- 2009-1124日
今天碰到一个比较奇怪的问题,juniper防火墙不管是内网还是外网,不管是http还是telnet都无法登陆,以前也写过一篇 [Juniper SSG防火墙无法通过web或telnet登陆解决办法] ,但是这次碰到的问题和前面写的都不一样。不过最后问题还是解决了,下面介绍一下解决问题的过程。
由于telnet和http都不能登录,只能通过console线连接设备。
先通过命令“get int”检查接口状态,几个接口的状态都是“U”连接状态,接口的IP都是正常的。
SSG140-> get int eth0/0
Interface ethernet0/0:
description ethernet0/0
number 0, if_info 0, if_index 0, mode nat
link up, phy-link up/full-duplex
vsys Root, zone Trust, vr trust-vr
dhcp client disabled
PPPoE disabled
admin mtu 0, operating mtu 1500, default mtu 1500
*ip 192.168.10.1/24 mac 001d.b50c.c300
*manage ip 192.168.10.1, mac 001d.b50c.c300
route-deny disable
pmtu-v4 disabled
ping enabled, telnet enabled, SSH enabled, SNMP enabled
web enabled, ident-reset disabled, SSL enabled
DNS Proxy disabled, webauth disabled, g-arp enabled, webauth-ip 0.0.0.0
OSPF disabled BGP disabled RIP disabled RIPng disabled mtrace disabled
PIM: not configured IGMP not configured
NHRP disabled
bandwidth: physical 100000kbps, configured egress [gbw 0kbps mbw 0kbps]
configured ingress mbw 0kbps, current bw 1kbps
total allocated gbw 0kbps
DHCP-Relay disabled at interface level
DHCP-server disabled通过上面的命令可以看到管理IP是开启的,telnet和http功能也开启了。
在看下是否有登陆IP限制
SSG140-> get admin manager-ip
Manager IP enforced: False
Manager IPs: 0Address Mask Vsys
-------------------- -------------------- --------------------
SSG140->没有ip限制。
再看下管理登陆的几个端口号
SSG140-> get admin
HTTP Port: 80, HTTPS Port: 443
TELNET Port: 23, SSH Port: 22
Manager IP enforced: False
Manager IPs: 0Address Mask Vsys
-------------------- -------------------- --------------------
Mail Alert: Off, Mail Server:
E-Mail Address:
E-Mail Traffic Log: Off
Configuration Format: DOS
Device Reset: Enabled
Hardware Reset: Enabled
Admin privilege: read-only (Remote admin has read-only privileges)
Max Failed Admin login attempts: 3
HTTP redirect: false都是使用的默认端口,没什么问题。
通过以上的一些命令可以看出防火墙的设置方面是没问题的。
没办法只能死马当活马医了,修改一下登陆的端口号“set admin port 8000”,将登陆的端口号设置为8000端口,试了一下http//192.168.10.1:8000,发现可以通过web登陆了,再将端口号改回80,问题解决。
转载请注明:
本文转自:http://www.liusuping.com/juniper/juniper-wufadenglu.html
刘苏平的博客
醉生梦死的生活
如果觉得博文还不错,请猛击此处订阅本博客!
或者请与我联系:admin#liusuping.com
或者请与我联系:admin#liusuping.com
5楼 老三
Post:2011-1-20 11:17:46
4楼 hxx
Post:2010-7-27 10:21:10
3楼 sukesaha
Post:2009-12-21 13:14:49
还是2台SSG520做HA
ScreenOS版本6.1r5
主墙地址100,没有设manage-ip
备墙地址学习主墙地址100,为管理设置manage-ip为101
疑问:
1、按常理,我web输入100,应该登录主墙,但是我现在的情况是有可能登录主墙,也就是说也有可能那次我输入100就登录的是备墙了,不知道为什么......;
2、我在其他Juniper防火墙做HA是设置也一样:包括SSG550,以前的NS-204等,都没有出现这种情况。
-----
不知如何下手排查问题?
实在不行只能除了设置100地址以外,每台墙再设一个manage-ip
2楼 sukesaha
Post:2009-12-21 12:06:20
上周五按lz方法操作了下
OK了
--------
我的ScreenOS版本为6.1r2,先这样吧,如果还出现无法登录的状况,再考虑升级OS吧
lz怀疑是版本问题,有没有在Release Note找到相应的说明呢?这样才能确认是OS版本问题,才是我升级的依据,呵呵
--------
说到OS版本问题,我上次2台SSG550做HA,ScreenOS为6.1r4版本,发生端口无故up、down而引起切换,后来查看6.1Release Note,发现是有这个问题,并在6.1r5中进行了修复说明:
309001—[SSG 500] Interface link might go down intermittently causing some
packet drops.
呵呵,后来就升级至最终的release版本6.1r7
目前为止一切OK
----------------
在此留言一并说了吧,呵呵
按照lz的方法注册Juniper账号已成功,谢谢了
1楼 sukesaha
Post:2009-12-18 14:27:30
胸闷啊
还以为只有我RP太渣呢
哈哈哈
我找个时间试一下
----------------
按lz所说http好了
那telnet呢?
举一反三?
也如此这般操作?
不知lz有没有操作过?