USG6330 не обновляет базы данных с sec.huawei.com (V500R001C60SPC300)
[Описание]
USG6330 не может обновить базу данных подписей по адресу https://sec.huawei.com. И показать «Error: Unknown host sec.huawei.com».
Топология так же, как показано ниже:
[Процесс]
Пакеты DNS с исходным IP-адресом GE1 / 0/1, переданные GE1 / 0/2. GE1 / 0/1 и GE1 / 0/2 были подключены к другому провайдеру. Это означает, что DNS-пакеты с IP-адресом ISP1 передаются на ISP2, но никакие пакеты не отправляются обратно в USG6330. Это может быть связано с политикой провайдера (заблокировать пакет DNS другого провайдера).
1. Пинг sec.huawei.com от USG6330
<USG6330>ping sec.huawei.com Error: Unknown host sec.huawei.com. |
2. Проверьте ip для sec.huawei.com с ПК.
Pinging sec.huawei.com [45.X.212.170] with 32 bytes of data: Reply from 45.X.212.170: bytes=32 time=163ms TTL=240 Reply from 45.X.212.170: bytes=32 time=166ms TTL=240 Reply from 45.X.212.170: bytes=32 time=160ms TTL=240 Reply from 45.X.212.170: bytes=32 time=160ms TTL=240 |
3. Пинг 45.Х.212.170 из USG6330. Найденный USG6330 может достичь этого IP.
[USG6330]ping 45.X.212.170 PING 45.X.212.170: 56 data bytes, press CTRL_C to break Reply from 45.X.212.170: bytes=56 Sequence=1 ttl=232 time=405 ms Reply from 45.X.212.170: bytes=56 Sequence=2 ttl=232 time=372 ms Reply from 45.X.212.170: bytes=56 Sequence=3 ttl=232 time=375 ms Reply from 45.X.212.170: bytes=56 Sequence=4 ttl=232 time=375 ms Reply from 45.X.212.170: bytes=56 Sequence=5 ttl=232 time=374 ms |
4. Проверьте IP-адрес DNS.
# dns-transparent-policy action tpdns dns server bind interface GigabitEthernet1/0/1 preferred 95.X.86.9 alternate 95.X.80.9 dns server bind interface GigabitEthernet1/0/2 preferred 193.X.11.2 alternate 217.X.190.2 # |
5. Пинг DNS IP-адрес.
[USG6330]ping 95.X.86.9 PING 95.X.86.9: 56 data bytes, press CTRL_C to break Reply from 95.X.86.9: bytes=56 Sequence=1 ttl=55 time=6 ms Reply from 95.X.86.9: bytes=56 Sequence=2 ttl=55 time=6 ms Reply from 95.X.86.9: bytes=56 Sequence=3 ttl=55 time=7 ms Reply from 95.X.86.9: bytes=56 Sequence=4 ttl=55 time=5 ms Reply from 95.X.86.9: bytes=56 Sequence=5 ttl=55 time=6 ms [USG6330]ping 95.X.80.9 PING 95.X.80.9: 56 data bytes, press CTRL_C to break Reply from 95.X.80.9: bytes=56 Sequence=1 ttl=56 time=3 ms Reply from 95.X.80.9: bytes=56 Sequence=2 ttl=56 time=2 ms Reply from 95.X.80.9: bytes=56 Sequence=3 ttl=56 time=3 ms Reply from 95.X.80.9: bytes=56 Sequence=4 ttl=56 time=3 ms Reply from 95.X.80.9: bytes=56 Sequence=5 ttl=56 time=3 ms |
DNS доступен.
6. Проверьте зону на наличие портов.
[USG6330]dis zone # untrust priority is 5 interface of the zone is (2): GigabitEthernet1/0/1 GigabitEthernet1/0/2 # |
GE1 / 0/1 и GE1 / 0/2 относятся к недоверенной зоне.
7. Проверьте политику безопасности от локального до недоверенного. Убедитесь, что действие разрешено для http и ftp. Пример должен быть таким, как показано ниже:
# [HUAWEI] security-policy [HUAWEI-policy-security] rule name update [HUAWEI-policy-security-rule-update] source-zone local [HUAWEI-policy-security-rule-update] destination-zone untrust [HUAWEI-policy-security-rule-update] service http ftp [HUAWEI-policy-security-rule-update] action permit # The current configuration |
Текущая конфигурация так же, как показано ниже:
# [USG6330] security-policy [USG6330-policy-security]display this # security-policy default action permit default policy logging default session logging # |
Здесь «default action permit» означает настройку фильтрации пакетов по умолчанию для обеспечения безопасности.
8. Проверьте источник хоста обновлений.
# [USG6330]display update host source 2018-01-09 06:27.610 +05:00 ---------------------------------------------------------------- Source IP Information: IP address : - vpn-instance : - Source Interface Information: interface name : GigabitEthernet1/0/1 ---------------------------------------------------------------- # |
9. Проверьте конфигурацию GE1 / 0/1.
# interface GigabitEthernet1/0/1 undo shutdown ip address 95.X.83.79 255.255.255.224 ip address 95.X.83.81 255.255.255.224 sub ip address 95.X.83.80 255.255.255.224 sub ip address 95.X.83.77 255.255.255.224 sub # |
Поскольку для GE1 / 0/1 существует более одного IP-адреса, измените источник хоста обновления на IP-адрес. Добавьте команду, как показано ниже:
# [USG6330]update host source ip 95.X.83.79 # |
10. Ping sec.huawei.com от USG6330
<USG6330>ping sec.huawei.com Error: Unknown host sec.huawei.com. |
Ping sec.huawei.com из USG6330 с IP-адресом источника.
USG6330]ping -a 95.X.83.79 sec.huawei.com Error: Unknown host sec.huawei.com. |
Пинг IP-адрес для sec.huawei.com
[USG6330]ping 45.X.212.170 PING 45.X.212.170: 56 data bytes, press CTRL_C to break Reply from 45.X.212.170: bytes=56 Sequence=1 ttl=232 time=405 ms Reply from 45.X.212.170: bytes=56 Sequence=2 ttl=232 time=372 ms |
11. Поскольку брандмауэр по-прежнему не может пропинговать sec.huawei.com, проверьте таблицу сеансов брандмауэра для DNS (порт для DNS - 53).
[USG6330]display firewall session table verbose source-zone local destination-port global 53 2018-01-09 06:27.700 +05:00 Current Total Sessions : 7 dns VPN: public --> public ID: a48f39239b24818895a54ad0b Zone: local --> untrust TTL: 00:00:30 Left: 00:00:21 Recv Interface: InLoopBack0 Interface: GigabitEthernet1/0/2 NextHop: 37.X.154.33 MAC: 000f-XXXX-9b7f <--packets: 0 bytes: 0 --> packets: 1 bytes: 45 95.X.83.79:53788 +-> 95.X.86.9:53 PolicyName: default
dns VPN: public --> public ID: a58f39239b3f82d40a5a54ad12 Zone: local --> untrust TTL: 00:00:30 Left: 00:00:28 Recv Interface: InLoopBack0 Interface: GigabitEthernet1/0/2 NextHop: 37.X.154.33 MAC: 000f-XXXX-9b7f <--packets: 0 bytes: 0 --> packets: 1 bytes: 60 95.X.83.79:54632 +-> 95.X.86.9:53 PolicyName: default |
Кстати, вы также можете использовать команду, как показано ниже, для сброса сеанса брандмауэра. А затем сделайте тест на пинг. Наконец, вы можете найти только самую новую запись сеанса. Но вы должны быть осторожны, эта команда повлияет на службу из-за повторного сеанса брандмауэра.
<HUAWEI>reset firewall session table source-zone local destination-port global 53 Warning:Reseting session table will affect the system's normal service. Continue? [Y/N]:y |
12. Сеанс для DNS от GE1 / 0/1 (95.X.83.79). Но нет пакетов обратно до 95.X.83.79. NextHop 37.X.154.33, этот сегмент ip полностью отличается от GE1 / 0/1. Выполните команду «display ip interface brief», чтобы проверить IP-адрес для портов.
[USG6330]display ip interface brief 2018-01-09 06:27.510 +05:00 *down: administratively down ^down: standby (l): loopback (s): spoofing (d): Dampening Suppressed (E): E-Trunk down The number of interface that is UP in Physical is 5 The number of interface that is DOWN in Physical is 5 The number of interface that is UP in Protocol is 5 The number of interface that is DOWN in Protocol is 5
Interface IP Address/Mask Physical Protocol Cellular0/0/0 unassigned down down GigabitEthernet0/0/0 10.X.10.1/24 down down GigabitEthernet1/0/0 10.X.117.3/27 up up GigabitEthernet1/0/1 95.X.83.79/27 up up GigabitEthernet1/0/2 37.X.154.35/28 up up |
13. Проверьте таблицу маршрутизации ip.
[USG6330]display ip routing table 2018-01-09 06:27.040 +05:00 Route Flags: R - relay, D - download to fib ------------------------------------------------------------------------------ Routing Tables: Public Destinations : 28 Routes : 30
Destination/Mask Proto Pre Cost Flags NextHop Interface
0.0.0.0/0 Static 60 0 RD 95.X.83.65 GigabitEthernet1/0/1 Static 60 0 RD 37.X.154.33 GigabitEthernet1/0/2 10.0.0.0/8 Static 60 0 RD 10.X.117.1 GigabitEthernet1/0/0 10.X.117.0/27 Direct 0 0 D 10.X.117.3 GigabitEthernet1/0/0 10.X.117.3/32 Direct 0 0 D 127.0.0.1 GigabitEthernet1/0/0 … |
Есть 2 статических маршрутизации по умолчанию с одинаковой стоимостью и пред.
14. Проверьте конфигурацию DNS-сервера.
[USG6330]display current-configuration | include dns dns resolve dns-transparent-policy action tpdns dns server bind interface GigabitEthernet1/0/1 preferred 95.X.86.9 alternate 95.X.80.9 dns server bind interface GigabitEthernet1/0/2 preferred 193.X.11.2 alternate 217.X.190.2 |
Команда «dns server bind interface» устанавливает IP-адрес DNS-сервера, привязанного к интерфейсу.
15. Пакеты DNS с исходным IP-адресом GE1 / 0/1, переданные GE1 / 0/2. GE1 / 0/1 и GE1 / 0/2 были подключены к другому провайдеру. Это означает, что DNS-пакеты с IP-адресом ISP1 передаются на ISP2, но никакие пакеты не отправляются обратно в USG6330. Это может быть связано с политикой провайдера (заблокировать пакет DNS другого провайдера).
16. Проверьте политику NAT.
[USG6330]nat-policy [USG6330-policy-nat]display this # nat-policy rule name "NAT Access Policy" description NAT Access Group Policy source-zone trust destination-zone untrust source-address address-set "NAT Source Group" action nat easy-ip rule name "Nat Access Policy 2" source-zone trust destination-zone untrust source-address address-set "Nat Source Group 2" action nat easy-ip # |
Проверьте зону на наличие портов с помощью команды «Показать зону».
# [USG6330]display zone 2018-01-09 06:27.280 +05:00 local priority is 100 interface of the zone is (0): # trust priority is 85 interface of the zone is (2): GigabitEthernet0/0/0 GigabitEthernet1/0/0 # untrust priority is 5 interface of the zone is (2): GigabitEthernet1/0/1 GigabitEthernet1/0/2 # |
Нет локальной политики local to untrust.
17. Установите NAT (простой IP) для GE1 / 0/1 и GE1 / 0/2. И даже пакеты DNS GE1 / 0/1 (ISP1) передаются на ISP2, исходный IP будет NAT как IP ISP2.
# nat-policy rule nat test source-zone local destination-zone untrust action nat easy-ip # |
18. Ping sec.huawei.com
[USG6330]ping sec.huawei.com PING sec.huawei.com.cdngtm.com (45.X.212.170): 56 data bytes, press CTRL_C to break Reply from 45.X.212.170: bytes=56 Sequence=1 ttl=232 time=391 ms Reply from 45.X.212.170: bytes=56 Sequence=2 ttl=232 time=384 ms |
sec.huawei.com достижим. USG6330 может обновить базу данных подписей по адресу https://sec.huawei.com.