XX集團IPS自动升级故障分析定位报告.docVIP

密 级：秘密 文档编号：XT-技术-故障解决-111202-WCH016 XX集团IPS自动升级 故障分析定位报告 Version 2.0 修改记录 时间 版本 编写/修改人员 审核人员 备注 2011-12-2 V1.0 王超 创建该文档 2011-12-2 V2.0 王超 标准化 目录 1 网络环境： 4 2 故障现象： 4 3 故障分析： 5 3.1 常规分析 5 3.2 数据包分析 5 4 故障解决 8 1 网络环境： 故障的网络拓扑结构主要如下图所示： 说明： 1，防火墙做NAT，上网行为、IPS都工作在透明模式下，串接在核心互联网出口链路上； 2，防火墙内口地址为192.168.0.3，IPS管理口地址为192.168.0.4，上网行为管理地址为192.168.0.5； 2 故障现象： IPS离线升级包升级正常，但是在线自动升级提示失败，如下图所示： 3 故障分析： 3.1 常规分析 IPS地址、网关、DNS设置全部正常，具有访问互联网的权限，将升级失败情况跟厂家沟通，厂家已将IPS升级为最新的版本，并确认升级服务器端都是正常的，暂时无法下结论是否是IPS本身问题导致的。万般无赖之下，我觉得还是先抓包分析一下IPS升级时的数据交互情况。 3.2 数据包分析 当IPS在线升级时，我们在防火墙上通过tcpdump命令抓包，如下所示： 淮北口子酒厂.system% tcpdump -i any host 202.85.219.10 -evv //这条语句是在防火墙上抓取升级服务器地址的交互报文，并且显示报文的详细信息。 tcpdump: WARNING: Promiscuous mode not supported on the any device tcpdump: listening on any, link-type LINUX_SLL (Linux cooked), capture size 68 bytes 08:15:51.553847 R@eth12 In 00:0b:ab:2a:f5:1d ethertype IPv4 (0x0800), length 76: (tos 0x0, ttl 64, id 28482, offset 0, flags [DF], proto: TCP (6), length: 60) 192.168.0.4.46461 202.85.219.10.80: S 2350953923:2350953923(0) win 5840 mss1460,sackOK,timestamp|tcp] //这个报文为IPS地址192.168.0.4发往升级服务器的SYN报文，这个报文出现在防火墙内口-eth12口。 08:15:51.553943 X@eth10 Out 00:13:32:06:8c:d4 ethertype IPv4 (0x0800), length 76: (tos 0x0, ttl 63, id 28482, offset 0, flags [DF], proto: TCP (6), length: 60) X.X.83.189.46461 202.85.219.10.80: S 2350953923:2350953923(0) win 5840 mss 1460,sackOK,timestamp|tcp] //防火墙转发了IPS的SYN报文，经外网口NAT后发往服务器，走网通接口地址走的。 08:15:51.577559 R@eth10 In 00:25:9e:83:a3:2f ethertype IPv4 (0x0800), length 80: (tos 0x0, ttl 117, id 29778, offset 0, flags [none], proto: TCP (6), length: 64) 202.85.219.10.80 X.X.83.189.46461: S 1891282156:1891282156(0) ack 2350953924 win 16384 mss 1460,nop,wscale 0,nop,nop,timestamp[|tcp] //防火墙外口收到服务器的SYN/ACK报文 08:15:51.577588 X@eth12 Out 00:13:32:06:8c:d2 ethertype IPv4 (0x080