解决TSM客户端未认证时可以访问认证后域资源的问题

发布时间:  2012-07-19 浏览次数:  130 下载次数:  0
问题描述
       某局点客户搭建TSM终端认证服务器,客户核心采用S9300交换机,TSM服务器的SACG是侧挂在S9300下,TSM的SM和SC是在同一个服务器,接在S9300下挂的一个二层交换机上,二层交换机vlan透传,测试终端也是接在二层交换机上,所有网关都指向S9300.

         经过测试,客户PC采用anget可以正常认证,PC和TSM服务器、SACG都可以实现正常通信,而PC不用agent做认证时,也可以访问后域资源。

告警信息
处理过程
 

首先检查客户配置

dis  right-manager server-group
 Server-state  :  Enable
 Server-number :     1
 Server-ip-address        port        state       master
 10.153.144.202           3288        active        Y       

检测发现联动是成功的,并且服务器数量是1。

检查ACL 3099 命中情况,发现ACL3099 没有命中

Advanced ACL  3099, 2 rules
Acl's step is 5
 rule 1001 permit ip destination 10.153.144.202 0 (0 times matched)
 rule 1002 deny ip (0 times matched)

检查客户ACL3099域间应用情况,发现客户在域间配置应用的ACL3099 误写成ACL3009,造成引用ACL不生效。

firewall interzone trust untrust
 packet-filter 3009 inbound  
 packet-filter 3009 outbound

修改该域间应用的ACL为ACL3099后,测试,问题解决。PC需要通过认证才可以正确访问认证后域资源。

根因

1、怀疑客户配置错误,造成SACG开启了逃生通道。

2、怀疑客户配置上存在问题。

建议与总结
建议在做配置时,需要仔细检查,避免类似的问题。

END