交换机策略路由问题导致接入控制不成功

发布时间:  2012-07-19 浏览次数:  59 下载次数:  5
问题描述
用户通过认证后,能检查出违规项,但是还能Web访问后受限制的站点
告警信息
处理过程

1、首先检查配置,确认无误。

2、通过在客户端做tracert 发现交换机已经把报文重定向到了防火墙,并且在SACG上看到了session表。

3、在客户端访问该站点但是在SACG上没有发现session表,由此可以初步判断http流量没有经过防火墙,所以SACG不能对用户做控制。客户是否是SACG把报文丢弃掉了?

4、在交换机上作镜像抓包,同时开ping和http访问,发现只有icmp的报文,没有发现任何http报文。由此可以断定,是交换机的问题导致控制策略没有生效。

5、用户重启交换机后报文转发正常,终端控制功能也同时生效。

根因
1、配置错误,比如策略参数等
2、交换机策略路由问题,本案是由于交换机做策略路由时只把一部分协议的报文做了转发,但是对于HTTP等报文并没有走策略路由。
建议与总结
如果流量没有引导SACG,所有的终端控制功能不能生效。本例交换机的问题比较特殊,通过简单的trace与ping并不能发现问题。只有通过抓包等更为详细的手段来确认定位问题。

END