用户在安装并注册dsm成功后,进入邮件界面后没有“商密邮件”链接,新建邮件后无商密等级选项,无法发送加密邮件。
1.软件中心后台推送的时候模板未刷新成功。
2.客户安装过程中无意中杀掉了部分安装进程。
3.客户端与服务器网络连接出现问题。
1.首先可尝试ping dsm服务器地址,若未ping通则是客户端与dsm服务器网络连接问题,需等待网络连接正常后再尝试重新安装并注册dsm客户端。
2.若能ping通则表明与dsm网络连接正常。可先尝试手工刷新模板,刷新完毕后关闭nots再重新进入。
3.若问题还未解决,则可尝试卸载重装dsm客户端。卸载密码目前为“dsm123456”,若有变动可询问该项目软件中心dsm 负责人,其具体联系方式在客户安装邮件中有写明,联系邮件中指定的联系人即可。
无
USG2200做web过滤后能访问特定网站,能访问QQ邮箱,能上QQ,但QQ不能传文件。取消WEB过滤QQ可以传文件。
qq在传文件时有特定的URL没有放行
针对协议进行放行仍然没能解决,最好直接优先做了如下策略,可以了。
policy interzone trust untrust outbound
policy 4
action permit
policy service service-set qq
policy source address-set qq
无
一个USG6650,对外映射了很多服务,在公网能正常访问,在内网不能通过公网地址访问,做了域内nat还是不行。
1.域内nat不生效。
2.设备丢包等其他问题。
1.访问的时候查看会话看是否nat转换,没有会话。
2.怀疑是防火墙丢包,进入诊断模式做流量统计,发现有丢包。
3.仔细检查配置,放开trust到 trust区域包过滤后能成功访问。
无
客户网络由总部和分部,总部和分部之间建立ipsec vpn,总部内部配置nat outbound和nat server,配置完成后,发现内部PC间互访没有问题,分部PC也可以访问总部的server,但是总部server无法访问分部资源了。
针对这种组网环境和需求,关键在于nat outbound和nat server的配置,因为如果配置nat outbound没有排除,进行了源nat,nat-server反向server-map表导致无法命中acl封装ipsec数据等。
1、查看客户防火墙配置,从配置看客户已经将互访排除,不进行nat转换,排除nat outbound导致的故障。
2、那继续测试,查看客户nat server配置,是一般配置,正常情况下,应该没有问题,所以分部也可以正常访问总部,但是由于在进行nat server转换时,也会生成反向server-map表,导致内部server私网地址转换为公网地址无法命中acl,导致总部的server无法访问分部资源。对nat server进行优化,配置时加入no-reverse参数,不生成反向server-map表,故障接触。
无
客户目前有三台机器为中转机,有个存储照片的SD卡,该卡在其他两台中转机终端都可以正常读取,有一台无法正常读取。不正常的那台机器可以看到盘符,可以正常显示盘符大小和剩余空间,可以打开,但无法显示内容,里面是空白的。
从日志分析来看:
1, 插入这个读卡器,有四个盘符(F,G,H,I)
2, 但是只有一个插卡(其他大小为0)
3, 这种硬件实现的缺陷(不应该报0M的盘),会触发tsm的一个缺陷,导致读盘出现问题。
1、将设备重启查看是否解决,未解决
2、将SD卡插入其他中转机查看是否可以读取,可以正常读取
3、尝试看能否写入文件并显示,可以正常写入文件并显示
4、卸载代理终端,重新安装查看能否读取:不能读取
5、换一个SD读卡器看能否显示:无法显示。
6、取消系统隐藏文件,看能否显示:无法显示
7、采集日志并进行分析,发现这个读卡器为多盘符,但是只有一个插卡(其他大小为0),硬件实现的缺陷,会出发tsm当前版本的一个缺陷,导致盘符无法读取。
无
USG5530SV300R001C00SPCa00最大并发连接数到达90多万时发送已达最大会话数告警,但查看规格表得知此设备最大会话数是400万。
无
无
和研发确认得知:开启UTM后会话数降为100万
USG9560部署在校园网出口,学校内部DNS服务器和外界DNS同步业务中断,在外部PC使用telnet命令测试内网DNS服务器53端口的时候发现53端口不通。
USG9560开启DNS flood防攻击功能以后,如果USG收到的外部DNS服务器发送的 UDP端口为53的包超过设定的值后,DNS会伪造一个TCP报文发给外部DNS服务器,该报文ACK的值非常大,如果外部服务器回应该TCP包,USG则将该外部服务器的IP加入白名单,允许其UDP报文通过,但是USG伪造的TCP报文,可能会被对端防火墙丢弃,导致业务不通.
在USG9560上行口抓包,发现防火墙已经将构造的TCP报文发出,但是对方并没有回应,报文被中间链路丢弃.
无
一台SM+SC+数据库,两台SC+数据库分布式部署。
TSM的监控器Monitor监控到两台SC有告警,提示与TSM服务器心跳连接异常,FTP服务器提示与镜像FTP连接异常。通过ping测试,发现SM与各SC网络连接正常,与各数据库连接正常,与各FTP连接也正常。
从日志分析,SC都是由于连接数超过最大连接数,无法打开数据库连接,无法查询各SC和SACG的状态导致告警。
1、采集两台SC,通过日志分析,两台SC都有由于达到连接最大数导致SC状态异常,SC不停的连接SM的远程接口.
2、进一步采集SM日志,同样发现大量的连接数据库失败的问题.
3、查看数据库日志(包括错误日志和事务日志),发现日志很大。因此SC在连接数据库是有大量的连接失败,导致各种告警.
4、进行数据清理和数据转储,将数据库空间释放出来,解决问题。
无
双出口组网,当流量较大时 部分用户网速变慢。
1)带宽不足链路拥塞
2)配置问题
3)组网问题
查看接口流量,出口1下行流量10M左右,上行流量6M左右,出口2下行流量12M左右 上行流量接近7M,
查看网速慢的会话,发现 反馈网速变慢的全部集中在出口1 上,
进一步了解,该两个出口带宽不同,出口1的链路是10M带宽,出口2 的带宽是 20M带宽,
查看配置,配置了两条等价路由,负载分担。
可如下配置:
interface GigabitEthernet0/0/1 //10M带宽的接口()
ip address 192.168.2.1 255.255.255.0
route weight 1 //权重为1
#
int GigabitEthernet0/0/2 //20M带宽的接口
ip address 192.168.1.1 255.255.255.0
route weight 2 //权重为 2
#
load-balance flow hash source-ip //使用基于源IP的逐流hash方式
经上述配置调整后 出口1的下行流量接近8M, 出口2的下行流量16M。
经上述配置后,在总流量不超过30M时 不再出现部分网速变慢的情况。
无
新拿到的USG6390设备,连接网线到管理口,使用缺省的登录地址,无法telnet管理。
1)网络连接问题
2)配置问题
USG6000系列是下一代防火墙,出于安全考虑,从该版本开始已经关闭了telnet服务,改为SSH服务。
可以使用SSH来管理设备,或者通过Console接口登录配置添加telnet服务。
无