【IOT】【应用准入】阻断不生效排查

王燚发表于:2021年05月30日 16:44:13

1 问题描述

准入没通过或者安检,但终端仍可以正常访问,未被阻断拦截。

00160b34963859a97cc1f2227b278d9

2 适用场景

通用

3 原因分析

从下往上回溯检查checklist

3.1 流量是否进到NAC盒子

cat /dev/shm/nac_port_status 过几秒再敲一次

image.png

查看监听口收包有没有增加

3.2 NAC盒子有流量进来,再抓包确认是否有入网终端访问目的地址的流量。

 nac_pdump -c 0 -p 0 -r -t -f "host 192.168.11.35" -w dumy.pcap

3.3 检查策略匹配结果

查看终端命中策略略: ipcache policy query ip 1.1.1.1,找policy_id字段,

如果值为0,即为未命中,非0即为命中。-3检查控制台nat管理页面此ip是否判断为nat

查看终端当前状态: ipcache query ip 1.1.1.1,找action字段,值为0,表示放⾏行行,值为1,表示阻断。

image.png

image.png

3.4 控制器管理中服务是否开启了流量放行

image.png

3.5 发包口抓包确认访问时是否有发阻断重定向包,确认终端与设备是否通网段。

image.png

4 解决办法


4.1 如无法抓取到流量以及流量不包含终端访问流量,检查镜像流量以及forward进程是否存在问题。

4.2  客户端ip在nat管理页面中,如果环境不存在nat,或者不需要检测nat,可以关闭nat检测功能,并控制台上删除此记录。

<NACCLI>nat_detect status disable

4.3 取消勾选流量放行。

4.4 确保发包口与终端的网络通讯,确保阻断重定包可达。