二层模式透明部署
客户现网中ACG1000透明模式部署在核心交换机与出口网关之间做短信认证,做完短信认证成功后想针对内网用户访问外部的某些URL地址做放通不需要认证,但是目的地址将url域名以及dns服务器地址排除后依旧无法访问。
一、设备配置排查
用户认证策略
策略中目的地址将dns服务器地址和几个url排除
二、测试结果------连排除的地址都无法ping通
取消策略后就能正常ping通,说明外网没啥问题
怀疑排除地址功能不生效,确认原因为:
这个主要涉及到流量有两个方向,正常理解只需要排除内网访问外网一个方向的流量就行,但场景中排查原因为流表中会话内网出局方向没有阻断,回程流量被阻断,所以为了两个方向流量都不能匹配用户策略,用户策略对双向流量进行检测,所以需要源目地址都要针对免认证流量进行放通。如下图
将用户认证策略中源地址由any改为内网用户地址对象,让回程流量不匹配用户策略,测试OK
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作