大多数人都倾向于夸大自己的烦恼与困境。最难的是要承认自己可能夸大了困境。 ---《别再为小事抓狂》
总爱为小事抓狂、烦躁,其实事后想想,应该淡定一些,安之若素,处之泰然。
一客户,配置了用户名密码认证,然后发现“在线用户列表”里的用户时长为上百个小时,这种长时间用户无法注销导致一个问题,用户使用其他终端登录该账号时提示“超出用户数授权限制”。
一、3月20日 当时AC的设备版本是11.2R1,检查策略,发现“认证选项”的配置有问题。 当时的配置:
“自动无流量注销时间”设置为10080分钟,换算为168小时。 想当然的以为是这个原因,于是将这个修改为“120分钟”,并将设备升级到11.8就撤了。
二、一段时间后 中间接到过客户电话,说设置为120分钟后,依然出现了上百个小时的用户。 当时没有时间细想,于是告诉客户配置下“每天强制注销所有在线用户”。结果反馈给我的情况是更糟,用户是每天注销了,但免认证不生效了,需要每天登录,还不如那在线用户上百个小时的情况呢。 免认证出问题了?哪里出了问题? 免认证一直启用,且告知客户不清空Cookie和缓存,并在登录时勾选“记住登录信息”。
三、4月25日 问题始终没有解决。 再次查看配置,发现“自动无流量注销时间”变成了600分钟,才知道中间有工程师过来排查过问题,将“每天强制注销所有在线用户”的勾去年,将“自动无流量注销时间”从120分钟更改为600分钟。问题依旧。 我跟客户反复确认客户单位下班到上班的时间段,确认中间至少有12个小时的无流量时间。 莫非是策略没有生效? 联系400处理,400分析说有可能是公网有发往内网IP的数据包导致的。 抓包分析,发现确实是公网数据包引起的,虽然内网IP没有回包,但AC设备依然认为该IP有流量。
解决方案:400说这个需要定制,从底层将机制改掉,让设备认为从公网过来的数据包不认为是内网用户的流量 ,需要联系销售或产品经理处理。 另外,测试免认证正常。
PS: 1、强制注销、手工注销(注销页面),会导致Cookie免认证失效。Cookie值是AC下发的,强制注销会导致AC设备清空Cookie值。指定时间注销、无流量注销不会清空Cookie值。 |