SecPath ACG1000，在线用户出现很多未识别ip地址。

项目

说明

识别范围

标示用户识别范围的地址对象或者地址对象组。

用户只有同时在用户识别范围内和相应的认证网段中，使用流量的时候才会触发认证过程。如该用户不在用户识别范围内，则不会触发认证过程，也不会识别为匿名用户；如该用户在用户识别范围内，但不在任何一个认证网段中，则该用户被识别为匿名用户。

识别模式

识别模式分为“启发模式”和“强制模式”两种，默认配置为强制模式，识别范围默认配置均为private私网地址段。

“启发模式”指的是，优先将属于识别范围的IP地址识别为在线用户，并且根据流量发起方先识别源IP，再识别目的IP，如果源IP和目的IP都不在识别范围中时则将源IP识别为在线用户。

“启发模式”使用场景：对用户识别要求不严格的情况下使用启发模式，在线用户中会出现非识别范围内的用户（如：同时出现私网IP和公网IP的用户），所以统计到的在线用户数量会比较多，在此模式下需要将识别范围修改成内网实际使用的地址网段，否则会导致用户识别不精确。

“强制模式”指的是，只将属于识别范围的IP地址识别为在线用户，并且根据流量发起方先识别源IP，再识别目的IP，只有源IP或目的IP地址中的一个属于识别范围时，才会被识别为在线用户；否则此IP地址流量不受系统转发流程中用户识别后的所有功能模块限制，如：用户策略、安全策略、应用识别和审计、入侵检测、病毒防护、QOS。

“强制模式”使用场景：对用户识别要求严格的情况下使用强制模式，在线用户中只会存在识别范围内的用户，过滤掉了不属于内网地址段的用户，精简了在线用户列表，只显示用户真正关心的数据，同时提升了设备性能，不在识别范围内的IP流量不走用户认证流程，避免了对用户不关心数据的处理，在此模式下务必将识别范围修改成内网实际使用的地址网段，避免因识别范围配置错误导致的用户关心的IP地址流量不受用户策略控制的情况出现。