交换机
园区网交换机
数据中心与云计算交换机
中小网络精简型交换机
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
小锐A系列
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
1.故障现象:
阻断某款应用之后,该应用仍然可以正常使用
2.故障可能原因:
3.故障处理流程
4.故障处理步骤
步骤1:检查应用选择和应用识别
每款软件,其产生的流量可能会含有多种应用特征,比如开启迅雷进行下载,识别出的应用类型有p2p-HTTP下载和迅雷|迅雷看看(查看用户的流量明细,如图1,根据下载资源不同,可能每次识别的结果不一样),如果要有效阻断,在设置策略的时候需要将应用类型选择完整,如要限制迅雷,就要限制P2P应用软件(包含p2p-HTTP下载和迅雷|迅雷看看)。有的软件产生的流量特征比较单一,限制时只需限制一种应用即可。
因此如果发现禁止某款软件禁止不了时,需检查应用类型选择是否完整,应用识别结果是否正确。
图1
1、检查阻断应用类型是否选择完整
设置阻断策略之后如果发现效果不理想,通过查看该应用的识别结果,来完善阻断策略的设置。
比如设置阻断迅雷的策略时,只阻断了迅雷|迅雷看看(图2),但是使用迅雷进行下载时还有速度。在流量监控中查看用户(开启了迅雷下载)的流量明细,如图3,图中用户的流量还有p2p-HTTP下载应用类型,说明迅雷软件产生的下载流量被识别成了p2p-HTTP下载和迅雷|迅雷看看(识别结果以实际环境为准,可能会是多种类型的应用),因此为了更好地限制迅雷,可将P2P应用软件都禁止掉。或者在流控策略中新增对应用p2p-HTTP下载的阻断策略,阻断之后,迅雷客户端下载没有速度了,效果如图4。
图2
图3
图4
2、检查是否所有应用都被识别成“any/any”类型的应用
如果查看应用识别时,出现any/any类型的应用,则说明没有开启应用识别,因此在命令行下sh run检查是否配置了如下两条命令,如果没有,请配置上去。
layer23 classify enable
identify-application enable
3、检查识别是否正确
比如用户电脑上运行的是新版本的QQ软件,但在应用明细里看到被识别成了阿里旺旺客户端。这种是误识别导致的,应用识别是基于应用分类库进行识别的,当应用分类库更新落后于网络中的各软件的更新速度时,可能会存在识别上偏差。如果发现应用识别错误的现象,请先检查更新库文件,如图5,若升级到最新版本后还是识别错误,请收集信息联系4008111000.
图5
步骤2:检查阻断策略的状态是否生效
1、检查阻断策略是否生效
阻断策略可以通过4种方式来实现
a、通过行为策略中的禁止应用实现:策略对所有接口和所有用户所有时间都生效。效果与c是完全一样的,可根据配置习惯不同选择不同的配置方法。
b、通过行为策略中的高级配置实现:策略策略是针对所有接口、不同用户、时间,外网ip对象等定义阻断策略来实现的。
c、通过流控策略中的阻断应用实现:策略对所有接口和所有用户所有时间都生效。效果与a是完全一样的,可根据配置习惯不同选择不同的配置方法。
d、通过流控策略中的流控高级实现:策略策略可针对不同的接口、不同用户、时间,外网ip对象等定义阻断策略来实现的。
方法a、b、c均可在行为策略的高级配置中查看策略状态,如图1,方法d可在流控高级中查看策略状态,如图2。每条策略可能会有三个状态:生效、未生效和禁用。
在状态列,可以看到策略是否生效。如果策略不生效,会有一个问号泡,点击问号泡将会提示策略不生效的原因。如果策略都是生效的,那么转步骤3处理。
常见的策略不生效的原因有:
已选的应用不存在:说明策略中的应用被删除了,可在对象定义中添加相应的应用分组,如图2。
时间对象未生效:说明当前的系统时间未到时间对象规定的时间,所以策略未生效,时间到了之后自然会生效,检查时间是否正确。
已选静态用户不存在:说明用户对象被删除了,可在用户组织中添加被删除的用户。
已选认证用户不存在:在开启web认证时,认证用户未上线时该策略不会生效,认证用户上线后才会生效。
外网ip对象不存在:说明外网ip对象被删除了,可在对象定义中添加相应的外网ip对象,如图3,外网ip对象区别于内网ip,它是外网的地址,可以是外网网站或服务器。
若是方法d配置的,还需要依次检查每个接口的策略是否生效,如图4
图1
图2
图3
图4
2、检查阻断策略的顺序
如果检查阻断的流控策略都显示为生效的,那么请检查:
该阻断策略是否处在其他允许策略的最前面,因为流控策略的匹配顺序是自上而下,如果被其他应用允许了,则该策略也就无效了。
如果检查没有问题,请转步骤3处理。
步骤3:检查是否设置免审计用户
免审计用户可以免审计也可以免流控,因此不会受到行为策略和流控策略的影响。一个用户如果是免审计用户,则他所产生的流量均被识别为“免识别流量”。
在流量监控——用户页面中点击查看未能进行应用阻断的用户的流量明细,可以看到流量只有一种即免识别流量,如图1。因此该用户被配置成了免审计用户,所以阻断策略对其无效。在行为策略中将该用户从免审计用户中删除即可,如图2。若EG设备为网关模式,删除免审计后阻断策略还是无效,请收集信息联系4008-111-000。若EG设备为网桥模式请转步骤4处理。
图1
图2
步骤4:桥模式下检查桥工作模式
如果设备采用网桥模式部署,需要检查网桥的工作模式。
网桥模式又分为四种工作模式,如下图:
网桥转发(forward):该工作模式下,可以对报文进行转发、识别、阻断、控制和审计。
透明转发(sniffer):该工作模式下,可以对报文进行转发、识别和审计,无法阻断和控制。
软件bypass:该工作模式下,对报文只进行接口报文转发统计,通常用在网络出现异常时可通过修改为bypass模式快速恢复网络。
单臂模式(receive-only):该工作模式下,可以对报文进行流量识别等操作,报文只接收不转发。此模式从10.3(4b8)版本开始支持,只应用于设备旁挂部署场景。
因此当网桥工作在网桥转发模式(forward)时,阻断和流控策略才会有效,其他工作模式均无效。
在接口基本设置中将网桥的工作模式修改网桥转发模式,如下图。
若修改后还是无效,请收集信息联系4008-111-000。
步骤5:收集信息后,请联系4008111000协助处理:
如通过上述故障处理步骤无法解决您的故障,请按照如下步骤收集信息,并联系锐捷技术支持热线4008111000或者在线客服webchat.ruijie.com.cn,以便我们能够快速定位问题。
详细描述故障现象(什么时间,什么地点,执行什么操作,出现什么现象)
故障现象截图
收集拓扑图(内外网拓扑)
show run
show ver
sh flowrate ip-application global ip
sh ip fpm pri 0 | in
sh ip fpm pri 11 | in
show id ver
sh flow-control-policy group
sh flow-control-policy rule
show log
show run:收集配置信息
show ver:收集版本信息
sh flowrate ip-application global ip x.x.x.x x.x.x.x为测试pc的ip地址:在测试pc上开启限速不准的应用收集流量信息
sh ip fpm pri 0 | in x.x.x.x:在测试pc上开启限速不准的应用,收集流控信息,x.x.x.x是测试的pc的ip地址,不能是接口公网地址,否则会打印很多内 容,可能导致控制台print进程高。
sh ip fpm pri 11 | in x.x.x.x :在测试pc上开启限速不准的应用,收集应用识别信息如果收集不到,改用sh ip fpm pri 7 | in x.x.x.x 进行收集。 x.x.x.x是测试pc的ip地址,不能是接口公网地址,否则会打印很多内容,可能导致控制台print进程高。
show id ver:收集特征库版本信息
sh flow-control-policy group 收集流控信息;
sh flow-control-policy rule:收集流控信息
show log:收集日志信息