产品
产品中心
< 返回主菜单
产品

交换机

交换机所有产品
< 返回产品
交换机
查看交换机首页 >

无线

无线所有产品
< 返回产品
无线
查看无线首页 >

云桌面

云桌面产品方案中心
< 返回产品
云桌面
查看云桌面首页 >

安全

安全所有产品
< 返回产品
安全
查看安全首页 >
产品中心首页 >
行业
行业中心
< 返回主菜单
行业
行业中心首页 >

【ACE适用于软件版本是3.4.00/4.0.2】SAM联动类异常,即SAM无法统计到网关流量,导致无法查看到每用户的网关流量

发布时间:2013-11-26
点击量:2735

1、故障现象
ACE与SAM联动场景,需要ACE统计每用户的流量并发送给SAM;但部署完成后,SAM上无法查看到每用户的网关流量

2、故障可能原因
(1)设备应用识别异常;
(2)全局策略配置不当;
(3)IPFIX策略配置不当;
(4)认证参数配置不当;
(5)未存在在线用户列表;
(6)用户流量未经过ACE;
(7)SAM未收到IPFIX报文;
(8)ACE与SAM时间不一致;

3.故障处理流程

4.故障处理步骤

步骤1:检查设备应用识别是否正常
该步骤排查过程请参考:应用识别类>>大部分流量无法识别 故障排查章节

步骤2:检查全局策略配置是否正确
检查理由
只有匹配全局策略中关联认证类型为SAM的策略,才能执行“用户认证”中相关SAM的配置策略,如流量统计;
检查步骤
Web登陆,策略中心>>全局策略,检查是否有包含需认证网段的启用SAM认证的全局策略;
解决方法
全局策略中添加包含该网段带SAM联动配置动作为trust的策略,且保证需要流量统计认证的网段可匹配到该策略;
同时注意流控策略的匹配顺序;
 

步骤3:检查IPFIX策略配置是否正确
检查理由
ACE会根据IPFIX的策略进行流量统计并标识流量的类型,类型有:校内、国际、国内;对于SAM来说,校内是不计费的,所以必须配置包含需统计流量用户端的IPFIX策略,同时流量类型为:国际或国内;
检查步骤
web登陆 策略中心>>用户认证>>SAM认证配置,首先IPFIX策略配置的桥是否与认证配置的桥是否都为实际部署的桥,然后检查是否已经建立可以流量类型为国际或国内的认证用户网段的IPFIX策略;
图1:IPFIX策略配置的桥与认证配置的桥一致;
 
图2:必须有包含认证用户段的国内或国际的IPFIX策略
 
解决方法
1、将IPFIX和认证配置中的桥配置与实际部署桥一致;
2、包含认证用户段的国内或国际的IPFIX策略,同时注意策略是至上而下匹配;
 

步骤4:检查在线用户列表
检查理由
认证参数中的IPFIX、流量统计选项是ACE进行流量统计的必要开关;
检查步骤&解决方法
确认SAM认证配置>认证配置 中的IPFIX和流量统计 两个功能都开启,同时桥组必须正确;
 

步骤5:检查在线用户表
检查理由
ACE只会为存在在线用户表中的用户进行流量统计
检查步骤
web登陆 报表>>在线用户列表 通过查看IP地址的方式,检查用户是否已经在线;
 
解决方法
客户端重新认证,同时注意客户端认证服务必须是可访问校外资源的;

 

步骤6:检查用户流量是否有经过ACE
检查理由
客户端PC的流量未经过ACE,常见的情况:客户端PC存在双网卡,通过未经过ACE网卡上网;客户端PC使用IPV6网络上网;在这样的情况下,ACE是无法统计到这部分流量的;
检查方法
我们可以先找台测试PC进行正常业务操作,然后在ACE Report/APM自定义测试主机的应用报表进行观察,确认测试PC发送的流量总量是否正确;报表上都能正常查询,说明客户端的流量都经过ACE设备;如果不能,则需要与用户沟通下网络使用的场景;
图1:自定义应用报表示意图
 
同时也可以通过抓包的方法进一步确认,镜像的操作方法如下:
在策略中心中添加一条该主机的流控策略,同时开启端口镜像功能,并选择镜像口ma;然后将PC与ma口连接,通过如wireshark抓包软件进行抓包,如能获取到该主机的抓包信息,则表明该主机的流量有穿过ACE;
 

解决方法
与用户沟通调整客户端的流量走向,让其全部能经过ACE;

步骤7:检查SAM是否收到IPFIX报文
检查理由
只有SAM能正常接收到ACE发送的IPFIX流量统计,才能分别对各用户进行网关流量统计;
检查步骤
在SAM上抓取IPFIX报文(报文类型:TCP端口4739,code0的报文;ACE会在用户流量到达10M,或者用户上网10分钟时通过code0的IPFIX报文通知SAM用户使用的流量情况(内容包含国际上下行流量、国内上下行流量);),确认是否有该用户的正确的IPFIX报文;确认没有被中间的安全设备过滤和本身服务器上的安全软件过滤;
 
解决方法
调整中间安全设备的过滤规则,调整SAM服务器上的安全防护软件;开放TCP 4739端口;
 

步骤8:检查ACE与SAM的时间是否正确
检查理由
ACE发送的流量统计是带有时间属性的,所以需要保证ACE与SAM的时间一致,这样才不会由于时间不一致导致流量无法查询;
检查步骤&解决方法
1、ACE 的时区和时间检查。
通过show clock命令查看ACE系统的时区和时间,如果ACE的时间与当前的时间不一致,可以通过clock zone和clock set命令进行修改;
ruijie# show clock   ---->查看系统时间
Wed Aug 01 14:21:06 GMT+8 2012

ruijie(config)# clock zone GMT 8  ---->设置GMT+8区
ruijie(config)# clock set 14:21:00 1 8 2012   ---->设置系统时间

2、SAM时间和时区检查
如发现系统时间错误,需调整系统时间。
  

步骤9:收集信息后,请联系4008111000协助处理
如果经以上8个步骤排查后故障无法解决,请将根据步骤1到步骤8检查配置信息压缩打包,同时准备好ACE的远程方式后联系4008-111000协助处理。
需要收集的信息
1、应用识别异常信息收集(参见:应用识别类>>大部分流量无法识别>>步骤7:信息收集 部分);
2、全局策略配置信息(web配置界面截图);
3、IPFIX策略配置信息(web配置界面截图);
4、认证参数配置信息(web配置界面截图);
5、在线用户列表(web界面截图);
6、用户自定报表截图(web配置界面截图);
7、SAM上的IPFIX报文抓包信息;
 

 



 
 

 

相关产品

返回顶部

请选择服务项目
关闭咨询页
售前咨询 售前咨询
售前咨询
售后服务 售后服务
售后服务
意见反馈 意见反馈
意见反馈
更多联系方式