客户在防火墙上启用Portal认证,并配置idle-cut时间,希望下连的认证用户离线后执行强制下线操作。
但是由于自身需求,把时间改成600分钟后,就发现不生效了,后来再更改成其它时长,15分钟、60分钟和其它字节:500Byte\1000byte\5000byte都不生效了。
经过测试发现时间不准,如设时长为2小时,人(手机终端WiFi接入Portal)都回家了,远程到防火墙设备上看,还要等个三四小时才能下线,有部分的测试帐号还更长。
无
如果只配置时间,流量阈值缺省为10240bytes,当时间阈值到了时,会去和流量阈值比较,如果此在线用户实际使用的流量超过了流量阀值,那么就不会下线。
当用户离开现场后,探测报文不通了,但此时设备是不知道终端下线的,设备只能是按终端上线时的时间为统计周期的起始时间。当重新统计的统计周期内的流量低于配置的阈值,并且到了时间阈值后,会自动下线------现场反馈的下线时间不准是指设备强制终端下线的时间和终端真实下线的时间,这个时间间隔与配置预期不符,但这种情况其实是正常的。
[YZDC-BA-FW01-isp-gz-portal]display this
#
domain gz-portal
authorization-attribute idle-cut 600 10240
authentication portal radius-scheme gz-portal
authorization portal radius-scheme gz-portal
accounting portal radius-scheme gz-portal
无
通过下面命令可以查看当前在线用户的信息,其中包括流量统计,比如用户配置时间为2小时,流量统计超过了阀值,就是重新计时,同时有后台进程会对流量也重新进行统计。
Total portal users: 1
Basic:
Current IP address: 1.1.1.2
Original IP address: 1.1.1.2
Username: gz-portal
User ID: 0x1000000b
Access interface: GigabitEthernet2/0/15
Service-VLAN/Customer-VLAN: -/-
MAC address: 0015-e943-8218
Domain name: gz-portal
VPN instance: N/A
Status: Online
Portal server: gz-portal
Portal authentication method: Direct
AAA:
Realtime accounting interval: 720s, retry times: 5
Idle cut: 36000 sec, 10240000 bytes
Session duration: 86401 sec, remaining: 86185 sec
Remaining traffic: N/A
Login time: 2015-10-12 06:40:20 UTC
IP pool: N/A
ACL&QoS&Multicast:
Inbound CAR: N/A
Outbound CAR: N/A
ACL number: N/A
User profile: N/A
Session group profile: N/A
Max multicast addresses: 4
Flow statistic:
Uplink packets/bytes: 350/22589
Downlink packets/bytes: 1179/95034 //流量阀值是和上下行流量之和来对比
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作