题目可能明确写出了:认证和安全组没有问题
情况1:从业务随行方面考虑
网络中存在多个认证点,但未部署ip-group表项订阅。每台acc只记录自己下游pc的ip-group关系,学不到对方的ip-group映射关系,导致策略矩阵无法限制。
解决方案:
在NCE上开启ip-group表项订阅功能,将认证用户的ip-group表项推送下去。
情况2:从策略联动方面考虑
1、虽然策略矩阵已经配置拒绝访问,但需要部署才能生效,检查是否正常部署。
2、如果用户网关是接入交换机,但策略联动是下发到核心,同时核心作为认证控制点和执行点,同一个网关下不同安全组的互访不会经过核心的策略控制。
解决方案:
1、检查策略矩阵是否正常部署,避免因为未提交导致策略矩阵未生效的问题。
2、将用户网关同时作为认证控制点和执行点,在网关上执行用户策略。
情况3:从准入控制方面考虑
如果题目明确写出了:认证和安全组没有问题,则不答该项(随机)
通过准入控制的用户,会获得相应授权结果,其中包含用户的VLAN、安全组,以及ACL等信息。虽然策略矩阵部署正确,但是在PC1和PC2通过准入认证时,在授权规则绑定授权结果中,授权结果未正确的将PC1和PC2加入到正确的安全组里,就会导致策略矩阵不能正确管控流量 ,所以需要绑定正确的用户授权结果。