USG6600HRP主备墙,通过内网备墙无法打开WEB管理界面

发布时间:  2016-10-28 浏览次数:  83 下载次数:  0
问题描述

USG6600HRP主备墙,备墙管理地址可以ping通,但是通过内网S5700(172.12.1.40为PC地址)业务端口无法打开WEB管理界面。但是通过MGMT端口可以正常登录WEB管理界面

环境组网图如下:


告警信息

处理过程

1.通过查看对应的管理接口HTTP以及HTTPS服务是否打开

2.通过查看管理接口网络配置是否正确

int gi 0/0/2

dis this

显示信息如下

 ip address 172.11.1.2 255.255.255.0

 service-manage http permit

 service-manage https permit

 service-manage ping permit

 service-manage ssh permit

 service-manage snmp permit

 service-manage telnet permit

 anti-ddos flow-statistic enable

 anti-ddos syn-flood source-detect alert-rate 100

3.通过内网PC,ping防火墙管理地址,可以ping通

ping 172.11.1.2


正在 Ping 172.11.1.2 具有 32 字节的数据:

来自 172.11.1.2 的回复: 字节=32 时间=8ms TTL=54

来自 172.11.1.2 的回复: 字节=32 时间=13ms TTL=54

来自 172.11.1.2 的回复: 字节=32 时间=353ms TTL=54

来自 172.11.1.2 的回复: 字节=32 时间=507ms TTL=54


172.11.1.2 的 Ping 统计信息:

    数据包: 已发送 = 4,已接收 = 4,丢失 = 0 (0% 丢失),

往返行程的估计时间(以毫秒为单位):

    最短 = 8ms,最长 = 507ms,平均 = 220ms


4.查看用户登录界面中是否勾选了HTTP自动转换HTTPS到8443端口的访问控制

查看已经勾选

5.通过命令disp firewall session table 在PC发起WEB登录界面的请求时,是否在防火墙有相关会话

http  VPN:public --> public 172.16.10.40:2559-->172.16.11.3:80

6.查看主备防火墙HRP和VRRP状态是否正常

dis vrrp

GigabitEthernet0/0/2 | Virtual Router 1                                       

    State : Master                                                              

    Virtual IP : 172.11.1.3                                                   

    PriorityRun : 120                                                           

    PriorityConfig : 100                                                        

    MasterPriority : 120                                                        

    Preempt : YES   Delay Time : 0                                              

    TimerRun : 60 s                                                                 

    TimerConfig : 60 s                                                              

    Auth Type : SIMPLE TEXT   Auth key :  %$%$Vk)B3RiOOTp(wdL'q#~W,kbY%$%$                                   

    Virtual Mac :  0000-5e00-0101                                               

    Check TTL : YES                                                             

    Config type : vgmp-vrrp                                                     

    Backup-forward : disabled    

VRRP状态正常                                                

7.查看防火墙路由信息是否完整

缺少去往172.12.1.0 255.255.255.0的路由信息


根因

由于备防火墙中缺少对应内网地址段的回程路由,导致了HTTPS和HTTP无法登陆。

解决方案

通过进入备墙,对内网PC的地址段添加回程路由,问题得到解决

END