客户一台USG5530作为出口设备,内网电脑上的360安全卫士不能更新,如果把外线直接接pc的话更新没有问题。
无
登录防火墙检查,没有发现一些特别的针对360安全卫士的限制,发现在域间打开了detect activex-blocking ,undo detect activex-blocking 后360安全卫士能更新了
防火墙安全检查方面问题
遇到此类问题可以参照这种做法
AC6605 终端关联常见错误代码以及解释
无
终端关联常见错误码解析
[WLAN_STA_INFO_AP_ASSOCIATE] – 表示STA 关联拒绝日志是WLAN AC侧记录;
常用AP 和AC 拒绝日志解释如下:
FailType is AC code, 表示是AC 拒绝
Jan 13 2014 18:23:26+04:00
TB4_GF_ACU1_M %%01WLAN/3/WLAN_LOG_USER(l)[261864]:[WLAN_STA_INFO_AP_ASSOCIATE]ACMAC:dc-d2-fc-f4-5d-7d;ACNAME:TB4_GF_ACU1_M;APMAC:ac-4e-91-47-96-40;APNAME:ap-234;USER:c814793824f2;MAC:c8-14-79-38-24-f2;TIME:1389623006;ZONE:UTC+0400;DAYLIGHT:false;ERRCODE:66543;RESULT:FailType is AC code, refused by repeat association;
13 2014 18:23:48+04:00
TB4_GF_ACU1_M %%01WLAN/3/WLAN_LOG_USER(l)[261871]:[WLAN_STA_INFO_AP_ASSOCIATE]ACMAC:dc-d2-fc-f4-5d-7d;ACNAME:TB4_GF_ACU1_M;APMAC:ac-4e-91-47-7d-00;APNAME:ap-435;USER:40f308424e6b;MAC:40-f3-08-42-4e-6b;TIME:1389623028;ZONE:UTC+0400;DAYLIGHT:false;ERRCODE:66544;RESULT:FailType is AC code, refused by reassociation mac check fail;
Jan 13 2014 18:25:26+04:00
TB4_GF_ACU1_M %%01WLAN/3/WLAN_LOG_USER(l)[261885]:[WLAN_STA_INFO_AP_ASSOCIATE]ACMAC:dc-d2-fc-f4-5d-7d;ACNAME:TB4_GF_ACU1_M;APMAC:ac-4e-91-47-7d-00;APNAME:ap-435;USER:40f3088d26e4;MAC:40-f3-08-8d-26-e4;TIME:1389623126;ZONE:UTC+0400;DAYLIGHT:false;ERRCODE:66547;RESULT:FailType is AC code, refused by roam check fail(state);
Jan 13 2014 18:26:29+04:00
TB4_GF_ACU1_M %%01WLAN/3/WLAN_LOG_USER(l)[261891]:[WLAN_STA_INFO_AP_ASSOCIATE]ACMAC:dc-d2-fc-f4-5d-7d;ACNAME:TB4_GF_ACU1_M;APMAC:ac-4e-91-47-8b-00;APNAME:ap-632;USER:e4b0216ca90b;MAC:e4-b0-21-6c-a9-0b;TIME:1389623189;ZONE:UTC+0400;DAYLIGHT:false;ERRCODE:66545;RESULT:FailType is AC code, refused by roam check fail(SSID);
Jan 13 2014 18:26:29+04:00
TB4_GF_ACU1_M %%01WLAN/3/WLAN_LOG_USER(l)[261891]:[WLAN_STA_INFO_AP_ASSOCIATE]ACMAC:dc-d2-fc-f4-5d-7d;ACNAME:TB4_GF_ACU1_M;APMAC:ac-4e-91-47-8b-00;APNAME:ap-632;USER:e4b0216ca90b;MAC:e4-b0-21-6c-a9-0b;TIME:1389623189;ZONE:UTC+0400;DAYLIGHT:false;ERRCODE:66545;RESULT:FailType is AC code, refused by roam check fail(others);
Refused by ***
解释说明
refused by repeat association
AP同时上报多次关联请求, 因为之前的关联请求未处理完, AC 回应重复的关联请求, AP 实际并不会拒绝用户, 按正常关联请求处理。
refused by reassociation mac check fail
R2以及之前的AC 在AC 上保存有用户数据时, 再收到AP 上报的重关联请求时, 会去检查重关联携带的OLD AP MAC 是否和AC 上保存的一致, 如果不一致, 则拒绝。如果终端始终因为此原因关联不上, 建议去关联后, 重新关联。 在最新的 R3版本, 该检查已经删除。
refused by roam check fail(state)
漫游检查失败;表示漫游时检查用户状态不正确(非稳定状态, 未认证通过), 不容许漫游, AC 实际并不会拒绝此次关联请求, 只是会刷新AC 侧的用户数据表项, 并记录日志。
refused by roam check fail(SSID);
漫游检查失败的日志;在终端进行SSID 切换时,AC 上保存有原来的用户数据,就会进行漫游检查, 但实际SSID 不一样是不容许漫游的, 所以AC 侧会刷新用户数据表项, 并记录日志, 实际并不会拒绝此次关联请求。
refused by roam check fail(others)
漫游检查失败的日志;R3版本: 如果配置三层漫游去使能终端三层漫游时会有此日志, AC 会删除STA 数据表项并拒绝此次关联请求, 但不影响下次关联。 R2版本: 直接处理同SSID 切换, AC 刷新用户数据, 并不会拒绝此次关联请求。
FailType is Reason code, 和FailType is Status code 是AP 拒绝用户关联上报告警;
Jan 13 2014 18:38:13+04:00
TB4_GF_ACU1_M %%01WLAN/3/WLAN_LOG_USER(l)[261973]:[WLAN_STA_INFO_AP_ASSOCIATE]ACMAC:dc-d2-fc-f4-5d-7d;ACNAME:TB4_GF_ACU1_M;APMAC:ac-4e-91-42-a7-20;APNAME:ap-662;USER:78ca04401c5a;MAC:78-ca-04-40-1c-5a;TIME:1389623893;ZONE:UTC+0400;DAYLIGHT:false;ERRCODE:65545;RESULT:FailType is Reason code,other reason;
表示AP 上报关联拒绝告警, 错误码:ERRCODE:65545; = 0x10009, 09 就是标准的reason code, 和告警日志的failcause = 9对应,
9: 表示关联帧之前AP 没收到auth 帧,
此外还有reason code 12 表示: 非11N 终端关联11n 的VAP;
其它reason code 或status code 可以参考标准的80211协议文档<<Wireless LAN Medium Access Control(MAC) and Physical Layer (PHY) Specifications>>;
[WLAN_STA_INFO_OFFLINE]---表示STA下线(AC上的诊断日志)
2014-2-26 07:11:53+00:00 lgh31dcthw01 %%01UCM/5/USER_OFFLINERESULT(l)[60695]:[WLAN_STA_INFO_OFFLINE]ACMAC:e0-24-7f-95-92-16;ACNAME:lgh31dcthw01;APMAC:10-47-80-06-df-40;APNAME:ap-208;USER:CHINA\h00102736;MAC:6c-88-14-c0-04-1c;TIME:1393398713;ZONE:UTC-0000;DAYLIGHT:false;ERRCODE:198;RESULT:success;
描述参考RESULT:***信息
3. [WLAN_STA_INFO_AUTHENTICATION]—STA认证结果记录
2014-2-26 07:11:55+00:00 lgh31dcthw01 %%01UCM/5/USER_ACCESSRESULT(l)[60696]:[WLAN_STA_INFO_AUTHENTICATION]ACMAC:e0-24-7f-95-92-16;ACNAME:lgh31dcthw01;APMAC:20-0b-c7-9a-7f-c0;APNAME:B1-1F-D03;USER:z00100222;MAC:ac-e2-15-38-58-58;TIME:1393398715;ZONE:UTC-0000;DAYLIGHT:false;ERRCODE:255;RESULT:success;
2014-2-26 07:12:00+00:00 lgh31dcthw01 %%01UCM/5/USER_ACCESSRESULT(l)[60701]:[WLAN_STA_INFO_AUTHENTICATION]ACMAC:e0-24-7f-95-92-16;ACNAME:lgh31dcthw01;APMAC:ac-85-3d-97-30-e0;APNAME:ap-325;USER:CHINA\t00110630;MAC:a0-88-b4-e5-4c-f4;TIME:1393398720;ZONE:UTC-0000;DAYLIGHT:false;ERRCODE:205;RESULT:EAPOL client timeout;
2014-2-26 07:12:01+00:00 lgh31dcthw01 %%01UCM/5/USER_ACCESSRESULT(l)[60702]:[WLAN_STA_INFO_AUTHENTICATION]ACMAC:e0-24-7f-95-92-16;ACNAME:lgh31dcthw01;APMAC:ac-85-3d-97-30-e0;APNAME:ap-325;USER:CHINA\l00230090;MAC:60-67-20-20-44-8c;TIME:1393398721;ZONE:UTC-0000;DAYLIGHT:false;ERRCODE:198;RESULT:WLAN user request;
无
oracle归档日志占满系统存储空间,导致数据库启动失败;
存储空间占满导致rman工具无法使用,无法删除过期归档日志。
告警信息:
1、 存储空间满,/opt占用率达到100%;
2、无法进入数据库操作;
3、无法使用rman工具清除过期归档日志。
1、通过命令检查存储空间被哪个目录占用了,最深查询到第八层目录:du -h --max-depth=8。查询到/opt/oracle/archivelog有142G这么大,打开看有3000+的dbf文件,通过文件目录结构分析,此为数据库归档文件。
2、删除数据库归档文件。
首先切换oracle用户
su – oracle
cd /opt/oracle/archivelog
执行下面命令删除7天以前的归档日志:
find . -xdev -mtime +7 -name "*.dbf" -exec rm -f {} \;
3、执行rman逻辑上删除过期日志
rman
RMAN> connect target /
>crosscheck archivelog all;
>delete expired archivelog all;
>quit
4、关闭数据库归档日志:
登录数据库:!sql
SQL> shutdown immediate
启动了实例,并加载了数据库 SQL> startup mount
归档->非归档 SQL> alter database noarchivelog;
检查是否成功 SQL> archive log list
5、启动数据库,完成。
SQL>alter database open;
此后,不再生成归档日志。
打开归档日志时,DBA定时清理归档文件,避免再次占满;
如不使用,关闭归档日志。
如图所示,S5700采用手工负载分担模式链路聚合与HP Server对接,HP Server使用双网卡并且虚拟一个MAC地址,对接后S5700 Ping不通HP Server。
服务器双网卡绑定与S5700对接组网图
服务器为了提供网络高可靠性,通常使用双网卡方式绑定,而双网卡绑定中模式不同导致对端交换机配置不同。HP Server双网卡采用802.3ad模式。802.3ad模式是执行链路聚合的标准方法,要求S5700采用LACP模式。
<div id="content_4">
<p>
查看HP Server的配置,发现HP Server双网卡采用802.3ad模式,与802.3ad模式相对接的交换机需要采用LACP模式,而S5700采用的是手工模式链路聚合。</p>
<p>
修改S5700的链路聚合模式为LACP模式:</p>
<p>
interface Eth-Trunk1<br />
<strong>mode lacp-static</strong><br />
#<br />
interface GigabitEthernet0/0/1<br />
eth-trunk 1<br />
bpdu enable<br />
#<br />
interface GigabitEthernet0/0/2<br />
eth-trunk 1<br />
bpdu enable</p>
</div>
服务器双网卡绑定与交换机对接,常用的模式如图所示。
服务器双网卡绑定与交换机对接采取的模式
|
服务器模式 |
交换机对接模式 |
说明 |
|
round robin |
手工负载分担模式 |
所有链路处于负载均衡状态,服务器的网卡是逐包方式发送数据。 这种模式的特点增加了带宽,同时支持容错能力,当有链路出问题,会把流量切换到正常的链路上。 |
|
active-backup |
对交换机模式没有要求 |
一个端口处于主状态 ,一个处于从状态,所有流量都在主链路上处理,当主链路Down后,流量切换到备链路。 |
|
802.3ad |
LACP模式 |
要求交换机完全支持802.3ad标准。 |
|
adaptive load balancing |
交换机不需要做任何配置 |
无需配置交换机,因为绑定的这两块网卡是使用不同的MAC地址。 |
一台虚拟机磁盘空间不足后,再挂载数据磁盘后,在磁盘管理器中无法查看到新挂载的磁盘,但是在Portal上显示磁盘挂载成功,在虚拟机内部查看是磁盘驱动器驱动加载失败如图1:
图1 磁盘驱动器驱动加载失败
(1) “XEN PV DISK SCSI Disk Device”设备驱动是disk.sys和partmgr.sys(如图2所示),两者都是Windows系统驱动,不是xenvbd驱动。在“C:\Windows\System32\drivers”文件夹下查看这两个驱动无异常。对比正常虚拟机和问题虚拟机的windows服务和进程,也没有发现异常。进入安全模式,发现磁盘驱动器驱动无法正常加载,因此可以排除是由于应用软件导致的windows系统异常,应该是windows系统异常导致的虚拟机disk.sys和partmgr.sys驱动加载失败。
图2 驱动程序文件详细信息
(2) 查看虚拟机系统日志,磁盘驱动器设备在加载驱动的时候显示安装驱动程序为“NULL Driver”(如图3所示),表明磁盘对应的驱动不存在,但是在“C:\Windows\System32\drivers”目录下能找到对应的驱动。因为要分析为什么加载驱动时提示没有该驱动。
图3 NULL Driver
(3) 按照Windows系统加载过程,Windows系统加载系统驱动的时会先至“C:\Windows\inf”文件夹下查找对应的驱动安装文件*.inf(磁盘驱动对应为disk.inf),而disk.inf会指定对应的二进制驱动文件所在路径,即“C:\Windows\System32\drivers”目录下的disk.sys,如图4所示。
图4 二进制驱动文件路径
(4) 查看问题虚拟机C:\Windows\inf目录下没有disk.inf,将驱动备份文件夹“C:\Windows\System32\DriverStore\FileRepository\disk.inf_x86_neutral_b431b61a11f8df6c\disk.inf”文件拷贝到“C:\Windows\inf”,然后重新在设备管理器中选中“XEN PV DISK SCSI Disk Device”,右键选择“更新驱动程序软件->自动搜索更新的驱动程序软件”,驱动立即加载成功。此时在磁盘管理中可以看到新增的磁盘,但是格式化磁盘的时卡住并报错,如图5所示。
图5 格式化磁盘报错
(5) 查看系统事件日志,逻辑卷VOLUME安装驱动也是NULL Driver(如图6所示),查看“C:\Windows\inf”目录下缺少volume.inf安装文件,在设备管理器中发现未知volume设备(如图7所示)。
图6 NULL Driver
图7 未知设备
(6) 将“C:\Windows\System32\DriverStore\FileRepository\volume.inf_x86_neutral_29364d30156a24ca\volume.inf”拷贝到“C:\Windows\inf”,按照步骤4重新更新完驱动程序文件后,就可以格式化新增的数据盘。
综上所述,虚拟机的磁盘驱动器驱动加载失败的原因是“C:\Windows\inf”目录下的disk.inf和volume.inf被删除,导致新增的磁盘无法通过安装文件加载驱动。
(1) 在问题虚拟机上将“C:\Windows\System32\DriverStore\FileRepository\disk.inf_x86_neutral_b431b61a11f8df6c\disk.inf”和“C:\Windows\System32\DriverStore\FileRepository\volume.inf_x86_neutral_29364d30156a24ca\volume.inf”拷贝到“C:\Windows\inf”目录下。
(2) 在“设备管理器”中右击“XEN PV DISK SCSI Disk Device”,在弹出的快捷菜单中选择“更新驱动程序软件”。
(3) 在弹出的“更新驱动程序软件”中选择“自动搜索更新的驱动程序软件”。
(4) 驱动程序更新完成后,可以在“磁盘管理”中进行分配盘符和格式化操作。
无
客户某软件rmagick无法使用;提示: [DEPRECATION] requiring "RMagick" is deprecated. Use "rmagick" instead
无
gem list rmagick
*** LOCAL GEMS ***
rmagick (2.16.0)
============
irb
irb(main):001:0> nil
=> nil
irb(main):002:0> puts "defined" if Object.const_defined?(:Magick)
=> nil
irb(main):003:0> require 'rmagick'
LoadError: libMagickWand-6.Q16.so.2: cannot open shared object file: No such file or directory - /data/ruby/lib/ruby/gems/2.3.0/gems/rmagick-2.16.0/lib/RMagick2.so
from /data/ruby/lib/ruby/site_ruby/2.3.0/rubygems/core_ext/kernel_require.rb:133:in `require'
from /data/ruby/lib/ruby/site_ruby/2.3.0/rubygems/core_ext/kernel_require.rb:133:in `rescue in require'
from /data/ruby/lib/ruby/site_ruby/2.3.0/rubygems/core_ext/kernel_require.rb:40:in `require'
from /data/ruby/lib/ruby/gems/2.3.0/gems/rmagick-2.16.0/lib/rmagick_internal.rb:12:in `<top (required)>'
from /data/ruby/lib/ruby/site_ruby/2.3.0/rubygems/core_ext/kernel_require.rb:55:in `require'
from /data/ruby/lib/ruby/site_ruby/2.3.0/rubygems/core_ext/kernel_require.rb:55:in `require'
from /data/ruby/lib/ruby/gems/2.3.0/gems/rmagick-2.16.0/lib/rmagick.rb:1:in `<top (required)>'
from /data/ruby/lib/ruby/site_ruby/2.3.0/rubygems/core_ext/kernel_require.rb:133:in `require'
from /data/ruby/lib/ruby/site_ruby/2.3.0/rubygems/core_ext/kernel_require.rb:133:in `rescue in require'
from /data/ruby/lib/ruby/site_ruby/2.3.0/rubygems/core_ext/kernel_require.rb:40:in `require'
from (irb):3
from /data/ruby/bin/irb:11:in `<main>'
========================提示找不到库文件===========
查找库文件
find / -name libMagickWand-6.Q16.so.2
/usr/local/lib/libMagickWand-6.Q16.so.2
=========================
ldconfig /usr/local/lib
irb
irb(main):001:0> puts "defined" if Object.const_defined?(:Magick)
=> nil
irb(main):002:0> require 'rmagick'
=> true
irb(main):003:0> puts "defined" if Object.const_defined?(:Magick)
defined
=> nil
irb(main):004:0> quit
=================问题解决。
无
USG2100console口密码忘记如何处理
无
方法一:
进入BootROM菜单清空Console口密码,然后登录Console口设置新的密码。
1. 执行命令reboot,重新启动设备。
注意: 重启设备将中断业务,注意做好准备。
在配置终端屏幕上可以看到设备启动过程的信息。
2. 出现“Press Ctrl+B to Enter Boot Menu...”打印信息时,请在5秒钟内按下“Ctrl+B”,输入BootROM密码“O&m15213”进入BootROM主系统菜单。
若连续三次输入错误密码,系统将重新启动。按下Ctrl+Z进入隐藏菜单,输入“Recover Console Password”对应的序号清空密码。
说明: 如果遇到特使情况没有“Recover Console Password”,请转到方法2进行操作。
3. 输入“Exit”对应的序号,回到BootROM主系统菜单。
4. 输入“Reboot”对应的序号,重启系统。
注意:
重新进入系统后,请马上设置Console口密码,否则登录超时或重启后仍然需要通过用户验证才能进入系统。
5. 进入系统后执行如下命令,配置用户名admin的密码为Admin@123。
<sysname> system-view
[sysname] user-interface console 0
[sysname-ui-console0] authentication-mode local user admin password cipher Admin@123
[sysname-ui-console0] return
执行命令save,保存配置,后续使用新的用户名和密码通过Console口登录系统。
方法二:
如果执行到方法一,也就是进入隐藏菜单后发现没有“Recover Console Password”,可以采用重命名当前使用的配置文件,使设备以出厂缺省配置启动的方式恢复密码。
1. 在隐藏菜单中输入“Rename File”对应的序号,重命名设备正在使用的配置文件。如下:
Please input the file name you want to rename:vrpcfg.zip
Please input the target file name:vrpcfg1.zip
Rename <vrpcfg.zip> to <vrpcfg1.zip> ...Done
说明:
可以选择“Display Flash Files ”对应的序号,查看当前系统中存在的文件以确认配置文件的名称。
2. 输入“Exit”对应的序号,回到BootROM主系统菜单。
3. 输入“Reboot”对应的序号,重启系统。因为找不到启动需要使用的配置文件,系统将以出厂缺省配置启动。
4. 以系统默认用户名和密码(admin/Admin@123)登录系统。
5. 查看设备当前配置中关于Console密码配置的部分,记录这段信息到本地记事本。
6. <sysname> display current-configuration | include admin password
local-user admin password cipher “]MQ;4\]B+4Z,YWX*NZ55OA!!”
其中“]MQ;4\]B+4Z,YWX*NZ55OA!!”是缺省密码Admin@123对应的密文形式。
7. 通过修改配置文件的方式修改Console口密码,然后再重新使用原来的配置文件启动设备:
a.使用FTP将在隐藏菜单中重命名过的配置文件下载到本地,用记事本打开,找到设置Console密码的位置(*.zip需要解压后再打开)。
b.如果设置的是密文形式(cipher),将密码修改为“]MQ;4\]B+4Z,YWX*NZ55OA!!”也就是Admin@123。然后保存配置文件。如果设置的是明文形式(simple),直接即可看到原来的密码。
c. 将配置文件重命名为进行密码恢复操作之前的文件名称“vrpcfg.zip”(*.zip是压缩后的名字)。
d. 使用FTP上传修改后的配置文件到设备。
e. 在用户视图下执行命令delete,删除设备上被重命名过的配置文件:
Delete flash:/vrpcfg1.zip?[Y/N]:y
%Deleting file flash:/vrpcfg1.zip.......Done!
f. 执行命令reboot,重新启动设备,启动后以新设置的密码登录。
此时启动配置文件已经恢复为进行密码恢复操作之前的配置文件,只是对密码进行了修改。
方法三:
如果执行到方法3,也就是进入菜单后发现没有“Rename File”菜单,请选择Reset Default Config(USG2100系列) 或者Reset Factory Configuration (其它系列)采用以出厂缺省配置启动的方式恢复密码。
说明:
1.进入bootrom主菜单,选择Reset Default Config (选择此项,设备将恢复出厂配置,原始的配置文件依然保存在设备的CF卡上。)
2.输入“Reboot”对应的序号,重启系统。
因为找不到启动需要使用的配置文件,系统将以出厂缺省配置启动。
3.以系统默认用户名和密码(admin/Admin@123)登录系统。
4.如果需要之前的配置,可以导出设备之前配置文件到本地,用记事本打开,修改密码后,再重新上传到USG上,并指定下次启动配置文件,设置完成后重启设备即可。
导出方法如下:在系统----维护-----配置管理---选择下次启动配置文件---选择
无
WIN7&WIN8&WIN10 拨号L2TP,如何设置及注意事项?
无
WIN7&WIN8配置L2TP VPN需修改Windows注册表,不使用数字证书认证功能。
单击“开始 > 运行”,输入regedit打开注册表,找到路径HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\Parameters,右击后选择新建,单击DWORD(32 位)值,填写名称为ProhibitIpSec,取值为1,修改完成后重启PC
无
windows server 2008操作正常运行过程中系统总会每隔一小时自动关机。
无
1、 通过查看操作系统的系统日志,发现wlms.exe进程会把操作系统电源关闭,截图如下:
2、经确认为操作系统license机制,未导入license情况下会将系统自动关闭。
给操作系统导入正版KEY激活系统。
客户原来使用1条电信ADSL上网,由于带宽不够,另外增加一条电信的ADSL。客户使用一条ADSL链路时, 上网、IPSecVPN都正常。但是同时使用两条线路时,IPSecVPN隧道建立不起来,用户上网相当的慢,丢包现象严重。
无
1使用一条ADSL链路,测试上网、IPSec均正常,表明每一条链路的网络基础配置正确,IPSec配置正确。
2、查看默认路由配置。
ip route-static 0.0.0.0 0.0.0.0 Dialer1
ip route-static 0.0.0.0 0.0.0.0 Dialer2
考虑到由于属于同一运营商,两条等价默认路由会造成数据来回路径不一致的问题,修改为
ip route-static 0.0.0.0 0.0.0.0 Dialer1
ip route-static 0.0.0.0 0.0.0.0 Dialer2 preference 65
连接两条ADSL链路,网络稳定情况好转。
原NAT策略:
acl number 3001
description nat_dia1
rule 0 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.0.0 0.0.0.255 //拒绝IPSec流量
rule 2 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.0.0 0.0.0.255
rule 3 permit ip source 192.168.1.0 0.0.0.255
acl number 3002
description nat_dia2
rule 0 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.0.0 0.0.0.255 //拒绝IPSec流量
rule 2 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.0.0 0.0.0.255
rule 3 permit ip source 192.168.2.0 0.0.0.255
firewall interzone trust untrust
nat outbound 3001 interface Dialer1
firewall interzone trust untrust10
nat outbound 3002 interface Dialer2
该NAT策略使192.168.1.0网段通过Dialer1做地址转换上网,使192.168.2.0网段通过Dialer2做地址转换上网。但是如果一根线断了,就会有一个网段的用户上不了网。为了实现链路冗余互为备份,修改用于NAT的ACL为:
acl number 3001
description nat_dia1
rule 0 deny ip source 192.168.0.0 0.0.3.255 destination 192.168.0.0 0.0.0.255 //对ipsec流量不做地址转换
rule 3 permit ip source 192.168.1.0 0.0.0.255
rule 4 permit ip source 192.168.2.0 0.0.0.255 //允许两个网段通过,实现链路冗余
acl number 3002
description nat_dia2
rule 0 deny ip source 192.168.0.0 0.0.3.255 destination 192.168.0.0 0.0.0.255 //对ipsec流量不做地址转换
rule 3 permit ip source 192.168.1.0 0.0.0.255
rule 4 permit ip source 192.168.2.0 0.0.0.255 //允许两个网段通过,实现链路冗余
4、查看策略路由和配置,修改策略路由,并强制IPSec流量仅走Dialer2。
原配置:
interface Vlanif1
ip address 10.10.1.1 255.255.255.0
undo ip fast-forwarding qff
ip policy route-policy 123
acl number 3003
rule 3 permit ip source 192.168.1.0 0.0.0.255
route-policy 123 permit node 5
if-match acl 3003
apply output-interface Dialer2
该策略路由强行1网段走Dilar 2,但不排除2网段也走Dilar 2的可能性。所以修改策略路由使分流更清晰明了。
修改后的策略路由
interface Vlanif1
ip address 10.10.1.1 255.255.255.0
undo ip fast-forwarding qff
ip policy route-policy 123
acl number 3003
rule 0 permit ip source 192.168.0.0 0.0.3.255 destination 192.168.0.0 0.0.0.255
rule 5 permit ip source 192.168.1.0 0.0.0.255
acl number 3004
rule 5 permit ip source 192.168.2.0 0.0.0.255
route-policy 123 permit node 5
if-match acl 3003
apply output-interface Dialer2
route-policy 123 permit node 10
if-match acl 3004
apply output-interface Dialer1
5、修改security ACL 3000,并使两端成镜像。
acl number 3000
rule 0 permit ip source 192.168.0.0 0.0.3.255 destination 192.168.0.0 0.0.0.255
6、测试两网段用户上网,正常;测试两网段用户访问VPN,正常。
<ol>
<li>
如果双链路为同一ISP,只有两条默认路由时,必须将默认路由配置为不同优先级;</li>
<li>
该方案实现了在2条链路正常时,通过策略路由实现分流;当1条链路断开后,能确保所有网段通过NAT上网。这里需要注意配置做NAT的ACL需要将所有网段都包含进去,最简单的规则是先拒绝IPSec流量,然后rule permit ip。</li>
<li>
为了确保IPSec正常,本例比较保守的只允许通过Dialer2口与中心建立隧道。如果修改中心和分支的security acl,并将IPSec策略应用于两个dialer口,还可以实现分支IPSec链路冗余。当两条链路正常时,通过策略路由,所有感兴趣流量通过 Dialer2口,由Dialer2口与中心建立隧道,当Dialer2口所有链路down时,根据默认路由会选择Dialer1口建立隧道。修改方法如 下:</li>
</ol>
<p>
interface Dialer1<br />
ipsec policy map1<br />
<br />
interface Dialer2<br />
ipsec policy map1</p>
