ACG1000 URL过滤部分不生效

在ACG1000桥模式下配置URL过滤策略实现白名单访问控制时，若出现部分终端不受策略限制、访问被异常阻断或放行的URL仍无法访问等问题，结合您描述的场景和常见故障特征，可能原因及建议如下：

### 一、问题定位分析

1. **策略未正确调用或优先级错误**
- 确认IPv4访问策略中已正确调用配置好的URL过滤策略。
- 检查策略匹配顺序：URL过滤策略是按“自上而下”匹配，若存在“拒绝所有”规则前置，会导致后续允许策略不生效。
- 建议：将“允许指定URL”策略置于“拒绝其他”之前，并确保终端流量命中该策略。

2. **URL对象配置问题（关键点）**
- ACG1000通过解析HTTP头部的Host字段进行匹配，若自定义URL中包含特殊字符（如中文标点、多余空格）、正则表达式错误或域名格式不规范（如`.com`前有空格），会导致匹配失败。
- 示例错误：`baidu .com`、`淘宝.com`（中文字符）、`*.***.***`未开启通配符支持等。
- 建议：
- 使用英文字符规范输入域名，如 `***.***`、`***.***`；
- 如需泛域名，确认是否支持并正确配置（如 `*.***.***`）；
- 避免使用中文域名或混合编码。

3. **桥模式下流量路径与会话识别问题**
- 桥模式需确保ACG能双向识别流量（SYN和SYN-ACK均可见），否则HTTP Host字段提取失败，导致无法匹配URL策略。
- 检查：
- 是否启用“透明代理”或“流量镜像”模式导致单向流量；
- 确保桥接接口位于正确链路位置，且ARP/MAC表学习正常。

4. **终端识别问题（MAC/IP绑定异常）**
- 若策略基于IP或MAC控制，桥模式下ACG可能无法直接获取终端真实MAC地址（尤其跨三层环境）。
- 解决方案：
- 启用SNMP同步（与核心交换机对接），实现跨三层MAC学习；
- 或改用IP地址作为策略匹配条件，确保终端IP稳定。

5. **版本与特征库兼容性问题**
- 尽管特征库最新，但固件版本可能存在已知BUG（如URL引擎解析异常、Host头截断等）。
- 建议：
- 升级ACG1000至官网推荐的最新稳定版本；
- 查询H3C官方发布的《ACG1000典型配置案例》或《URL过滤常见问题手册》确认是否存在类似案例（如KB编号KB0001234）。

6. **日志与调试建议**
- 查看 **URL过滤日志**：确认请求的Host值实际被捕获为何种形式（如是否为`www.***.***`而非`***.***`）；
- 使用“策略命中统计”功能，验证终端流量是否命中预期策略；
- 抓包分析HTTP请求Host字段，比对与URL对象配置是否一致。

---

### 二、推荐配置步骤（白名单模式）

1. **创建URL对象组**
- 允许列表：`baidu.com`、`***.***`、`***.***`（使用英文输入，不加http://）
- 拒绝列表：`*`（或默认拒绝所有）

2. **配置URL过滤策略**
- 规则1：动作为“允许”，调用“允许列表”；
- 规则2：动作为“拒绝”，调用“拒绝所有”。

3. **IPv4访问策略调用**
- 源区域：内网区域；
- 源地址：指定终端IP或网段；
- 动作：调用上述URL过滤策略；
- 确保策略启用且位于高位优先级。

4. **启用SNMP同步（如需基于MAC控制）**
- 在ACG上配置与核心交换机SNMP连接，同步VLAN100的MAC地址表。

---

### 三、结论

该问题**大概率非版本硬伤，而是配置细节导致**，尤其是URL对象中域名格式不规范或策略调用顺序错误。建议按上述步骤逐一排查，重点检查日志中实际匹配的Host值与策略配置的一致性。

如有需要，可导出策略配置与日志提交H3C技术支持进行深度分析。

> ✅ 提示：ACG1000对URL过滤敏感度高，建议测试阶段开启“仅记录”模式观察行为，再切换为“阻断”。