发布时间 : 星期四 文章USG系列防火墙故障案例集讲解更新完毕开始阅读9936fe20302b3169a45177232f60ddccdb38e631
USG系列防火墙故障案例集
目录
USG2100攻击防范导致地址映射不成功
接口MTU不匹配导致OSPF邻居卡在 ExStart 状态 MTU参数问题导致无法访问外网网站
解决ADSL拨号上网NAT SERVER 外网IP不固定问题 解决L2TP连接后总部主动和分支通信的问题 ADSL接口不能配置PVC命令问题
V.35 SA卡双串口绑定与LOOP CONVERTER无法连通 UTM模式下,更换部署网络,签名库/病毒库无法更新 采用QoS限制其中一个子网访问外网的速率
USG2100攻击防范导致地址映射不成功
现象描述:用户需要将内部地址8000端口和8999等端口通过地址映射发布到外网,然而在外网访问发布的端口却发现,只有8000端口能够访问进来,其他做了映射的端口均不能访问成功 原因分析:
1:运营商阻止映射端口的通信 2:防火墙包过滤未打开。 3:其它原因。 处理过程: 1、将不能访问的端口修改成防火墙web登录的端口,可以访问。说明运营商未封闭该端口。 2、查看防火墙上的包过滤策略,没有做端口过滤限制。
3、查看会话,发现除了8000端口外,访问任何映射的端口均无任何会话信息。
4、打开抓包功能,检查访问时数据包是否到了防火墙,当外网发起访问时能看到有数据包到达防火墙:
[shanxi09]disp firewall packet-capture statistic
QueueID CapturedNumber SentState TCP UDP ICMP Other -----------------------------------------------------------------------------
0 4( 0%) Unsent 100.00% 0.00% 0.00% 0.00% 1 0( 0%) Unused 0.00% 0.00% 0.00% 0.00% 2 0( 0%) Unused 0.00% 0.00% 0.00% 0.00% 3 0( 0%) Unused 0.00% 0.00% 0.00% 0.00% 4 0( 0%) Unused 0.00% 0.00% 0.00% 0.00% 证明访问的报文已经到了防火墙,说明是防火墙将报文丢弃。
5、检查用户攻击防范,除了开启默认攻击防范外,还开启了tcp代理攻击。 firewall defend syn-flood zone trust tcp-proxy on firewall defend syn-flood zone untrust tcp-proxy on
firewall defend syn-flood interface Ethernet1/0/0 tcp-proxy on
firewall defend syn-flood interface Vlanif1 tcp-proxy on 将该攻击防范关闭,外网访问映射端口正常 建议/总结:
如果默认开启了 firewall defend syn-flood enable功能,不能再开启tcp代理攻击,否则可能导致访问映射端口失败
接口MTU不匹配导致OSPF邻居卡在 ExStart 状态
现象描述:组网拓扑如下
一台 USG2205BSR (在上图中Router-ID为20.1.1.2)与另一厂商防火墙之间建立GRE 隧道,并运行 OSPF,两设备的 Tunnel0口参与 OSPF 进程。现在的问题是,两台设备的 OSPF 邻居状态不正常,卡在 ExStart 状态。
[USG2205BSR]dis ospf peer brief 08:59:32 2011/11/03
OSPF Process 1 with Router ID 20.1.1.2 Neighbor Statistics
Area ID Down Attempt Init 2-Way ExStart Exchange Loading Full Total
0.0.0.14 0 0 0 0 1 0 0 0 1
Total 0 0 0 0 1 0 0 0
原因分析:OSPF 总共有8种可能的启动过程,但并不是一定会经历这8个过程,具体过程如下:
Down → Attempt → Init → Two-way → Exstart → Exchange → Loading → Full 除了Two-way和Full这两个状态,邻居停留在任何状态,都是不正常。 处理过程:
1、检查两台安全网关的OSPF配置,物理接口和 Tunnel 接口配置,没有问题,测试物理口联通性和Tunnel的连通性,都正常。
2、使用命令检查两端设备的 Tunnel 口参数 [USG2205BSR]dis interface Tunnel 0 09:00:02 2011/11/03
Tunnel0 current state : UP Line protocol current state : UP
Tunnel0 current firewall zone : untrust
Description : Huawei, USG2200BSR Series, Tunnel0 Interface The Maximum Transmit Unit is 1500 bytes
而另一端 Tunnel 口的 MTU 值为6400,修改另一端 Tunnel 口的 MTU 值为1500。再看邻居状态正常:
[USG2205BSR]dis os peer brief 09:01:32 2011/11/03
OSPF Process 1 with Router ID 20.1.1.2 Neighbor Statistics
Area ID Down Attempt Init 2-Way ExStart Exchange Loading Full Total
0.0.0.14 0 0 0 0 0 0 0 1 1
Total 0 0 0 0 0 0 0
建议/总结:
实验验证,当 MTU 不匹配导致 OSPF 邻居卡在 ExStart/ExChange 状态时,Router-ID 大的一端 为 ExStart 状态, Router-ID 小的一端为 ExChange 状态。OSPF 邻居正常状态只有Two-way 和 full ,否则不正常,邻居不正常的可能原因如下: 1、接口未参与OSPF进程; 2、Area ID不一致;
3、Stub-bit或NSSA-bit不一致;
4、OSPF验证类型不一致或者密码不一致; 6、Rrouter ID 是否冲突; 7、OSPF链路两端的MTU相差比较大,通常停留在ExStart状态(需要在其接口下配置OSPF忽略MTU检查或修改MTU);
8、是否在同一网段(PPP链路除外); 9、是否有策略过滤掉OSPF报文
MTU参数问题导致无法访问外网网站
现象描述:客户使用我司产品USG2120,通过ADSL接口与BSNL(印度宽带运营商)的10MBPS网络相连,在配置Dialer、NAT、VLANIF、DNS等信息后,在内网PC机可以ping通www.yahoo.com,却无法打开www.yahoo.com网站页面。 原因分析:通过分析客户的提供的配置脚本文件,配置基本都正确,Dialer、NAT、VLANIF、DNS及路由信息都没问题,且通过验证,内网PC机可以ping通外网,却无法打开网页。将我司设备换成友商Wireless N-Router,Model No WRX150的路由器后,客户内网PC机可以访问外部网站。遇到这种情况,一般情况下需要check两端link的参数配置。故让客户提
供WRX150相关配置信息,如下:
PPPOE advance setting of MTU Setting as 1400 and DNS 218.248.255.212 218.248.255.139
于是,我们怀疑MTU参数有问题,因为我司设备的每个接口的MTU默认参数时1500字节。由于两端(USG212O与BSNL设备)的MTU参数不一致,导致双方link协商不能完成正常连接。再者,ADSL使用的PPPoE略小于这个数值,一般为1492。而此客户需要使用的MTU很可能是1400字节。
处理过程:建议客户更改每一个VLANIF接口的MTU为1400,如下: #
interface Vlanif1 mtu 1400
ip address 192.168.120.1 255.255.255.0 #
interface Vlanif2 mtu 1400
ip address 192.168.121.1 255.255.255.0 #
interface Vlanif3 mtu 1400
ip address 192.168.122.1 255.255.255.0 #
interface Vlanif4 mtu 1400
ip address 192.168.123.1 255.255.255.0 #
interface Vlanif5 mtu 1400
ip address 192.168.124.1 255.255.255.0 #
interface Vlanif6 mtu 1400
ip address 192.168.125.1 255.255.255.0 #
interface Vlanif7 mtu 1400
ip address 192.168.126.1 255.255.255.0 #
interface Vlanif8 mtu 1400
ip address 192.168.127.1 255.255.255.0 #
通过更改配置,内网PC机可以正常访问外网网站。