Secospace TSM因SACG配置了错误的服务存活检测数量导致接入控制不生效

发布时间:  2012-07-20 浏览次数:  50 下载次数:  0
问题描述

某局点Secospace TSM安装完成后,在进行业务测试的时候,发现客户端认证前和认证后都能访问认证后域,接入控制不生效。

告警信息
处理过程

1、通过display right-manager server-group查看服务器状态为active,排除联动不成功问题。

2、通过查看配置,排除域间没有应用ACL 3099问题。

3、通过查看会话表,有客户端经过SACG的会话表,表明数据经过了SACG。

4、通过display acl 3099,发现生成了rule 1000 permit ip的规则,在联动成功的情况下,SACG开启了逃生通道。仔细检查配置发现,用户在配置联动的时候配置了right-manager server-group active-num 2,但是用户只有1台SC,去掉此配置后,恢复正常。

根因

1、可能SACG没有联动成功。

2、可能域间没有应用ACL 3099。

3、可能策略路由不生效,用户数据没有经过SACG。

建议与总结
right-manager server-group active-num是用来配置与USG连接的TSM服务器的最小激活数,当处于active的服务器小于这个数量时,SACG会开启逃生通道,在配置的时候需要注意实际的组网情况。

END