一、 问题描述 SG版本是12.0.17,没有使用代理功能,认证高级选项中开启了https重定向功能,但是访问https网站无法弹出认证页面 访问https网站无法弹出认证页面 二、 处理排查过程 1、 检查配置,配置正确 2、 https重定向功能不同于http的重定向,主要多了一级是使用了sslproxy做ssl代理进行解密,但是ssl代理模块存在性能限制,常常导致重定向异常 三、 故障分析结论 1、 基本配置确认:认证策略的匹配,是否匹配了密码认证,[认证高级选项]是否有开启[https未通过认证时,重定向到认证页面] 功能 2.、此功能目前只针对非代理环境,代理环境不支持做https重定向功能 3.、https重定向功能存在连接数限制,如果超限,则会导致设备bypass,bypass状态下ssl代理功能是不生效的,默认丢包拒绝。 四、 解决方案 https 重定向功能存在连接数限制,如果超限,则会导致设备bypass ,bypass状态下ssl代理功能是不生效的,默认丢包拒绝,可以通过查看驱动状态确认当前是否是bypass状态
如图:
如果enable为0 则表示bypss,默认连接限制为2000,12.0R5之后的版本可通过修改配置的方式来扩大限制。(注意:最大只能配置到5000)
如果被bypass了就修改下/ac/etc/config/sslproxy/sslproxy.inf [config] 字段下添加connect_limit = 5000,然后执行daemonrestart sslproxy 重启下sslproxy后台
4.、还有一种异常情况是由于驱动和应用层bypass标记不一致,此问题也可以开启sslproxy驱动调试开关:
ps -A |grep "sslproxy" | grep -v "grep" | awk '{print $1}' 获取进程ID值
kill -n SIGUSR1 [sslproxy pid] 发送信号开启调试日志
开启调试日志后,可以在
/ac/var/log/sslproxy/xxxx-xxx.log
看最新日期的日志,有current_count字段的信息,表示当前连接数,如果当前连接数为1或者小于超限阈值(默认2000),则可以使用已知方案KB
见:43392(12.0.12版本) 40732(12.0.7版本)
五、 建议与总结 1、 目前AC/SG11.0及之后的版本都支持https弹认证页面功能 2、 确认好AC/SG 的版本信息。 3、 查看设备是否启用代理功能,如果开启,需要将重定向地址排除在外。 4、 https重定向做ssl代理,除了网桥模式AC可以不需要上外网,其他部署模式都要求AC能够上外网。 |