现网排障与项目经验总结
1.2022-09-02 PA防火墙故障排除:
1.PA防火墙NAT策略的源区域和目的区域较为复杂,但可简单总结为根据目的地址的所在区域配置为目的区域,通常情况下,目的NAT为outside to outside
2.PA防火墙的安全策略的目的地址是NAT转换前的公网地址,与思科ASA的安全策略刚好相反
3.PA防火墙的HA主主模式,只能配置virtual wire接口或者三层接口,不能配置二层接口,其中virtual wire接口缺省只放通vlan0的数据包。需要配置vlan 0-4094。
4.PA防火墙的IPS功能一旦启用,必须配置DNS地址,否则会触发极其严重的bug,导致设备宕机,目前官方暂无修复手段。
5.PA防火墙的ping安全策略,应该在应用程序里放通,再在服务里放通default-APP即可。
2.2022-09-07 华为防火墙故障排除
故障现象如下:
华为防火墙作为出口设备,即做了NAT,也做了SSL VPN网关,现客户通过SSL VPN登录内部设备没有问题,无法通过SSL VPN
访问防护墙Web以及SSH登录防火墙内网接口
排除过程:
在防火墙上抓包发现发现流量从untrust接口进入防火墙,
1.根据华为防火墙特性需要从进入的接口开启Web和SSH服务
2.将SSL VPN部署在NAT设备之后
3.2022-09-27 PA防火墙故障排除
1.HA的主主模式下,二层墙接口不能选择layer2,接口只能选择virtrual wire,并且需要配置virtrual wire文件加入对应接口,virtrual wire接口默认只放通vlan 0的流量,不放通vlan 1的流量。
2.PA防火墙的IPS策略中DNS策略会连接互联网做分析,导致DNS进程崩溃,设备反复重启
解法:
①配置内部DNS地址
②IPS策略中关闭DNS策略
4.2022-10-19 PA防火墙故障排除
1.10月14日工程师接到用户报障,XX数据中心一台PA防火墙设备宕机,设备GUI界面上提示“critical processes(configd) are down ”,且ssh无法访问,初步判断为硬件故障。RMA设备于10月18日早10点到达现场,完成升级预配置工作后于当晚17:30更换RMA新设备,新设备上架后,复现故障,无法顺利启动,web无法登录,console无回显。
当天将RMA设备下架后,重新加电,依然无法正常启动。最后将光模块拔出,可以正常开机。
10月19日收集support文件发给PA原厂TAC,根据原厂TAC诊断为命中PA-800系列在10.0和10.1上版本bug:PAN-172890导致:
2.根据防火墙生成的support文件查看日志,目录为/var/log/messages.1
Oct 4 21:07:51 800 kernel: pca954x_select: Failed to select the I2C multiplexor (addr=75, val=01, err=-11)!
Oct 4 21:07:51 800 kernel: Failed to deselect the I2C multiplexor (addr=75, val=00, err=-11)!
五.XX金融华为S7700交换机故障排除
故障描述:SW1和SW2组成VRRP+MSTP的拓扑,连接上SW02上的G1/0/0口后,SW02无法被管理,无法ping通。
解决方案:最终发现STP阻塞端口为SW2和SW1的互联接口,原因可能是生成树802.1w和802.1t协议cost计算标准导致。
六.XX证券低延迟交换机故障排除
故障描述:思科3550低延迟交换机与思科N3K交换机对接,3550配置tap镜像接口命令后,镜像流量到达N3K交换机,N3K交换机接口down
解决方案:N3K交换机的接口无法识别3550的协商信号,导致协议层无法up,关闭自动协商可解决。
七.XX银行网络故障排除
故障描述:OSPF口子型组网需要串联两台IPS隔离区域,断掉一根线后,发现中断时间为1~2分钟才恢复正常。
解决方案:发现是因为用vlan接口做的OSPF,二层会有STP影响,PVST+收敛时间为45s,OSPF广播类型领居重新建立需30s,
需要修改为rapid-pvst+,并在连接路由器的接口上配置边缘端口。
八.XX银行网络故障排除
故障描述:如拓扑,FW1防火墙与CO交换机建立OSPF,FW1引入静态路由,FW1与FW3建立GRE隧道
178服务器需访问人行,网络不通,但在最后一道防火墙安全策略上有命中,故怀疑回程路由没有添加,在FW1防火墙添加回程路由指向tun0后,运维PC无法连通178服务器
解决方案: