24
2009
11

Juniper防火墙无法登陆的问题解决

今天碰到一个比较奇怪的问题,juniper防火墙不管是内网还是外网,不管是http还是telnet都无法登陆,以前也写过一篇 [Juniper SSG防火墙无法通过web或telnet登陆解决办法] ,但是这次碰到的问题和前面写的都不一样。不过最后问题还是解决了,下面介绍一下解决问题的过程。

由于telnet和http都不能登录,只能通过console线连接设备。

先通过命令“get int”检查接口状态,几个接口的状态都是“U”连接状态,接口的IP都是正常的。

SSG140-> get int eth0/0
Interface ethernet0/0:
  description ethernet0/0
  number 0, if_info 0, if_index 0, mode nat
  link up, phy-link up/full-duplex
  vsys Root, zone Trust, vr trust-vr
  dhcp client disabled
  PPPoE disabled
  admin mtu 0, operating mtu 1500, default mtu 1500
  *ip 192.168.10.1/24   mac 001d.b50c.c300
  *manage ip 192.168.10.1, mac 001d.b50c.c300
  route-deny disable
  pmtu-v4 disabled
  ping enabled, telnet enabled, SSH enabled, SNMP enabled
  web enabled, ident-reset disabled, SSL enabled
  DNS Proxy disabled, webauth disabled, g-arp enabled, webauth-ip 0.0.0.0
  OSPF disabled  BGP disabled  RIP disabled  RIPng disabled  mtrace disabled
  PIM: not configured  IGMP not configured
  NHRP disabled
  bandwidth: physical 100000kbps, configured egress [gbw 0kbps mbw 0kbps]
             configured ingress mbw 0kbps, current bw 1kbps
             total allocated gbw 0kbps
  DHCP-Relay disabled at interface level
  DHCP-server disabled

通过上面的命令可以看到管理IP是开启的,telnet和http功能也开启了。

在看下是否有登陆IP限制

SSG140-> get admin manager-ip
Manager IP enforced: False
Manager IPs: 0

Address              Mask                 Vsys               
-------------------- -------------------- --------------------
SSG140->

没有ip限制。

再看下管理登陆的几个端口号

SSG140-> get admin
HTTP Port: 80, HTTPS Port: 443
TELNET Port: 23, SSH Port: 22

Manager IP enforced: False
Manager IPs: 0

Address              Mask                 Vsys               
-------------------- -------------------- --------------------
Mail Alert: Off, Mail Server:
E-Mail Address: 
E-Mail Traffic Log: Off
Configuration Format: DOS
Device Reset: Enabled
Hardware Reset: Enabled
Admin privilege: read-only (Remote admin has read-only privileges)
Max Failed Admin login attempts: 3
HTTP redirect: false

都是使用的默认端口,没什么问题。

通过以上的一些命令可以看出防火墙的设置方面是没问题的。

没办法只能死马当活马医了,修改一下登陆的端口号“set admin port 8000”,将登陆的端口号设置为8000端口,试了一下http//192.168.10.1:8000,发现可以通过web登陆了,再将端口号改回80,问题解决。

« 上一篇下一篇 »

评论列表:

1.sukesaha  2009-12-18 14:27:30 回复该留言
我也碰到了这个问题
胸闷啊
还以为只有我RP太渣呢
哈哈哈
我找个时间试一下
----------------
按lz所说http好了
那telnet呢?
举一反三?
也如此这般操作?
不知lz有没有操作过?
.刘苏平  2009-12-19 11:29:11 回复该留言
http好了之后,telnet等都会自动恢复。
现在看下来是版本问题,升级到稳定版本的ScreenOS可以解决
2.sukesaha  2009-12-21 12:06:20 回复该留言
呵呵,看了lz的blog还是有很多收获的,谢谢lz的分享精神,赞一个:

上周五按lz方法操作了下
OK了
--------
我的ScreenOS版本为6.1r2,先这样吧,如果还出现无法登录的状况,再考虑升级OS吧
lz怀疑是版本问题,有没有在Release Note找到相应的说明呢?这样才能确认是OS版本问题,才是我升级的依据,呵呵
--------
说到OS版本问题,我上次2台SSG550做HA,ScreenOS为6.1r4版本,发生端口无故up、down而引起切换,后来查看6.1Release Note,发现是有这个问题,并在6.1r5中进行了修复说明:
309001—[SSG 500] Interface link might go down intermittently causing some
packet drops.
呵呵,后来就升级至最终的release版本6.1r7
目前为止一切OK
----------------
在此留言一并说了吧,呵呵
按照lz的方法注册Juniper账号已成功,谢谢了
3.sukesaha  2009-12-21 13:14:49 回复该留言
对了,我还碰到一个问题,不知道lz有没有什么建议:
还是2台SSG520做HA
ScreenOS版本6.1r5
主墙地址100,没有设manage-ip
备墙地址学习主墙地址100,为管理设置manage-ip为101
疑问:
1、按常理,我web输入100,应该登录主墙,但是我现在的情况是有可能登录主墙,也就是说也有可能那次我输入100就登录的是备墙了,不知道为什么......;
2、我在其他Juniper防火墙做HA是设置也一样:包括SSG550,以前的NS-204等,都没有出现这种情况。
-----
不知如何下手排查问题?
实在不行只能除了设置100地址以外,每台墙再设一个manage-ip
4.hxx  2010-7-27 10:21:10 回复该留言
clear socket 就可以了
.刘苏平  2010-8-1 0:10:33 回复该留言
这个命令我没试过,关键还是版本问题,如果不换os以后还会出现这样的情况
5.老三  2011-1-20 11:17:46 回复该留言
请问下 那个登录端口号在WEB界面怎么修改 。

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。