第九章 防火墙典型组网及常见故障诊断

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

www.h3c.com
4
在政府、企业纵向网络出口中的应用
SecPath 防火墙 trust域
untrust域
服务器群
企业用户
DMZ域
www.h3c.com
5
金融证券行业的组网应用
网页浏览 电子商务
网上银行
DMZ区域1
Server
内部网
认证服务器
DMZ区域2
数据中心
SecPath A
untrust 区域
时间和死亡时间等参数是否一致。 4)其他部分请参考OSPF协议的调试部分内容。
www.h3c.com
14
常见故障现象六
故障现象:GRE隧道设置完毕后,不能ping通对端tunnel 接口
分析诊断:对于可能存在的原因,逐一检查如下: 1)确保隧道接口已经加入公网接口所在的域; 2)display interface tunnel 检查隧道接口是否已经处于up 状态; 2)检查是否配置隧道是否配置了正确的源和目的地址; 3)检查路由表里是否存在到隧道目的地址的路由,也可以 通过ping命令测试隧道目的地址是否可达。
www.h3c.com
Baidu Nhomakorabea13
常见故障现象五
故障现象: 防火墙透明模式设置为透明模式,防火墙
两边的路由器不能建立OSPF邻居关系。 分析诊断: 1)检查是否开启对unknown-mac的泛洪或者广播功能。 2)通过ping检查两端的物理链路是否通畅。 3)检查两端hello报文部分的区域号、网络号、hello间隔
www.h3c.com
10
常见故障现象二
故障现象: 配置端口扫描和地址扫描攻击防范及动态黑名单后在 防火墙上看不到攻击日志,同时没有把扫描源地址动 态加入到黑名单里。
诊断分析: 1)检查扫描工具的扫描速度是否超过配置文件文件设 置的每秒的max-rate值 2)检查是否启用黑名单功能 3)检查连接发起方域出方向的IP统计功能是否开启
www.h3c.com
12
常见故障现象四
故障现象:系统不能检测2FE卡 分析诊断:
1)display version 查看2FE卡是否已经注册 2)检查2FE卡的类型,有两种类型的2FE卡。
secpath只支持82559芯片的2fe,不支持21143芯片的2fe 还需要补充两种类型的板卡的区别方法 (注:识别方法如下,可用通过单板的物理芯片肉眼观察 识别。21143芯片的2fe在靠近pci插座的地方,有一块4 平方厘米的芯片,上面有21143的标记。如果是82559芯 片的2fe,只有一块1平方厘米的芯片,在单板中间,上 面有82559的标记。)
(注意事项:所有的接口,无论是物理接口还是虚拟接口都 必须加入某个域)
www.h3c.com
15
常见故障现象七
故障现象:通过浏览器登录防火墙时,提示“找不到页面” 分析诊断:
1)检查PC到防火墙的物理链路是否问题; 2)通过dir命令,检查flash里是否已经存在http.zip文件; 3)如果不存在,通过detach命令把该文件从系统软件中
www.h3c.com
11
常见故障现象三
故障现象:网页内容关键字过滤设置后,不生效 分析诊断: 1)检查ASPF是否配置为检测HTTP; 2)检查ASPF是否应用到接口或者域间 3)通过display firewall web-filter 查看过滤记录
(注意事项:配置网页过滤及邮件过滤时,必须打开 ASPF检测功能)
分离;
www.h3c.com
16
本章总结
防火墙常见组网方式 SecPath防火墙常见故障诊断分析
杭州华三通信技术有限公司 www.h3c.com
SecPath B
企业用户
trust区域
企业用户
www.h3c.com
6
电信级可靠性组网应用
企业用户
内部网
internet
www.h3c.com
分支机构
公网服务器 7
目录
防火墙常见组网 防火墙常见故障诊断
故障诊断流程
检查物理链路状态 检查防火墙的缺省动作是拦截还是放行 检查接口是否加入正确的域 检查ARP表项是否正确 检查ACL规则的匹配情况 检查NAT表项是否正确 检查ASPF是否启用,是否应用到正确的接口正确的方向 检查域统计功能是否开启
www.h3c.com
9
常见故障现象一
故障现象:防火墙接口配置IP地址后,ping不通 分析诊断:ping不通存在如下可能,请逐一检查
1)确保防火墙物理链路up状态; 2)确保物理接口加入区域中的一个; 3) 检查防火墙的缺省规则及ACL规则; 4) 检查ARP表项中是否存在对端设备的MAC地址; 5) 通过debug命令查看ICMP报文的收发情况。
第12章 防火墙典型组网及常见故障诊断
ISSUE 1.1
日期: 杭州华三通信技术有限公司 版权所有,未经授权不得使用与传播
课程目标
学习完本课程,您应该能够:
掌握SecPath防火墙常见组网
掌握SecPath防火墙故障诊断技巧
目录
防火墙常见组网 防火墙常见故障诊断
防火墙常见组网案例
在政府、企业纵向网络出口中的应用 金融证券行业的组网应用 电信级可靠性应用
相关文档
最新文档