FusionManager 连接防火墙SNMP连接异常的处理

发布时间:  2015-08-26 浏览次数:  221 下载次数:  0
问题描述
FusionManager上报告警,连接防火防火墙异常,按照系统自带处理办法无法解决,查看防火墙连接状态为“SNMP连接异常”,在VPC中申请防火墙不成功,在VPC中申请路由网络部分成功,且无法释放。
处理过程

1、登录FusionsManager管理平台查看具体告警处理及防火墙状态,运行状态正常,连接状态为“SNMP连接异常”。
 


 

2、查看防火墙的IP地址,如上图为:172.18.66.1/172.18.66.2
 

3、登录FM主节点,使用Ping命令检查与主备防火墙的连接性。
 

 

 
 

FM01FM主节点主机

FM02FM备节点主机
 

由上图可以看出,FM主节点与主备防火墙都不无法通信的;FM备节点与主备防火墙都通信正常的。
 

4、面测试主备份防火墙与FM主备节点的连通性。

分别登录主备防火墙节点,使用Ping命令带源地址测试与FM主备节点的连通性。
 

HRP_M<LN-USG-P>:防火墙 主

HRP_M<LN-USG-B>:防火墙 备

172.18.67.26FM主节点

172.18.67.27FM备节点

172.18.67.28FM浮动点
 


 

从上图中看出,主备防火墙与FM主节点均是无法通信的。

5、一步排查防火墙的问题,查看防火墙的黑名单列表:
 


 

通过查看防火墙黑名单列表,查看到,防火墙将FM主节点列入到了防火墙黑名单中。
 

6、防火墙中进一步排查FM主节IP地址被列入到防火墙黑名单的原因。
 


 

通过与防火墙工程师的沟通,由于近期重新规划了防火墙读写团体名,所以导致此故障的发生。
 

7、照上图所示,在FM中修改连接防火墙参数中的“读团体名”、“写团体名”两项。
 

8、用管理员身份登录FM,点击“资源”-》“设备”-》“网络设备”-》“防火墙”
 


 

点击“更多”-》“修改接入参数”
 


 

将来新规划的读写团体名,添入到“读团体名”、“写团体名”中,之后告警消失,故障恢复。

建议与总结
此故障的根本原因是,在初期交付的过程中,局方没有规划防火墙SNMP认证的团体名,后期重新规划后,团体名发生变化,没有通知我方一同修改SNMP连接验证的团体名,所以造成FM使用SNMP登录防火墙的时候,验证不成功,进而被防火墙列入黑名单列表。防火墙黑名单列表有一定的超时时间,超时后,防火墙自动清除黑名单,所以FM主节点会有短暂的可以连接防火墙的情况,防火墙发现FM频繁登录防火墙不成功,防火墙会将FM主节点再次列入到黑名单,进而往复循环下去。在今后的项目中,出现此类告警,按照处理办法无法处理的时候,要考虑到这一点。

END