usg6650 HRP主备备份,公网接口的虚ip地址SSH登陆失败

发布时间:  2017-04-28 浏览次数:  150 下载次数:  0
问题描述
usg6650配置HRP主备备份,公网接口配置VRRP,从公网主机SSH登陆虚ip登陆失败
告警信息

处理过程
1、首先ping测试,主机可以ping通虚ip地址,网络可达;
2、查看策略是否放行,接口配置如下:ssh是permit的,由于接口策略优先安全策略,所以不用再检查安全策略的配置了;
interface GigabitEthernetx/x/x
 ip address x.x.x.x 255.255.255.0
 vrrp vrid 1 virtual-ip x.x.x.x active
 service-manage https permit
 service-manage ping permit
 service-manage ssh permit
 service-manage snmp permit
 service-manage telnet permit
3、使用主机ssh登陆设备,在防火墙上面查看会话信息;没有会话,怀疑数据包没有到达防火墙;
display firewall session table verbose source inside x.x.x.x destination inside y.y.y.y
Current Total Sessions : 0
4、在防火墙上面五元组抓包,公网接口的出入方向;发现收到目的端口22的报文,但是防火墙没有回包;
5、查看是否存在异常日志,发现logbuffer里面有大量的类型是Syn flood 的攻击,发现攻击的源ip地址包含ssh登陆的主机地址;
AttackType="Syn flood attack", slot="0", receive interface="GEx/x/x", proto="TCP", src="x.x.x.x:xxxxx
6、查看配置,配置了Syn flood防攻击,将阀值设备的比较小,默认是2000;修改成默认值后,问题解决;
anti-ddos syn-flood source-detect alert-rate xxx
根因

配置了Syn flood防攻击

解决方案
Syn flood防攻击的阀值配置为默认值

END