CNESA - SE_Gao的文章

SE_Gao 的文章

网络安全

【AC】业务隔一段时间无法访问刷新又会恢复

客户反馈业务每隔一段时间访问就会报错，直通后可以恢复 1、检查用户只有上网权限策略，没有开启ssl内容识别和防共享 2、客户反馈开启直通之后可以恢复，但是测试开启直通之后并也没有日志 3、业务访问异常的时候开启F12，刷新页面发现有个异常请求iwa的 4、检查客户配置开启了定期发送iwa请求导致http业务访问异常取消定时发送IWA请求之后，客户访问业务没有异常了

SE_Gao 2024-12-12

6 0 0
网络安全

【AC】高可用提示：主备模式网口配置不一致

12.0.62版本主备部署DMZ口IP主备不会同步，检查终端使用的网口个数是一样的，当时详细检查主备的DMZ1口和DMZ2口配置不一样导致部署模式中，dmz口网口配置不通导致主备异常，修改dmz口一样之后可以正常组主备了

SE_Gao 2024-12-11

16 0 0
网络安全

【AC】硬件质保过期续期失败之DNS问题

设备硬件质保过期，续期之后，时间没变。 1、后台sh -x /usr/sbin/gcs_script/gcs_handle_addedsrv.sh GetSrvExpTime查看脚本执行过程，没有报错。 2、使用wget测试域名失败。 3、将114.114.114.114的DNS地址放在第一位之后，后台执行命令更新成功。 DNS地址原因导致设备无法上网获取数据修改DNS地址

SE_Gao 2024-12-10

5 0 0
Windows

如何关闭135，139，445高危端口

关闭135，139，445高危端口方法方法一：防火墙关闭高危端口其一：拒绝所有IP访问135、139、445端口 1、打开“控制面板”→打开“系统和安全”→打开“系统和安全”→打开“windows防火墙” 2、点击“高级设置” 3、选中“入站规则”→鼠标右点击“新建规则” 4、选择“端口” -->下一步 5、在红色框中特定本地端口输入“135,139,445” --下一步 6、点击 “阻止连接” -->下一步 7、如果是全选，直接下一步；否则全选之后，下一步 8、起个方便你记忆同时表明该策略目的名字，方便以后修改。 9、最后开启防火墙其二：允许特定IP访问135、139、445端口 1、打开“控制面板”→打开“系统和安全”→打开“系统和安全”→打开“windows防火墙” 2、点击“高级设置” 3、选中“入站规则”→鼠标右点击“新建规则” 4、选择“端口” -->下一步 5、在红色框中特定本地端口输入“135,139,445” --下一步 6、点击 “允许连接” -->下一步 7、如果是全选，直接下一步；否则全选之后，下一步 8、起个方便你记忆同时表明该策略目的名字，方便以后修改。 9、打开刚刚新建的规则，点击“作用域”，点击“添加”。 10、设置允许的IP。 11、最后开启防火墙方法二：IPsec关闭高危端口在“开始”菜单选择“运行”，输入“gpedit.msc”后回车，打开本地组策略编辑器。依次展开“计算机配置—windows设置—安全设置—ip安全策略，在本地计算机” 关闭135端口：在本地组策略编辑器右边空白处右键单击鼠标，选择“创建IP安全策略”，弹出IP安全策略向导对话框，单击下一步；在出现的对话框中的名称处写“关闭端口”（可随意填写），点击下一步；对话框中的“激活默认响应规则”选项不要勾选，然后单击下一步；勾选“编辑属性”，单击完成。在出现的“关闭端口属性”对话框中，选择“规则”选项卡，去掉“使用添加向导”前边的勾后，单击“添加”按钮。在弹出的“新规则属性”对话框中，选……

SE_Gao 2024-12-09

25 0 0
防火墙

USG6000e IPSEC会话查看及抓包判断方法

问题描述因为ipsec流量是加密的，无法通过抓包的方式直接获取原始数据流信息 USG6000e IPSEC会话查看及抓包判断方法如下解决方案 1、内层数据可以通过查看会话表的方式获取信息 Sys Diag Display firewall session table detail source inside 本端内网IP destination global 对端内网IP（其中有字段fwd_type: forward <--> ipsec 证明流量已发送到隧道中）然后通过display ipsec sa remote 远端公网地址，可以看到对应的隧道中的outbound 加密字段会有增长） 2、封装后的报文是加密报文有两种场景（抓包中无法直接看到内部的流量信息） 1）非nat穿越场景，此时使用的是协议50（ESP协议封装），所以可以通过五元组抓包抓取到两边公网IP互发的报文现网流量是混杂的所以ping的时候需要携带特殊的长度去测试如：ping -l 1333 目标地址（方便报文筛选，wireshark报文筛选方法frame.len >=1333 and frame.len<=1500 ） 2）Nat穿越场景，此时仍然是ESP但是抓包只能用目的UDP 4500去获取，也可以通过五元组抓包抓取到两边公网IP互发的报文

SE_Gao 2024-12-06

12 0 0
防火墙

新增USG6580E防火墙导致网络异常的故障处理

问题描述在某项目实施过程中，原始拓扑如下图，橘色区域为某ZF部门的设备，蓝色区域为某局的设备，某局所有终端设备的网关地址在ZF部门核心交换机上，为了安全性和可控性方面的考虑，需要对现网进行改造，在核心交换机与汇聚交换机中间新增防火墙USG6580E进行安全管控，同时将某局终端的网关下沉在新增防火墙上边。按照上述需求进行网络改造后，如下图所示，新增防火墙有某局网络维护人员进行维护，承担该局点所有终端设备的网关及安全过滤，同时对上三层IP对接并使用静态路由协议与核心进行路由的互相传递，按照上述方案进行改造完毕后，发现该局点所有终端存在上网时断时续，网络质量时好时坏的故障。告警信息存在的故障现象即该局点所有终端都存在上网慢，时断时续，时通时不通的情况，包括终端的ping测试、tracert测试和网页测试。处理过程由于防火墙以上设备属于某ZF局点的设备，原本想登陆核心设备进行相关信息的查看，与ZF人员沟通后备拒绝，理由是可以配合某局进行相关配置调整，但是为了安全性考虑，无法直接让某局的人登陆ZF的设备进行查看。所以只能先从防火墙下手进行排查。新增防火墙后出现网络卡顿的故障， 1、首先怀疑是否某些报文被防火墙丢弃了，所以查看了对应的安全策略、带宽策略、接口区域、路由指向等配置，发现并未对报文做相关丢弃的动作。 2、其次为了证明报文是否是被防火墙所丢弃，所以在防火墙的诊断视图下使用firewall statistic acl匹配对应的源进行流量统计，发现相关报文并非被防火墙所丢弃。所以基本排除了是防火墙丢弃的相关报文导致业务时断时续。在整个网络改造的过程中，除了新增防火墙以外，还做了一个关键性的动作就是业务网关从原本的核心交换机下沉至了新增防火墙。所以怀疑会不会该动作导致的故障现象。但是由于核心交换机ZF无法授权登录，……

SE_Gao 2024-12-05

14 0 0
防火墙

USG6500E防火墙作为出口环境的网页访问故障

问题描述故障现象：用户发现某Web页面无法正常访问。组网：USG6500E（V500R001C60SPC100）作为互联网出口设备（配置有Easy-ip方式的Nat），防火墙上行通过运营商链路连接Web服务器，下联一台XXX友商的上网行为管理设备。上网行为管理下联用户三层汇聚交换机。处理过程一、在用户终端访问该Web页面验证故障现象，发现页面无法正常访问；二、在用户终端对Web服务器地址进行ping测试，结果ping成功；三、在用户终端对Web服务器地址进行telnet测试，发现该地址的443端口和80端口均能连接成功，由此可以判断网络层面地址可达；四、在USG6500E防火墙查看会话表项，发现存在正确的NAT地址转换表项；五、为排查传输层故障，在防火墙侧设置Web服务器地址作为五元组抓包参数。然后再用户终端对服务器地址ping测和telnet测试的同时，在防火墙端进行五元组抓包，结果显示TCP三次握手正常建立，之后的应用层连接被重置，此后终端向服务器不停重传TCP-SYN报文，没有收到回复报文；六、由上述现象判断故障是由于运营商侧或应用侧对NAT转换后的公网地址做了相关的安全限制，故将原本的easy ip转换方式改为地址池转换的方式。七、重新访问应用Web页面，故障得以解决。根因运营商侧或应用侧对防火墙NAT转换后的公网地址做了相关的安全限制，导致TCP建联不正常，引起页面访问故障。解决方案将原本的easy ip转换方式改为地址池的方式。建议与总结出现类似互联网环境下的页面无法访问情况，应当先排查网络层地址是否可达。网络层没问题应采用设备自带功能或专业抓包工具查看TCP建联情况，如果TCP连接成功则说明问题出在应用层。下一步则排查应用侧是否做了针对客户侧地址的相关限制策略，如发现存在不正确的限制策略则应加以调整或在用户设备侧改变发起访问的源地址。

SE_Gao 2024-12-04

9 0 0
防火墙

USG6655E双机热备CPU负载过高

问题描述客户数通产品排障过程中，发现USG6655E防火墙CPU飙高 HRP_Mdis cpu CPU Usage Stat. Cycle: 10 (Second) CPU Usage : 87.6% Max: 98.6% Management-plane CPU Usage: 29.6% Data-plane CPU Usage : 91.9% CPU utilization for ten seconds: 87.6% : one minute: 88.6% : five minutes: 82.7% PID ProcessName CPU Runtime State 5224 fpath.out 85.9% 756111614 S 4886 vrp 1.3% 65215545 S 4946 vrpio_s 0.4% 47372174 S …… 组网图如下：处理过程第一步：检查发现防火墙双机主备部署，防火墙与上下行交换机通过vlanif互联，当前主备状态运行正常；第二步：查看防火墙无异常日志及告警，但备墙接口流量异常飙高第三步：在上行交换机CE12808查看日志。发现存在vlan 16下mac漂移告警，告警显示mac表项对应接口频繁在主备间墙切换，初步判断为二层环路引起。第四步：经与云平台同事确认当前vlan 16是现场业务环境需要在上下行交换机与防火墙间二层透传vlan16。第五步：通过建立问题单咨询服务支持得知：上下行交换机均为堆叠场景，使得vlan16的业务流量在上下行交换机间形成环路，从而造成CPU资源占用超过阈值。处理结果：在防火墙上配置hrp track vlan 16后使得mac表项只由主墙进行转发后，接口流量计CPU占用恢复正常。根因在防火墙上下行连接交换机二三层混跑模式下未track链路中放通的二层vlan造成网络环路解决方案防火墙上下行连接交换机需要同时track链路中放通的二层vlan 建议与总结在排障过程中，发现防火墙双机主备状态正常并且无异常告警，该状态是基于现网hrp track防火墙与上下行交换机互联vlanif接口选举出来的……

SE_Gao 2024-12-03

5 0 0
Windows

Win10多用户同时登陆远程桌面

想记录一下最近解决的一些问题，发现还是博客最合适，虽然之前从来没写过，希望以后能养成这个好习惯。家里有一台台式机装着Win10，还有一台macbook，平时遇到需要用Win系统又不想坐在书桌前时，我通常是用macbook远程连接到台式机上操作。但女票同时也要用台式机时，这么操作显然是行不通的。这时就想起以前在学校，室友给我展示他们实验室大家公用的服务器，每人都远程登录同一台电脑做数据运算，互不干扰，岂不是正符合我的需求么？研究了一下发现，原来这是Windows Server专有的功能，难道要重装个Win2019了么？答案当然是并不需要，否则标题就白写了，搜索了下发现有类似需求的人还挺多的，Win10经过一些破解，也可以支持多人同时登陆。具体步骤懒得复述了，直接转载这篇《Win10多用户远程登陆》了，在此表示感谢！该文的步骤很详细了，不过到了最后一步，打开RDPConf.exe后，Listener state有可能报红字：这是由于RDPWrap这个工具已经一年多没更新了，新版本的Win10有可能不兼容。全靠Issues里各位大神自立更生地解决新版Win10的兼容问题。我的Win10版本是1903，从其中一个Issue的解答中找到了解决方案：下载包含更新配置的zip包把zip包中的.ini文件复制到 C:\Program Files\RDP Wrapper，重命名为rdpwrap2.ini 新建一个文本文件，写入以下指令，并修改扩展名为bat，以管理员权限运行： net stop termservice del /F /Q rdpwrap.ini ren rdpwrap2.ini rdpwrap.ini net start termservice 说一下思路，就是需要更新RDPWrap的ini文件使其能识别最新版Win10，但是这个文件在远程桌面服务（termservice）运行状态时是被使用的，所以要先停止服务，替换文件，再重启服务。看了下最近的Issues，貌似已有人提供了新的RDPWrap的更新服务，不过还没尝试，等以后Win10再次被强制升级后再试吧。

SE_Gao 2024-12-02

7 0 0
硬件天地

浅谈网络文件系统原理

本文分享自天翼云开发者社区《浅谈网络文件系统原理》，作者：谢****云什么是网络文件系统？网络文件系统（Network File System, NFS）实现了一种软件协议，能将远端的文件系统映射到本地，使用者访问网络上的文件就像在使用自己的计算机一样。远端是专属存储系统，通常称为NAS存储。比较出名的网络文件系统的实现包括Sun公司的NFS，微软的CIFS（Common Internet File System）等，网络文件系统的访问示意图如下：图1 网络文件系统挂载示意图网络文件系统协议实现了将远端的目录树映射到本机，成为本机目录树种的一颗子树。一个实现合格的网络文件系统，实现了文件操作接口的POSIX（Portable Operating System Interface X）语义，从而使用户操作操作网络文件系统像操作本地文件系统一样，用户不会感知到操作的文件或文件夹实际存储在远端。网络文件系统的实现也分为，客户端和服务端两部分。其中，客户端实现与本地文件系统的实现类似，其主要差异是访问数据的时候，并不是访问本地磁盘设备，而是遵从一定的协议，通过网络访问F服务端。服务端负责处理客户端的访问请求，将对应的数据和元数据保存在磁盘上。网络文件系统的关键技术：（1）远程过程调用，RPC协议网络文件系统客户端与服务端之间的交互是通过一定的网络协议如NFS协议实现的。网络协议是通过函数调用的方式定义，主要内容包括ID、参数和返回值等。为降低协议封装、解析的复杂性，通常会在文件提业务层与TCP/IP层之间封装一层交互实现，称之为RPC协议。RPC（Remote Procedure Call）是一种远程调用协议，它基于Socket，位于OSI模型中会话层，客户端可以调用远程服务器上的程序或方法，并获取返回结果。具体的，在客户端调用RPC函数时，会调用RPC库的接口将该函数转化为网络消息转发到服务端，服务端的RPC库对网络包进行解析……

SE_Gao 2024-11-29

12 0 0