USG5120HSR(V3R1)网管软件添加失败的故障

发布时间:  2013-06-08 浏览次数:  426 下载次数:  0
问题描述
1、组网:USG5120HSR---S5700交换机---esight服务器。
2、在esight上添加USG5120HSR失败。
告警信息
1、esight添加失败的告警信息如下图所示:

2、USG上无任何告警提示。
处理过程
1、排查esight和USG的通讯问题。
      从esight服务器ping USG正常,反过来从USG ping esight也正常。
2、检查snmp参数设置,esight和USG的参数设置一致,正确。
3、从上述测试来看,路由器及网络连通性正常,接着排查是否snmp协议报文被策略阻止。
     1)检查防火墙域间规则为允许,且没用设置策略阻止snmp协议报文。
     2)检查交换机配置,交换机工作在二层,未设置任何包过滤策略。
4、从第3步的排查看,配置正常,接下来排查是否报文在传输过程中被丢弃。
     1)为了找到证据,远程登陆USG,让用户在esight上添加USG,通过display firewall session table destination-port 161,未发现snmp的会话。
     2)在USG上开启debug snmp event和debug snmp packet,无任何信息显示。
     3)由于USG接入internet,为了进一步证实是交换机丢弃了snmp报文还是USG丢弃了snmp报文,在外网通过snmp工具发包,在USG通过debug ip packet acl 3000来查看报文是否到达USG,acl 3000的rule规则为rule 5 permit udp source 58.60.106.32 0 destination-port eq snmp。debug无任何信息显示。
5、从第4步的排查看,似乎报文被交换机丢弃了,未到达防火墙,但交换机工作在二层,没用做任何的包过滤,snmp为普通的udp报文,被交换机丢弃的可能性小,问题应该还是出在USG上。在USG上开启丢包统计firewall statistic  acl 3000 enable,继续从外网往USG发包,统计结果显示防火墙有丢包。信息如下:
Protocol(UDP) SourceIp(58.60.106.32) DestinationIp(123.135.121.10)
SourcePort(12833) DestinationPort(161) VpnIndex(public)
           Receive           Forward           Discard
Obverse : 1          pkt(s) 0          pkt(s) 1          pkt(s)
Reverse : 0          pkt(s) 0          pkt(s) 0          pkt(s)

Discard detail information:
  DP_Input_Eth                  :exit 3:     1
  DP_L3Fwd_ProcessIpv4          :exit 2:     1
  DP_L3Fwd_DataProcess          :exit 7:     1
  DP_L3Fwd_PostFindFib          :exit 1:     1
  DP_L3Fwd_FirstPktProc         :exit 6:     1
  DP_L3_IF_Service_Manager_Packetfilter:exit 5:     1
  DP_L3_Packetfilter            :exit 0:     1
6、通过display acl 3000显示rule规则被命中,且命中次数随着发包数量在增长,进一步证实snmp报文被防火墙丢弃。
[USG5100-diagnose]dis acl 3000
rule 5 permit udp source 58.60.106.32 0 destination-port eq snmp (15 times matched)
7、分析第5步中的丢包统计结果,丢包点为Service_Manager_Packetfilter,检查用户配置,发现用户在所有接口上启用了service-manage enable但是没用允许snmp协议,在接口上开启snmp协议service-manage snmp permit后问题解决。
根因
从eisght提示看,有可能是esight和USG的通讯问题,主要原因有:1、网络连通性问题。2、snmp参数不正确。3、snmp报文被阻止或者被丢弃。
建议与总结
1、问题最终原因为用户误配置了一个V3R1版本的新功能“访问管理”,其优先级高于其他方式包过滤,虽然已经开启了域间规则,但访问管理未允许snmp协议,按照以前的故障排除经验只检查域间策略,不能发现问题。
2、被防火墙拒绝的报文,通过debug协议报文的方式并不能显示也不能创建会话表,根据一般故障排除经验,可能认为是报文未到达防火墙,但如果网络连通性不存在问题且访问控制策略配置正确的情况下,还是要通过丢包统计查看下是否防火墙丢包。

END