本帖最后由 KYLE_K 于 2019-9-10 11:43 编辑
上网策略调整是AC运维经常要涉及到的工作,但很多时候在做上网策略调整时,会遇到策略不生效的情况,这篇帖子里面总结了10种可能导致策略不生效的情况,希望给各位在排查上网策略不生效的问题时,提供一些参考。
1.检查上网权限策略是否正确关联了适用对象没有正确关联适配对象,导致策略失效,适用对象关联配置,如下图所示:
2.检查上网策略是否正确关联了生效时间和动作 没有关联正确的时间和动作,导致策略失效,生效时间和动作关联配置,如下图所示: 3.检查是否开启直通或者排除IP, 开启了直通或者排除地址,导致策略失效,关闭直通或者排除地址配置,如下图所示:
4.检查同一条上网策略是否关联了多条上网规则 一条上网策略可以同时关联多条上网规则,上网规则从上到下匹配,上网规则冲突,可能导致上网策略某些拒绝动作失效。例如,第1条规则和第2条规则产生冲突,导致第2条规则某些拒绝功能失效,如下图所示:
5.检查用户是否关联了多条上网权限策略 上网策略从上到下匹配,用户关联了有冲突上网策略,可能导致某些策略不生效。例如,第1条策略和第2条策略产生冲突,导致第2条策略某些拒绝功能失效,如下图所示:
6.检查规则库是否有更新到新版本 不是最新的规则库可能识别不了相关的应用,导致策略失效,检查规则库更新,如下图所示:
7.检查策略是否关联了自定义应用 策略关联了错误的自定义应用,可能导致相关策略失效,并且自定义规则库可以优先内置应用规则库,如果“错误的自定义应用”与现有的“内置应用识别库”有冲突,可能会导致某些内置的应用识别库失效。自定义应用涉及的配置,如下图所示:
8.检查拒绝的应用与实际识别出的应用是否对应, 例如打算做一条拒绝网上购物的策略,只勾选了京东和淘宝是不够的,勾选后京东和淘宝的APP上不了,但京东和淘宝的网站还是可以打开,所以还需要把购物网站也勾选上,如下图所示:
9.检查WAN口和LAN口接线是否接反了(网桥模式部署) AC所有的上网策略,默认情况下,源都是LAN口,目的都是WAN口,如果接反了,策略的源和目的就反了,导致策略不生效,如果发现在线用户列表里有大量的公网IP,很有可能是接反了,如下图所示:
10.检查客户端是否通过代理工具上网 客户端使用代理工具上网,AC就无法检测到客户端相应的网络应用流量,导致上网策略不生效,通过禁止代理工具的上网策略,可以禁止客户端使用代理工具上网,如下图所示: | 
发表于 2019-9-25 09:34
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
工程师2级 
