防火墙架设问题总结.doc

防火墙架设总结 一、出差准备工作： 1）出差前一定要和客户沟通好，把自己和客户双方需要准备的各种设备准备好，尤其是了解客户的网络拓扑、交换机接口型号、所需模块型号、光纤接口及数量。并且把设备的具体型号、数量告诉对方。这一点很重要，可以和销售一起去做，以免到后再去准备既浪费时间又浪费精力。 2）出差前把客户的网络拓扑图要画好，到了客户所在地，最好去机房在考察下环境，到机房把自己的图给客户看下，需要更改的地方及时更改，架设前自己心里要有底。 3）出发前出差人员要亲自对设备再一次进行检测，确保设备正常后方可装箱。 4）到了客户现场有条件的要先进行设备检测，看设备是否正常运转。如果设备有问题，要及时跟公司联系更换设备。 架设墙之前确认客户把上层下层的汇聚已经做好。墙架设好后最好要把防火墙的管理交换机单独接到墙外的交换机下。最好单独给防火墙配个管理服务器，方便远程管理。 二、防火墙架设常见故障及解决方案 【故障现象】：防火墙设置好外网ip后，外网ip ping不通，内网能通，无法远程管理。 【故障原因】：交换机没有学习到防火墙管理口的mac。 【解决方法】：法：1）进入防火墙核心向外ping下网关。法：2）重启防火墙 法：3）直连防火墙管理口，多次执行arp -d 清下缓存，多次ping 下这个 ip ，arp-a获取mac ，手动绑一下ip和mac 在ping下。 如果以上方法都试过还不行的话，可能是防火墙核心的问题，联系公司。 【故障现象】：防火墙内外网接好后，网络服务器好多不是本机房的ip段，ping 墙下服务器ip不通。 【故障原因】：防火墙的内网接反。 【解决方法】：调换内网外网线重新接入。 【故障现象】：防火墙内网ping不通，连不上核心ssh. 【故障原因】：防火墙硬件问题，系统故障、内网ip不对。 【解决方案】：1）查看防火墙硬盘灯、网卡灯是否亮，如果不亮重启几次试试。2）如果硬盘网卡灯都亮，检测下自己所配内网ip是否正确，然后换下其他的口在配以内网ip ping下，在换其他常见的内网ip ping 下。 如果重启几次灯都不亮可能硬件出问题，灯亮但是换了网口，ping了别的常见内网ip还不可以，可能是系统核心有问题了，需要联系公司返修检测。 【故障现象】：防火墙做好集群后，登录防火墙看不到另一台防火墙的状态。 【故障原因】：1）集群设置的有问题，可能是同步账号密码不一致。2）防火墙的同步口没有在防火墙网络接口添加进去。 【解决方案】：1）检查同步账号密码 3）检查防火墙网络接口同步口是否添加进去。3）防火墙的版本是否一致。 【故障现象】：防火墙架设好后，突然墙的操作很卡，墙下所有服务器不能正常向外访问80端口，从防火墙上看没有任何外部攻击。 【故障原因】：防火墙下面服务器在外面扫肉鸡，打攻击，建立了大量的连接数，大概200多万，因为防火墙对内部服务器向外的链接是信任的，syn模块不会接管，所以一旦外网扫描、攻击对防火墙的资源消耗很大，连接数被攻击连接占用，导致墙下服务器向外访问拥堵。一般如果某个机房外网无任何攻击，但是网络延迟特别高，要检查下是否有向外打攻击、扫肉鸡的，内网攻击影响比较大。 【解决方案】：1）在链接监控里面查看扫描、攻击的服务器，然后拔线重做系统。2）将这些扫描、攻击服务器做直通，直接转发数据防火墙不处理。3）制定向外扫描、向外攻击策略应用于全局。 【注意事项】： 1、设备到达机房上架到机柜时，先不要开机，要稍等一下，防止由于天气过冷，突然开机造成设备短路。 2、设备上架前，一定要在认真测试一遍，以免切割数据设备不能正常使用，因为切割数据时间宝贵，不允许过多时间，影响较大。 3、如果切割定好时间，一定要提前1-2个小时前往现场，仔细检查设备以及切割所需要的所有东西，尤其是模块、光纤，交换机配置是否准备妥当，以免准备不足，耽误正常数据切割。