- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
Copyright © 2014 杭州华三通信技术有限公司 版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部, 并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。 |
|
为什么管理员用户不能通过HTTP、SSH、或者Telnet登录设备,不显示web页面?.. 2
在“系统管理>管理员”,“添加管理员”页面中的"管理IP/掩码"的作用是什么?.. 3
子通道的保障带宽总和大于父通道保障带宽,如何分配保障带宽?.. 5
同一条策略路由最多支持几个下一跳?同时配置多个下一跳的情况下,如何转发报文?.. 6
IPv6中的路由器请求报文作用(Router Solicitation)?.. 10
IPv6中的路由器通告报文作用(Router Advertisement)?.. 10
邻居请求(Neighbor Solicitation)报文作用?.. 11
邻居通告(Neighbor Advertisement)报文作用?.. 11
在Tunnel接口上配置了相关的参数后(例如隧道的起点、终点地址和隧道模式)仍未处于up状态?.. 12
从设备端执行什么配置去主动ping另一台设备的IPv6地址?.. 12
OSPF的Router ID如何配置,缺省是什么?.. 14
OSPF没有路由,甚至邻居都不能形成Full关系,最常见的原因是什么?.. 14
OSPF链路两端配置不同的网络类型,能否形成Full关系?.. 15
当执行no router ospf6后,其它接口有关ospfv3配置是否自动删除?.. 16
从系统正常到掉电进入Bypass状态时,会丢几个ICMP报文?.. 19
配置两条会话限制,引用的地址对象分别都包含了某个IP地址,但是会话限制的配置不同,那么该以哪一个为标准? 19
会话限制是否可以只限制会话总数,而不限制新建会话速度?.. 20
在配置会话限制之前,地址对象的会话总数已经超过了该会话限制的会话总数,那么配置该条会话限制后是否会将会话数保持在限制的数目下?.. 20
DNS代理在收到DNS请求时,在没有域名缓存的情况下,是如何向DNS服务器发出请求的?.. 20
当客户端没有配置DNS代理为DNS服务器,客户端发出DNS请求,经过设备,如果设备含有该域名的缓存,是否会进行响应? 20
手动配置的域名是否会老化?最多能配置多少条?域名缓存一共有多少条?.. 21
客户端A没有配置设备为DNS代理,客户端B配置设备为DNS代理,客户端A发出经过设备的DNS请求,之后客户端B也发出相同域名的DNS请求,设备在对B的请求处理过程是怎样的?.. 21
统计集统计最近1小时、最近1天、最近1周数据统计的刷新间隔是多少?.. 21
统计集数据保存重启后是否会丢失?导出再导入是否会丢失?.. 22
单条七元组审计策略中的应用审计规则、URL审计规则按照什么顺序进行匹配?.. 24
使用NAT用户通过认证后访问外网页面依然弹出认证页面,导致循环认证?.. 24
为什么认证时,可以接收推送认证页面,用户名密码输入完毕后无法认证成功?.. 25
为什么用户认证时点击一次上线,显示设备拒绝请求,点击多次后可认证成功?.. 25
登录超时后重新认证,在认证窗口填写用户名密码后点击“上线”提示“用户已在线”?.. 25
用户在线时间超出所配置的超时时间,有时可下线、有时不可下线?.. 25
ACG1000日志分析与管理平台运行环境要求有哪些?.. 25
ACG1000日志分析与管理平台有哪些端口被占用?.. 26
ACG1000日志分析与管理平台管理员客户端有哪些要求?.. 26
安装完成后打不开ACG1000日志分析与管理平台提示端口被占用怎么办?.. 26
如何设置映射端口使ACG1000日志分析与管理平台可以接收到ACG设备的信息?. 26
ACG1000日志分析与管理平台默认登录用户名和密码是什么?.. 26
ACG1000日志分析与管理平台的SYSLOG端口是多少?.. 27
ACG1000日志分析与管理平台使用什么浏览器比较好?. 27
打开ACG1000日志分析与管理平台登录界面看不到验证码怎么办?.. 27
打开ACG1000日志分析与管理平台接收不到日志怎么处理?.. 27
用户打不开ACG1000日志分析与管理平台怎么办?.. 27
如何在ACG1000日志分析与管理平台直接进入设备管理界面?.. 28
某一台客户端查询不到设备流量,但是另外一台管理相同设备的ACG1000日志分析与管理平台却可以查询的到,这是什么原因?.. 30
报表文件,报表任务,预定义报表任务都是用来做什么的?.. 34
ACG推荐使用在某个区域的网关或与外网接入处,一般来说,外部网络是最具有威胁的。当所有外网流量进入内网时都需要经过边界网关。由此来说ACG放置的位置应为与外网接入的地方。如果内网某一区域对安全性有高要求也可放置ACG。但要注意,所有ACG应放在区域与区域相接处。
ACG能够工作在三种模式下:路由模式、透明模式和旁路模式。如果ACG以第三层对外连接(接口具有IP 地址),则认为ACG工作在路由模式下;若ACG通过第二层对外连接(接口无IP 地址),则ACG工作在透明模式下;若ACG在完全不影响原网络运行的情况下部署,则ACG工作在旁路模式下。
当ACG位于内部网络和外部网络之间时,需要将ACG与内部网络、外部网络区域相连的接口分别配置成不同网段的IP 地址,重新规划原有的网络拓扑,此时相当于一台路由器。也就是说,路由模式ACG连接两个不同的子网。
在网络出口需要定义一些访问控制列表(ACL)来对内外网访问进行更严格的要求时,采用路由模式时,路由模式ACG可以完成ACL 包过滤、NAT 转换等功能。
如出现该情况可检查路由表,执行show ip route命令查看路由表中是否存在外网路由,如路由表正常,查看ACG安全策略,在ACG设备中默认安全策略为deny,需要手工设定放行条目,执行show running-config policy命令查看ACG安全策略。
透明模式ACG进行工作时,可以避免改变拓扑结构造成的麻烦,此时ACG对于子网用户和路由器来说是完全透明的。也就是说,用户完全感觉不到ACG的存在。
检查物理接口是否划入到了bvi接口中,show running-config interface查看当前接口下信息。
在透明模式下,ACG将流过的所有二层数据进行解封装,把数据根据用户定义的规则进行从二层到四层的过滤。但与路由模式不同的是,ACG会将过滤后的数据重新用原来的二层源地址和目的地址再封装成帧进行转发,而不改变数据帧的源地址和目的地址。
透明模式ACG一般使用在原网络拓扑在已经完善的情况下增添ACG。配置透明模式ACG,ACG相当于二层设备。可以将ACG的多个接口连接到相同子网。可以在不更改其他设备的路由网关对网络进行保护。减少工作量。
旁路模式在不更改原网络部署环境的前提下使用。旁路模式ACG将通过的流量进行监听、审计等作用。
旁路模式部署不会大范围影响原网络拓扑结构。只需在原出口设备连接上ACG即可。
查看旁路模式ACG审计日志时无相应显示,该情况可查看策略配置,执行show running-config policy命令于查看ACG的部署策略。
ACG具有很好的保护网络安全的效果。入侵者必须首先穿越ACG的安全防线,才能接触目标计算机。你可以将ACG配置多种策略,如控制端口、协议、应用等。
ACG默认存在一条全拒绝的控制策略,使用ACG时应先注意安全策略是否匹配。
确认登录的接口是否允许通过这些方式登录,可以在每个接口下进行具体配置,详细配置请参见命令行配置指导或者Web配置指导。
查看接口下是否配置了HTTPS访问控制,查看是否开启了管理员证书认证功能但并没有对应的证书。
可在"管理IP/掩码"输入框中以"IP/掩码"的形式设置用户主机的IP和掩码,用户登录时,如果用户名、密码正确,并且用户的主机地址与其设置的任意一组IP和掩码与运算的值相等,就可以成功登录。如果用户没有设置"管理IP/掩码"或任意一组"管理IP/掩码"设置为"0.0.0.0/0",则登录时不会判断用户的主机地址,只要用户名、密码正确既可成功登录。
在“系统管理>管理员”页面中,点击某管理员的<编辑>按钮,进入“修改管理员”页面,即可修改该管理员的密码。也可以点击页面上方右侧的“修改密码”图标,进入“修改密码”页面,即可修改当前登录用户的密码。
断电或reboot重启设备,按ctrl+c进入menuboot,当出现Please input your choice[0-8]:时,输入’4’,执行Reset administrator passowrd.并输入’0’重启设备,重启后,密码即可恢复为默认的admin/admin登录。
可以使用命令show running poliy查看当前的应用审计策略。
通过配置应用审计策略,可以实现关键过滤。
应用审计日志可以存储5万条。
(1) 首先检查应用审计策略是否正确;
(2) 查看应用审计日志是否记录;
(3) 查看应用审计与识别的细节信息,判断是否识别与审计成功;
(4) 通过查看首页应用流量排名统计来查看是否有误识别和漏识别情况;
(5) 查看特定IP地址的会话的AppName字段来确认是否为误识别,命令为:show ip connection protocol protocol-name ip source source-addr dest dest-addr;调试命令:debug app audit detail,debug application identify。
(1) 查看应用审计日志是否发送,日志服务器是否启用,服务器IP及端口是否正确;
(2) Syslog服务器是否启动,端口是否与设备配置一致;
(3) 查看路由是否正确,ping 服务器地址是否能ping通。
从线路策略绑定接口出去的流量为上行,从线路策略绑定接口进来的流量为下行。
流量控制通道的保障带宽必须小于等于其最大带宽,流量控制通道的保障带宽必须小于等于其上一级通道的保障带宽。流量控制通道的最大带宽必须小于等于其上一级通道的最大带宽。
多个匹配条件是与的关系,当同时满足所有匹配条件时才认为命中该通道。当一个流控通道的匹配条件为空时,会去匹配其子节点的匹配条件。
最大带宽只是起到一个限制的作用,限制流量不能超过其最大带宽。保障带宽的作用是在流量发生拥塞的时流量仍能够达到其保障带宽。
(1) 线路的最大带宽和保障带宽和其实际的带宽一致,若外网的带宽为20M,就需要配置线路的最大带宽和保障带宽为20M。
(2) 下一级通道的保障带宽总和(包括缺省通道)是否已经超过了其保障带宽。
多个流量控制通道是按顺序匹配的,若流量和某一条流量控制通道匹配,就不会再匹配后续的流量控制通道。
QOS排除策略也称为白名单,就是指定的用户或者地址的流量,不受QOS管制,直接转发,更大限度的保证这些用户使用网络。
流量先被每IP限速处理,然后再被流控通道处理。每IP限速的周期是一秒,流控通道是实时的。被IP限速通过的流量可能会继续被流控通道丢弃。
P2P的流量存在不对称性,可能会出现大量的下行流量。多余的流量被流控通道丢弃,但是会影响总体的带宽使用率;建议在实际部署时减小P2P的上行流量,这样可以有效抑制下行流量。
当发生带宽借用时,高级别的通道优先借用带宽。若多个通道的级别相同,则平均分配借用带宽。
当子通道的保障带宽之和大于父通道,按照各个子通道的保障带宽比例分配。
对延时要求高的一类应用可以放在单独的流控通道中,该通道的流量不要超过其保障带宽。
查看当前通道流量的命令 show qos statistics。
当前仅可以通过CLI修改流控通道的顺序,在CLI下进入一条流控通道,然后通过move命令调整其顺序。
可在命令行下执行“debug qos match”,通过debug消息可知道具体命中条目。
可在命令行下执行“debug qos drop”,通过debug消息可知道数据包是否被QoS丢弃。
策略路由,也叫做基于策略的路由,是指在决定一个IP包的下一跳转发地址时,不是简单的根据目的或源IP地址来决定,而是综合考虑多种因素决定。它转发分组到特定网络需要基于预先配置的策略,这个策略可能指定从一个特定的网络发送的通信应该被转发到一个指定的接口。
目前,设备支持同一条策略路由中配置8个不同下一跳。
同一条策略路由中同时配置多个下一跳的情况下,第一个下一跳作为主用路由,其余下一跳作为备份路由,实现路由备份功能。
图1 策略路由转发流程图
通常我们都认为下一跳失效的判断条件为下一跳是否可达,但实际上设备在实现上并没有探测下一跳是否可达的机制,因此设备只能根据自身的各种因素进行判断。下面我们分两种情况进行讨论。
(1) 首先我们讨论下一跳是直连网段地址的情况。
设备判断下一跳是否可达的条件是ARP,只要存在正确的对应下一跳地址的ARP表项,则策略路由认为下一跳可达。值得一提的是,如果配置静态ARP,则需要同时配置对应VLAN和出接口,此时策略路由才认为下一跳可达。
(2) 我们再来讨论下一跳是非直连网段地址的情况。
对于非直连网段的下一跳地址,设备可以进行路由迭代,即针对下一跳地址查找路由表,如果能匹配到路由,则认为策略路由下一跳可达。如果没有匹配到任何路由,或者只能匹配缺省路由,则认为策略路由下一跳不可达。
ISP路由是将数据包从一个网络转发到另一个网络中的目的地址的过程。路由器是处在两个网络之间转发数据包的设备。路由器根据路由表中储存的各种传输路径传输数据包,每一个传输路径即为一个路由条目。
很多用户通常会申请多条线路进行流量负载均衡。然而,一般的均衡是不会根据流量的流向做均衡的,如果网通的服务器通过电信访问,网速就会很慢。安全网关针对该问题,提供ISP路由功能,使不同ISP流量走专有路由,从而提高网络访问速度。
用户首先需要将内网用户添加到相同的地址对象中,通过引用设置的地址对象,进行配置不同运营商为目的地的ISP路由。用户可以自定义ISP信息,也可以上传ISP或包含不同ISP信息的配置文件。
ISP路由在NAT配置、安全策略配置时可直接调用相应地址对象的流量。通过ISP路由策略(双ISP缺省路由)进行控制相应的流量走向问题,从而达到负载均衡。
可以使用命令show ike sa查看当前IKE SA的信息:
HOST# show ike sa
----------------------------------------------------
Name: dut1 id: 3184
local_addr: 30.1.1.2
peer_addr: 30.1.1.3
stat: establish
life time: 86390
*********************************************************
Data: ike sa Total count: 1.
*********************************************************
可以使用命令show ipsec sa查看当前IPsec sa的信息。
HOST# show ipsec sa
----------------------------------------------------
Name: dut1 id: 4667
local_addr: 30.1.1.2 peer_addr: 30.1.1.3
esp: yes mode: tunnel
enc_algo/auth_algo: 3des/md5
inbound_spi/outbound_spi: 237441483/134485286
ah: no
stat: establish
life time/cur_life_time: 86400/86304
inbound/outbound: 5/5 kbytes
local_net: 20.1.1.0/24
peer_net: 10.1.1.0/24
*********************************************************
Data: ipsec sa Total count: 1.
*********************************************************
IPsec VPN的默认加密方式是3DES_MD5。
一条IPsec VPN隧道,配置多个网段的感兴趣流,最多支持100条。
(1) 第一阶段协商不成功,首先可以检查IKE的配置,查看两端的配置是否一致。
(2) 其次检查路由,查看对端是否可达。
(3) 如果一端配置对端网关配置的是动态,另一端配置静态对端网关,查看配置静态对端网关的一端,是否开启了自动连接,若未配置自动连接,流量需要从静态那一端发起,触发IKE SA的协商。
调试命令:debug ipsec-VPN debug。
(1) 首先可以检查IPsec的配置,查看两端的配置是否一致。
(2) 检测感兴趣流,查看两端的感兴趣流是否一致。
(3) 检测路由,查看对端是否可达。若是基于tunnel口,检查是否配置tunnel口的路由。
调试命令:debug ipsec-vpn debug。
(1) 隧道模式时查看是否配置策略。
(2) 查看感兴趣流的方向性是否正确
若是感兴趣流的问题,可以通过以下命令查看:
show ike dump-spd,查看基于策略的IPSec VPN的sp状态是否建立成功。
show ike dump-tunn,查看基于tunnel的IPSec VPN的sp状态是否建立成功。
(1) 有些手机的IKE协商模式是野蛮模式,有些是主模式,所以一条VPN隧道不能保证所有的手机都能接入成功。
(2) 手机发起的加密算法也各不相同,可以通过debug ipsec-vpn debug命令,查看协商不成功的原因,同时也可以查看对端发来的加密算法是否与本端一致。
IPv6具有128位的IP地址结构,提供充足的地址空间。层次化的网络结构,提高了路由效率。支持自动配置,即插即用。支持端到端的安全。支持移动特性。新增流标签功能,更利于支持QoS。
邻居发现协议(Neighbor Discovery Protocol)是IPv6协议的一个基本的组成部分,它实现了在IPv4中的地址解析协议(ARP)、控制报文协议(ICMP)中的路由器发现部分、重定向协议的所有功能,并具有邻居不可达检测机制。
邻居发现协议实现了路由器和前缀发现、地址解析、下一跳地址确定、重定向、邻居不可达检测、重复地址检测等功能。
当主机没有配置单播地址(例如系统刚启动)时,就会发送路由器请求报文。路由器请求报文有助于主机迅速进行自动配置而不必等待IPv6路由器的周期性IPv6路由器通告报文。
IPv6路由请求为ICMP报文,类型为133。
IPv6路由器请求报文中的源地址通常为未指定的IPv6地址(0::0)。如果主机已经配置了一个单播地址,则此接口的单播地址可在发送路由器请求报文时作为源地址填充。
IPv6路由器请求报文中的目的地址是所有路由器组播地址(FF02::2),作用域为本地链路。如果路由器通告是针对路由器请求发出的,则其目的地址为相应路由器请求报文的源地址。
每个IPv6路由器的配置接口会周期发送路由器通告报文。在本地链路上收到IPv6节点的路由器请求报文后,路由器也会发送路由器通告报文。
IPv6路由器通告报文发送到所有节点的链路本地组播地址(FF02 ::1)或发送路由器请求报文节点的IPv6单播地址。
路由器通告为ICMP报文,类型为134,包含以下内容:
· 是否使用地址自动配置。
· 标记支持的自动配置类型(无状态或有状态自动配置)。
· 一个或多个本地链路前缀-本地链路上的节点可以使用这些前缀完成地址自动配置。
· 通告的本地链路前缀的生存期。
· 是否发送路由器通告的路由器可作为缺省路由器,如果可以还包括此路由器可作为缺省路由器的时间(用秒表示)。
· 和主机相关的其它信息,如跳数限制,主机发起的报文可以使用的最大MTU。
当一个节点需要得到同一本地链路上另外一个节点的链路本地地址时,就会发送邻居请求报文。此报文类似于IPv4中的ARP请求报文,不过使用组播地址而不使用广播,只有被请求节点的最后24比特和此组播相同的节点才会收到此报文,减少了广播风暴的可能。
源节点使用目的节点的IPv6地址的最右24比特形成相应的组播地址,然后在相应链路上发送ICMPv6类型为135的报文。目的节点在响应报文中填充其链路地址。为了发送邻居请求报文,源节点必须首先知道目的节点的IPv6地址。
邻居请求报文也用来在邻居的链路层地址已知时验证邻居的可达性。
IPv6邻居通告报文是对IPv6请求报文的响应。
收到邻居请求报文后,目的节点通过在本地链路上发送ICMPv6类型为136的邻居通告报文进行响应。收到邻居通告后,源节点和目的节点可以进行通信。
当一个节点的本地链路上的链路层地址改变时也会主动发送邻居通告报文。
· 路由器和前缀发现
· 地址解析
· 重定向功能
· 邻居不可达检测
· 重复地址检测
配置相关接口的物理参数,配置相关接口的链路层属性、使能IPv6报文转发能力、邻节点网络层(IPv6)可达。
IPv6缺省路由是在路由器没有找到匹配的IPv6路由表项时使用的路由。
· 第一种是网络管理员手工配置。指定的目的地址为::/0(前缀长度为0)。
· 第二种是动态路由协议生成,由路由能力比较强的路由器将IPv6缺省路由发布给其它路由器,其它路由器在自己的路由表里生成指向那台路由器的缺省路由。
可以按照如下步骤进行:
(1) Tunnel接口未处于up状态的最常见原因是隧道起点的物理接口没有处于up状态。使用show interface和show ipv6 interface命令查看隧道起点的物理接口状态为up还是down。如果物理接口状态是down,请检查网络连接。
(2) Tunnel接口未处于up状态的另一个可能的原因是隧道的终点地址不可达。使用show ipv6 route和show ip route命令查看是否终点地址通过路由可达。如果路由表中没有保证隧道通讯的路由项,请配置相关路由。
6to4隧道不需要配置目的地址,因为隧道的目的地址可以通过6to4 IPv6地址中嵌入的IPv4地址自动获得。
ISATAP隧道不需要配置目的地址,因为隧道的目的地址可以通过ISATAP地址中嵌入的IPv4地址自动获得。
执行ping6 IPv6地址即可,使用ping命令仅为IPv4下使用的。
手动隧道是点到点之间的链路,一条链路就是一个单独的隧道。主要用于边缘路由器—边缘路由器或主机—边缘路由器之间定期安全通信的稳定连接,可实现与远端IPv6网络的连接。
6to4隧道是点到多点的自动隧道,主要建立在边缘路由器之间,用于将多个IPv6孤岛通过IPv4网络连接到IPv6网络。6to4隧道通过在IPv6报文的目的地址中嵌入IPv4地址,来实现自动获取隧道终点的IPv4地址。
6to4隧道采用特殊的6to4地址,其格式为:2002:abcd:efgh:子网号::接口ID/64,其中2002表示固定的IPv6地址前缀,abcd:efgh表示该6to4隧道对应的32位全球唯一的IPv4地址,用16进制表示(如1.1.1.1可以表示为0101:0101)。2002:abcd:efgh之后的部分唯一标识了一个主机在6to4网络内的位置。通过这个嵌入的IPv4地址可以自动确定隧道的终点,使隧道的建立非常方便。
由于6to4地址的64位地址前缀中的16位子网号可以由用户自定义,前缀中的前48位已由固定数值、隧道起点或终点设备的IPv4地址确定,使IPv6报文通过隧道进行转发成为可能。6to4隧道可以实现利用IPv4网络完成IPv6网络的互连,克服了IPv4兼容IPv6自动隧道使用的局限性。
现有的IPv4网络中将会出现越来越多的IPv6主机,ISATAP隧道技术为这种应用提供了一个较好的解决方案。ISATAP隧道是点到多点的自动隧道技术,通过在IPv6报文的目的地址中嵌入的IPv4地址,可以自动获取隧道的终点。
使用ISATAP隧道时,IPv6报文的目的地址和隧道接口的IPv6地址都要采用特殊的ISATAP地址。ISATAP地址格式为:Prefix(64bit):0:5EFE:abcd:efgh。其中,64位的Prefix为任何合法的IPv6单播地址前缀,abcd:efgh表示32位IPv4源地址,用16进制表示(如1.1.1.1可以表示为0101:0101),该IPv4地址不要求全球唯一。通过这个嵌入的IPv4地址就可以自动建立隧道,完成IPv6报文的传送。
ISATAP隧道主要用于在IPv4网络中IPv6路由器—IPv6路由器、IPv6主机—IPv6路由器的连接。
可以通过物理网线相连接,也可以通过虚拟接口如子接口方式相连接。
可以创建最多256个vrf,超出时提示:Error: The total number of vrf has exceeded the maximum size(Capacity reached)。
VRF功能提供了从一台物理路由器变成多台虚拟路由器的功能。ACG1000的VRF功能提供了路由表隔离,接口切换VRF,外部能够正常支持访问已经切换VRF的接口地址,支持本机报文正确选择对应接口向外主动发送报文。
路由表隔离功能是通过在创建和删除VRF时,同时创建对应的fib表实现的,实现形式就是每个VRF一个独立的FIB表,设备在没有开启VRF功能时,是默认存在一个VRF0结构的,路由表和流表都是从属与该结构。
流表的隔离,是通过在流表结构中添加VRF_ID字段来实现的,功能主要流程为,在流里结构中添加了一个VRF_ID的字段,该VRF_ID字段赋值为报文入接口的VRF_ID,查找流表的时候,比较五元组的同时还需比较VRF_ID是否相同,如果五元组和VRF_ID均相同,则表示查找成功,否则,新建对应的流表。
VRF模块属于ACG1000的功能模块,实现虚拟路由转发功能。
RIP支持v1和v2两个版本。
RIP开启时默认为V2版本,若需要可以手动切换到v1版本。
简单的说我们采用如下策略:
· 如果有loopback接口配置了,就选IP地址数值最大的loopback地址。
· 如果没有配置loopback接口地址,就选IP地址数值最大的物理接口地址。
· 选择完成后不可抢占。
· 我们也可以在启动OSPF进程时同时指定Router ID,如:router-id 1.1.1.1。
· 需要注意的是,如果当前OSPF进程正在运行,Router ID即使是重新手工配置或计算都不会马上生效,而需要OSPF进程重新启动才会生效。这个要求是合理的,因为Router ID对OSPF协议来说太重要,不可能在OSPF保持邻居不断的情况下更新。
· OSPF网络类型是NBMA的,但你忘记在OSPF协议模式下配置邻居了。
· OSPF网络类型是NBMA的,你配置了邻居,但在诸如Frame relay的map语句中忘记加broadcast关键字了,导致协议报文不能到达对方。
· OSPF邻居的hello及dead interval值不一致。
· 在Stub或NSSA区域,有些路由器没有配置成Stub或NSSA。
· OSPF验证配置错误。
· OSPF Router ID有问题,可能和某个其它路由器一样了。
· OSPF链路两端的网络类型不一致。
· OSPF链路两端的MTU相差比较大,尤其注意和不同厂商实现互通时(需要在其接口下配置OSPF忽略MTU检查或修改MTU)。
· 该网络根本就没有启动OSPF。
· 区域号不一致;链路的网络地址不一致,注意检查两边的mask。
其实很简单,也是必须知道的。调试开关是需要打开的,其中最有效,最常用的就是debug ospf packet命令,协商完成后执行show log debug,它能让你对OSPF的大部分问题看的一目了然。当然它也不是万能的,它是在正确接收OSPF报文的基础上才能有相应的错误事件。
当链路接口没有明确配置OSPF cost的时候,Cost按配置的基值除以接口带宽来计算。这个基值缺省为100M,例如10M的链路,cost缺省是100/10=10。显然当运行OSPF的路由器存在多个速率不同的1000M以上的高速接口时候,如果接口没有明确赋予OSPF Cost,按缺省公式自动计算的Cost将都为1,不能反映链路速率。这个时候有一个Bandwidth-Reference的命令,来调节基准值的,但要注意,整个OSPF路由域都要对应调整。因此,最好的方法,还是在网络做好规划,手工对链路接口的Cost赋值。
看起来很奇怪的问题,其实比较有意思。很多人的第一感觉就是:两端的了链路网络类型都不一样,哪能形成邻居关系呢?其实不然。OSPF协议并没有规定,要去严格检查链路的网络类型,链路的网络类型最重要的描述也是在Type 1 LSA中,形成邻居的关系条件检查并没有去检查它。仔细阅读协议并做实验,你会发现不少情况下,比如两台路由器以太网连接,一端保持缺省的广播网络类型,一端配置成OSPF P2P网络类型,肯定是可以形成邻居,并交换LSDB达到Full状态的。但很奇怪的事情是:到达Full状态了,为什么学不到路由呢?其实答案很简单,OSPF路由器需要LSDB来构建SPT(Shortest Path Tree),由于LSDB的数据库是脱节有问题的(在我的Router LSA中,我认为你是个广播邻居;而在你的Router LSA中认为我应该是个P2P邻居),根本无法构建正确的SPT, SPF算法也无法计算出正确的路由。
先看一个问题,简单示意的OSPF网络拓扑,area 1——area0-area2,area1中三条路由:10.1.0.0/16,10.2.0.0/16,10.3.0.0/16,在area1和area0之间的ABR没有配置聚合(将上述三条聚合成10.0.0.0/8),但在area0和area2之间的ABR配置聚合却不生效。这就是跨区域的聚合问题,这个表现是否正确呢?
仔细看下RFC 2328 12.4.3 Summary-LSAs中的描述,我们可以知道ABR产生type 3 LSA时,如果是inter-area,就直接处理,产生相应的type 3 LSA,而不需要考虑配置的range,而在考虑intra-area路由的时候,才要去考虑配置的聚合。
所以,上述描述的结果是正常的现象。区域间路由的聚合是在连接产生该路由的区域的ABR上处理的,而不能跨区域聚合。
从协议的角度上来看,OSPF的虚连接Virtual Link非常有用,一是可以将不与骨干区域直接物理连接的区域连接起来,让它能正常路由,这在一些网络的合并中比较有用;二是可以提高网络的可靠性,让骨干区不至于轻易断开而不能正常路由(RFC 2328中的例子)。
OSPFv3仅提供命令行下配置,可以在界面上查看学习到的路由条目。
如果物理连接和下层协议正常,则检查接口上配置的OSPFv3参数,必须保证与相邻路由器的参数一致,区域号相同。
相邻的两台路由器接口的网络类型必须一致。若网络类型为广播网,则至少有一个接口的DR优先级应大于零。
应保证骨干区域与所有的区域相连接。若一台路由器配置了两个以上的区域,则至少有一个区域应与骨干区域相连。骨干区域不能配置成Stub区域。
在Stub区域内的路由器不能接收外部AS的路由。如果一个区域配置成Stub区域,则与这个区域相连的所有路由器都应将此区域配置成Stub区域。
各项口下进行的功能特性配置,在删除router ospf6主进程后,该接口上的所有配置也将被删除。
HA是High Availability缩写,即高可用性,可防止网络中由于单个网关产品的设备故障或链路故障导致网络中断,保证网络服务的连续性和安全强度。
随着网络的快速普及和应用的日益深入,各种增值业务(如 IPTV、视频会议等)得到了广泛部署,
网络中断可能影响大量业务、造成重大损失。因此,作为业务承载主体的基础网络,其可靠性日益
成为受关注的焦点。
在实际网络中,总避免不了各种非技术因素造成的网络故障和服务中断。因此,提高系统容错能力、
提高故障恢复速度、降低故障对业务的影响,是提高系统可靠性的有效途径。
目前产品支持两台网关设备以主-备模式运行。
主备模式是指实现HA的两台设备中, 一台作为主设备, 另外一台作为备设备。主设备在进行业务的同时, 将相关的配置和数据信息实时同步到备设备。当主设备出现故障或主设备的链路中断时,备用设备成为主设备,接管原主设备的工作,实现网络业务的无缝切换。
在主备模式下,主设备响应各类报文请求,并且转发网络流量;备用设备不响应报文请求,也不转发网络流量。主备设备之间通过HA心跳线同步状态信息,配置信息以及特征库文件。
主备模式支持路由模式和透明模式。
HA的工作状态主要有两种,主模式和备模式:
· 主模式是指在设备HA主备模式中,实际参与工作。
· 备模式是指设备在HA主备模式中,作为主设备备份,不参与实际工作。只有当主设备失效,才转换为主设备,接替其工作。
HA中,主要有两种接口概念:
· HA接口:连接两台HA设备的接口,不参与报文的转发,只用于HA设备接收心跳报文和同步报文使用。
· 监控接口:HA必须重点关注的设备接口,如果此接口状态为down,表明网络状态发生故障,需要切换主备设备来修复故障。
· 非抢占方式:如果备份组中的路由器工作在非抢占方式下,则只要主路由器没有出现故障,备设备不会主动成为主设备。
· 抢占模式:抢占模式时指用户可以根据需要,制定某一台设备优选为主设备或者为备设备。如果配置优选为主设备的设备工作正常,即使当前设备为备状态,也要“抢占”成主设备。
· HA的两台设备抢占模式必须匹配。或者全部配置成非抢占模式,或者一个配置成抢占为主,一个配置成抢占为备。否则HA无法正确协商。
为了避免HA设备频繁进行主备状态转换,备设备在网络状态恢复为正常状态后,也不会马上抢占为主,而是在流表等信息同步完成后,等待一定时间。只有在这段时间内,设备依然正常,才会通知主设备,抢占成主。
HA设备之间用来相互通告设备的HA配置和HA状态的报文。如果一个设备在规定时间没有收到邻居心跳报文,可以认定HA邻居已经失效。
处于备状态的HA设备不会参与网络转发,因此无法通过其接口配置的IP地址访问。为了解决这一问题,可以在设备上配置管理地址,用作备设备的网络管理。用户可以从外部访问备设备的telnet服务和web管理界面。
HA作为热备份,为了在状态切换的过程中,尽量减小对网络的影响。HA会将主设备上的一些实时的状态同步给备设备。同步的内容主要包括三种:session信息,设备配置,特征库。
· session信息:包括设备连接表、fdb、用户信息、PKI。
· 设备配置:同步的设备配置中不包含HA配置信息,以及一些特殊的配置。
· 特征库:特征库包括IPS特征库,AV特征库,APP特征库以及URL特征库。
· 当设备启用HA主备模式后,设备进入init(初始化状态)。在这个状态,设备不参与报文转发,只接受对端HA设备的keepalive报文。如果收到了主设备发出的keepalive报文,设备会进入备状态。如果没有收到keepalive报文,设备会进入主状态。
· 如果设备成为主状态后,会向外发送免费arp报文,用来更新上下游设备的arp表(工作在路由模式),或者向外发送特殊的报文刷新上下游交换机的fdb信息(工作在透明模式)。
· 如果设备成为备设备,设备会清除自己的fdb表(如果工作在透明模式),并且向主设备请求状态信息。
根据不同机型分别定义,最少一组Bypass接口对,最多不限制。
使用在二层网络场景。
Bypass功能默认开启。
系统异常时设备会自动重启,会触发Bypass。
异常断电会触发Bypass。
会持续Bypass状态一直到系统启动成功。
系统断电或启动过程会丢3个ICMP报文。
基于会话的源和目的IP来进行限制,当会话没有匹配到源IP地址,就会继续匹配目的IP地址。如果匹配到了源IP地址,那么不会继续匹配目的IP地址。限制的方式包括并发会话数和每秒新建会话数两种控制方式。
一条新建的流量能够同时匹配多条会话限制时,将以会话限制配置的从上到下顺序进行匹配,以配置在上面的条目为准。
比如对公司内部各IP进行会话数限制,地址对象为any,总会话数限制为200,每秒新建限制为10,对技术支持组的各IP进行会话限制,地址对象为192.168.2.0/24,总会话数限制为100,每秒新建限制为10。
配置了两条会话限制,技术支持组的地址对象包含于地址对象any。
查看限制阻断,匹配到192.168.2.0/24 的地址的会话限制都采用的是技术支持组的会话限制配置,符合预期效果。
可以,会话总数和每秒新建的速度,如果只希望限制一个,可以将另一个的数值设置为0,表示对该项不进行限制。
不可以,如果已经配置了某个地址对象的会话限制,那么下一次新建该地址对象的会话限制后,将覆盖之前配置的会话限制。
不会,由于会话已经建立,且数量大于当前配置的会话限制中的总数,下一次该地址对象的流量到来后,将不会受到会话限制的影响,除非该会话老化。如果一直有该地址对象的流量通过,那么该会话将无法老化,可以通过手动清除当前的会话,来使得会话限制对该地址对象立即生效。
当DNS代理没有该域名的缓存时,同时向配置的DNS服务器发出请求,以最先到设备的回应作为响应报文。
不会,只有该客户端将设备作为DNS服务器时,DNS代理的功能才会生效。如果客户端没有将设备作为DNS服务器,设备在收到DNS请求时,将不会查找缓存。
不会,手动配置的域名TTL时间显示为0,不会老化,如果不删除,将一直存在。最多能配置256条。一共能存在50000条缓存,除了256条手动配置,其余都为动态获取的缓存。
当A经过设备的DNS请求收到响应后,在设备上不会产生该域名的动态缓存;如果在B向设备发出请求时,当设备存有该域名的缓存,并且该缓存的TTL时间没有减到0,那么设备将该缓存直接转发给B,作为DNS响应;如果该动态缓存已经老化,即TTL时间减到0,则向DNS代理的服务器发出请求。
在扫描攻击防御中启用加入黑名单功能后,当一个IP地址被识别为攻击源后,会被自动加入黑名单,并在设定的时间丢弃所有该IP发送的报文。
统计集中最近1小时的刷新间隔是1分钟刷新一次,统计最近1天的刷新监控是10分钟刷新一次、统计最近1周的刷新间隔是60分钟刷新一次。
近1小时流量趋势图中,将鼠标移动到每分钟上,会显示当时的流速即1分钟内流量的平均值;近1天流量趋势图中,将鼠标移动到每整10分钟时,会显示当时的流速即10分钟内流量的平均值;近1周流量趋势图中,将鼠标移动到每整小时时,会显示当时的流速即1小时内流量的平均值。
统计集中用户的类型包括匿名用户(IPv4用户及IPv6用户)、静态绑定用户、本地认证用户及第三方认证用户。
对于不同的系统平台,统计集所显示及统计的用户及应用的规格是不同的,可以通过命令show flow-account specification查看规格。
统计集每个应用的总流量为上下数据加下行数据统计出来的总流量,其中总量值后边小数点两位进行四舍五入,所以会造成上行+下行大于或小于总流量现象,误差小于1%。
统计集右上角有一个刷新按钮,页面不会自动更新,当用户设置统计集按最近一小时、最近一天、最近一周时,后台分别以1分钟、10分钟、60分钟进行更新,此时前台页面需要手动点击“更新”按钮进行刷新页面。
统计集每个应用的总流量为上下数据加下行数据统计出来的总流量,其中总量值后边小数点两位进行四舍五入,所以会造成上行+下行大于或小于总流量现象,误差小于1%。
统计集暂时不支持HA,即主墙数据不会同步到备墙,当HA主备切换后,备墙开始记录数据。
统计集数据目前不能保存,也不能随配置导出再导入。
饼图默认显示流量最高的10种应用以及其它应用,即Top10+1, 其它应用是指应用总流量小于0.8%时,记录到其它应用中。
只统计转发流量,不统计到本地流量。
当页面放大或缩小时,饼图的应用注释会与饼图分享,不建议将页面放大或缩小查看。
统计集支持设备旁路模式,能够将Span镜像出来的数据进行数据统计。
应用统计可以在应用中进行点击,页面跳转到使用该应用的用户页面,用户统计即当前发起流量的IP或实名认证用户,点击该用户,可以具体查看该用户所发起的应用流量。
进入WEB页面内的“对象管理>地址>地址探测”点击新建地址探测。
进入WEB页面内的“对象管理>地址>地址探测”查看探测track的间隔时间和重试次数是否时间太短。建议探测间隔时间和重试次数使用默认值10*4。
进入WEB页面内的“对象管理>地址>地址探测”查看探测track状态失败,先确定配置的探测条目tcp端口是否打开。
(1) 探测内网的dns服务器时,首先确定设备dns服务器是否指向了内网dns服务器;
(2) 探测外网的知名dns时,首先确定设备是否配置了dns服务器,并且配置有到达外网的路由。
(1) ACG备墙上查看HA配置
(2) ACG备墙上查看HA所关联track状态是否为Failed
(3) ACG备墙查看引用的track对象的探测目标是从哪个接口出去的
(4) ACG备墙在探测目标的接口下配置管理ip地址
(1) Track联动HA时,因为HA备设备只允许源地址为管理地址的报文发送,所以需要将探测报文的源地址指定为接口的管理地址
(2) Track联动HA时不支持跨网段的探测,因为跨网段的话,你要把往其它网段的报文发到HA管理IP的网关上,备设备看来,HA管理IP的网关就是它自己,但是它自己是备状态,报文发不出
WEB页面导入csv格式用户和用户组后,备墙无法实时同步,需要在主墙同步一次配置后,HA状态才会一致。
当设备中配置了多条七元组策略时,报文会按照一定的顺序与这些规则进行匹配,一旦匹配上某条策略便结束匹配过程。策略的显示顺序与匹配顺序一致,即按照WEB界面(或者通过show run policy命令)显示的顺序,从上到下一次匹配。同时,七元组策略支持通过命令移动策略位置来调整策略的匹配顺序。
单条七元组中可以配置多条应用审计规则和URL审计规则。此版本针对应用规则的匹配顺序包括:全匹配、顺序匹配。默认为全匹配,即当报文可以匹配到该七元组策略的多条应用规则(同时包含拒绝、允许两种动作)时,执行拒绝动作。顺序匹配则按照匹配到的第一条应用规则执行。
添加或修改七元组策略后,所有的流量都会重新进行策略匹配,以使新的策略生效。
进入WEB页面内的“上网行为管理>策略管理>IPv4策略”查看ACG设备中是否有策略将流量拒绝或进入“网络配置>路由>路由表”查看是否存在IMC服务器地址路由条目。
进入WEB页面“用户管理>认证服务器>Portal Server”中查看“认证URL”是否正确。配置URL时,根据“例如”信息,将Server ip地址更改为服务器的IP地址
在NAT环境中,用户访问服务器时MAC地址会发生更改。导致服务器接收的MAC地址与接入用户的MAC不符,产生循环认证的问题。命令行中使用user-portal-server mac-sensitive enable可解决。
(1) 首先在接收的认证页面中输入正确的用户名密码“上线”后,错误信息“向设备发送请求失败。可以检查设备中RADIUS服务器端口号是否与IMC服务器端端口号相同;
(2) 查看输入的用户名、密码与IMC服务器中配置的接入用户信息不一致。可查看IMC服务器中接入的用户名、密码是否与输入的相符;
(3) 查看IMC服务器内的“用户>接入策略管理>Portal服务管理>IP地址组配置”查看认证用户的IP地址范围是否在IP地址组范围内。
ACG内将RADIUS组调用在Portal Server中,该组内有多个RADIUS服务器存在,配置与IMC服务器相同的RADIUS服务器不是该RADIUS组中第一个RADIUS服务器。所以需要进行多次RADIUS服务器匹配,当匹配到与IMC服务器相同RADIUS服务器时即可认证成功。
用户的PC上原认证页面未关闭,将原认证页面关闭或在认证页面填写已认证用户名、密码、服务后,点击下线后,可正常重新认证认证。
(1) 配置超时时间分为两项,一项是IMC服务器上配置的用户在线时长,另一项是ACG1000的Portal Server页面配置的超时时间,当IMC服务器和ACG1000同时配置超时时间,这样会在两者内选择一个最小值最为最终的超时时间。当用户在线时长触及了最小超时时间,用户立即下线;
(2) 当IMC服务器未配置用户在线时长,仅在ACG1000的Portal Server内配置超时时间,在这样的情况下,用户的超时会以在超时时间范围内是否有流量来衡量用户是否超时下线。当在超时时间范围无流量产生,则该用户被下线。有流量产生,则按流量停止时间开始计算,闲置时间超出配置的超时时间,用户被强制下线。
ACG1000日志分析与管理平台推荐安装在64位的操作系统上,包括windows 7/windows XP/windows server 2003/windows server 2000。
系统运行环境最低配置为:PC服务器/Pentium IV CPU/4G内存/100G以上存储空间,最好是磁盘阵列。系统运行环境建议配置为:PC服务器/Pentium IV CPU/16G内存/500G以上存储空间,最好是磁盘阵列。
端口占用说明:web服务(80端口),日志服务器(514端口),数据库(60005端口),内部服务(60006端口), ftp服务器(21端口),请确保以上端口不被别的程序占用。
硬件环境 PC机或笔记本/Pentium II CPU / 512M内存,软件环境IE9.0版本、Mozilla21.0版本浏览器,最佳显示分辨率为1366×768。
由于我们ACG1000日志分析与管理平台是安装在服务器上,有可能和其他厂家类似软件产生冲突,建议保持服务器纯净尽量少安装其他软件,如果遇到错误(以80端口占用为例)请用以下步骤查找原因。
· 在CMD模式下执行命令netstat -aon | findstr 80占用80端口的进程,然后执行msinfo32命令查看正在运行的进程的ID的安装路径卸载该程序或者停止它,如果还遇到问题请卸载重启之后安装。
· 由于win2003服务器由于自带服务“World Wide Web Publishing Service”占用80端口所以请先停止该服务在安装。控制面板->管理工具->服务,打开服务找到“World Wide Web Publishing Service”右键选择停止即可。
模拟场景:ACG1000日志分析与管理平台在北京总公司,连接某一台防火墙,另外ACG设备在其他地方,这样就需要在ACG1000日志分析与管理平台和防火墙进行端口映射,设备需要访问ACG1000日志分析与管理平台的514,21端口。ACG1000日志分析与管理平台需要访问设备的8888端口,访问ACG1000日志分析与管理平台的服务器需要80端口。
系统默认的管理员用户为super,密码为super.123。用户可以使用这个管理员账号从任何可访问设备的地址登录设备,并且使用设备的所有功能。
系统有三权分立默认账户分别为:
· 审计管理员:用户名为admin_audit,密码为audit.123。
· 配置管理员:用户名为admin_config,密码为config.123。
· 用户管理员:用户名为admin_user,密码为user.123。
系统默认的syslog接收端口为514。
通过运行浏览器对ACG1000日志分析与管理平台软件进行配置和管理。ACG1000日志分析与管理平台安装之后默认开启了web服务。
请用户使用IE9.0、Mozilla21.0版本浏览器对ACG1000日志分析与管理平台进行web管理。
将服务器ACG1000日志分析与管理平台软件的服务重新启动。
(1) 查看ACG1000日志分析与管理平台是否可以管理到该设备。
(2) 查看设备端的日志设置的日志服务器IP地址是否填写正确,日志过滤里是否记录并且发送日志。
(3) 查看设备端的安全策略是否填写记录上网行为。
(4) 查看ACG1000日志分析与管理平台服务器的服务是否都已经开启了。
系统管理 > 管理员 > 选择用户 > 点击编辑密码,就可以进入修改该用户密码界面。
查看服务器上ACG1000日志分析与管理平台的服务是否都已经正确开启,浏览器选择是否正确。
设备管理>设备管理>添加设备,填写正确的设备IP地址、用户名、密码,点击<确定>按钮就完成添加一台设备。
在设备管理界面的左侧,有设备组,选择设备所在的设备组,点击进入查看,查看设备是否正确分配到指定设备组。
(1) 在确定设备IP地址正确,用户名密码填写正确的的情况下,如果设备显示未上线状态,查看设备电源是否断电,设备线路连接是否无误,路由转发是否正确。
(2) 设备端没有问题但就是依然无法连接到设备,查看是否当前经过设备的流量过大。导致设备超负荷而无法连接。
(3) 某些设备默认情况下的端口center-monitor是关闭的,需要开启,进入设备命令行,输入show running-config 查看连接端口是否开启allow access center-monitor。 如果没有开启的话,进入设备命令行,进入管理连接端口,执行命令allow access center-monitor。
如果不进行授权,只允许最多添加9台低端设备(ACG1000-C和ACG1000-S),不允许添加高端设备。
授权包括:高端授权和集中授权,单独完成高端授权允许添加低端设备和高端设备,最大数量为9台。
单独完成集中授权允许添加低端设备500台,不允许添加高端设备。如果同时完成高端授权和集中授权,那么允许添加低端设备和高端设备共500台。
在ACG1000日志分析与管理平台的设备管理里,根据选择进入哪台设备点击后边的WEB界面,就可以进入这台设备的管理界面。
可以进行分组存放设备,在设备管理界面,点击添加,添加设备组,新建一个设备组后,可以将设备按照一定要求存放在你想放的设备组里,这样就很大程度上的方便了管理设备。
全部设备信息都导出。
设备突然掉线,修复故障后,点击这台设备后面的<操作>按钮,会尝试重新连接,如果IP地址,用户名,密码,并且设备正常运行,那么就会重新连接上。
点击设备管理下面的设备升级,选择需要重启的设备,点击左上方的<重启>按钮即可。
在设备管理界面有搜索功能,并且功能支持模糊搜索,只要知道设备的名称、设备IP、设备SN其中的一项就可以在搜索里进行搜索,并且可以快速找到要管理的设备。
对已经添加的设备进行修改,先选择设备,然后点击<修改>按钮,就可以对设备进行从新的定义,但是设备名称是不可以修改的。
如果删除一台设备后,这台设备之前的日志也会被清空。
首先在ACG1000日志分析与管理平台设备管理界面下载一份模版,根据模版正确的填写设备名称、设备IP、用户名、密码、设备型号后,保存,在设备管理点击导入,信息填写正确可以完成导入,如果信息填写错误导入后则会提示导入失败,并且有失败原因。
监控统计包括4大部分:系统状态、设备流量监控、用户流量监控、应用流量监控。
可以调节的有:选择设备、时间范围、统计依据、显示前多少项、选择用户、过滤条件。
· 管理状态:时间、软件版本、数据库大小、数据库版本、磁盘空间大小、设备数量情况、授权信息、可以管理最大设备数。
· 最新报表汇总:最近生成的报表任务信息。
· 最近一天日志数量统计:设备操作日志、系统事件日志、流量日志、NAT日志、网站访问日志、聊天日志、恶意网站访问日志。
· 最近一天设备流量统计:用柱状图表示设备最近一天经过有多少流量。
点击设备流量监控可以查看所有设备在某一段时间的流量统计,并且在下方会有设备流量排名信息,点击设备的柱状图会跳转到流量趋势界面,可以看到某一段时间内的流量情况,其时间间隔根据选择查看的日期而不同,在流量趋势界面的下方会有用户和应用的排名。回到流量排名界面,在下方设备流量排名点击某一台设备的用户排名会跳转到用户流量排名,并且是根据当前设备来判断的,回到流量排名界面,在下方设备流量排名点击某一台设备的应用排名会跳转到用户应用排名,可以看到哪些应用用了多少流量,并且是根据当前设备来判断的。
选择好要查看的设备后,会看到这台设备的所有用户的流量排名,点击下方的用户应用排名,会看到这个用户都有哪些应用产生了多少流量从大到小排列。
选择好要查看的设备后,会看到这台设备的应用流量情况柱状图,可以看到都有哪些应用产生了多少流量,点击下方的应用用户排名可以看到,同一个应用哪个用户的流量多少。
· 时间范围:最近一天,波形图时间间隔:10分钟。
· 时间范围:最近一周,波形图时间间隔:1小时。
· 时间范围:最近一月,波形图时间间隔:4小时。
· 时间范围:最近一年,波形图时间间隔:1天。
· 时间范围:自定义时间,波形图时间间隔:参考上面4个范围,给出间隔时间。
可能的因素如下:
(1) 服务器ACG1000日志分析与管理平台的服务没有开启。
(2) 在设备端的日志设定中的日志服务器没有选择服务器IP地址。
(3) 这台客户端的流量表损坏。
(4) 确定连接线路没有故障。
可以添加、修改、删除、克隆地址对象,按照正确的要求添加地址对象后,在地址对象界面会出现新添加的这条地址对象,用户可以对这条地址对象进行:修改、删除、克隆等操作,在成功添加地址对象后,在其他的项目中可以引用正确添加的地址对象,比如:地址组对象、集中策略中的源/目的地址,都可以引用正确添加的地址对象。其重要作用就是将部分IP地址归结到一起,方便以后的使用。
在服务对象中包括:自定义服务对象,可以按照要求添加新的服务,服务组对象,将部分服务综合起来利于大家的发展,预定义服务器,系统默认的服务,不允许修改,但是允许引用。
对于自定义服务对象,服务组对象可以进行添加、修改、删除、克隆操作,并且成功的添加服务对象后,可以被策略管理所引用,用来管理服务。
时间对象可以添加的计划有:单次计划,每日计划,每周计划。
· 单次计划:只执行一次,可以对单次计划进行添加,删除,修改,克隆操作。
· 每日计划:每天固定的时间执行,可也是多个时间段,可以被每周计划引用,可以对每日计划进行添加,删除,修改,克隆操作。
· 每周计划:可以安排一个星期的计划,每周计划不允许为空,但是允许其中的某几天计划为空,并且可以引用每日计划,但是不能引用单次计划。可以对每周计划进行添加,删除,修改,克隆操作。
对于应用对象,不可以进行添加,修改,删除等操作,但是可以通过系统文件来升级应用对象。应用组对象,引用多个应用对象,组成新的应用组对象,可以进行添加,删除,修改操作。
应用对象和应用组对象可以被策略管理中的应用选择所引用,但是新建的应用组对象不能被策略管理的应用过滤引用,应用过滤只引用系统的应用对象。
· 预定义URL分类,不可以进行添加,修改,删除等操作,只能通过系统文件来升级URL分类。
· 自定义URL,可以进行添加、修改、删除、克隆操作。一个自定义URL里可以包含多个URL。
在策略管理的URL过滤中,可以应用系统的URL分类,也可以引用自定义的URL。
可以添加新的关键字,并且成功添加一条关键字以后,可以对其进行修改,删除,克隆操作。在策略管理中的应用过滤里,有关键字匹配,在那里可以应用成功添加的关键字。
在集中略里中点击<添加>按钮,按照需求进行配置,正确配置以后,点击<确定>按钮,此时在策略管理界面会出现新添加的集中策略,选择这条集中策略,点击上方红色<下发>按钮,此时会弹出选择设备对话框,选择要下发到哪一台设备,点击确定,如果没有问题则提示,下发成功,如果有问题则提示下发失败。
如果一条策略下发失败以后,这条策略的下发结果为下发失败,点击左侧的设备名称查看具体失败原因。
如果一条策略成功下发以后,打开设备的上网行为管理-策略配置-IPv4策略,就可以看到刚刚下发的策略,并且ACG1000日志分析与管理平台下发的策略的优先级最高。
不允许同时下发多条策略,但是允许同一条策略同时下发到多台设备。
有修改,删除,下发操作,都可以正确的执行命令。
用户可以通过不同行为的查询,查询到设备上的用户在某些时间段内的具体操作,可以有效的统计和管理。
例如想要查看用户今天都访问了哪些网站就可以选择日志查询-上网行为日志-网站访问,在设置界面选择要查看的设备,选择要看的用户IP地址,时间选择最近一天,点击<确定>按钮,就会出现这个用户最近一天都访问了哪些网站。
日志查询是通过查询数据库中的表来返回查询结果的。
例如数据库中表:t_log_nat_201408 存储的就是2014年8月份的NAT日志,表t_log_other_201409存储的就是2014年9月份的其他日志审计的日志等等,日志查询就是通过查询不同的项目,找到对应的表来返回表中的结果
选择要查询的日志种类,选择要查询哪台设备,选择时间段,之后点击<确定>按钮就会出现这台设备在这段时间内的操作。
例如:要查询设备:192.168.2.55在最近1天内的网站访问日志,操作过程:
(1) 点击“日志查询 >上网行为日志 > 网站访问”
(2) 选择设备地方不选择全部设备,选择192.168.2.55这台设备
(3) 创建时间选择最近一天6、点击<确定>按钮。
这样就会出现2.55这台设备最近一天的网站访问日志。
没有查询的日志的原因可能如下:
· 客户端日志过滤选项没有配置发送到syslog服务器。
· 在设备端的日志设定中的日志服务器没有选择服务器IP地址。
· 设备端的相应功能是否设置为记录日志。
· 这台客户端的流量表损坏。
· 确定连接线路没有故障。
· 利用抓包工具查看是否有日志信息发过来,没有的话则是设备端没有发送日志,去查看设备端是否产生了日志,如果发送过来了,则是日志没有入库,可以稍等1分钟。
过滤条件有:选择设备,筛选用户,过滤源地址和目的地址,URL分类过滤,域名过滤,URL过虑,动作过滤,级别过滤,筛选时间段。
如果在管理很多台设备,需要查询一台设备里的某一个用户,就可以用到日志过滤查询功能。
日志数量的多少、用户的多少、是否涉及多个月份、过滤条件、此时是否有数据存储。
通过新建报表任务或者预定义报表任务,可以查询到某台设备的每周,每月,某个时间段的设备流量,上网行为,网络总体,关键字用户,应用审计的具体信息,将以柱状图,波形图,饼图等形式展示出来。可以方便用户对设备的管理和统计。
报表文件是通过报表任务或者预定义报表任务执行得到的关于某台设备在某段时间行为的的统计数据。
报表任务是用户自己定义的任务形式,其中可以选择表报任务的行为有:设备流量、上网行为、网络总体、关键字用户、应用审计。在统计内容中具体选择哪个报表模块,设置统计条件,设置生成时间,选择生成格式即可。
预定义报表任务是程序自带的报表任务,总共包括:每周设备应用流量报表,每周设备用户流量排名,每周设备流量排名,月度设备应用流量排名,月度设备用户流量排名,月度设备流量排名。预定义报表任务只能修改名称和设备,其他的选项为固定的。
这样的提示说明此时没有连接到你的设备,请点击<编辑按钮,选择要生成报表的设备即可。
报表文件的格式分为:HTML或者PDF。在编辑表报任务的生成格式可以选择HTML格式和PDF格式。
选择设备时只允许选择一台。
等待一会,生成报表文件需要一定的时间,如果等待一会也没有报表文件出现,查看报表任务执行是否正确。
在系统管理-管理员可以选择super超级管理员进行修改密码。
使用超级管理员可以为其他管理员分配权限,在系统管理-管理员-角色管理中可以为管理员分配权限。
在系统管理-数据库备份还原中输入正确的备份路径,就可以将当前的数据库备份到路径文件下。
在系统管理-数据库备份还原中输入正确的还原路径和文件名称,就可以将备份的数据库还原到现在数据库上。
在系统管理-日志备份还原中选择要备份的日志类型,也可以多选和全选,选择要备份日志的日期,填写正确的备份路径,就可以将选择的日志备份到填写的路径文件下。
在系统管理-日至备份还原-日志还原,填写正确的还原文件的路径和文件名称,点击<确定>按钮,就可以将备份的日志还原到ACG1000日志分析与管理平台上。
产品与解决方案
新浪微博
腾讯微博
豆瓣空间
搜狐微博
QQ空间
腾讯朋友
网易微博
百度搜藏
开心网
告诉聊友
售前咨询
售后咨询
人工在线咨询
