【新版NBR/EG】应用无法阻断导致阻断某款应用之后，该应用仍然可以正常使用

发布时间：2013-11-26

点击量：3209

1.故障现象：

阻断某款应用之后，该应用仍然可以正常使用

2.故障可能原因：

应用选择不完整
应用识别错误
阻断策略未生效
未在所有可用的外网口上配置阻断策略
阻断策略匹配顺序错误
免审计用户无法阻断
桥工作在非转发模式

3.故障处理流程

4.故障处理步骤

步骤1：检查应用选择和应用识别

每款软件，其产生的流量可能会含有多种应用特征，比如开启迅雷进行下载，识别出的应用类型有p2p-HTTP下载和迅雷|迅雷看看（查看用户的流量明细，如图1，根据下载资源不同，可能每次识别的结果不一样），如果要有效阻断，在设置策略的时候需要将应用类型选择完整，如要限制迅雷，就要限制P2P应用软件（包含p2p-HTTP下载和迅雷|迅雷看看）。有的软件产生的流量特征比较单一，限制时只需限制一种应用即可。

因此如果发现禁止某款软件禁止不了时，需检查应用类型选择是否完整，应用识别结果是否正确。

图1

1、检查阻断应用类型是否选择完整

设置阻断策略之后如果发现效果不理想，通过查看该应用的识别结果，来完善阻断策略的设置。

比如设置阻断迅雷的策略时，只阻断了迅雷|迅雷看看（图2），但是使用迅雷进行下载时还有速度。在流量监控中查看用户（开启了迅雷下载）的流量明细，如图3，图中用户的流量还有p2p-HTTP下载应用类型，说明迅雷软件产生的下载流量被识别成了p2p-HTTP下载和迅雷|迅雷看看（识别结果以实际环境为准，可能会是多种类型的应用），因此为了更好地限制迅雷，可将P2P应用软件都禁止掉。或者在流控策略中新增对应用p2p-HTTP下载的阻断策略，阻断之后，迅雷客户端下载没有速度了，效果如图4。

图2

图3

图4

2、检查是否所有应用都被识别成“any/any”类型的应用

如果查看应用识别时，出现any/any类型的应用，则说明没有开启应用识别，因此在命令行下sh run检查是否配置了如下两条命令，如果没有，请配置上去。

layer23 classify enable

identify-application enable

3、检查识别是否正确

比如用户电脑上运行的是新版本的QQ软件，但在应用明细里看到被识别成了阿里旺旺客户端。这种是误识别导致的，应用识别是基于应用分类库进行识别的，当应用分类库更新落后于网络中的各软件的更新速度时，可能会存在识别上偏差。如果发现应用识别错误的现象，请先检查更新库文件，如图5，若升级到最新版本后还是识别错误，请收集信息联系4008111000.

图5

步骤2：检查阻断策略的状态是否生效

1、检查阻断策略是否生效

阻断策略可以通过4种方式来实现

a、通过行为策略中的禁止应用实现：策略对所有接口和所有用户所有时间都生效。效果与c是完全一样的,可根据配置习惯不同选择不同的配置方法。

b、通过行为策略中的高级配置实现：策略策略是针对所有接口、不同用户、时间，外网ip对象等定义阻断策略来实现的。

c、通过流控策略中的阻断应用实现：策略对所有接口和所有用户所有时间都生效。效果与a是完全一样的,可根据配置习惯不同选择不同的配置方法。

d、通过流控策略中的流控高级实现：策略策略可针对不同的接口、不同用户、时间，外网ip对象等定义阻断策略来实现的。

方法a、b、c均可在行为策略的高级配置中查看策略状态，如图1，方法d可在流控高级中查看策略状态，如图2。每条策略可能会有三个状态：生效、未生效和禁用。

在状态列，可以看到策略是否生效。如果策略不生效，会有一个问号泡，点击问号泡将会提示策略不生效的原因。如果策略都是生效的，那么转步骤3处理。

常见的策略不生效的原因有：

已选的应用不存在：说明策略中的应用被删除了，可在对象定义中添加相应的应用分组，如图2。

时间对象未生效：说明当前的系统时间未到时间对象规定的时间，所以策略未生效，时间到了之后自然会生效，检查时间是否正确。

已选静态用户不存在：说明用户对象被删除了，可在用户组织中添加被删除的用户。

已选认证用户不存在：在开启web认证时，认证用户未上线时该策略不会生效，认证用户上线后才会生效。

外网ip对象不存在：说明外网ip对象被删除了，可在对象定义中添加相应的外网ip对象，如图3，外网ip对象区别于内网ip，它是外网的地址，可以是外网网站或服务器。

若是方法d配置的，还需要依次检查每个接口的策略是否生效，如图4

图1

图2

图3

图4

2、检查阻断策略的顺序

如果检查阻断的流控策略都显示为生效的，那么请检查：

该阻断策略是否处在其他允许策略的最前面，因为流控策略的匹配顺序是自上而下，如果被其他应用允许了，则该策略也就无效了。

如果检查没有问题，请转步骤3处理。

步骤3：检查是否设置免审计用户

免审计用户可以免审计也可以免流控，因此不会受到行为策略和流控策略的影响。一个用户如果是免审计用户，则他所产生的流量均被识别为“免识别流量”。

在流量监控——用户页面中点击查看未能进行应用阻断的用户的流量明细，可以看到流量只有一种即免识别流量，如图1。因此该用户被配置成了免审计用户，所以阻断策略对其无效。在行为策略中将该用户从免审计用户中删除即可，如图2。若EG设备为网关模式，删除免审计后阻断策略还是无效，请收集信息联系4008-111-000。若EG设备为网桥模式请转步骤4处理。

图1

图2

步骤4：桥模式下检查桥工作模式

如果设备采用网桥模式部署，需要检查网桥的工作模式。

网桥模式又分为四种工作模式，如下图：

网桥转发（forward）：该工作模式下，可以对报文进行转发、识别、阻断、控制和审计。

透明转发（sniffer）：该工作模式下，可以对报文进行转发、识别和审计，无法阻断和控制。

软件bypass：该工作模式下，对报文只进行接口报文转发统计，通常用在网络出现异常时可通过修改为bypass模式快速恢复网络。

单臂模式（receive-only）：该工作模式下，可以对报文进行流量识别等操作，报文只接收不转发。此模式从10.3(4b8）版本开始支持，只应用于设备旁挂部署场景。

因此当网桥工作在网桥转发模式（forward）时，阻断和流控策略才会有效，其他工作模式均无效。

在接口基本设置中将网桥的工作模式修改网桥转发模式，如下图。

若修改后还是无效，请收集信息联系4008-111-000。

步骤5：收集信息后，请联系4008111000协助处理：

如通过上述故障处理步骤无法解决您的故障，请按照如下步骤收集信息，并联系锐捷技术支持热线4008111000或者在线客服webchat.ruijie.com.cn，以便我们能够快速定位问题。

需要收集的信息：

详细描述故障现象（什么时间，什么地点，执行什么操作，出现什么现象）

故障现象截图

收集拓扑图（内外网拓扑）

show run

show ver

sh flowrate ip-application global ip

sh ip fpm pri 0 | in

sh ip fpm pri 11 | in

show id ver

sh flow-control-policy group

sh flow-control-policy rule

show log

需要收集的信息解释：

show run：收集配置信息

show ver：收集版本信息

sh flowrate ip-application global ip x.x.x.x x.x.x.x为测试pc的ip地址：在测试pc上开启限速不准的应用收集流量信息

sh ip fpm pri 0 | in x.x.x.x：在测试pc上开启限速不准的应用，收集流控信息，x.x.x.x是测试的pc的ip地址，不能是接口公网地址，否则会打印很多内容，可能导致控制台print进程高。

sh ip fpm pri 11 | in x.x.x.x ：在测试pc上开启限速不准的应用，收集应用识别信息如果收集不到，改用sh ip fpm pri 7 | in x.x.x.x 进行收集。 x.x.x.x是测试pc的ip地址，不能是接口公网地址，否则会打印很多内容，可能导致控制台print进程高。

show id ver：收集特征库版本信息

sh flow-control-policy group 收集流控信息；

sh flow-control-policy rule：收集流控信息

show log：收集日志信息