即:
1.企业版SAM3.95正式发布版本
2.校园网SAM3.95 2014年8月份之后发布版本
3.企业版SAM3.80之后的版本要与ASMM配套使用。
5、锐捷防代理方案V1.0中,RG-ASME是否兼容第三方的认证计费系统?
方案目前只支持和SAM认证计费系统一同配合使用,锐捷优先推荐客户使用SAM认证计费系统,因为首先能帮助客户实现一体化的运营,部署和维护一家厂商就能完成;其次能提供SU告警等差异化的价值点;最后SAM认证计费系统是业内最成熟的软件,能够满足友商软件的常用功能。当然,未来还将兼容其他厂商radius,杜绝厂商捆绑(通过兼容组件)。
6、RG-ASME设备的软件版本如何升级?
软件版本通过如下两种方式升级:U盘升级和HTTP自动升级。具体如下:
1)通过U盘升级版本
?把软件版本copy到U盘,并且把U盘插入到设备管理板上的USB接口上
?然后配置如下命令进行版本升级
?Upgrade usb0:/xxxxx 软件版本文件名称
?软件版本升级成功后,保存配置重启设备
2)通过HTTP自动升级版本
7、RG-ASME设备部署时要导入LICENSE吗?
出厂默认支持5K的用户,如果客户现场超过5K,需要额外购买LICENSE.
如果没有LICENSE授权,用户将无法使用防代理功能。通过license文件授权ASME对指定购买数量的并机用户进行代理检测,超过购买授权数量的并机用户则不做检测。
8、关于临时License授权的处理流程
当前出厂设备自带5000个用户的License,当部署的用户规模超出5000用户,需要向后台申请临时License来进行测试(注:临时授权的有效期为30天)。
具体申请操作流程如下(注:目前ASME的License统一由研发陈秀招分发,而非一线直接到PA系统申请):
1)呼入4008111000,并且按照如下根据发送邮件给对应工程师的邮箱或者和工程师沟通,发邮件到4008111000@ruijie.com.cn,邮件格式参考如下:
申请的license规模:例如 5000用户需要进行防代理检测
2) 申请License后,临时License的导入方法如下:
2、安装:ASME(config)#license install usb0:asme.lic
3、查看:ASME#show license all_license
1、将lic文件考到设备上:ASME#copy oob_tftp://192.168.225.1/asme.lic flash:asme.lic
2、安装:ASME(config)#license install flash:asme.lic
3、查看:ASME#show license all_license
目前临时License的处理方案如上,后续如有变动会及时更新,请关注RTR系统说明。
9、部署防代理方案时,RG-ASME上必须有两个口接入用户网络:一个管理口,一个引流口。需要占用两个端口,但是用户核心交换机端口紧张,怎么办?
1)管理口可以不用接在核心交换机上,可接在其他下联交换机上,保证网络互通即可。可以减少核心上的一个口的占用。
2)引流口需要直连在核心交换机上,如果端口紧张,还可以采用分光器部署方案。
10、引流镜像时,是否一定要镜像上联口的流量,镜像下联口的流量可以么?
1)如果用户采用PPPOE接入认证方式,由于下联口是PPPPOE接口,如果引流PPPOE设备的下联口的流量到RG-ASME,由于PPPOE报文还没有解封装,RG-ASME无法进行代理流量分析。所以,要采用上联口镜像。
2)如果用户采用非PPPOE接入认证方式,如果镜像下联口,会导致http-warning enable功能不生效。所以,推荐采用上联口镜像。
11、引流镜像时,是否一定要镜像上联口的双向流量?
不需要,只需要镜像上联口的TX流量即可。
12、防代理方案V1.0中交换引流部署应该怎样规划呢?引流方案中我司交换机端口镜像、MX960抽样过滤,这2种部署方式的优/劣势是什么?
根据被引流的端口是否支持镜像功能,以及是否有预留的接口来判断使用哪种部署方式。两种部署方式的区别如下:
交换机端口镜像
16、HTTP告警页面无法弹出,怎么办?
下面给出问题排查步骤:
步骤一:在SAM上的,位置:运维管理 并机在线用户管理,查看是否有并机在线用户信息
1) 如果没有该用户信息,则说明用户还没有违例
2) 如果有并机用户信息,则查看第二步
步骤二:查看ASME上的配置是否正确
Ruijie#sh run | be access-s
access-share-monitor
monitor net 192.168.225.0
mask 255.255.255.0
monitor net 172.18.0.0 mask
255.255.0.0
weight threshold 40
access-share-allowed mobile
0
http-warning
enable----------------必须配置此条,说明开启HTTP告警
步骤三:查看交换机的引流情况
1) 查看镜像配置,必须使用上联口引流。
2) 镜像配置中的目的口,是否已经开启SWITCH功能。
17、用户代理违例后是如何实现管理和信息定位的?
防代理方案V1.0部署中用户违例后,例如设置的防代理策略是先告警再加入黑名单,那么在加入黑名单前,可以在SAM的位置:运维管理 并机在线用户管理,查看是否有并机在线用户信息。在超过告警时间后,该用户会加入黑名单,此时,在SAM的黑名单中可以查看到该用户信息。
管理员可以通过手动删除并机在线用户和黑名单用户。
18、防代理方案实施后,网管员如何能够快速定位到具体的违例用户?
先查询并机在线用户和黑名单中的用户名,然后结合SAM的日志中记录用户的NASIP、Port、VLANID等信息;可以查到该用户对应的接入设备的IP地址以及用户的端口号。
19、在并机在线列表里的用户还可以上网么?
在并机列表里的用户可以上网,直到该用户由于违例,被加到黑名单里。如果用户有开启HTTP页面告警功能,那么用户也可以上网,但是打开网页的行为会被跳转到告警页面。
20、白名单功能有什么用呢?旧协议SAM是否有白名单功能?
白名单用户不会被检测代理,在实施部署时,根据实际需要,如可以把学生网管加为白名单用户。
旧协议SAM不具有白名单功能。
21、采用新协议或者旧协议SAM来实施防代理解决方案,对于用户业务来说,有什么区别和影响?
在部署方面,旧协议SAM需要手动在SAM服务器上执行SQL脚本。
在功能上还有如下区别:
22、锐捷防代理1.0解决方案配合不同的接入控制方式,如1X、PPPOE、WEB,对于实施部署和用户体验方面是否有区别呢?
对于不同的接入控制方式,只需要考虑是否需要开启HTTP告警功能。 因为1X的SU客户端有提示功能,但是PPPOE和WEB没有客户端口软件,需要另外开启告警功能。
在其他方面没有区别。
23、禁止路由器代理功能是什么?
禁止用户使用PC通过路由器上网(no router-allowed),有的学校用户,希望禁止所有的路由器代理行为,当需要满足此用户场景需求时,开启该功能。
24、ASME防代理盒子的版本说明?如何查看ASME的平台版本号和ASME组件版本号,并确认是否最新版本?
ASME平台版本=ASME组件版本+WEB组件版本,在最新发布的ASME平台版本上可以支持自动更新ASME组件和WEB组件。
1)、查看ASME的平台版本号信息:
注意:
1、最新发布ASME平台版本(在RTR系统下载)能够支持ASME组件自动升级(每天凌晨自动升级)、WEB组件的升级(当有WEB更新时,在WEB页面会有提示信息,由管理员确认后可自动升级)
2、因为版本不断更新,最新版本请以RTR系统(http://rtrcn.ruijie.com.cn/index.asp)为准。
25、防代理方案的白名单功能部署
白名单功能说明:在ASME监控到的有代理行为的用户,只记录用户的代理行为,但是不会踢用户下线。
支持白名单功能的部署场景:
1)、认证系统:RG-SAM OPERATOR_3.95DI(MISP)_Build20140827
[校园网SAM] 及以上版本+ASME防代理盒子
2)、认证系统:SAM ENTERPRISE_3.95_Build20140630或者SAM
ENTERPRISE_3.95_Build20141009及以上版本不支持白名单功能,通过增加部署ASMM组件来支持。
26、防代理方案支持证据化功能的版本
证据化功能:即在SAM上显示的并机用户明细中,可以查看到用户代理的终端类型(可以显示手机号),如下:
通过show
http-update test可以查看当前ASME组件的版本,举例如下:
Ruijie#show http-update test
update mode: auto-update
update server:0.0.0.0
update port: 80
update time: 03:00
pro SerialNo: 1234942570021
pro Name: asme1000
software:RGOS11.1(1)B1 Build(1) Release(20150206)
update oob mode: ON
app-id app-name versionstatus
------ --------------- -------------------- ------
8 0 asme10002free
当version号为10002及以上版本可以支持证据化功能
27、防代理方案误判问题常见原因及解决方案
在部署ASME防代理的过程中,会出现虽然用户没有进行代理上网,但是仍然被检测出代理行为,导致SAM踢用户下线
问题原因分析如下:
1)、部分PC安装360手机助手软件,手机助手软件在向其服务端申请软件时,会在发送的流量中带上特定的手机型号,导致被ASME识别为代理行为。
2)、手机使用的某些APP应用软件在开发的过程中内置了一些特定的手机型号,因此当手机在使用这些APP时,发送的流量中会带上其它手机型号,导致被ASME识别为代理行为。
影响的软件版本:ASME组件版本(version
10002)及以前版本
解决方案:3月20日及之后发布的ASME组件可以解决上述问题
注:PC安装虚拟机被检测出来的代理行为,当前ASME版本暂时无法解决
28、防代理方案ASME组件版本存在内存泄露的问题如何解决?
1、开启HTTP告警功能时,存在内存泄露的故障,长时间运行会出现内存耗尽而导致死机重启。查看方式如下:
解决方案:3月20日及之后发布的ASME组件可以解决上述问题
29、如何在ASME设备查看设备是否正确检测到用户的代理行为
Ruijie#debug syslog enable linux-printk
Ruijie#termi mor ------telnet的环境要加
Ruijie#sho access-share-monitor statistics
Access-share monitor statistics:
Monitor time: 170:45:15
Monitor user capacity :
available 5000
license 5000(default
5000 and installed 0)
max60000
Online user : 1 (Max 1)
Notify record counter : 2
Ruijie#show
access-share-monitor use
*Nov 27 17:24:23: %7: Online user : 1 (Max 1)
*Nov 27 17:24:23: %7:
*Nov 27 17:24:23: %7: UsernameIPasme-policydetectednotify
*Nov 27 17:24:23: %7: test1 192.168.57.540(0:0)1:00
asme-policy,这是防代理策略,允许拖带的设备数量。 格式是: 策略类型(拖带PC:拖带手机)
策略类型的值有0,1,2
0是使用ASME上的拖带策略,就是access-share-allowed mobile配置的数量
1是使用SAM配置的拖带策略,区分终端类型
2是使用SAM配置的策略,不区分终端类型
detected是检测出来的终端数量,格式是 PC数量:移动终端数量
notify就是通告状态。
0代表未检出违例
1代表检出违例,待通告
2代表检出违例,已通告
检测出来后通告给SAM,CLI上有会有类似提示如下:
*Oct 29 14:14:43: %P2360-7-DEBUG:
NS_USER_NTFY:length(118) id(2) user(wubowen) ip (192.168.231.237) monitor(1)
control(1) notes(len:50, strlen()= 50, 检出设备:PC(1),移动终端(1).移动终端明细:iPhone:1; ).
30、防代理方案测试过程中,如何快速测试出防代理效果?
一般情况下,ASME的代理行为需要接近半小时,为提高演示时的效果,有以下注意点:
1)检测时长和开的应用和流量大小有关系:流量大才更快,代理终端建议可以多开淘宝(图片页面较多),QQ上下线,360酷我音乐、浏览器上网,多次刷新页面,产生流量来触发。
2)测试时,可以根据不同情况参考配置如下。但是时间部署时,需以客户实际需求和情况来进行配置:
2.1)、需要普通的http告警方式
注:可根据实际需求灵活配置check-delay和notify-delay的时间,但如果要查看http告警的效果,notify-delay不可配置过短,否则用户来不及看到http告警,即被踢线。
Ruijie(config)#access-share-monitor
Ruijie(config-access-share)#monitor net 172.18.0.0 mask 255.255.0.0 //需要根据实际情况配置
Ruijie(config-access-share)#weight threshold 40
Ruijie(config-access-share)#access-share-allowed mobile 0
Ruijie(config-access-share)#auto-update enable
Ruijie(config-access-share)#http-warning enable
Ruijie(config-access-share)#http-warning title "禁止共享网络"
Ruijie(config-access-share)#http-warning content "根据安全策略,禁止共享网络行为,您的网络连接已被限制。请停止共享网络,并重新进行上网认证,否则您将被强制下线,谢谢合作!"
Ruijie(config-access-share)#notify-delay 300 //notify-delay=300s:http告警300s后,ASME通告SAM把违例用户踢线
Ruijie(config-access-share)#check-delay 30 //check-delay=30:ASME检测到用户违例30s后,开始http告警;
Ruijie(config-access-share)#sensitivity-level high
Ruijie(config-access-share)#master-terminal pc
2.2)无需http告警:
注:只需要ASME能够快速检测到用户违例,然后将违例用户踢线、加黑。该配置,重点是快!用户拖带的手机只刷浏览器的话,30s内,就能被踢线,若觉得30s太过迅速,可适当调高notify-delay的值
Ruijie(config)#access-share-monitor
Ruijie(config-access-share)#monitor net 172.18.0.0 mask 255.255.0.0 //需要根据实际情况配置
Ruijie(config-access-share)#weight threshold 40
Ruijie(config-access-share)#access-share-allowed mobile 0
Ruijie(config-access-share)#auto-update enable
Ruijie(config-access-share)#http-warning enable
Ruijie(config-access-share)#http-warning title "禁止共享网络"
Ruijie(config-access-share)#http-warning content "根据安全策略,禁止共享网络行为,您的网络连接已被限制。请停止共享网络,并重新进行上网认证,否则您将被强制下线,谢谢合作!"
Ruijie(config-access-share)#notify-delay 5 //notify-delay=5:http告警5s后,ASME通告SAM把违例用户踢线
Ruijie(config-access-share)#check-delay 5 //check-delay=5:ASME检测到用户违例5s后,开始http告警;
Ruijie(config-access-share)#sensitivity-level high
Ruijie(config-access-share)#master-terminal pc
2.3)ASME最新版本对http告警方式做了改进:
注:部分试点客户认为用户只要打开浏览器,即弹出http告警,这种原始的http告警方式不够好,因此,对http告警方式做了如下改进:可自定义告警持续时间,如配置告警持续时间120s,即在这120s内,用户打开浏览器,才会弹出http告警,120s过后,用户可正常访问浏览器。
Ruijie(config)#access-share-monitor
Ruijie(config-access-share)#monitor net 172.18.0.0 mask 255.255.0.0 //需要根据实际情况配置
Ruijie(config-access-share)#weight threshold 40
Ruijie(config-access-share)#access-share-allowed mobile 0
Ruijie(config-access-share)#auto-update enable
Ruijie(config-access-share)#http-warning enable
Ruijie(config-access-share)#http-warning expires 120 //违例用户打开浏览器会持续告警120s,120s后用户能正常访问浏览器。在ASME通告SAM对违例用户进行处罚前,每隔10分钟,会弹出一次http告警,每次持续120s,最多持续告警5次。
Ruijie(config-access-share)#http-warning title "禁止共享网络"
Ruijie(config-access-share)#http-warning content "根据安全策略,禁止共享网络行为,您的网络连接已被限制。请停止共享网络,并重新进行上网认证,否则您将被强制下线,谢谢合作!"
Ruijie(config-access-share)#notify-delay 3600 //notify-delay=3600:对违例用户告警3600s后,ASME通告SAM对违例用户进行踢线加黑等操作。
Ruijie(config-access-share)#check-delay 30 //check-delay=30:ASME检测到用户违例30s后,开始http告警;
Ruijie(config-access-share)#sensitivity-level high
Ruijie(config-access-share)#master-terminal pc
注:上述各个命令的功能解释如下:
ASME上可通过命令show
access-share-monitor use查看防代理检测效果,看到的notify值会从0变化到2,当notify值从0变到1,表示ASME检测出用户的代理行为,当notify值从1变到2,表示ASME等待一定延时后将用户代理行为通告给SAM。如下将给出check-delay、notify-delay、sensitivity-level值对ASME的检测时长的影响:
sensitivity-level灵敏度高低决定:
notify=0——>notify=1的时间,配置为high则检测出代理用户的时间更短(实际部署中建议使用缺省值normal,避免误判率增高)
check-delay+notify-delay之和等于:
notify=1——>notify=2的时间
check-delay默认值:15分钟
notify-delay默认值:30秒
31、核心交换机镜像目的口使用Aggregate Port,ASME的互联端口怎么配置?
ASME的端口直接和核心交换机镜像目的口互联即可,不需要特殊配置,当ASME开启http告警功能,在收到镜像目的口同步的http报文时,发起http告警时会向核心交换机的镜像目的口同步报文,需要注意的是镜像目的口需要增加switch的配置,确保ASME返回的报文能被交换机正确转发到下联用户。
32、核心交换机镜像使用一对多镜像,导致无法配置镜像目的口的switch功能,如何让ASME的http告警功能生效
由于镜像目的口无法配置Switch功能,将导致ASME返回的http告警报文无法被交换机转发到下联用户。现可升级至RTR上最新版本解决(截止2015年10月5日,最新版本为11.1(1)B1 Build(5) ),该版本支持通过Mgmt口发送http告警功能。
注意:因为版本不断更新,最新版本请以RTR系统(http://rtrcn.ruijie.com.cn/index.asp)为准。
33、ASME检测一段时间,出现部分用户未部署代理但是被识别有代理行为(如用户使用视频看电影,一个小时后被踢下线)
该问题属于误判问题,首先确认一下ASME组件的软件版本,show http-update test,显示的version信息如果低于10003,建议进行版本升级。在RTR系统交换机目录下查找ASME最新软件版本,并通过WEB或者tftp方式升级。
其次,确认一下SAM、ASME中可疑度设置,建议配置为缺省的数值,40%
SAM上的配置位置:
ASME上的配置位置:
