1、需要保证前面设备正确映射SPA的 UDP和TCP端口,且中间网络放通
如果前置设备是负载均衡场景不支持UDP SPA1.1 开启SPA时,为了避免影响设备间通信,请把SDPC地址,proxy地址,sdpc以及proxy集群地址,sdpc以及proxy集群分发线心跳线地址,分布式集群通信口和同步口地址均加入白名单中。
1.2控制器设备认证服务的UDP敲门端口,与控制器 HTTPS监听端口保持一致(默认443),在防火墙NAT环境下,需要同步将认证服务的控制器 UDP SPA敲门端口映射到互联网(即,客户端接入地址的端口)。
1.3代理网关设备业务访问的UDP敲门端口,与代理网关隧道服务监听端口保持一致(默认 UDP 441,不支持修改), 在防火墙NAT环境下,需要同步将代理网关业务访问的 UDP SPA敲门端口映射到互联网(即,节点区域互联网访问地址的端口)。
注意事项:
1、使用本地hosts或者IP的方式接入开启SPA的设备时,仅支持通过客户端接入和隧道应用访问,不支持浏览器接入和访问web应用。
2、使用IPv6地址接入开启SPA的设备时,无法接入,SPA不支持IPv6场景,两种功能不要同时使用。
3、分布式集群场景和本地集群场景,SPA一人一码的同步大约需要等待5~10分钟才能生效。
4、不支持对控制台端口4433,SSH端口22进行端口隐藏。
5、linux客户端暂不支持输入安全码功能(使用时和低版本客户端使用场景保持一致)。
6.集群从设备真实IP不支持SPA防护。
7、不支持仅TCP SPA服务隐身并同时启用http接入场景,如果设备配置了仅TCP服务隐身同时设备启用了http接入,会绕过SPA校验,仅开启TCP SPA的情况下请关闭http接入。
发表于 2022-9-26 09:31