1.防火墙软件故障 美国马萨诸塞州报警电话一度瘫痪
美国马萨诸塞州应急部门官员19日说,该州紧急服务电话“911”18日一度瘫痪,原因是系统防火墙软件阻断了人们拨入的求助电话。
美联社援引马萨诸塞州应急部门官员弗兰克·波兹尼亚克的话报道,18日13时15分至15时15分,民众无法拨通该州“911”电话。调查显示,这是由于原本用于阻挡黑客攻击的防火墙软件阻断了这些求助电话。
至于防火墙软件为何突然“抽风”,具体原因仍在调查。
应急部门表示,尽管18日部分民众未能拨通“911”电话,但是应急部门随后识别来电号码并一一回电,因此据信此次系统故障没有造成太大的负面影响。波兹尼亚克说,应急部门将采取一切必要措施,防止类似事件再度发生。
警方提醒,民众如遇“911”无法拨通情形,可拨打所在区域警局电话。
数年前,马萨诸塞州曾因网络故障发生“911”紧急服务电话瘫痪事件。今年4月,内布拉斯加州、内华达州和南达科他州多地“911”紧急服务电话也因通信光缆受损一度异常。
来源:央视新闻
2.HUAWEI 防火墙ddns故障问题解决思路
DDNS原理描述:
如图所示的组网图中,PC需要通过域名访问提供应用层服务作为HTTP Server的FW。FW接入Internet的接口从网络运营商动态获取IP地址,由于每次获取到的IP地址不同,导致域名和IP地址的对应关系会发生变化。而传统的DNS无法动态更新域名和IP地址的对应关系,这就会导致PC访问FW失败。此时,可通过部署DDNS Server来解决该问题。
- DDNS Client:IP地址变化时,需要在DNS Server上动态更新其域名和IP地址映射关系。
为保证FW的IP地址变化时,其他用户仍然可以通过域名进行访问,FW作为DDNS Client,向DDNS Server发送更新域名和IP地址映射关系的DDNS更新请求。
- DDNS Server:负责通知DNS Server动态更新域名和IP地址之间的映射关系。
接收到DDNS Client的DDNS更新请求后,DDNS Server通知DNS Server重新建立DDNS Client的域名和IP地址之间的映射关系,从而保证即使DDNS Client的IP地址改变,Internet用户仍然可以通过同样的域名访问DDNS Client。
防火墙做ddns client,由于出口是拨号地址会变动,需要借助第三方ddns服务器,防火墙当拨号口IP变动之后会主动刷新同步给ddns server,然后ddns server通知DNS Server(一般为运营商的dns服务器)动态更新域名和IP地址之间的映射关系,从而实现外网PC访问域名,请求给到DNS Server,DNS Server给公网PC对应的IP地址,于防火墙而言只需要检查上图的①步骤即可。
更新失败问题解决思路:
1.确保防火墙上能ping通域名服务商
①可以先在防火墙上ping 8.8.8.8确认防火墙是否能ping通外网,如果能ping通的话
②用防火墙ping www.baidu.com 看看能不能做正常的域名解析,如果可以,说明防火墙能正常解析。
③然后再在防火墙上ping ddns里配置的域名提供商看能不能做正常解析,如果能通说明防火墙和服务提供商交互没问题(如果经过上面两步验证都没问题,但防火墙无法ping通域名提供商,检查是否配置的域名提供商url有误,或者是否为域名提供商的问题)
2.经过第一步操作后如果都没有问题,防火墙上手动刷新一下,看看是否能更新成功
①执行命令 system-view,进入系统视图。
②执行命令 interface interface-type interface-number,进入接口视图。
③执行命令ddns refresh,手动触发DDNS Client向DDNS Server发起更新域名和IP地址对应关系的请求。
3.如果手动刷新后还是不行
①执行命令display dns dynamic-host,检查动态域名缓存信息是否存在指定域名。
如果不存在要解析的域名,检查DNS Client是否和DNS Server通信正常;DNS Server是否工作正常;动态域名解析功能是否已经开启。
如果存在要解析的域名,但IP地址不对,执行步骤2。
display dns dynamic-host的详细解释如下:
https://support.huawei.com/hedex/hdx.do?docid=EDOC1100149311&id=ZH-CN_CLIREF_0176373044&lang=zh
②执行命令display dns server,查看DNS Server的配置信息。
检查DNS Client所配置的DNS Server的IP地址是否正确。
如果DNS Server地址错误,需先执行命令undo dns server ip-address删除已配置的DNS Server地址,再执行命令dns server ip-address重新配置正确的DNS Server地址。
display dns server的详细解释如下:
https://support.huawei.com/hedex/hdx.do?docid=EDOC1100149311&id=ZH-CN_CLIREF_0176373049&lang=zh
现网中,如果使用的是3322,由于这个ddns厂家域名变了会导致更新失败,建议用自定义ddns,然后把域名下.net结尾,具体操作方法如下:
自定义成这样:http://<username>:<password>@members.3322.net/dyndns/update?system=dyndns&hostname=<h>&myip=<a>
3.华为防火墙,客户端无法连接,建立连接超时,配置错误或网络故障
之前为某客户的华为防火墙配置了L2TP OVER IPSEC,突然发现无法连接了,UniVPN报错:与对方建立连接超时,配置错误或网络故障。
根据华为官方的解释是,配置的认证模式和设备侧配置的L2TP认证模式不匹配,例如一边是PAP,另外一边却是CHAP,但是看了UniVPN和华为防火墙里面的配置,都是PAP,很明显,官方的解释与实际的故障原因不匹配,哈哈。
当然还得继续排查,发现在防火墙的用户里面,搜索不到域账号,细看一眼,发现只有用户组同步过来了,域用户是一个也没有同步过来,尝试手动同步,报错:管理员绑定失败。
由于L2TP使用的是域账号认证,所以,没有域用户信息,是不可能拨入成功的,首先得解决这个问题才行。
“修改AD服务器”,以前配置的时候添加过了,如果没有,这里需要先添加AD服务器。
随便选一个域账户来检测,结果失败了,同样提示:管理员绑定失败。
根据这个提示,修改此处的域管理员账号和密码,确认与域控上面一致,重新检测时,提示通过了。
原因分析:应该就是防火墙里面绑定的域管理员密码过期了,域服务器修改过了,而防火墙上没有及时更新所致。
修正域管理员的密码后,再次用域账号检测服务器的连通性,顺利通过。
回到“服务器导入策略”,重新手动导入域账号,虽说不再提示管理员绑定失败,但是也没有导入成功,而是改为提示:导入失败。
最近解决问题总是诸多磨难,就没有一次是单纯的故障,能一次就解决的,所以还是继续排查吧。
查看详情,导入失败的是域管理员:administrator,然后真正的域用户一个也没有导入。
根据之前的经验,导入失败基本上是因为防火墙本地也有同名的账号,比如说域服务器上有个admin账号,防火墙本地也有个admin账号,那就会导入失败,但是administrator账号貌似防火墙上并没有。
算了,也没有太多的时间分析问题了,赶紧先解决客户的问题才是正事儿。
于是,“修改服务器导入策略”,把全部导入改为只导入OU,这样域控上自带的用户和组就不会导入了,直接避开报错的管理员账户。
“确定”后,再次尝试手动导入域用户,总算提示导入成功。
小小地兴奋了一下,客户端用UniVPN软件再次远程拨入,倒霉啊,故障依旧,没道理啊,仔细看配置的ike和ipsec参数,与防火墙端完全一致啊,郁闷。
又回到防火墙,dis ike sa,只看到分公司的防火墙IPSec远程接入,并没有看到客户端UniVPN拨入的信息。
Dis ike error
Malformed payload,华为官网解释为:非法载荷,但是没有写具体的处理方式,光看这个名词解释,肯定是一头雾水,好在有之前的经验,应该是预共享密码的问题,可能是手贱,不小心改动了预共享密码吧。
UniVPN里面是看不到预共享密码的,所以只能重新输入,保存。
再次点击连接,输入域账号和对应的密码,并且“保存密码”、“自动连接”都勾选上,下次打开软件,就能自动连接了。
如上图所示,功夫不负有心人,客户端远程拨入成功,出差在外的人,又可以方便地访问内网资源了。
松了口气,赶紧保存防火墙配置,并且下载一份配置文件到我的云主机,这都是多年的习惯了,客户设备出问题,或者掉配置的时候,直接导入恢复即可,方便了自己,也提高了客户的满意度,毕竟为客户提供IT外包服务,除了技术本身以外,效率和态度也是非常关键的。
4.防火墙软件故障 美国马萨诸塞州报警电话一度瘫痪
美国马萨诸塞州应急部门官员19日说,该州紧急服务电话“911”18日一度瘫痪,原因是系统防火墙软件阻断了人们拨入的求助电话。
美联社援引马萨诸塞州应急部门官员弗兰克·波兹尼亚克的话报道,18日13时15分至15时15分,民众无法拨通该州“911”电话。调查显示,这是由于原本用于阻挡黑客攻击的防火墙软件阻断了这些求助电话。
至于防火墙软件为何突然“抽风”,具体原因仍在调查。
应急部门表示,尽管18日部分民众未能拨通“911”电话,但是应急部门随后识别来电号码并一一回电,因此据信此次系统故障没有造成太大的负面影响。波兹尼亚克说,应急部门将采取一切必要措施,防止类似事件再度发生。
警方提醒,民众如遇“911”无法拨通情形,可拨打所在区域警局电话。
数年前,马萨诸塞州曾因网络故障发生“911”紧急服务电话瘫痪事件。今年4月,内布拉斯加州、内华达州和南达科他州多地“911”紧急服务电话也因通信光缆受损一度异常。
(央视新闻客户端)
