ace與sam聯(lián)動原理分析故障排查案例

1、ACE 與SAM 聯(lián)動原理分析與故障排查2011-5-30福建星網(wǎng)銳捷網(wǎng)絡(luò)第 1 頁, 共 17 頁文件類型： 故障類版本號：V1.1（2011/6/14）文檔作者：唐俊杰文檔修訂第 2 頁, 共 17 頁日期修訂說明執(zhí)行人2011-5-30第一次發(fā)布唐俊杰1ACE 與 SAM 聯(lián)動原理分析1. SAM 同步過來的用戶上線時間是以 1970 年開始的毫秒數(shù)，ACE 以自己的當(dāng)前時間加上 SAM 同步過來的上線時間，加上用戶可用時長；并對比自己從 1970 開始到當(dāng)前自己時間的毫秒數(shù)，如果前者小于后者則表示用戶無可用時長了。2. ACE 默認(rèn)的時區(qū)是 0，所以比SAM 服務(wù)器配置的東八區(qū)要早 8

2、 個小時，也就是說ACE 如果不更改時區(qū)，用戶本來是要在下午 18 點(diǎn)沒有可用時長的，但是現(xiàn)在會在上午 10 點(diǎn)鐘就沒有可用時長了。所以 ACE 與 SAM 服務(wù)器的時區(qū)和時間一定要保持一致。3. ACE 時間的配置與查看，以我國東八區(qū)為例1. SAM 與ACE 之間通過TCP 2009 端口同步用戶信息和交互心跳報文。ACE在 2 分沒有收到 SAM 發(fā)過來的心跳報文，會把所有流量 bypass，此時 ACE 上配置的策略都不會生效。在做五位一體時如果在 ACE 配置了策略，但是沒有效果時，需要檢查一下，ACE 與SAM 的聯(lián)動是否是正常的。2. 通過抓包可以看到心跳報文是否正常。第 3 頁

3、, 共 17 頁1.2確保 ACE 與 SAM 之間的網(wǎng)絡(luò)通暢先修改時區(qū)：RG-ACE # sys timezone set Current timezone: GMT+8New timezone: GMT(-12.+12): +8再查看時間是不是當(dāng)前時間 RG-ACE # sys date show Sat Apr 02 11:49:02修改時間為時間RG-ACE # sys date setnew dateMMDDhhmmYYYY: 040213592011Sat Apr 2 13:59:00 GMT-8 2011RG-ACE #1.1ACE 與 SAM 的時區(qū)和時間需要保持一致SAM 發(fā)

4、給 ACE 的心跳報文ACE 確認(rèn)收到心跳報文3. SAM 10 分會同步一次所有的用戶給 ACE，ACE 如果發(fā)現(xiàn)某用戶在用戶表15 分鐘都未再次被 SAM 發(fā)送過來，則認(rèn)為用戶異常下線，ACE 立刻在內(nèi)清除此用戶 ，同時立即給SAM 發(fā)下線流量統(tǒng)計；SAM 用戶同步報文，用戶首次上線SAM 會發(fā)上線報文用戶上線后 SAM 10 分發(fā)送用戶同步報文第 4 頁, 共 17 頁4. 附 SAM 與 ACE 心跳報文與用戶同步報文的包格式報文格式（SAM-ACE）心跳報文報文格式（SAM-ACE）用戶同步第 5 頁, 共 17 頁5. 兩臺 SAM 一臺 ACEACE 需要填寫兩臺 SAM 的實(shí)際

5、的 IP,只有主 SAM 才會和 ACE 同用戶信息,和交互心跳報文.6. 一臺 SAM 兩臺 ACE兩臺ACE 的認(rèn)證配置需要一致,SAM 同步到兩臺ACE 的用戶信息是一樣的.1.3.1 在 SAM 上存在三種網(wǎng)關(guān)策略名未聯(lián)動前用戶（無策略名）第 6 頁, 共 17 頁1.3SAM 網(wǎng)關(guān)策略名與 ACE 認(rèn)證用戶的對應(yīng)SAM 配置和ACE 聯(lián)動后，有策略名置 1，讓其上SAM 配置和ACE 聯(lián)動后，有策略名置 0，不讓上1.3.2 ACE 上的認(rèn)證用戶組默認(rèn)認(rèn)證用戶組SAM 同步過來有策略名且置 1，但是在ACE 上沒有對應(yīng)的認(rèn)證用戶組匹配，進(jìn)入 ACE默認(rèn)用戶組?？梢陨暇W(wǎng)認(rèn)證用戶組第 7

6、 頁, 共 17 頁 有認(rèn)證策略名且置1 的用戶,如在ACE 上沒有匹配的認(rèn)證用戶組,ACE 會把此用戶的認(rèn)證策略名改成 ACE 上默認(rèn)認(rèn)證用戶的名字,并被加入到 ACE 用戶表,但是此類用戶 會被從 用戶表清除一次.沒有策略名的，或者有策略名置 0 的,不會被ACE 加入到用戶表，受 ACE上的 guest 策略控制,用戶是否能上,是由ACE 策略中心的配置決定.對應(yīng)用 SAM 同步過來，有策略名置 1（且策略名和認(rèn)證用戶名一致）不讓上網(wǎng)的認(rèn)證用戶組對應(yīng)用 SAM 同步過來，有策略名置 0針對有策略名且置 1 的用戶,在 ACE 策略中心針對ACE 上的對應(yīng)認(rèn)證用戶組做放通上網(wǎng)策略.第 8

7、頁, 共 17 頁1.4ACE 策略中心配置 沒有認(rèn)證策略名,或者是認(rèn)證策略名為 0 的用戶,不會進(jìn)入 ACE 用戶表,如:SAM 上有認(rèn)證策略名但置零的 local 認(rèn)證策略名，在 ACE 上通過“l(fā)ocal”認(rèn)證用戶組是無法限制的，如果需要限制 local、sam 無網(wǎng)關(guān)策略名用戶，可采用 IP 源地址對象在 ACE 的策略中心通過guest 策略控制.用戶具體能否上網(wǎng)要看guest 策略的配置 在 ACE 上配置好認(rèn)證用戶后，必須要點(diǎn)擊“同步到設(shè)備”，才可以把認(rèn)證用戶下發(fā)到 ACE 固件。從 web 管理界面上看到的認(rèn)證用戶組，不代表 ACE 的固件中已經(jīng)存在。第 2 章節(jié)故障分析中有詳

8、細(xì)說明。只有策略名置 1 用戶才能進(jìn)入 ACE 認(rèn)證用戶表，ACE 也才能按認(rèn)證用戶組來控制。針對有策略名置 0 或者是沒有策略名的用戶,在策略中心通過guest 策略控制其能否上網(wǎng),針對這部分用戶,也就是和置控制策略一樣.平時在不做 ACE 與 SAM 聯(lián)動時,基于源 IP 配ACE 策略中心的匹配優(yōu)先級第 9 頁, 共 17 頁如上圖配置,如用戶是屬于waiwang 認(rèn)證用戶組的,還是可以上網(wǎng)的.也就是說用戶表的認(rèn)證用戶策略會優(yōu)先于 geust 策略匹配.匹配不上認(rèn)證用戶組策略后,再去匹配 geuset策略.ACE 只會對用戶表認(rèn)證用戶,也就是認(rèn)證策略名置 1 的用戶,發(fā)送流量給SAM.如

9、果沒有在ACE 全局認(rèn)證配置流量的類型或者不啟用認(rèn)證,ACE 對用戶表的用戶默認(rèn)發(fā)送校內(nèi)類型的流量. 如果選擇不開啟認(rèn)證則用戶也不會進(jìn)入重定向流程.如果在使用 ACE web 純準(zhǔn)出的情況下,在ACE 全局認(rèn)證配置下必須要開啟認(rèn)證功能.ACE 在全局認(rèn)證配置,配置流量類型后,ACE 會按配置的流量類型發(fā)送流量統(tǒng)計給SAM.ACE 默認(rèn)開啟流量檢測功能, 流量檢測功能的作用是 ACE用戶表內(nèi)的用戶在 ACE設(shè)定的無流量時間內(nèi)沒有任何流量的情況下，ACE 會通知 SAM 該用戶在一段時間內(nèi)無流量；SAM 收到該通知后會踢用戶下線。在 802.1X 認(rèn)證環(huán)建意不要開啟流量檢測功能.流量檢測功能查看關(guān)

10、閉流量檢測功能第 10 頁, 共 17 頁RG-ACE # sys samauth setset system sam auth flow inspectEnable/DisableDisable:DisableRG-ACE # sys samauth showSystem sam auth flow inspect Enabled./Enabled 表示流量檢測功能開啟1.6ACE 用戶無流量檢測功能也就是說 SAM 的全局認(rèn)證配置,有兩個作用:一個是確定是否給用戶推送重定向頁面的功能,一個是對用戶表的用戶計那種流量的功能.1.5ACE 發(fā)送用戶流量給 SAM五位一體是一個新的解決方案期有很

11、多的故障，所在現(xiàn)場實(shí)施時要確保ACE 與SAM 的版本已經(jīng)升級到最新的版本如果不能確定請致電咨詢第 11 頁, 共 17 頁1.7ACE 與 SAM 版本確認(rèn)2ACE 做準(zhǔn)出后又彈出認(rèn)證頁面故障分析第 12 頁, 共 17 頁2.1故障拓?fù)浒褧r間設(shè)置為同一時區(qū)的同一時間否是ACE上的認(rèn)證配置開啟，配置SAM實(shí) IP否是添加正確的ACE IP和設(shè)備類型否是排查網(wǎng)絡(luò)環(huán)境，需要放通2009端口否是修改SAM上的認(rèn)證策略名和ACE上的認(rèn)證策略名一致否是ACE上必須要點(diǎn)擊同步到設(shè)備把認(rèn)證用戶組下發(fā)到ACE固件否是對比SAM與ACE配置，并確保點(diǎn)擊了同步到設(shè)備否是關(guān)閉ACE流量檢測功能是否第 13 頁,

12、共 17 頁如果以上排查都無法解決問題，致電解決檢查ACE是否開啟了流量檢測功能查ACE用戶表的用戶的認(rèn)證策略名和SAM發(fā)送過來的是否致確定ACE上定擊了同步到設(shè)備SAM上的認(rèn)證策略名和ACE上的認(rèn)證用戶組是否一致SAM與ACE之間的心跳報文和用戶同步報文是否正常SAM上是否有正確添加ACE設(shè)備檢查ACE聯(lián)動配置是否正確檢查ACE與SAM時間是否一致2.2故障排思路1. 使用 AAM+EPORTAL 準(zhǔn)出認(rèn)證方案，在用戶使用 web 頁面認(rèn)證登陸左右，web時會再次彈出認(rèn)證頁面，此時發(fā)現(xiàn) SAM 及 eportal 中?；铐撁嫖刺崾鞠戮€，但是用戶的用戶，而在 ACE用戶表里面此用戶不。2. 觀

13、察 WEB 認(rèn)證用戶的上網(wǎng)情況，發(fā)現(xiàn)用戶在半個小時左右下線之后，如果不關(guān)閉認(rèn)證?；铐撁?，不重新登錄，10 幾分鐘之后 ACE 再次放行流量，ACE用戶表中出現(xiàn)此用戶3. 如果把 802.1X 認(rèn)證用戶也加入到 SAM 全局認(rèn)證配置中, 802.1X 認(rèn)證用戶也會有此現(xiàn)象，前半個小時可以正常上網(wǎng)，30 分鐘的時候如果也會彈出認(rèn)證頁面。此時也是 SAM 中的用戶，而在 ACE用戶表里面此用戶不1. 查看ACE 的時間和 SAM 服務(wù)器時間,時都是東八區(qū)準(zhǔn)確的時間.2. 查看ACE 上的認(rèn)證,是配置的兩臺 SAM 的實(shí)際 IP 地址.認(rèn)證配置沒有問題.3. 查看 SAM 上的認(rèn)證策略名配置.SAM

14、只配置了兩個認(rèn)證策略名.如下圖:4. 查看ACE 認(rèn)證用戶的配置與SAM 認(rèn)證策名配置是否一致第 14 頁, 共 17 頁2.4故障分析2.3故障現(xiàn)像5. 抓包查看 SAM 與ACE 之間用戶同步是否正常,心跳報文是否正常.通過抓包查看,SAM 同步用戶正常,心跳報文也正常.6. 查看用戶能上線時ACE 的用戶表172.22.28.32 的用戶在 SAM 配置是屬于 teacher 認(rèn)證策略名的.通抓包可以看到對此IP,SAM 發(fā)過來的認(rèn)證策略是teacher.第 15 頁, 共 17 頁172.22.28.32 %31%32%30%30%38%30%39%32%38%30 %69%6E%74

15、%65%72%6E%65%74%35%32%63%39%37%38%31%38%35%32%66%64%64%32%32%36%65%30%31%32%66%64%64%32%61%30%38%31%66%30%30%32%37 1306110462827 1524737 samip: 172.23.1.5 /ACE用戶信息,紅色部分為用戶進(jìn)入 ACE用戶表后的認(rèn)證策略名.把紅色部的數(shù)值對照下面的 ASCII碼表,可以翻譯成”ernet5”.00 NUL 01 SOH02 STX03 ETX04 EOT 05 ENQ 06 ACK07 BEL08 BS09 HT0A NL0B VT0C NP0

16、D CR0E SO0F SI10 DLE 11 DC112 DC2 13 DC3 14 DC415 NAK 16 SYN17 ETB18 CAN 19 EM1A SUB 1B ESC 1C FS1D GS1E RS1F US 20 SP21 !22 23 #24 $25 %26 &27 28 (29 )2a *2b +2c ,2d 2e .2f / 30 031 132 233 334 435 536 637 738 839 93a :3b ;3c 3f ?40 41 A42 B43 C44 D45 E46 F47 G48 H49 I4a J4b K4c L4d M4e N4f O 50 P5

17、1 Q52 R53 S54 T55 U 56 V 57 W58 X59 Y5a Z5b 5c 5d 5e 5f _ 60 61 a62 b63 c64 d65 e66 f67 g68 h69 i6a j6b k6c l6d m6e n6f o 70 p71 q72 r73 s74 t75 u76 v77 w78 x79 y7a z7b 7c |7d 7e 7f DEL可以查看 ACE用戶的信息,其中type 有兩個類型，分別展現(xiàn)用戶數(shù)和相關(guān)具體信息.”DEVICEIP”為ACE MGT 接口的 IP 地址.ACE 端與 SAM 端配置一致SAM 有發(fā)用戶過來,發(fā)送過來的認(rèn)證策略名是 teach

18、er 也沒有錯.但是用戶發(fā)送到ACE 以后認(rèn)證策略名被修改成的默認(rèn)認(rèn)證用戶組的ernet5.由此可以說明,ACE 在管理已經(jīng)配置了 teacher 的認(rèn)證用戶組但是沒有下發(fā)到 ACE 固件設(shè)備.1. 讓一點(diǎn)擊同步到設(shè)備，故障還是會依然存在,teacher 策略無法正常下發(fā)到 ACE.2. 登陸ACE 管理端后,點(diǎn)擊同步到設(shè)備.用戶重新認(rèn)證后,查看 ACE時用戶的認(rèn)證用戶組名顯視正常,用戶上網(wǎng)也正常了,不會再出現(xiàn)證界面的情況了.用戶表,此重新彈出認(rèn)第 16 頁, 共 17 頁原來認(rèn)證用戶組無法下發(fā)到 ACE 固件,是電腦的原因.換電腦后就可以正常下發(fā).2.6故障解決ACE 配置認(rèn)證用戶組后,一定要占擊同步到設(shè)備把認(rèn)證用戶組下發(fā)到ACE 固件. ACE 的認(rèn)證用戶組,無法通過 ACE 管理端上的保存配置下發(fā)到 ACE 固件.新的管理端也無法 到ACE 固件上認(rèn)證用戶組的配置,所以建意對有ACE