网管服务器添加USG6680失败

发布时间:  2016-11-04 浏览次数:  144 下载次数:  0
问题描述
网管服务器添加USG6680失败
组网信息:

告警信息

处理过程
1.snmp server与设备路由可达,安全策略全放行,ICMP报文正常交互;且SNMP基本参数设置正确,GE1口开启snmp访问管理
2.snmp server以GE1口的IP 10.210.5.1添加,结果是不成功,无会话信息
3.在设备做流量统计,结果显示有收到SNMP的报文,但是被设备丢弃
[6680 Active-diagnose]display firewall statistic acl
21:37:57  2016/11/02

 Current Show sessions count: 2
   
 Protocol(UDP) SourceIp(10.200.8.211) DestinationIp(10.210.5.1)   
 SourcePort(54387) DestinationPort(161) VpnIndex(public)   
                 RcvnFrag    RcvFrag     Forward     DisnFrag    DisFrag   
 Obverse(pkts) : 1           0           0           1           0             
 Reverse(pkts) : 0           0           0           0           0          
   
 Discard detail information:
  IF_SERVICE_MANAGER_PACKET_FILTER:     1


   
 Protocol(UDP) SourceIp(10.200.8.211) DestinationIp(10.210.5.1)   
 SourcePort(54386) DestinationPort(161) VpnIndex(public)   
                 RcvnFrag    RcvFrag     Forward     DisnFrag    DisFrag   
 Obverse(pkts) : 1           0           0           1           0             
 Reverse(pkts) : 0           0           0           0           0          
   
 Discard detail information:
  IF_SERVICE_MANAGER_PACKET_FILTER:     1

根因
SNMP丢包原因为IF_SERVICE_MANAGER_PACKET_FILTER,即:接口访问管理包过滤检查不通过。根据数据流量的走向,SNMP报
文被GE1口接收,回包时查路由匹配缺省路由,出接口为GE2,由于GE2口没有开启SNMP访问管理,导致包过滤检查不通过被丢弃。
解决方案
在GE2接口开启service-manage snmp permit问题解决
建议与总结
通过SNMP添加设备无会话信息,怀疑有两点:
1.数据包没有到达防火墙,但是ICMP报文能正常交互,排除路由问题
2.数据包到达防火墙,由于防火墙的某种机制导致数据被丢弃,灵活运用流量统计定位问题。

END

案例投稿