一、全局排除地址的作用:全局排除地址也叫白名单,设置了之后除了下述功能之外的其他功能全部不生效了。 全局排除的IP地址,仍然生效的模块有:NAT ,端口映射,显示代理 ,防火墙规则(11.X之前),防DoS攻击 ,ARP欺骗防护,系统路由和链路负载,准入IM审计(先开启IM审计后排除PC地址的情况)

注意:11.X之后添加全局排除的地址,防火墙过滤规则不生效;

 

二、AC/SG设置全局排除地址配置路径:

AC/SG 1.3-6.1R1版本,在【系统配置】-【全局排除地址】-【自定义排除地址】,这个模块下面进行新增或者是删除操作

上网行为管理11.0-12.0.80和全网行为管理13.0.4-13.0.80版本,在【系统管理】-【系统配置】-【全局排除地址】-【自定义排除地址】,这个模块下面进行新增或者是删除操作

上网行为管理12.0.120-12.0.121和全网行为管理13.0.102-13.0.121版本,在【系统管理】-【系统配置】-【全局排除地址】-【自定义排除地址】,这个模块下面进行新增或者是删除操作

 

三、注意事项

1.AC/SG全局排除的配置格式是怎样的格式:

一行一个IP、IP段、子网或域名,子网与子网掩码/分隔,如

域名:www.baidu.com

IPV4单个IP:10.10.10.1

IPV4网段:10.10.0.0/255.255.0.0

IPV6网段:2001::FFFF/24

起始IP地址与结束IP地址以-分隔,不支持通配符,如192.168.0.1-192.168.0.20,2001::-2001::ffff。

注意:dns解析经过AC的情况下配置baidu.com会全局排除www.baidu.com和wenku.baidu.com等后缀一样的域名

详细配置参考链接:点击这里

 

2. 添加排除的时候,网段的子网掩码需要写网段,不能写数字,比如添加的地址是:192.168.1.1/255.255.255.0,不能写192.168.1.1/24

3、AC/SG产品当前所有的已发布版本均不支持导入/导出全局排除地址列表(适用版本区间:上网行为管理1.3-12.0.121,全网行为管理13.0.4-13.0.121)

4、AC设备针对对应的IP地址全局排除了还是不可以上网可以排除其他模块对AC的影响,需要检查这些仍然生效的模块是否导致此全局排除的IP不能上网;

5、AC设备上针对对应的全局排除地址禁用之后此IP地址还是可以上网,那就表明此IP地址没有被设备策略拦截。