TSM与SACG做联动时认证前域自动放行所有流量

发布时间:  2012-07-18 浏览次数:  120 下载次数:  0
问题描述

secospace_TSM sacg无法通过认证前域限制客户
认证前域的时候SACG 3099 显示rule1000 permit ip
配置为:
default acl 3099
server ip 10.144.199.6 port 3288 shared-key secospace
right-manager server-group active-minimum 3

状态显示为:
[USG2210]dis right-manager server-group
13:56:24 2010/06/02
Server-state : Enable
Server-number : 1
Server-ip-address port state master
10.144.199.6 3288 active Y

 

告警信息
处理过程
将active改为1即可解决
default acl 3099
right-manager server-group active-minimum 1
根因
根据联动的状态看出,活着的server数为1个,而在原始的配置中active-minimun为3,即最小的active为3个。这个时候防火墙就会开启逃生通道,即acl 3099就会出现一个rule1000的permit ip规则
建议与总结
逃生通道的打开条件有两个:
1 开启状态监测使能
2 当前活着的服务器个说小于配置的active number数

END