问题

SEPM 从 RU6 版本升级到 12.1 以后，发现所有客户端的 802.1x 验证无法通过。

背景

SEP12.1 Lan Enforcer 增加了一个功能，客户端被 Lan Enforcer 进行验证时，向 Lan Enforcer 发送UID 和连接的 SEPM 的 IP 地址。只要这个 SEPM 的 IP 地址在 Lan Enforcer 的管理服务器列表内，即使 Lan Enforcer 和这个 SEPM 不属于同一站点，Lan Enforcer 也可以向该 SEPM 验证客户端的UID。

错误

Lan Enforcer 的 Kernel.log:

Failed to find switch profile with IP XX.XX.XX.XX

环境

■ SEPM 12.1.671.4972

■Enforcer 11.0.6100

原因

1. 问题排查：

从 SEPM 上看到，Enforcer 处于 offline 的状态；从 Enforcer 看到，连接 SEPM 成功，但是连

接到了其他站点的 SEPM。在其它站点的 SEPM 上看到，Enforcer 的确以新的组名注册到该分

行，并且获得空的 Enforcer 组策略。因此从 Enforcer 的 Kernel.log 里面没有本地的交换机配置

信息，所有客户端验证失败。

2. 产品原理：

a. 由于在 RU6 时候，所有站点的 SEPM 进行复制，因此默认的管理服务器列表包含所有站点的 SEPM，本地的 SEPM 优先级最高。

b. 没有进行升级的时候，由于 Enforcer 和 SEPM 的 sylink 通信处于常连接状态，只要 SEPM的服务不停止，Enforcer 会保持和本地的 SEPM 的连接通信，不会连接到其它站点的 SEPM。用户怀疑的 SEPM 升级的时候会自动变更 Enforcer 的管理服务器列表，这个经过测试是不存在的，SEPM 升级前后的 Enforcer 管理服务器列表是不变的。

c. 在 SEPM 升级的时候，由于需要停止 SEPM 服务。在这段时间内，如果 Enforcer 到其它站点的 SEPM 的 80 端口通信没有被阻断，并且每个站点的加密密钥是相同的，Enforcer 就会注册到其它的站点的 SEPM。

d. 一旦注册到其它站点的 SEPM 以后，由于其他站点的 SEPM 中已经清除该 Enforcer 组的信息，因此 Enforcer 只能以新的组注册，并且获得空策略。无法对于本地的交换机客户端进行验证。

e. 同时，Enforcer 会获得其它站点的管理服务器列表；该管理服务器列表中本地的 SEPM 要么优先级低，要么已经不存在，因此 Enforcer 没有办法自动连接回本地 SEPM。 

解决方案

1. 问题解决：

在 Enforcer 重新指定 SEPM，让其连接到本地的 SEPM 以后，客户端验证可以成功。

2. 预防措施：

为了预防此问题，需要从网络层面，使用防火墙策略，来阻止来自其他站点的机器访问本地的SEPM 的 80 端口。也就是说，SEPM 的 80 端口只对于本地的客户端电脑和 Enforcer 开放。 由于涉及到 Enforcer 需要连接到其它站点的 SEPM 进行必要的客户端 UID 验证，因此管理服务器列表必须还是使用默认的管理服务器列表，包含所有的站点的 SEPM；但是 UID 的验证通过 UDP的 1812 端口，因此 SEPM 的 UDP1812 需要向全部站点的 Enforcer 开放。

From Symantec

北京同力天合网络技术有限公司

TAPP（Technical Assistance Partner Program）

朱宗智

本期明星销售：叶丹

电话：13910929731

E-mail：yedan@it9173.com

如果电话敬请告知获得途径“新浪博客”