由于上网环境问题导致USG2100(UTM)在线升级失败

发布时间:  2012-07-17 浏览次数:  92 下载次数:  0
问题描述
产品的升级相关配置已经配置完毕,但是在升级的时候提示如下:
2010-11-01 10:51:09 USG2100 %%01UPDATE/4/UPDATE(l): module=IPS version=0.0 status=manual-update result=failed details='Exception error'
Debugging主要信息如下:
*0.1390340 USG2100 UPDATE/7/DBG:[event] 9090 HTTP server responsed: incr-featurelist( num=0 max-ver=0.0 ) major-feature( ver= ) ftp-info( url=sec-downloadserver1.huaweisymantec.com port=21 ) others( msg-code=100 active-code=0WcQwYe61KEXRCYILOHhb7i5EGrLgsI/pZCRczEzeVETPlEAkVMc34YAvZdpNs0lmXa0TDsoJVcvXZCGG24k4IhCNGvIue2aYsENZE1q8SEMn6FugTNjzBBGbfGO4DqoLTI4DgYRk5pqr4yd/nKm5RGWjepCvoe4V32rzj6TUTm6m+p15VE8Hv0EHO4KHGH3 ).

*0.1398520 USG2100 UPDATE/7/DBG:[data] 2768 HTTP server responsed: incr-featurelist( num=0 max-ver=0.0 ) major-feature( ver= ) ftp-info( url=sec-downloadserver1.huaweisymantec.com port=21 ) others( msg-code=100 active-code=0WcQwYe61KEXRCYILOHhb7i5EGrLgsI/pZCRczEzeVETPlEAkVMc34YAvZdpNs0lmXa0TDsoJVcvXZCGG24k4IhCNGvIue2aYsENZE1q8SEMn6FugTNjzBBGbfGO4DqoLTI4DgYRk5pqr4yd/nKm5RGWjepCvoe4V32rzj6TUTm6m+p15VE8Hv0EHO4KHGH3 ).
告警信息
处理过程
1 开始以为是升级网站后台的问题,但是和升级网站维护人员沟通他认为从网站回复的消息码(msg-code=100)来看,UTM是成功联系到升级服务器的。升级网站的配置没有问题。
2 后来经过和研发的讨论,结合debugging信息的反馈,认为UTM设备已经通过FTP协议连到了升级服务器,并且服务器也通知了UTM需要下载的特征库文件,但是之后UTM下载特征库文件失败。
3 通过这个现象马上联想到UTM升级的时候是使用的FTP被动模式,数据端口是由服务器返回的一个随即端口,很可能是由于网络出口处的防火墙没有打开ASPF功能导致下载失败。
根因
1 开始以为是升级网站后台的问题,但是和升级网站维护人员沟通他认为从网站回复的消息码(msg-code=100)来看,UTM是成功联系到升级服务器的。升级网站的配置没有问题。
2 后来经过和研发的讨论,结合debugging信息的反馈,认为UTM设备已经通过FTP协议连到了升级服务器,并且服务器也通知了UTM需要下载的特征库文件,但是之后UTM下载特征库文件失败。
3 通过这个现象马上联想到UTM升级的时候是使用的FTP被动模式,数据端口是由服务器返回的一个随即端口,很可能是由于网络出口处的防火墙没有打开ASPF功能导致下载失败。
建议与总结
在进行UTM升级的时候,务必检查其上网环境,如果是通过nat上网,则保证ASPF功能的开启。

END