技术文档
当前位置:技术文档

华为防火墙特征库升级失败的解决方法

来源:未知 时间:2022-09-14 09:36
 

   

  1,检查license是否存在或是否过期。

  通过命令行(display license)或Web检查相应的license是否使能并在有效期内。如果因为license未开启或超出有效期导致升级失败,则设备会给出相应的提示信息,需要联系相关人员处理license未使能或有效期失效的问题(SA特征库、IP信誉库不需要license也可以升级)。

  2,检测设备公网的连通性。

  基本知识:设备升级时需要连接sec.huawei.com进行认证,同时获取库下载服务器的IP地址,然后根据获取的IP地址建立FTP或HTTPS连接下载库文件。

  设备需要通过域名sec.huawei.com连接到升级中心进行认证,可以在设备上Ping此域名检查是否能够连接到升级中心。

  如果未能ping通,需要检查是否配置了正确的DNS服务器或者确认此DNS服务器是否能正常工作。

  如果设备配置了安全策略等,需要检查配置确认是否允许报文从设备出接口出去。

  设备可直接访问升级中心时,如果设备配置升级方式为HTTPS,则设备会使用HTTPS协议发送升级请求及下载特征库,因此需要配置放行HTTPS协议的安全策略;

  如果设备配置升级方式为HTTP,则设备会使用HTTP协议发送升级请求,使用FTP协议下载特征库,因此需要配置放行HTTP协议和FTP协议(包括21和32119端口)的安全策略,以及用于连接FTP数据通道的(协议为TCP、目的端口为10001~15000)自定义服务流量的安全策略。

  如果配置了NAT,可以通过查看会话的IP地址确认进行升级的报文是否进行了正确的NAT转换。

  通过命令(display update host source)检查是否配置了升级源接口或源地址。如有此配置,则请使用-a参数指定此源地址执行ping sec.huawei.com。

  如无法ping通,请先排查组网和配置以解决网络连通问题。

  如排除网络连通问题后,仍无法ping通。可查看防火墙会话(display firewall session table verbose ?),查看出接口或源IP是否为指定的接口或者IP地址,如果其源IP地址为内网地址,可以通过添加静态路由或者源NAT的方式来解决。

  如果设备配置了通过HTTP代理服务器进行特征库在线升级(要先在设备上配置正确的代理服务器地址及用于认证的用户名和密码),可以在设备上ping代理服务器地址检查是否能连通此服务器。如无法ping通,请先排查组网和配置以解决连通性问题(请先确认HTTP代理服务器是否正常工作)。

  检查设备存储卡空间和系统内存。

  通过命令行(dir)或web检查设备存储卡剩余空间是否满足要求。

  如果是因为存储卡空间不足导致升级失败,则设备会给出相应的提示信息,需要删除存储卡上一些废弃的文件(比如存在多个软件包)以释放部分空间后重试。(升级库需要的空间因产品而异,具体请查看对应产品的产品文档)。

  通过命令行(display memory-usage及display engine memory all)检查剩余内存是否满足要求。

  如果因为内存不足导致升级失败,则设备也会给出相应的提示信息,需要联系研发工程师进行问题定位。


上一篇:交换机端口类问题排查方法
下一篇:H3C服务器硬件信息确认方法
蜀ICP备2020034250号-1   川公网安备 51010802000119号 keywords:成都H3C 成都H3C

售前客服

售前客服

电话:028-83252151

传真:028-85259033

咨询热线:15378180513
在线客服