IT运维那些事儿---十种可能导致AC上网策略不生效的情况
  

KYLE_K 发表于 2019-9-9 18:02

本帖最后由 KYLE_K 于 2019-9-10 11:43 编辑



上网策略调整是AC运维经常要涉及到的工作,但很多时候在做上网策略调整时,会遇到策略不生效的情况,这篇帖子里面总结了10种可能导致策略不生效的情况,希望给各位在排查上网策略不生效的问题时,提供一些参考。

1.检查上网权限策略是否正确关联了适用对象
没有正确关联适配对象,导致策略失效,适用对象关联配置,如下图所示:
324255d760a502eeba.png

2.检查上网策略是否正确关联了生效时间和动作
没有关联正确的时间和动作,导致策略失效,生效时间和动作关联配置,如下图所示:
154805d760b2f0a051.png


3.检查是否开启直通或者排除IP,
开启了直通或者排除地址,导致策略失效,关闭直通或者排除地址配置,如下图所示:
622655d760d0a6963f.png

392995d760cc034e66.png


4.检查同一条上网策略是否关联了多条上网规则
一条上网策略可以同时关联多条上网规则,上网规则从上到下匹配,上网规则冲突,可能导致上网策略某些拒绝动作失效。例如,第1条规则和第2条规则产生冲突,导致第2条规则某些拒绝功能失效,如下图所示:
991025d760ebf347b2.png


5.检查用户是否关联了多条上网权限策略
上网策略从上到下匹配,用户关联了有冲突上网策略,可能导致某些策略不生效。例如,第1条策略和第2条策略产生冲突,导致第2条策略某些拒绝功能失效,如下图所示:
151935d7610f11e031.png


6.检查规则库是否有更新到新版本
不是最新的规则库可能识别不了相关的应用,导致策略失效,检查规则库更新,如下图所示:
965075d76132373770.png


7.检查策略是否关联了自定义应用
策略关联了错误的自定义应用,可能导致相关策略失效,并且自定义规则库可以优先内置应用规则库,如果“错误的自定义应用”与现有的“内置应用识别库”有冲突,可能会导致某些内置的应用识别库失效。自定义应用涉及的配置,如下图所示:
610935d761affad929.png

283285d7614d1a7e43.png

373735d761a9f44c21.png


8.检查拒绝的应用与实际识别出的应用是否对应,
例如打算做一条拒绝网上购物的策略,只勾选了京东和淘宝是不够的,勾选后京东和淘宝的APP上不了,但京东和淘宝的网站还是可以打开,所以还需要把购物网站也勾选上,如下图所示:
541675d761d25dbd9b.png


9.检查WAN口和LAN口接线是否接反了(网桥模式部署)
AC所有的上网策略,默认情况下,源都是LAN口,目的都是WAN口,如果接反了,策略的源和目的就反了,导致策略不生效,如果发现在线用户列表里有大量的公网IP,很有可能是接反了,如下图所示:
288615d761f6399c22.png

10.检查客户端是否通过代理工具上网
客户端使用代理工具上网,AC就无法检测到客户端相应的网络应用流量,导致上网策略不生效,通过禁止代理工具的上网策略,可以禁止客户端使用代理工具上网,如下图所示:
131285d763bdd89449.png

喜欢这篇分享吗?喜欢就给楼主打点赏吧!点个赞也是极大的鼓励!

发帖可获得5S豆;若您的分享被加精或推荐优秀等,将获得更多S豆奖励,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

×
有话想说?点这里!
可评论、可发帖

本版热帖

本版达人

Zhong7Q...

本周建议达人

玖零网络

本周分享达人

我爱AC

本周提问达人

#厉害了! 我的技术等级已提升#