1.第9章 防火墙典型组网及常见故障诊断

说说防火墙典型组网及常见故障诊断！

1. 第 9 章防火墙典型组网及常见故障诊断，要掌握 SecPath 防火墙常见组网技巧，其常见组网案例包括在政府、企业纵向网络出口中的应用，金融证券行业的组网应用，电信级可靠性组网应用。

2. 检查防火墙相关内容：

- 检查防火墙的缺省动作是拦截还是放行。

- 检查接口是否加入正确的域。

- 检查 ARP 表项是否正确。

- 检查 ACL 规则的匹配情况。

- 检查 NAT 表项是否正确。

- 检查 ASPF 是否启用，是否应用到正确的接口正确的方向。

- 检查域统计功能是否开启。

3. 故障现象及分析诊断：

- 防火墙接口配置 IP 地址后 ping 不通：

- 确保防火墙物理链路 up 状态。

- 确保物理接口加入区域中的一个。

- 检查防火墙的缺省规则及 ACL 规则。

- 检查 ARP 表项中是否存在对端设备的 MAC 地址。

- 通过 debug 命令查看 ICMP 报文的收发情况。

- 网页内容关键字过滤设置后不生效，配置端口扫描和地址扫描攻击防范及动态黑名单后在防火墙上看不到攻击日志且没把扫描源地址动态加入到黑名单里：

- 检查扫描工具的扫描速度是否超过配置文件文件设置的每秒的 max-rate 值。

- 检查是否启用黑名单功能。

- 检查连接发起方域出方向的 IP 统计功能是否开启。

- 检查 ASPF 是否配置为检测 HTTP。

- 检查 ASPF 是否应用到接口或者域间。

- 通过 display firewall web-filter 查看过滤记录。

4. 常见故障现象七：

- 系统不能检测 2FE 卡：

- display version 查看 2FE 卡是否已经注册。

- 检查 2FE 卡的类型，有两种类型的 2FE 卡，secpath 只支持 82559 芯片的 2fe，不支持 21143 芯片的 2fe，还需补充两种类型板卡的区别方法（识别方法如下，可用通过单板的物理芯片肉眼观察识别。21143 芯片的 2fe 在靠近 pci 插座的地方，有一块 4 平方厘米的芯片，上面有 21143 的标记。如果是 82559 芯片的 2fe，只有一块 1 平方厘米的芯片，在单板中间，上面有 82559 的标记）。

- 防火墙透明模式设置为透明模式，防火墙两边的路由器不能建立 OSPF 邻居关系：

- 检查是否开启对 unknown-mac 的泛洪或者广播功能。

- 通过 ping 检查两端的物理链路是否通畅。

- 检查两端 hello 报文部分的区域号、网络号、hello 间隔时间和死亡时间等参数是否一致。

- 其他部分请参考 OSPF 协议的调试部分内容。

- GRE 隧道设置完毕后，不能 ping 通对端 tunnel：

- 确保隧道接口已经加入公网接口所在的域。

- 通过 dir 命令，检查 flash 里是否已经存在 http.zip 文件。

- 检查是否配置隧道是否配置了正确的源和目的地址。

- 检查路由表里是否存在到隧道目的地址的路由，也可通过 ping 命令测试隧道目的地址是否可达。

5. 故障现象：通过浏览器登录防火墙时，提示“找不到页面”，检查 PC 到防火墙的物理链路是否问题；如果不存在，通过 detach 命令把该文件从系统软件中分离。

6. 本章总结：防火墙常见组网方式为 SecPath 防火墙常见故障诊断分析，ITolP 解决方案专家，杭州华三通信技术有限公司。

2.堡垒之夜进不去显示防火墙错误？三招解决

哎呀，看来《堡垒之夜》这位小伙伴遇到了个“防火墙大Boss”，正挡在门口不让你进去呢！别急，我这就来给你出谋划策，用幽默风趣的方式，让防火墙也笑一笑，放你进去。第一种方法，当然得是我们的迅游加速器来大显身手啦！

第一招：迅游，防火墙的“和事佬”！

想象一下，迅游加速器就像是位聪明的外交官，专门负责调解各种网络纠纷。它一出手，就能跟防火墙来个“友好会谈”，告诉它：“嘿，老兄，这位是《堡垒之夜》的忠实玩家，你得放行！”防火墙一听，心想：“哦，原来是自己人，那就开门迎客吧！”于是，防火墙错误瞬间消失，你就能顺利进入游戏世界啦！迅游加速器，简直就是防火墙的“和事佬”，让一切误会都烟消云散。

按照图示操作可获得5天优化时长

小伙伴们在优化游戏之后可以使用【帧数大师】来帮助大家获得更好的游戏体验，避免了游戏掉帧，帧教低等问题的影响。

更有很多基础设置，调整电脑游戏画面、后台程序等，保证电脑有一个良好的运行环境。

第二招：调整防火墙设置，给它来个“温柔提醒”！

如果迅游加速器这位“和事佬”不在身边，你也可以亲自上阵，调整防火墙设置。把《堡垒之夜》添加到防火墙的信任列表中，就像是给它发了个“VIP通行证”。这样，防火墙就会知道：“哦，这是位尊贵的客人，我得放行！”于是，它就不再阻拦你进入游戏了。这个过程，就像是给防火墙来了个“温柔提醒”，让它知道谁才是它的好朋友。

第三招：检查杀毒软件，别让“误杀”成悲剧！

有时候，杀毒软件也会误把《堡垒之夜》当成“坏人”，直接给拦截了。这时候，你得赶紧检查一下杀毒软件的设置，看看是不是把游戏给误杀了。如果是的话，那就赶紧把它从黑名单里解救出来，恢复它的“清白之身”。这个过程，就像是给杀毒软件上了一堂“识别好人与坏人”的课，让它以后别再犯同样的错误了。

好啦，以上就是我给你支的三招。记得，玩游戏嘛，就是要开心。遇到防火墙错误这种小问题，别慌，按照上面的方法一步步来，肯定能解决的。加油哦！

3.集成灶售后问题

现在的家庭厨房都喜欢安装集成厨电产品，它的优点是功能多、安装方便、美观等。集成化厨电的代表产品就是——集成灶！它达到了一机多用的作用，具备有厨房抽油烟机、燃气灶\电磁炉、消毒柜\蒸烤箱的功能，是如今各大厨电卖场中销售最火爆的产品之一。

厨房集成灶产品日常使用率较高，用户后期难免会遇见一些集成灶售后故障问题。许多消费者对这种集成功能多、价格较高的厨电产品有许多忧虑，担心集成灶的售后问题及后期遇见集成灶售后故障时，维修是否方便。今天客信就给大家解答：“集成灶售后多吗？维修集成灶是否方便？”这两个问题！

集成灶是集成厨房抽油烟机+燃气炉灶\电磁炉+消毒柜\蒸烤箱产品的新式厨电，它是以前厨房独立的厨电产品功能部件，经过设计、组装在一起而形成的集合化产品。集成灶所运用到的技术、配件与分体式单一功能的厨电产品几乎完全相同！想象一下，就好似把以前抽油烟机、燃气炉灶、消毒柜、蒸烤箱的外壳去掉，只留各种产品内部核心零部件，再把这些零部件安装在一台长900mm宽600mm高1300mm的外壳里。(集成灶壳体尺寸）。

我们对比一下单个厨电与消毒柜功能集成灶零部件的差异：

抽油烟机内部核心零部件：电机、风轮、控制开关主板、蜗壳；

燃气灶具核心零部件：气管、阀体（开关）、脉冲点火器、炉头、火盖、炉架；

消毒柜核心零部件：层架、发热管、光波管、臭氧生成品、控制主板开关；

带消毒柜功能集成灶核心零部件：电机、风轮、控制开关主板、蜗壳、气管、阀体（开关）、脉冲点火器、炉头、火盖、炉架、层架、发热管、光波管、臭氧生成品、控制主板开关；防火墙、电加热盘。

从上边可以看出，一台集成灶的零部件完全是各分体厨电零部件的集合，并无任何差异。因此，对于大家问到的关于“集成灶售后多吗？”这个问题，客信给大家的回答是，集成灶的售后率是你单独购买一台抽油烟机、燃气灶具、消毒柜三件厨电的售后概率同等的。

现在的集成灶经过生产厂家不断的技术更新，已经完全模块集成化组装；每个功能部件完全独立，一个功能出现故障并不会影响到其它功能的使用。例如：您使用燃气灶功能时可以正常使用烹饪美食，抽油烟机无法工作时，并不会导致你燃气灶和消毒柜功能无法使用，它们的线路、控制部件是分隔设计，互不干扰！因此，即使某一个部件出现售后故障问题，维修人员只需要对有故障的零部件进行拆卸维修或更换，非常便捷，与平时维修单一厨电产品完全相同。

集成灶产品售后率和维修难易与大家同时购买三件套厨电（烟机+灶具+消毒柜）相同，并不会因集成灶是多功能的集成产品而增加，家里需要购买多件功能不同的厨电产品时，可以考虑直接购买集成灶这种厨房产品。

4.HUAWEI 防火墙ddns故障问题解决思路

DDNS原理描述：

如图所示的组网图中，PC需要通过域名访问提供应用层服务作为HTTP Server的FW。FW接入Internet的接口从网络运营商动态获取IP地址，由于每次获取到的IP地址不同，导致域名和IP地址的对应关系会发生变化。而传统的DNS无法动态更新域名和IP地址的对应关系，这就会导致PC访问FW失败。此时，可通过部署DDNS Server来解决该问题。

1. DDNS Client：IP地址变化时，需要在DNS Server上动态更新其域名和IP地址映射关系。

为保证FW的IP地址变化时，其他用户仍然可以通过域名进行访问，FW作为DDNS Client，向DDNS Server发送更新域名和IP地址映射关系的DDNS更新请求。

2. DDNS Server：负责通知DNS Server动态更新域名和IP地址之间的映射关系。

接收到DDNS Client的DDNS更新请求后，DDNS Server通知DNS Server重新建立DDNS Client的域名和IP地址之间的映射关系，从而保证即使DDNS Client的IP地址改变，Internet用户仍然可以通过同样的域名访问DDNS Client。

防火墙做ddns client，由于出口是拨号地址会变动，需要借助第三方ddns服务器，防火墙当拨号口IP变动之后会主动刷新同步给ddns server，然后ddns server通知DNS Server（一般为运营商的dns服务器）动态更新域名和IP地址之间的映射关系，从而实现外网PC访问域名，请求给到DNS Server，DNS Server给公网PC对应的IP地址，于防火墙而言只需要检查上图的①步骤即可。

更新失败问题解决思路：

1.确保防火墙上能ping通域名服务商

①可以先在防火墙上ping 8.8.8.8确认防火墙是否能ping通外网，如果能ping通的话

②用防火墙ping www.baidu.com 看看能不能做正常的域名解析，如果可以，说明防火墙能正常解析。

③然后再在防火墙上ping ddns里配置的域名提供商看能不能做正常解析，如果能通说明防火墙和服务提供商交互没问题（如果经过上面两步验证都没问题，但防火墙无法ping通域名提供商，检查是否配置的域名提供商url有误，或者是否为域名提供商的问题）

2.经过第一步操作后如果都没有问题，防火墙上手动刷新一下，看看是否能更新成功

①执行命令 system-view，进入系统视图。
②执行命令 interface interface-type interface-number，进入接口视图。
③执行命令ddns refresh，手动触发DDNS Client向DDNS Server发起更新域名和IP地址对应关系的请求。

3.如果手动刷新后还是不行

①执行命令display dns dynamic-host，检查动态域名缓存信息是否存在指定域名。
如果不存在要解析的域名，检查DNS Client是否和DNS Server通信正常；DNS Server是否工作正常；动态域名解析功能是否已经开启。
如果存在要解析的域名，但IP地址不对，执行步骤2。

display dns dynamic-host的详细解释如下：

https://support.huawei.com/hedex/hdx.do?docid=EDOC1100149311&id=ZH-CN_CLIREF_0176373044&lang=zh

②执行命令display dns server，查看DNS Server的配置信息。

检查DNS Client所配置的DNS Server的IP地址是否正确。
如果DNS Server地址错误，需先执行命令undo dns server ip-address删除已配置的DNS Server地址，再执行命令dns server ip-address重新配置正确的DNS Server地址。

display dns server的详细解释如下：

https://support.huawei.com/hedex/hdx.do?docid=EDOC1100149311&id=ZH-CN_CLIREF_0176373049&lang=zh

现网中，如果使用的是3322，由于这个ddns厂家域名变了会导致更新失败，建议用自定义ddns，然后把域名下.net结尾，具体操作方法如下：

自定义成这样：http://<username>:<password>@members.3322.net/dyndns/update?system=dyndns&hostname=<h>&myip=<a>