当用户上网的流量经过AC设备出现异常时,可通过AC的上网故障排除功能查询该用户的数据包在通过AC设备时被拒绝的原因,便于快速定位故障原因。上网故障排除页面提供[直通排障]和[设备搬包](搬包功能仅路由和网桥模式下可使用)两种故障排除手段。
直通排障一般用于测试上网异常IP是否由AC设备拦截造成。针对上网异常的IP开启直通后,如果AC相关功能模块对该IP进行了拦截阻断,则会在直通日志终打印出被拦截的原因以及对应的功能模块,管理员可根据直通日志可快速定位问题。
设备上架时为了避免影响业务,可以开启直通,当出现终端异常断网的情况下,可以通过直通排障的日志快速定位问题并恢复业务。
点击<设置并开启>,出现设置开启条件界面,可设置各种过滤条件,包括[拦截日志过滤条件]和[同时开启数据直通],如下图。
拦截日志过滤条件:用于设置对指定的IP地址开启拒绝列表,默认包括所有网段。
点击<协议条件>,可根据协议类型和端口范围过滤拦截日志,如下图。
协议类型可选择:所有、TCP、UDP、ICMP和其他五种类型。
勾选[提高拦截日志的可读性],将通过中文显示拦截日志;如果此项不勾选,则通过英文显示拦截日志。
勾选[同时开启数据直通],可设置开启直通的IP地址或者地址段。此时对于这些IP地址设置的上网策略将不生效,原本策略设置拒绝的数据包会被设备放行。
点击<高级选项>,可设置对流量控制模块和准入客户端策略是否开启直通。如果勾选<流量控制模块不进行数据直通>,则流量管理策略仍然生效,可以避免由于全部数据直通导致流量过大,对用户上网环境造成影响;如果不勾选,流量管理策略将不生效,用于定位被流量控制模块拦截的情况。如果勾选<准入客户端不进行终端管控直通>,则已下发到终端的准入策略(基于准入客户端的策略)仍然生效,可以避免终端安全基线检查失效,终端管控失效;如果不勾选,下发到终端的准入策略不生效,用于定位被准入模块拦截的情况。
当前操作状态:将显示直通和拦截日志的开启情况,如下图。
点击<关闭>,关闭拦截日志和直通。点击<立即刷新>查看拦截日志,数据包被拦截的情况,如下图。
:
1.拦截日志和直通功能开启后,如果管理员未手动点击<关闭>,即使设备重启,仍然是开启状态。
2.审计策略在开启直通也依旧生效。
搬包功能是AC设备在路由模式和网桥模式下提供的一种紧急逃生的能力,当设备功能模块异常影响业务时,可通过搬包功能直接放开对流量的流量的控制从而保证业务流量不中断。
AC设备开启搬包时CPU、内存、IO等资源占用将大幅降低,经过AC设备的数据会被直接转发,不再受任何策略影响(认证策略、访问权限策略、流控策略、互联网审计策略等)。
与直通、全局排除功能相比,搬包生效时所有数据包会被直接转发,不会匹配任何策略逻辑,不会生成任何策略管控日志,搬包是一种更彻底的流量放通机制。
在开启搬包功能时,可以选择对所有流量进行搬包,也可以对指定条件的流量进行搬包(如下图所示)。
:
1、必需由设备处理的核心逻辑不受搬包影响,具体为:源地址转换(NAT代理上网)、目的地址转换(端口映射)、代理上网流量转发(上网代理)、路由转发;
3、部分特殊流量不支持搬包,如:广播包、组播包;
4、开启搬包时,开启功能前已存在的连接不支持被搬包,这部分连接将继续受策略管控;
5、关闭搬包时,关闭功能前已在搬包的连接不支持退出搬包状态,搬包状态将持续到连接销毁;
6、子连接将会直接继承父连接的搬包控制状态,即父连接被搬包则其对应的子连接也会被搬包,反之父连接没有被搬包其对应的子连接也不会被搬包;
7、开启搬包后,会出现客户端自动找网关失败、客户端获取准入策略失败、防Dos攻击拦截异常等情况。
建议使用Chrome浏览器访问!
