交换机
园区网交换机
数据中心与云计算交换机
中小网络精简型交换机
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
小锐A系列
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
1、故障现象
通过设置带有应用对象的流控策略,希望限制或阻止某应用软件;但在客户端PC上测试该应用软件,该应用软件仍然可以获取到流量,没有达到禁止或限制的效果。
通常客户的需求是限制迅雷、QQ旋风等下载工具,还有就是暴风影音等在线视频;
2、故障可能原因
(1)设备应用识别异常;
(2)某应用识别不准
(3)限制的应用对象不全;
3.故障处理流程
4.故障处理步骤
步骤1: 检查设备应用识别是否正常
该步骤排查过程请参考:应用识别类>>大部分流量无法识别 故障排查章节;
步骤2:检查该某应用识别是否准确
通常应用软件(除下载工具类、在线视频类应用软件)的网络流量经过ACE设备时,仅会识别中唯一的应用特征,此时我们只需要将识别出的应用做以阻止和限制即可。例如:即时聊天工具QQ,在使用QQ过程中,登陆登出产生的网络流量在ACE上仅会识别为腾讯QQ,我们仅需要将“腾讯QQ”的应用限制或阻止即可。
所以对于调用单一应用流量的软件,我们只需要确认应用识别是否准确,排查过程详见 应用识别类>>某应用识别不准故障排查章节;
步骤3:检查限制的应用是否齐全
1、下载及P2P工具类软件
对于迅雷、QQ旋风和快车等下载软件,在下载过程中会寻找互联网多种资源进行下载,所以就会形成多种特征的流量,在ACE上可以看到多种应用。所以要想将此类下载应用软件做完全的限制和阻止;就需要将多种应用组成应用组共同进行限制。以下根据以往测试经验罗列出迅雷、QQ旋风和快车下载软件会识别出应用,以便大家日常实施中参考。
还有一部分P2P加密流量,ACE是无法识别的,此时会显示为tcp_others、udp_others;
所以对于限制此类下载和P2P软件,需要将 本身应用+P2P应用组+http-part+http-mirror组成应用组进行共同限制;对于http-download 、FTP、tcp_others和udp_others需要根据客户的需求、环境进行评估;http-download 为HTTP单线程下载(右键另存为),根据客户需求确定是否一同限制;对于FTP,如果客户原本就需要FTP下载,我们限制后,反而影响了正常业务的开展;tcp_others和udp_others为ACE无法识别的流量,此流量也可能包含客户环境中特殊的关键应用,所以对于others流量是不能做完全阻止,只能做适当的控制;
2、在线视频类软件
而对于在线视频软件也是同样原理,例如暴风影音,该软件会从各在线视频获取资源,进行下载。
同样的,也是将多种应用组成应用组进行整体的控制;
除了以上总结下载、P2P工具和在线视频类软件,我们还可以通过以下方法确认应用软件是否有调用了多种资源,从而在ACE上识别为多种应用;
1)测试PC上关闭所有软件(后台软件也要完全退出,例如360安全卫士),仅开启该测试软件;
2)在APM或ACE Report上自定义该测试PC的自定义应用报表;
3)打开该软件,执行完整任务;
4)仔细观察自定义报表上出现过且有稳定流量的应用;
以限制“快车”为例:
1、定义应用组
包含:P2P整个应用组、快车、http-part、http-mirror和http-download
2、定义通道:整体流控200M,每IP 2M限制
3、制定策略
根据以上完成配置,就可以实现限制每用2M的快车下载,整体快车流控不超过200M;
步骤4:收集信息后,请联系4008111000协助处理
如果经以上3个步骤排查后故障无法解决,请将根据步骤1到步骤3检查配置信息压缩打包,同时准备好ACE的远程方式后联系4008-111000协助处理。
1、应用识别异常信息收集(参见:应用识别类>>大部分流量无法识别>>步骤7:信息收集 部分);
2、某应用识别不准信息收集(参见:应用识别类>>某应用识别不准>>步骤2-1:信息收集 部分);
3、测试主机的自定义应用报表(web配置界面截图);
4、协议对象配置(web配置界面截图);
5、流控通道配置(web配置界面截图);
6、流控策略配置(web配置界面截图);