#原创分享#规则库无法更新导致上网策略不生效排错步骤

-------故障背景-------

       某天，客户做了一条上网策略，但是一直不生效，按照策略不生效的步骤做了一系列的排查依旧不生效（因为是新上架的设备，并且工程师实施结束后反馈说规则库是最新的，于是就没看这一点）。

       看了下规则库，竟然还是19年3月份的，于是更新，发现竟然无法更新。。。。。。

-------规则库无法更新排查步骤-------

1、规则库无法更新首先第一个想到的就是设备能否上网啦

如何测试呢？

可以在设备的命令控制台ping下公网地址和公网的域名

*ping公网地址（IPV4地址）是为了验证设备是否可以上网

*ping域名是为了验证设备配置的DNS是否可用

测试结果：都不通

测试分析：说明设备本身不能上网，所以不能更新规则库

问了下客户，设备能不能上网，客户以为设备能上网和内网用户能上网是一样的，其实吧不然

内网用户能上网并不代表设备就能上网，因为AC是网桥也就是二层方式串进去，不参与路由转发，内网用户上网的数据只是双向经过AC而已，如果AC不配置网桥地址，内网用户依旧可以正常上网。

AC设备上网需要满足几个条件①配置网桥地址并且可用  ②配置DNS并且可用 ③前置设备咩有拦截AC上网

2、这个时候问题就很明了了，先看网桥地址跟客户确认是可用的，DNS也是可用的，就开始查前置设备是否拦截

确认结果：跟客户确认前置设备没有做拦截，并且这次是设备替换，直接导入的配置，这个地址和DNS在之前的设备上都是可用的，所以在这台设备上应该也是可用的。

3、既然上公网不通，这个时候就直接ping下AC的网关好了

测试结果：不通

测试分析：问题又明确了，AC到上连的网关直连不通，现在要查的就是AC的wan口和路由器的LAN口，这种查起来就方便了，先让客户看下路由器的接口配置，客户回复咩有问题，那就只能找证据看下到底是哪里的问题了。

排查过程：在AC的命令控制台长PING路由器的LAN口地址，然后查看情况，如下图

测试结果：AC是一直在发送请求，但是路由器没回啊

穿插知识点：PING的实现原理

很简单，PING使用的是ICMP协议，实现过程就是简单的，请求request   回复reply

参考下图

4、查到这里，问题更明确了些，直接查路由器，找到如下选项

结果：在路由器上做了MAC绑定，绑定的是之前的AC的MAC地址，导致绑定关系失败所以不通，将这条删除继续测试

测试结果:网关也通了，公网地址也通了，域名也通了

最后再更新规则库，上网策略生效（步骤略）

至此，故障解决

所以，各位小伙伴，遇到问题不要慌，建议根据现象一步一步的缩小故障范围，必要时候可以利用社区的智能客服，根据智能客服提供的排错思路来排查问题。

感谢楼主分享，所谓峰回路转，柳暗花明也就是楼主故事的样子了，哒哒哒的帖子写的越来越好，环环相扣，策略不生效——规则库更新——网络问题，中间细节清晰，体现了楼主基本功的扎实，哪里有问题，为什么出现这种问题，解决问题的依据，说明的清清楚楚。客户得这种工程师，幸福呀。期待社区有更多这样好的帖子

先马克后学习

学习一下

您好，感谢您参与社区原创分享计划7，您的文章已被收录到计划中，交由专家评审小组评审，文章标签在专家评审后设置，奖励将在活动结束后统一安排发放！发文越多，奖励越多，期待您更多的精彩文章哦！:感恩:
关于技术文章的管理流程，请参考：http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=90279

学习一下

学习了，谢谢分享！建议如果可以截图看一下客户做的上网规则就更好了。

之前也遇到过出口设备绑定mac的情况，替换完设备之后，莫名奇妙不通，当时采取的是跟换IP的方式

和他们说的

思路清晰，老司机上路。感谢分享。