1、防代理方案V1.0与传统防代理方案的区别
传统防代理方案使用的是客户端防代理技术,存在的不足之处:1)客户端维护工作量大;2)破解、共享工具泛滥,更新快;3)不支持无线、PPPoE等场景;4)误判限制多,满意度低等问题,局限性大。
锐捷防代理方案V1.0采用基于DPI的应用层防代理,成为必然趋势。相比于友商方案中的防代理技术我司的技术优势如下:
1)彻底杜绝互联网破解工具
2)业界最“聪明”识别算法,误判率<1%
3)部署方便,适用广泛
4)关注用户体验
2、锐捷防代理方案V1.0中,RG-ASME是否只能和1X接入认证方式一同配合使用,方案是否兼容其他认证计费方式?
防代理V1.0方案V1.0同时支持有线、无线、web、802.1x、PPPoE等各种认证方案。
3、用户环境已经部署客户端防代理,再部署RG-ASME。是否需要关闭客户端防代理功能?
不需要,支持两种防代理方式并存。并且可以起到双重防代理的功能。
4、锐捷防代理方案V1.0中,RG-ASME是否支持任何版本的SAM?
不能完全支持。需要使用指定版本:
软件版本组合一:
# 1、认证系统:SAM
ENTERPRISE_3.95_Build20140630或者SAM ENTERPRISE_3.95_Build20141009
# 2、防代理设备:ASME
软件版本组合二:
# 1、认证系统:RG-SAM
OPERATOR_3.95DI(MISP)_Build20140827 [校园网SAM]
# 2、防代理设备:ASME
即:
1.企业版SAM3.95正式发布版本
2.校园网SAM3.95 2014年8月份之后发布版本
3.企业版SAM3.80之后的版本要与ASMM配套使用。
5、锐捷防代理方案V1.0中,RG-ASME是否兼容第三方的认证计费系统?
方案目前只支持和SAM认证计费系统一同配合使用,锐捷优先推荐客户使用SAM认证计费系统,因为首先能帮助客户实现一体化的运营,部署和维护一家厂商就能完成;其次能提供SU告警等差异化的价值点;最后SAM认证计费系统是业内最成熟的软件,能够满足友商软件的常用功能。当然,未来还将兼容其他厂商radius,杜绝厂商捆绑(通过兼容组件)。
6、RG-ASME设备的软件版本如何升级?
软件版本通过如下两种方式升级:U盘升级和HTTP自动升级。具体如下:
1)通过U盘升级版本
•把软件版本copy到U盘,并且把U盘插入到设备管理板上的USB接口上
•然后配置如下命令进行版本升级
•Upgrade usb0:/xxxxx 软件版本文件名称
•软件版本升级成功后,保存配置重启设备
2)通过HTTP自动升级版本
7、RG-ASME设备部署时要导入LICENSE吗?
出厂默认支持5K的用户,如果客户现场超过5K,需要额外购买LICENSE.
如果没有LICENSE授权,用户将无法使用防代理功能。通过license文件授权ASME对指定购买数量的并机用户进行代理检测,超过购买授权数量的并机用户则不做检测。
8、部署防代理方案时, RG-ASME上必须有两个口接入用户网络:一个管理口,一个引流口。需要占用两个端口,但是用户核心交换机端口紧张,怎么办?
1)管理口可以不用接在核心交换机上,可接在其他下联交换机上,保证网络互通即可。可以减少核心上的一个口的占用。
2)引流口需要直连在核心交换机上,如果端口紧张,还可以采用分光器部署方案。
9、引流镜像时,是否一定要镜像上联口的流量,镜像下联口的流量可以么?
如果用户采用PPPOE接入认证方式,由于下联口是PPPPOE接口,如果引流PPPOE设备的下联口的流量到RG-ASME,由于PPPOE报文还没有解封装,RG-ASME无法进行代理流量分析。所以,要采用上联口镜像。
如果用户采用非PPPOE接入认证方式,如果镜像下联口,会导致http-warning enable功能不生效。所以,推荐采用上联口镜像。
10、引流镜像时,是否一定要镜像上联口的双向流量?
不需要,只需要镜像上联口的TX流量即可。
11、防代理方案V1.0中交换引流部署应该怎样规划呢?引流方案中我司交换机端口镜像、MX960抽样过滤,这2种部署方式的优/劣势是什么?
根据被引流的端口是否支持镜像功能,以及是否有预留的接口来判断使用哪种部署方式。两种部署方式的区别如下:
交换机端口镜像
优势:配置简单,易部署。优先推荐在我司交换机上做端口镜像引流。
劣势: 需要占用一个交换机端口。
MX960抽样过滤
优势:MX960本身支持镜像功能。
劣势:配置较复杂,需要占用一个交换机端口。
12、monitor net ×.×.×.× mask ×.×.×.×这条命令属于防代理的基本环境配置吗?
是的。这条命令的含义是:设置RG-ASME监控的用户的地址范围。应用该命令后,如果用户IP在监控的地址范围中,RG-ASME就会监控该用户的上网行为,否则是无法进行代理行为检测。
13、基本配置环境都没有问题,重启ASME后,导致RG-ASME上显示TCP连接断开,但是RG-SAM上显示TCP连接正常?
原因分析:属于SAM的限制,重启ASME后,由于SAM没有关闭旧的TCP连接,所以不会再重新向ASME发起新的TCP连接请求,结果导致新的连接无法建立。
规避方法:在SAM上删除ASME,再重新添加ASME设备。
14、基本配置环境都没有问题,为什么RG-ASME上没有同步用户?
下面给出问题排查步骤:
步骤一:查看RG-ASME和RG-SAM的版本信息
1) RG-ASME:查看是否正式发布版本
2) RG-SAM:查看是否是方案中指定的版本
步骤二:查看RG-ASME和RG-SAM的TCP连接
1) 在RG-ASME通过show
tcp connect命令查询TCP是否正常
Ruijie#show tcp connect
Number Local Address
Foreign Address State
Process name
1
0.0.0.0:23
0.0.0.0:0
LISTEN
rg-telnetd
2
0.0.0.0:80
0.0.0.0:0
LISTEN
nginx
3
0.0.0.0:4389
0.0.0.0:0
LISTEN
wbard
4
0.0.0.0:4430
0.0.0.0:0
LISTEN
nginx
5
0.0.0.0:7165
0.0.0.0:0
LISTEN
wbard
6
0.0.0.0:7547
0.0.0.0:0
LISTEN
cwmp_gsoap.elf
7
0.0.0.0:8081
0.0.0.0:0
LISTEN
wbaintra
8
0.0.0.0:20120
0.0.0.0:0
LISTEN
asme
9
192.168.225.239:23
192.168.225.58:4188
ESTABLISHED
rg-telnetd
10
192.168.225.239:20120 172.18.111.56:54235 ESTABLISHED asme --------表示和SAM的TCP连接正常
步骤三:SAM中在用户关联的模板对应的接入控制管理中“接入控制基本信息”页面,配置“防火墙联动策略”: all-record,配置举例如下:
步骤四:若问题依然存在,使用以下命令收集LOG(五分钟)给开发分析
terminal monitor
debug ip tcp packet local-port 20120
15、HTTP告警页面无法弹出,怎么办?
下面给出问题排查步骤:
步骤一:在SAM上的,位置:运维管理 并机在线用户管理,查看是否有并机在线用户信息
1) 如果没有该用户信息,则说明用户还没有违例
2) 如果有并机用户信息,则查看第二步
步骤二:查看ASME上的配置是否正确
Ruijie#sh run | be access-s
access-share-monitor
monitor net 192.168.225.0
mask 255.255.255.0
monitor net 172.18.0.0 mask
255.255.0.0
weight threshold 40
access-share-allowed mobile
0
http-warning
enable----------------必须配置此条,说明开启HTTP告警
步骤三:查看交换机的引流情况
1) 查看镜像配置,必须使用上联口引流。
2) 镜像配置中的目的口,是否已经开启SWITCH功能。
16、用户代理违例后是如何实现管理和信息定位的?
防代理方案V1.0部署中用户违例后,例如设置的防代理策略是先告警再加入黑名单,那么在加入黑名单前,可以在SAM的位置:运维管理 并机在线用户管理,查看是否有并机在线用户信息。在超过告警时间后,该用户会加入黑名单,此时,在SAM的黑名单中可以查看到该用户信息。
管理员可以通过手动删除并机在线用户和黑名单用户。
17、防代理方案实施后,网管员如何能够快速定位到具体的违例用户?
先查询并机在线用户和黑名单中的用户名,然后结合SAM的日志中记录用户的NASIP、Port、VLANID等信息;可以查到该用户对应的接入设备的IP地址以及用户的端口号。
18、在并机在线列表里的用户还可以上网么?
在并机列表里的用户可以上网,直到该用户由于违例,被加到黑名单里。如果用户有开启HTTP页面告警功能,那么用户也可以上网,但是打开网页的行为会被跳转到告警页面。
19、白名单功能有什么用呢?旧协议SAM是否有白名单功能?
白名单用户不会被检测代理,在实施部署时,根据实际需要,如可以把学生网管加为白名单用户。
旧协议SAM不具有白名单功能。
20、采用新协议或者旧协议SAM来实施防代理解决方案,对于用户业务来说,有什么区别和影响?
在部署方面,旧协议SAM需要手动在SAM服务器上执行SQL脚本。
在功能上还有如下区别:
21、锐捷防代理1.0解决方案配合不同的接入控制方式,如1X、PPPOE、WEB,对于实施部署和用户体验方面是否有区别呢?
对于不同的接入控制方式,只需要考虑是否需要开启HTTP告警功能。 因为1X的SU客户端有提示功能,但是PPPOE和WEB没有客户端口软件,需要另外开启告警功能。
在其他方面没有区别。
22、禁止路由器代理功能是什么?
禁止用户使用PC通过路由器上网(no router-allowed),有的学校用户,希望禁止所有的路由器代理行为,当需要满足此用户场景需求时,开启该功能。
23、ASME防代理盒子的版本说明?如何查看ASME的平台版本号和ASME组件版本号,并确认是否最新版本?
ASME平台版本=ASME组件版本+WEB组件版本,目前共发布2个ASME平台版本(1个为2014年11月27日发布,1个是2015年2月6日发布),在最新发布的ASME平台版本上可以支持自动更新ASME组件和WEB组件。
·
1)、查看ASME的平台版本号信息:
Ruijie#show version detail
System description : Access Sharing
Management Engine(ASME1000) by Ruijie Networks.
System start time : 2014-12-02
11:00:46
System uptime
: 2:05:00:33
System hardware version : 1.00
System software version : ASME_RGOS 11.1(1)B1 Build(1)
System patch number : NA
System software number :
M16153911272014
System serial number
: 1234942570027
System boot version :
1.2.10.6a8da55(141008)
System core version : 2.32.48382d028c7064
System cpu partition
:
版本说明:
System
software number :
M16153911272014
-----------------为发布的软件版本名称,解读方式为:2014 11 27 16 15 39 2014年11月27日16:15:39发布的版本
当前发布的ASME软件版本号为(从RTR系统上可以查看):
ASME_RGOS11.1(1)B1_Build(1)_ASME1000_01232716_install--------从01232716来看,01表示2014年(2014-2013=01),23是11月(23-12=11),27表示27日,16表示16点
如此可以明确软件版本是否和正式发布版本一致。
·
2)、查看ASME组件版本号信息:
Ruijie#show http-update test
update mode: auto-update
update server:
0.0.0.0
update port: 80
update time: 03:00
pro SerialNo: 1234942570021
pro Name: asme1000
software:
RGOS11.1(1)B1 Build(1) Release(20150206)
update oob mode: ON
app-id app-name version
status
------ --------------- -------------------- ------
8 0 asme
10002
free
版本说明:
最新发布ASME平台版本(3月初发布的版本,在RTR系统下载)能够支持ASME组件自动升级(每天凌晨自动升级)、WEB组件的升级(当有WEB更新时,在WEB页面会有提示信息,由管理员确认后可自动升级)
24、ASME设备上监控网段和忽略网段的配置要求
在当前ASME设备上监控网段如果配置为10.0.0.0/8,忽略网段配置为:10.1.1.1/24,则会出现10.1.1.1/24地址段的用户仍然会被监控代理行为。当前监控网段和忽略网段配置不能有包含关系。
监控网段说明:ASME会检查报文中的网络层IP,当IP属于监控网段范围,则会进行用户流量的检测确认是否存在代理
忽略网段说明:ASME会检查报文中的应用层IP信息,当IP属于忽略网段范围,则会忽略对相应网段的用户流量检测。配置忽略网段的目的是要屏蔽PC在多网卡情况下,会导致误判的PC网卡的IP。主要应用场景:运营商的3G/4G网络以及VPN场景
注:监控网段和忽略网段非包含关系,ASME针对监控网段和忽略网段的用户检测的信息不同
25、防代理方案的白名单功能部署
白名单功能说明:在ASME监控到的有代理行为的用户,只记录用户的代理行为,但是不会踢用户下线。
支持白名单功能的部署场景:
1)、认证系统:RG-SAM OPERATOR_3.95DI(MISP)_Build20140827
[校园网SAM] 及以上版本+ASME防代理盒子
2)、认证系统:SAM ENTERPRISE_3.95_Build20140630或者SAM
ENTERPRISE_3.95_Build20141009及以上版本不支持白名单功能,通过增加部署ASMM组件来支持。
26、防代理方案支持证据化功能的版本
证据化功能:即在SAM上显示的并机用户明细中,可以查看到用户代理的终端类型(可以显示手机号),如下:
通过show
http-update test可以查看当前ASME组件的版本,举例如下:
Ruijie#show http-update test
update mode: auto-update
update server:
0.0.0.0
update port: 80
update time: 03:00
pro SerialNo: 1234942570021
pro Name: asme1000
software:
RGOS11.1(1)B1 Build(1) Release(20150206)
update oob mode: ON
app-id app-name version
status
------ --------------- -------------------- ------
8 0 asme
10002
free
当version号为10002及以上版本可以支持证据化功能
27、防代理方案误判问题常见原因及解决方案
在部署ASME防代理的过程中,会出现虽然用户没有进行代理上网,但是仍然被检测出代理行为,导致SAM踢用户下线
问题原因分析如下:
1)、部分PC安装360手机助手软件,手机助手软件在向其服务端申请软件时,会在发送的流量中带上特定的手机型号,导致被ASME识别为代理行为。
2)、手机使用的某些APP应用软件在开发的过程中内置了一些特定的手机型号,因此当手机在使用这些APP时,发送的流量中会带上其它手机型号,导致被ASME识别为代理行为。
影响的软件版本:ASME组件版本(version
10002)及以前版本
解决方案:3月20日发布的ASME组件可以解决上述问题
注:PC安装虚拟机被检测出来的代理行为,当前ASME版本暂时无法解决
28、防代理方案ASME组件版本存在内存泄露的问题如何解决?
1、开启HTTP告警功能时,存在内存泄露的故障,长时间运行会出现内存耗尽而导致死机重启。查看方式如下:
解决方案:3月20日发布的ASME组件可以解决上述问题
29、防代理方案测试过程中如何快速测试出防代理效果?
一般情况下,ASME的代理行为需要接近半小时,为提高演示时的效果,有以下注意点:
1)配置通告延时命令check-delay,将延时设置成60秒,演示完毕后再将此命令删除(no
check-delay):
Ruijie(config)#access-s
Ruijie(config)#access-share-monitor
Ruijie(config-access-share)#check-delay
60
Ruijie(config-access-share)#
2)手机需要打开浏览器上网,多次刷新页面,产生流量。
3)PC需要打开QQ软件,进行一些操作,如果发现长时间无法检出,则需要将QQ软件下线再上线一下。
一般采取以上措施后,可以在10分钟内检出拖带。
30、当前防代理方案中ASME的最新版本信息
1)、ASME平台版本信息:
ASME#show version detail
System description : Access Sharing
Management Engine(ASME1000) by Ruijie Networks.
System start time :
2015-02-15 15:30:33
System uptime
: 0:00:29:01
System hardware version : 1.00
System software version : ASME_RGOS 11.1(1)B1 Build(1)
System patch number : NA
System software number : M21175202062015
System serial number
: 1234942570021
System boot version :
1.2.2.744d0a6(140326)
System core version :
2.6.32.3f96d9128c7064
System cpu partition
: 1-31
2)、ASME组件版本信息:
Ruijie#show http-update test
update mode: auto-update
update server: 0.0.0.0
update port: 80
update time: 03:00
pro SerialNo: 1234942570021
pro Name: asme1000
software:
RGOS11.1(1)B1 Build(1) Release(20150206)
update oob mode: ON
app-id app-name version
status
------ --------------- -------------------- ------
8
0
asme
10002 free
注:下一个正式版本将在4月份发布,到时再更新软件版本号(后续的版本信息校验,可直接登录RTR版本管理系统查阅)
31、如何在ASME设备查看设备是否正确检测到用户的代理行为
Ruijie#debug syslog enable linux-printk
Ruijie#termi mor ------telnet的环境要加
Ruijie#sho access-share-monitor statistics
Access-share monitor statistics:
Monitor time: 170:45:15
Monitor user capacity :
available 5000
license 5000(default
5000 and installed 0)
max
60000
Online user : 1 (Max 1)
Notify record counter : 2
Ruijie#show access-share-monitor use
*Nov 27 17:24:23: %7: Online user : 1 (Max 1)
*Nov 27 17:24:23: %7:
*Nov 27 17:24:23: %7: Username
IP
asme-policy
detected
notify
*Nov 27 17:24:23: %7: test1
192.168.57.54
0(0:0)
1:0
0
asme-policy,这是防代理策略,允许拖带的设备数量。 格式是: 策略类型(拖带PC:拖带手机)
策略类型的值有0,1,2
0是使用ASME上的拖带策略,就是access-share-allowed mobile配置的数量
1是使用SAM配置的拖带策略,区分终端类型
2是使用SAM配置的策略,不区分终端类型
detected是检测出来的终端数量,格式是 PC数量:移动终端数量
notify就是通告状态。
0代表未检出违例
1代表检出违例,待通告
2代表检出违例,已通告
检测出来后通告给SAM,CLI上有会有类似提示如下:
*Oct 29 14:14:43: %P2360-7-DEBUG:
NS_USER_NTFY:length(118) id(2) user(wubowen) ip (192.168.231.237) monitor(1)
control(1) notes(len:50, strlen()= 50, 检出设备:PC(1),移动终端(1).移动终端明细:iPhone:1; ).
32、防代理方案测试过程中如何快速测试出防代理效果?
一般情况下,ASME的代理行为需要接近半小时,为提高演示时的效果,有以下注意点:
1)配置通告延时命令check-delay,将延时设置成60秒,演示完毕后再将此命令删除(no
check-delay):
Ruijie(config)#access-share-monitor
Ruijie(config-access-share)#check-delay 60
(缺省15分钟)
Ruijie(config-access-share)#notify-delay 10
(缺省30秒)
Ruijie(config-access-share)#sensitivity-level high(缺省为normal)
2)检测时长和开的应用和流量大小有关系:流量大才更快,代理终端建议可以多开淘宝(图片页面较多),QQ上下线,360酷我音乐、浏览器上网,多次刷新页面,产生流量来触发。
3)一般采取以上措施后,可以在10分钟内检出拖带。
注:上述各个命令的功能解释如下:
Ruijie#show
access-share-monitor use
*Nov 27
17:24:23: %7: Online user : 1 (Max 1)
*Nov 27
17:24:23: %7:
*Nov 27
17:24:23: %7: Username
IP
asme-policy
detected
notify
*Nov 27 17:24:23: %7: test1
192.168.57.54
0(0:0)
1:0
0
ASME上可通过命令show
access-share-monitor use查看防代理检测效果,看到的notify值会从0变化到2,当notify值从0变到1,表示ASME检测出用户的代理行为,当notify值从1变到2,表示ASME等待一定延时后将用户代理行为通告给SAM。如下将给出check-delay、notify-delay、sensitivity-level值对ASME的检测时长的影响:
sensitivity-level灵敏度高低决定:
notify=0——>notify=1的时间,配置为high则检测出代理用户的时间更短(实际部署中建议使用缺省值normal,避免误判率增高)
check-delay+notify-delay之和等于:
notify=1——>notify=2的时间
check-delay默认值:15分钟
notify-delay默认值:30秒
33、核心交换机镜像目的口使用Aggregate Port,ASME的互联端口怎么配置?
ASME的端口直接和核心交换机镜像目的口互联即可,不需要特殊配置,当ASME开启http告警功能,在收到镜像目的口同步的http报文时,发起http告警时会向核心交换机的镜像目的口同步报文,需要注意的是镜像目的口需要增加switch的配置,确保ASME返回的报文能被交换机正确转发到下联用户。
34、核心交换机镜像使用一对多镜像,导致无法配置镜像目的口的switch功能,如何让ASME的http告警功能生效
由于镜像目的口无法配置Switch功能,将导致ASME返回的http告警报文无法被交换机转发到下联用户,需要使用后续支持通过Mgmt口发送http告警功能的版本支持,相应的版本预计5月底提供
35、ASME检测一段时间,出现部分用户未部署代理但是被识别有代理行为(如用户使用视频看电影,一个小时后被踢下线)
该问题属于误判问题,首先确认一下ASME组件的软件版本,show http-update test,显示的version信息如果低于10003,建议进行版本升级。在RTR系统交换机目录下查找ASME最新软件版本,并通过WEB或者tftp方式升级。
其次,确认一下SAM、ASME中可疑度设置,建议配置为缺省的数值,40%
SAM上的配置位置:
ASME上的配置位置:
36、关于临时License授权的处理流程
当前出厂设备自带5000个用户的License,当部署的用户规模超出5000用户,需要向后台申请临时License来进行测试(5月中旬新增支持的功能),具体申请操作流程如下:
提供设备版本信息(show version)-->邮件发送给研发接口:陈秀招-->由秀招申请临时授权文件后,邮件同步。临时License的导入方法如下:
· 一、通过u盘导入
1、将lic文件考到U盘
2、安装:ASME(config)#license
install usb0:asme.lic
3、查看:ASME#show license
all_license
· 二、通过tftp导入
1、将lic文件考到设备上:ASME#copy
oob_tftp://192.168.225.1/asme.lic flash:asme.lic
2、安装:ASME(config)#license
install flash:asme.lic
3、查看:ASME#show license
all_license
在6月30日前临时License的处理方案如上,后续如有变动会及时更新,请关注RTR系统说明。
37、关于防代理方案中ASMM组件的部署计划说明
当前主推的部署场景为SAM+ASME的部署场景,相应的版本见问题一本通/实施一本通中提到的配套版本,ASMM版本待后续正式发布后再推广部署。因此,如果项目中遇到SAM无法升级到支持防代理功能的版本,需要使用ASMM组件来支持的,需要提前邮件同步到研发陈秀招(chenxiuzhao@ruijie.com.cn),需后台评估可行性。