某局点SecPath F1000-AK145(V7) 特征库升级提示连接服务器失败经验案例

无

某局点设备为F1000-AK145，在web界面进行特征库升级时，点击“立即升级”后提示“操作失败：连接特征库服务器失败。”

1、检查设备能否正常解析域名所对应的IP地址。

[H3C_F1000-AK145]display dns host

Type:

  D: Dynamic    S: Static

Total number: 2

No.  Host name                 Type   TTL      Query type  IP addresses

1       download.h3c.com.cn     D     2926       A            60.12.237.197       

2    www.h3c.com.cn           D     2921       A            221.12.31.26

2、在防火墙上点击“立即升级”时，进行抓包

通过抓包发现：

防火墙设备在跟119.57.114.1这个地址建立http连接，这个地址不是我司download.h3c.com.cn的地址。检查配置时发现设备里配置了inspect signature auto-update proxy ip 119.57.114.1，当DPI业务模块（例如IPS和URL过滤）的特征库进行在线升级时，若设备不能连接到H3C官方网站，则可配置一个代理服务器使设备连接到H3C官方网站上的特征库服务专区，进行特性库在线升级。

3、在设备上删除该命令后，点击“立即升级”依然报错。

[H3C_F1000-AK145]apr signature auto-update-now

Failed to connect to the signature database server.

手动将download.h3c.com.cn域名指定为60.191.37.151，成功升级特征库

[H3C_F1000-AK145]display dns host

Type:

  D: Dynamic    S: Static

Total number: 2

No.  Host name                 Type   TTL     Query type  IP addresses

1    download.h3c.com.cn     S       -           A            60.191.37.151       

2 www.h3c.com.cn  D  3487  A  221.12.31.26  

从抓包信息来看：防火墙设备发了get请求后，服务器一直没有发送应答，隔了45s后，防火墙设备的TCP协议栈超时，主动拆除链接。可能原因是设备上配置的dns server，解析出官网服务器地址为60.12.237.197，该地址对防火墙设备接入的运营商来说响应比较慢，导致下载特征库失败。在设备上手工指定download.h3c.com.cn的ip地址为60.191.37.151，可以成功升级特征库。

在设备上手工指定download.h3c.com.cn对应的IP地址：

  [H3C_F1000-AK145]ip host download.h3c.com.cn 60.191.37.151