USG5300无法进行远程登录

发布时间:  2012-07-17 浏览次数:  83 下载次数:  0
问题描述
  某局点反馈,现网运行的两台USG5300其中主设备无法进行远程登录。但是打开默认包过滤后就可以远程登录,不打开默认包过滤,用ACL进行包过滤就无法远程登录。
告警信息
处理过程

根据上面所写的原因进行故障排查,首先检查ACL,发现ACL配置为

ACL 3000

rule permit ip source 192.168.2.3 destination 172.16.1.2

172.16.1.2为防火墙本机loopback地址,ACL运用在untrust 与local之间没有问题。所以排除了ACL 的问题。

用tracert的方式在192.168.2.3的主机上跟踪到172.16.1.2的路由路径。发现ping包到达USG5000untrust接口直接通过到了备防火墙,然后再由trust到达loopback地址。得知客户采用ospf进行选路,ospf自动计算的最优路径首先穿过了防火墙,让客户对trust到local进行了ACL控制后。关闭默认包过滤,远程登录正常。

根因

可能原因有以下几点:

A、ACL配置错误

B、路由问题,导致路径不是从untrust到local

此例为问题2,路由问题导致路径不是从配置了ACL的域间通过。

建议与总结

END