USG系列防火墙故障案例集

USG系列防火墙故障案例集目录USG2100攻击防范导致地址映射不成功接口MTU不匹配导致OSPF邻居卡在ExStart状态MTU参数问题导致无法访问外网网站解决ADSL拨号上网NATSERVER外网IP不固定问题解决L2TP连接后总部主动和分支通信的问题ADSL接口不能配置PVC命令问题V.35SA卡双串口绑定与LOOPCONVERTER无法连通UTM模式下，更换部署网络，签名库/病毒库无法更新采用QoS限制其中一个子网访问外网的速率USG2100攻击防范导致地址映射不成功现象描述：用户需要将内部地址8000端口和8999等端口通过地址映射发布到外网，然而在外网访问发布的端口却发现，只有8000端口能够访问进来，其他做了映射的端口均不能访问成功原因分析：1：运营商阻止映射端口的通信2：防火墙包过滤未打开。3：其它原因。处理过程：1、将不能访问的端口修改成防火墙web登录的端口，可以访问。说明运营商未封闭该端口。2、查看防火墙上的包过滤策略，没有做端口过滤限制。3、查看会话，发现除了8000端口外，访问任何映射的端口均无任何会话信息。4、打开抓包功能，检查访问时数据包是否到了防火墙，当外网发起访问时能看到有数据包到达防火墙：[shanxi09]dispfirewallpacket-capturestatistic

QueueIDCapturedNumberSentStateTCPUDPICMPOther

-----------------------------------------------------------------------------

04(0%)Unsent100.00%0.00%0.00%0.00%

10(0%)Unused0.00%0.00%0.00%0.00%

20(0%)Unused0.00%0.00%0.00%0.00%

30(0%)Unused0.00%0.00%0.00%0.00%

40(0%)Unused0.00%0.00%0.00%0.00%证明访问的报文已经到了防火墙，说明是防火墙将报文丢弃。5、检查用户攻击防范，除了开启默认攻击防范外，还开启了tcp代理攻击。firewalldefendsyn-floodzonetrusttcp-proxyon

firewalldefendsyn-floodzoneuntrusttcp-proxyon

firewalldefendsyn-floodinterfaceEthernet1/0/0tcp-proxyon

firewalldefendsyn-floodinterfaceVlanif1tcp-proxyon将该攻击防范关闭，外网访问映射端口正常建议/总结：如果默认开启了firewalldefendsyn-floodenable功能，不能再开启tcp代理攻击，否则可能导致访问映射端口失败接口MTU不匹配导致OSPF邻居卡在ExStart状态现象描述：组网拓扑如下

一台USG2205BSR（在上图中Router-ID为）与另一厂商防火墙之间建立GRE隧道，并运行OSPF，两设备的Tunnel0口参与OSPF进程。现在的问题是，两台设备的OSPF邻居状态不正常，卡在ExStart状态。

[USG2205BSR]disospfpeerbrief

08:59:322011/11/03

OSPFProcess1withRouterID

NeighborStatistics

AreaIDDownAttemptInit2-WayExStartExchangeLoadingFullTotal

4000010001

Total00001000原因分析：OSPF总共有8种可能的启动过程，但并不是一定会经历这8个过程，具体过程如下：

Down→Attempt→Init→Two-way→Exstart→Exchange→Loading→Full

除了Two-way和Full这两个状态，邻居停留在任何状态，都是不正常。

处理过程：1、检查两台安全网关的OSPF配置，物理接口和Tunnel接口配置，没有问题，测试物理口联通性和Tunnel的连通性，都正常。2、使用命令检查两端设备的Tunnel口参数[USG2205BSR]disinterfaceTunnel0

09:00:022011/11/03

Tunnel0currentstate:UP

Lineprotocolcurrentstate:UP

Tunnel0currentfirewallzone:untrust

Description:Huawei,USG2200BSRSeries,Tunnel0Interface

TheMaximumTransmitUnitis1500bytes

而另一端Tunnel口的MTU值为6400，修改另一端Tunnel口的MTU值为1500。再看邻居状态正常：[USG2205BSR]disospeerbrief

09:01:322011/11/03

OSPFProcess1withRouterID

NeighborStatistics

AreaIDDownAttemptInit2-WayExStartExchangeLoadingFullTotal

4000000011

Total0000000建议/总结：实验验证，当MTU不匹配导致OSPF邻居卡在ExStart/ExChange状态时，Router-ID大的一端为ExStart状态，Router-ID小的一端为ExChange状态。OSPF邻居正常状态只有Two-way和full，否则不正常，邻居不正常的可能原因如下：

1、接口未参与OSPF进程；

2、AreaID不一致；

3、Stub-bit或NSSA-bit不一致；

4、OSPF验证类型不一致或者密码不一致；

6、RrouterID是否冲突；

7、OSPF链路两端的MTU相差比较大，通常停留在ExStart状态（需要在其接口下配置OSPF忽略MTU检查或修改MTU）；

8、是否在同一网段（PPP链路除外）；

9、是否有策略过滤掉OSPF报文MTU参数问题导致无法访问外网网站现象描述：客户使用我司产品USG2120，通过ADSL接口与BSNL（印度宽带运营商）的10MBPS网络相连，在配置Dialer、NAT、VLANIF、DNS等信息后，在内网PC机可以ping通，却无法打开网站页面。原因分析：通过分析客户的提供的配置脚本文件，配置基本都正确，Dialer、NAT、VLANIF、DNS及路由信息都没问题，且通过验证，内网PC机可以ping通外网，却无法打开网页。将我司设备换成友商WirelessN-Router,ModelNoWRX150的路由器后，客户内网PC机可以访问外部网站。遇到这种情况，一般情况下需要check两端link的参数配置。故让客户提供WRX150相关配置信息，如下：

PPPOEadvancesettingofMTUSettingas1400andDNS

12

39

于是，我们怀疑MTU参数有问题，因为我司设备的每个接口的MTU默认参数时1500字节。由于两端（USG212O与BSNL设备）的MTU参数不一致，导致双方link协商不能完成正常连接。再者，ADSL使用的PPPoE略小于这个数值，一般为1492。而此客户需要使用的MTU很可能是1400字节。处理过程：建议客户更改每一个VLANIF接口的MTU为1400，如下：

#

interfaceVlanif1

mtu1400

ipaddress

#

interfaceVlanif2

mtu1400

ipaddress

#

interfaceVlanif3

mtu1400

ipaddress

#

interfaceVlanif4

mtu1400

ipaddress

#

interfaceVlanif5

mtu1400

ipaddress

#

interfaceVlanif6

mtu1400

ipaddress

#

interfaceVlanif7

mtu1400

ipaddress

#

interfaceVlanif8

mtu1400

ipaddress

#

通过更改配置，内网PC机可以正常访问外网网站。建议/总结：涉及到此类问题，优先check设备是否配置DNS等信息，然后check链路对接等配置信息；此外，用其它设备替换进行验证测试，也是个很好的选择，有利于问题的快速甄别。解决ADSL拨号上网NATSERVER外网IP不固定问题现象描述：客户ADSL拨号后，由于获取IP地址不断变动，NATSERVER失效原因分析：V100R003C01SPC700以前的版本不支持接口映射处理过程：一、需求：V100R003其他版本无法实现使用接口作NATSERVER的功能，升级到V100R003C01SPC700即可解决问题二、升级后的版本为V100R003C01SPC700三、升级过程为了客户操作方便这里我们使用WEB界面升级操作步骤通过Web方式，从V100R003C01版本升级V100R003C01SPC700版本的具体步骤如下。步骤1在作为Browser的PC2上使用IE浏览器登录到USG2100BSR/HSR，用户名为admin，密码为Admin@123。步骤2选择“系统管理>启动信息”，在“上传系统软件”中选择“上传并替换当前的系统启动文件”。步骤3单击“浏览”按钮，选择要上传的系统软件。步骤4单击“上传”按钮上传系统软件。在升级过程中，设备不能断电。升级过程中，请不要切换、刷新页面或关闭IE浏览器，以便及时得到升级结果。步骤5当出现“执行成功”提示框后，升级过程结束。步骤6重新启动设备，自动运行新加载的主机软件。----结束四、升级后的操作升级完成后即可执行命令行操作natserverprotocoltcpglobalinterfacedialer08850inside88850建议/总结：虽然升级到V100R005版本也能解决该问题，但同一版本的兼容性更好解决L2TP连接后总部主动和分支通信的问题现象描述：某客户利用USG2130BSR做LNS端和分支路由器SRG设备做LAC端建立L2TP隧道，分支通过拨号和总部建立L2TP隧道后，总部LNS端可以主动和各个分支路由器进行通信。客户询问实现的方法客户拓扑如下：原因分析：一般L2TP应用场景是LAC拨号和LNS建立连接后，可以和LNS内部主机或内部服务器通信。该客户提出的应用场景，可以通过建立域账号方式和配置静态路由来实现，即每个分支路由器拨号分配固定IP地址，再在LNS端指一条明细路由到各个分支，可以实现总部和各个分支之间的通信问题,即可以在路由上，或是路由器下PC可以和LNS总部之间建立连接并通信。处理过程：关键配置如下：LNS:总部[USG2130BSR]l2tpenable//开启L2TP功能

[USG2130BSR]l2tpdomainsuffix-separator@//设置域分割符为@

[USG2130-aaa]local-usertest@huaweipasswordsimpletest//本地域用户

[USG2130-aaa]local-usertest@hauweilevel3//配置用户等级

[USG2130-aaa]local-usertest@huaweiserverppp//配置允许PPP协议

[USG2130-aaa]domainhuawei//配置域名称

[USG2130-aaa]ippool30000//为域用户分配的地址池//为域用户分配的地址池，一个分支定义一个域，一个地址池，这样每个分支分配的IP肯定都是固定的了。再配置一条路由[USG2130]iproute-static0032Virtual-Template1

LAC:分支配置[SRG]l2tpenable//开启L2TP功能

[SRG]l2tpdomainsuffix-separator@//设置域分割符为@

[SRG]aaa

[SRG-aaa]domainhauwei

[SRG-aaa]local-usertest@huaweipasswordsimpletest//建立域账号

[SRG-aaa]local-usertest@huaweilevel3

[SRG-aaa]local-usertest@huaweiserverppp

//定义了一个“huawei”域中的用户，终端PC或服务器进行拨号时会进行帐号的认证，通过拨LAC后，可以实现总部和服务端通信。

再配置一条默认路由上网即可。建议/总结ADSL接口不能配置PVC命令问题现象描述：用户通过ADSL接口卡和专线对接，地址获取方式为上游提供固定IP，无需用户名密码拨号，在配置接口卡ATM口时，配置PVC的命令不成功，需要配置的命令如下：interfaceAtm2/0/0pvc8/35mapbridgeVirtual-Ethernet1但是输入命令，却不成功，如下：[USG2130BSR-Atm2/0/0]pvc?<0-255>/<32-65535>EntervalueofVPI/VCI[USG2130BSR-Atm2/0/0]pvc8/35Error:Setfailed原因分析：1、ADSL接口卡异常。2、配置命令不正确。3、设备不支持等处理过程：1、接口卡不知此pvc8/35命令，说明是单PVC，可以通过modifypvc修改，但是输入该命令后，在输入命令mapbridgeVirtual-Ethernet1时，提示不支持该操作。[USG2130BSR-atm-pvc-Atm2/0/0-8/35]mapbridgeVirtual-Ethernet1Info:Thiscarddoesnotsupportthisoperation.2、由于接口卡是单PVC，所以ATM接口下不需要配置pvc8/35，也不需要配置映射到虚接口，即不需要配置mapbridgeVirtual-Ethernet1，而是直接在接口下配置上游设备提供的固定IP地址即可建议/总结：PVC命令只适用于多PVC的ATM接口，不需要绑定VT口V.35SA卡双串口绑定与LOOPCONVERTER无法连通现象描述：我司产品USG2120BSRV100R005版本，做V.35SA卡双串口绑定后，与对端串口中继器LOOPCONVERTER连接后，linkprotocol无发起来，物理端口可以起来。把我司设备更换为友商设备后，link可以起来。原因分析：在DebuggingPPPinformation后，发现我们设备串口可以发包，但不能正常收包，且在接口发现收到的包全是错误的包。表明，串口在收包时无法区别是否为正确信息，通常情况下，是由于两端的时钟频率配置不一致所致。处理过程：在两个串口的物理视图下，分别执行“invertreceive-clock”命令，将接口置为接收时钟信号，问题解决建议/总结：我们的SAV.35串口目前只支持同步时钟频率，这点需要注意；同时，众多友商设备串口类型也较多，在做对接配置时，若能了解对端情况，将更有利于问题解决。UTM模式下，更换部署网络，签名库/病毒库无法更新现象描述：UTM模式下，在局点A中，签名库/病毒库在线更新成功；删除flash下的规则目录，将设备带到局点B进行演示，签名库/病毒库无法在线更新。原因分析：UTM签名库/特征库是通过主动FTP方式连接到安全服务器进行下载，UTM设备若是通过我司安全产品NAT上网，域间没有开启natalgenableftp，会出现如下情形UTM签名库/特征库是通过主动FTP方式连接到安全服务器进行下载，UTM设备若是通过我司安全产品NAT上网，域间没有开启natalgenableftp，会出现如下情形：1、UTM设备使用端口N（N>1024）连接到服务器21端口；2、UTM设备开始监听端口N+1；3、服务器21端口对端口N进行应答；4、UTM设备使用端口N发送端口N+1到服务器；5、服务器21端口对端口N+1进行数据链路初始化；6、由于UTM设备在我司安全设备之后，并且只做了端口监听的动作，我司安全设备中未建立端口N+1的NAT表项，该报文未能到达UTM设备，数据链路建立失败。导致可以正常上网却无法更新签名库/病毒库的情况处理过程：在客户出口处，找到进行NAT的设备，在设备上开启域间NATALG[sysname]displayinterzonetrustuntrust

interzonetrustuntrust

detectftp

#建议/总结：打开NATALG功能后，签名库/病毒库升级成功采用QoS限制其中一个子网访问外网的速率现象描述：要求限制进出公网的速率为1M，但是局域网内部访问速率不限制。对网络不做限制。合作方做了QoS策略并应用于E0/0/2，出现访问速率时缓时快，并且内部访问慢，并不能满足客户的要求原因分析：1、ACL存在问题；2、速率值不正确；3、应用的端口不正确。处理过程：1、修改ACL为aclnumber3201

rule5permitipsource55aclnumber3300

rule5permitipdestination552、修改QoS策略为trafficclassifierlimit_source_1operatorand

if-matchacl3201

trafficclassifierlimit_destination_1operatorand

if-matchacl3300

#

trafficbehaviorlimit_source_1

carcir1024000cbs1024000ebs0greenpassreddiscard

trafficbehaviorlimit_destination_1

carcir1024000cbs1024000ebs0greenpassreddiscardqospolicylimit_source_1

classifierlimit_source_1behaviorlimit_source_1

qospolicylimit_destination_1

classifierlimit_destination_1behaviorlimit_destination_13、修改应用端口为公网出口E0/0/3interfaceEthernet0/0/4

ipaddress52#此IP为虚构的#

qosapplypolicylimit_source_1outbound

qosapplypolicylimit_destination_1inbound建议/总结：注意根据环境，灵活应用端口，正确配置ACL是关键的一环SSLVPN网页访问找不到问题问题与原命令行SSLVPN完成如下配置后，https://x.x.x.x，点击“继续浏览此网站（不推荐）”后显示无法找到网页#

v-gatewaysslvpnx.x.x.xpublicv-gatewaysslvpnipaddressx.x.x.x#****BEGIN***sslvpn**1****#

v-gatewaysslvpn

basic

dns-serverx.x.x.xx.x.x.x

sslversionallversion

ssltimeout5

ssllifecycle1440

sslciphersuitcustomaes256-shades-cbc3-sharc4-sharc4-md5aes128-shades-cbc-sha

logo&logo&.gif

welcome&welcome&.txt

title&title&.txt

service

network-extensionenable

network-extensionnetpool0054

network-extensionmodefull

security

policy-default-actionpermituser-src-ip

policy-default-actionpermituser-dst-ip

policy-default-actionpermituser-url

policy-default-actionpermitvt-src-ip

password-settingpassword-intensionlow1high31digits0letters0unmix

password-settingsafe-policy1

password-settinglifetime0alarm0

certificationcert-anonymouscert-fielduser-filtersubjectcngroup-filtersubjectcn

certificationcert-anonymousfilter-policypermit-all

certificationcert-challengecert-fielduser-filtersubjectcn

certificationuser-cert-filterkey-usageany

#****END****#解决方法：v-gatewaysslvpnx.x.x.xpublic修改为v-gatewaysslvpnx.x.x.xprivate.共享型虚拟网关只能通过域名访问，独占型网关可以通过域名或i