某局点USG6390设备特征库无法升级的分析

发布时间:  2016-12-21 浏览次数:  92 下载次数:  0
问题描述

某局点USG6390设备特征库无法升级。

处理过程

可能原因:

1.     链路不通;

2.     配置问题;

组网:

FW--ROUTER--INTERNET

处理过程:

1.     ping sec.huawei.com,发现可以ping通,说明防火墙和升级服务器之间不存在链路问题。

2.     分析配置发现,USG6390配置上指定了升级源接口为GigabitEthernet2/0/7

update host source GigabitEtherent2/0/7


接口GigabitEthernet2/0/7配置如下



3.     从组网图中可以发现,设备在ping sec.huawei.com时源ip默认使用公网地址进行,可以成功收到回应报文,但是USG6390在连接升级中心的时候:会选取指定升级源接口的主IP地址(即192.168.X.X)作为源IP地址;IP地址192.168.X.X是私网地址,但是在USG6390Internet网络中间没有NAT设备对私网地址进行转换,导致USG6390连接升级中心失败。至此,问题根因找到。

4.     解决方法:在LOCAL域和UNTRUST域之间配置NAT策略,对升级连接的源IP地址(192.168.X.X)进行NAT转换。

建议与总结

1.     特征库升级失败处理过程总结:

1)检查设备与sec.huawei.com服务器之间的链路是否通畅;

2)如果链路不可达,请检查是否配置dns resolvedns服务器是否可用,安全策略,域间关系等是否正确;

3)如果链路可达,请检查特征库升级的配置是否存在问题,若出现绑定出接口进行升级时,请确认出接口的ip是否能收到回程报文;

2.     引起特征库升级失败的原因可能有:

1)链路不通,组网有关;

2)配置问题;

END