问题[netscreen](server)

我在 NSRP 组活动/活动中的 2 SSG-550M 上的 Netscreen 6.3r22 上配置电子邮件警报时遇到一些问题。我知道通过需要身份验证的邮件服务器发送 SMTP 警报是有限制的，但是邮件似乎根本不是从防火墙生成的

当我打开调试并检查

debug sendmail all
get db stream

我得到这个令人困惑的输出

## 2016-08-23 16:37:50 : Notify (1)
## 2016-08-23 16:37:50 : Prepare to send mail [sort=0]
## 2016-08-23 16:37:50 : Mail server name : mail.example.com
## 2016-08-23 16:37:50 : begin to send event alarm, start time=78611, current time=79211, max entries=102
## 2016-08-23 16:37:50 : total event alarm record 2 retrieved, start_time=78611
## 2016-08-23 16:37:50 : fail to send no 0 due to (log time[78878] < last_sent_event_time [79211] && allowed to email [0])
## 2016-08-23 16:37:50 : fail to send no 1 due to (log time[78857] < last_sent_event_time [79211] && allowed to email [0])
## 2016-08-23 16:37:50 : last event id = -1
## 2016-08-23 16:37:50 : Event alarm: Log entries sent out=0, Last Log entry id=-1, time=79211

我已经配置了邮件服务器和管理员地址

Mail Alert: On, Mail Server: mail.example.com
E-Mail Address: [email protected]
E-Mail Traffic Log: Off
Configuration Format: DOS
Device Reset: Enabled
Hardware Reset: Enabled
Admin privilege: read-only (Remote admin has read-only privileges)
Max Failed Admin login attempts: 10
Lock admin accounts on auth failure: On, locking time 1 minutes
HTTP redirect: true

我没有看到邮件服务器受到任何影响，但我似乎无法在瞻博网络论坛上找到对这些故障类型的解释。从这个输出中，对我来说，邮件似乎没有发送，但我不明白为什么。

给定具有此配置的 ScreenOS 6.3.0 防火墙：

unset flow reverse-route clear-text
set interface "ethernet0/0" zone "Trust" 
set interface ethernet0/0 ip 192.168.1.1/24 
set interface ethernet0/2 ip 10.0.0.1/24 
set interface ethernet0/2 mip 10.9.9.10 host 192.168.1.10 netmask 255.255.255.255 vr trust-vr
set interface ethernet0/2 mip 10.8.8.10 host 192.168.1.10 netmask 255.255.255.255 vr trust-vr
set route 0.0.0.0/0 interface ethernet0/2 gateway 10.0.0.254

...（并假设适当的策略）有没有办法控制防火墙为 192.168.1.10 发起的出站连接选择哪个 MIP？（大概是因为我希望上游 10.0.0.254 根据其源 IP 对数据包执行不同的操作）。

更新：好的，我的情况是这样的：我有两个 ISP 上行链路，每个都给我一个不同的 IP 空间。每个 ISP 只会路由他们分配给我的 IP 空间。

因此，为了让两个 ISP 都可以访问服务器，我需要为同一台服务器使用两个 MIP，每个接口一个。入站流量将与正在使用的“未设置流反向路由明文”选项一起正常工作。

但是对于出站（想想发送消息的电子邮件服务器），我需要一种方法来根据我希望系统使用哪个出站链接来选择合适的 MIP，并且我希望它具有弹性，以便在防火墙喜欢的链接出现故障时一夜之间，我不必手动翻转某些东西来保持邮件畅通。

基本上，我试图避免购买一个链路平衡器设备（或两个，因为我需要一个集群）。

有没有办法做到这一点？

我的 NSMExpress 盒子有问题。我正在尝试管理我们所有的设备，范围从 ns5gt 到 ssg320m，其中一些设备的地址由 ISP 从 dhcp 分配（如 pppoe 或 dsl）。这些地址实际上是静态的，但我们注册了 MAC 地址以获取该地址。我实际上可以在 NSM 中添加设备，除了不信任端的 IP 没有导入，因为它是动态的。因此，由于没有 IP，我无法更改与不信任接口相关的许多选项。

我已经就此与 JTAC 进行了交谈，他们不知道是否有办法做到这一点，但后来他们说 Tim Hortons 这样做了，所以我对如何让这个工作感到困惑。也许我只是错过了一些东西，因为我想其他人也必须这样做。任何帮助表示赞赏！

此外，当我导入设备时，这是我收到的消息：

警告：

接口 ethernet0/0 是一个 pppoe/dhcp/pppoa 客户端，它的 ip 没有被导入，因为它可能是动态的。

我已按照 Cisco 的 [netscreen to PIX VPN] http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a00801c4445的指示在 netscreen 设备和 Cisco PIX 之间配置 VPN 。 shtml文章。

唯一的区别是我运行的是 PIX 6.3(5) 和 Juniper Netscreen 6.1.0r2.0（防火墙+VPN）。我完全遵循了这两种配置，当我尝试连接时，Juniper 返回：

2010-02-21 12:54:28  information IKE: Removed Phase 2 SAs after receiving a notification message. 
2010-02-21 12:54:28  information IKE pix_public_IP: Received a notification message for DOI 1 14 NO-PROPOSAL-CHOSEN. 
2010-02-21 12:54:28  information IKE pix_public_IP Phase 2: Initiated negotiations. 

在 Netscreen 上，我使用 DH Group#2、3DES-CBC 和 SHA-1 创建了名为 ToCorpOffice 的第 2 阶段提案，在配置 AutoKey IKE 时，我选择了 ToCorpOffice 并删除了所有其他转换。我相信我已经在 PIX 上配置了相同的内容：

sysopt connection permit-ipsec
crypto ipsec transform-set mytrans esp-3des esp-sha-hmac
crypto map mymap 10 ipsec-isakmp
crypto map mymap 10 match address nonat
crypto map mymap 10 set pfs group2
crypto map mymap 10 set peer netscreen_public_ip
crypto map mymap 10 set transform-set mytrans
crypto map mymap interface outside

保存并重新启动，所以这里是密码图信息：PIX-FW1# 显示密码图

Crypto Map: "mymap" interfaces: { outside }

Crypto Map "mymap" 10 ipsec-isakmp
    Peer = netscreen_public_ip
    access-list nonat; 1 elements
    access-list nonat line 1 permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 (hitcnt=0)
    Current peer: netscreen_public_ip
    Security association lifetime: 4608000 kilobytes/28800 seconds
    PFS (Y/N): Y
    DH group:  group2
    Transform sets={ mytrans, }
PIX-FW1#

知道为什么我会收到 NO-PROPOSAL-CHOSEN 错误吗？

我使用

set interface ethernet0/0 phy link-down

打算将其重新启动-但现在我可以；不知道如何启动它。

我最近刚刚在我的办公室安装了一条光纤线路，除了我们遇到的一些奇怪的问题之外，一切都运行良好，网络响应真的很棒。

我们遇到的问题是每隔一段时间，我的路由器就会脱落并丢弃数据包。这不是线路，也不是开关。它是路由器本身，我已经切换了硬件，两块都可以。我使用的设备是 Juniper Netscreen SSG5。以下是症状：

我对“内部”接口进行了 pingflood，其中

 ping -f -c 10000 <internal-ip>

我收到了 10,000 条回复。每次。然后，我会做同样的事情，除了外部接口的 IP 地址（但仍然在同一设备上）。它会在 10,000 个数据包中丢弃 10 到 15 个数据包。我在公司的所有其他网关上都进行了相同的测试，没有其他任何东西显示这种行为。我很困惑。

我已经与光纤公司的支持人员进行了交谈，我们的两个接口都被硬编码为全双工的 100Mb，如果这甚至可能导致问题的话。顺便说一句，从路由器内部ping外部接口时，我从来没有丢包，这让我认为它不是接口本身。并且本地接口永远不会丢失数据包，因此它不是交换机。

老实说，我不确定问题出在哪里，除了硬件本身的设计。我看过图表，即使在 pingflood 期间，我也离最大化路由器上的 CPU 或内存还差得很远。

有什么建议么？

编辑

对于 Tom：光纤是 13Mb/s，但是当我 ping 接口时，它并没有与光纤交叉。本地 LAN 以 100Mb/s 的速度运行，内部接口响应每个数据包。我得看看我是否可以借用另一块硬件，但我在不同的站点有一些旧型号的瞻博网络 (5GT)，它们没有表现出相同的症状。

有一个看起来运行正常的 Netscreen（它已投入生产，已经使用了好几年），但不允许我进入端口 80 或 443 上的 Web 界面（也尝试过 8080）。也尝试远程登录到 22 和 23。任何连接尝试都会超时。我已经在内部接口上对IP进行了nmap，所有端口都显示为被过滤，但据我所知，它正在监听80。还尝试了外部接口，因为它是为远程管理设置的，但不能也可以这样连接。

上次我尝试进入它时 它正在工作（我想是去年秋天）。

我已经循环了两次电源（拔下适配器，等待 30 秒，重新插入），但没有骰子。

任何人都得到了用于 NetScreen 防火墙的使用报告的好产品。

我去寻找 Webtrends Firewall Suite，但它似乎已经消失在 NetIQ 产品系列中。

我将尝试使用 ManageEngine（我认为也是 AdventNet）的防火墙日志分析器。

但想知道是否有人有任何好的建议。

谢谢，

抢