【經典案例】網關web界面登錄失敗

發布時間：2024-06-07

點擊量：1092

一、現象描述

設備有四種登錄方式SSH / TELNET / CONSOLE / WEB
出現以下故障：WEB界面無法登錄

二、組網拓撲

三、可能原因

1、control-plane禁止登錄設置，ACL過濾限制，VTY線程占滿

2、NGINX進程丟失

四、處理步驟

步驟1、排查登錄參數設置（地址、端口）

1、登錄地址錯誤

  a. console線登錄可以查看接口地址，具體命令為show ip interface brief

如上目前2口為內網口，7口為外網口地址，可以通過這兩個接口登錄設備，外網用戶只能通過外網口地址登錄設備

2、登錄端口錯誤

命令行可以通過show web-service確定登錄端口

Https的端口號默認是4430，需要修改只能在命令行下修改，具體命令為：ip http secure-port 端口

修改后可以使用新端口登錄https

 

步驟2、排查設備上安全限制，禁止登錄，ACL過濾

1、本地防攻擊設置禁止web登錄登錄等操作

【備注】

對應命令為：  

control-plane

security deny lan-web-----禁止內網web登錄設備

security deny wan-web-----禁止外網web登錄設備

2、 在接口調用或ip session filter調用的ACL沒有放通對應的端口或IP

  a. 接口訪問列表下的調用，需要檢查ACL有沒有放通對應的端口或IP

 b. Ip session filter 流過濾操作，全局調用，全局生效，需要檢查ACL有沒有放通對應的端口或IP


c、Line vty下調用的ACL沒有放通對應的網段訪問設備，導致無法telnet

  所調用的ACL161需要放通登錄設備的端口或IP地址
  具體路徑：安全—ACL訪問列表

  配置完，命令行對應下發的命令如下：

步驟3、排查映射導致登錄端口被占用

具體配置如下：
內網服務器映射時映射到設備登錄端口比如說80、4430，或者是配置了整機映射映射到接口上，導致設備登錄端口被占用，會導致設備無法登錄，

1、端口映射配置

對應命令如下：ip nat inside source static tcp 192.168.1.10 80 172.18.161.111 80

2.、整機映射配置

對應命令如下：ip nat inside source static 192.168.1.10 172.18.161.111 permit-inside

【解決方法】：將外網映射端口80或者4430映射為1080或者14430等端口，避免端口占用問題。

步驟4、排查多條外網線的情況下沒有開啟源進源出

多條外網線的情況下沒有開啟源進源出，導致外網訪問到設備的數據流出現從接口7進來但是從接口6出去了。

所以在外網口需要開啟源進源出，具體路徑如下：網絡—接口配置—對應接口下勾選源進源出

對應的命令如下：

步驟5、排查服務是否啟用或者是否存在web包 

1、登錄服務沒有開啟，具體命令為：web服務是否開啟show web-service

2、查看端口是否正常監聽

（1）Show tcp connect ，LISTEN代表監聽狀態屬于正常狀態

Show cpu | in nginx ，NGINX進程占用較小，屬于正常現象

未封shell場景下：

Run-system-shell

ps aux | grep nginx

封shell場景下，查看進程

Debug support

execute diagnose-cmd ps –ef nginx

（2）若進程不存在，需要重啟進程看下是否正常

Run-system-shell

/etc/rc.d/init.d/nginx start 重啟nginx進程

/etc/rc.d/init.d/lnsp start  重啟php進程

封shell場景下

Debug su

execute diagnose-cmd process nginx stop

execute diagnose-cmd process nginx start

（3）若nginx的進程cpu高

導致web登錄不上，tcp connect顯示新連接都syn_rev，抓包顯示eg沒有回包

解決方法：

  1. show cpu | in nginx 確定nginx進程序列號

  2. 殺掉進程，不影響其他使用，只影響web

  debug su

  execute diagnose-cmd kill 序列號

  3. Kill進程后，需要手動重啟進程

解決方案：

  1. 增加安排防護，只允許管理員登錄web

  2. 低峰期下載最新版本。

五、信息收集

sh ver

sh run

sh web-service

sh cpu | in nginx

sh int usage

sh ver all

sh tcp connect

sh memory

sh cpu | ex 0.00

sh log rev

show int usage

sh envir

sh ip fpm sta

debug su

execute diagnose-cmd fdisk

execute diagnose-cmd mount

exit

六、總結與建議

1、新設備的默認登錄接口為GI0/0接口，管理地址為192.168.1.1，電腦需要設置相同網段才能登錄。

2、設備默認禁止wan口登錄，需要注意。

3、如果檢查WEB功能都正常，仍然無法登錄，可以參考上述步驟重啟web進程測試下。


【補充】如未解決或需要了解更多詳情，可點擊售后閃電兔進行咨詢

• ?【經典案例】域用戶自動登錄失敗提示用戶名或密碼錯誤

• ?【經典案例】域用戶自動登錄失敗提示用戶名或密碼錯誤

• ?【經典案例】VDI終端或軟客戶端登陸虛擬機后閃退

• ?【經典案例】VDI終端或軟客戶端登陸虛擬機后閃退

• ?【經典案例】8082平臺提示錯誤

• ?【經典案例】8082平臺提示錯誤

• ?域用戶自動登錄失敗提示：無法使用此憑據登錄

• ?域用戶自動登錄失敗提示：無法使用此憑據登錄

• ?【經典案例】云桌面閃屏問題排查

• ?【經典案例】云桌面閃屏問題排查