防火墙

发布时间:  2017-04-26 浏览次数:  58 下载次数:  0
问题描述
1、用户通过console口无法登陆防火墙的主机和备机。
2、用户通过ssh无法登陆备机但是可以登陆主机。

告警信息

HRP_M<BJDC-WAN-HW-USG6550-1>display    logbuffer  | include  lock

2017-04-26 20:01:53.040 

Logging buffer configuration and contents : enabled

Allowed max buffer size : 2048

Actual buffer size : 1024

Channel number : 4 , Channel name : logbuffer

Dropped messages : 0

Overwritten messages : 2601

Current messages : 512

Apr 26 2017 19:54:40 BJDC-WAN-HW-USG6550-1 %%01MANAGER/4/UNLOCK(l)[1]:The user was unlocked. (User Name=abclife)

Apr 26 2017 19:46:52 BJDC-WAN-HW-USG6550-1 %%01MANAGER/3/LOCK(l)[8]:The user was locked out. (User Name=abclife, Lock Time=30 min, Lock Reason=password incorrect for 3 times, Access Tpye=ssh , IP Address=10.0.100.100)

处理过程
1、防火墙console主机和备机无法登陆。
问题根因:通过检查主机发现没有配置service-type  terminal导致无法登陆,所以导致同步备机也无法登陆。
2、防火墙ssh无法登陆。
问题根因:1、aaa配置可以同步到备机,但是全局配置ssh user abclife   无法同步到备机,需要手工输入这三条命令。
                                                ssh user abclife authentication-type password
                                                ssh user abclife service-type stelnet
          2、通过在防火墙上输入:display    logbuffer  | include  lock显示信息如下:
Apr 26 2017 19:54:40 BJDC-WAN-HW-USG6550-1 %%01MANAGER/4/UNLOCK(l)[1]:The user was unlocked. (User Name=abclife)
Apr 26 2017 19:46:52 BJDCWANHWUSG65501 %%01MANAGER/3/LOCK(l[8]:The user was locked out. (User Name=abclife, Lock Time=30 min, Lock Reason=password incorrect for 3 times, Access Tpye=ssh , IP Address=10.0.54.64) 发现用户10.0.54.64输入用户和密码错误三次导致用户被锁定30分钟。
3、在aaa模式下:lock-authentication timeout 1  (超过1分钟后,默认为30分钟)可以正常登陆,(可以同步到备机上)。
4、如果无法同步到备机上通过  ,可以在主机上开启配置同步。                                  
    
根因
1、防火墙console主机和备机无法登陆。
问题根因:通过检查主机发现没有配置service-type  terminal导致无法登陆,所以导致同步备机也无法登陆。
2、防火墙ssh无法登陆。
问题根因:1、aaa配置可以同步到备机,但是全局配置ssh user abclife   无法同步到备机,需要手工输入这三条命令。
                                                ssh user abclife authentication-type password
                                                ssh user abclife service-type stelnet
          2、通过在防火墙上输入:display    logbuffer  | include  lock显示信息如下:
Apr 26 2017 19:54:40 BJDC-WAN-HW-USG6550-1 %%01MANAGER/4/UNLOCK(l)[1]:The user was unlocked. (User Name=abclife)
Apr 26 2017 19:46:52 BJDCWANHWUSG65501 %%01MANAGER/3/LOCK(l[8]:The user was locked out. (User Name=abclife, Lock Time=30 min, Lock Reason=password incorrect for 3 times, Access Tpye=ssh , IP Address=10.0.54.64) 发现用户10.0.54.64输入用户和密码错误三次导致用户被锁定30分钟
解决方案

1、在主机上通过配置:service-type  terminal并且同步到备墙上,可以登陆。

2、在备机全局上输入:ssh user abclife  

                     ssh user abclife authentication-type password

                     ssh user abclife service-type stelnet
3、在主机aaa模式下输入:lock-authentication timeout 1  (超过1分钟后,默认为30分钟)可以正常登陆,(可以同步到备机上)。

END