问题一:SAM/ASMM上并机在线用户踢线失败
原因:
1)SAM踢并机用户失败:SAM上的snmp community与设备的配置不一致,会导致该问题。
2)ASMM踢并机用户失败:ASMM上的全局配置中,第三方接口用户名和密码配置错误,会导致该问题。
问题二:防代理策略为不允许拖带移动终端,但用户拖带了一台手机,ASME不将该行为视为违例
原因:
该问题与ASME上配置的主用终端有关,如果现网中允许用户通过移动终端认证上网,则建议部署“不限制终端类型”对应web页面配置中“无线网络"选择"有”;如果现网中不允许用户通过移动终端认证上网,则建议部署“限制主用终端为PC”对应web页面配置中“无线网络"选择"无”。
当ASME配置主用终端类型为不限制时,如果用户的PC认证成功后,仅为手机提供代理(即PC不访问Internet),此时ASME虽然检测到用户拖带一台手机,但由于ASME未检测到认证PC的流量,此时,ASME会将拖带的手机视为合法的认证终端。
因此,除了允许用户手机、pad等移动终端进行认证的场景外,一般建议ASME设置主用终端类型为PC。
问题三:使用手机或者PC做代理上网,没有被踢线
此类问题可能是由多方面原因操作,请按照如下步骤来定位:
1. 检查SAM上的在线用户列表中是否有该用户。
若用户认证成功,但SAM上的在线用户列表中没有该用户,说明NAS上和SAM上表项不同步。
2. ASME上使用show access-share-monitor user <username>,查看用户状态
若无该用户,说明SAM与ASME的用户同步有问题,或者接入控制有问题导致用户没有同步,此时检查SAM配置和ASME与SAM的TCP连接状态。
若存在该用户,但报文和流表数为零则检查引流配置。
3. ASME检出了该用户代理,并通告给了SAM(notify状态为2)。
此时检查SAM配置,有没有开启踢线策略及是否发现代理立马踢线。
问题四:HTTP告警不生效
1、如果使用镜像口推送告警页面,请参考相关章节说明:实施指导>>防代理方案各组件配置>>ASME配置>>防代理功能配置>>场景限制说明
2、如果使用ASME管理口推送告警页面,有如下三点需要注意:
1)ASME的管理口IP和被测终端IP不能在一个网段;
2)要保证ASME管理口能够ping通被测终端;
3)HTTP告警推送只对报文目的端口为80的网页才有效果;
如果要使用HTTP告警推送功能,推荐部署ASME的时候启用管理口来推送告警,具体配置命令参考相关章节说明:实施指导>>防代理方案各组件配置>>ASME配置>>防代理功能配置>>防代理配置(命令行配置),具体WEB配置参考相关章节说明:实施指导>>防代理方案各组件配置>>ASME配置>>防代理功能配置>>防代理配置(WEB页面配置)。
如果使用ASME管理口来推送告警页面的时候,已经关注过以上注意点,但是告警页面仍然无法正常推送,则可能由于现网环境的限制,报文在转发过程中被阻断了,需要根据网络拓扑来进一步排查。
问题五:用户代理行为没有被检出
在ASME_RGOS 11.1(1)B1 Build(8)及以后版本正式提供CLI命令: show access-share-monitor user xxx,用于定位用户代理行为没有检出的原因。
该命令执行后,输出的信息如下:
ASME#show access-share-monitor user zgr1
Username : zgr1 ----------- 用户名
IP : 192.168.225.111 ----------- 用户IP
Status : Online ----------- 在线状态
Packet : 4002 ----------- 该用户的报文数量,可用于判断该用户的引流是否正常
Flows : 193 ----------- 该用户的TCP连接数量,可用于判断该用户的引流是否正常
VPN : No ----------- 是否有VPN流量
ASME-Policy : 2(0) ----------- ASME防代理策略,具体参见 售前测试指导>>售前测试方法
Sensitive level : Normal ----------- 灵敏度
Master Terminal : Any ----------- 主用终端类型不限制,PC表示主用终端为PC
Check-Delay : 30 ----------- 检测延时,单位是秒。只有超时后,才会开始发送HTTP告警
Notify-Delay : 120 ----------- 通告延时,单位是秒。只有超时后,才会通告SAM服务器
Access-share Information :
PC : 2(外网IP: 0 内网IP: 2) ----------- 检测到的PC数量(外网ip数量 内网ip数量)
Mobile : 2 ----------- 检测到的移动终端数量
Weight : 0 ----------- 权重值
Http warning : 5 ----------- 剩余的http告警次数,如果显示INF表示告警次数不限制
Http expires : xxx ----------- 表示距离下次告警还有多长时间,单位是秒,只有在实际告警开始的时候,才会显示这项信息
Http warn pkts: 0 ----------- ASME对该用户发送HTTP告警报文数
Notify Status : Not notify(0) ----------- 是否通告SAM,Notified表示已通告
Access-share Detail: ----------- 终端检测明细,主要包括:1、终端型号;2、型号是否有效;3、特征命中次数
同时给出没有检出的原因以及要达到检出效果所必要的措施
内网PC: 192.168.1.195
内网PC: 192.168.1.139
iPhone 5s (型号有效) [Hit: 120]
MI 4LTE (型号有效) [Hit: 24]
Nokia 526 (特征不足,建议在移动终端上打开多个APP,加大访问流量) [Hit: 71]
NX403A (型号有效) [Hit: 7 特征命中次数未达到阀值20,建议继续在移动终端上浏览网页,加大访问流量]
已检出PC(2)
--- <END> ---
上述示例中,IPhone 5s 以及 MI 4LTE均被检出。Nokia 526由于捕获的特征不足,因此没有检出。NX403A提示型号有效,说明已捕获到足够的特征,但是相关特征的命中次数不足,因此也没有检出。
192.168.1.195和192.168.1.139是内网PC的IP地址
关于快速检出手机和PC的测试方法,参见 售前测试指导>>售前测试方法
以下对该命令给出的所有提示,做一个说明:
1、特征不足,建议在移动终端上打开多个APP,加大访问流量 ---------- 表示还没有捕获足够的特征,当前所捕获的特征还不足以判定当前终端型号有效;
2、特征命中次数未达到阀值20,建议继续在移动终端上浏览网页,加大访问流量 ---------- 当前特征的命中次数不足;
3、型号有效 ---------- 表示已捕获足够特征,当前终端型号有效;
4、Hit: xxx ---------- 当前特征的命中次数;
5、特征命中次数未达到阀值1200,建议继续在PC上浏览网页(仅适用于单PC场景) ---------- 表示PC特征的命中次数不足,不足以判定当前环境中是否有PC;
对于建议中提到的“仅适用于单PC场景”表示浏览网页所捕获的特征仅能检出一台PC
如果要检出多台PC,参见售前测试指导>>售前测试方法
6、内网PC: 192.168.1.195 ---------- 检出的内网PC的IP地址;
7、已检出PC(x) ---------- 表示已检出的PC数量;