目录
Ⅰ 安全域网关(SDG)原理介绍
安全域网关设备角色
Radius设备:为SMP设备,支持与RSR20X/30X/77X联动实现WEB认证,并与RLOG联动实现实名日志。
Rlog设备:为Elog V2.X版本,支持与RSR20X/30X/77X联动实现记录NAT日志、流日志和URL日志,与SMP联动后可实现对三种日志的实名记录(有WEB认证账号信息的日志)。
软件版本推荐
原理介绍
安全域网关
ELOG实名原理
WEB认证原理 (本案例中portal server和radius server在SMP上实现、NAS设备为RSR路由器)
1、分布式部署,即安全域网关设备下沉到各个委办/办公室的出口处各自控制隔离;
集中式部署,即安全域网关设备上收到大部门出口位置向各个委办或办公室提供集中隔离。
Ⅱ 安全域网关(SDG)常见问题
1、域隔离ACL中为什么要放通所有用户的DNS报文 和 访问SMP的流量
2、客户端WEB认证时出现“认证失败,认证设备不存在”,如何处理?
问题:设备发送给SMP的报文地址与SMP上添加设备的地址不符,SMP无法找到认证设备
解决方法:确保路由器radius、portal报文的NAS ip、报文源地址 与SMP上添加设备的地址保持一致。
命令:
指定radius报文地址:ip radius source-interface/radius-server host X.X.X.X src-ip X.X.X.X
指定portal报文地址:web-auth nas-ip
3、在SMP上踢用户下线失败,只能通过清理残留信息才提示踢成功,但是在路由器上还有在线信息。
问题在于SMP发送给路由器的踢下线信息没有得到响应导致的,如果是配置问题的话一般通过下列方法可以解决:
>确认SMP上添加路由器时选择的是 ”锐捷无线认证设备“
>确认路由器是否正确设置nas ip,命令:
RSR77X:radius-server attribute 4 192.168.3.2
RSR20X/30X:radius-server attribute framed-ip-addr always-send
4、Elog服务器上无法看到日志信息
该问题有3种可能性,问题和解决方法如下:
Ruijie# show rlog
mtu 1500
server-ipv4 172.17.205.200 port 9999
rlog export-rate: 1200
rlog url pk: 1063
rlog queue remain: 16384
send log count: 2081 ---->发包数量
error count: 0
……
5、终端无法弹出域选择切换页面,故障页面如下:
解决:路由器上开启WEB管理功能,命令enable service web-server分析:SDG页面是路由器向终端提供,因此路由器需要开启WEB管理功能(开启WEB服务端口)
6、在Elog上添加了认证服务器,但是连通状态上显示“不可连通”,现象如下:
分析:未收到认证服务器发过来的用户上线信息时会显示为“不可连通”,待有新用户上线且认证服务器发送了上下线信息后即可显示为“可连通”。
7、终端连接在AP的有线接口(比如WALL-AP)接入网络进行WEB认证时,出现认证失败,现象如下:
分析:SMP认为终端是使用无线连接网络,而该用户在SMP上未允许无线方式接入网络导致。
解决方法:为该账号开启“允许使用无线接入”