排查思路
第一步:确认网络环境,包括设备的版本信息,规则库版本信息,部署模式等。
第二步:检查用户是否通过认证,即在线用户管理是否查询到该用户。
第三步:在线用户列表界面查看用户的策略结果集看是否有匹配到策略
1、如果没有匹配上策略,检查上网策略配置的适用对象是否有选择用户,各个模块之间是与的关系,同时满足才会匹配,当有域的时候需要注意的是以本地帐号上线还是以域帐号上线的。
注意:适用对象的终端类型,建议用默认
2、已经匹配上,那么检查是允许的策略没有生效还是拒绝的策略没有生效。
第四步:检查策略设置是否正确:策略是否是根据预期设置,策略是否过期,是否有设置目的区域,目的区域是否正确等。
第五步:应用能否正常识别
1、检查应用流量排名和用户流量排名中识别到的应用是否正确。
2、检查连接监控是否能够识别到用户正在使用该应用。
3、检查是否存在自定义应用导致匹配不到正确的应用名,禁用自定义应用后重新测试是否可以正常识别并控制,如果识别不到应用则抓包分析数据特征。
注意:如果不确定正常识别为什么应用名,可以使用虚拟机进行测试。
第六步:区分不同情况再做排查:
允许的策略没有生效
直通和全局排除测试看是否可以,如果可以了,那么根据直通的日志或者是数据中心的日志调整策略,如果不能将整个类型允许,那么就通过做自定义的url或者应用来做;
直通和全局排除只有一个可以,那边比较直通和全局排除的区别然后再调整日志。
直通和全局排除都不行,网桥模式下建议单独绕开设备测试;路由模式下则可以直连设备或者外网线路测试。
拒绝的策略没有生效
检查是否有针对测试用户开启了上网故障排除的操作。
全局排除里面是否有把测试的用户ip或者网段或者域名排除掉。
如果以上都没有,查看上网行为监控或者数据中心的日志,通过自定义的url或者应用来拒绝看看。
规则库升级到最新。
