SACG认证成功无法访问后域资源

发布时间:  2017-04-18 浏览次数:  226 下载次数:  0
问题描述

SACG认证成功后无法访问后域资源

 

【网络拓扑】:

 

 

【拓扑描述】:

  本案例中防火墙采用旁挂方式进行部署,通过anyoffice客户端进行认证

处理过程

1. 登陆交换机ping总部的资源,发现可以访问。

2. 取消核心交换机引流,使用PC访问资源,测试ok。

3. controller服务器上的修改硬件SACG一栏里,检查KEY,SC服务器IP地址,把需要SACG认证的客户端,前域,受控域,隔离域,后域等基础配置是否正确。

4. 确认配置正常后,点击立即部署

5. 检查SACG授权规则和用户权限是否配置正确。

 

6.在controller上能看到认证成功的在线用户信息。

 

7.在防火墙的TSM一栏里无法看到在线用户信息。

 

8.关闭SACG,发现PC可以正常访问后域资源

 

9.登陆防火墙使用 display firewall session table verbose 查看会话表详细信息。

 

10.发现会话表里的主机的ip地址和controller服务器里在线用户的ip地址不一致

 

11.客户无线网络采用的是TP-link路由器,做了NAT,导致controller服务器里地址和防火墙上的地址不一致。

解决方案

TP-link路由器的NAT模式去掉,采用LAN口接交换机,使用anyoffice软件认证成功后可以访问后域资源

建议与总结

在遇到问题的时候,要一步一步排查,确认配置没有问题后,要想到检查ip地址是否在controller服务器和防火墙上显示一致。

END