1、SMP.edu.pro学不到用户信息 1). 查看SMP是否有该接入用户所在交换机信息。 2). 查看SAM上面是否有该接入用户在线信息。 3). 查看SAM的Debug日志是否有异常信息,如和JMS相关的异常信息。 4). 截取SAM和SMP之间的TCP报文,查看SAM是否有发JMS信息(包含用户信息)过来。 5). 查看SAM服务器上是否开启了防火墙,过滤了该JMS信息(包含用户信息)。 2、SMP/ESS隔离区功能怎么不生效? (1).确定SMP/ESS上是否在用户组中应用了隔离区策略,并在计算机保护失败处理方法中选择了置于隔离区。 (2).如果使用SU: a.确认交换机支持ACL80。 b.观察交换机是否配置了 security v2c community XX(团体字)。 c.可能交换机问题,换一台交换机测试。 (3)如果使用SA: a.检查直通通信是否正常 b.更换SA客户端版本测试 3、SMP同步策略失败 (1). 查看同步策略失败的提示原因。如果提示原因为“交换机校验错误”,请查看交换机和SMP之间的网络通讯是否正常,交换机和SMP的SNMP配置信息(包括SNMP版本和SNMP的security community)是否一致。 (2). 查看交换机上的gsn enable是否已经打开。交换机上的smp-server host是否设置正确。交换机和SMP的SNMP配置信息(包括SNMP版本和SNMP的security community)是否一致。 (3). 查看SMP Debug日志和系统日志,看看有何异常信息。 (4). 查看SMP上该交换机的策略信息和用户信息(包括在线用户,不在线用户和总用户数目),以判断是否由于交换机硬件资源(ACE数目)不足导致同步策略失败。 (5). 查看该交换机下接用户 * 多的端口是哪个。 (6). 在交换机上通过show smp policy隐藏命令,查看交换机上的策略安装情况。 (7). 对该交换机进行策略同步(SMP有同步某台交换机策略的功能),并截取SMP到该交换机的SNMP set和get报文。 4、如何排查网络权限控制不生效? (1)修改用户组信息,如果用户在线,用户组的配置信息将在用户下次认证时生效。 (2)计算机保护面板中的所有功能只针对使用锐捷认证客户端(RG-SU)或锐捷安全代理(RG-SA)认证的用户生效。 (3)如果使用的是SU客户端,则给接入设备写acl命令。show smp policy (隐藏的命令)查看是否下发正常。 (4)当用户使用的客户端为非锐捷安全代理时,请在相应的设备配置模板中启用基于设备的网络访问控制,访问控制列表功能才能生效。
|