FusionManager的VPC中申请虚拟防火墙失败问题

发布时间:  2015-06-27 浏览次数:  147 下载次数:  0
问题描述
FusionManager界面上接入物理防火墙后,VPC中申请虚拟防火墙失败,任务列表中显示此任务的状态是“部分成功”,点击“部分成功”后提示子任务失败原因是:设置防火墙属性失败。

告警信息

处理过程

FusionManager界面接入物理防火墙时,需要手动在防火墙上创建好供FusionManager系统使用的虚拟防火墙,并给每个虚拟防火墙做好必须的基础配置;当物理防火墙接入FusionManager系统时,才能自动发现这些虚拟防火墙,并在后续业务中使用;FusionManager系统在VPC中申请虚拟防火墙业务使用已发现的虚拟防火墙时是随机的,如果某个虚拟防火墙的基础配置不完全,就会导致申请虚拟防火墙失败。

登录物理防火墙查看配置信息:

<USG9300> display current-configuration

需要查看信息请参见《FusionManager FusionManager GTS产品文档(GPI)-(V100R003C10_04)》中创建虚拟机防火墙步骤。

http://support.huawei.com/ehedex/hdx.do?lib=DOC1000036119YZC12284&docid=DOC1000036119&v=04&tocLib=DOC1000036119YZC12284&tocV=04&id=it_60_56_c10030_2&tocURL=resources%252f06%255fgm%252foperation%252fit%255f60%255f56%255fc10030cp%252ehtml&p=t&fe=1&ui=3&keyword=%252525E9%25252598%252525B2%252525E7%25252581%252525AB&keyword=%252525E7%25252581%252525AB%252525E5%252525A2%25252599&keyword=%252525E8%25252599%2525259A%252525E6%2525258B%2525259F

通过以上步骤排查发现虚拟防火墙的untrustlocal区域入方向的包过滤规则未全部开放,只是在入方向引用了一条acl,该acl只允许一个网段通过。

 

acl 3001

rule permit ip source 192.168.1.0 255.255.255.0

firewall interzone local untrust

packet-filter 3001 inbound

根因

192.168.1.0网段不包含FusionManager的地址,导致FM使用绑定分配帐号登录主备防火墙的时候,登录失败,FM下发配置失败。

解决方案

修改acl 3001,允许FusionManager地址访问防火墙,并在域间规则中重新引用acl 3001

acl 3001

rule 0 permit ip source 192.168.1.0 255.255.255.0

rule 5 permit ip source 192.168.2.3 255.255.255.0

firewall interzone local untrust

packet-filter 3001 inbound

建议与总结
1. 将物理防火墙接入FusionManager前,需要手动在物理防火墙上创建虚拟防火墙并进行基础配置。
2.
建议只创建当前已规划需要使用的虚拟防火墙,并完成所有必须的基础配置。

END