集群智慧-服务就是好,有事电话:400-6543-646

我的网站

分享一个AC结合深澜认证系统外加华为BAS案例

时间:2017-02-19 09:34来源: 作者: 点击:
分享一个AC结合深澜认证系统外加华为BAS案例 ,深信服社区
1、网络原本拓扑简单描述,华为BAS——核心SW,详细的拓扑就不介绍,。
2、深澜认证系统结合华为BAS做认证(不在我们范围内不做介绍,我也介绍不来。。。。)。
3、客户要求我们的AC设备能和深澜认证系统结合做实名认证行为审计,
4、设备旁路部署在核心上面(部署步骤不详述,传送门http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=4974&highlight=深澜),
5、设备上架后出现问题了,
问题一、出现部分用户名为IP地址的临时用户,出现这种问题一般为深澜未把用户相关信息传递给我们,那么怎么解决呢?一个字“等”,等用户再次认证时才会匹配出用户名,为什么呢?因为深澜的系统只是在用户上线时才传递认证信息,如果在我们设备上架以前该用户就上线了,那么深澜是不会传递相关信息的。
问题二、在问题一解决了但还是有部分临时用户,此处我们应该注意我们的部署问题了,因为我们在核心上做旁路用户的数据必定会被镜像给我们,但是如果该用户根本就没去认证,此时他只是无法上网而已,但只要开了机还是回发送一些数据出去(只是在出口被拦截),所以我们会存在这么一个零时用户(深澜的系统也没有该用户的在线信息),
问题三、过了一段时间后出现大量临时用户,此时我们可能想到的是问题一二的事情没解决然后大量用户上线后问题就严重了,大概有300人为零时用户(因为在一个大学,有5000+以上人上网),那么我们再来分析分析,如果问题出现在为题一上面,这么多零时用户不可能一直是在我们设备未上架前就登上客户端没有下线吧,问题应该不是出现在这上面,观察一下在线用户的时间你就知道了,那么是问题二么?结合实际想想也不是,谁没事开着电脑又不上网,估计有,但是那么多人肯定不是。最后挨着查,当然这是有选择性的查,选取某些特征相同的临时用户,比如在线时间,IP段,因为此次都是公网地址所以还好查,在外面测试连通性ping,发现很多地址是能PING通的,然后考虑还是在深澜的问题上,叫深澜工程师查,果然这些人不在线,所以出现临时也是对的,再去BAS上一看,这些用户是存在的。这里就牵扯出一个问题了(这是我们发现问提后找华为以及深澜讨论出来的),用户使用部分了IPV6,在认证的时候直接使用的是IPV6,而在华为给深澜的计费包里面没有包含IPV4的地址(具体怎么的我也不是很清楚,我对他们设备也不了解),所以深澜不认为该用户在线,所以啊我们这边当然也没有咯。后面华为改配置解决问题,
6、上面的东西我也不知道分享出来能否被广大攻城狮看懂,文笔不好,另外注意的是在把无流量自动注销时间改一下,不然会出现很多用户,至于为啥我就不解释了。
7、完

Sangfor_闪电回_小狒 发表于 2015-11-6 14:29

您好!写的不错的,从发现问题,都去找问题的原因,再到解决问题,都看出了楼主在这件事上花费的精力,如果可以我们的ac设备上在此次问题中扮演的重要角色和责任写出来就好了,以ac为主角来介绍深澜和华为,ac、深澜、华为三者之间的关系时最重要的部分哟~~
哈哈,楼主不要太谦虚啦,实践出真知,哪怕只是一点儿也是极好的~~{:3_48:}
------分隔线----------------------------