【专家问答】AC上网行为管理问答Q/A汇总
  

sangfor_闪电回_小六 发表于 2018-8-3 10:30

【大咖来了】第3期 | AC上网行为管理问答专题
以下汇总部分用户问题&专家回复内容,欢迎查看~

问题1
Q:客户已有syslog服务器,用来收集所有设备的日志,包括AC的审计日志。但AC只能导出邮件告警日志、管理日志,那么审计日志该以何种方式和客户已有syslog服务器对接,有外置数据中心的情况下对接呢?
A:您好,这项需求之前有用户反馈,通过定制实现的,深信服会关注这类需求的热度,后面做入产品规划中。

问题2
Q:ac与华三的无线平台IBMC进行了单点登入的对接。但是实际使用中发现。如果客户在华三无线的web页面或者客户端软件上进行注销操作。ac这边用户还是在线,有什么办法可以实现华三那边进行注销,ac这边也跟着注销?
A:你好,我猜想你想问的是华三的IMC,当imc客户端从IMC系统下线时,会发送下线报文给AC,下线报文号为253(16进制fd),同样,下线报文包括用户名和用户的IP地址,当AC收到下线报文后,便从AC注销用户。

问题3
Q:AC与其他非深信服品牌SSL VPN设备的对接问题?
A:你好,AC支持IPSEC VPN,可以和其他品牌支持IPSEC VPN的设备做对接。

问题4
Q:我司都用了固定IP,远程可用固定IP的方式登录并控制。近期发现有部分IP登录不上,可能是运营商封了443的端口,请问如何确认是否是运营商封端口造成访问不了,或是其他说明原因造成访问不了的?
A:您好,1.在出口设备抓包是判断此类问题最快捷的方式,出口设备抓包对方不回包或回包异常,下一步可以联系运营商做进一步定位;
2.如果怀疑是运营商封掉了443端口,可以尝试小范围更换一个不常用的端口测试

问题5
Q:环境介绍:
AC1100 Ver5.2R2
100台固定办公PC应用,单位外PC不确定状态随时变化;
核心交换机用Cisco带VLAN功能的,已经划分了VLAN,隔离机密区域;
使用疑问:
单位内固定办公PC已经做了双向地址绑定,用来审计上网行为记录;
单位外非固定PC,在AC中定义了10个地址不绑定的IP,随用随设置;
但是这样有一个问题,不会像DHCP方式快捷;
我想咨询工程师,有没有一种方法可以在保留现有固定PC地址绑定不受影响的基础上对单位外PC设置动态分配,由管理员输入密码实现联网控制;
这样就摆脱了记忆的枷锁,也避免弄错,地址冲突;
A:这个比较容易实现啊,在核心交换机上开启DHCP功能,但是只分配一部份地址,供单位外人员PC使用,内部固定办公PC还是采用静态地址绑定,同时DHCP分配的地址采用密码认证方式,这样就能解决了。
另外关于密码认证是否会影响双向绑定的固定PC?这个是不会的,密码认证配置好生效IP范围,只对固定IP范围内生效,不会对绑定IP/MAC的用户产生影响

问题6
Q:AC设备做旁路模式部署。上端设备已经做了镜像口,为什么抓不到用户数和经过的流量?
A:您好,1.确认镜像完整;
2.抓包确认镜像到设备的数据是完整的、双向的;
3.抓包确认数据包没有带特殊的协议头部,如果有要在设备配置对应的协议剥离;
如果自己做这些操作有困难,可以联系400工程师协助。

问题7
Q:非常非常的想了解AC里面防火墙的进出日志在那里看,因为我在08年的时候就在使用你们的AC,那个时候可以非常清楚的看到防火墙的所有数据的进出日志,而且非常详细,希望能得到回复。
A:您好,防火墙进出日志在11X以后版本确实已经去掉,11X以后的版本无法在界面查看防火墙日志。

问题8
Q:在做AC防共享时,总会出现误判的情况,最多的问题就是手机通过USB连接电脑被识别为共享行为,请问,目前能够解决这种误判的问题吗?
A:您好,防共享优化方案将于AC12.0.15版本和大家见面。
手机插USB连接电脑的场景目前暂无解决方案,从数据流分析属于共享场景。

问题9
Q:AC的系统日志为什么每天的存储空间只有8M,如果不能存储一天的日志信息会是哪里有问?

A:您好,AC系统日志限定每日的文件大小不能超出8M,在不开启调试日志的情况下,通常可以满足每日的系统日志记录。目前也发现有部分用户的系统日志会遇到8M空间不足的情况,时间早的日志会被覆盖掉,此问题会反馈研发做产品改进,进行优化。

问题10
Q:AC上网行为管理开启SNMP通过华三IMC管理监控,一直没有性能监控数据,处于"unknown snmp product"状态,是什么原因?
访问https类别的网站被上网行为策略管控,禁止,但不能显示访问违规网站被禁止的提示,用户会以为是网络问题,有解决方法吗?
A:您好,1.问题一,疑似没有配置正确,建议联系400做下排查
2,访问https的网站,弹重定向页面功能暂时无法实现,此类问题会做关注,早日寻求解决方案

问题11
Q:问个BBC问题,BBC啥时候支持AF、WOC、MIG、SSL统一管控。
用户免认证漫游啥时候支持?
A:您好:BBC支持AF、WOC、MIG、SSL统一管控将于9月,最迟10月初实现,请你密切关注新版本发布通知
用户漫游免认证暂时规划到统一认证中心实现,BBC暂无支持计划;

问题12
Q:客户办公内网IP地址是手工分配的,很多部门申请的IP地址,是给办公电脑用的,但是办公室私接到无线家用路由器上,这样会对内网安全造成一定的威胁。客户想从AC上识别到这些无线家用路由器,通过AC管理私接无线路由器的情况,请问可以实现吗?
A:您好,AC路由或者网桥模式部署,请使用终端接入管理——共享接入管理功能

问题13
Q:老问题,请问是否规划自动识别国家法定假日?政府和教育行业这方面的需求很大。
A:您好,需求有规划,但是存在一些难度,法定假期也有不一致的可能

问题14
Q:静态路由不支持导入导出,个别客户设备操作很不方便。
有客户反映过,用户下班关机后,次日上班登录账户,后台显示此用户在线时长不对,显示过长时间。
全局排除地址不能批量导入,很麻烦
AC有没有学习平台,可以供大家线上实操
A:您好:
静态路由导入导出需求,已经在规划中;
在线时长问题可以联系400排查;
全局排除批量导入问题,会反馈研发规划,关注需求热度;
暂时没有对外的学习平台

问题15
Q:做AC防共享时,总会出现误判的情况,挂课啊什么的,误判现在都有哪些?
A:您好,防共享优化的新方案将于AC12.0.15与您见面,如果当前比较急,可以联系400打补丁尝试解决



以上全部内容精选自AC专家问答活动,
如需了解更多详情,请点击大咖来了】AC产品问答专场

喜欢这篇分享吗?喜欢就给楼主打点赏吧!点个赞也是极大的鼓励!

发帖可获得5S豆;若您的分享被加精或推荐优秀等,将获得更多S豆奖励,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

sangfor_闪电回_小六 发表于 2018-8-3 15:26
  
以上全部内容精选自AC专家问答活动,小伙伴们还有其他产品相关问题,可以跟帖补充哟~
一骑绝尘 Lv6发表于 2018-8-6 17:28
  
感谢总结,很实用呀
痴笑Memory Lv4发表于 2018-8-7 10:29
  
这么好的帖子竟然没人。

有好几个问题都遇到过的呢。

基本上都是打400
ie5000 Lv6发表于 2018-8-8 09:13
  
精华之问答啊,实用
你个妖孽 Lv3发表于 2018-8-8 11:48
  
很受用哦
王永飞华璟 Lv0发表于 2018-8-10 10:53
  
强烈关注!很是适用