AF应用控制策略不生效案例分享

一、问题描述

AF放通untrust至trust区域应用控制策略访问异常。

二、排查思路

策略问题优先检查配置，梳理业务情况分析流量走向、源末ip、端口以及协议，检查策略配置情况。分析出流量方向、源末ip及协议端口后可通过定向流量直通查看具体是由于那条策略拦截导致访问不通。

三、排查步骤

1、分析确认异常流量的方向、源末ip、端口以及协议。检查配置无配置错误。

2、通过定向直通分析，发现回包未走会话匹配到应用控制策略而被拦截导致不通。

3、协调研发排查回包未匹配会话问题，通过分析流量路径发现请求流量与回包VLAN标签不一致，AF会针对不通VLAN标签的流量建立不同的会话故导致回包不匹配会话被默认策略拦截。

4、针对回包流量单独配置放通策略通信正常，问题解决。

四、场景描述

该场景中，AD-HXSW三层互联，1102为管理段1201为AD-HXSW互联VLAN，HXSW缺省路由下一条为1201段。

当外部访问内网管理段地址时，由于直连路由优先级大故请求包会通过vlan1102直接到达核心，但回包时会匹配缺省路由通过vlan1201进行通信，故在经过AF时为不同VLANID，AF不会配置原有会话，而会建立新会话导致回包流量被默认策略拦截。

AF会针对不同VLANID的流量建立新会话，故在二层环境中如果同一链接的来回流量是不同vlanid不会去匹配会话，配置应用控制策略的时候要注意双向放通

感谢分享

感谢分享，有助于工作，学习

楼主的文章图文并茂，清晰易懂，看完这波操作可以轻松上手了，如遇到问题再向楼主请教~

有助于学习！！！！！！！！！！！！

感谢分享，有助于工作，学习了！

感谢分享

感谢分享，有助于工作，学习了！