| 产品线 | 问题 | 客户提交的答案 | 修正后答案 | 奖励 | 答案提交人昵称 |
| AC | AC可以做lan-dmz端口的映射吗? | 可以做LAN-DMZ端口映射的,通过防火墙模块下端口映射中的高级规则来实现 | 1、在设备【防火墙】-【端口映射】新增高级规则
2,根据内网需求配置端口映射即可 | 30 | tyjhz |
| AC | AC在填写虚拟带宽大小时填写比125MB/s大的数值会报错? | 是的。会报错。最大支持1000Mb/s带宽,转换后即为125MB/s。 | AC最大支持1000Mb/s带宽,转换后即为125MB/s | 30 | adds |
| AC | AC只允许搜集到的MAC地址上网,其他的拒绝上网怎么做? | 1.添加认证策略,适用范围填上收集到的MAC地址,认证方式选择不需要认证,默认策略修改认证方式为不允许认证。
2.把收集到的MAC地址放到一个组里面,修改默认认证策略-认证后处理里面的高级选项,启用用户登录限制,选择仅允许以下用户登录里面选择收集的MAC地址组。 | 方法一:1、在【用户认证与管理】-【认证策略】新增认证策略,适用范围填上收集到的MAC地址,认证方式选择不需要认证,认证后处理保持默认
2、将默认认证策略认证方式修改成不允许认证
方法二:1、在【用户认证与管理】-【组与用户】新建一个组,将收集的mac 地址放入组中,一个mac 对应一个用户
2、在【用户认证与管理】-【认证策略】修改默认认证策略,认证范围选择所有,认证方式选择不需要认证,【认证后处理】-【高级选项】勾选【启用用户登录限制】并且在下面选择刚才新建的组
注意:上述方法,如果内网是三层环境,需要开启跨三层,在【用户认证与管理】-【认证高级选项】-【跨三层取MAC】开启跨三层 | 60 | sunliang2527 |
| AC | ACportal服务器和radius服务器有什么区别? | RADIUS 服务器采用C/S构架,用户数据存储在 RADIUS服务器上,由服务器对客户端进行统一管理、认证、授权、计费。
PORTAL 服务器基于浏览器,采用的是B/S构架。一般用户用户上网认证,当通过认证后才能访问internet资源,用户数据可以存储在本地,也可以调用外部服务器。 | 完全采纳 | 60+60 | adds |
| AC | AC在设备里面做了443端口映射,和设备本身的服务会冲突吗? | 443端口映射是不会影响设备本身服务的,如果设备只有一个公网IP做443端口映射,只会映射通过公网IP登陆设备控制台,如果设备上配置了多个公网IP,而只有一个公网IP做了443端口映射,就不影响通过公网IP登陆设备了。 | AC上做了443端口映射是不会影响设备本身服务的
1、如果设备只有一个公网IP做443端口映射,只会影响通过公网IP登陆设备控制台
2、如果设备上配置了多个公网IP,而只有一个公网IP做了443端口映射,就不影响通过公网IP登陆设备了 | 80 | tyjhz |
| AC | AC配置nat代理,源地址可以转换成一个AC的接口没有的地址吗? | 可以。只要对端设备能将数据包回传给AC设备即可。 | AC配置nat代理,源地址可以转换成一个AC接口没有的地址,只要对端设备能将数据回传给AC设备即可 | 40 | adds |
| AC | AC设备是否支持做动态域名解析? | 无正确答案 | 截止至AC12.0r3版本,AC设备暂不支持动态域名解析 | 0 | NA |
| AC | AC不启用ssl内容识别,qq邮箱发送的账号和接收的账号是否可以审计到? | AC不启用ssl内容识别,qq邮箱发送的账号和接收的账号是否可以审计到?答案是:可以 | AC不启用ssl内容识别,qq邮箱发送的账号和接收的账号是可以审计到的 | 20 | 金诺网络_JET |
| AC | AC升级的时候,开直通网络会断开吗? | AC升级完后设备需要重启会网络断开,在升级过程中不会断 | AC升级完后设备需要重启会网络断开,开着直通也会断网,在升级过程中不会断 | 30 | 金诺网络_JET |
| AC | 在SC的网点里进行VPN配置时,有些VPN配置模块是灰色的,导致无法下发VPN配置? | 是因为在添加VPN网点的时候勾选了VPN模块使用网点当前配置选项导致的 | 在SC新增网点的时候,勾选了【VPN模块使用当前网点配置】导致VPN配置异常 | 30 | tyjhz |
| AC | AC在界面上没有看到安全防护的模块? | 设备旁路模式部署不支持安全防护功能 | AC设备旁路模式部署不支持安全防护功能 | 30 | PC9527 |
| AC | AC 手机接PC上充电会被识别成移动终端吗? | 无正确答案 | 1、手机查电脑上充电正常情况是不会识别成移动终端的
2、如果有手机数据通过电脑上传就会识别成移动终端 | 0 | NA |
| AC | AC怎么实现用户没有通过认证,也要有能使用邮件客户端收发邮件的权限? | 先新建一个允许使用邮件客户端收发邮件的上网权限策略,适用对象关联给根组,然后在新建认证策略的时候,在认证后处理的高级选项中勾选认证前使用此组权限,并且该组选为根组 | 1、在设备【策略管理】-【上网策略】新增一条上网权限策略,允许邮件收发,将策略关联给某一个组
2、在【认证策略】-【认证后处理】-【高级选项】中勾选认证前使用此组权限,并且选择之前关联策略的组 | 60 | tyjhz |
| AC | AC外置数据中心怎么分权限管理,比如有人能看报表 ,有人看日志内容? | 1、在管理员里面新增管理员,在日志中心审计权限上面,关联不同权限,有的关联统计与报表,有的关联查询与搜索中心。
2、也可以使用日志中心Dkey,使用Dkey登录才有日志查询功能 | 1、在设备【系统管理】-【系统配置】-【管理员账户】新增一个账户,点击账户【页面权限设置】勾选相应的数据中心页面权限即可
2、在设备多功能序列号开启带有数据中心key查询的序列号,然后在设备【系统管理】-【系统配置】-【管理员账户】新增一个账户,刷好key,数据中心使用key登录可以查询日志等操作,非key用户没有日志查询功能 | 60 | gone |
| AC | 一台AC和两台做冗余的服务器做LDAP单点登录怎么设置? | 两台域服务器的域名相同-------当两个域后缀是一样的时候,也就是主辅域的情况 直接设置一个LDAP去设置策略;
当两个域后缀不一样的时候,直接设置两个LDAP去设置策略 且需要勾选【用户认证与管理】-【认证高级选项】的“域帐号附加域名作为用户名”——这个选项。 | 1、两台冗余的服务器,域名和IP地址都一样的情况下,单点登录按一台服务器的配置。两台服务器配置一样
2、两台服务器域名和IP地址不一样的情况下,脚本方式的单点登录采用sinforIP形式配置,ADSSO方式的单点登录,就添加两台服务器,并且在认证选项里面勾选【域帐号附加域名作为用户名】 | 50 | 小白TWOer |
| AC | AC在【IP/MAC绑定】绑定交换机的MAC的时候报错:表单提交出错 不能绑定三层交换机MAC怎么办? | 关键点是确认某公司 AC 与 所属交换机SNMP是否开启,版本号是否一致;有没有将SID填写正确。 | 1、检查snmp的相关配置,参数是否有问题
2、检查设备系统日志是否有snmp的报错
3、点击设备其他的模块配置的时候是否有报错
备注:若按照上述步骤操作还是无法解决您的问题,建议您选择联系人工处理
您可以输入“需要人工服务”了解人工服务途径 | 10 | tj_zero |
| AC | AC在线用户列表内的不需要认证用户如何清除? | 1、【用户认证与管理--用户认证--认证策略】,新增一条认证策略,认证范围选择在线用户列表里不需要认证用户的IP,认证方式选择不允许上网。
2、【用户认证与管理--认证高级选项--用户管理】,勾选自动注销无流量的用户,并将无流量时间改短至10分,则10分钟后,不需要认证的用户无流量10分钟后即可除。
3、【用户认证与管理--认证高级选项--用户管理】,勾选每天强制注销所有在线用户,将时间改为临近的时间点。则到达这个时间点,在线用户里的用户将都清除。 | 1、在【用户认证与管理】-【用户认证】-【认证策略】,新增一条认证策略,认证范围选择在线用户列表里不需要认证的IP,认证方式选择不允许上网,等在线用户列表不需要认证的用户下线之后,关闭这条策略,用户会重新认证上线,但是这条策略会导致用户上不了网,请谨慎操作
2、【用户认证与管理】-【认证高级选项】勾选自动注销无流量的用户,并将无流量时间改短至10分,内网10分钟没有流量经过设备的用户会被自动注销
3、【用户认证与管理】-【认证高级选项】-【用户管理】,勾选每天强制注销所有在线用户,将时间改为临近的时间点。则到达这个时间点,在线用户里的用户将都注销,这个操作有可能导致内网其他认证方式的用户需要重新认证,请谨慎操作 | 80 | adds |
| SSL | SSL 域用户已经导入本地,然后再删除域上面用户,删除的用户还能登陆VPN吗? | 无正确答案 | 域用户已经导入本地,然后再删除域上面用户,删除的用户不能再登录VPN | 0 | NA |
| SSL | SSL 用户组设置认证方式后,用户组下的用户还需要设置认证方式吗? | 如果继承了所属组的认证方式后,就不需要再设置认证方式;若没继承,需要单独设置认证方式 | 1、用户组如果设置了【强制下级组及其用户继承本组认证选项】则下级组及其用户不能再单独设置认证方式而是继承用户组的认证选项
2、在用户属性里默认会启用【继承所属组认证选项】,即默认会继承上级组的认证选项,若需要独立设置取消【继承所属组认证选项】然后设置认证选项即可 | 30 | gone |
| SSL | SSL 如何访问easylink资源? | easylink资源也可以叫做站点映射。一般是新建WEB应用,并开启“站点映射”。
站点映射支持两种模式,一种是VPN端口模式,通过将SSL设备的端口映射给WEB应用;另一种是接入域名模式,通过将SSL的接入域名映射给WEB应用 | | 70 | gone |
| SSL | SSL 路由设置和本地子网有什么区别? | 路由设置主要是为VPN设置静态路由,一般应用于网关模式部署且客户网络跨了三层,方便VPN设备访问到发布的资源和用户在局域网管理设备。
本地子网是将VPN非DMZ和LAN口直连的网段发布给对端设备,让对端设备拥有到本端发布网段的路由。 | 1、路由设置添加的路由用于设备与跨网段地址通信
2、本地子网添加的网段是指sangfor vpn对端站点需要访问本端的网段或者接入SSL VPN的用户使用L3VPN全网资源需要访问的网段 | 40 | adds |
| SSL | SSL 系统托盘默认是启用的吗? | 客户端选项里面的系统托盘默认是没启用的
默认策略组里面账号控制中的系统托盘默认是启用的 | 1、【系统设置】-【SSL VPN选项】-【系统选项】-【客户端选项】-【启用系统托盘】默认没有启用
2、【SSL VPN设置】-【策略组管理】-【账号控制】-【启用系统托盘】默认是启用的 | 50 | gone |
| SSL | SSL 【防火墙设置】-【IP组设置】功能是做什么用的? | 给不同的IP段或IP进行分组,由“防火墙”下的【过滤规则设置】和【NAT设置】两个模块进行调用。可以理解为AC和AF里的【对象定义-IP组】 | 【防火墙设置】-【IP组设置】的功能是用于预先定义好IP范围,在【过滤规则设置】、【用户上网权限设置】、【QOS规则设置】进行调用,比如【过滤规则设置】添加过滤规则时选择源IP组或者目的IP组时进行调用 | 50 | adds |
| IPSEC | IPSEC 第三方对接为什么要映射UDP的500,4500端口? | 无正确答案 | IPSEC第三方对接中,不是所有的情况下都需要做端口映射,映射UDP500和UDP4500。仅当设备单臂模式部署出口有NAT,并且第三方VPN设备主动发起标准IPSEC协商的时候,需要在我方出口网关设备做端口映射,映射UDP500和UDP4500端口。以保证在有NAT的环境下,第三方VPN设备能够正常的和我方设备协商建立IPSEC通道 | 0 | NA |
| ADESK | VDC资源管理内资源的虚拟机数量可以减少的吗? | 不可以。虚拟机数量只能增加不能减少。 | 在VDC控制台的【VDI设置】-【资源管理】内资源的虚拟机数量只能增加,不能减少 | 30 | adds |
| ADESK | 桌面云是否支持批量给虚拟机的个人磁盘做分区? | 不支持。可以使用“批量管理”给用户分配一块数据盘,但无法给个人磁盘做分区 | 截止到目前最新正式版本VMP 5.2R1,暂不支持批量给虚拟机的个人磁盘做分区,但是可以使用“批量管理”给用户分配一块数据盘 | 40 | adds |
| ADESK | 外网登录acenter需要映射什么端口? | 映射4430端口 | 外网登录acenter控制台需要映射443端口 | 30 | tyjhz |
| ADESK | 桌面云可以对某个资源的部分虚拟机做定时开关机吗? | 虚拟机定时开关机在虚拟机资源中设置的,没法针对某个资源的部分虚拟机做定时开关机的 | 虚拟机定时开关机在虚拟机资源中设置的,截止目前最新正式版本VMP5.3,暂不支持针对某个资源的部分虚拟机做定时开关机 | 40 | tyjhz |
| ADESK | VMP上怎么创建aCenter虚拟机? | 无正确答案 | 登录VMP控制台,点击【新建虚拟机】-选择操作系统【虚拟化集中管理平台(aCenter)】,点击创建后就可以创建aCenter虚拟机 | 0 | NA |
| ADESK | VMP上模板虚拟机的修复模板为什么是灰色? | 无正确答案 | VMP上模板虚拟机的修复模板是当模板镜像损坏的时候修复功能,模板镜像正常的情况下是不需要修复的,不能点击修复,所以是灰色的 | 0 | NA |
| ADESK | 在VDC上怎么配置组映射? | 【VDI设置--认证设置--主要认证--LDAP认证】,设置--新建,配置服务器名称、服务器地址、管理员全路径、管理密码、搜索入口,其他设置--组映射--添加,可以手机配置策略,也可以自动生成组映射关系 | 登录VDC控制台,点击【VDI设置】-【认证设置】-【主要认证】-【LDAP认证】,点击需要配置的认证服务器,点击【其他】-【组映射】-可以选择添加手动配置或者自动生成映射关系 | 60 | adds |
| ADESK | 桌面云哪些情况下虚拟机不支持HA? | 1、虚拟机存储位置为本地磁盘或非共享存储。
2、虚拟机运行位置为指定主机或非自动选择。(这点是错误的)
3、单主机组建集群。
4、多台主机组建集群,但各主机没有闲置资源。
5、虚拟机桥接的交换机只关联了本主机的物理网卡 | 1、虚拟机存储位置为本地磁盘或非共享存储。
2、虚拟机没有勾选故障迁移
3、单主机组建集群。
4、多台主机组建集群,但各主机没有闲置资源。
5、虚拟机桥接的交换机只关联了本主机的物理网卡 | 80 | adds |
| AF | AF直通的状态如何进行查看? | 1、登录WEB控制台,在页面中间最上面,会有提示“当前设备处于直通状态”。
2、【系统--排障--数据包拦截日志与直通】,当前的操作状态会有提示“实时拦截日志开启,直通开启”。 | 1、以7.3版本操作路径示例:在WEB控制台的【系统维护】-【数据包拦截日志与直通】中查看
2、以7.4版本操作路径示例:在WEB控制台的【系统】-【排障】-【数据包拦截日志与直通】中查看 | 40 | adds |
| AF | AF什么情况下需要写策略路由? | 设备有多个接口和多条外网线路时,且需要根据源/目的IP、源/目的端口、协议以及
应用等条件进行出接口和线路选择的时候就需要添加策略路由 | 标准版本NGAF7.3为例,外网方向有多条链路的场景下,需要指定内网IP根据条件选择对应链路通过,需要写策略路由:
1、根据访问特定目标IP地址走特定的线路
2、根据访问目标IP地址所属的运营商选路
3、根据访问目标地址所属的国家/地区选路
4、根据数据包的协议、端口选路
5、根据应用选路
6、访问目标地址做多条线路负载
7、VPN与专线互备路由 | 30 | 新_手 |
| | AF怎么加入安全感知平台? | 在“日志设置”页面中开启"安全日志"功能,并且选择“安全感知系统"选项 | 从标准版本NGAF7.3开始支持加入安全感知平台,
1、以7.3版本操作路径示例:在WEB控制台的【系统】-【日志设置】-【日志功能开启】-【安全日志】中勾选“安全感知系统”,然后在【安全感知系统设置】中查看和设置
2、以7.4版本操作路径示例:在WEB控制台的【系统】-【系统配置】-【日志设置】-【日志功能开启】-【安全日志】中勾选“安全感知系统”,然后在【安全感知系统设置】中查看和设置 | 20 | Divio |
| AF | AF开启数据包拦截日志并直通,之后会自动关闭吗? | 不会,需手动关闭 | 截止到NGAF7.4,NGAF开启数据包拦截日志与直通后,不会自动关闭,需要手动关闭,设备重启会自动关闭 | 30 | 金诺网络_JET |
| AF | AF流量管理的限制带宽和限制单IP带宽区别? | 无 | 1、流量通道的限制带宽是指匹配到该通道所有IP的全部流量带宽
2、限制单IP最大带宽是指匹配到所在通道的每个IP的最大流量带宽 |
| 无 |
| AD | AD管理口的管理网关和静态路由有什么区别? | 管理网关就是指管理口的网关地址,而静态路由就是所谓的添加回包路由或默认路由,并且管理网关也可以通过添加默认路由来实现 | AD配置管理口网关会形成对应路由表,与静态路由主要差别:
1、管理口的路由表优先级低于静态路由表;
2、目前管理口网关只能使用管理网段与业务网段隔离的环境,若业务网段通过管理口地址来管理设备,当存在业务网段静态路由时候,数据回包优先查静态路由走业务口转发,最后数据来回路径不一致,可能会被安全设备拦截,造成无法管理设备 | 20 | tyjhz |
| AF | AF外置数据中心里没有日志,可能有哪些原因? | 确定NGAF能连接外置数据中心的情况下,出现外置数据中心没有日志故障,首先需
要在NGAF的系统故障日志中检查是否有mysql的报错日志如果提示不能连接上mysql
或者提示不能访问mysql,这时需要联系400远程检查数据库是否有问题,同样在外置
数据中心客户端日志中也有类似报错信息也需要联系400远程检查。 | 1、NGAF没有设置日志同步到外置数据中心
①、以7.3版本操作路径示例:在WEB控制台的【系统】-【日志设置】-【日志功能开启】中启用外置数据中心,并配置外置数据中心
②、以7.4版本操作路径示例:在WEB控制台的【系统】-【系统配置】-【日志设置】-【日志功能开启】中启用外置数据中心,并配置外置数据中心
2、相关安全策略没有勾选【记录日志】
3、NGAF内置数据中心崩溃,运行异常
4、NGAF与外置数据中心所在服务器网络不通
5、外置数据中心服务器自带的防火墙拦截
6、外置数据中心程序运行异常
备注:若按照上述步骤操作还是无法解决您的问题,建议您选择联系人工处理
您可以输入“需要人工服务”了解人工服务途径 | 20 | Divio |
| AF | AF流量排行显示有公网地址是什么原因呢? | 1、LAN/WAN口线路接反。
2、AF设备LAN口方向有配置公网IP的设备。
3、错误的数据包导致。 | 1、NGAF以透明模式、虚拟网线部署时
①、检查NGAF内、外网口的网线是否接反
②、检查内网主机是否感染病毒或木马,对外发送伪造源IP的报文
2、NGAF以路由模式部署时
①、检查内网主机是否感染病毒或木马,对外发送伪造源IP的报文
备注:若按照上述步骤操作还是无法解决您的问题,建议您选择联系人工处理
您可以输入“需要人工服务”了解人工服务途径 | 30 | adds |
| | | | | |
发表于 2017-11-1 09:16
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
楼主
技术研究员2级 
