ASG2800用户数达到上限故障

发布时间:  2013-12-13 浏览次数:  255 下载次数:  0
问题描述
组网:internet----NE40E---(wan)ASG(lan)----S9300,ASG采用免认证方式,用户数达到产品规格上限,新用户无法上网.
告警信息
通过查看在线用户,发现有一些公网ip.
处理过程
1、查看ASG会话,确认存在从lan到wan的公网会话。

2、在S9300上抓包,发现交换机确实有源地址为公网ip的报文发送到ASG.(下图源mac为交换机mac地址)

3、检查认证IP范围设置,IP范围设置为0.0.0.0-255.255.255.255,认证范围过大。
user-manage authentication-policy 其他部门所有用户认证策略
  policy enable
  description 其他部门所有用户认证策略
  ip-range 0.0.0.0 255.255.255.255
  new-user add-temporary group /所有用户
  authentication-mode none
user-manage authentication-policy default
  policy enable
  ip-range 0.0.0.0 255.255.255.255
  new-user add-temporary group root
  authentication-mode none
4.修改ip范围为实际上网用户ip范围后,问题解决。

根因
1.免认证方式,ASG会根据认证策略配置的ip范围,将从lan到wan方向在ip范围内的流量的源ip地址作为上线用户添加到本地用户或者临时用户。
2.发现公网ip,说明ip范围配置较大,包含了公网ip,且存在从lan到wan的公网流量。
建议与总结
ASG在配置免认证的时候,用户ip范围一定要根据实际情况配置,否则会导致一些其他流量的源ip被作为用户上线,影响ASG性能。

END