H3C防火墙会话问题
- 0关注
- 0收藏,97浏览
问题描述:
客户现场组网大致如下:
出口共2台路由器,上行连接运营商专线,下行连接2台H3C防火墙。防火墙下联一台网闸设备,网闸内有一台服务器。
防火墙关键配置:IRF配置模式为主备,上行、下行接口均为2层配置。防火墙会话同步命令:session statistics enable、session synchronization enable、session state-machine mode loose均已配置。
网闸配置:网闸与防火墙的互联接口配置了bond,网闸相关的安全策略配置正常。
问题现象,在外网有一台终端,想要访问网闸内的服务器的1433端口。从终端telnet服务器1433端口,时而同时而不通。服务器的配置没有人去修改,网闸的配置也没有人去修改。但是在telnet不通的时候,将服务器跨过网闸直连防火墙,telnet恢复正常。请问这种情况是否是防火墙问题。是否还需要给防火墙添加什么配置:
例如:session dual-active enable 这条命令是否需要添加?
组网及组网描述:
可能是路径问题,防火墙开启松散模式:
session state-machine mode loose
还有问题bebug分析下:
<FW>debugging ip packet acl 3XXX # 查看报文具体从哪个接口,哪个slot上来和发出的情况
<FW>debugging ip info acl 3XXX # 如果有丢包则会打印信息丢包的具体模块,如果没有丢包则不打印
<FW>debugging aspf packet acl 3XXX # 如果报文状态不合法,则会显示被aspf丢弃,需检查流量来回是否一致
<FW>debugging security-policy packet ip acl 3XXX # 如果是对象策略则用object-policy,如果是包过滤则用packet-filter
这条命令已经使能了,但是没有效果
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
感觉是路径问题,debug分析下吧