共享接入管理部分终端不生效

华三ACG共享接入管理部分终端不生效排查指南

一、核心原因分析

1. ‌信任列表误配置‌

   • 若防共享功能的‌信任列表‌中误添加了内网网段，ACG会跳过对该网段终端的检测，导致共享行为未被识别‌1。需检查并移除无关网段：
     display shared-detection trust-list # 查看当前信任列表配置 shared-detection trust-list remove 192.168.1.0/24 # 移除错误网段

2. ‌终端本地设置干扰‌

   • ‌代理或防火墙拦截‌：部分终端可能因浏览器代理设置或本地防火墙规则阻止ACG的检测流量‌2。需关闭代理并检查防火墙策略。
   • ‌IP地址冲突/格式问题‌：终端IP地址可能与其他设备冲突，或MAC地址格式与ACG预期格式（如带分隔符）不匹配‌12。

3. ‌安全策略与认证策略冲突‌

   • ‌全局白名单误用‌：若问题终端被加入全局白名单（global-whitelist），ACG会直接放行其流量‌3。需检查白名单配置：
     display running-config | include global-whitelist
   • ‌策略匹配优先级错误‌：部分策略可能因优先级顺序被覆盖，导致未命中共享检测规则‌3。

二、关键排查步骤

1. ‌验证防共享功能配置‌

   • 检查共享检测范围是否覆盖所有终端（默认需配置shared-detection all），并确认未启用排除策略：
     display shared-detection configuration # 查看检测范围及信任列表

2. ‌测试终端网络连通性‌

   • 使用问题终端执行以下操作：
     • ping <ACG管理IP>：验证与ACG的网络可达性‌2。
     • telnet <ACG管理IP> 443：测试HTTPS端口是否开放（默认管理端口）‌2。

3. ‌检查接口与路由状态‌

   • 确认ACG部署模式（路由/透明/旁路）与接口状态正常：
     display interface # 查看接口IP及状态‌:ml-citation{ref="3,4" data="citationList"} display ip route # 验证路由表是否存在异常条目‌:ml-citation{ref="3" data="citationList"}

4. ‌抓包分析检测流量‌

   • 在ACG上启用抓包，观察问题终端的流量是否触发共享检测规则：
     capture-packet interface GigabitEthernet1/0/1 filter src-ip 192.168.1.100 # 指定终端IP抓包

三、推荐修复措施

1. ‌修正信任列表与检测范围‌

   shared-detection trust-list clear # 清空信任列表 shared-detection all enable # 启用全终端检测‌:ml-citation{ref="1" data="citationList"}

2. ‌调整安全策略优先级‌

   • 确保共享检测策略优先级高于其他放行策略：
     policy move 10 before 5 # 将共享检测策略ID 10移至策略ID 5前‌:ml-citation{ref="3" data="citationList"}

3. ‌更新设备固件与规则库‌

   • 若设备版本较旧，可能存在检测逻辑缺陷，需升级至最新版本‌45。

‌注‌：若问题仍存在，建议通过debugging shared-detection all开启调试日志，结合终端流量特征（如多IP并发请求）进一步定位‌