1、SAM版本与ACE的组件版本配套关系
|
组合 |
版本匹配关系 |
实现的功能差异 |
|
|
|
SAM |
ACE |
|
|
一 |
3.49 |
硬件:v1.0、v2.0、v3.0 软件:2.8.27-Alpha12 |
基础版本 |
|
二 |
3.50 |
硬件:v5.0 软件:3.4.0(126) |
基础版本 |
|
三 |
3.80 |
硬件:v1.0、v2.0、v3.0 软件:2.8.27-Alpha12 |
在组合一的基础上,增加SAM的易用性、修改了集群方案 |
|
四 |
3.81 |
硬件1:v1.0、v2.0、v3.0 软件1:2.8.27-Alpha12 硬件2:v5.0、ACE5000 软件2:4.0.01 |
在组合三的基础上,增加对ACEv5.0、ACE5000的联动支持 |
2、SAM同时与ACE、NTD联动计流量,用户流量不准确
SAM同时与ACE、NTD联动计流量导致用户流量统计出错,在五位一体解决方案中只推荐SAM与两台ACE联动的场景,详细请参考五位一体解决方案一本通文档。
3、纯准出环境下,用户访问特定资源免认证功能如何设置?
在【SAM认证配置】à【IPFIX策略】中设置源和目的地址,并指定动作为Campus
4、如何设置web认证保活页面通告栏的地址可动态访问
在ePortal管理页面中“系统通知”中添加如下信息:<a
href="http://192.168.123.100:8080/selfservice/"
target="_blank">自助终端</a> 用户web认证成功的保活页面中可以看到相应的url可以直接点击访问,访问效果如下:
5、纯准出认证用户在认证前需要放通哪些报文?
在ACEv5.0硬件,软件版本2.8.40、3.4.00(126)版本,做纯准出认证时需要配置ACE策略放通HTTP报文,同时需要放通DNS
、ARP、UDP、TCP、non-stat_udp、non-stat_tcp、analyzing_tcp、analyzing_udp等报文。
6、ACE认证配置(如下图)中各个选项的含义
状态监测:ACE与SAM的心跳功能,开启后,ACE监听SAM发送的心跳报文(tcp.port=2009
code=10),当ACE在2分钟内没有收到SAM发送的心跳报文就会自动转入Bypass状态。保证内网的用户不因为SAM和ACE无法联动而无法访问外网。
启用:ACE启动与SAM的联动功能。
IPFIX:ACE启动IPFIX功能;用户访问外网的流量信息是ACE通过IPFIX报文传给SAM。
NoFlowEnable:无流量检测功能,当用户在一定时间内没有流量通过ACE时,ACE通知SAM踢用户下线。
AvailableEnable:可用流量阀值检测,此处配合SAM上的用户剩余流量检测的功能使用。
NoFlowTime:与SAM无流量阀值检测功能同用,设置检测的时间周期。
NotifyEnable:此字段保留,暂无实际应用。
7、用户在web认证页面选择“内网服务”或者“外网服务”提示"所在区域无法使用本服务“
在ePortal管理页面中的“内网服务”和“外网服务”与SAM用户模板套餐配置中的“服务”名需要设置一致。配置关系如下:
8、SAM与ACE report联动实名日志、SAM、ACE与ELOG联动实名日志的设置
1)、确保SAM、ACE、ACE report、ELOG系统时间一致;
2)、SAM配置“第三方上下线消息通知”启用
3)、ACE report的参数配置中,配置联动的SAM IP
4)、Elog “系统参数配置”中radius服务器配置配置radius服务器地址,如果是集群环境需要同时配置主从机的实IP
9、ACEv5.0硬件双桥同时与SAM联动出现异常
ACEv5.0硬件使用双桥同时与SAM联动时,需要将双桥配置成虚拟桥;(ACEv1.0--ACEv3.0硬件可以支持双桥分别与SAM联动。)
虚拟桥的配置方法:
1)、登录ACE设备WEB界面,进入【策略管理】->【桥组】配置页面,选择【启动配置】,点击【添加】,可将设备物理链路合并为逻辑链路
2)、选择合并链路,保存后返回至配置界面,点击【应用配置】应用桥组配置:
注意1. 应用桥组时会将设备恢复出厂设置
注意2. 重启设备后桥组生效
10、ACE向SAM同步的用户流量报文间隔时间
ACE在用户流量达到或者超过10M时向SAM同步用户的流量信息(通过IPFIX报文);当用户流量不足10M时,ACE每10分钟同步一次用户流量给SAM。
11、SAM无法查看ACE同步的用户网关流量
在线的用户:查看SAM【运维管理】-->【网关实时流量查询】,如果无信息,可以等待10分钟左右再次查看
下线的用户:查看SAM【运维管理】-->【网关流量查询】
12、五位一体环境中流量检测功能有哪些?
1)、无线环境中,在AC上配置用户流量检测功能,配置命令对用户一段时间内的上网流量进行检测,web-auth
offline-detect flow idle-timeout 1 threshold 20(表示1分钟内用户流量小于20bytes通知SAM用户下线信息);
2)、无线环境中,可以使用AP的STA检测功能,当STA断开5分钟以上,AP检测到STA断开会同步告诉AC用户已经下线,由AC发起下线通知,保证SAM的用户信息与AC一致;
3)、纯准出环境中,ACE开启流量检测功能,可以在一段时间内检测用户是否有流量,如果没有流量即通知SAM用户无流量,由SAM踢用户下线。
13、对web认证用户异常下线的检测机制
1)、ePortal的页面保活功能:缺省情况下,ePortal服务器以15分钟为周期检测用户认证成功后弹出的保活页面是否正常,共检测5次;当用户的保活页面异常关闭后,ePortal在检测时间内(即75分钟)与用户的保活页面无任何交互,则通知SAM踢用户下线。
2)、有线接入交换机如S26E、S29E也支持流量检测功能,但是设置只能在15分钟内无任何流量的情况下才能踢用户下线,功能上没有无线交换机的实现灵活。
14、SAM与双ACE联动部署的注意事项
1)、校内用户访问外网时,在核心设备上做好策略路由部署,确保用户来回路径一致,避免某用户的上下行流量经过不同的;
2)、如果两台ACE做为互备,需要在两台ACE上配置相同的策略;
3)、两台ACE上的用户流量检测功能需要关闭,SAM会同步所有在线用户信息给两台ACE,如果用户无流量通过某台ACE将会被SAM踢下线。
15、SAM与SMP.edu pro联动时的版本配套关系
版本配套关系:SAM3.50、SMP.edu Pro_1.1(p2)_Build20120412、SU
V4.63、接入交换机升级到最新正式发布版本
16、ACE认证服务器配置中重定向速度参数的设置建议
重定向速度这个值的含义是在每秒钟发送多少次http重定向。如果设置为1的话,在同一秒上网,第二个用户就无法实现http重定向。所以就不能认证。在3.4.00(126)版本上已经添加了单位“次/秒“,如果用户少的话,建议值设置为最大在线IP的10倍。
注意:最大值设置为10000,假如这个值太大会影响ePortal的性能。
17、ACE管理页面“重定向”功能的作用是什么,与五位一体是否有关系?
重定向是做为ACE自身的功能,与联动无任何关系;重定向的实现效果是用户每天第一次上网(或者每次上网)时,ACE会向用户返回一个URL页面,比如向用户推送一个公众页面。
18、准入准出认证的环境中,如何实现用户选择内网服务时,通过浏览器访问外网资源时提示“当前不能访问外网,如果需要访问外网,请使用锐捷认证软件进行切换”
在802.1x准入准出环境中,需要增加部署一台ePortal服务器。部署要求:
1)、在ACE的认证服务器配置中,需要启动重定向检测,并输入正确的重定向URL;
2)、在ACE的策略中心配置一条策略放通DNS、HTTP等协议(参考纯准出环境下需要放通的协议内容),将此协议放置于第一条;
实现的原理:用户内网认证成功后,此用户在SAM和ePortal上在线,但由于用户选择的内网服务,所以用户在访问外网时,ACE发现该用户不在在线用户表中,ACE将此用户重定向到ePortal,ePortal检测到用户已经在线,所以返回信息“当前不能访问外网,如果需要访问外网,请使用锐捷认证软件进行切换”。