UMA(V200R001C00)云计算场景下,无法使用WEB页面登录设备

发布时间:  2016-07-16 浏览次数:  166 下载次数:  0
问题描述

外部用户通过VPN远程接入SVN后,登录UMA,只能使用CRT或putty管理设备,无法通过WEB页面管理设备。

UMA的版本VRP (R) software,V200R001C00SPC200

拓扑如下:


拓扑描述:

运维人员通过VPN远程接入到SVN5630(SVN及USG均旁挂于CE12804),获取10.128.6.0/24网段的地址,登录UMA(10.128.6.100)后,便可管理全网所有设备。UMA采用主备组网,配置多块网卡,UMA的IP地址规划如下图所示:





所有的管理网段的网管均在CE12804核心交换机上,业务流量网管在核心防火墙USG9520上,核心交换二层透传业务流量。现当用户使用VPN远程登录UMA后,发现只能使用CRT,putty等本地工具管理网络设备及服务器,无法通过UMA登录设备的WEB页面以及esight页面。

处理过程

1、登录UMA,打开设备的web管理页面和Esight页面,查看错误提示,发现web登录所有设备均出现如下错误:


1)使用UMA中的CRT和PUTTY,测试UMA的其它工具是否可以管理设备,测试结果如下:


通过测试现象可知,UMA可以使用CRT或PUTTY等本地工具管理现网中的设备。说明UMA到现网中的所有管理网段都可达,由于UMA使用WEB等应用管理设备的时候调用的是APP-BOX的资源,根据上述错误现象,推测为APP-BOX无法与现网中的管理网段通信。

2、登录APP-BOX服务器,进行APP-BOX与管理网段的通信测试,发现APP-BOX与管理网段不可互访,查看APP-BOX的网络设置,发现网关未配。


1)192.168.0.2与192.168.0.1是APP-BOX与UMA的心跳地址,APP-BOX与外部访问需要添加网关将访问其它网段的数据甩到UMA上。

2)在APP-BOX上添加网关,继续测试,发现APP-BOX仍不可与外部通信

由于APP-BOX上已经添加网关,既APP-BOX访问外部的数据已经甩到UMA。加之UMA上配置了多块网卡,并且uma可以使用本地工具管理现网中的设备,推测为APP-BOX的数据可以到达设备的管理地址但是无法返回,既网络设备上没有到达192.168.0.2/32这个地址的路由。

3)根据现网配置分析,管理网段的网关都配置在核心交换机CE12804上,所以先登录CE12804查看有无到达192.168.0.2/32这个地址的路由,发现不存在此路由。在CE12804上添加路由继续测试,发现可以web界面可以管理服务器但是仍无法管理防火墙。继续分析UMA到达防火墙的流量走向,由于防火墙在与UMA通信过程中涉及三层通信,所以需要在防火墙上添加到达192.168.0.2/32的路由,并且放行相应的流量。路由添加完成后UMA可以web管理全网设备。



根因

1、APP-BOX没有配置网关。

2、网络设备上没有写到达APP-BOX的路由。

解决方案

APP-BOX添加网关,相应的网络设备上添加到达APP-BOX的路由

建议与总结

使用UMA做管理的时候,需要将UMA上所使用的地址与管理网段打通,UMA使用WEB等应用管理设备时,调用的是APP-BOX的资源,所以使用WEB等应用管理时,需要把APP-BOX上所用的地址到管理网段打通。以使得UMA和APP-BOX可以与管理网段通信。

END