问题描述
现场使用过程设备异常,外网通过inode无法访问内网资源,但是访问22端口就能成功
现场平台版本
过程分析
先排查pc侧是否有相关路由,经过查看确实有相关路由
再在防火墙上抓包发现加密报文上墙但是并未处理
在命令行debug ssl vpn发现有报错
*Nov 21 20:30:55:375 2024 XXXXXX_ZTNA SSLVPNK/7/SSLVPN_ERROR: -COntext=1; SDP: Can not match the app authorization. (IP address=172.XX.X.XXX, port=XXXXX, protocol=TCP). And the default app policy is deny.
*Nov 21 20:30:55:375 2024 XXXXXX_ZTNA SSLVPNK/7/SSLVPN_ERROR: -COntext=1; SDP: The App check result is deny. Reason is: The resource does not exist, and the default policy denies application access.
*Nov 21 20:30:55:375 2024 XXXXXX_ZTNA SSLVPNK/7/SSLVPN_EVENT: -COntext=1; SDP: Failed to obtain the related session or relation tables for the APP. The access permission is deny.
目前已经证明是SDP控制器侧的问题
通过在防火墙命令行下发display trusted-access controller sdp assigned-resource app,查看sdp控制器给防火墙下发的对应策略
可以发现,防火墙上只有关于ssh 22端口的配置,因此目前已定位是SDP控制器没有给防火墙下发授权资源
解决方法
临时解决办法:在防火墙命令行重新使能SDP功能
<Sysname> system-view
[Sysname] trusted-access controller sdp
[Sysname-tac-sdp] undo sdp enable 先关闭
[Sysname-tac-sdp] sdp enable 再次启动
重启后SDP控制器重新正确下发访问资源的权限
根本解决办法:在和现场沟通后,发现该设备是断电后出现的这个问题,经过研发判断,现场设备触发SDP控制器版本已知问题,将SDP控制器单独升级到E6607版本就能彻底解决该问题。