USG通过LOOPBACK地址无法被eSight管理

发布时间:  2016-04-08 浏览次数:  231 下载次数:  0
问题描述

组网拓扑图:


旁挂在S9700的两台USG6630防火墙组成双机热备

eSight网管接在S9700下面,通过Loopback地址管理USG6630

但是发现eSight无法管理和ping通USG6630,防火墙上策略已经打开

关键配置:

FW:

security-policy
rule name Manage
  source-address 10.0.23.192 0.0.0.63
  source-address 10.0.0.5 mask 255.255.255.255
  source-address 10.0.0.6 mask 255.255.255.255
  destination-address 10.0.0.5 mask 255.255.255.255
  destination-address 10.0.0.6 mask 255.255.255.255
  destination-address 10.0.23.192 0.0.0.63
  action permit

interface LoopBack0
ip address 10.0.0.5 255.255.255.255

interface Vlanif14
description to S97
ip address 192.168.0.76 255.255.255.248

ip route-static 10.0.23.192 255.255.255.192 192.168.0.73

 

 

处理过程

1、首先检查流量是否命中防火墙策略

HRP_A[MPN-USG6630-01]display security-policy all
16:20:54  2016/04/07
Total:3
RULE ID RULE NAME                      STATE      ACTION             HITTED           
-------------------------------------------------------------------------------
0       default                        enable     deny               3907              
1       HRP                            enable     permit             1261              
5       Manage                         enable     permit             0                
-------------------------------------------------------------------------------

发现没有命中策略,说明报文在经过这个策略处理之前已经被丢掉了

2、只有做流统查看丢包原因

HRP_A[MPN-USG6630-01-diagnose]display firewall statistic acl discard
16:42:58  2016/04/07

Current Show sessions count: 3
  
Protocol(ICMP) SourceIp(10.0.23.195) DestinationIp(10.0.0.5)  
SourcePort(1) DestinationPort(2048) VpnIndex(public)  
                 RcvnFrag    RcvFrag     Forward     DisnFrag    DisFrag  
Obverse(pkts) : 8           0           4           4           0            
Reverse(pkts) : 4           0           4           0           0         
  
Discard detail information:
  IF_SERVICE_MANAGER_PACKET_FILTER:     4

发现丢包原因是IF_SERVICE_MANAGER_PACKET_FILTER

想起报文会经过vlanif14 但是vlanif14没有去使能 service-manage 报文在这里丢弃了

 

解决方案

在vlanif14下面配置 undo service-manage enable 发现网管可以管理设备了

END