007_DCBA 保活机制-20070929.docVIP

DCBA 保活机制 撰写人 王吉忠 审核人 校对人 产品名称 DCBA 产品版本 V3.0 文档描述 描述了DCBA 保活机制，替换《DCBA WEB页面认证超时机制doc》 限制范围 撰写时间 2007-09-29 简述 DCBA WEB页面认证与专用Client认证的保活机制不一样。 WEB页面认证保活机制 WEB页面认证保活机制是通过认证成功之后出现的连接窗口来实现保活的。客户端通过周期性（具体周期由DCBA session echo_interval参数决定）地向DCBA发送保护报文（该报文报文目标地址为DCBA，目标端口为80），得到DCBA的响应后再断开此TCP连接，一个echo_interval周期后，再创建TCP 80连接进行保活并断开。 如果因为客户端没有出现连接窗口或其它原因，导致DCBA在session echo_timeout定义的数值超时后还没有一次保活，则DCBA会对该用户进行强制下线动作，认证用户再打开网页时会谈出认证窗口。 针对部分浏览器可能会阻止连接窗口，导致认证PC与DCBA之间保活失效的情况，再加上一个检测流量机制（session idle_chk enable命令启用流量检测机制），如果保活失效（即在session echo_timout定义范围内没有成功保活），则继续检测该用户上网数据速率在统计时间范围内（由session idle_timeout 参数定义）是否小于设置阈值（由 session idle_data参数定义）。如果小于该值，则认为用户已下线，DCBA执行强制下线处理，如果大于该值，则认为用户仍在线，不会断开此用户的认证连接。 如果启用了流量检测机制，则即使在echo_timout时间范围内保活成功，但按照流量检测发现该session的流量低于阈值，则依然断开此session。 流量检测机制仅对WEB 页面认证有效，对专用Client认证无效。 专用Client认证的保活机制 Clinet认证的保活机制与WEB 页面保活检测机制不一样。 Clinet认证成功后默认每30s（session echo_interval参数没有任何作用）主动向DCBA发送保活报文（UDP报文，源端口为3849，目标端口为3848），DCBA收到此报文后立刻回应，完成一次保活。 专用Client认证环境下，DCBA与客户端都要检查对方是否依然工作，DCBA在session echo_timeout时间范围内没有收到认证客户端发过来的保活报文则对该session强制下线处理。专用Client同样也检测DCBA是否回应了保活报文，在230s内如果没有收到保活响应报文，则客户端主动断开认证连接（不管此时是否配置了session idle_chk enable），断开认证连接的报文为UDP报文，源端口、目的端口均为3848。 流量检测机制对专用client认证无效。如果DCBA与认证客户端保活正常，且配置了session idle_chk enable，则即使该session 一定时间内（session idle_timeout）的流量小于阈值（session idle_data），DCBA也不会主动断开该session。 专用Client客户端软件认证情况下，DCBA与认证客户端均会监控保活情况。DCBA判断依据仅session echo_timeout 参数。认证客户端判断依据固定在程序内部，为230s左右。所以对于出现认证客户端在认证后启用Cisco VPN Client的情况（该VPN Client会修改系统的路由实现，使得所有的报文均从VPN接口发送出去，即使目标地址是物理网卡的同一网段IP地址），就没有办法解决3分钟左右短线的问题。变通的解决办法是在该PC上启用WEB页面认证，配合流量检测机制（未验证此解决方法）。 WEB页面认证常见问题 现对常见的浏览器使用中的情况进行总结： 1、IE方式下，认证窗口和连接窗口均能够出现，则认证后，默认60s（session echo_interval参数决定）客户端和DCBA进行一次保活处理，客户端主动发送保活报文至DCBA。该保活报文是加密方式的，DCBA收到该保活报文给客户端进行回应。 2、Mozilla方式下，认证窗口可以单出，但连接窗口不能出现，则认证后，默认180s断线。可以通过session echo_timeout second命令设置长时间没有保活后断开连接。期间如果想断开网络连接，则需要配置set spec_logout on，此时您在浏览器中输入页面地址（该地址为默认的logout地址，可以通过命令set logout_ip ip修改该地址），在弹出的连接窗口中就可以断开连接。