防火墙会话检测导致VRM导入时配置主机失败

发布时间:  2015-09-29 浏览次数:  327 下载次数:  0
问题描述
导入VRM虚拟机时,配置主机始终提示添加主机失败。能PING通CNA,能SSH登陆。但始终提示与主机通信异常

告警信息

2015-09-29 22:02:00.781> [INFO] begin to config host ...
2015-09-29 22:02:00.781> [INFO] Config host cmd : java.exe -jar "D:\HWCLOUD\Tools\Installer\VrmAutoConfigTool.jar" installvrm "D:\CloudComponents\config\10.10.252.11_config.xml" 127.0.0.1 configHost zh_CN
2015-09-29 22:02:02.744> [INFO] Current progress is 55
2015-09-29 22:02:04.746> [INFO] Current progress is 56
2015-09-29 22:02:06.749> [INFO] Current progress is 57
2015-09-29 22:02:08.753> [INFO] Current progress is 58
2015-09-29 22:02:09.435> [DEBUG] Config host output :
 stdout: [Start]: addHost
start to postForLocation:http://127.0.0.1:7070/service/sites/546D095A/hosts
FAILED: AddHost
REASON: 10200300
DESCRIPTION: 与主机通信异常,请稍后重试或联系华为技术支持。
**ERRORCODE_VRM** 10200300 与主机通信异常,请稍后重试或联系华为技术支持。
errorCode:10300027,add host failed.,hostIp10.10.252.11

处理过程

1、怀疑网络不稳定,执行ping 10.10.251.11 -t 发现配置过程中没有掉包。
2、检查Windows 防火墙及杀毒软件,都已经关闭。
3、仔细检查网络环境为windows 7连接在防火墙USG2200系列的LAN口侧。怀疑与防火墙会话检测有关;

根因

配置IP地址192.168.99.109,网关为192.168.99.1,而CNA网络的三层交换机互联接口为192.168.99.254;当 Windows与CNA主动创建TCP时没有问题,因为首包通过了防火墙,防火墙创建了连接。而CNA主动POST访问WINDOWS时首包不通过USG 防火墙,防火墙上没有报文,当windows 主机返回报文时,防火墙认为是一个非法连接,所以把返回报文DROP掉。导致无法添加。

解决方案

进入防火墙配置undo firewall session link-state check后问题解决

建议与总结

有时故障时仅凭PING不能定位问题。需要全方面的了解报文处理过程。

END