出现此现象,是302重定向的机制实现。在实际应用场景中,客户端为手机,不存在连续下载多次相同文件的情况,所以在实际应用场景中也就不存在这个问题。
软件限制,出现概率非常小,不影响使用。
基于会话的源和目的IP来进行限制,当会话没有匹配到源IP地址,就会继续匹配目的IP地址。如果匹配到了源IP地址,那么不会继续匹配目的IP地址。限制的方式包括并发会话数和每秒新建会话数两种控制方式。
一条新建的流量能够同时匹配多条会话限制时,将以会话限制配置的从上到下顺序进行匹配,以配置在上面的条目为准。
比如对公司内部各IP进行会话数限制,地址对象为any,总会话数限制为200,每秒新建限制为10,对技术支持组的各IP进行会话限制,地址对象为192.168.2.0/24,总会话数限制为100,每秒新建限制为10。
配置了两条会话限制,技术支持组的地址对象包含于地址对象any。
查看限制阻断,匹配到192.168.2.0/24的地址的会话限制都采用的是技术支持组的会话限制配置,符合预期效果。
可以,会话总数和每秒新建的速度,如果只希望限制一个,可以将另一个的数值设置为0,表示对该项不进行限制。
不可以,如果已经配置了某个地址对象的会话限制,那么下一次新建该地址对象的会话限制后,将覆盖之前配置的会话限制。
不会,由于会话已经建立,且数量大于当前配置的会话限制中的总数,下一次该地址对象的流量到来后,将不会受到会话限制的影响,除非该会话老化。如果一直有该地址对象的流量通过,那么该会话将无法老化,可以通过手动清除当前的会话,来使得会话限制对该地址对象立即生效。
query current count: 48977 当前dns并发请求数
query total count: 677413 发送的dns累计请求次数
cache count: 0 缓存数量
local count: 0 设备ping一个域名,成功会+1
dns并发数可以达到1W,设备最多允许接收5W;dns缓存动态5万条,静态和特定域名各128。
dns session 主要影响特定域名。
dns session enable特定域名优先走session。
dns session diable特定域名使用特定DNS服务器进行动态解析。
dns代理缓存达到5w以后,新来的dns请求继续处理并回应请求端;此时不再对新来的dns请求产生的应答进行缓存。
DNS报文数据段>512,dns响应报文不能大于512,对于大于512的响应报文,设备进一步回复给客户,但不进行动态缓存。
接口类型改变后必须去手动修改DNS链路的配置,否则会造成业务不通。
A记录设备最多显示8条,如果超过8,剩下的使用...省略号。
display dns cache和页面支持显示4个具体ip地址,后面()显示总的ip地址个数;命令行下display dns cache + 域名可支持最多显示出8个具体IP地址。
例:
开启DNS透明代理的功能,但是没有配置透明代理的策略,仍会命中透明代理的流程,导致用户无法上网,需要配置dns透明代理策略。
如果域名比较长,在页面的DNS缓存中无法完全显示(无法显示部分...代替),如果想在页面查询这样的域名是无法查询的。
本机报文不走dns代理流程,只需要在全局dns配置一个有效的DNS地址(DNS全局代理可关闭),在设备上就可以ping域名。
开启DNS透明代理或者DNS全局代理其中一个,DNS流量就会正常的进入DNS静态域名,DNS动态域名流程。
debug显示出接口为NULL时表示匹配的特定域名解析,否则显示出匹配的DNS链路出接口,例:
<2016-12-14 15:07:54> DNSP src ip = 20.1.1.3, dst ip = 200.111.111.1, send target ip = 111.1.1.6, out interface = ge4.4021, domain = www.spirentcom.com, retry = 0
<2016-12-14 15:07:54> DNSP src ip = 20.1.1.3, dst ip = 200.111.111.1, send target ip = 111.1.1.3, out interface = NULL, domain = 3.33334.www.spirentcom.com.cn, retry = 0
多条链路,配置基于负载,当某个dns链路出接口没有路由时,还是会负载DNS报文,选到有路由的就发出去,选到没有路由的就发不出去,就会造成部分网络不通。
多条链路,配置基于优先级,当优先级高的没有到dns服务器端路由的时候不会切换到优先级低的dns链路发送,会造成网络不通。
策略中的地址对象会去DNS模块查询匹配,当查询到DNS模块中的IP和域名的对应关系后,在将原策略中调用的域名对象与IP关联来实现策略控制,所以会有短时间的时间差。
(1) 在透明代理模式下,当A经过设备的DNS请求收到响应后,在设备上会产生该域名的动态缓存;如果B再向设备发出请求,当设备存有该域名的缓存,并且该缓存的TTL时间没有减到0,那么设备将该缓存直接转发给B,作为DNS响应;如果该动态缓存已经老化,即TTL时间减到0,则向DNS代理的服务器发出请求。
(2) 在全局代理模式下,当A经过设备的DNS请求收到响应后,在设备上不会产生该域名的动态缓存;如果在B向设备发出请求时,当设备存有该域名的缓存,并且该缓存的TTL时间没有减到0,那么设备将该缓存直接转发给B,作为DNS响应;如果该动态缓存已经老化,即TTL时间减到0,则向DNS代理的服务器发出请求。
在扫描攻击防御中启用加入黑名单功能后,当一个IP地址被识别为攻击源后,会被自动加入黑名单,并在设定的时间丢弃所有该IP发送的报文。
新建已存在黑名单,会进行替换,下发成功后会替换之前的名单,并且不会增加黑名单条数,如果已经满规格,进行新的配置,才会给出已超过规格的提示。
统计集中最近1小时的刷新间隔是1分钟刷新一次,统计最近1天的刷新监控是10分钟刷新一次、统计最近1周的刷新间隔是60分钟刷新一次。
近1小时流量趋势图中,将鼠标移动到每分钟上,会显示当时的流速即1分钟内流量的平均值;近1天流量趋势图中,将鼠标移动到每整10分钟时,会显示当时的流速即10分钟内流量的平均值;近1周流量趋势图中,将鼠标移动到每整小时时,会显示当时的流速即1小时内流量的平均值。
统计集中用户的类型包括匿名用户(IPv4用户及IPv6用户)、静态绑定用户、本地认证用户及第三方认证用户。
对于不同的系统平台,统计集所显示及统计的用户及应用的规格是不同的,可以通过命令display flow-account specification查看规格。
统计集每个应用的总流量为上下数据加下行数据统计出来的总流量,其中总量值后边小数点两位进行四舍五入,所以会造成上行+下行大于或小于总流量现象,误差小于1%。
统计集右上角有一个刷新按钮,页面不会自动更新,当用户设置统计集按最近一小时、最近一天、最近一周时,后台分别以1分钟、10分钟、60分钟进行更新,此时前台页面需要手动点击<更新>按钮进行刷新页面。
统计集每个应用的总流量为上下数据加下行数据统计出来的总流量,其中总量值后边小数点两位进行四舍五入,所以会造成上行+下行大于或小于总流量现象,误差小于1%。
统计集暂时不支持HA,即主墙数据不会同步到备墙,当HA主备切换后,备墙开始记录数据。
统计集数据目前不能保存,也不能随配置导出再导入。
饼图默认显示流量最高的10种应用以及其它应用,即Top10+1,其它应用是指应用总流量小于0.8%时,记录到其它应用中。
只统计转发流量,不统计到本地流量。
当页面放大或缩小时,饼图的应用注释会与饼图分享,不建议将页面放大或缩小查看。
统计集支持设备旁路模式,能够将Span镜像出来的数据进行数据统计。
应用统计可以在应用中进行点击,页面跳转到使用该应用的用户页面,用户统计即当前发起流量的IP或实名认证用户,点击该用户,可以具体查看该用户所发起的应用流量。
进入WEB页面内的“对象管理>地址>地址探测”点击新建地址探测。
进入WEB页面内的“对象管理>地址>地址探测”查看探测track的间隔时间和重试次数是否时间太短。建议探测间隔时间和重试次数使用默认值10*4。
进入WEB页面内的“对象管理>地址>地址探测”查看探测track状态失败,先确定配置的探测条目tcp端口是否打开。
(1) 探测内网的dns服务器时,首先确定设备dns服务器是否指向了内网dns服务器;
(2) 探测外网的知名dns时,首先确定设备是否配置了dns服务器,并且配置有到达外网的路由。
(1) ACG备墙上查看HA配置。
(2) ACG备墙上查看HA所关联track状态是否为Failed。
(3) ACG备墙查看引用的track对象的探测目标是从哪个接口出去的。
(4) ACG备墙在探测目标的接口下配置管理ip地址。
(1) Track联动HA时,因为HA备设备只允许源地址为管理地址的报文发送,所以需要将探测报文的源地址指定为接口的管理地址。
(2) Track联动HA时不支持跨网段的探测,因为跨网段的话,你要把往其它网段的报文发到HA管理IP的网关上,备设备看来,HA管理IP的网关就是它自己,但是它自己是备状态,报文发不出。
WEB页面导入csv格式用户和用户组后,备墙无法实时同步,需要在主墙同步一次配置后,HA状态才会一致。
当设备中配置了多条七元组策略时,报文会按照一定的顺序与这些规则进行匹配,一旦匹配上某条策略便结束匹配过程。策略的显示顺序与匹配顺序一致,即按照WEB界面(或者通过display run policy命令)显示的顺序,从上到下一次匹配。同时,七元组策略支持通过命令移动策略位置来调整策略的匹配顺序。
单条七元组中可以配置多条应用审计规则和URL审计规则。此版本针对应用规则的匹配顺序包括:全匹配、顺序匹配。默认为全匹配,即当报文可以匹配到该七元组策略的多条应用规则(同时包含拒绝、允许两种动作)时,执行拒绝动作。顺序匹配则按照匹配到的第一条应用规则执行。
添加或修改七元组策略后,所有的流量都会重新进行策略匹配,以使新的策略生效。
进入WEB页面内的“上网行为管理>策略管理>IPv4策略”查看ACG设备中是否有策略将流量拒绝或进入“网络配置>路由>路由表”查看是否存在IMC服务器地址路由条目。
进入WEB页面“用户管理>认证服务器>Portal Server”中查看“认证URL”是否正确。配置URL时,根据“例如”信息,将Server ip地址更改为服务器的IP地址。
在NAT环境中,用户访问服务器时MAC地址会发生更改。导致服务器接收的MAC地址与接入用户的MAC不符,产生循环认证的问题。命令行中使用user-portal-server mac-sensitive enable可解决。
(1) 首先在接收的认证页面中输入正确的用户名密码“上线”后,错误信息“向设备发送请求失败。可以检查设备中RADIUS服务器端口号是否与IMC服务器端端口号相同;
(2) 查看输入的用户名、密码与IMC服务器中配置的接入用户信息不一致。可查看IMC服务器中接入的用户名、密码是否与输入的相符;
(3) 查看IMC服务器内的“用户>接入策略管理>Portal服务管理>IP地址组配置”查看认证用户的IP地址范围是否在IP地址组范围内。
ACG内将RADIUS组调用在Portal Server中,该组内有多个RADIUS服务器存在,配置与IMC服务器相同的RADIUS服务器不是该RADIUS组中第一个RADIUS服务器。所以需要进行多次RADIUS服务器匹配,当匹配到与IMC服务器相同RADIUS服务器时即可认证成功。
用户的PC上原认证页面未关闭,将原认证页面关闭或在认证页面填写已认证用户名、密码、服务后,点击下线后,可正常重新认证认证。
在浏览器调用调色板时需要浏览器支持color类型。只有支持color类型的浏览器才可看到颜色按钮,如不支持的浏览器则会出现此问题现象。
这个问题并非ACG选用调色板插件问题,主要在于浏览器的支持color情况。目前已知的浏览器限制有IE和Safari两款浏览器,因与浏览器相关,ACG不可控,故将此问题定位为软件限制,在发布说明书中体现。
(1) 配置超时时间分为两项,一项是IMC服务器上配置的用户在线时长,另一项是ACG1000的Portal Server页面配置的超时时间,当IMC服务器和ACG1000同时配置超时时间,这样会在两者内选择一个最小值最为最终的超时时间。当用户在线时长触及了最小超时时间,用户立即下线;
(2) 当IMC服务器未配置用户在线时长,仅在ACG1000的Portal Server内配置超时时间,在这样的情况下,用户的超时会以在超时时间范围内是否有流量来衡量用户是否超时下线。当在超时时间范围无流量产生,则该用户被下线。有流量产生,则按流量停止时间开始计算,闲置时间超出配置的超时时间,用户被强制下线。
(1) 首先查看ipv4策略是否将此数据包拒绝;
(2) 查看AGG设备路由是否正确;
(3) 查看用户策略的目的IP是否将服务器的IP地址排除在外。
(1) 首先查看ipv4策略是否将此数据包拒绝;
(2) 查看AGG设备路由是否正确;
(3) 查看用户策略是否正确,PC上网时是否匹配到此用户策略。
根据debug aaa event或系统日志信息查看,认证失败原因:
(1) 服务器无响应:查看路由及IPV4策略是否错误;服务器端口是否匹配;
(2) 服务器密码错误(指Radius);
(3) 用户名或密码错误:查看所输入的用户名是否与第三方服务器上的用户名一致;确定密码是否正确,与服务器上对应用户名的密码一致。特别需要指出的是对于Radius第三方用户存储认证,所使用的服务器为IMC服务器中的Radius部分,所以输入的用户名还要包括服务类型标识部分,账号与服务类型之间用@连接,如htest@kkk,其中htest表示账号名称,kkk为服务类型标识,这两者用@连接后整体作为认证用户的用户名。
对于这种第三方的用户,是否允许用户重复登录,应该由认证服务器去做限制,本地认证的配置只能对本地用户做限制;用户第三方Radius认证使用的服务器为IMC服务器,服务器中对于每个账号都有上线人数限制,但对于接入设备类型为H3C(General)设备,此上线人数限制暂时不起作用。
属于断点续传的有服务器不可达/服务器down/vtysh超时退出(这种情况下,属于断点下载范围。当设备版本下载过程中断掉后,再次开始后从上一次的进度处开始下载)。下载过程中,用户主动断掉(ctrl+c,这种情况不属于断点下载,需要重头开始下载)。
特征库升级结果中出现“特征库加载失败”,此时是由于内存碎片太多或者剩余可用的内存太少导致,目前已经做了优化,建议在特征库升级时配置自动升级,升级时间配置为流量较小的时间点,例如凌晨零点到两点之间。
会话统计的排名是按照会话连接数的多少进行的排名,默认只显示前50个会话的排名。
原因是当一条流老化后,又重新产生了一条这样的流,此时存在时间就为0秒。这种情况大多出现在清流过后,立即在web监控页面查看会话监控,容易出现此情况。
当用户抓包达到20M或者300s时自动停止抓包或者也可以手动停止抓包。
抓取新建会话:新的五元组信息产生的新的流。当高级选项抓取新建会话为2时,指的是一条新建流的前两个包。
ACG1000日志分析与管理平台推荐安装在64位的操作系统上,包括windows 7/windows XP/windows server 2003/windows server 2000。
系统运行环境最低配置为:PC服务器/Pentium IV CPU/4G内存/100G以上存储空间,最好是磁盘阵列。系统运行环境建议配置为:PC服务器/Pentium IV CPU/16G内存/500G以上存储空间,最好是磁盘阵列。
端口占用说明:web服务(80端口),日志服务器(514端口),数据库(60005端口),内部服务(60006端口),ftp服务器(21端口),请确保以上端口不被别的程序占用。
硬件环境PC机或笔记本/Pentium II CPU / 512M内存,软件环境IE9.0版本、Mozilla21.0版本浏览器,最佳显示分辨率为1366×768。
由于我们ACG1000日志分析与管理平台是安装在服务器上,有可能和其他厂家类似软件产生冲突,建议保持服务器纯净尽量少安装其他软件,如果遇到错误(以80端口占用为例)请用以下步骤查找原因。
(1) 在CMD模式下执行命令netstat -aon | findstr 80占用80端口的进程,然后执行msinfo32命令查看正在运行的进程的ID的安装路径卸载该程序或者停止它,如果还遇到问题请卸载重启之后安装。
(2) 由于win2003服务器由于自带服务“World Wide Web Publishing Service”占用80端口所以请先停止该服务在安装。控制面板>管理工具>服务,打开服务找到“World Wide Web Publishing Service”右键选择停止即可。
模拟场景:ACG1000日志分析与管理平台在北京总公司,连接某一台ACG,另外ACG设备在其他地方,这样就需要在ACG1000日志分析与管理平台和ACG进行端口映射,设备需要访问ACG1000日志分析与管理平台的514,21端口。ACG1000日志分析与管理平台需要访问设备的8888端口,访问ACG1000日志分析与管理平台的服务器需要80端口。
ACG1000页面的“数据中心”连接固定的80端口,且不支持修改,如果管理平台将端口修改为非80端口就会导致无法连接,此时建议在浏览器中手动输入管理平台的访问地址和正确的端口号即可正常连接访问。
系统默认的管理员用户为super,密码为super.123。用户可以使用这个管理员账号从任何可访问设备的地址登录设备,并且使用设备的所有功能。
系统有三权分立默认账户分别为:
(1) 审计管理员:用户名为admin_audit,密码为audit.123。
(2) 配置管理员:用户名为admin_config,密码为config.123。
(3) 用户管理员:用户名为admin_user,密码为user.123。
系统默认的syslog接收端口为514。
通过运行浏览器对ACG1000日志分析与管理平台软件进行配置和管理。ACG1000日志分析与管理平台安装之后默认开启了web服务。
请用户使用IE9.0、Mozilla21.0版本浏览器对ACG1000日志分析与管理平台进行web管理。
将服务器ACG1000日志分析与管理平台软件的服务重新启动。
(1) 查看ACG1000日志分析与管理平台是否可以管理到该设备。
(2) 查看设备端的日志设置的日志服务器IP地址是否填写正确,日志过滤里是否记录并且发送日志。
(3) 查看设备端的安全策略是否填写记录上网行为。
(4) 查看ACG1000日志分析与管理平台服务器的服务是否都已经开启了。
系统管理>管理员>选择用户>点击编辑密码,就可以进入修改该用户密码界面。
查看服务器上ACG1000日志分析与管理平台的服务是否都已经正确开启,浏览器选择是否正确。
设备管理>设备管理>添加设备,填写正确的设备IP地址、用户名、密码,点击<确定>按钮就完成添加一台设备。
在设备管理界面的左侧,有设备组,选择设备所在的设备组,点击进入查看,查看设备是否正确分配到指定设备组。
(1) 在确定设备IP地址正确,用户名密码填写正确的的情况下,如果设备显示未上线状态,查看设备电源是否断电,设备线路连接是否无误,路由转发是否正确。
(2) 设备端没有问题但就是依然无法连接到设备,查看是否当前经过设备的流量过大。导致设备超负荷而无法连接。
(3) 某些设备默认情况下的端口center-monitor是关闭的,需要开启,进入设备命令行,输入display running-config查看连接端口是否开启allow access center-monitor。如果没有开启的话,进入设备命令行,进入管理连接端口,执行命令allow access center-monitor。
如果不进行授权,只允许最多添加9台低端设备(ACG1000-C和ACG1000-S),不允许添加高端设备。
授权包括:高端授权和集中授权,单独完成高端授权允许添加低端设备和高端设备,最大数量为9台。
单独完成集中授权允许添加低端设备500台,不允许添加高端设备。如果同时完成高端授权和集中授权,那么允许添加低端设备和高端设备共500台。
在ACG1000日志分析与管理平台的设备管理里,根据选择进入哪台设备点击后边的WEB界面,就可以进入这台设备的管理界面。
可以进行分组存放设备,在设备管理界面,点击添加,添加设备组,新建一个设备组后,可以将设备按照一定要求存放在你想放的设备组里,这样就很大程度上的方便了管理设备。
全部设备信息都导出。
设备突然掉线,修复故障后,点击这台设备后面的<操作>按钮,会尝试重新连接,如果IP地址,用户名,密码,并且设备正常运行,那么就会重新连接上。
点击设备管理下面的设备升级,选择需要重启的设备,点击左上方的<重启>按钮即可。
在设备管理界面有搜索功能,并且功能支持模糊搜索,只要知道设备的名称、设备IP、设备SN其中的一项就可以在搜索里进行搜索,并且可以快速找到要管理的设备。
对已经添加的设备进行修改,先选择设备,然后点击<修改>按钮,就可以对设备进行从新的定义,但是设备名称是不可以修改的。
如果删除一台设备后,这台设备之前的日志也会被清空。
首先在ACG1000日志分析与管理平台设备管理界面下载一份模版,根据模版正确的填写设备名称、设备IP、用户名、密码、设备型号后,保存,在设备管理点击导入,信息填写正确可以完成导入,如果信息填写错误导入后则会提示导入失败,并且有失败原因。
在设备管理页面的文件发下任务中包含自动探测配置,在自动探测配置里,用户可以选择是否开启自动探测任务,并且设置自动探测任务时间,还有选择是否开启自动下发所有任务,并且设备自动下发所有任务的时间。设置好,自动探测和自动下发后,在文件管理中,新建一个正确的URL地址和名称后,在规定的时间内就可以自动探测和自动下发文件到所有设备中。
日志分析与管理平台只支持http协议的URL自动探测。
服务器内存可用内存不足4G的,但使用效果可能无法达到预期效果。
监控统计包括4大部分:系统状态、设备流量监控、用户流量监控、应用流量监控。
可以调节的有:选择设备、时间范围、统计依据、显示前多少项、选择用户、过滤条件。
(1) 管理状态:时间、软件版本、数据库大小、数据库版本、磁盘空间大小、设备数量情况、授权信息、可以管理最大设备数。
(2) 最新报表汇总:最近生成的报表任务信息。
(3) 最近一天日志数量统计:设备操作日志、系统事件日志、流量日志、NAT日志、网站访问日志、聊天日志、恶意网站访问日志。
(4) 最近一天设备流量统计:用柱状图表示设备最近一天经过有多少流量。
点击设备流量监控可以查看所有设备在某一段时间的流量统计,并且在下方会有设备流量排名信息,点击设备的柱状图会跳转到流量趋势界面,可以看到某一段时间内的流量情况,其时间间隔根据选择查看的日期而不同,在流量趋势界面的下方会有用户和应用的排名。回到流量排名界面,在下方设备流量排名点击某一台设备的用户排名会跳转到用户流量排名,并且是根据当前设备来判断的,回到流量排名界面,在下方设备流量排名点击某一台设备的应用排名会跳转到用户应用排名,可以看到哪些应用用了多少流量,并且是根据当前设备来判断的。
选择好要查看的设备后,会看到这台设备的所有用户的流量排名,点击下方的用户应用排名,会看到这个用户都有哪些应用产生了多少流量从大到小排列。
选择好要查看的设备后,会看到这台设备的应用流量情况柱状图,可以看到都有哪些应用产生了多少流量,点击下方的应用用户排名可以看到,同一个应用哪个用户的流量多少。
· 时间范围:最近一天,波形图时间间隔:10分钟。
· 时间范围:最近一周,波形图时间间隔:1小时。
· 时间范围:最近一月,波形图时间间隔:4小时。
· 时间范围:最近一年,波形图时间间隔:1天。
· 时间范围:自定义时间,波形图时间间隔:参考上面4个范围,给出间隔时间。
可能的因素如下:
(1) 服务器ACG1000日志分析与管理平台的服务没有开启。
(2) 在设备端的日志设定中的日志服务器没有选择服务器IP地址。
(3) 这台客户端的流量表损坏。
(4) 确定连接线路没有故障。
可以添加、修改、删除、克隆地址对象,按照正确的要求添加地址对象后,在地址对象界面会出现新添加的这条地址对象,用户可以对这条地址对象进行:修改、删除、克隆等操作。在成功添加地址对象后,在其他的项目中可以引用正确添加的地址对象,比如:地址组对象、集中策略中的源/目的地址,都可以引用正确添加的地址对象。其重要作用就是将部分IP地址归结到一起,方便以后的使用。
在服务对象中包括:自定义服务对象,可以按照要求添加新的服务,服务组对象,将部分服务综合起来利于大家的发展,预定义服务器,系统默认的服务,不允许修改,但是允许引用。
对于自定义服务对象,服务组对象可以进行添加、修改、删除、克隆操作,并且成功的添加服务对象后,可以被策略管理所引用,用来管理服务。
时间对象可以添加的计划有:单次计划,每日计划,每周计划。
· 单次计划:只执行一次,可以对单次计划进行添加,删除,修改,克隆操作。
· 每日计划:每天固定的时间执行,可也是多个时间段,可以被每周计划引用,可以对每日计划进行添加,删除,修改,克隆操作。
· 每周计划:可以安排一个星期的计划,每周计划不允许为空,但是允许其中的某几天计划为空,并且可以引用每日计划,但是不能引用单次计划。可以对每周计划进行添加,删除,修改,克隆操作。
对于应用对象,不可以进行添加,修改,删除等操作,但是可以通过系统文件来升级应用对象。应用组对象,引用多个应用对象,组成新的应用组对象,可以进行添加,删除,修改操作。
应用对象和应用组对象可以被策略管理中的应用选择所引用,但是新建的应用组对象不能被策略管理的应用过滤引用,应用过滤只引用系统的应用对象。
· 预定义URL分类,不可以进行添加,修改,删除等操作,只能通过系统文件来升级URL分类。
· 自定义URL,可以进行添加、修改、删除、克隆操作。一个自定义URL里可以包含多个URL。
· 在策略管理的URL过滤中,可以应用系统的URL分类,也可以引用自定义的URL。
可以添加新的关键字,并且成功添加一条关键字以后,可以对其进行修改,删除,克隆操作。在策略管理中的应用过滤里,有关键字匹配,在那里可以应用成功添加的关键字。
在集中略里中点击<添加>按钮,按照需求进行配置,正确配置以后,点击<确定>按钮,此时在策略管理界面会出现新添加的集中策略,选择这条集中策略,点击上方红色<下发>按钮,此时会弹出选择设备对话框,选择要下发到哪一台设备,点击确定,如果没有问题则提示,下发成功,如果有问题则提示下发失败。
如果一条策略下发失败以后,这条策略的下发结果为下发失败,点击左侧的设备名称查看具体失败原因。
如果一条策略成功下发以后,打开设备的上网行为管理-策略配置-IPv4策略,就可以看到刚刚下发的策略,并且ACG1000日志分析与管理平台下发的策略的优先级最高。
不允许同时下发多条策略,但是允许同一条策略同时下发到多台设备。
有修改,删除,下发操作,都可以正确的执行命令。
用户可以通过不同行为的查询,查询到设备上的用户在某些时间段内的具体操作,可以有效的统计和管理。
例如想要查看用户今天都访问了哪些网站就可以选择日志查询-上网行为日志-网站访问,在设置界面选择要查看的设备,选择要看的用户IP地址,时间选择最近一天,点击<确定>按钮,就会出现这个用户最近一天都访问了哪些网站。
日志查询是通过查询数据库中的表来返回查询结果的。
例如数据库中表:t_log_nat_201408 存储的就是2014年8月份的NAT日志,表t_log_other_201409存储的就是2014年9月份的其他日志审计的日志等等,日志查询就是通过查询不同的项目,找到对应的表来返回表中的结果。
选择要查询的日志种类,选择要查询哪台设备,选择时间段,之后点击<确定>按钮就会出现这台设备在这段时间内的操作。
例如:要查询设备:192.168.2.55在最近1天内的网站访问日志,操作过程:
(1) 点击“日志查询 >上网行为日志>网站访问”
(2) 选择设备地方不选择全部设备,选择192.168.2.55这台设备
(3) 创建时间选择最近一天6、点击<确定>按钮。
这样就会出现2.55这台设备最近一天的网站访问日志。
没有查询的日志的原因可能如下:
· 客户端日志过滤选项没有配置发送到syslog服务器。
· 在设备端的日志设定中的日志服务器没有选择服务器IP地址。
· 设备端的相应功能是否设置为记录日志。
· 这台客户端的流量表损坏。
· 确定连接线路没有故障。
· 利用抓包工具查看是否有日志信息发过来,没有的话则是设备端没有发送日志,去查看设备端是否产生了日志,如果发送过来了,则是日志没有入库,可以稍等1分钟。
过滤条件有:选择设备,筛选用户,过滤源地址和目的地址,URL分类过滤,域名过滤,URL过虑,动作过滤,级别过滤,筛选时间段。
如果在管理很多台设备,需要查询一台设备里的某一个用户,就可以用到日志过滤查询功能。
日志数量的多少、用户的多少、是否涉及多个月份、过滤条件、此时是否有数据存储。
通过新建报表任务或者预定义报表任务,可以查询到某台设备的每周,每月,某个时间段的设备流量,上网行为,网络总体,关键字用户,应用审计的具体信息,将以柱状图,波形图,饼图等形式展示出来。可以方便用户对设备的管理和统计。
报表文件是通过报表任务或者预定义报表任务执行得到的关于某台设备在某段时间行为的的统计数据。
报表任务是用户自己定义的任务形式,其中可以选择表报任务的行为有:设备流量、上网行为、网络总体、关键字用户、应用审计。在统计内容中具体选择哪个报表模块,设置统计条件,设置生成时间,选择生成格式即可。
预定义报表任务是程序自带的报表任务,总共包括:每周设备应用流量报表,每周设备用户流量排名,每周设备流量排名,月度设备应用流量排名,月度设备用户流量排名,月度设备流量排名。预定义报表任务只能修改名称和设备,其他的选项为固定的。
这样的提示说明此时没有连接到你的设备,请点击<编辑按钮,选择要生成报表的设备即可。
报表文件的格式分为:HTML或者PDF。在编辑表报任务的生成格式可以选择HTML格式和PDF格式。
选择设备时只允许选择一台。
等待一会,生成报表文件需要一定的时间,如果等待一会也没有报表文件出现,查看报表任务执行是否正确。
在系统管理-管理员可以选择super超级管理员进行修改密码。
使用超级管理员可以为其他管理员分配权限,在系统管理-管理员-角色管理中可以为管理员分配权限。
可以通过使用super账号,对丢失密码的管理员进行密码重置,从而找回密码。
在系统管理>数据库备份还原中输入正确的备份路径,就可以将当前的数据库备份到路径文件下。
在系统管理>数据库备份还原中输入正确的还原路径和文件名称,就可以将备份的数据库还原到现在数据库上。
在系统管理>日志备份还原中选择要备份的日志类型,也可以多选和全选,选择要备份日志的日期,填写正确的备份路径,就可以将选择的日志备份到填写的路径文件下。
在系统管理>日至备份还原>日志还原,填写正确的还原文件的路径和文件名称,点击<确定>按钮,就可以将备份的日志还原到ACG1000日志分析与管理平台上。
自动备份的数据库存放在配置自动备份时填写的路径内,可以通过查询备份结果确定。
数据库备份结果页面会显示自动备份数据库信息和立即备份当月数据库信息,不会显示立即备份全部的数据库信息。
· 数据库备份和还原时,服务会关闭,所以在执行数据库备份还原时需要注意数据会不入库。
· 在还原的时候一定要按照备份时间顺序还原,否则有可能导致数据异常。
在重启设备时可以选择是否保存配置,如果仅仅重启设备,不会保存设备的配置信息,如果选择设备重启并且保存配置会先保存设备的配置信息,保存成功后,重启设备。
对于服务质量管理条目建立之前的“最后一次成功率”和“最后一次延时”数据进行补零显示;
进入WEB页面内的“网络优化>服务质量管理”查看探测结果,先确定配置的探测条目tcp端口是否打开。
(1) 探测内网的dns服务器时,首先确定设备dns服务器是否指向了内网dns服务器;
(2) 探测外网的知名dns时,首先确定设备是否配置了dns服务器,并且配置有到达外网的路由。
当设备上未配置DNS服务器时会出现以上情况:
(1) 探测内网的dns服务器时,首先确定设备dns服务器是否指向了内网dns服务器;
(2) 探测外网的知名dns时,首先确定设备是否配置了dns服务器,并且配置有到达外网的路由。
PC能够重定向到认证页面,说明设备的路由及IPV4策略是没有问题的。
(1) 首先查看绑定的MAC地址是否与PC的MAC地址一致;
(2) 再查看下组网方式,若是ACG通过三层交换机与内网PC相连,目前ACG没有跨三层MAC地址学习功能,则无法直接获取到内网PC的MAC地址,这样即使绑定了MAC地址,任然需要通过认证才能上网。
(1) 多出口场景下使用。
(2) 接口最少2个最多4个。
(3) 目前不支持ISP就近探测。
(4) 如果在出口使用的话路由需要配置为默认等价路由。且在同一负载均衡组下。
(5) 如果一个路由的多下一跳出口分属不同的负载均衡组,对于这种存在冲突的情况,按照之前的路由选路方式进行,不再进行负载均衡。
(6) 只有物理口能加入负载均衡组。
(7) 加入到负载均衡组中的接口不能再加入到桥口或聚合口和HA心跳口。
目前支持带宽比负载和优先级负载两种方式。
根据每条链路的带宽,通过分配新建链接,采用轮询负载均衡接口的方式选择出口,达到负载均衡的目的。
(1) 必须有两个出口。
(2) 只有加入到负载均衡的接口,且路由可达的接口才对流量做负载均衡。
(3) 采用带宽比负载均衡时,接口组里的所有接口都需要配置带宽,否则该接口组不生效,阈值可不配置。
(4) 不配置阈值的情况下,按照带宽比例进行负载。配置阈值的情况下,根据接口带宽和阈值的值进行转发。
(5) 如果没有配置过载保护接口的话,当链路阈值到达后,该链路不再承载新连接的流量,转由其他链路进行负载。当所有链路都达到阈值后,则会对新连接丢包。
(6) 如果有多个过载保护口,只选择当前负载最小的接口。
基于优先级的是 谁的优先级高先走谁 接口达到阀值后在找第二优先级的接口走,相同优先级,接口流量满了后才从其它接口转发。
(1) 必须有两个出口。
(2) 只有加入到负载均衡的接口,且路由可达的接口才对流量做负载均衡。
(3) 接口必须配置优先级。默认优先级为4,数字越小,优先级越高。带宽阈值可不配置。
(4) 负载方式为优先级并且配置有接口带宽和阈值,当优先级高的链路达到阈值后,走优先级低的链路。
(1) 负载方式为带宽比的情况下,会话保持优于带宽比。
(2) 会话保持保证同一源IP出接口一样。如FTP控制流和数据流走同一链路,同一用户的请求能持续在同一个链路进行负载,避免网银等业务不可用。
(1) 负载方式为优先级,同时开启了会话保持,先走优先级。
(2) 会话保持对优先级无效,因为优先级强调的本来就是优先走哪个接口,这俩互斥。
(1) 负载均衡组指定过载保护接口,该接口在负载均衡组中。当负载均衡的各个出口都达到阈值后,再有新建会话则从指定的过载保护口出,并且该口不受阈值限制。
(2) 如果有多个过载保护口,只选择当前负载最小的接口。
支持在负载均衡接口上配置健康检查,引用已有的tack机制。当track状态发生变化时,对应接口的路由状态发生变化。基于track,已实现ICMP、TCP(HTTP、FTP、DNS等)。对于需要多种检测方式的,引用track组。
账号管理员:创建/删除/编辑系统管理员账号以及查看自己的操作日志。
权限分配管理员:为系统管理员分配权限以及查看自己的操作日志。
审核员:可以查看所有管理员的操作日志。
系统管理员:对自己已有权限的模块行进操作。
设备由普通模式切换到三权模式后,不能再切换到普通模式。
账号管理员、权限分配管理员、审核员这三个默认管理员的名称不可以修改、但密码可以修改。
设备由普通模式切换到三权模式后,原来的系统管理员和审计员都成为系统管理员,但权限为空。
切换到三权模式后,CLI的控制权限就被回收了,只有如下命令的权限是放开的"exit",
"end","en","enable","ping","configure terminal","interface","no shutdown","ip address","save","display running-config","display version","show running-config","allow access"
"no admin-switch three-power-mode""debug","log",。
广告对象配置支持16条。
广告策略配置支持16条。
一条广告策略可引用1-3个广告服务对象。
本地广告服务对象最多支持4张图片,图片格式目前支持jpg、png,不支持动态图片上传gif,不支持bmp格式图片。
策略中引用的广告对象必须种类相同,不可第三方及本地同时引用。且被引用的广告对象不可修改类型。
命令行不支持新建广告对象。只能修改一些参数,图片不支持修改,命令行主要做配置恢复。
命令行不支持图片导入,不支持图片ha。
一条策略里三组图片,如果图片位置一样的话,pc访问页面广告覆盖显示。
广告对象里的设备ip不通的情况下广告图片无法加载;策略里地址对象不通导致web页面打不开。
域名白名单模糊匹配(使用简单的字符串匹配)。配xw.qq.com访问www.xw.qq.com这才是包含关系。
手机广告对象弹出只有置中与广告对象上下左右不一致。广告对象位置信息只针对PC端生效,移动端全屏显示。支持配置多张图片,以轮播的形式展示,最多支持4张,且每张图片支持广告URL及描述配置。
广告推送如果跨网段推送广告。需要在下联用户的入接口开启http服务(推送模板需要基于设备的一些js库,需走设备入接口http服务)。
手机端UC浏览器需要关闭广告过滤推送的广告才能显示。
腾讯微博和新浪微博内置了域名白名单不会弹送广告。
某些网站安全检查走的是云加速,存在302跳转导致无法打开。开启云加速功能后无法抓到第一个GET包,目前手机qq浏览器需关闭“云加速”后才能够弹出广告。
163和126邮箱页面和广告模板存在兼容问题,不推送广告。
由于某些网站类型限制,导致插入广告后会存在网页打不开现象。网页刷新三次后可以打开(为了提高推送广告的成功率,广告间隔60秒里推送2次)。
由于图片不支持HA主备,存在一个问题。在主墙配置好广告推送后,当主备发生切换后由于广告图片不支持同步,导致备变主后,图片为空,只有图片名称。此时需要手动删除广告对象里图片并且重新上传图片,广告功能才可使用。
每张图片默认展示3秒在加上1秒缓冲就是4秒,最多展示4张图片也就是4*3+1一共13秒。
广告推送白名单(只有命令行)。支持域名白名单(针对目的域名规格256条);支持基于源地址对象的广告白名单(规格256条)。
策略匹配顺序从上向下,如果上面策略匹配到的话,下面策略就不会在匹配。
广告策略里启用禁用是跳过当前这条配置;动作不推送,相当于命中这一条策略截止不继续往下匹配。不启用还得往下匹配。
每张图片上传大小最大是2M。
广告策略配置多个广告对象时。Pc端广告展示全部生效,移动端只生效一个,广告图片随机展示。
由于edge浏览器框架跨域不支持广告推送。
目前只支持HTTP网站弹送广告,不支持HTTPS网站弹送广告。
广告对象里图片需要删除替换时,当只有一张图片时不能删除,需要先添加新的图片上传后,才能删除需要删除的图片。
华为手机今日头条app的链接打开后广告会一直轮播无法关闭,原因是app与广告模板不兼容,不支持推送广告。
https网站类型使用http方式访问网页打不开,http页面访问被301重定向到https页面,导致无法显示。需要以https方式打开https类型的网站。
开启广告推送后访问部分网站广告可以弹出来网页也正常显示了但是过了几秒网页变成黑色,需要将该网站加入域名白名单,不推送广告。
广告推送只对域名方式的URL访问生效,对IP方式访问的URL不推送广告。
软件限制,策略重名时图片无法恢复,文字可以保留。
(1) 新建交换机条目的mac地址是与设备相连的交换机的地址。
(2) 设备配置的团体名需要跟交换机上的团体名一致。
(3) 团体名不能包含中文。
开启跨三层扫描及MAC-IP绑定后,交换机下的新用户IPMAC如果不能及时学习到,数据直接放通,在线用户列表中的MAC会显示成三层交换机的MAC。
如果交换机的MAC不在跨三层学习交换机列表中,直接拿数据MAC与IP-MAC绑定表比对。
如果交换机的MAC在跨三层学习列表中,先遍历IPMAC学习表获取真实MAC,然后再与IP-MAC绑定表比对。
配置更新时间为30s,扫描开始后串行逐个扫描,待所有交换机扫描完毕后等待30s再开始下一轮扫描。
如果旧表中有对应mac,则更新老化时间,如果没有,则新增。对于旧表中有但没有新学习到的mac,等老化后删除。
学习是分两步:
(1) snmp协议跟交换机交互报文,来学习IP/mac条目,并将IP/mac条目存到文件中(网络好时报文交互快,学的也快)。
(2) 从文件中读IP/mac,进行新旧对比并更新老化时间。
(1) IPMAC表达到59000条时触发快速老化,将已经老化的IP/mac全清掉,规格满直接丢新的条目。
(2) 两次快速老化的时间间隔是10分钟。
正常情况下,全局开启跨三层扫描后启动老化定时器,30分钟执行一次老化,然后更新定时器的时间进行下一次老化,如果条目达到59000条,触发定时器快速老化(记录本次快速老化的时间),然后刷新定时器为30分钟;当再次达到59000条时,if判断当前时间-上次快速老化时间〈10分钟,什么都不做;否则触发定时器快速老化(记录本次快速老化的时间),然后刷新定时器为30分钟。
64,最多可以添加64个交换机。
同一个小米手机会带多个终端型号:如MI2会同时带MI2、MI2S的终端标识,终端类型会显示成先识别的终端标识,这样就可能会把MI2识别成MI2S。
同一个小米手机会带多个终端型号:如MI2会同时带MI2、MI2S的终端标识,为防止误识别,小米手机型号不能做为用户唯一的标识。
目前暂不支持防共享监控用户列表HA主备同步,主备切换后需要重新检测共享终端。
阻断提示中<frozen-time>的单位是动态显示的,大于1分钟时会自动以分钟为单位,小于1分钟时会自动以秒为单位。
支持本地认证、短信认证、微信认证、免认证、Portal server认证、AD域单点登录、混合认证。
支持本地认证、短信认证、微信认证、免认证中一种或多种认证方式组合。
如从4.2或老版本升级到4.5版本串口可能打印user-policy any any any any always permit 1,因为认证方式permit已经被删除,或者会打印user-webauth portal-url default-template,因为新版本认证策略机制修改,该命令已被删除,以前配置认证策略后,需要在认证方式中选择模板类型,目前是认证策略选择单一认证方式就自动关联相应认证方式的默认模板,如果是混合认证,就关联混合模板。
(1) 首先查看ipv4策略是否将此数据包拒绝;
(2) 查看AGG设备路由是否正确;
(3) 查看用户策略是否正确,移动端或PC上网时是否匹配到此用户策略。
(1) 首先查看ipv4策略是否将此数据包拒绝;
(2) 查看AGG设备路由是否正确;
(3) 查看用户策略是否正确,IPhone是否匹配到此用户策略。
(1) 查看微信认证配置中应用ID是否与微信公众平台开发者中心的开发者ID中的AppId一致;
(2) 查看微信认证配置中门店ID是否与微信公众平台开发者中心的设备所在门店ID一致;
(3) 查看微信认证配置中Secretkey是否与微信公众平台开发者中心的Secretkey项一致;
(4) 由于微信公众平台一个门店下所有SSID的Secretkey都一样,所以设备侧SSID一定要与公众平台上的SSID保持一致,否则需要保证微信公众平台上所需连接的ssid排列在最后;
(5) 查看微信认证配置中其他参数是否正确。
(1) 若微信配置与微信公众平台注册时设置WIFI名称均为2.4G信号的ssid即cisco,那么微信认证时应该连接ssid为cisco;
(2) 若微信配置与微信公众平台注册时设置WIFI名称均为5G信号的ssid即cisco-5G,那么微信认证时应该连接ssid为cisco-5G;
(3) 两者不能同时使用。
此时可以更换浏览器尝试。
不支持。
不支持。
可以将用户认证策略具体化,比如AP1的用户需要进行微信认证,则将源地址设置为AP1的DHCP地址池;这样避免的连接AP2的用户走微信认证策略。
(1) 查看ACG是否配置DNS Server;
(2) 查看ACG是否开启了DNS代理功能。
微信连wifi不能区分双频AP两个信号共用DHCP同时接入,设备无法区分SSID,只能通过IP区分,若两个SSID使用不同的DHCP地址段可通过IP来区分。
单台设备下只能支持一个SSID。
支持HTTPS弹portal 。
安卓手机扫码后手机上会显示商户对应的SSID,点击立即连接,完成手机自动连接商户对应的SSID,之后“出现网络连接失败现象”,即使重新连接也不能成功,因为微信扫码只是实现了自动连接SSID的功能,边上SSID后,手机会通过微信触发https流量,但此时由于用户通过认证,所以流量会被设备阻断,设备上放通微信流量的报文时机是在portal页面上点击一键唤醒微信的按钮之后才会放通一分钟。再加上设备无法对微信的https流量进行重定向,所以无法自动弹portal。此时需要手动打开浏览器触发弹portal完成接下来的认证流程,实现上网。
PC端进行微信认证时的浏览器支持IE9及以上,火狐、谷歌浏览器,对于火狐浏览器网银模式不支持,请务使用网银模式。
移动终端浏览器推荐:
|
手机品牌 |
推荐浏览器 |
|
iPhone |
QQ浏览器、百度浏览器 |
|
ipad |
QQ浏览器、百度浏览器 |
|
三星 |
QQ浏览器、百度浏览器 |
|
华为 |
QQ浏览器、百度浏览器 |
|
oppo |
QQ浏览器、百度浏览器 |
|
小米 |
QQ浏览器、百度浏览器 |
|
魅族 |
QQ浏览器、百度浏览器 |
设备上的wifi名称(SSID)建议不要使用中文、如果使用中文可能会存在兼容性问题出现乱码或无法连接的问题。具体请参考微信公众平台说明:https://mp.weixin.qq.com/wiki,附截图说明如下。
为了实现微信内置浏览器弹Portal,默认放通了dns.weixin.qq.com(DNS报文会封装到这个域名的报文中)、short.weixin.qq.com(获取用户OpenId)的流量,不认证的情况下微信能正常收发消息,因为微信收发消息被封装在short.weixin.qq.com的报文中了。
微信内置浏览器中大部分应用都部署在微信服务器上,访问时报文已被微信私有协议mmtls加密,导致不能弹portal,此类url host一般是http://mp.weixin.qq.com。
例如:http://mp.weixin.qq.com/s/YOkQ0zn7fYi35KK8m3Gw8w,经测试统计这类应用的比例高达40%左右,另外还包含以下情况不能弹Portal:
(1) 微信内置浏览器中的https页面不支持弹portal。
(2) 部分http页面不能弹portal,原因是终端建立tcp3次握手后,不发送GET请求了,与终端行为有关。
(3) 订阅号中的应用不支持弹portal,都是内置在微信服务器上的应用,微信不会响应302重定向报文。
苹果手机不支持扫码认证,在微信扫码认证时,因为微信需要获取root权限打开手机无线,苹果手机没有开放root权限,安卓手机默认都开放了root权限。
强制关注支持订阅号和服务号,但强制关注所用的订阅号和服务号必须是已通过微信官方认证的,否则没有权限获取access_token。
在开启强制关注后,若有两个及以上门店使用同一个微信公众号,则需要搭建第三方token服务器,并将token-url设置为token服务器的地址,否则会导致强制关注功能异常,因为门店ACG网关每105分钟会去微信公众号更新access-token,一旦access-token更新就会失效,这样就会导致同一时间总有一个门店获取关注用户列表失败的情况,设置一个token-url间接获取token就能避免这样的情况出现。
原因:微信客户端一次请求的等待时间为10s,请确保后台认证服务器在微信客户端向authUrl发送请求10s之内返回AC认证结果,即http返回码。超过10s未返回认证结果将视为认证失败。
用户源MAC获取方式因组网环境不同会有差异:
二层组网:直接获取报文中的用户源MAC,显示到日志中。
三层组网:不开启SNMP跨三层MAC学习功能的话,也是直接获取报文中的用户源MAC,显示到日志中。如果开启SNMP跨三层MAC学习功能,先取报文中的源MAC同交换机列表中的MAC进行比对,如果匹配到,则到该交换机列表中获取真实的源MAC显示到日志中,如果没匹配到则显示报文中的源MAC。
免认证方式是一种支持用户自定义认证portal进行广告宣传,同时不需要输入账号即可实现快速上线的认证方式,可提升用户体验。用户访问网页时被重定向到已定义好的portal页面,点击登录按钮即可完成认证流程。
用户第一次接入网络时会弹portal认证页面,用户按照要求输入正确的用户名及密码后完成认证并成功上线,此时设备会将该用户的MAC加入到无感知列表,当用户下次上线时先查无感知列表,如果用户MAC在无感知列表中,设备自动完成认证,将用户无感知上线,简化了认证流程,提升了用户体验。
用户认证上线后,设备将该用户的MAC加入到无感知列表,当用户下线后,设备启动超时定时器,在超时时间范围内用户再次上网可以无感知上线,若大于超时时间,设备会将该用户MAC从无感知列表中删除,此后用户下次上线时需要重新输入账号密码进行认证。
无感知认证支持跨三层组网,但需要在设备上开启SNMP跨三层MAC学习功能,以获取用户的真实MAC。如果未开启SNMP跨三层MAC学习功能,会把报文中的三层设备的MAC加入到无感知列表,从而导致三层设备下的用户都可以无感知上线了。
本地认证、短信认证、微信认证都支持无感知。
(1) 用户超时下线,并非用户自己主观行为,所以应该支持无感知,让用户没有重新认证的感觉。
(2) 用户被管理员踢下线,证明用户存在一定的异常,针对异常用户肯定不能无感知。
(3) 用户主动注销,证明下线是用户主观的行为,不想在不知情的情况下再次上线,所以也不能支持无感知。
通过如下命令检查用户上线后MAC是否被加入到无感知记录表中:
· display user-waa local-waa查看本地认证无感记录表。
· display user-waa sms-waa查看短信认证无感知记录表。
· display user-waa wechat-waa查看微信认证无感知记录表。
混合认证就是在用户认证时提供多种认证方式供用户选择,用户可根据需要灵活切换认证方式,混合认证目前支持微信认证、短信认证、本地认证、免认证四种认证方式。
在混合认证里既可以选择单一的认证方式,同时也选择1种至4种的认证方式。
不一样,混合认证的模板是轮播模板,支持广告轮播。然而其他认证模板是默认模板。
无法认证成功,短信认证与浏览器是绑定的。
不包含短信认证的配置,由于短信认证没有命令行,所以导出的设备配置不包含短信认证配置。
不同步。
微信白名单就是认证方式选择为微信认证,配置微信白名单以后,可以免认证上网。
全局白名单针对的是所有的认证方式,而微信白名单针对的是微信认证这一认证方式。
微信白名单在混合认证方式中不生效,因为混合认证方式会弹混合认证风格的认证界面,支持认证方式手动切换,如果混合认证中包含微信认证方式,弹portal之前无法确认用户是否会选择微信认证,即使用户选择了微信认证,也无法匹配白名单了,因为白名单的流程是在认证弹portal之前,弹portal后再命中白名单违背了白名单的设计初衷,即配置白名单的用户是不会弹portal的。
https弹portal是指终端访问https的网站认证上网,https网站能弹出认证页面portal。
由于https是加密的,访问https页面就需要ssl证书,所以手机访问部分https网页的时候,会弹出一个警告信息,部分https网站提示完可以继续访问,但是也有部分网站直接禁止继续访问该页面。这时候可以换一个浏览器或者换一个https网页重新访问。
因为微信认证中,由于用户与微信服务器的交互都是https加密的,对于PC端而言,打开https网页弹出portal以后,流量会自动放通一分钟,以便用户能与微信服务器通信完成交互生成二维码信息,对于移动终端而言,弹portal后点击“一键唤醒微信连wifi”的按钮后流量会自动放通一分钟以便正常唤醒微信,完成接下来的认证流程。
由于不同的浏览器对一些流行的购物网站(如京东、淘宝)或门户网站(百度)证书安全级别有强制保护检查,浏览器检测到https弹portal的行为证书不合法,则不会继续访问portal页面,导致无法弹portal,此外对于银行https网站都无法实现弹portal。
IE11浏览器有合法证书强制检查,不信任的证书网站不允许用户继续浏览,进行强制保护,导致设备无法对https网站弹portal。
通过门户网站间接访问的其它网站,由于有些网站本身点击跳转时不是访问的目的网站的真实网址,而是还会通过门户网站提供的一个特殊的地址访问后再重定向到最终想要访问的网站的真实地址。对于这种https加密的方式进行访问的网址不支持https弹portal认证。
配置本地web认证或者其它认证方式,保证认证地址能进行正确认证,就能在访问https类型网站时弹出portal。
这个现象是由于浏览器针对不安全页面进行的一个安全提示,属于浏览器的一个易用性功能,因为显示等待一段时间,目的就是提示用户,这个是不安全的。用户不选的话,等待一会浏览器还会自动前往。这个属于浏览器的易用性考虑。
是由于浏览器本身的拦截造成的,由于浏览器本身的拦截,请求并没有发起,而是直接被浏览器处理掉了。
https弹Portal功能非常耗性能,在用户量较大时会导致Portal页面弹不出来,影响用户认证,所以默认情况下不使能,并且不建议在大流量场景下开启此功能,使能命令user-policy https-portal enable。
https网站是加密的,无法实现自动跳转或跳转到指定的重定向URL,包括由于访问https网站被策略阻断后也无法推送阻断提醒页面。
伪portal抑制使用的是refresh脚本方式进行重定向,客户端收到重定向报文后需要解析脚本成功后才能访问Portal页面,与302重定向不一样,因为一般的软件不会解析脚本,所以就不会发起访问Portal的请求,在一定程度上就减轻了无效的访问对设备造成的压力。
不能排除部分软件可以识别refresh。这个功能是能在趋势上减少请求量,不能保证所有软件都会起作用。
refresh重定向不一定能有效抑制所有的软件,只是说会减少一部分不会识别的refresh脚本的软件。
微信认证强制关注就是用户需要关注客户公众号才能在认证成功后持续稳定上网,否则会在5分钟内被设备踢下线。
不需要,强制关注实现原理是:用户无论是否关注过公众号,均可以正常弹portal完成微信认证,当用户通过微信认证上线后,设备会定期(5分钟一次)与微信公众平台交互获取对应公众号关注列表,如果用户上线后不关注公众号,关注列表中没有此用户,那么设备会把此用户踢下线,防止用户蹭网。所以如果在微信认证成功后要想持续稳定上网,建议在完成认证流程后点击关注公众号。
认证模板设置包含本地认证、微信认证、短信认证、免认证的弹出portal页面的风格自定义,同时增加了轮播模板,可用于以上四种认证方式,即每一种认证方式都包含两套模板:默认模板以及轮播模板,轮播模板支持3张背景图片循环播放。
认证模板预览支持认证方式切换效果的展示,但目前尚不支持此功能。
策略查找界面提供基于以下维度的搜索功能:
· 策略ID:精确匹配
· 源地址:地址对象精确匹配,IP地址模糊匹配
· 入接口(源区域):精确匹配,且该选项是唯一性的
· 用户:精确匹配,该选项是多选项
· 目的地址:地址对象精确匹配,IP地址模糊匹配
· 出接口(目的区域):精确匹配,且该选项是唯一性的
· 应用:精确匹配,该选项是多选项
· 服务:精确匹配,该选项是多选项
以上搜索中多选条件项,每项最多可以同时选择8个对象。
同一个条件内部是或的关系,只要包含其中一个对象即可。条件与条件之间是与的关系,必须全部满足才可以搜索成功。
地址本域名是指在地址对象中支持添加域名方式的对象,并支持在其他策略中引用。
地址本域名支持添加域名形式的地址对象,设备会将域名解析成对应的IP地址,在策略匹配过程中实际还是直接匹配的IP,如果发现策略命中不生效,检查设备是否配置了DNS,以及查看域名是否成功解析成了IP地址。
NAT44支持端口复用,只要一条流的DIP、Dport、portocol有一个参数不一样就可以转化成相同的源端口。
NAT44端口分配是随机的,从尚未使用的端口号中随机选择一个进行转化。
目前仅支持华为E3372联通版本的4G网卡。
设备在CPU100%的情况下会出现大量丢包,拨号报文发不出去,在连续发10个包后,没有响应,会导致lcp down,然后报close事件,根据PPP状态机,PPP切换到closing状态。
然后超时,收到To-事件,状态切换到closed状态,此时收到server端的Configure-Request packets时,会发送一个Terminate-Ack。收到server端的Terminate-Acks被静静的丢弃,以防止造成循环。
不再主动发包,等待up事件触发,所以需要接口shutdown、no shutdown。
(1) 负载均衡出接口配置规格32。
(2) 单独一个出接口允许添加健康检查的个数规格8。
(3) 负载均衡策略配置规格32。
(4) 单独一条负载均衡策略可以添加的出接口(包括出接口组)规格8。
(5) 出接口组中可以添加的出接口的规格4。
(6) 免负载地址可以添加的地址对象(包括地址对象组)规格8。
(7) 加入到负载均衡组中的接口不能再加入到桥口或聚合口和HA心跳口。
目前支持基于权重负载和优先级负载两种方式。
选路的规则是按照链接哈希,结合权重完成选路,同一链接的所有转发要求使用同一个接口完成。
关于父子链接的应用:sip,h323,pptp,ftp,tftp等要求主从链接必须使用同一个接口完成转发,使用源地址hash,这样就可以保证同一源地址的所有请求使用唯一接口完成转发。
(1) 权重的范围1-100。
(2) 出接口状态为up的接口能够参与权重比计算。
负载均衡策略添加的出接口,按照由上到下的匹配顺序,进行转发。
这里的优先级需要明确,最优链路出现故障,则使用第二优先级的链路转发,一旦最优链路恢复,则新的链接使用最优链路完成转发,旧得连接在原有的接口上维护。
(1) 优先级的匹配顺序是由上到下。
(2) 最优链路出现故障,则使用第二优先级的链路转发,一旦最优链路恢复,则新的链接使用最优链路完成转发,旧得连接在原有的接口上维护。
(3) 优先级可以通过上下箭头进行调整,按照调整后优先级完成转发。
新版本的会话保持功能,使用源地址hash,这样就可以保证同一源地址的所有请求使用唯一接口完成转发,如FTP控制流和数据流走同一链路,同一用户的请求能持续在同一个链路进行负载,避免网银等业务不可用。
新版本暂时不支持过载保护功能。
(1) 链路负载出接口,添加健康检查(健康检查地址需要配置可达地址)。
(2) 健康检查支持协议:暂时仅支持ICMP检测。
(3) 链路负载均衡出接口,最多添加8个健康检查条目,8个检查条目,只要有任何一个检测失败,认为该出接口健康检测失败,该接口状态为不可用。
(1) 出接口为三层口静态ip的接口,必须配置下一跳地址。
(2) 出接口为pppoe,dhcp,tunnel接口,不需要手动配置下一跳地址。
(1) 默认配置排除设备的直连网段,也就是说直连网段的地址访问外网,不需要进入负载均衡流程。
(2) 选中的免负载均衡地址访问外网,不需要进入负载均衡流程。
新版本暂时不支持匹配应用的负载均衡。
首先匹配策略路由,未匹配上策略路由匹配负载均衡策略,均为匹配上,匹配静态路由。
(1) 链路负载均衡本身的匹配顺序,先匹配免负载均衡地址,负载均衡策略由上到下匹配。
(2) 负载均衡能够匹配正向发送的流量,无法匹配反向进入设备的流量(配置负载均衡策略,同样要配置相应的默认路由,保证目的nat功能可用)。
(1) ISP地址的导入命令:copy ftp 服务器ip 导入的isp地址库名称 isp-address
(2) isp地址导出命令行:export isp-address by ftp 服务器地址
(3) ISP地址导入后需要执行isp address update,导入的isp地址生效
(4) ISP地址导入后需要执行isp address creat,isp地址生效
(5) ISP地址删除命令,isp address delete
(1) 用户的规格是根据不同设备型号(不同的内存来决定的,范围是4096-32768)。
(2) 用户组的规格所有设备相同,均为1024。
用户页面能够完整显示前3个用户组,剩余的用户组通过省略号代替,但是会显示具体的所属用户组个数。
用户组中引用用户的规格为2048,当所选用户超过2048个,无法全选移动到指定用户组。
用户支持批量移动,用户组不支持批量移动,仅支持单独移动。
(1) 用户导入支持追加导入,不支持覆盖导入,如导入文件中的用户与系统中已存在用户名称相同,则导入失败。回退导入操作。
(2) 导出:导出所有用户和用户组。
(3) 导入/导出的文件后缀格式(.csv)。
LDAP服务器用户名长度大于63字符后同步到设备用户名会截断成63字符。
LDAP服务器同步目前支持389明文传输,不支持636密文传输(加密跟服务器交互不了 身份验证不了)。
在用户管理>全局配置>第三方LDAP认证处,选择ldap组统一认证。
Windows AD域不支持匿名同步用户。
AD服务器上用户名超长(大于63字符);(汉字数字字母以及@._-()[]|以外的特殊字符);单OU下大于2048个用户的。
LDAP BaseDN如果写根OU的话,同步LDAP服务器的时候会把根OU下的所有子OU以及用户全部同步下来。
openldap不响应dn属性的确认请求导致,F6608及以后版本均只支持与Windows AD域服务器认证对接。
远端用户删除后重新同步ldap组后,远端被删除的用户移除用户组,本地用户没被删除,不会影响到策略。
(1) 由于远端用户认证未下线所以本地即使没有该认证用户也不影响下联pc上网。
(2) 当远端pc认证用户下线后重新使用被删除的用户进行认证是提示用户不存在。
HA主备环境配置不会比较ldap同步下来的用户。
IPSes条件下使用LDAP认证时,IPSes认证使用用户名密码认证后,会从本地查找该用户名用户,若该用户不存在,则不会添加该用户到认证用户组。所以若使用该方式认证,需保证本地存在该用户。
LDAP定时同步设定的时间范围为0-23,例如:23,所代表的含义是时间整点为23点的一个小时时间段内均为自动同步的有效时间,即23:00-23:59为自动同步有效时间。
从老版本升级到F6608版本后启动过程中打印% Unknown command: bindtype simple,这个是因为在F6608上绑定方式做了修改,删除了通用绑定方式,只保留了简单和匿名两种方式,所以如果升级前是通用,建议先删除,修改为匿名或简单绑定方式,然后再进行升级,避免配置丢失。
(1) 接口已经作为镜像规则源接口时不可再配置为其它规则的监控接口;
(2) 接口已经作为镜像规则监控接口时不可再配置为其它规则的源接口;
(3) 源接口和监控接口不能是同一个物理接口,要么配置为源接口,要么配置为监控接口,不能同时配置;
(4) 管理口以及旁路接口不可配置为监控接口;
(5) 在线业务口不可配置为监控接口(在线业务口即为现网在跑正常业务的物理接口)。
(1) 查看接口是否up,只有镜像接口up时才进行端口流量镜像,否则不进行流量镜像;
(2) 设备packet buffer数量使用率超过3/4,可通过display statistics fpa命令中PKI_POOL一行查看当前的使用情况,如果正常业务流量的packet buffer数量使用率超过3/4则镜像功能失效,不再镜像业务流量。
设备packet buffer数量使用率超过3/4,可通过display statistics fpa命令中PKI_POOL一行查看当前的使用情况,如果正常业务流量的packet buffer数量使用率未超过3/4,但匹配镜像功能后超过3/4,则会出现只镜像出部分业务流量的现象。
需要配置多条端口镜像规则,每条规则配置不同的源端口镜像到同一个监控接口, 目前端口镜像规则的源接口、监控接口只允许配置一个物理接口,无法配置多个物理接口。
不支持,由于ACG仅仅支持单台模式,因此仅仅支持本地镜像,而不支持远端镜像。
不能。
使用display statistics phy-interface命令或在web页面查看监控接口的发送的流量大小是否等于端口镜像规则源接口所配置镜像方向的流量的大小。
可以,但是镜像前要保证被镜像的源接口的流量小于监控接口真实的物理带宽,否则监控接口发送报文出现拥塞,造成系统大量丢包,影响报文正常转发,造成业务中断,因此建议使用时配置低带宽向高带宽接口镜像,尽量不要高带宽往低带宽接口镜像。
电脑必须要安装,如不安装会出现浏览器提示证书不合法无法访问的情况。
电脑端需要安正证书在浏览器的受信任根目录下,具体导入过程见【证书导入文档】。
证书有始发日期和结束日期,当导入证书以后,用户电脑当前时间小于证书的始发日期会导致证书无法使用。用户电脑当前时间大于证书的结束日期也会导致证书无法使用。
当设备DNS设置成全局模式时,用户电脑的DNS需要指向设备的入接口,以保证DNS过设备,解密策略才能生效。若DNS不经过设备的话,解密策略不生效。
Chrome浏览器原本打开的12306就是报非安全连接,并且Chrome和Firefox浏览器把全部http视为非安全连接。
如果两台ACG串联(PC-ACG1-ACG2),ACG1证书为mm.cer,ACG2证书为https.cer,用户电脑应该导入ACG1的证书mm.cer。
ACG的证书必须和用户导入的证书一致,否则浏览器依然显示证书非安全。
手机端(Android/ios)都需要导入证书,如果不导入,手机端访问网址、发送邮件、升级系统都会报非安全连接或者验证错误。
不是,有些邮箱客户端(网易邮箱大师/闪电邮)的smtp是使用的TLS加密,TLS加密不支持解密。
广告对于使用了HSTS技术的网站,配置https解密后会出现大家概率打不开的情况,请将该域名排除。
支持对安卓、IOS移动终端的https审计,但必须导入证书,证书导入方法参考解密策略典配文档,部分移动终端自带浏览器访问页面时会报证书不安全的提示。
由于部分APP对证书有高安全级别的检验,移动终端导入的证书就会检验不通过,导致无法访问,如果出现此情况,则在解密策略中排除APP应用服务器的IP或者关闭解密策略。
DDNS功能的规格限制是以配置的账户名的数量做限制的,目前支持配置10个不同的账户名,由于每个ddns条目只能配置一个账户,且不同的ddns条目不允许配置相同的账户名,因此ddns功能支持配置的条目也是10条。
当外网口地址存在多个IP地址时,DDNS更新时使用主地址进行更新,不会使用从地址,不支持指定某个特定的IP地址进行更新。
由于花生壳厂商不支持对指定的特定域名进行更新,而是会更新此账户下的所有域名导致,后续会进行优化,嵌入支持其它服务商。
这是两个完全独立的功能,分别针对不同的场景,并没有直接关系;但是在DDNS功能使用时需要先解析DDNS服务商的域名地址进行注册和认证授权,因此需要设备配置有DNS服务器,DDNS才能够正常使用,DNS服务器可以手工配置,也可以通过在DHCP或PPPoe接口动态获取。
由于设备支持配置32个链路负载出接口,每条链路负载出接口均支持配置dns-dnat功能,因此dns-dnat规格与链路负载出接口一致。
DNS透明代理功能优先处理DNS报文,DNS报文不会在进DNS-DNAT流程处理。
DNS-DNAT的探测功能在配置DNS-DNA后就会默认开启,设备主动往主、备DNS服务器发送域名www.baidu.com的dns请求报文,每10s发送一次,重试次数为3次,即如果连续三次未收到DNS服务器的dns恢复报文则认为此DNS服务器故障。
在web管理页面,网络配置>负载聚合>负载均衡出接口配置页面查看,如果DNS服务器探测失效时,DNS服务器的显示将变为红色字体,将鼠标放在dns服务器显示IP处,会有弹出框显示“此dns服务器探测失败,为故障不可用状态”;在cli下可通过命令行display lb-policy wans interface state进行查看;在dns server后面会显示当前dns服务器成功还是失败,并且后面会有相应的标识,各状态标识含义如下:
· 0x00表示均不健康
· 0x01表示主是健康的
· 0x02表示备是健康的
· 0x03表示均健康
支持保存、导出、导入配置文件的格式为.cfg格式(导入时支持web页面导出的.data加密格式的配置文件),只支持保存配置文件的数量为6个,所有配置文件占总存储大小空间为200M。
配置文件保存在CF卡中,当CF卡空间不足以保存配置文件时会进行提示;使用erase startup-config命令清除所有配置重启后不会清除掉保存的配置文件。
可使用display config-list命令查看当前设备保存的配置文件,并且会显示配置文件保存的时间点,顺序按照时间点从最新到最老进行显示排列。
在命令行下使用copy config test.cfg ftp 192.168.2.120 test.cfg导出配置文件时,输入“?”时后面仍会提示输入FTP服务器的地址。如下所示:
这是由于FTP导出配置文件的注册命令是这样2条命令:“copy config LocalFile ftp USERNAME PASSWD A.B.C.D RemoteFile”,“copy config LocalFile ftp A.B.C.D RemoteFile”,
“copy config test.cfg ftp 192.168.2.120 test.cfg”执行的命令给识别为第一条命令了,把IP地址作为USERNAME来使用,所以导致输入?仍会提示输入FTP服务器地址。FTP导出命令是分为2个命令注册的,一个是匿名用户,一个需要输入用户名/密码;在输入IP地址和文件名称时无法区分是否是用户名、密码还是服务器、文件名称。
F6608支持多配置文件备份时将配置文件后缀规范成了.cfg,需要将老配置文件修改成.cfg后缀后就可以正常导入设备了。
导入配置文件进行配置恢复时,设备重启过程中配置保存选项要N,不能输入Y,否则设备的运行配置会覆盖导入的配置文件,导致配置恢复失败。
1G内存设备存储规格为1000;
2G内存设备存储规格为5000;
4G内存设备(含小于8G设备)存储规格为1W;
8G及超8G内存设备规格为2W。
要求在逃生时所有用户均可上网、逃生结束后未认证用户均需认证。也就意味着,在逃生期间在线用户不发生变动。
要求在逃生时在线用户和mac地址在已认证用户列表里的用户可以上网,其它用户不能上网。
认证用户有保存用户数的规格限制,当存储用户数达到规格时,优先删除最久没有流量的用户。
地址探测模块负责向指定的Portal服务器或着内容平台发送探测报文。当Track状态变更时,向Portal逃生模块通知Track的状态,当trach状态为不可达,portal逃生功能开始生效(探测次数和间隔时间是根据地址探测的配置来决定)。
可以,启动成功后执行命令即可。
根目录下的version是文件里,里面放置需要更换的版本文件,序列号文件里的version只是一个放置版本号和版本名称的文件。
没有影响,只有在重启的过程中生效。
零配置启动盘启动成功后会在序列号文件夹下生成一个finish的文件。把文件删除后,还能继续生效。
零配置启动盘启动后,不论失败或者成功,show log debug即可看见日志。
不是,启动盘里可支持1024序列号。
启动配置是一个,备份文件是三个。
不能,会按照操作时间顺序导出日志。
包括应用审计日志下所包含的:IM聊天软件日志、社区日志、搜索引擎日志、邮件日志、文件传输日志、娱乐/股票日志、其他应用日志。以及网站访问日志下所包含的:访问网站日志、恶意URL日志。
不支持一次性全部导出所有日志内容,只能按指定日期范围导出日志文件,当前支持导出“今天、近三天、近一周、近一月、近三月”。
不支持,比如邮件日志里的内容和附件就不支持导出。
只支持带硬盘可以访问审计日志页面的设备才具备日志导出功能。
有,户导出的最大日志大小为25万条左右(对应的文件大小在解压后64M左右,存在一些误差),因此当数据量较大时,用户选择了近三月的数据,可能只导出了几天或十几天的数据。所以导出的日志数量为导出规格的先决条件,其次才是选择的时间范围。
当导出日志中某一天无日志记录时不生成该日期的空内容导出文件。
导出今天的日志系统只做了起始时间的判断,没做终止时间的限制,如果人为修改了系统时间,就会导出比当天时间大的日志。影响很小,基本不影响现网环境使用,只要保证系统时间是对的就行,对于设备来说,当天只要下一个起始时间就能导出正确的日志来。
不支持按查询条件导出,审计日志、系统日志、操作日志、网络层安全日志等均不支持基于查询条件导出。
告警事件的全局开关就是“启用事件告警”,取消勾选后整个功能处于关闭状态。
会话警告阈值规格是按照设备的会话规格统计的,例如设备会话限制30W,会话警告阈值就最大值就是30W条。
一般情况下,用户密码是指发送地址的邮箱登录密码,但是因为部分邮箱设置了第三方授权登录码的,密码这块就需要填写授权码。
首先检查是否配置DNS,确认与邮箱服务器正常连接后,可以点击测试邮箱有效性,如果收到邮件证明配置填写无误,如果未收到邮件,则是配置填写有错误。
重置会回到前一次的配置,并不是清空配置。
不会,只有在设备主页系统状态页面会弹窗告警。
记录到1W条日志时,会删除最初的1000条。
最大规格是500条自定义应用,如果导出超过500条的文件,则只有导进500条成功。
尽量不要选择已经被使用的端口。
不是,只需要在目标端口、IP、域名或URL任选一个填写即可。
首先用户没有识别,那就是用户地址不在识别范围内,更改用户全局配置里识别范围后,清一下会话,再匹配自定义应用流量过设备。
切换成英文版后系统日志和操作日志显示的中文日志是在中文版本操作的,对应的,如果是在英文版的操作后,切换成中文版本,日志也会有英文显示。
设备控件显示中文和操作系统语言有关,操作系统为英文版,浏览器显示设备控件即是英文。
不会,保存的配置不受切换版本影响。
(1) 用户标签是根据网站日志分类进行上报标签,设备需要开启审计策略,需要审计网站类日志
(2) 用户标签上报前必须配置imc服务器的ip地址、认证用户名、密码,否则服务器连接认证失败无法上报用户标签。
只支持配置一个上报服务器,如果重复配置的话会把之前的imc覆盖。
预定义只有56个,不支持手动创建自定义url分类,其他的id号作为预留url分类使用。默认所有URL分类均参与标签上报通过命令url-category (1-1025)user-label enable /disable限制哪些标签上报。
用户存储的最大规格为50x1024,到达规格后老化不活跃用户。
(1) 推荐使用于二层场景。
(2) 用户标签上报跨三层后,设备统计的标签信息ip还是终端的ip,mac是下联设备的mac(终端接入的是三层switch的情况下,可以配置snmp跨三层学习,设备就可以学习到终端mac(时间需要30S))。
每个用户只上报top3的用户标签,如果用户标签不足三个,使用USER_LABEL_NONE(0)填充。
用户标签信息本地配置文件存储周期为15分钟。
用户标签信息上报imc服务器周期为24小时。
(1) 没有配置imc服务器。
(2) 用户标签文件创建失败。
(3) 用户标签前台调用的脚本失败。
(1) 查看是不是对应的上报被关闭了。
(2) 查看保存文件是否是更新了最新的。
(3) 查看上报文件中的标签是否和保存的一致同时也是更新了最新的。
(4) debug app audit log 查看是否产生日志。
(5) 设备开启了审计策略但是没配置imc标签上报服务器,默认24小时上报一次。
User-lable enable
User-lable disable
|
分类ID |
中文名称 |
英文名称 |
|
1 |
广告 |
ad |
|
2 |
成人 |
adult |
|
3 |
傀儡主机 |
botnet |
|
4 |
艺术 |
art |
|
5 |
在线音乐 |
music |
|
6 |
机动车 |
automobile |
|
7 |
BBS站点 |
BBS |
|
8 |
键盘记录网站 |
keyboard-recorder |
|
9 |
博彩 |
lottery |
|
10 |
商业 |
business |
|
11 |
计算机与互联网 |
network |
|
12 |
犯罪 |
crime |
|
13 |
钓鱼网站 |
fishing |
|
14 |
毒品 |
drug |
|
15 |
教育 |
education |
|
16 |
娱乐 |
entertainment |
|
17 |
在线股票交易 |
transaction |
|
18 |
证券公司 |
securities |
|
19 |
赌博 |
gambling |
|
20 |
游戏 |
game |
|
21 |
木马病毒 |
trojan |
|
22 |
网络资源 |
network-resources |
|
23 |
医疗健康 |
health |
|
24 |
违反法律 |
illegal |
|
25 |
违反道德 |
immoral |
|
26 |
求职招聘 |
recruitment |
|
27 |
儿童 |
child |
|
28 |
法律 |
law |
|
29 |
社会生活 |
society |
|
31 |
网上交易 |
trade |
|
32 |
新闻媒体 |
news |
|
33 |
文学 |
literature |
|
34 |
在线聊天 |
chat |
|
35 |
财经 |
economics |
|
36 |
非盈利组织 |
charity |
|
37 |
政治 |
political |
|
38 |
色情 |
porn |
|
39 |
门户网站与搜索引擎 |
portal-searcher |
|
40 |
远程代理 |
proxy |
|
41 |
房地产 |
estate |
|
42 |
参考 |
reference |
|
43 |
宗教与信仰 |
religion |
|
44 |
科学 |
science |
|
45 |
期货 |
futures |
|
46 |
银行 |
bank |
|
47 |
体育 |
sports |
|
48 |
股票 |
stock |
|
49 |
基金 |
fund |
|
50 |
外汇 |
exchange |
|
51 |
旅游 |
travel |
|
52 |
暴力 |
violence |
|
53 |
病毒 |
virus |
|
54 |
WEB通信 |
web-im |
|
55 |
交通住宿预定 |
hotal |
|
56 |
白名单 |
whitelist |
目前不支持多域及子域的情况,在线用户信息未带域名信息。
单点登录启动脚本,存在被安全类软件提醒的风险。需手动添加至白名单即可。
用户上报信息已加密,包含用户名、密码。
登录数据此版本不支持防回放。
HA主备单点登录配置支持HA同步,但在线用户不支持HA同步,如果发生HA切换,存在以下两种情形:
(1) 单点登录失败的用户,不需要认证,自动上线。
新的主设备收到用户心跳报文后(默认30s发一次心跳报文),用户会重新上线,但是如果上网流量产生在心跳报文之前,则以IP做为用户名直接上线。
(2) 单点登录失败的用户,继续匹配后续策略。
新的主设备收到用户心跳报文后(默认30s发一次心跳报文),用户会重新上线,但是如果上网流量产生在心跳报文之前,则会继续匹配设备上的后续认证策略,如果没有后续认证策略,则会丢弃在收到下个心跳报文之前的30s内的所有报文,后续收到心跳报文后则会重新上线。
在线用户只识别第一次登录的账号,避免频繁出现账号切换,目前设备是基于IP来识别用户的,无法实现两个IP一样账号不一样的用户同时在线。
基于源地址散列+权重。
为了保持一致性,同一个源的报文被送到同一个服务器处理,这里需要采取基于源地址hash的算法,同时还具有加权随机的算法,最终选择实服务器,即DNAT规则。
基于权重。
源ip每次都会进行匹配后进行转发。
范围为1-100。
权值越小,优先级越高。
支持icmp。
通过发送icmp数据,检查服务器是否存活。
支持tcp。
通过发送指定端口的tcp数据,检查服务器是否存活。
支持日流量限额。
支持月流量限额。
支持流量提醒功能,达到阈值后,访问http后会弹出提醒页面。
支持日时长限额。
支持月时长限额。
支持时长提醒功能,达到阈值后,访问http后会弹出提醒页面。
支持惩罚方式为禁止上网。
支持惩罚方式为添加到流控通道。
仅支持流控子通道。
需配置一个非常用的服务来作为惩罚的低速通道。
限额提醒页面对http生效,https页面由于是加密的所以不生效。
限额策略根据五元组从上到下顺序匹配策略,同一个用户只会匹配到一条策略,对于限额实际应用场景来说,时长限额和流量限额是二选一的。
确认设备本身是否有带硬盘,没有硬盘的设备无线非经模块在最新版本上默认不显示。
F6607及F6607P版本上无线非经功能不支持配置导出功能。
查看设备上是否有在线认证用户,如果没有在线认证用户(认证用户来源:ACG设备本身开启认证策略、通过Radius监听或者是通过第三方认证服务器发送给ACG设备),则不会产生任何审计日志,因为非经日志上报的都是认证用户产生的数据。
目前特征提取是从格式开始的地方开始提取的,一直到结束为止,目前包含内容的日志都是这种方式处理的,修改涉及范围较大,后续版本统一优化处理。
最新版本上Radius监听功能默认是关闭的,如果需要可在命令行配置模式下执行命令user-radius-listen enable来开启。
(1) 检查无线非经配置策略,场所AP是否都已配置;
(2) 检查测试的应用是否在应用关系对照表中;
(3) 检查场所AP配置是否均已下发(通过命令display wxfj-place-cnt可确认场所AP规格以及下发的场所AP数)。
(1) 确认ACG设备与网监平台服务器是否能互通;
(2) 检查数据上报网监平台的账号密码是否都正确(通过命令display wireless-cert pbo-entry查看);
(3) 确认网监平台提供的账号是否有写入权限;
(4) 排查网络中间是否有配置访问控制阻断策略,阻断其上报数据。
所有数据上报来自同一个AP,原因是认证数据中没有APMAC字段,或者推送过来的APMAC字段与ACG设备配置的APMAC未匹配上,为了数据不丢失,如果认证数据中的APMAC字段与ACG设备上的未匹配上,ACG设备上默认进行终端地址范围匹配,终端地址范围默认是any,所以会出现所有数据都匹配到一个AP上进行上报。
该类问题主要是由于对接文档要求该字段为必填字段,但使用某些应用不一定会进行登录操作或者登录账号加密无法审计,导致无法获取到虚拟身份账号,所以此类就会填上真实身份账号。
AP配置导入格式是csv格式所致,如果一个AP上需要导入多个AP地址范围,可以将多个地址对象添加到一个地址对象组中进行导入来实现效果。
(1) 由于F6607与F6608版本非经日志字段有较大差别,升级后会重新生成新表,丢失当天的表,这样就会导致当天的审计日志丢失,但不会影响之前的老数据,所以升级时建议在凌晨12点后进行,将影响降到最低。
(2) 如果F6607版本中的场所和AP是通过数据库及脚本手动导入的数据,版本升级F6608版本后出现场所和AP不兼容,部分非经功能不可用,则属于人为因素造成,需要在F6607版本中修正不兼容部分数据,重新导入F6607版本再升级F6608版本。
F6608版本上AP和场所已经按照设备内存大小做了相应的规格限制,而F6607上没有做任何限制,这样如果F6607上的场所和AP升级后超过新版本中的规格,就会导致超过规格的场所和AP无法下发,出现配置丢失,规避方法是升级到F6608版本后,使用命令wxfj-place <1-3000>修改场所规格与之前的场所数量一致,然后再次重启设备就可以保证所有场所和AP都正常下发。
(1) 在F6608版本基础上回退F6607版本,重启之前需要在配置模式下手动执行clear wxfj-db,clear wxfj-db需要手动输全,不会自动匹配,此命令的作用是删除F6608非经数据库以及厂商、场所、AP对应的缓存文件。
(2) 设备起来之后需要进入厂商配置页面-手动点击一下厂商提交,重新下发一下厂商,执行此操作原因是:从F6608回退F6607的时候需要把现有的非经相关缓存文件删除,F6607非经前端现有逻辑在设备重启的时候不会自动产生厂商对应的缓存文件(在页面配置会产生),而F6607版本场所配置页面的显示依赖于厂商对应的缓存文件,因此需要手动提交一下厂商配置。
(3) F6607升级F6608版本,再回退F6607版本,只保证非经相关配置(厂商、场所、AP)为F6607的配置。 例如:F6607的非经配置为A(厂商1、场所1、AP1),F6607升级到F6608以后新增了非经配置为B(厂商2、场所2、AP2),此时从F6608回退到F6607版本,F6607版本的配置还是A(厂商1、场所1、AP1),F6608上新增的配置B(厂商2、场所2、AP2)会丢失。
(4) F6607升级F6608版本,F6608保存配置回退F6607版本,基础配置(不包括厂商、场所、AP)为F6608配置;如果F6608不保存配置回退F6607版本,基础配置(不包括厂商、场所、AP)为F6607的配置。
(1) menuboot下已经格式化的硬盘分区被删除,然后启动支持该功能的版本,打开WEB会提示格式化硬盘。
(2) menuboot下硬盘分区格式化成FAT,然后启动支持该功能的八本,打开WEB会提示格式化。
页面提示格式化,格式完毕后会自动重启,重启后硬盘会自动挂载,WEB页面不应再有提示格式化硬盘的提示。
F6608版本已经支持UI格式化挂载硬盘的功能,如果硬盘没挂载成功,设备启动后登录页面时会直接返回显示硬盘格式化的操作按钮,可以实现一键格式化挂载。
UI上是否显示硬盘是依赖于数据库能否正常连接上,连接不上不会显示,如果数据库创建失败,则会导致硬盘无法显示,处理方法如下:
recover database重新创建数据库或格式化硬盘即可恢复正常,出现此现象一般是由于两个版本的数据库差异太大导致数据库创建失败,如果升级前后的两个版本差异太大,请升级版本后清库重启。
页面提示格式化,格式完毕后会自动重启,重启后硬盘会自动挂载,WEB页面不应再有提示格式化硬盘的提示。
识别模式分为“启发模式”和“强制模式”两种,默认配置为强制模式,识别范围默认配置均为private私网地址段。
“启发模式”指的是,优先将属于识别范围的IP地址识别为在线用户,并且根据流量发起方先识别源IP,再识别目的IP,如果源IP和目的IP都不在识别范围中时则将源IP识别为在线用户。
“启发模式”使用场景:对用户识别要求不严格的情况下使用启发模式,在线用户中会出现非识别范围内的用户(如:同时出现私网IP和公网IP的用户),所以统计到的在线用户数量会比较多,在此模式下需要将识别范围修改成内网实际使用的地址网段,否则会导致用户识别不精确。
“强制模式”指的是,只将属于识别范围的IP地址识别为在线用户,并且根据流量发起方先识别源IP,再识别目的IP,只有源IP或目的IP地址中的一个属于识别范围时,才会被识别为在线用户;否则此IP地址流量不受系统转发流程中用户识别后的所有功能模块限制,如:用户策略、安全策略、应用识别和审计、入侵检测、病毒防护、QOS。
“强制模式”使用场景:对用户识别要求严格的情况下使用强制模式,在线用户中只会存在识别范围内的用户,过滤掉了不属于内网地址段的用户,精简了在线用户列表,只显示用户真正关心的数据,同时提升了设备性能,不在识别范围内的IP流量不走用户认证流程,避免了对用户不关心数据的处理,在此模式下务必将识别范围修改成内网实际使用的地址网段,避免因识别范围配置错误导致的用户关心的IP地址流量不受用户策略控制的情况出现。
老版本识别模式为启发模式,不在识别范围内的IP也能进行用户识别,并加入在线用户中,在用户量较大的场景会严重影响设备性能,所以在F6608版本做了优化,将用户识别模式修改成强制模式,这样修改后的影响及注意事项如下 :
(1) 如果会话中的源IP或目IP都不在默认的private(10.0.0.0/8,172.16.0.0/12,192.168.0.0/16)范围里的,用户则不再识别。
(2) 设备开局配置时第一步要关注全局配置,将识别范围修改成内网真实有效的用户IP网段,否则会出现用户认证或应用识别以及依赖于应用识别的所有模块功能都不生效。
在线用户冻结是基于用户维度的,不支持IP维度。
在线用户踢除支持基于IP维度。
硬件只支持5米以下的线缆,如果测试发现接口不UP,请更换小于5米的线缆进行测试。
接口从地址能配置为相同网段的不同IP,不会发生冲突,这是业内的标准实现。
UTF-8编码格式,是变长的编码格式,具体如下:
占2个字节的:带有附加符号的拉丁文、希腊文、西里尔字母、亚美尼亚语、希伯来文、阿拉伯文、叙利亚文及它拿字母则需要二个字节编码
占3个字节的:基本等同于GBK,含21000多个汉字
占4个字节的:中日韩超大字符集里面的汉字,有5万多个
一个UTF-88数字占1个字节
一个UTF-8英文字母占1个字节
即少数是汉字每个占用3个字节,多数占用4个字节。
出现概率非常小,初步确认是由于硬件时钟不稳定导致,非软件bug,如果有设备出现此现象,直接更换测试设备或掉电重启来解决,出现此现象只会导致液晶屏内容不显示,对其他功能无任何影响
软件限制,打印不影响功能。
软件限制,减少子接口数量可恢复。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
