【ACE适用于软件版本是3.4.00/4.0.2】SAM联动类异常，即无流量检查失效，导致仍然出现在线用户残留

发布时间：2013-11-26

点击量：2551

1、故障现象
ACE与SAM联动纯准出场景中并开启ACE的无流量检查功能，但仍然出现在线用户残留的情况；

2、故障可能原因
（1）设备应用识别异常；
（2）全局策略配置不当；
（3）IPFIX策略配置不当；
（4）认证参数配置不当；
（5）未存在在线用户列表；
（6）用户流量未经过ACE；
（7）SAM未收到IPFIX报文；

3.故障处理流程

4.故障处理步骤

步骤1：检查ACE的流量统计功能是否正常

无流量监测功能是基于ACE的流量统计功能，所以务必保证流量统计功能正常；所以我们需要首先排查流量统计部分，该部分排查详见 SAM联动类>>SAM无法统计到网关流量章节；

步骤2：检查无流量检测配置是否正确
检查理由
ACE需要开启必要的流量统计、IPFIX、无流量检测等开关，才能实现无流量检测；
检查步骤&解决方法
SAM认证配置>认证配置中IPFIX、流量统计、无流量检测和无流量时长配置正确；

步骤3：检查用户流量是否有经过ACE
检查理由
如果客户端的流量未经过ACE，例如：客户端PC存在双网卡，流量都从未经过ACE的网卡发送；或客户端可以使用IPV4/IPV6两种不同的网络，而实际大部分流量都走的IPV6，这样ACE就无法统计到这些流量，从而无法发送流量信息给SAM
检查方法
我们可以先找台测试PC进行正常业务操作，然后在ACE Report/APM自定义测试主机的应用报表进行观察，确认测试PC发送的流量总量是否正确；报表上都能正常查询，说明客户端的流量都已经串过ACE；如果不能，则需要与用户沟通下网络使用的场景；
图1：自定义应用报表示意图

同时也可以通过抓包的方法进一步确认，镜像的操作方法如下：
在策略中心中添加一条该主机的流控策略，同时开启端口镜像功能，并选择镜像口ma；然后将PC与ma口连接，通过如wireshark抓包软件进行抓包，如能获取到该主机的抓包信息，则表明该主机的流量有穿过ACE；

解决方法
与用户沟通调整客户端的流量走向，让其全部能经过ACE；

步骤4：检查ACE与SAM交互报文是否正常
无流量检测原理
1、无流量检测基于IPFIX流量统计，所以必须用户的IPFIX统计正常，且该用户已完成首次IPFIX流量统计；
2、但某用户在“无流量时长”内流量统计为零，则ACE认为该用户异常，则通知SAM踢用户下线；
3、无流量检测ACE与SAM交互动作及报文
a) 用户正常上线：SAM发送code3；ACE与SAM的IPFIX初始化更新；
b) 在线阶段：SAM定时同步code8的在线用户；ACE发送IPFIX流量给SAM；
c) 异常掉线阶段：某用户在“无流量时长”内流量统计为零，则ACE认为该用户异常则发送code6报文通知SAM该用户异常；SAM发送code4报文通知ACE踢用户下线；
无流量检测抓包分析
确认ACE发送code6报文

确认SAM在收到code6报文后发送code4包文给ACE

分析报文技巧
快速查找到code4和code6报文
通过wireshark中的 Find Packet功能，目录 Edit>>Find Packet；

查找 Hex value，填写ffff0004或 ffff0006，这样就可以快速查找到我们所需的code=4、code=6的报文；

报文字段属性介绍
我们查看报文中用户名、用户IP字段；确定被无流量监测功能清除下线的用户信息；
图1：code=4报文重要属性字段说明

图2：code=4、code=6属性字段说明

总结
1、ACE未发送code6报文或ACE收到code4报文未踢用户下线，则为ACE软件故障；
2、SAM未发送code4报文或收到ACE的code6报文后未踢用户下线，则为SAM软件故障；

步骤5：检查客户端是否满足无流量检查的必要条件
1、无流量检测基于IPFIX流量统计，必须用户的IPFIX统计正常，且已完成该用户首次IPFIX流量统计；所以监测时间必须大于600秒；
2、测试客户端PC，必须保证在线10分钟后再异常下线；
3、客户端异常下线后，会在无流量监测周期+10分钟时间内下线；举例：无流量监测时间为900秒（15分钟），客户端在异常下线后，该用户将在25分钟内被ACE踢下线；

步骤6：收集信息后，请联系4008111000协助处理
如果经以上5个步骤排查后故障无法解决，请将根据步骤1到步骤5检查配置信息压缩打包，同时准备好ACE的远程方式后联系4008-111000协助处理。
需要收集的信息
1、应用识别异常信息收集（参见：应用识别类>>大部分流量无法识别>>步骤7：信息收集部分）；
2、无流量检测配置信息（web配置界面截图）；
3、用户应用自定义报表截图（web配置界面截图）；
4、ACE与SAM交互报文；
5、客户端测试情况说明；