【经典案例】网关web界面登录失败

发布时间：2024-06-07

点击量：26

一、现象描述

设备有四种登录方式SSH / TELNET / CONSOLE / WEB
出现以下故障：WEB界面无法登录

二、组网拓扑

三、可能原因

1、control-plane禁止登录设置，ACL过滤限制，VTY线程占满

2、NGINX进程丢失

四、处理步骤

步骤1、排查登录参数设置（地址、端口）

1、登录地址错误

  a. console线登录可以查看接口地址，具体命令为show ip interface brief

如上目前2口为内网口，7口为外网口地址，可以通过这两个接口登录设备，外网用户只能通过外网口地址登录设备

2、登录端口错误

命令行可以通过show web-service确定登录端口

Https的端口号默认是4430，需要修改只能在命令行下修改，具体命令为：ip http secure-port 端口

修改后可以使用新端口登录https

 

步骤2、排查设备上安全限制，禁止登录，ACL过滤

1、本地防攻击设置禁止web登录登录等操作

【备注】

对应命令为：  

control-plane

security deny lan-web-----禁止内网web登录设备

security deny wan-web-----禁止外网web登录设备

2、 在接口调用或ip session filter调用的ACL没有放通对应的端口或IP

  a. 接口访问列表下的调用，需要检查ACL有没有放通对应的端口或IP

 b. Ip session filter 流过滤操作，全局调用，全局生效，需要检查ACL有没有放通对应的端口或IP


c、Line vty下调用的ACL没有放通对应的网段访问设备，导致无法telnet

  所调用的ACL161需要放通登录设备的端口或IP地址
  具体路径：安全—ACL访问列表

  配置完，命令行对应下发的命令如下：

步骤3、排查映射导致登录端口被占用

具体配置如下：
内网服务器映射时映射到设备登录端口比如说80、4430，或者是配置了整机映射映射到接口上，导致设备登录端口被占用，会导致设备无法登录，

1、端口映射配置

对应命令如下：ip nat inside source static tcp 192.168.1.10 80 172.18.161.111 80

2.、整机映射配置

对应命令如下：ip nat inside source static 192.168.1.10 172.18.161.111 permit-inside

【解决方法】：将外网映射端口80或者4430映射为1080或者14430等端口，避免端口占用问题。

步骤4、排查多条外网线的情况下没有开启源进源出

多条外网线的情况下没有开启源进源出，导致外网访问到设备的数据流出现从接口7进来但是从接口6出去了。

所以在外网口需要开启源进源出，具体路径如下：网络—接口配置—对应接口下勾选源进源出

对应的命令如下：

步骤5、排查服务是否启用或者是否存在web包 

1、登录服务没有开启，具体命令为：web服务是否开启show web-service

2、查看端口是否正常监听

（1）Show tcp connect ，LISTEN代表监听状态属于正常状态

Show cpu | in nginx ，NGINX进程占用较小，属于正常现象

未封shell场景下：

Run-system-shell

ps aux | grep nginx

封shell场景下，查看进程

Debug support

execute diagnose-cmd ps –ef nginx

（2）若进程不存在，需要重启进程看下是否正常

Run-system-shell

/etc/rc.d/init.d/nginx start 重启nginx进程

/etc/rc.d/init.d/lnsp start  重启php进程

封shell场景下

Debug su

execute diagnose-cmd process nginx stop

execute diagnose-cmd process nginx start

（3）若nginx的进程cpu高

导致web登录不上，tcp connect显示新连接都syn_rev，抓包显示eg没有回包

解决方法：

  1. show cpu | in nginx 确定nginx进程序列号

  2. 杀掉进程，不影响其他使用，只影响web

  debug su

  execute diagnose-cmd kill 序列号

  3. Kill进程后，需要手动重启进程

解决方案：

  1. 增加安排防护，只允许管理员登录web

  2. 低峰期下载最新版本。

五、信息收集

sh ver

sh run

sh web-service

sh cpu | in nginx

sh int usage

sh ver all

sh tcp connect

sh memory

sh cpu | ex 0.00

sh log rev

show int usage

sh envir

sh ip fpm sta

debug su

execute diagnose-cmd fdisk

execute diagnose-cmd mount

exit

六、总结与建议

1、新设备的默认登录接口为GI0/0接口，管理地址为192.168.1.1，电脑需要设置相同网段才能登录。

2、设备默认禁止wan口登录，需要注意。

3、如果检查WEB功能都正常，仍然无法登录，可以参考上述步骤重启web进程测试下。


【补充】如未解决或需要了解更多详情，可点击售后闪电兔进行咨询

• •【经典案例】网关web界面登录失败

• •【经典案例】网关无法远程管理

• •【经典案例】RSR20-X路由器灾备切换4G拨号异常

• •【经典案例】RSR77-XA 灾备演练后与友商BFD建立失败

• •网关上日志提示内存利用率高

• •“一机一网”交换模块密码恢复/升级方式介绍

• •“一机一网”交换组件介绍

• •交换机ipv4获取不到地址

• •交换机二层直连不通排查指导

• •交换机端口聚合（链路聚合）