ACG1000-TM设备web配置控制策略后匹配次数为0，表现为不生效

1. 确认核心配置（策略与网桥模式）

• 检查策略是否被正确调用：策略不生效最常见的原因就是“策略创建了，但没被激活”。进入 上网行为管理 > IPv4控制策略，确认你的策略状态是 “启用”，并确保它被正确应用到了 “出接口” 上，同时检查策略的生效时间。

• 检查网桥模式部署：设备网桥模式必须保证能双向识别流量（SYN和SYN-ACK报文都要经过），否则上层信息提取不全。请检查：

  • 物理连线：确认 ge0 和 ge1 是否正确串接在运营商专线和出口路由器之间。

  • 交换机端口镜像：如果使用了端口镜像，应检查配置是否正确，确保双向流量都能被镜像。

  • 是否启用“透明代理”或“流量镜像”模式：如果启用了这些模式，可能导致单向流量，影响识别。

2. 分析会话统计与策略匹配的矛盾

• 策略匹配基于“会话”，而非“报文”：ACG1000的策略命中是在会话建立时判断的，每个会话（而非每个报文）只会命中一次。既然会话统计能看到匹配的源目地址，说明TCP/UDP的三层信息是通的，但无法匹配到策略中定义的“应用”等更高层信息。

• 检查策略是否包含了“应用”过滤：如果策略中包含了“应用”过滤条件，但设备无法识别应用，策略就会失效。

  • 进入 策略配置 > IPv4控制策略，检查策略配置中是否包含了“应用”或“URL分类”等基于应用层的条件。

  • 如果包含了，这正是“策略匹配0”而“会话统计匹配”的核心原因。

3. 检查特征库与授权（重要）

• 检查特征库版本与授权：应用识别、URL分类等深度检测功能依赖特征库。授权过期会导致特征库无法更新，从而无法识别新应用。授权过期可能导致部分或全部策略失效。

  • 进入 系统配置 > 升级中心，查看特征库版本和授权有效期。

  • 若特征库版本老旧，即使授权未过期，对新应用的识别也可能失效。

• 升级特征库：如果特征库不是最新的，尝试进行手动或自动升级。

4. 检查“用户MAC感知”设置

• 启用用户MAC感知：在网桥模式下，ACG1000可能无法直接获取终端的真实MAC地址，尤其在跨三层环境（中间有三层交换机或路由器）时。

  • 进入 用户管理 > 高级选项 > 全局配置，勾选 用户MAC感知，或在命令行配置 user mac-sensitive enable。

  • 如果终端跨三层，还需配置SNMP与核心交换机联动，以学习MAC地址。

• 改用IP地址作为策略匹配条件：如果无法解决MAC地址识别问题，可暂时改用IP地址作为策略匹配条件，并确保终端IP稳定。

5. 检查URL对象配置格式

• 规范URL对象输入格式：如果策略基于URL过滤，确保URL对象格式正确，例如使用英文输入、避免中文域名。错误的格式会导致匹配失败。

6. 检查策略匹配顺序

• 检查策略顺序：ACG的策略是“自上而下”匹配的。确保你的控制策略排在可能存在的“全放通”策略之前。同时检查策略状态是否为“启用”。

7. 检查系统时间

• 检查系统时间是否正确：如果系统时间与实际时间不符，可能导致基于时间的策略不生效。确保系统时间准确，或配置NTP服务。

8. 使用调试命令与日志分析

• 查看策略命中统计：在 上网行为管理 > IPv4控制策略 中，点击策略的“命中次数”，查看具体统计。

• 开启调试：使用以下命令调试应用识别，观察终端流量是否匹配预期策略：

  debug app http

  debug app p2p debug app stream 调试输出中会显示应用识别结果和策略匹配信息。

• 查看日志：检查系统日志和策略日志，寻找应用识别失败或策略未匹配的线索。

9. 检查是否有排除策略影响

• 检查是否存在“全匹配”排除策略：检查是否存在优先级更高、匹配条件更宽的排除策略，可能无意中放行了本应被控制的流量。如果存在，确保控制策略优先级高于排除策略。

一、为什么会话有、策略不匹配（核心原理）

1. 二层桥转发：一定通（所以你能看到会话、能上网）
2. 策略 / 应用识别引擎：需要流量上送 CPU 检测才会匹配策略、计数、拦截H3C

二、最常见 5 大原因（按优先级）

1. 接口未加入正确安全域 / 域间策略未开（头号原因）

• ge0（上联）、ge1（下联）必须加入 Trust / Untrust 等域
• 必须配置 Trust ↔ Untrust 域间策略（默认是拒绝所有）

• 网络配置 → 安全域
  • ge0、ge1 是否在域里？（不能是 “未分配”）
  • 建议：ge1 (内网)→Trust；ge0 (外网)→Untrust
• 策略 → 安全策略 → 域间策略
  • 必须有：Trust → Untrust 启用、动作允许
  • 必须有：Untrust → Trust 启用、动作允许（回程）

2. 网桥开启了 透明转发（bridge fdb-learning disable）

• 若显示 disable → 就是它！
• 修复：

3. 流量带 VLAN Tag，但 ACG 未配置子接口终结（极常见）

• 若 ge0/ge1 是 trunk 带 tag，但 ACG 只配了 物理口进桥 → 报文不识别、不上送策略H3C

• 抓包看内外网是否有 802.1Q
• 或看接口：display interface ge0 是否有 vlan 字样

1. 删物理口出桥
2. 新建 子接口（ge0.10、ge1.10） 终结 VLAN
3. 把子接口加入 BVI 网桥
4. 子接口再加入安全域

只要有 VLAN，物理口进桥策略 100% 不生效。

4. 策略顺序问题：上面有全通 ANY 覆盖

• 若第一条：源 ANY 目的 ANY 允许
• 下面 Deny 永远不匹配、计数 = 0

• 策略 → 控制策略 / URL 过滤 / 应用控制
• 把你测试的 Deny 规则移到最顶
• 清统计：clear policy statistics
• 再测试

5. 会话表残留：旧连接不重新匹配策略

三、你这种组网（专线→ACG→出口路由器）必做配置

1. 网桥正确结构（必须）

• BVI1（桥接口）
  • 成员：ge0.XX、ge1.XX（带 VLAN 就用子接口）
  • 不要直接绑 ge0/ge1 物理口H3C

2. 安全域（必须）

• Trust：ge1.XX（内网）
• Untrust：ge0.XX（外网专线）

3. 域间策略（必须先全通）

• Trust → Untrust：允许
• Untrust → Trust：允许

4. 关闭透明转发

5. 清会话 + 清策略统计

四、10 分钟快速定位脚本（直接复制）

五、你现在 90% 是这两个之一

1. 接口没加安全域 + 没开域间策略
2. 流量带 VLAN、用了物理口进桥、没配子接口终结