用户使用我司F1000-AK系列产品做为网络出口设备,提供安全策略防护和NAT地址转换基本功能。
不涉及
在使用过程中偶尔出现全网中断。首先怀疑是出口问题,同时发现在网内网无法登录防火墙设备。经过定位,初步判断为出口防火墙问题。在故障恢复时收集了设备诊断信息和相应的logfile和diagfile信息。
分析设备诊断信息发现,设备运行时长仅为1小时32分钟,根据此信息可以判断,设备发生过重启。
H3C Comware Software, Version 7.1.064, Release 9360P32
Copyright (c) 2004-2023 New H3C Technologies Co., Ltd. All rights reserved.
H3C SecPath F1000-AK135 uptime is 0 weeks, 0 days, 1 hour, 32 minutes
Last reboot reason: Memory exhaust reboot
根据诊断信息中上次重启原因为内存耗尽重启,同时和客户确认并未有人工对设备进行重启了断电操作。
进一步分析设备日志,重点对网络故障和设备重启时间段分析,设备日志中有剩余内存200多MB的提示,根据此信息可以判断为设备内存不足导致设备异常,进一步分析设备内存占用过高的情况。
%@223242^Dec 30 12:48:29:397 2023 Firewall_H3C DIAG/5/MEM_ALERT:
system memory info:
total used free shared buffers cached
Mem: 4027996 3763388 264608 0 84 393064
-/+ buffers/cache: 3370240 657756
Swap: 0 0 0
通过memory usage info信息发现会话内存占用较多。通过display session statistics history-max可查看到历史会话数量已经达到设备规格。
通过抓包确认有攻击导致会话过多,排除攻击源问题解决
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作