USG系列防火墙故障案例集讲解

USG攻击防范导致地址映射不成功 MTU导致无法访问外网网站 UTM模式下，更换部署网络，签名库/病毒库无法更新USG地址映射不成功外网访问发布的端口却发现，只有8000端口能够访问进来，其他做了映射的端口均不能访功商阻止映射端口的通信3、查看会话，发现除了8000端口外，访问任何映射的端口均无任何会话信息。4、打开抓包功能，检查访问时数据包是否到了防火墙，当外网发起访问时能看到有数据包01234证明访问的报文已经到了防火墙，说明是防火墙将报文丢弃。将该攻击防范关闭，外网访问映射端口正常如果默认开启了firewalldefendsyn-floodenable功能，不能再开启tcp代理攻击，否则可能导致访问映射端口失败接口MTU不匹配导致OSPF邻居卡在ExStart状态邻居状态不正常，卡在ExStart状态。4000010001Total00001000Down→Attempt→Init→Two-way→Exstart→Exchange→Loading→FullTwowayFull这两个状态，邻居停留在任何状态，都是不正常。1、检查两台安全网关的OSPF配置，物理接口和Tunnel接口配置，没有问题，测试物理的Tunnel口参数4000000011Total0000000Twoway和full，否则不正常，邻居不正常的可能原因如下：8、是否在同一网段(PPP链路除外)；MTU参数问题导致无法访问外网网站现象描述：客户使用我司产品USG2120，通过ADSL接口与BSNL(印度宽带运营商)的C由于两端(USG212O与BSNL设备)的MTU参数不一致，导致双方link协商不能完成正#########此外，用其它设备替换进行验证测试，也是个很好的选择，有利于问题的快速甄别。VRCSPC题二、升级后的版本为V100R003C01SPC700三、升级过程为了客户操作方便这里我们使用WEB界面升级步骤2选择“系统管理>启动信息”，在“上传系统软件”中选择“上传并替换当前的系统启动文件”。步骤3单击“浏览”按钮，选择要上传的系统软件。步骤4单击“上传”按钮上传系统软件。在升级过程中，设备不能断电。升级过程中，请不要切换、刷新页面或关闭IE浏览器，以便及时得到升级结果。步骤5步骤6----结束当出现“执行成功”提示框后，升级过程结束。升级完成后即可执行命令行操作natserverprotocoltcpglobalinterfacedialer08850inside88850解决L解决L2TP连接后总部主动和分支通信的问题隧道，分支通过拨号和总部建立L2TP隧道后，总部LNS端可以主动和各个分支路由器进个分支之间的通信问题,即可以在路由上，或是路由器下PC可以和LNS总部之间建立连接//开启L2TP功能符为@协议//设置域分割//本地域用户//配置用户配置域名称////为域用户分配//为域用户分配的地址池，一个分支定义一个域，一个地址池，这样每个分支分配的IP肯再配置一条路由LAC:分支配置//开启L2TP功能割符为@//设置域分//定义了一个“huawei”域中的用户，终端PC或服务器进行拨号时会进行帐号的认证，通过再配置一条默认路由上网即可。建议/总结ADSL接口不能配置PVC命令问题现象描述：用户通过ADSL接口卡和专线对接，地址获取方式为上游提供固定IP，无需用interfaceAtm2/0/0pvc8/35mapbridgeVirtual-Ethernet1但是输入命令，却不成功，如下：[USG2130BSR-Atm2/0/0]pvc?<0-255>/<32-65535>EntervalueofVPI/VCI[USG2130BSR-Atm2/0/0]pvc8/35Error:Setfailed但是输入该命令后，在输入命令mapbridgeVirtual-Ethernet1时，提示不支持该操作。[USG2130BSR-atm-pvc-Atm2/0/0-8/35]mapbridgeVirtual-Ethernet1Info:Thiscarddoesnotsupportthisoperation.口，即不需要配置mapbridgeVirtual-Ethernet1，而是直接在接口下配置上游设备提V.35SA卡双串口绑定与LOOPCONVERTER无法连通情况下，是由于两端的时钟频率配置不一致所致。处理过程：在两个串口的物理视图下，分别执行“invertreceive-clock”命令，将接口置为接收时钟信号，问题解决UTM模式下，更换部署网络，签名库/病毒库无法更新UTM签名库/特征库是通过主动FTP方式连接到安全服务器进行下载，UTM设备若是通过pN4、UTM设备使用端口N发送端口N+1到服务器；6、由于UTM设备在我司安全设备之后，并且只做了端口监听的动作，我司安全设备中未导致可以正常上网却无法更新签名库/病毒库的情况#建议/总结：打开NATALG功能后，签名库/病毒库升级成功了QoS策略并应用于E0/0/2，出现访问速率时缓时快，并且内部访问慢，并不能满足客户的要求#建议/总结：注意根据环境，灵活应用端口，正确配置ACL是关键的一环页##****BEGIN***sslvpn**1****#logo&logo&.giftitle&title&.txt#****END****#v-gatewaysslvpnx.x.x.xpublic修改为v-gatewaysslvpnx.