由于配置了防攻击的命令导致从MA5200上无法ping通上行任何地方且radius认证无法通过

发布时间:  2012-07-26 浏览次数:  86 下载次数:  0
问题描述
版本:MA5200 MA2.10-9xxx
现象:从MA5200上不能ping通外面的任何地址,从外面也不能ping通MA5200。将计算机直接接在上行口上也不能ping通MA5200和计算机。
告警信息
处理过程
system access-restriction enable这条命令的正确使用方法是同时配置可信任ip,将NMS、radius和portal等的地址放到可信任ip里面。这样从只有从可信任ip到达MA5200主机的报文才会被接受,其它的报文都会被丢弃,起到了防止攻击的作用。
例如,假设radius服务器的地址是1.1.1.1,在配置了system access-restriction enable之后还需要配置这样一条命令来让radius服务器过来的报文可以到达MA5200的主机:authorized ip 1.1.1.1 255.255.255.255。
根因
问题的原因是由于在MA5200上配置了一条防攻击的命令:system access-restriction enable。
这条命令的作用是将所有到达MA5200主机的报文被全部丢弃,主要是用来防止对于MA5200主机发起的恶意攻击。
因为portal和radius报文是要送到主机处理的,所以配置了这条命令之后这些报文都会被丢弃,导致认证无法通过,从外网也ping不通MA5200。
这条命令的正确使用方法是:同时配置可信任ip,将NMS、radius和portal等的地址放到可信任ip里面。这样从只有从可信任ip到达MA5200主机的报文才会被接受,其它的报文都会被丢弃,起到了防止攻击的作用。
建议与总结

END