策略不生效排错指导-深信服上网行为管理AC.ppt

《策略不生效排错指导-深信服上网行为管理AC.ppt》由会员分享，可在线阅读，更多相关《策略不生效排错指导-深信服上网行为管理AC.ppt（15页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、SANGFOR AC&SG策略不生效排错指导培训内容培训目标上网策略不生效1.掌握上网策略不生效的排查思路和排查方法流控策略不生效2.掌握流控策略不生效的排查思路和排查方法上网策略不生效上网策略不生效如图，AC路由部署在公网出口，内网用户通过AC进行上网行为控制，客户要求封堵迅雷下载，结果发现通过迅雷还是可以下载资源。如何排查？排查思路：1.检查上网权限策略是否与用户关联2.检查是否开启直通或者排除IP3.检查用户是否关联了多条上网权限策略4.检查应用规则库是否为最新5.检查是否有自定义应用6.检查拒绝的应用与实际识别出的应用是否对应上网策略不生效步骤1 检查用迅雷封堵的策略和用户是否已关联，

2、该策略是否启用，是否开启直通或者排除IP步骤2 检查用户是否关联了多条策略，如果有，请注意多条策略的匹配顺序1.多条策略间的匹配顺序为从上往下匹配2.可以在上网策略调节策略间的顺序上网策略不生效步骤3 检查应用规则库是否已经更新到最新版本，若不是请更新更新应用规则库前请先更新网关补丁！上网策略不生效步骤4 检查是否有自定义应用，不建议自己定义应用，容易引起应用识别异常删除！上网策略不生效步骤5 检查“迅雷封堵”策略拒绝的应用，是否存在与迅雷下载时识别出来的应用不一致，或者不完整的情况！上网策略不生效方法一：测试用户只开启迅雷下载，查看用户流量排行，观察实时识别出来的应用都有哪些，然后添加到“迅

3、雷封堵”策略中拒绝掉上网策略不生效方法二：用户测试使用迅雷下载，然后在数据中心查询用户的上网行为日志，确认哪些应用已经被拒绝，哪些应用只是被记录，添加到上网策略拒绝流控策略不生效流控策略不生效如图，AC路由部署在公网出口，内网用户通过AC进行上网行为控制，客户要求限制迅雷下载速度，不超过50KB/S。结果发现通过迅雷下载资源速度还是超过了限制。如何排查？排查思路：1.检查流量管理系统是否全局启用2.检查是否开启直通或者排除IP，流控通道是否有排除策略3.检查是否有多条流控通道4.检查应用规则库是否为最新5.检查是否有自定义应用6.检查流控的应用与实际识别出的应用是否对应7.检查流控是否生效流控策略不生效步骤1 检查流量管理系统是否全局启用一定要注意开启！步骤2 检查是否开启直通或者排除IP，流控通道是否有排除策略影响到限制迅雷下载，需要删除流控策略不生效步骤3 检查是否有多条流控通道，注意流控通道之间的影响步骤4 检查应用规则库是否为最新步骤5 检查是否有自定义应用步骤6 检查流控的应用与实际识别出的应用是否对应步骤7 在迅雷客户端查看下载的速率，或者通过【实时状态】下【流量状态】中的【流量管理状态】，观察各个流量通道内的瞬时速率和用户数等，检查流量控制是否生效。