近期做一个网络变更时,发现SSG140通过web/telnet/ssh均无法访问,但snmp监控和ping均正常,内部上网各种应用均无异常,仅无法访问管理页面。今天对故障进行了处理。
1.各种管理方式失效,尝试用console连接ssg140
2.登录成功后,首先备份配置文件
get config > tftp 192.168.1.1 ssg140cfg.txt
3.检查管理配置信息
get admin get admin manage-ip get int eth0/0
检查发现web/telnet/ssh配置都正确,端口设置也正常,同时也未启用访问源地址控制。
4. 尝试抓包
A.设置抓包过滤器,仅记录需要的数据 set ffilter src-ip 192.168.1.1
B.清除缓存记录 clear db
C.单独启用以下调试功能,
debug web all / debug admin all / debug flow all
D.在管理主机上打开防火墙web管理页面
E.记录抓包输出 get db str > tftp 192.168.1.1 web.log
5. 分析抓包记录
debug_admin_all (无有效信息)
debug_flow_all(无有效信息)
至此还是没找到故障原因,只好求助网络(掰扯下google真心比划船的强,好多问题划船找不着,google绝对不会失望),搜索发现如下连接:
http://www.juniperforum.com/index.php?topic=7884.0
文中的哥们也遇到了相同的情况,但是他的版本是V6.0.R1,我这里的版本是V6.1R2,,按照后续的办法进行处理,故障依旧。
这个问题是第三次遇到,我觉得是OS版本问题造成的,应该属于固定bug,查阅下下一个版本的release note估计会有答案。懒得查了。因为赶着做一个变更,就再次备份了配置文件,然后手动重启防火墙命令如下:
reset save-config yes
PS:防火墙的重启还是很快的,大概1分钟后就完成重启和加载配置文件,点赞。
附官方处理此问题的步骤
参考链接:http://kb.juniper.net/InfoCenter/index?page=content&id=KB11363