在USG6390上两个接口同属于trust域,却无法相互访问,在USG5100上无此问题.
1)配置问题
2)接口故障
USG6000支持域内包过滤,由于防火墙缺省包过滤规则是deny的,即使是相同的域之间其默认规则也是deny的,因此,相同域之间访问也需要配置permit规则。
可如下配置:
security-pilicy
policy 1
action permit
source-zone trust
destination-zone trust //将源域 和目的域都指定为trust,这样 不同接口同属于trust域时即可相互访问了
无
总部USG2000E与分支AR1220之间建立IPSec VPN。客户反馈经过IPSec隧道的SAP和Lotus Notes业务缓慢,其他未经过隧道的业务正常。
IPSec隧道对IP报文进行再次封装导致IP报文长度变长,如果(MSS+TCP报文头+IP报文头)> 链路MTU,报文将被分片发送,接收端需重组后再解析,分片和重组都需要消耗CPU资源。同时分片报文的加密、解密过程也需要消耗更多的CPU资源。当分片报文比例过大时,CPU资源告急可能会导致访问速度下降、报文丢包。
通过抓包分析大量业务报文被分片发送,符合上述原因分析。在USG2000E和AR1220上修改TCP MSS值后,使(MSS+TCP报文头+IP报文头)< 链路MTU,经过IPSec隧道的SAP和Lotus Notes业务恢复正常。
TCP MSS在USG2000E上全局配置:
firewall tcp-mss 1200
AR1220的TCP MSS 需在内网口和外网口同时配置:
tcp adjust-mss 1200
tcp adjust-mss 1200
无
查看USG5500的logbuffer时,发现日志的显示条目不对.允许最大日志条目“Allowed max buffer size”为1024条,但实际上当前日志“current message”只有515条,后续的日志就已经把前面的日志覆盖了,可以看到覆盖日志“Overwritten message”的条目一直在增加。
1) 防火墙实现有bug。
2) 有多种日志类型,每种都有最大日志条目限制,只是logbuffer中限制总的限制条目。
(1) 从命令“display logbuffer”后面带的参数来看,确实是有好几种日志类型的.
sec-log、av-log、ips-log类型的日志属于攻击防范日志,存储于攻击防范日志缓存区,其他类型的日志存储于系统日志缓存区。
(2) 挨个查看安全日志,发现共计防范日志的最大允许条目是512条日志,并且sec-log下面有3条攻击防范日志。
(3) 查看普通日志(存储于系统日志缓存区),发现果然已经达到了最大的512条,后续产品的普通日志持续覆盖之前的普 通日志。
无
现网组网:内网---------SW---------USG2250---------ISP
USG2250作为公网出口上行连接运营商,下行通过交换机连接内网。
故障时,在USG2250上ping直连下一跳延时达到300多毫秒,丢包率也很高。断开内网的一个服务器后ping正常。要求分析下USG2250 ping公网直连下一跳延时和丢包的
自身ping延时和丢包的可能原因:
1、 管理面CPU高,上送VRP丢包;
2、 流量太大,超过转发性能;
3、 接口协商有问题;
4、 带宽限制,运营商丢包。
1、在内网连接服务器的时候,登录设备检查接口和流量情况,G0/0/0连接公网,自动协商为1000Mb/s接口,G0/0/1连接内网,自动协商成100Mb/s接口。
2、检查USG2250的CPU使用率,管理面和转发面的CPU都不高,不会因为CPU利用率高导致丢包。
3、防火墙上配置流统看ping的结果,防火墙本身没有丢包,对端回应的报文就已经少了。从前面的信息以及流统分析,防火墙没有达到性能瓶颈,自身也没有丢包,应该跟防火墙不相关。
4、但是公网出口带宽有50M,实际经过防火墙只有11M,断开内网服务器ping又正常.
5、协调客户断开内网服务器进行对比测试,对于防火墙来说,唯一的差别就是流量大小由原来的11M降低到0.1M,ping就正常了
6、在防火墙上配置car对出口流量限流测试,限流5M,ping就立刻正常,删除限流策略,ping延时又增加。逐步调整car的配置,调整到限流7M时,ping也正常,再扩大就延时正常。
7、从测试结果很明显能够确认,USG2250实际的公网出口带宽大于7M的流量就开始在运营商侧丢包。所以问题的根本原因就是运营商带宽不足导致。
无
某项目采购UMA作为运维管理设备,但是UMA客户端无法自动跳转到管理设备上,如何解决该问题?
跳转设备的登陆方式问题或者UMA客户端使用的SecureCRT版本问题
1、首先确认管理设备到UMA的网络可达;
2、不通过UMA跳转登陆设备,直接通过telnet或者SSH方式登陆设备,确认是否可以登陆;如果无法登陆,请检查设备的登陆方 式等配置问题,要先确保不通过UMA是否可以登陆设备;
若登陆设备提示:ssh server服务关闭,则可能是没有创建rsa;或者没有开启stelnet server enable
user-interface vty 0 4下是否配置了protocol inbound all之类的命令
3、SecureCRT的版本必须为6.5及以下版本!
无
在进行tsm服务器系统安装中,引导盘安装完毕后,放入系统盘后出现报错“无法将Windows安装到磁盘0的分区”,无法进行下一步。此设备自带服务器系统光盘为Server 2008 R2。
点击报错的详细信息后会出现”请检查计算机的BIOS菜单中磁盘控制器是否启动“。可能是在BIOS中的磁盘控制器没有开启。
开启服务器后,点击delete键,进入BIOS界面。再进入Advanced界面,选中第二个选项”IDE Configuration“点击进入,将"Onboard SAS Controller "这一项后面的”Enabled“改为”disabled“即可。
无
使用四台CE6800环形堆叠做汇聚,分别与四台接入层交换机C4507R、C4506、C3560G、C2950配置eth-trunk对接,使用LACP模式对接,CE6800配置为lacp-static ,C厂家设备使用active模式。
但对接时发现C4507、C3560G的LACP状态异常,一条状态是unseleted,一条seleted。
1、硬件(网线、光口)原因;
2、LACP对接模式不匹配的原因。
1、现场通过插拔网线、更换光口等方法发现C4507光口损坏。 更换光口后解决;
2、CE6800与C3560对接还是无法使用LACP模式,双方改成手动模式后正常,两条链路均为up。
无
AVE2600开启文件病毒扫描功能,造成用户访问一个网站的视频播放不了问题。
1.播放器需要下载插件,被识别为病毒。
2.其他原因。
1.远程观察,发现播放视频不需要下载插件,开启功能,不能播放,关闭就能播放。
2.开启AV时,客户端请求播放器的相关内容时(GET),由于AV需要扫描回应的报文,扫描是需要时间的,客户端可能设置 了超时时间,在250毫秒内没有收到GET的响应报文就发送FIN关闭socket,最终导致视频播放失败。
3.将播放器的IP地址在防火墙转发策略中直接放行,不进行AV扫描,测试播放没有问题。
无
www.hao123.com这个网站加入白名单,开启url过滤后,该网站中的某些内容不能访问,去掉url过滤策略后,可以正常访问。
由于现在很多网站的内容是直接调用的其他网站的内容,网站本身不自己去调用,只是发给客户一个url,让客户自己去进行访问,怀疑网站推送的url被阻止。
客户进行抓包,获取了网站推送的URL,将该url加入到白名单后,问题解决。
无
某二层WLAN组网使用AR151(V200R003C00)路由器作为AC管理四台AP,配置其基本业务时出现问题,执行配置AC功能的命令时系统总是报错。
缺省情况下,AR151(V200R003C00)的WLAN模式为FAT AP模式,需要手工配置设备的WLAN模式为AC模式。
进入AR151系统视图,执行命令set workmode wlan ac,配置其WLAN模式为AC模式,然后重启设备,使配置生效。
无