USG6330 не обновляет базы данных с sec.huawei.com

64 0 0 0

USG6330 не обновляет базы данных с sec.huawei.com (V500R001C60SPC300)

 

[Описание]

USG6330 не может обновить базу данных подписей по адресу https://sec.huawei.com. И показать «Error: Unknown host sec.huawei.com».

Топология так же, как показано ниже:

194230mivv6iicpcdi5nw5.png

194230lw3uwynvul5dmydf.png

[Процесс]

 

Пакеты DNS с исходным IP-адресом GE1 / 0/1, переданные GE1 / 0/2. GE1 / 0/1 и GE1 / 0/2 были подключены к другому провайдеру. Это означает, что DNS-пакеты с IP-адресом ISP1 передаются на ISP2, но никакие пакеты не отправляются обратно в USG6330. Это может быть связано с политикой провайдера (заблокировать пакет DNS другого провайдера).

 

1. Пинг sec.huawei.com от USG6330

<USG6330>ping sec.huawei.com

Error: Unknown host sec.huawei.com.

 

2. Проверьте ip для sec.huawei.com с ПК.

 

 

Pinging sec.huawei.com [45.X.212.170] with 32 bytes of data:

Reply from 45.X.212.170: bytes=32 time=163ms TTL=240

Reply from 45.X.212.170: bytes=32 time=166ms TTL=240

Reply from 45.X.212.170: bytes=32 time=160ms TTL=240

Reply from 45.X.212.170: bytes=32 time=160ms TTL=240

 

3. Пинг 45.Х.212.170 из USG6330. Найденный USG6330 может достичь этого IP.

[USG6330]ping 45.X.212.170

  PING 45.X.212.170: 56  data bytes, press CTRL_C to break

    Reply from 45.X.212.170: bytes=56 Sequence=1 ttl=232 time=405 ms

    Reply from 45.X.212.170: bytes=56 Sequence=2 ttl=232 time=372 ms

    Reply from 45.X.212.170: bytes=56 Sequence=3 ttl=232 time=375 ms

    Reply from 45.X.212.170: bytes=56 Sequence=4 ttl=232 time=375 ms

    Reply from 45.X.212.170: bytes=56 Sequence=5 ttl=232 time=374 ms

 

 

4. Проверьте IP-адрес DNS.

 

#

dns-transparent-policy

  action tpdns

 dns server bind interface GigabitEthernet1/0/1 preferred 95.X.86.9 alternate 95.X.80.9

     dns server bind interface GigabitEthernet1/0/2 preferred 193.X.11.2 alternate 217.X.190.2

#

 

5. Пинг DNS IP-адрес.

[USG6330]ping 95.X.86.9

  PING 95.X.86.9: 56  data bytes, press CTRL_C to break

    Reply from 95.X.86.9: bytes=56 Sequence=1 ttl=55 time=6 ms

    Reply from 95.X.86.9: bytes=56 Sequence=2 ttl=55 time=6 ms

    Reply from 95.X.86.9: bytes=56 Sequence=3 ttl=55 time=7 ms

    Reply from 95.X.86.9: bytes=56 Sequence=4 ttl=55 time=5 ms

    Reply from 95.X.86.9: bytes=56 Sequence=5 ttl=55 time=6 ms

[USG6330]ping 95.X.80.9

  PING 95.X.80.9: 56  data bytes, press CTRL_C to break

    Reply from 95.X.80.9: bytes=56 Sequence=1 ttl=56 time=3 ms

    Reply from 95.X.80.9: bytes=56 Sequence=2 ttl=56 time=2 ms

    Reply from 95.X.80.9: bytes=56 Sequence=3 ttl=56 time=3 ms

    Reply from 95.X.80.9: bytes=56 Sequence=4 ttl=56 time=3 ms

        Reply from 95.X.80.9: bytes=56 Sequence=5 ttl=56 time=3 ms

 

 

DNS доступен.

6. Проверьте зону на наличие портов.

[USG6330]dis zone

#

untrust

 priority is 5

 interface of the zone is (2):

    GigabitEthernet1/0/1

    GigabitEthernet1/0/2

    #

 

GE1 / 0/1 и GE1 / 0/2 относятся к недоверенной зоне.

7. Проверьте политику безопасности от локального до недоверенного. Убедитесь, что действие разрешено для http и ftp. Пример должен быть таким, как показано ниже:

#

[HUAWEI] security-policy

[HUAWEI-policy-security] rule name update

[HUAWEI-policy-security-rule-update] source-zone local

[HUAWEI-policy-security-rule-update] destination-zone untrust

[HUAWEI-policy-security-rule-update] service http ftp

[HUAWEI-policy-security-rule-update] action permit

#

The current configuration

 

Текущая конфигурация так же, как показано ниже:

#

[USG6330] security-policy

[USG6330-policy-security]display this

#

security-policy

 default action permit

 default policy logging

 default session logging

#

 

Здесь «default action permit» означает настройку фильтрации пакетов по умолчанию для обеспечения безопасности.

8. Проверьте источник хоста обновлений.

 

#

[USG6330]display update host source

2018-01-09 06:27.610 +05:00

----------------------------------------------------------------

Source IP Information:

        IP address                 : -

        vpn-instance               : -

Source Interface Information:

        interface name             : GigabitEthernet1/0/1

----------------------------------------------------------------

#

 

9. Проверьте конфигурацию GE1 / 0/1.

 

#

interface GigabitEthernet1/0/1

 undo shutdown

 ip address 95.X.83.79 255.255.255.224

 ip address 95.X.83.81 255.255.255.224 sub

 ip address 95.X.83.80 255.255.255.224 sub

 ip address 95.X.83.77 255.255.255.224 sub

#

 

Поскольку для GE1 / 0/1 существует более одного IP-адреса, измените источник хоста обновления на IP-адрес. Добавьте команду, как показано ниже:

 

#

[USG6330]update host source ip 95.X.83.79

#

 

10. Ping sec.huawei.com от USG6330

<USG6330>ping sec.huawei.com

Error: Unknown host sec.huawei.com.

 

Ping sec.huawei.com из USG6330 с IP-адресом источника.

 

USG6330]ping -a 95.X.83.79 sec.huawei.com

Error: Unknown host sec.huawei.com.

 

Пинг IP-адрес для sec.huawei.com

[USG6330]ping 45.X.212.170

  PING 45.X.212.170: 56  data bytes, press CTRL_C to break

    Reply from 45.X.212.170: bytes=56 Sequence=1 ttl=232 time=405 ms

    Reply from 45.X.212.170: bytes=56 Sequence=2 ttl=232 time=372 ms

 

 

11. Поскольку брандмауэр по-прежнему не может пропинговать sec.huawei.com, проверьте таблицу сеансов брандмауэра для DNS (порт для DNS - 53).

 

[USG6330]display firewall session table verbose source-zone local destination-port global 53

2018-01-09 06:27.700 +05:00

 Current Total Sessions : 7

 dns  VPN: public --> public  ID: a48f39239b24818895a54ad0b

 Zone: local --> untrust  TTL: 00:00:30  Left: 00:00:21

 Recv Interface: InLoopBack0

 Interface: GigabitEthernet1/0/2  NextHop: 37.X.154.33  MAC: 000f-XXXX-9b7f

 <--packets: 0 bytes: 0 --> packets: 1 bytes: 45

 95.X.83.79:53788 +-> 95.X.86.9:53 PolicyName: default

 

 dns  VPN: public --> public  ID: a58f39239b3f82d40a5a54ad12

 Zone: local --> untrust  TTL: 00:00:30  Left: 00:00:28

 Recv Interface: InLoopBack0

 Interface: GigabitEthernet1/0/2  NextHop: 37.X.154.33  MAC: 000f-XXXX-9b7f

 <--packets: 0 bytes: 0 --> packets: 1 bytes: 60

 95.X.83.79:54632 +-> 95.X.86.9:53 PolicyName: default

 

Кстати, вы также можете использовать команду, как показано ниже, для сброса сеанса брандмауэра. А затем сделайте тест на пинг. Наконец, вы можете найти только самую новую запись сеанса. Но вы должны быть осторожны, эта команда повлияет на службу из-за повторного сеанса брандмауэра.

 

<HUAWEI>reset firewall session table source-zone local destination-port global 53

Warning:Reseting session table will affect the system's normal service.

Continue? [Y/N]:y

 

12. Сеанс для DNS от GE1 / 0/1 (95.X.83.79). Но нет пакетов обратно до 95.X.83.79. NextHop 37.X.154.33, этот сегмент ip полностью отличается от GE1 / 0/1. Выполните команду «display ip interface brief», чтобы проверить IP-адрес для портов.

 

[USG6330]display ip interface brief

2018-01-09 06:27.510 +05:00

*down: administratively down

^down: standby

(l): loopback

(s): spoofing

(d): Dampening Suppressed

(E): E-Trunk down

The number of interface that is UP in Physical is 5

The number of interface that is DOWN in Physical is 5

The number of interface that is UP in Protocol is 5

The number of interface that is DOWN in Protocol is 5

 

Interface                         IP Address/Mask      Physical   Protocol 

Cellular0/0/0                     unassigned           down       down     

GigabitEthernet0/0/0              10.X.10.1/24        down       down     

GigabitEthernet1/0/0              10.X.117.3/27      up         up       

GigabitEthernet1/0/1              95.X.83.79/27      up         up       

GigabitEthernet1/0/2              37.X.154.35/28      up         up

 

13. Проверьте таблицу маршрутизации ip.

[USG6330]display ip routing table

2018-01-09 06:27.040 +05:00

Route Flags: R - relay, D - download to fib

------------------------------------------------------------------------------

Routing Tables: Public

         Destinations : 28       Routes : 30      

 

Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface

 

        0.0.0.0/0   Static  60   0          RD   95.X.83.65    GigabitEthernet1/0/1

                   Static  60   0          RD   37.X.154.33    GigabitEthernet1/0/2

       10.0.0.0/8   Static  60   0          RD   10.X.117.1    GigabitEthernet1/0/0

   10.X.117.0/27  Direct  0    0           D   10.X.117.3    GigabitEthernet1/0/0

   10.X.117.3/32  Direct  0    0           D   127.0.0.1       GigabitEthernet1/0/0

 

Есть 2 статических маршрутизации по умолчанию с одинаковой стоимостью и пред.

14. Проверьте конфигурацию DNS-сервера.

 

[USG6330]display current-configuration | include dns

dns resolve

dns-transparent-policy

  action tpdns

 dns server bind interface GigabitEthernet1/0/1 preferred 95.X.86.9 alternate 95.X.80.9

 dns server bind interface GigabitEthernet1/0/2 preferred 193.X.11.2 alternate 217.X.190.2

 

Команда «dns server bind interface» устанавливает IP-адрес DNS-сервера, привязанного к интерфейсу.

15. Пакеты DNS с исходным IP-адресом GE1 / 0/1, переданные GE1 / 0/2. GE1 / 0/1 и GE1 / 0/2 были подключены к другому провайдеру. Это означает, что DNS-пакеты с IP-адресом ISP1 передаются на ISP2, но никакие пакеты не отправляются обратно в USG6330. Это может быть связано с политикой провайдера (заблокировать пакет DNS другого провайдера).

16. Проверьте политику NAT.

 

[USG6330]nat-policy

[USG6330-policy-nat]display this

#

nat-policy

 rule name "NAT Access Policy"

  description NAT Access Group Policy

  source-zone trust

  destination-zone untrust

  source-address address-set "NAT Source Group"

  action nat easy-ip

 rule name "Nat Access Policy 2"

  source-zone trust

  destination-zone untrust

  source-address address-set "Nat Source Group 2"

  action nat easy-ip

#

 

Проверьте зону на наличие портов с помощью команды «Показать зону».

 

#

[USG6330]display zone

2018-01-09 06:27.280 +05:00

local

 priority is 100

 interface of the zone is (0):

#

trust

 priority is 85

 interface of the zone is (2):

    GigabitEthernet0/0/0

    GigabitEthernet1/0/0

#

untrust

 priority is 5

 interface of the zone is (2):

    GigabitEthernet1/0/1

    GigabitEthernet1/0/2

#

 

Нет локальной политики local to untrust.

17. Установите NAT (простой IP) для GE1 / 0/1 и GE1 / 0/2. И даже пакеты DNS GE1 / 0/1 (ISP1) передаются на ISP2, исходный IP будет NAT как IP ISP2.

 

#

nat-policy

rule nat test

source-zone local

destination-zone untrust

 action nat easy-ip

#

 

18. Ping sec.huawei.com

 

[USG6330]ping sec.huawei.com

  PING sec.huawei.com.cdngtm.com (45.X.212.170): 56  data bytes, press CTRL_C to break

    Reply from 45.X.212.170: bytes=56 Sequence=1 ttl=232 time=391 ms

    Reply from 45.X.212.170: bytes=56 Sequence=2 ttl=232 time=384 ms

 

sec.huawei.com достижим. USG6330 может обновить базу данных подписей по адресу https://sec.huawei.com.

 


  • x

Комментарий

Отправить
Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация

Внимание Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Политика конфиденциальности..”
Если кнопка вложения недоступна, обновите Adobe Flash Player до последней версии.
Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Вход