交换机
园区网交换机
数据中心与云计算交换机
中小网络精简型交换机
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
小锐A系列
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
1、故障现象
在流控策略调用会话数限制对象,希望限制每IP的会话数;但配置完成后,发现下面每用户的会话数仍然会超过设置的限制额度;会话数限制没有生效;
2、故障可能原因
(1)设备应用识别异常;
(2)会话数限制对象配置不当;
(3)流控策略配置不当;
3.故障处理流程
4.故障处理步骤
步骤1 :检查设备应用识别是否正常
该步骤排查过程请参考:应用识别类>>大部分流量无法识别 故障排查案例;
步骤2 :检测会话数限制对象配置是否正确
重要说明:禁止在低于V4.0.02版本上配置会话数限制;部署前需检查设备的软件版本,如低于V4.0.02,请先升级到V4.0.02或更高大面积部署版本;
会话数限制可基于全局和每用户进行限制,例如:限制某网段所有用户会话数不超过10万,同时每用户会话数不超过800;但需要注意每个会话数对象中的全局会话数限制超限动作和每用户会话数超限动作仅匹配一次;所以我们需要检查会话对象中的动作配置是否合理;
Web登陆 策略管理>>对象>>会话数限制,检查需在流控策略中调用的会话数限制对象的配置是否正确;
常见错误举例,客户的需求:整体的会话数不限制,单每用户的会话数限制800;
错误配置:全局会话数限制随意填写个数字,如本案例写1000,全局会话数超限动作为“accept”;每用户会话数限制800,每用户会话数超限动作为“drop”;
错误原因说明:设备在新建每个会话时,仅能匹配所调用的会话数限制对象中的全局会话数限制超限动作或每用户会话数超限动作;以本错误案例来说,当全局新建第1001条会话时,就只会匹配上“全局会话数超限动作:accept”,而后面的每用户会话数限制将不会匹配;因此就会造成每用户会话数限制失效;
正确配置:全局配置不配置,仅配置每用户会话数限制和每用户会话数超限动作
正确原因说明:全局会话数限制不配置(不填任何数值)时,系统将不会执行全局会话数超限动作;仅会执行有配置的每用户会话数限制及超限制动作;
总结:对于全局或每用户会话数不限制时,在添加会话数限制对象时需不配置(不填任何值);
步骤3:检测流控策略配置是否正确
配置的会话数对象需要在流控策略中调用,所以我们得确认流控策略中调用得是否正确
配置二级的会话数限制,每用户限制800
错误配置:
在限制迅雷的流控策略中调用会话数限制对象
这样的会话数限制配置策略是无效的,因为只有匹配协议:迅雷的流量才进行会话数限制;
正确配置:
如既需要进行会话数限制,又需要对应用进行控制;就需要采用一级会话数限制
如果不需要进行应用控制,则可以继续采用二级会话数限制;
步骤4:收集信息后,请联系4008111000协助处理
如果经以上3个步骤排查后故障无法解决,请将根据步骤1到步骤3检查配置信息压缩打包,同时准备好ACE的远程方式后联系4008-111000协助处理。
1、应用识别异常信息收集(参见:应用识别类>>大部分流量无法识别>>步骤7:信息收集 部分);
2、会话数限制配置(web配置界面截图);
3、流控策略配置(web配置界面截图);