深信服AC与锐捷NAC的问题

需求：基本的审计功能

现场环境：1.出口是台信锐的NAC，连接下面的核心交换机，我们的AC设备网桥部署在中间

                  2.AP通过出口NAC进行短信认证

                  3.整个网络中只有2个网段，一个是192网段为管理网段，AP属于192网段

                     用户则是使用172网段

                  4.将NAC的认证转发到AC设备上做审计，不在AC上做认证

实施过程：1.开始AC设备旁路部署在核心交换机，交换机做镜像，AC上审计策略没问题，用户有上线，但是审计不到172的业务网段，只有192的管理网段，在AC上抓包，没有172网段的数据包，然后部署成网桥模式，还是没有172网段的数据包

                  2.经过400协助，发现AP的认证流量和业务流量是走的隧道，封装的CAPWAP协议，在AC上配置协议剥离，172网段流量还是没有抓取到，然后将AP的隧道转发更改为本地转发（这时没有关闭协议剥离），AC还是没有172网段的审计上线，进行抓包却有172的数据包，关闭协议剥离，172网段的审计数据上线。

目前认为是AP的认证和业务流量走的隧道无法抓取流量，问一下有没有其他的原因导致，为什么隧道转发开启协议剥离还是无法抓到数据包。

这个场景，ap-nac,肯定涉及CAPWAP隧道，这里有个延申知识点，AP的转发模式，分为本地转发和集中转发，区别可以自己百度。所以最后的本地转发应该是能审计到的，至于那个协议剥离是什么问题，我也有疑问。

感谢分享，有助于工作，学习学习