usg5300作为sacg使用时不能正常阻断

发布时间:  2012-07-17 浏览次数:  57 下载次数:  0
问题描述

如题所示,进行tsm部署后,用户来进行服务器访问,部分用户可以被usg5300阻断,而部分用户不能阻断,服务器区域ip地址为192.168.0.0/24

告警信息
处理过程

检查引流配置,发现用户流量包含在引流acl中,

display firewall session table发现不能正常阻断的用户,其流量并经过sacg

分析未经过sacg的原因,经过排查,发现流量没有经过sacg的用户其ip地址和服务器在同一网段,交换机在进行数据转发的时候,首先检查的是mac表,进行二层转发,在同一网段的用户其vlan也在同一网段,在进行转发的时候直接走二层,不再经过防火墙

 

根因

部分用户能够进行阻断,部分不行,存在以下可能

1.引流不完全

2.没有阻断的用户流量没有经过sacg

建议与总结
在进行引流后,发现未经过设备的流量时,需要仔细分析原因,从二层,三层上进行考虑

END