【专家问答】AC上网行为管理问答Q/A汇总

【大咖来了】第3期 | AC上网行为管理问答专题

以下汇总部分用户问题&专家回复内容，欢迎查看～

---

问题1

Q：客户已有syslog服务器，用来收集所有设备的日志，包括AC的审计日志。但AC只能导出邮件告警日志、管理日志，那么审计日志该以何种方式和客户已有syslog服务器对接，有外置数据中心的情况下对接呢？

A：您好，这项需求之前有用户反馈，通过定制实现的，某公司会关注这类需求的热度，后面做入产品规划中。

问题2

Q：ac与华三的无线平台IBMC进行了单点登入的对接。但是实际使用中发现。如果客户在华三无线的web页面或者客户端软件上进行注销操作。ac这边用户还是在线，有什么办法可以实现华三那边进行注销，ac这边也跟着注销？

A：你好，我猜想你想问的是华三的IMC，当imc客户端从IMC系统下线时，会发送下线报文给AC，下线报文号为253（16进制fd），同样，下线报文包括用户名和用户的IP地址，当AC收到下线报文后，便从AC注销用户。

问题3

Q：AC与其他非某公司品牌SSL VPN设备的对接问题？

A：你好，AC支持IPSEC VPN，可以和其他品牌支持IPSEC VPN的设备做对接。

问题4

Q：我司都用了固定IP，远程可用固定IP的方式登录并控制。近期发现有部分IP登录不上，可能是运营商封了443的端口，请问如何确认是否是运营商封端口造成访问不了，或是其他说明原因造成访问不了的？

A：您好，1.在出口设备抓包是判断此类问题最快捷的方式，出口设备抓包对方不回包或回包异常，下一步可以联系运营商做进一步定位；

2.如果怀疑是运营商封掉了443端口，可以尝试小范围更换一个不常用的端口测试

问题5

Q：环境介绍：

AC1100 Ver5.2R2
100台固定办公PC应用，单位外PC不确定状态随时变化；
核心交换机用Cisco带VLAN功能的，已经划分了VLAN,隔离机密区域；
使用疑问：
单位内固定办公PC已经做了双向地址绑定，用来审计上网行为记录；
单位外非固定PC，在AC中定义了10个地址不绑定的IP,随用随设置；
但是这样有一个问题，不会像DHCP方式快捷；
我想咨询工程师，有没有一种方法可以在保留现有固定PC地址绑定不受影响的基础上对单位外PC设置动态分配，由管理员输入密码实现联网控制；
这样就摆脱了记忆的枷锁，也避免弄错，地址冲突；

A：这个比较容易实现啊，在核心交换机上开启DHCP功能，但是只分配一部份地址，供单位外人员PC使用，内部固定办公PC还是采用静态地址绑定，同时DHCP分配的地址采用密码认证方式，这样就能解决了。

另外关于密码认证是否会影响双向绑定的固定PC？这个是不会的，密码认证配置好生效IP范围，只对固定IP范围内生效，不会对绑定IP/MAC的用户产生影响

问题6

Q：AC设备做旁路模式部署。上端设备已经做了镜像口，为什么抓不到用户数和经过的流量？

A：您好，1.确认镜像完整；

2.抓包确认镜像到设备的数据是完整的、双向的；
3.抓包确认数据包没有带特殊的协议头部，如果有要在设备配置对应的协议剥离；
如果自己做这些操作有困难，可以联系400工程师协助。

问题7

Q：非常非常的想了解AC里面防火墙的进出日志在那里看，因为我在08年的时候就在使用你们的AC，那个时候可以非常清楚的看到防火墙的所有数据的进出日志，而且非常详细，希望能得到回复。

A：您好，防火墙进出日志在11X以后版本确实已经去掉，11X以后的版本无法在界面查看防火墙日志。

问题8

Q：在做AC防共享时，总会出现误判的情况，最多的问题就是手机通过USB连接电脑被识别为共享行为，请问，目前能够解决这种误判的问题吗？

A：您好，防共享优化方案将于AC12.0.15版本和大家见面。

手机插USB连接电脑的场景目前暂无解决方案，从数据流分析属于共享场景。

问题9

Q：AC的系统日志为什么每天的存储空间只有8M，如果不能存储一天的日志信息会是哪里有问？

• 
  

A：您好，AC系统日志限定每日的文件大小不能超出8M，在不开启调试日志的情况下，通常可以满足每日的系统日志记录。目前也发现有部分用户的系统日志会遇到8M空间不足的情况，时间早的日志会被覆盖掉，此问题会反馈研发做产品改进，进行优化。

问题10

Q：AC上网行为管理开启SNMP通过华三IMC管理监控,一直没有性能监控数据,处于"unknown snmp product"状态,是什么原因?

访问https类别的网站被上网行为策略管控,禁止,但不能显示访问违规网站被禁止的提示,用户会以为是网络问题,有解决方法吗?

A：您好，1.问题一，疑似没有配置正确，建议联系400做下排查

2,访问https的网站，弹重定向页面功能暂时无法实现，此类问题会做关注，早日寻求解决方案

问题11

Q：问个BBC问题，BBC啥时候支持AF、WOC、MIG、SSL统一管控。

用户免认证漫游啥时候支持？

A：您好：BBC支持AF、WOC、MIG、SSL统一管控将于9月，最迟10月初实现，请你密切关注新版本发布通知

用户漫游免认证暂时规划到统一认证中心实现，BBC暂无支持计划；

问题12

Q：客户办公内网IP地址是手工分配的，很多部门申请的IP地址，是给办公电脑用的，但是办公室私接到无线家用路由器上，这样会对内网安全造成一定的威胁。客户想从AC上识别到这些无线家用路由器，通过AC管理私接无线路由器的情况，请问可以实现吗？

A：您好，AC路由或者网桥模式部署，请使用终端接入管理——共享接入管理功能

问题13

Q：老问题，请问是否规划自动识别国家法定假日？政府和教育行业这方面的需求很大。

A：您好，需求有规划，但是存在一些难度，法定假期也有不一致的可能

问题14

Q：静态路由不支持导入导出，个别客户设备操作很不方便。

有客户反映过，用户下班关机后，次日上班登录账户，后台显示此用户在线时长不对，显示过长时间。
全局排除地址不能批量导入，很麻烦
AC有没有学习平台，可以供大家线上实操

A：您好：

静态路由导入导出需求，已经在规划中；
在线时长问题可以联系400排查；
全局排除批量导入问题，会反馈研发规划，关注需求热度；
暂时没有对外的学习平台

问题15

Q：做AC防共享时，总会出现误判的情况，挂课啊什么的，误判现在都有哪些？

A：您好，防共享优化的新方案将于AC12.0.15与您见面，如果当前比较急，可以联系400打补丁尝试解决

---

以上全部内容精选自AC专家问答活动，

如需了解更多详情，请点击【大咖来了】AC产品问答专场

以上全部内容精选自AC专家问答活动，小伙伴们还有其他产品相关问题，可以跟帖补充哟～

感谢总结，很实用呀

这么好的帖子竟然没人。

有好几个问题都遇到过的呢。

基本上都是打400

精华之问答啊，实用

很受用哦

强烈关注！很是适用

这个值得收藏

好东西好东西

我正在参加社区万圣节活动，楼主不给我豆豆，我就在你这儿捣蛋