SecPath ACG1000，在線用戶出現很多未識別ip地址。

項目

說明

識別範圍

標示用戶識別範圍的地址對象或者地址對象組。

用戶隻有同時在用戶識別範圍內和相應的認證網段中，使用流量的時候才會觸發認證過程。如該用戶不在用戶識別範圍內，則不會觸發認證過程，也不會識別為匿名用戶；如該用戶在用戶識別範圍內，但不在任何一個認證網段中，則該用戶被識別為匿名用戶。

識別模式

識別模式分為“啟發模式”和“強製模式”兩種，默認配置為強製模式，識別範圍默認配置均為private私網地址段。

“啟發模式”指的是，優先將屬於識別範圍的IP地址識別為在線用戶，並且根據流量發起方先識別源IP，再識別目的IP，如果源IP和目的IP都不在識別範圍中時則將源IP識別為在線用戶。

“啟發模式”使用場景：對用戶識別要求不嚴格的情況下使用啟發模式，在線用戶中會出現非識別範圍內的用戶（如：同時出現私網IP和公網IP的用戶），所以統計到的在線用戶數量會比較多，在此模式下需要將識別範圍修改成內網實際使用的地址網段，否則會導致用戶識別不精確。

“強製模式”指的是，隻將屬於識別範圍的IP地址識別為在線用戶，並且根據流量發起方先識別源IP，再識別目的IP，隻有源IP或目的IP地址中的一個屬於識別範圍時，才會被識別為在線用戶；否則此IP地址流量不受係統轉發流程中用戶識別後的所有功能模塊限製，如：用戶策略、安全策略、應用識別和審計、入侵檢測、病毒防護、QOS。

“強製模式”使用場景：對用戶識別要求嚴格的情況下使用強製模式，在線用戶中隻會存在識別範圍內的用戶，過濾掉了不屬於內網地址段的用戶，精簡了在線用戶列表，隻顯示用戶真正關心的數據，同時提升了設備性能，不在識別範圍內的IP流量不走用戶認證流程，避免了對用戶不關心數據的處理，在此模式下務必將識別範圍修改成內網實際使用的地址網段，避免因識別範圍配置錯誤導致的用戶關心的IP地址流量不受用戶策略控製的情況出現。