1、为什么有SAT的情况下需要在sgs-policy中指定vrf?
终端与安全接入网关之间有NAT时,需要启用SAT隧道。因此无SAT隧道时,终端和安全接入网关之间是无NAT的,安全接入网关可以看到终端电脑的真实IP,因此可以使用PBR对电脑终端进行vrf指定(跨VRF路由)。
配置举例如下:
route-map neiwang permit 10
match ip address 110
set vrf CEGN
当起用了SAT后,在内网接口启用的PBR无法匹配到终端IP:报文被封装在SAT隧道内。只有在解开SAT隧道报头后才可以识别终端真实信息并对终端进行处理,因此需要在sgs-policy中配置set vrf。
综上所述:有SAT的情况下,set vrf需要在sgs-policy中配置;无SAT隧道则在PBR中set vrf。
2、委办安全接入网关设备型号有哪些?
截止11月1日,暂只支持RSR20-X-28、RSR30-X-SPU 10 V1.5、RSR7708-X、RSR7716-X。其他型号设备软件版本将陆续发布,请关注RTR
3、委办安全接入网关如何获取版本?
RTR系统,选择“路由器”,在该产品型号下选择最新软件版本(“备注信息”中会说明支持委办安全接入解决方案)。
RSR20-X-28:从10.4 3b100开始支持;
RSR30-X-SPU 10 V1.5:从10.4 3b102开始支持;
RSR7708-X/RSR7716-X:从10.4 3b104开始支持。
4、解决方案不支持对HTTPs进行重定向,但互联网很多HTTPs页面可能引发切域失败或认证页面无法弹出,如何处理?
可引导客户收藏“资源导航页”(认证成功后出现的页面),并在资源导航页添加客户经常访问的网址(HTTP资源),引导客户切域或认证时点击该页面上的资源进行WEB认证重定向或切域。
5、委办安全接入网关透明桥是否可以一对多,即一个入口对应多出口 或 多个入口对应一个出口?
目前仅支持一对一。而且RSR7708-X、RSR7716-X设备上只能在同一个FNM或SIP5-X线卡上配置桥组(不支持同一个桥组的接口在不同的FNM或SIP5-X线卡上)
6、透明桥中多个IP参数的对应关系和作用是什么?
sgs-racc-ip A local-ip B ------>用来指定RACC地址和与RACC通信使用的IP,也用于代理认证 NAT时的源目IP
sgs-nas-ip C proxy_racc ------>用来表示给重定向使用的IP地址(透明桥可能存在多个IP地址,比如非桥接口上也可以有IP)
interface Loopback 21474 ------> Loopback接口编号可自定义
ip address C 255.255.255.0
interface virtual-bvi 1 ------>网桥需要有三层接口用来处理拦截HTTP和向终端推送重定向认证页面
ip unnumbered Loopback 21474
sgs-bridge route A 255.255.255.255 interface GigabitEthernet 0/2 dmac 1414.4b6b.79fc ------>只配前往RACC设备路由
注:B与C可以一样,那么发往RACC的数据包将发生:源地址将被转换成B,目的地址由B被转换成A
7、透明桥中的两个接口配置顺序是否有要求?
顺序要求,只是用于将两个接口划到同一个桥组。
8、数据是否可以在不同桥组的接口上直接转发?
不可以,数据只能在同一个桥组接口之间转发,不同桥组可以理解成物理隔离。
9、SAT隧道环境下,当全局的NAT策略和sgs-policy中的都存在时,哪个生效
sgs-policy中的NAT策略优先生效。
10、RACC License分几种,如何识别?
分为四种:
?RG-RACC_BASE:基础license,必须先导入该license,否则无法添加设备和导入其他license。该license自带支持50个;
?RG-RACC_LIC_XX :用户license(不能使用SAT功能),结尾的“XX”表示具体数量。实际支持数为( XX+50 ),RG-RACC_BASE已支持50个;
?RG-SAT_LIC_XX:SAT功能license,结尾的“XX”表示具体数量。导入该license后RG-RACC_LIC将失效(目前策略,后续期能会变动);
?RG-RACC_TEST:测试license,使用时仅导入该license即可,支持10个。有时效限制,超期后无法使用(目前无时效限制,后期会加上)。
11、RACC License数量如何定义?
RACCLicense数量表示最大开户数 或 在线终端数。
12、RACC密码忘记如何处理?
暂无有效简便的操作方法解决
13、RACC支持与哪些设备对接?
仅支持与RSR10-X/20-X/30-X/77-X系列路由器对接,不支持其他设备型号、友商设备对接
14、RACC是否支持安装在虚拟机中?
支持VMware和VBOX,具体操作步骤参见《系统安装手册》。
15、使用委办管理员添加域资源后,在分组管理无法看到,如何处理?
默认添加资源需要admin账号同意,因此需要admin账号在首页--待审资源 或 认证授权-域资源管理-待审资源 通过审批。
15、使用委办管理员添加域资源后,在分组管理无法看到,如何处理?
默认添加资源需要admin账号同意,因此需要admin账号在首页--待审资源 或 认证授权-域资源管理-待审资源 通过审批。