【SMP/ESS】SMP配置完上网权限控制策略后，策略没有生效

发布时间：2013-11-23

点击量：4153

1、故障现象
配置完上网权限控制策略后，策略没有生效：

2、故障可能原因
    1）配置完上网权限控制策略后，未在用户组中开启；
    2）使用非锐捷安全代理客户端，添加设备模板时未勾选支持“基于设备的网络访问控制”；
    3）接入设备配置错误或参数错误

3、故障处理流程

‘

3、故障处理步骤

步骤1 检查用户组中是否开启上网权限控制功能

首先确认SMP中已经在用户组中开启了上网权限控制功能，步骤如下：

1. 在SMP管理界面中，依次打开“身份认证管理”-找到需要开启上网权限控制的用户组点“修改”。

2. 点击上网权限控制标签，勾选“启用上网权限控制”并勾选添加的上网权限控制策略后点，点击启动上网权限控制功能；

步骤2 检查设备模板是否配置正确

上网权限策略的下发分为两种控制方式，一种是使用SA安全代理进行控制，一种是下发给接入交换机来进行控制，如果使用交换机控制需要注意几个配置点：

1. 在添加设备模板时必须勾选“基于设备的网络访问控制”，配置步骤如下：

1）打开SMP管理界面，在“身份认证管理”“管理设备”中点击“设备配置模板”进入设备模板配置界面，并点击添加配置一个新的设备模板：

2）输入“设备配置模板名称”，选择设备类型，输入“身份认证key”，填写“SNMP v2c community”配置，在基于设备的网络访问中控制处必须点击支持，否则SMP不会给设备下发策略。

3）如确认已经勾选了支持基于设备的网络访问控制，则进入步骤3。

步骤3 检查接入交换机配置和策略下发情况

使用交换机来执行上网权限控制策略时，要求交换机必须支持GSN功能（仅限锐捷交换机支持，具体型号是否支持请咨询4008确认），同时需要在802.1x配置的基础上增加SMP的相关配置：

1. 交换机需增加配置如下：

smp-server host 172.16.8.61          //配置SMP服务器地址
security gsn enable                        //开启GSN功能
security v2c community ruijie        //配置安全团体字

int fastEthernet 0/5
security address-bind enable //端口开启安全地址绑定

2. 检测策略是否下发成功，在交换机上输入“show smp policy”查看交换机上的策略是否正确安装‘’

3. 如果显示策略为空，则在SMP上启动抓包工具，看是否有发往接入交换机的SNMP报文（使用抓包工具为wireshark）

4. 进入步骤4使用debugtool工具收集调试信息。

步骤4 收集信息后，请联系4008111000协助处理

拨打4008111000协助处理前，请确认以下内容：
1、已严格按照软件操作手册、测试手册进行配置；（确保没有配置错误）
2、客户端能够通过1x认证，并且SMP服务器和客户端之间的网络通信正常；
并收集如下信息：
1 ) 详细的故障描述和排错过程中的截图和报文；
2 ) 远程访问方式及其账号信息。（如具备远程条件）
3、通过debugtool工具导出的调试信息文件:
1). 请在浏览器输入：http://1.1.1.1:8080/smp/debugtool.jsp（将1.1.1.1替换为SMP真实IP），并勾选“开启直通协议咱调试”和“开启策略下发调试”开关后，点击最下方的“修改”按钮，开启debug调试开关。