ASG的QQ黑白名单功能不生效

发布时间:  2015-12-24 浏览次数:  311 下载次数:  0
问题描述
组网:内网 --- ASG --- Internet。

版本:ASG2100 V100R001C10SPC100

故障描述:配置了QQ白名单,QQ号码5874xxxx不在白名单列表,但依然能够登录成功。
处理过程

步骤 1 检查现网设备QQ相关配置,未发现问题。

步骤 2 问题出现时其他不在白名单列表中的QQ也可以登录,说明是共性问题,怀疑QQ的提取特征已不满足需求。

步骤 3 分析现网抓包,且在实验室进行回放,均能被正确识别,且报文能够被正常阻断,说明不是QQ提取特征错误导致。

[ASG2800]display user-manage online-user verbose qq-login
17:17:472014/03/12
Current Total Number: 1
--------------------------------------------------------------------------------
IP Address: 100.100.100.2VPN Instance: Public
Login Time: 2014-03-12 17:17:29Online Time: 00:00:18
State: Actived TTL: 00:30:00Left Time: 00:29:42
Authentication Mode: None (Temporary user)
<--packets: 3 bytes: 253-->packets: 4 bytes: 321//后续报文已经被阻断
QQ-login Info:
Index:1 QQ:58748645 RcvMsg:0 SndMsg:0
User Name: 100.100.100.2Superior Department: root 
Group Name: 
--------------------------------------------------------------------------------

步骤 4 再次分析现网配置,发现抓包中报文的目的IP在设备配置文件中存在,为全局排除地址配置为域名时解析到的IP地址。

rule 26
destination 120.196.211.227 0
destination 120.196.212.74 0
destination 120.196.212.86 0
destination 120.196.212.87 0// 域名tcpconn4.tencent.comDNS解析后的地址。
destination 120.196.212.94 0
description qq/1/dns
domain tcpconn4.tencent.com

步骤 5 至此问题就已经非常清楚了。报文命中全局排除地址时,设备直接转发报文,不做用户和上网策略。全局排除地址配置为域名方式时,会解析出该域名对应的所有IP地址,QQ登录时的公网地址刚好在全局排除地址范围内,导致报文直接被ASG转发。

----结束

根因
报文命中全局排除地址时,设备直接转发报文,不做用户和上网策略。全局排除地址配置为域名方式时,会解析出该域名对应的所有IP地址,QQ登录时的公网地址刚好在全局排除地址范围内,导致报文直接被ASG转发。
解决方案
更改全局排除地址设置,避免包含QQ登录时的公网地址。
建议与总结
1、问题比较简单,但在ASG上全局排除地址配置为域名的方式在现网中比较少用,从WEB页面上无法直接看到域名解析后IP地址,需要从配置文件中来查看分析。

2、这里需要关注的是全局排除地址配置为域名时,设备会预先解析出域名对应的所有IP地址,保存在设备上,若后续遇到理论上能被设备阻断的报文被放行的问题时,可以排查下这里的配置。

END