所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级
案例库

通过usg5320的上行设备报文长度异常,防火墙将异常报文丢弃,导致下行netstream流量服务器无法获取到上行设备报文。

发布时间:  2019-07-16  |   浏览次数:  199  |   下载次数:  3  |   作者:  zwx00002969  |   文档编号: EKB1000001944

目录

问题描述

                                            | usg5320|---|ne80|
|流量分析服务器|---|SW|---|              X         |---|ne40e|-----
                                     | usg5320|---|ne80|
故障现象:
      客户做netstraem流量分析的数据报文需要经过usg5320,在防火墙下行部署有一台流量分析服务器对上行的两台ne80和一台ne40做流量分析,usg5320与ne80做双机热备。流量服务器可以接收到两台ne80的报文,但是无法接收到ne40e的报文,在sw上或是防火墙上均不能获取来自ne40e的数据包,只有来自两台来自ne80的报文。如果在ne80上进行报文分析,可以接收到来自ne40e的报文。

告警信息

处理过程

  1. 验证用户描述现象,在防火墙上做远程报文分析,未能获取ne40e数据包,在ne80上能够获取ne40e的数据包,与用户描述相符;
2、  检查双机热备配置,无问题;建议用户暂时不做双机热备,只接入一台防火墙,分别在防火墙和ne80上获取报文,问题依旧。
3、  将在防火墙上获取的ne80数据包和在ne80上获取的ne40e数据包做对比发现:来自ne80的每个数据包实际长度大小正确固定,而来自ne40e的数据包总长度与实际长度不符,数据报文经过ip协议封装和udp协议封装后,报文长度异常。如其中一个数据包显示总长度为:1496,减去包头长度,实际为1476,而抓包显示实际长度只有152,并且每个来自ne40e的数据包的实际长度均有很大差异。

根因

1、  包过滤、acl等配置是否正确;
2、  可能用户在防火墙备设备上进行报文分析,因而无法抓到;
3、  可能Ne40e的数据包没有到达或经过usg5320防火墙;
4、  可能防火墙将来自ne40e的数据包丢弃。

建议与总结

   由于来自ne40e的数据包总长度与实际长度不符,usg5320防火墙认为来自ne40e的数据包为异常报文,将其丢弃,所有在防火墙上或防火墙下行无法获取来自ne40额的数据包,建议查找定位上行设备原因。