USG5530 UTM在线升级失败分析案例

发布时间:  2014-03-29 浏览次数:  373 下载次数:  0
问题描述
USG5530部署在内网,客户使用指定源接口的方式进行UTM在线升级(update host source LoopBack0),源接口为loopback0口,配置公网地址,但是无法正常升级。

网络拓扑如下:

告警信息
处理过程
根据对问题原因的初步分析,对可能原因逐一排查:
(1)在防火墙上查看设备license信息,发现设备已经购买了IPS,AV等UTM功能,而且升级截止时间到2023年,也远远没有到期。所以license应该不存在问题。

HRP_M[USG5500]disp license
08:50:07  2014/03/14
Device ESN is: 210235G6HRxxxxxxxxxx
The file activated is: hda1:/lic2013157-a9ca5d2c7b9d9f_usg5530.dat
The time when activated is: 2014/03/13  17:09:07
Content Filtering: Enabled
IPS        : Enabled;   service expire time: 2023/03/11
Anti Virus : Enabled;   service expire time: 2023/03/11
Anti Spam  : Enabled;   service expire time: 2023/03/11
Pre-defined URL category query : Enabled;   service expire time: 2023/03/11

(2)排除license的问题后,测试网络的连通性,在设备上带公网源地址能够ping通 8.8.8.8,说明设备能够访问internet,如下:

HRP_M[USG5500]ping -a xxx.y.94.89 8.8.8.8
08:45:15  2014/03/14
  PING 8.8.8.8: 56  data bytes, press CTRL_C to break
    Reply from 8.8.8.8: bytes=56 Sequence=1 ttl=44 time=70 ms
    Reply from 8.8.8.8: bytes=56 Sequence=2 ttl=44 time=70 ms
    Reply from 8.8.8.8: bytes=56 Sequence=3 ttl=44 time=70 ms

但是在测试ping域名sec.huawei.com的时候就ping不通了,同时查看会话时发现,dns解析没有收到回应报文,并且发现发起dns请求的设备地址是接口私网地址10.33.1.18,这个私网地址,不是公网地址,公网是无法回应的,所以ping域名不通应该是由于dns解析失败导致的,如下:

HRP_M[USG5500]ping -a 196.1.94.89 www.google.com
08:46:05  2014/03/14
Trying DNS server (213.154.64.13)
Trying DNS server (213.154.64.13)
Error:  Ping: unknown host sec.huawei.com

会话信息:
HRP_M[USG5500]disp firewall  session table verbose
08:51:05  2014/03/14
Current Total Sessions : 4
  dns  VPN:public --> public
  Zone: local--> untrust  TTL: 00:00:30  Left: 00:00:22
  Output-interface: GigabitEthernet0/0/7  NextHop: 10.33.1.20  MAC: 00-00-5e-00-01-6e
  <--packets:0 bytes:0   -->packets:1 bytes:76
  10.33.1.18:49912-->213.154.64.13:53         //源地址是物理接口地址,私网地址

而在设备进行UTM升级(如AV升级)时,也是需要先对sec.huawei.com进行域名解析的,测试AV升级时,发现设备也是使用物理接口私网地址发起dns请求的,因此问题应该跟ping测试域名一样,是dns解析失败导致UTM无法升级。如下:

HRP_M[USG5500]update online av
08:47:33  2014/03/14
Info: The operation may last for several minutes. Please wait.
HRP_M[USG5500]display firewall session table
08:47:41  2014/03/14
Current Total Sessions : 4
  telnet  VPN:public --> public 41.219.31.6:45392-->41.214.21.225:23
  dns  VPN:public --> public 10.33.1.18:49651-->213.154.64.13:53
  http  VPN:public --> public 196.1.94.89:51788-->58.251.153.51:80
根因
根据升级失败的问题现象,分析可能有如下原因:
(1) 设备的license没有包含UTM相关功能,或者已过期;
(2) 设备无法访问internet;
(3) 下载服务器故障,无法连接;
建议与总结
由于USG5530设备在内网,设备发起dns解析时使用的是私网地址作为源地址,导致dns解析失败,由于UTM升级需要使用dns解析,最终导致UTM升级失败。

解决方案:
可以在防火墙的local到untrust(外网所致的域)的outbound方向上配置源NAT,对dns协议做NAT 转换,转换成公网地址,这样dns解析就能成功了。UTM也就能够正常升级了。相关配置如下:

nat address-group 1 xx.y.21.225 xx.y.21.225   //使用loopback的接口地址做nat地址池
nat-policy interzone local untrust outbound                                    
policy 0                                                                      
  action source-nat                                                            
  policy service service-set dns                   //只对dns报文做nat转换                          
  address-group 1                          

END