ACG推荐使用在某个区域的网关或与外网接入处,一般来说,外部网络是最具有威胁的。当所有外网流量进入内网时都需要经过边界网关。由此来说ACG放置的最佳位置应为与外网接入的地方。如果内网某一区域对安全性有高要求也可放置ACG。但要注意,所有ACG应放在区域与区域相接处。
ACG能够工作在三种模式下:路由模式、透明模式和旁路模式。如果ACG以第三层对外连接(接口具有IP 地址),则认为ACG工作在路由模式下;若ACG通过第二层对外连接(接口无IP地址),则ACG工作在透明模式下;若ACG在完全不影响原网络运行的情况下部署,则ACG工作在旁路模式下。
当ACG位于内部网络和外部网络之间时,需要将ACG与内部网络、外部网络区域相连的接口分别配置成不同网段的IP地址,重新规划原有的网络拓扑,此时相当于一台路由器。也就是说,路由模式ACG连接两个不同的子网。
在网络出口需要定义一些访问控制列表(ACL)来对内外网访问进行更严格的要求时,采用路由模式时,路由模式ACG可以完成ACL包过滤、NAT转换等功能。
如出现该情况可检查路由表,执行display ip route命令查看路由表中是否存在外网路由,如路由表正常,查看ACG安全策略,在ACG设备中默认安全策略为deny,需要手工设定放行条目,执行display running-config policy命令查看ACG安全策略。
透明模式ACG进行工作时,可以避免改变拓扑结构造成的麻烦,此时ACG对于子网用户和路由器来说是完全透明的。也就是说,用户完全感觉不到ACG的存在。
在透明模式下,ACG将流过的所有二层数据进行解封装,把数据根据用户定义的规则进行从二层到四层的过滤。但与路由模式不同的是,ACG会将过滤后的数据重新用原来的二层源地址和目的地址再封装成帧进行转发,而不改变数据帧的源地址和目的地址。
透明模式ACG一般使用在原网络拓扑在已经完善的情况下增添ACG。配置透明模式ACG,ACG相当于二层设备。可以将ACG的多个接口连接到相同子网。可以在不更改其他设备的路由网关对网络进行保护。减少工作量。
旁路模式在不更改原网络部署环境的前提下使用。旁路模式ACG将通过的流量进行监听、审计等作用。
旁路模式部署不会大范围影响原网络拓扑结构。只需在原出口设备连接上ACG即可。
日志信息为空时怎么处理?
查看旁路模式ACG审计日志时无相应显示,该情况可查看策略配置,执行display running-config policy命令于查看ACG的部署策略。
ACG具有很好的保护网络安全的效果。入侵者必须首先穿越ACG的安全防线,才能接触目标计算机。用户可以将ACG配置多种策略,如控制端口、协议、应用等。
配置正确但是数据无法通过?
ACG默认存在一条全拒绝的控制策略,使用ACG时应先注意安全策略是否匹配。
、SSH、或者Telnet登录设备,不显示web页面?
确认登录的接口是否允许通过这些方式登录,可以在每个接口下进行具体配置,详细配置请参见命令行配置指导或者Web配置指导。
无法打开ACG的WEB页面?
查看接口下是否配置了HTTPS访问控制,查看是否开启了管理员证书认证功能但并没有对应的证书。
管理员”,“添加管理员”页面中的"管理IP/掩码"的作用是什么?
可在"管理IP/掩码"输入框中以"IP/掩码"的形式设置用户主机的IP和掩码,用户登录时,如果用户名、密码正确,并且用户的主机地址与其设置的任意一组IP和掩码与运算的值相等,就可以成功登录。如果用户没有设置"管理IP/掩码"或任意一组"管理IP/掩码"设置为",新建恶意URL白名单后还是不能访问,只能是/test/, retry = 0
多条链路,配置基于负载,当某个dns链路出接口没有路由时,还是会负载DNS报文,选到有路由的就发出去,选到没有路由的就发不出去,就会造成部分网络不通。
多条链路,配置基于优先级,当优先级高的没有到dns服务器端路由的时候不会切换到优先级低的dns链路发送,会造成网络不通。
策略中的地址对象会去DNS模块查询匹配,当查询到DNS模块中的IP和域名的对应关系后,在将原策略中调用的域名对象与IP关联来实现策略控制,所以会有短时间的时间差。
没有配置设备为DNS代理,客户端B配置设备为DNS代理,客户端A发出经过设备的DNS请求,之后客户端B也发出相同域名的DNS请求,设备在对B的请求处理过程是怎样的?
(1) 在透明代理模式下,当A经过设备的DNS请求收到响应后,在设备上会产生该域名的动态缓存;如果B再向设备发出请求,当设备存有该域名的缓存,并且该缓存的TTL时间没有减到0,那么设备将该缓存直接转发给B,作为DNS响应;如果该动态缓存已经老化,即TTL时间减到0,则向DNS代理的服务器发出请求。
(2) 在全局代理模式下,当A经过设备的DNS请求收到响应后,在设备上不会产生该域名的动态缓存;如果在B向设备发出请求时,当设备存有该域名的缓存,并且该缓存的TTL时间没有减到0,那么设备将该缓存直接转发给B,作为DNS响应;如果该动态缓存已经老化,即TTL时间减到0,则向DNS代理的服务器发出请求。
在扫描攻击防御中启用加入黑名单功能后,当一个IP地址被识别为攻击源后,会被自动加入黑名单,并在设定的时间丢弃所有该IP发送的报文。
地址为什么还能提交成功?
新建已存在黑名单,会进行替换,下发成功后会替换之前的名单,并且不会增加黑名单条数,如果已经满规格,进行新的配置,才会给出已超过规格的提示。
小时、最近1天、最近1周数据统计的刷新间隔是多少?
统计集中最近1小时的刷新间隔是1分钟刷新一次,统计最近1天的刷新监控是10分钟刷新一次、统计最近1周的刷新间隔是60分钟刷新一次。
近1小时流量趋势图中,将鼠标移动到每分钟上,会显示当时的流速即1分钟内流量的平均值;近1天流量趋势图中,将鼠标移动到每整10分钟时,会显示当时的流速即10分钟内流量的平均值;近1周流量趋势图中,将鼠标移动到每整小时时,会显示当时的流速即1小时内流量的平均值。
统计集中用户的类型包括匿名用户(IPv4用户及IPv6用户)、静态绑定用户、本地认证用户及第三方认证用户。
对于不同的系统平台,统计集所显示及统计的用户及应用的规格是不同的,可以通过命令display flow-account specification查看规格。
统计集每个应用的总流量为上下数据加下行数据统计出来的总流量,其中总量值后边小数点两位进行四舍五入,所以会造成上行+下行大于或小于总流量现象,误差小于1%。
统计集右上角有一个刷新按钮,页面不会自动更新,当用户设置统计集按最近一小时、最近一天、最近一周时,后台分别以1分钟、10分钟、60分钟进行更新,此时前台页面需要手动点击<更新>按钮进行刷新页面。
统计集每个应用的总流量为上下数据加下行数据统计出来的总流量,其中总量值后边小数点两位进行四舍五入,所以会造成上行+下行大于或小于总流量现象,误差小于1%。
统计集暂时不支持HA,即主墙数据不会同步到备墙,当HA主备切换后,备墙开始记录数据。
统计集数据目前不能保存,也不能随配置导出再导入。
多少?其它应用是什么?
饼图默认显示流量最高的10种应用以及其它应用,即Top10+1,其它应用是指应用总流量小于访问这才是包含关系。
手机广告对象弹出只有置中与广告对象上下左右不一致。广告对象位置信息只针对PC端生效,移动端全屏显示。支持配置多张图片,以轮播的形式展示,最多支持4张,且每张图片支持广告URL及描述配置。
广告推送如果跨网段推送广告。需要在下联用户的入接口开启http服务(推送模板需要基于设备的一些js库,需走设备入接口http服务)。
手机端UC浏览器需要关闭广告过滤推送的广告才能显示。
腾讯微博和新浪微博内置了域名白名单不会弹送广告。
某些网站安全检查走的是云加速,存在302跳转导致无法打开。开启云加速功能后无法抓到第一个GET包,目前手机qq浏览器需关闭“云加速”后才能够弹出广告。
163和126邮箱页面和广告模板存在兼容问题,不推送广告。
由于某些网站类型限制,导致插入广告后会存在网页打不开现象。网页刷新三次后可以打开(为了提高推送广告的成功率,广告间隔60秒里推送2次)。
主备环境下广告推送使用
由于图片不支持HA主备,存在一个问题。在主墙配置好广告推送后,当主备发生切换后由于广告图片不支持同步,导致备变主后,图片为空,只有图片名称。此时需要手动删除广告对象里图片并且重新上传图片,广告功能才可使用。
每张图片默认展示3秒在加上1秒缓冲就是4秒,最多展示4张图片也就是4*3+1一共13秒。
广告推送白名单(只有命令行)。支持域名白名单(针对目的域名规格256条);支持基于源地址对象的广告白名单(规格256条)。
策略匹配顺序从上向下,如果上面策略匹配到的话,下面策略就不会在匹配。
广告策略里启用禁用是跳过当前这条配置;动作不推送,相当于命中这一条策略截止不继续往下匹配。不启用还得往下匹配。
每张图片上传大小最大是2M。
广告策略配置多个广告对象时。Pc端广告展示全部生效,移动端只生效一个,广告图片随机展示。
由于edge浏览器框架跨域不支持广告推送。
目前只支持HTTP网站弹送广告,不支持HTTPS网站弹送广告。
广告对象里图片需要删除替换时,当只有一张图片时不能删除,需要先添加新的图片上传后,才能删除需要删除的图片。
华为手机今日头条app的链接打开后广告会一直轮播无法关闭,原因是app与广告模板不兼容,不支持推送广告。
网站类型使用http方式访问网页打不开
https网站类型使用http方式访问网页打不开,http页面访问被301重定向到https页面,导致无法显示。需要以https方式打开https类型的网站。
开启广告推送后访问部分网站广告可以弹出来网页也正常显示了但是过了几秒网页变成黑色,需要将该网站加入域名白名单,不推送广告。
广告推送只对域名方式的URL访问生效,对IP方式访问的URL不推送广告。
软件限制,策略重名时图片无法恢复,文字可以保留。
IP/MAC条目设备不能及时学习到该IP的数据如何处理?
开启跨三层扫描及MAC-IP绑定后,交换机下的新用户IPMAC如果不能及时学习到,数据直接放通,在线用户列表中的MAC会显示成三层交换机的MAC。
MAC不在扫描列表中用户数据处理流程?
如果交换机的MAC不在跨三层学习交换机列表中,直接拿数据MAC与IP-MAC绑定表比对。
MAC在扫描列表中用户数据处理流程?
如果交换机的MAC在跨三层学习列表中,先遍历IPMAC学习表获取真实MAC,然后再与IP-MAC绑定表比对。
配置更新时间为30s,扫描开始后串行逐个扫描,待所有交换机扫描完毕后等待30s再开始下一轮扫描。
如果旧表中有对应mac,则更新老化时间,如果没有,则新增。对于旧表中有但没有新学习到的mac,等老化后删除。
MAC扫描的学习过程是什么?
正常情况下,全局开启跨三层扫描后启动老化定时器,30分钟执行一次老化,然后更新定时器的时间进行下一次老化,如果条目达到59000条,触发定时器快速老化(记录本次快速老化的时间),然后刷新定时器为30分钟;当再次达到59000条时,if判断当前时间-上次快速老化时间〈10分钟,什么都不做;否则触发定时器快速老化(记录本次快速老化的时间),然后刷新定时器为30分钟。
跨三层学MAC交换机规格是多大?
64,最多可以添加64个交换机。
同一个小米手机会带多个终端型号:如MI2会同时带MI2、MI2S的终端标识,终端类型会显示成先识别的终端标识,这样就可能会把MI2识别成MI2S。
同一个小米手机会带多个终端型号:如MI2会同时带MI2、MI2S的终端标识,为防止误识别,小米手机型号不能做为用户唯一的标识。
环境防共享监控用户列表不能同步到备设备?
目前暂不支持防共享监控用户列表HA主备同步,主备切换后需要重新检测共享终端。
阻断提示中<frozen-time>的单位是动态显示的,大于1分钟时会自动以分钟为单位,小于1分钟时会自动以秒为单位。
支持本地认证、短信认证、微信认证、免认证、Portal server认证、AD域单点登录、混合认证。
支持本地认证、短信认证、微信认证、免认证中一种或多种认证方式组合。
如从/wiki,附截图说明如下。
未认证情况下用户微信能收发消息?
为了实现微信内置浏览器弹Portal,默认放通了(DNS报文会封装到这个域名的报文中)、(获取用户OpenId)的流量,不认证的情况下微信能正常收发消息,因为微信收发消息被封装在的报文中了。
微信内置浏览器中大部分应用都部署在微信服务器上,访问时报文已被微信私有协议mmtls加密,导致不能弹portal,此类url host一般是。
苹果手机不支持扫码认证,在微信扫码认证时,因为微信需要获取root权限打开手机无线,苹果手机没有开放root权限,安卓手机默认都开放了root权限。
强制关注功能支持订阅号吗?
强制关注支持订阅号和服务号,但强制关注所用的订阅号和服务号必须是已通过微信官方认证的,否则没有权限获取access_token。
在开启强制关注后,若有两个及以上门店使用同一个微信公众号,则需要搭建第三方token服务器,并将token-url设置为token服务器的地址,否则会导致强制关注功能异常,因为门店ACG网关每105分钟会去微信公众号更新access-token,一旦access-token更新就会失效,这样就会导致同一时间总有一个门店获取关注用户列表失败的情况,设置一个token-url间接获取token就能避免这样的情况出现。
电脑端弹出的portal微信二维码一段时间后超时,提示:服务器繁忙请一分钟后刷新重试?
原因:微信客户端一次请求的等待时间为10s,请确保后台认证服务器在微信客户端向authUrl发送请求10s之内返回AC认证结果,即http返回码。超过10s未返回认证结果将视为认证失败。
用户源MAC获取方式因组网环境不同会有差异:
二层组网:直接获取报文中的用户源MAC,显示到日志中。
三层组网:不开启SNMP跨三层MAC学习功能的话,也是直接获取报文中的用户源MAC,显示到日志中。如果开启SNMP跨三层MAC学习功能,先取报文中的源MAC同交换机列表中的MAC进行比对,如果匹配到,则到该交换机列表中获取真实的源MAC显示到日志中,如果没匹配到则显示报文中的源MAC。
免认证方式是一种支持用户自定义认证portal进行广告宣传,同时不需要输入账号即可实现快速上线的认证方式,可提升用户体验。用户访问网页时被重定向到已定义好的portal页面,点击登录按钮即可完成认证流程。
用户第一次接入网络时会弹portal认证页面,用户按照要求输入正确的用户名及密码后完成认证并成功上线,此时设备会将该用户的MAC加入到无感知列表,当用户下次上线时先查无感知列表,如果用户MAC在无感知列表中,设备自动完成认证,将用户无感知上线,简化了认证流程,提升了用户体验。
用户认证上线后,设备将该用户的MAC加入到无感知列表,当用户下线后,设备启动超时定时器,在超时时间范围内用户再次上网可以无感知上线,若大于超时时间,设备会将该用户MAC从无感知列表中删除,此后用户下次上线时需要重新输入账号密码进行认证。
无感知认证支持跨三层组网,但需要在设备上开启SNMP跨三层MAC学习功能,以获取用户的真实MAC。如果未开启SNMP跨三层MAC学习功能,会把报文中的三层设备的MAC加入到无感知列表,从而导致三层设备下的用户都可以无感知上线了。
本地认证、短信认证、微信认证都支持无感知。
(1) 用户超时下线,并非用户自己主观行为,所以应该支持无感知,让用户没有重新认证的感觉。
(2) 用户被管理员踢下线,证明用户存在一定的异常,针对异常用户肯定不能无感知。
(3) 用户主动注销,证明下线是用户主观的行为,不想在不知情的情况下再次上线,所以也不能支持无感知。
通过如下命令检查用户上线后MAC是否被加入到无感知记录表中:
混合认证就是在用户认证时提供多种认证方式供用户选择,用户可根据需要灵活切换认证方式,混合认证目前支持微信认证、短信认证、本地认证、免认证四种认证方式。
在混合认证里既可以选择单一的认证方式,同时也选择1种至4种的认证方式。
不一样,混合认证的模板是轮播模板,支持广告轮播。然而其他认证模板是默认模板。
获取短信验证码,在浏览器B上输入手机号和验证码,是否能短信认证成功?
无法认证成功,短信认证与浏览器是绑定的。
不包含短信认证的配置,所以导出的设备配置不包含短信认证配置。
微信白名单就是认证方式选择为微信认证,配置微信白名单以后,可以免认证上网。
全局白名单针对的是所有的认证方式,而微信白名单针对的是微信认证这一认证方式。
微信白名单在混合认证方式中不生效,因为混合认证方式会弹混合认证风格的认证界面,支持认证方式手动切换,如果混合认证中包含微信认证方式,弹portal之前无法确认用户是否会选择微信认证,即使用户选择了微信认证,也无法匹配白名单了,因为白名单的流程是在认证弹portal之前,弹portal后再命中白名单违背了白名单的设计初衷,即配置白名单的用户是不会弹portal的。
弹porta警告非安全怎么办?
由于https是加密的,访问https页面就需要ssl证书,所以手机访问部分https网页的时候,会弹出一个警告信息,部分https网站提示完可以继续访问,但是也有部分网站直接禁止继续访问该页面。这时候可以换一个浏览器或者换一个https网页重新访问。
弹出portal以后没有认证为什么可以正常打开网页?
因为微信认证中,由于用户与微信服务器的交互都是https加密的,对于PC端而言,打开https网页弹出portal以后,流量会自动放通一分钟,以便用户能与微信服务器通信完成交互生成二维码信息,对于移动终端而言,弹portal后点击“一键唤醒微信连wifi”的按钮后流量会自动放通一分钟以便正常唤醒微信,完成接下来的认证流程。
由于不同的浏览器对一些流行的购物网站(如京东、淘宝)或门户网站(百度)证书安全级别有强制保护检查,浏览器检测到https弹portal的行为证书不合法,则不会继续访问portal页面,导致无法弹portal,此外对于银行https网站都无法实现弹portal。
IE11浏览器有合法证书强制检查,不信任的证书网站不允许用户继续浏览,进行强制保护,导致设备无法对https网站弹portal。
类型网站时没有弹portal?
通过门户网站间接访问的其它网站,由于有些网站本身点击跳转时不是访问的目的网站的真实网址,而是还会通过门户网站提供的一个特殊的地址访问后再重定向到最终想要访问的网站的真实地址。对于这种https加密的方式进行访问的网址不支持https弹portal认证。
类型的网站弹portal?
配置本地web认证或者其它认证方式,保证认证地址能进行正确认证,就能在访问https类型网站时弹出portal。
页面,会出现弹出认证页面很慢的情况?
这个现象是由于浏览器针对不安全页面进行的一个安全提示,属于浏览器的一个易用性功能,因为显示等待一段时间,目的就是提示用户,这个是不安全的。用户不选的话,等待一会浏览器还会自动前往。这个属于浏览器的易用性考虑。
类型网站时有的浏览器无法弹出portal认证界面?
是由于浏览器本身的拦截造成的,由于浏览器本身的拦截,请求并没有发起,而是直接被浏览器处理掉了。
https弹Portal功能非常耗性能,在用户量较大时会导致Portal页面弹不出来,影响用户认证,所以默认情况下不使能,并且不建议在大流量场景下开启此功能,使能命令user-policy https-portal enable。
弹portal通过认证后不支持自动跳转?
https网站是加密的,无法实现自动跳转或跳转到指定的重定向URL,包括由于访问https网站被策略阻断后也无法推送阻断提醒页面。
伪portal抑制使用的是refresh脚本方式进行重定向,客户端收到重定向报文后需要解析脚本成功后才能访问Portal页面,与302重定向不一样,因为一般的软件不会解析脚本,所以就不会发起访问Portal的请求,在一定程度上就减轻了无效的访问对设备造成的压力。
重定向是一定起作用吗?
不能排除部分软件可以识别refresh。这个功能是能在趋势上减少请求量,不能保证所有软件都会起作用。
重定向能有效抑制所有的软件吗?
refresh重定向不一定能有效抑制所有的软件,只是说会减少一部分不会识别的refresh脚本的软件。
微信认证强制关注就是用户需要关注客户公众号才能在认证成功后持续稳定上网,否则会在5分钟内被设备踢下线。
不需要,强制关注实现原理是:用户无论是否关注过公众号,均可以正常弹portal完成微信认证,当用户通过微信认证上线后,设备会定期(5分钟一次)与微信公众平台交互获取对应公众号关注列表,如果用户上线后不关注公众号,关注列表中没有此用户,那么设备会把此用户踢下线,防止用户蹭网。所以如果在微信认证成功后要想持续稳定上网,建议在完成认证流程后点击关注公众号。
认证模板设置包含本地认证、微信认证、短信认证、免认证的弹出portal页面的风格自定义,同时增加了轮播模板,可用于以上四种认证方式,即每一种认证方式都包含两套模板:默认模板以及轮播模板,轮播模板支持3张背景图片循环播放。
认证模板预览支持认证方式切换效果的展示,但目前尚不支持此功能。
策略查找界面提供基于以下维度的搜索功能:
以上搜索中多选条件项,每项最多可以同时选择8个对象。
同一个条件内部是或的关系,只要包含其中一个对象即可。条件与条件之间是与的关系,必须全部满足才可以搜索成功。
地址本域名是指在地址对象中支持添加域名方式的对象,并支持在其他策略中引用。
地址本域名支持添加域名形式的地址对象,设备会将域名解析成对应的IP地址,在策略匹配过程中实际还是直接匹配的IP,如果发现策略命中不生效,检查设备是否配置了DNS,以及查看域名是否成功解析成了IP地址。
NAT44支持端口复用,只要一条流的DIP、Dport、portocol有一个参数不一样就可以转化成相同的源端口。
NAT44端口分配是随机的,从尚未使用的端口号中随机选择一个进行转化。
目前仅支持华为E3372联通版本的4G网卡。
情况下停流后仍然不能成功拨号?
设备在CPU100%的情况下会出现大量丢包,拨号报文发不出去,在连续发10个包后,没有响应,会导致lcp down,然后报close事件,根据PPP状态机,PPP切换到closing状态。
不再主动发包,等待up事件触发,所以需要接口shutdown、no shutdown。
目前支持基于权重负载和优先级负载两种方式。
选路的规则是按照链接哈希,结合权重完成选路,同一链接的所有转发要求使用同一个接口完成。
关于父子链接的应用:sip,h323,pptp,ftp,tftp等要求主从链接必须使用同一个接口完成转发,使用源地址hash,这样就可以保证同一源地址的所有请求使用唯一接口完成转发。
负载均衡策略添加的出接口,按照由上到下的匹配顺序,进行转发。
这里的优先级需要明确,最优链路出现故障,则使用第二优先级的链路转发,一旦最优链路恢复,则新的链接使用最优链路完成转发,旧得连接在原有的接口上维护。
(2) 最优链路出现故障,则使用第二优先级的链路转发,一旦最优链路恢复,则新的链接使用最优链路完成转发,旧得连接在原有的接口上维护。
新版本的会话保持功能,使用源地址hash,这样就可以保证同一源地址的所有请求使用唯一接口完成转发,如FTP控制流和数据流走同一链路,同一用户的请求能持续在同一个链路进行负载,避免网银等业务不可用。
新版本暂时不支持过载保护功能。
(3) 链路负载均衡出接口,最多添加8个健康检查条目,8个检查条目,只要有任何一个检测失败,认为该出接口健康检测失败,该接口状态为不可用。
(1) 默认配置排除设备的直连网段,也就是说直连网段的地址访问外网,不需要进入负载均衡流程。
新版本暂时不支持匹配应用的负载均衡。
首先匹配策略路由,未匹配上策略路由匹配负载均衡策略,均为匹配上,匹配静态路由。
(1) 链路负载均衡本身的匹配顺序,先匹配免负载均衡地址,负载均衡策略由上到下匹配。
(2) 负载均衡能够匹配正向发送的流量,无法匹配反向进入设备的流量(配置负载均衡策略,同样要配置相应的默认路由,保证目的nat功能可用)。
个用户组,剩余的用户组通过省略号代替,但是会显示具体的所属用户组个数。
用户组中引用用户的规格为2048,当所选用户超过2048个,无法全选移动到指定用户组。
用户支持批量移动,用户组不支持批量移动,仅支持单独移动。
(1) 用户导入支持追加导入,不支持覆盖导入,如导入文件中的用户与系统中已存在用户名称相同,则导入失败。回退导入操作。
域用户名同步到设备的处理
LDAP服务器用户名长度大于63字符后同步到设备用户名会截断成63字符。
LDAP服务器同步目前支持389明文传输,不支持636密文传输(加密跟服务器交互不了 身份验证不了)。
在用户管理>全局配置>第三方LDAP认证处,选择ldap组统一认证。
绑定方式对同步用户的影响?
Windows AD域不支持匿名同步用户。
AD服务器上用户名超长(大于63字符);(汉字数字字母以及@._-()[]|以外的特殊字符);单OU下大于2048个用户的。
LDAP BaseDN如果写根OU的话,同步LDAP服务器的时候会把根OU下的所有子OU以及用户全部同步下来。
同步与openldap对接,用户同步下来后,认证失败?
openldap不响应dn属性的确认请求导致,F6608及以后版本均只支持与Windows AD域服务器认证对接。
远端用户删除后重新同步ldap组后,远端被删除的用户移除用户组,本地用户没被删除,不会影响到策略。
用户认证通过后,在服务器删除认证用户并在设备上同步该OU?
主备环境下LDAP同步支持?
HA主备环境配置不会比较ldap同步下来的用户。
IPSes条件下使用LDAP认证时,IPSes认证使用用户名密码认证后,会从本地查找该用户名用户,若该用户不存在,则不会添加该用户到认证用户组。所以若使用该方式认证,需保证本地存在该用户。
LDAP定时同步设定的时间范围为0-23,例如:23,所代表的含义是时间整点为23点的一个小时时间段内均为自动同步的有效时间,即23:00-23:59为自动同步有效时间。
从老版本升级到F6608版本后启动过程中打印% Unknown command: bindtype simple,这个是因为在F6608上绑定方式做了修改,删除了通用绑定方式,只保留了简单和匿名两种方式,所以如果升级前是通用,建议先删除,修改为匿名或简单绑定方式,然后再进行升级,避免配置丢失。
(3) 源接口和监控接口不能是同一个物理接口,要么配置为源接口,要么配置为监控接口,不能同时配置;
(5) 在线业务口不可配置为监控接口(在线业务口即为现网在跑正常业务的物理接口)。
设备packet buffer数量使用率超过3/4,可通过display statistics fpa命令中PKI_POOL一行查看当前的使用情况,如果正常业务流量的packet buffer数量使用率未超过3/4,但匹配镜像功能后超过3/4,则会出现只镜像出部分业务流量的现象。
需要配置多条端口镜像规则,每条规则配置不同的源端口镜像到同一个监控接口, 目前端口镜像规则的源接口、监控接口只允许配置一个物理接口,无法配置多个物理接口。
不支持,由于ACG仅仅支持单台模式,因此仅仅支持本地镜像,而不支持远端镜像。
使用display statistics phy-interface命令或在web页面查看监控接口的发送的流量大小是否等于端口镜像规则源接口所配置镜像方向的流量的大小。
可以,但是镜像前要保证被镜像的源接口的流量小于监控接口真实的物理带宽,否则监控接口发送报文出现拥塞,造成系统大量丢包,影响报文正常转发,造成业务中断,因此建议使用时配置低带宽向高带宽接口镜像,尽量不要高带宽往低带宽接口镜像。
解密后,电脑必须要安装设备上导出的证书吗?
电脑必须要安装,如不安装会出现浏览器提示证书不合法无法访问的情况。
电脑端需要安正证书在浏览器的受信任根目录下,具体导入过程见【证书导入文档】。
证书有始发日期和结束日期,当导入证书以后,用户电脑当前时间小于证书的始发日期会导致证书无法使用。用户电脑当前时间大于证书的结束日期也会导致证书无法使用。
设置全局模式时,为什么显示的证书不是颁发证书?
当设备DNS设置成全局模式时,用户电脑的DNS需要指向设备的入接口,以保证DNS过设备,解密策略才能生效。若DNS不经过设备的话,解密策略不生效。
浏览器访问12306网站显示非安全连接?
Chrome浏览器原本打开的12306就是报非安全连接,并且Chrome和Firefox浏览器把全部http视为非安全连接。
串联,用户电脑应该导入哪一台的证书?
如果两台ACG串联(PC-ACG1-ACG2),ACG1证书为的dns请求报文,每10s发送一次,重试次数为3次,即如果连续三次未收到DNS服务器的dns恢复报文则认为此DNS服务器故障。
在web管理页面,网络配置>负载聚合>负载均衡出接口配置页面查看,如果DNS服务器探测失效时,DNS服务器的显示将变为红色字体,将鼠标放在dns服务器显示IP处,会有弹出框显示“此dns服务器探测失败,为故障不可用状态”;在cli下可通过命令行display lb-policy wans interface state进行查看;在dns
server后面会显示当前dns服务器成功还是失败,并且后面会有相应的标识,各状态标识含义如下:
支持保存、导出、导入配置文件的格式为.cfg格式(导入时支持web页面导出的.data加密格式的配置文件),只支持保存配置文件的数量为6个,所有配置文件占总存储大小空间为200M。
配置文件保存在CF卡中,当CF卡空间不足以保存配置文件时会进行提示;使用erase startup-config命令清除所有配置重启后不会清除掉保存的配置文件。
可使用display config-list命令查看当前设备保存的配置文件,并且会显示配置文件保存的时间点,顺序按照时间点从最新到最老进行显示排列。
方式导出配置文件时为什么配置了服务器地址和文件名称后面还提示输入服务器地址?
“copy config test.cfg ftp 192.168.2.120 test.cfg”执行的命令给识别为第一条命令了,把IP地址作为USERNAME来使用,所以导致输入?仍会提示输入FTP服务器地址。FTP导出命令是分为2个命令注册的,一个是匿名用户,一个需要输入用户名/密码;在输入IP地址和文件名称时无法区分是否是用户名、密码还是服务器、文件名称。
F6608版本后.conf配置文件无法导入设备?
F6608支持多配置文件备份时将配置文件后缀规范成了.cfg,需要将老配置文件修改成.cfg后缀后就可以正常导入设备了。
导入配置文件进行配置恢复时,设备重启过程中配置保存选项要N,不能输入Y,否则设备的运行配置会覆盖导入的配置文件,导致配置恢复失败。
逃生用户根据设备内存大小来设置存储规格?
1G内存设备存储规格为1000;
2G内存设备存储规格为5000;
4G内存设备(含小于8G设备)存储规格为1W;
8G及超8G内存设备规格为2W。
逃生功能开启,全局逃生模式的含义?
要求在逃生时所有用户均可上网、逃生结束后未认证用户均需认证。也就意味着,在逃生期间在线用户不发生变动。
逃生功能开启,已认证用户逃生模式的含义?
要求在逃生时在线用户和mac地址在已认证用户列表里的用户可以上网,其它用户不能上网。
逃生存储用户数达到规格时设备如何更新?
认证用户有保存用户数的规格限制,当,优先删除最久没有流量的用户。
逃生功能什么时候生效?
地址探测模块负责向指定的Portal服务器或着内容平台发送探测报文。当Track状态变更时,向Portal逃生模块通知Track的状态,当trach状态为不可达,portal逃生功能开始生效(探测次数和间隔时间是根据地址探测的配置来决定)。
可以,启动成功后执行命令即可。
和序列号文件夹里version有什么差别?
根目录下的version是文件里,里面放置需要更换的版本文件,序列号文件里的version只是一个放置版本号和版本名称的文件。
没有影响,只有在重启的过程中生效。
零配置启动盘启动成功后会在序列号文件夹下生成一个finish的文件。把文件删除后,还能继续生效。
零配置启动盘启动后,不论失败或者成功,show log debug即可看见日志。
不是,启动盘里可支持1024序列号。
启动配置是一个,备份文件是三个。
不能,会按照操作时间顺序导出日志。
包括应用审计日志下所包含的:IM聊天软件日志、社区日志、搜索引擎日志、邮件日志、文件传输日志、娱乐/股票日志、其他应用日志。以及网站访问日志下所包含的:访问网站日志、恶意URL日志。
不支持一次性全部导出所有日志内容,只能按指定日期范围导出日志文件,当前支持导出“今天、近三天、近一周、近一月、近三月”。
不支持,比如邮件日志里的内容和附件就不支持导出。
只支持带硬盘可以访问审计日志页面的设备才具备日志导出功能。
有,户导出的最大日志大小为25万条左右(对应的文件大小在解压后64M左右,存在一些误差),因此当数据量较大时,用户选择了近三月的数据,可能只导出了几天或十几天的数据。所以导出的日志数量为导出规格的先决条件,其次才是选择的时间范围。
当导出日志中某一天无日志记录时不生成该日期的空内容导出文件。
导出今天的日志系统只做了起始时间的判断,没做终止时间的限制,如果人为修改了系统时间,就会导出比当天时间大的日志。影响很小,基本不影响现网环境使用,只要保证系统时间是对的就行,对于设备来说,当天只要下一个起始时间就能导出正确的日志来。
不支持按查询条件导出,审计日志、系统日志、操作日志、网络层安全日志等均不支持基于查询条件导出。
告警事件的全局开关就是“启用事件告警”,取消勾选后整个功能处于关闭状态。
会话警告阈值规格是按照设备的会话规格统计的,例如设备会话限制30W,会话警告阈值就最大值就是30W条。
一般情况下,用户密码是指发送地址的邮箱登录密码,但是因为部分邮箱设置了第三方授权登录码的,密码这块就需要填写授权码。
首先检查是否配置DNS,确认与邮箱服务器正常连接后,可以点击测试邮箱有效性,如果收到邮件证明配置填写无误,如果未收到邮件,则是配置填写有错误。
重置会回到前一次的配置,并不是清空配置。
不会,只有在设备主页系统状态页面会弹窗告警。
记录到1W条日志时,会删除最初的1000条。
最大规格是500条自定义应用,如果导出超过500条的文件,则只有导进500条成功。
尽量不要选择已经被使用的端口。
不是,只需要在目标端口、IP、域名或URL任选一个填写即可。
首先用户没有识别,那就是用户地址不在识别范围内,更改用户全局配置里识别范围后,清一下会话,再匹配自定义应用流量过设备。
切换成英文版后系统日志和操作日志显示的中文日志是在中文版本操作的,对应的,如果是在英文版的操作后,切换成中文版本,日志也会有英文显示。
设备控件显示中文和操作系统语言有关,操作系统为英文版,浏览器显示设备控件即是英文。
不会,保存的配置不受切换版本影响。
(1) 用户标签是根据网站日志分类进行上报标签,设备需要开启审计策略,需要审计网站类日志
(2) 用户标签上报前必须配置imc服务器的ip地址、认证用户名、密码,否则服务器连接认证失败无法上报用户标签。
只支持配置一个上报服务器,如果重复配置的话会把之前的imc覆盖。
预定义只有56个,不支持手动创建自定义url分类,其他的id号作为预留url分类使用。默认所有URL分类均参与标签上报通过命令url-category (1-1025)user-label enable /disable限制哪些标签上报。
用户存储的最大规格为50x1024,到达规格后老化不活跃用户。
(2) 用户标签上报跨三层后,设备统计的标签信息ip还是终端的ip,mac是下联设备的mac(终端接入的是三层switch的情况下,可以配置snmp跨三层学习,设备就可以学习到终端mac(时间需要30S))。
每个用户只上报top3的用户标签,如果用户标签不足三个,使用USER_LABEL_NONE(0)填充。
用户标签信息本地配置文件存储周期为15分钟。
用户标签信息上报imc服务器周期为24小时。
目前不支持多域及子域的情况,在线用户信息未带域名信息。
单点登录启动脚本,存在被安全类软件提醒的风险。需手动添加至白名单即可。
用户上报信息已加密,包含用户名、密码。
登录数据此版本不支持防回放。
域单点登录不支持HA同步?
HA主备单点登录配置支持HA同步,但在线用户不支持HA同步,如果发生HA切换,存在以下两种情形:
新的主设备收到用户心跳报文后(默认30s发一次心跳报文),用户会重新上线,但是如果上网流量产生在心跳报文之前,则以IP做为用户名直接上线。
新的主设备收到用户心跳报文后(默认30s发一次心跳报文),用户会重新上线,但是如果上网流量产生在心跳报文之前,则会继续匹配设备上的后续认证策略,如果没有后续认证策略,则会丢弃在收到下个心跳报文之前的30s内的所有报文,后续收到心跳报文后则会重新上线。
,在线用户只显示一个账号?
在线用户只识别第一次登录的账号,避免频繁出现账号切换,目前设备是基于IP来识别用户的,无法实现两个IP一样账号不一样的用户同时在线。
基于源地址散列+权重。
为了保持一致性,同一个源的报文被送到同一个服务器处理,这里需要采取基于源地址hash的算法,同时还具有加权随机的算法,最终选择实服务器,即DNAT规则。
源ip每次都会进行匹配后进行转发。
权值越小,优先级越高。
通过发送icmp数据,检查服务器是否存活。
通过发送指定端口的tcp数据,检查服务器是否存活。
支持流量提醒功能,达到阈值后,访问http后会弹出提醒页面。
支持时长提醒功能,达到阈值后,访问http后会弹出提醒页面。
支持惩罚方式为禁止上网。
支持惩罚方式为添加到流控通道。
需配置一个非常用的服务来作为惩罚的低速通道。
https页面访问是否生效?
限额提醒页面对http生效,https页面由于是加密的所以不生效。
,但是同一个用户只能匹配最上面的一条策略,其余策略无法匹配?
限额策略根据五元组从上到下顺序匹配策略,同一个用户只会匹配到一条策略,对于限额实际应用场景来说,时长限额和流量限额是二选一的。
设备上为什么没有无线非经模块
确认设备本身是否有带硬盘,没有硬盘的设备无线非经模块在最新版本上默认不显示。
F6607及F6607P版本上无线非经功能不支持配置导出功能。
设备上没有任何审计日志
查看设备上是否有在线认证用户,如果没有在线认证用户(认证用户来源:ACG设备本身开启认证策略、通过Radius监听或者是通过第三方认证服务器发送给ACG设备),则不会产生任何审计日志,因为非经日志上报的都是认证用户产生的数据。
目前特征提取是从格式开始的地方开始提取的,一直到结束为止,目前包含内容的日志都是这种方式处理的,修改涉及范围较大,后续版本统一优化处理。
设备上收到了Radius报文,但是并未审计到Radius相关账号信息导致非经日志不产生
最新版本上Radius监听功能默认是关闭的,如果需要可在命令行配置模式下执行命令user-radius-listen enable来开启。
设备本地有审计日志,但是未产生非经日志
设备本地产生了非经日志,但是网监平台反馈未收到
所有数据上报来自同一个AP,原因是认证数据中没有APMAC字段,或者推送过来的APMAC字段与ACG设备配置的APMAC未匹配上,为了数据不丢失,如果认证数据中的APMAC字段与ACG设备上的未匹配上,ACG设备上默认进行终端地址范围匹配,终端地址范围默认是any,所以会出现所有数据都匹配到一个AP上进行上报。
该类问题主要是由于对接文档要求该字段为必填字段,但使用某些应用不一定会进行登录操作或者登录账号加密无法审计,导致无法获取到虚拟身份账号,所以此类就会填上真实身份账号。
配置导入时,AP导入文件中不能在一个AP上配置多个AP地址范围进行导入
AP配置导入格式是csv格式所致,如果一个AP上需要导入多个AP地址范围,可以将多个地址对象添加到一个地址对象组中进行导入来实现效果。
升级F6608版本注意事项
(1) 由于F6607与F6608版本非经日志字段有较大差别,升级后会重新生成新表,丢失当天的表,这样就会导致当天的审计日志丢失,但不会影响之前的老数据,所以升级时建议在凌晨12点后进行,将影响降到最低。
(2) 如果F6607版本中的场所和AP是通过数据库及脚本手动导入的数据,版本升级F6608版本后出现场所和AP不兼容,部分非经功能不可用,则属于人为因素造成,需要在F6607版本中修正不兼容部分数据,重新导入F6607版本再升级F6608版本。
升级F6608版本出现部分场所和AP下发失败,配置丢失
F6608版本上AP和场所已经按照设备内存大小做了相应的规格限制,而F6607上没有做任何限制,这样如果F6607上的场所和AP升级后超过新版本中的规格,就会导致超过规格的场所和AP无法下发,出现配置丢失,规避方法是升级到F6608版本后,使用命令wxfj-place <1-3000>修改场所规格与之前的场所数量一致,然后再次重启设备就可以保证所有场所和AP都正常下发。
回退F6607版本出现非经配置回退,基础配置为F6608配置
(2) 设备起来之后需要进入厂商配置页面-手动点击一下厂商提交,重新下发一下厂商,执行此操作原因是:从F6608回退F6607的时候需要把现有的非经相关缓存文件删除,F6607非经前端现有逻辑在设备重启的时候不会自动产生厂商对应的缓存文件(在页面配置会产生),而F6607版本场所配置页面的显示依赖于厂商对应的缓存文件,因此需要手动提交一下厂商配置。
页面提示格式化硬盘的条件
页面格式化硬盘后,设备的状态
页面提示格式化,格式完毕后会自动重启,重启后硬盘会自动挂载,WEB页面不应再有提示格式化硬盘的提示。
F6608版本已经支持UI格式化挂载硬盘的功能,如果硬盘没挂载成功,设备启动后登录页面时会直接返回显示硬盘格式化的操作按钮,可以实现一键格式化挂载。
UI上是否显示硬盘是依赖于数据库能否正常连接上,连接不上不会显示,如果数据库创建失败,则会导致硬盘无法显示,处理方法如下:
recover database重新创建数据库或格式化硬盘即可恢复正常,出现此现象一般是由于两个版本的数据库差异太大导致数据库创建失败,如果升级前后的两个版本差异太大,请升级版本后清库重启。
页面格式化硬盘后,设备的状态?
页面提示格式化,格式完毕后会自动重启,重启后硬盘会自动挂载,WEB页面不应再有提示格式化硬盘的提示。
识别模式分为“启发模式”和“强制模式”两种,默认配置为强制模式,识别范围默认配置均为private私网地址段。
“启发模式”指的是,优先将属于识别范围的IP地址识别为在线用户,并且根据流量发起方先识别源IP,再识别目的IP,如果源IP和目的IP都不在识别范围中时则将源IP识别为在线用户。
“启发模式”使用场景:对用户识别要求不严格的情况下使用启发模式,在线用户中会出现非识别范围内的用户(如:同时出现私网IP和公网IP的用户),所以统计到的在线用户数量会比较多,在此模式下需要将识别范围修改成内网实际使用的地址网段,否则会导致用户识别不精确。
“强制模式”指的是,只将属于识别范围的IP地址识别为在线用户,并且根据流量发起方先识别源IP,再识别目的IP,只有源IP或目的IP地址中的一个属于识别范围时,才会被识别为在线用户;否则此IP地址流量不受系统转发流程中用户识别后的所有功能模块限制,如:用户策略、安全策略、应用识别和审计、入侵检测、病毒防护、QOS。
“强制模式”使用场景:对用户识别要求严格的情况下使用强制模式,在线用户中只会存在识别范围内的用户,过滤掉了不属于内网地址段的用户,精简了在线用户列表,只显示用户真正关心的数据,同时提升了设备性能,不在识别范围内的IP流量不走用户认证流程,避免了对用户不关心数据的处理,在此模式下务必将识别范围修改成内网实际使用的地址网段,避免因识别范围配置错误导致的用户关心的IP地址流量不受用户策略控制的情况出现。
及以上版本识别模式变成强制模式?
老版本识别模式为启发模式,不在识别范围内的IP也能进行用户识别,并加入在线用户中,在用户量较大的场景会严重影响设备性能,所以在F6608版本做了优化,将用户识别模式修改成强制模式,这样修改后的影响及注意事项如下 :
(2) 设备开局配置时第一步要关注全局配置,将识别范围修改成内网真实有效的用户IP网段,否则会出现用户认证或应用识别以及依赖于应用识别的所有模块功能都不生效。
在线用户冻结是基于用户维度的,不支持IP维度。
在线用户踢除支持基于IP维度。
硬件只支持5米以下的线缆,如果测试发现接口不UP,请更换小于5米的线缆进行测试。
接口从地址能配置为相同网段的不同IP,不会发生冲突,这是业内的标准实现。
UTF-8编码格式,是变长的编码格式,具体如下:
占2个字节的:带有附加符号的拉丁文、希腊文、西里尔字母、亚美尼亚语、希伯来文、阿拉伯文、叙利亚文及它拿字母则需要二个字节编码
占3个字节的:基本等同于GBK,含21000多个汉字
占4个字节的:中日韩超大字符集里面的汉字,有5万多个
一个UTF-88数字占1个字节
一个UTF-8英文字母占1个字节
即少数是汉字每个占用3个字节,多数占用4个字节。
系列在更换F6608版本时出现液晶显示屏为白屏现象?
出现概率非常小,初步确认是由于硬件时钟不稳定导致,非软件bug,如果有设备出现此现象,直接更换测试设备或掉电重启来解决,出现此现象只会导致液晶屏内容不显示,对其他功能无任何影响
shut/no shut某个有4094子接口的物理口,然后手动重启设备,大量IPC报错?
软件限制,打印不影响功能。
款型,满规格配置8191个子接口后,web页面大概率出现打不开的情况?
软件限制,减少子接口数量可恢复。
