MSR系列路由器
ASM板卡无法正常下发防病毒规则的经验案例(一)
一、组网:
实际组网如下图,通过监控服务上对ASM和MSR进行配置,对从Internet到内网的数据流进行病毒查杀。
二、问题描述:
如上图组网后,完成了ASM和MSR上的配置后,发现ASM已经正常注册到了MSR 设备上,但是ASM产生的联动规则并没有下发到MSR设备上,从而无法实现将数据流重定向到ASM板卡。
三、过程分析:
检查路由器和ASM的相关配置发现配置正确,路由器侧ACFP和ACSEI都已经启动,ASM板卡上的安全策略也下发了。
通过使用命令dis acfp client-info可以看到ASM已经正确注册到了MSR路由器上:
<MSR>dis acfp client-info
ACFP client total number: 1
ClientID: 1
Description: Rising Antivirus Gateway
Hw-Info: Open Application Platform
OS-Info: RSOS 1.5.8024
App-Info: V20070417145800
Client IP: 172.16.10.2
Client Mode: redirect
这证明ASM已经正常注册到路由器上。
但是使用命令dis acfp rule-info policy却查看不到ASM下发到路由器上的杀毒策略,显示如下:
<MSR>dis acfp rule-info policy
<MSR>
这说明策略虽然在ASM上配置,但是并没有在MSR上生效。
产看路由器使用的版本,发现版本为R1509。联想到自R1508版本开始MSR设备的Mib-Style发生了变化,而ACFP和ACSEI协议为H3C的私有协议,它们的实现需要H3C私有Mib的支持。因此很可能是Mib不配套导致的上述问题。通过命令dis mib-style的结果证实了上述假设:
<MSR>dis mib-style
Current MIB style: new
Next reboot MIB style: new
四、解决方法:
将MSR的mib-style设置为compatible,然后重启设备。再次使用dis mib-style查看,发现mib-style已经切换:
<MSR>dis mib-style
Current MIB style: compatible
Next reboot MIB style: compatible
这时候再次使用命令dis acfp rule-info policy可以查看到下发到MSR上的策略。
<MSR>dis acfp policy-info
ACFP policy Info: total 2
Client-id: 1 Policy-Index: 1
Rule-Num: 4 ContextID: 2003
Exist-Time: 20 (s) Life-Time: 2147483647(s)
Start-Time: 00:00:00 End-time: 24:00:00
Admin-Status: enable Effect-Status: inactive
In-interface: GigabitEthernet0/1
Out-interface: GigabitEthernet0/0
Dest-interface: GigabitEthernet3/0
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作