正常透明部署在核心上行监控所有用户的行为
acg在升级版本配置完ipv4策略后正常,过一天后发现都不可以上网,只有重新配置策略,重新导入用户然后重启设备后。设备才可以正常上网,但过一天时间用户又都不能上网了。还需要重复以上操作才能上网。
查看控制策略可以发现,最后一条拒绝策略计数很多,怀疑是匹配上最后一条拒绝的策略导致不能正常上网。
使用终端测试发现计数有所增长。
看策略都是有做用户组的,怀疑为未能正常识别导致的,于是查看用户
当未进行认证的用户上到acg的时候会归类为匿名用户,如果是创建的用户,绑定了ip或者mac地址的用户,上来到acg后会匹配ip地址与mac地址,然后归类为静态绑定用户,但现场全为匿名用户
acg是在防火墙和华为交换机之间做透传,部署透明模式,但是业务报文上到acg的时候是跨三层上来的
如果三层转发的话,acg要识别真实的用户的mac地址的话,必须在acg上配置snmp跨三层mac学习,检查现场配置,发现现场也是有做跨三层mac学习,但查看用户同步也是正常的,时间也是最短的两秒,但是就是不能成功识别用户
排查发现现场并没有开启mac地址敏感,将用户管理>高级选项>全局配置下的用户mac感知勾选上之后正常。
或者配置user mac-sensitive enable。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作