acg1000,上网行为管理限制不了电脑

一、可能的原因分析

1. 终端识别方式不同

• 手机终端：通常通过DHCP获取IP，可能被ACG识别为“移动设备”或通过IP/MAC绑定在特定地址段。
• 电脑终端：
  • 可能使用静态IP，不在策略匹配的地址范围内。
  • 可能通过代理、VPN等方式绕过策略。
  • 电脑访问抖音可能通过Web版（浏览器），而手机通过APP，两者特征不同。

2. 策略匹配条件不准确

• 策略可能基于IP地址段、用户/用户组、终端类型等条件，电脑可能不符合这些条件。

3. HTTPS流量识别问题

• 抖音等应用大部分流量是HTTPS加密的。ACG需要对HTTPS流量进行解密识别才能有效管控。
• 如果电脑终端使用了自定义证书、代理或HTTPS加密方式不同，可能导致ACG无法识别。

4. 流量路径不对称

• 透明模式下，需要确保往返流量都经过ACG。如果电脑的流量出去和回来的路径不一致（非对称路由），可能导致策略不生效。

5. 策略顺序问题

• 可能存在更优先的策略放行了电脑的流量。

6. 终端类型识别错误

• ACG可能将某些电脑终端错误识别为“手机”或其他类型，导致策略未命中。

二、排查步骤

步骤1：确认流量是否经过ACG

1. 在ACG上查看实时会话：
   display session table source-ip <电脑IP>
   查看电脑的访问抖音的流量是否在会话表中，并且匹配了正确的策略。
2. 检查策略命中计数：
   • 在ACG Web界面上查看策略的命中次数，确认策略是否有匹配记录。

步骤2：检查策略配置

1. 检查源地址条件：
   • 确认策略中的“源地址/用户”是否包含了电脑的IP地址或所在网段。
   • 电脑可能是静态IP，如果策略只匹配了DHCP地址池，则需调整。
2. 检查应用识别：
   • 确认策略中禁止的应用是否包含了“抖音”及其相关应用（如抖音短视频、抖音直播等）。
   • 电脑访问抖音可能是通过浏览器，应用识别库中可能有“抖音网页版”或“抖音（Web）”等，确保策略已覆盖。
3. 检查策略顺序：
   • 策略从上到下匹配，检查是否有更靠前的策略放行了电脑的流量。
   • 建议将禁止策略上移，或添加更精确的匹配条件。

步骤3：检查HTTPS解密配置

1. 确认是否开启了SSL解密（中间人解密）功能。
2. 确认解密策略是否覆盖了电脑的IP地址。
3. 注意：SSL解密需要ACG安装自己的CA证书，并且客户端需要信任该证书（通常通过策略推送或手动安装）。电脑可能没有安装ACG的CA证书，导致HTTPS流量无法解密识别。

步骤4：检查终端识别

1. 查看ACG是否启用了终端识别功能，并确认电脑终端的类型识别是否正确。
2. 如果有基于终端类型的策略，确保策略条件设置正确。

步骤5：测试与验证

1. 简化测试：
   • 临时创建一条针对电脑IP的全局禁止策略（或禁止所有应用），测试是否生效。如果生效，则说明是策略匹配问题；如果不生效，则可能是流量未经过ACG或路径问题。
2. 对比测试：
   • 在同一网络环境下，用手机和电脑分别访问同一个抖音视频，在ACG上查看会话详情，对比两者的识别结果。
3. 抓包分析（如条件允许）：
   • 在ACG上对电脑IP进行抓包，分析其访问抖音时的流量特征。

三、解决方案建议

1. 调整策略匹配条件

• 将策略的源地址设置为“所有”或包含电脑所在网段。
• 如果使用用户认证，确保电脑用户也在策略关联的用户组中。

2. 确保HTTPS流量可识别

• 启用SSL解密，并确保电脑终端信任ACG的CA证书。
• 如果没有部署SSL解密，可以尝试基于目的IP/域名进行封锁（但抖音的IP和域名变化频繁，效果有限）。

3. 使用IP/MAC绑定

• 将电脑的IP和MAC在ACG上绑定，并基于此IP配置策略。

4. 检查路由和透明桥配置

• 确保电脑的流量往返都经过ACG的透明桥接口。
• 可以在核心交换机和防火墙上检查路由，确保没有其他路径绕过ACG。

5. 更新应用特征库和固件

• 虽然您已更新特征库，但仍建议检查ACG的系统软件版本是否为最新，有时需要升级系统版本以解决识别问题。

6. 联系华三技术支持

• 如果以上步骤无法解决，可以将ACG的配置导出（脱敏后）和问题描述发给华三技术支持，他们可以进一步分析。

四、临时验证命令

总结

1. 确认电脑流量是否匹配了策略的源地址条件。
2. 检查策略中是否包含了电脑访问抖音的方式（如网页版）。
3. 确认HTTPS解密是否启用并对电脑生效。