策略不生效排错指导-深信服上网行为管理AC

WA10.0.0.254 10.0.0.1
排查思路： 1. 检查上网权限策略是否与用户关联 2. 检查是否开启直通或者排除IP 3. 检查用户是否关联了多条上网权限策略 4. 检查应用规则库是否为最新 5. 检查是否有自定义应用 6. 检查拒绝的应用与实际识别出的应用是否对应
10.10.10.100 GW:10.10.10.254 MAC;B8-70-F4-3A-42-2B
上网策略不生效
步骤1 检查用迅雷封堵的策略和用户是否已关联，该策略是否启用，是否开启直通或 者排除IP
步骤2 检查用户是否关联了多条策略，如果有，请注意多条策略的匹配顺序 1. 多条策略间的匹配顺序为从上往 下匹配 2. 可以在上网策略调节策略间的顺 序
上网策略不生效
方法一： 测试用户只开启迅雷下载，查看用户流量排行，观察实时识别出来的应用都 有哪些，然后添加到“迅雷封堵”策略中拒绝掉
上网策略不生效
方法二： 用户测试使用迅雷下载，然后在数据中心查询用户的上网行为日志，确认哪 些应用已经被拒绝，哪些应用只是被记录，添加到上网策略拒绝
流控策略不生效
SANGFOR AC&SG策略 不生效排错指导
培训内容
上网策略不生效 流控策略不生效
培训目标 1.掌握上网策略不生效的排查思路和排查方法 2.掌握流控策略不生效的排查思路和排查方法
上网策略不生效
上网策略不生效
如图，AC路由部署在公网出口，内网用户通过AC进行上网行为控制，客户要求封堵迅 雷下载，结果发现通过迅雷还是可以下载资源。如何排查？
步骤4 检查应用规则库是否为最新 步骤5 检查是否有自定义应用 步骤6 检查流控的应用与实际识别出的应用是否对应 步骤7 在迅雷客户端查看下载的速率，或者通过【实时状态】下【流量状态】中的 【流量管理状态】，观察各个流量通道内的瞬时速率和用户数等，检查流量控制是否生 效。

10.10.10.100 GW:10.10.10.254 MAC;B8-70-F4-3A-42-2B
流控策略不生效
步骤1 检查流量管理系统是否全局启用 一定要注意开启！
步骤2 检查是否开启直通或者排除IP，流控通道是否有排除策略
影响到限制 迅雷下载， 需要删除
流控策略不生效
步骤3 检查是否有多条流控通道，注意流控通道之间的影响
流控策略不生效
如图，AC路由部署在公网出口，内网用户通过AC进行上网行为控制，客户要求限制迅 雷下载速度，不超过50KB/S。结果发现通过迅雷下载资源速度还是超过了限制。如何 排查？
WAN:192.200.200.8
LAN:10.0.0.254 10.0.0.1
排查思路： 1. 检查流量管理系统是否全局启用 2. 检查是否开启直通或者排除IP，流控通道是否有 排除策略 3. 检查是否有多条流控通道 4. 检查应用规则库是否为最新 5. 检查是否有自定义应用 6. 检查流控的应用与实际识别出的应用是否对应 7. 检查流控是否生效
上网策略不生效
步骤3 检查应用规则库是否已经更新到最新版本，若不是请更新
更新应用规则库前请先更新网关补丁！
上网策略不生效
步骤4 检查是否有自定义应用，不建议自己定义应用，容易引起应用识别异常
删除！
上网策略不生效
步骤5 检查“迅雷封堵”策略拒绝的应用，是否存在与迅雷下载时识别出来的应用不 一致，或者不完整的情况！