#原创分享#【AC】上网权限策略不生效问题排查

【前言】

这是发生在楼主自己身上的一个真实案例，楼主在给中小学老师进行AC实操培训，做了一个禁止在线视频网站的策略，尴尬的发现策略没有生效，然后现场做了一个故障排查。。。。

实验环境拓扑 ：外网----AC----测试PC

【故障现象】

禁止在线视频网站，策略不生效，某公司站正常打开。

【排查过程】

1.检查配置策略，策略配置正确，用户关联所有。

只有单策略，不存在匹配到其他放通策略。

2.检查设备规则库，规则库已经是最新

3.查看上网实时监控，发现测试PC正常匹配到拒绝策略。

4.检查设备全局排除地址，测试PC没有加入全局排除。

5.检查设备直通状态，设备没有开启直通。

查到这里，我心里其实已经有点慌了，下面60多个老师在看着，常规的排查操作都没有查出问题，当时还在怀疑是否是设备BUG问题。就在这一刻，忽然想起来，设备里自定义应用可以设置优先级大于设备内置库，是否是存在自定义应用导致策略不生效，于是查看了下自定义应用，果然存在一条关于优酷的自定义应用，勾选了用户自定义规则优先（自己坑了自己一把，这条策略是之前自己测试配置的，忘记删除了）。

设备存在自定义应用，优先级大于设备内置库。

禁用自定义应用后，优酷无法打开，策略正常生效。

【原因分析】

自定义应用勾选了用户自定义规则优先，使得自定义应用优先级大于设备内置库规则；另外AC默认策略是允许的，只要是没有配应用拒绝的策略，默认都是允许。本案例中，自定义了“优酷”应用，勾选了用户自定义规则优选；拒绝策略选择内置库‘’在线影音‘’规则，实际上设备默认匹配到了自定义应用优酷，从而导致策略没有生效。

【解决办法】

1.禁用自定义应用

2.去掉用户自定义规则优先

感谢分享，让我学到了一副本知识

学习了，感谢分享！

值得借鉴，收藏了

学习一下

您好，您的文章已被收录到计划中，交由专家评审小组评审，奖励将在下周安排发放！发文越多，奖励越多，期待您更多的精彩文章哦！:感恩:
点击查看本季原创内容要求及奖励规则：http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=117259

感谢分享

多谢分享

感谢分享

感谢分享