状态防火墙导致MA5200G web业务异常的故障处理

发布时间:  2012-07-26 浏览次数:  83 下载次数:  0
问题描述
某局点MA5200G和portal服务器对接,强制web业务;数据配置完成之后,测试发现用户输入用户名和密码,有时能够认证成功,有时不能认证成功,不成功时客户端提示网络异常。


告警信息



处理过程
1、现场测试,故障出现时,在MA5200G上debug web packet查看调试信息,发现portal服务器给MA5200G发送chanllege请求,MA5200G回应了portal服务器的请求,之后就没有交互的信息了;同时在portal服务器上查看和MA5200G交互的portal报文,服务器收到MA5200G对chanllege请求的回应报文;
2、多次拨测,发现有时又是正常的,用户能够正常上线;
3、至此,问题已经定位,MA5200G发送给portal服务器chanllege请求的回应报文在某种条件下服务器没有收到(有时候用户认证正常,说明报文的格式时正确的);
4、仔细检查MA5200G的数据配置,发现MA5200G上配置了两条静态的等值路由,MA5200G发送给portal服务器chanllege请求的回应报文可能从任意一个上行接口发出去,这样报文的源地址可能是不一样的,在MA5200G上debug udp packet,发现:回应报文以上行口A(portal服务器注册的MA5200G地址)为源地址发送,业务正常;回应报文以上行口B为源地址发送,portal服务器收不到MA5200G回应的报文;
5、修改MA5200G的配置,指定web-auth-server source interface A,测试,正常;
5、查看MA5200G和portal服务器之间的网络拓扑结构,发现有一台防火墙设备,经过了解,该防火墙是状态防火墙,portal服务器发送给MA5200G的报文目的地址是A,只有MA5200G以A为源地址回应报文,防火墙才允许报文正常通过,如果MA5200G以B为源地址回应portal服务器的报文,防火墙将会丢弃此报文;
6、修改防火墙的设置,将MA5200G以上行口B为源地址发送给portal服务器的回应报文也视为合法的报文,测试,问题解决。

根因
MA5200G web认证业务,涉及到和web服务器、radius服务器对接,任何一个环节出了问题,都会导致异常。鉴于该局点的故障现象,很难很快准确定位问题,可以通过故障出现时查看调试信息来定位问题。


建议与总结
问题虽然解决了,通过上面的处理过程可以发现,在MA5200G上指定web-auth-server的源地址,虽然可以解决问题,但配置等值路由的初衷是为了保证上行链路的冗余备份,这样一来,上行口A down掉了,业务还是会受到影响。有没有更好的解决的办法呢?
loopback接口可以解决此问题。
在MA5200G上配置loopback接口,并指定web-auth-server source interface loopback;portal服务器上也注册MA5200G的loopback接口而不注册上行口。这样,既保证MA5200G发送给portal服务器的源地址是固定不变的,又保证了链路的冗余备份。


END