【经典案例】网关web界面登录失败

颁布功夫：2024-06-07

点击量：1092

一、景象描述

设备有四种登录方式SSH / TELNET / CONSOLE / WEB
出现以下故障：WEB界面无法登录

二、组网拓扑

三、可能原因

1、control-plane不容登录设置，ACL过滤限度，VTY线程占满

2、NGINX过程迷失

四、处置步骤

步骤1、排查登录参数设置（地址、端口）

1、登录地址谬误

  a. console线登录能够查看接口地址，具体号令为show ip interface brief

如上目前2口为内网口，7口为表网口地址，能够通过这两个接口登录设备，表网用户只能通过表网口地址登录设备

2、登录端口谬误

号令行能够通过show web-service确定登录端口

Https的端标语默认是4430，必要批改只能在号令行下批改，具体号令为：ip http secure-port 端口

批改后能够使用新端口登录https

 

步骤2、排查设备上安全限度，不容登录，ACL过滤

1、本地防攻击设置不容web登录登录等操作

【备注】

对报号令为：  

control-plane

security deny lan-web-----不容内网web登录设备

security deny wan-web-----不容表网web登录设备

2、 在接口挪用或ip session filter挪用的ACL没有放通对应的端口或IP

  a. 接口接见列表下的挪用，必要查抄ACL有没有放通对应的端口或IP

 b. Ip session filter 流过滤操作，全局挪用，全局生效，必要查抄ACL有没有放通对应的端口或IP


c、Line vty下挪用的ACL没有放通对应的网段接见设备，导致无法telnet

  所挪用的ACL161必要放通登录设备的端口或IP地址
  具体蹊径：安全—ACL接见列表

  配置完，号令行对应下发的号令如下：

步骤3、排查映射导致登录端口被占用

具体配置如下：
内网服务器映射时映射到设备登录端口好比说80、4430，或者是配置了整机映射映射到接口上，导致设备登录端口被占用，会导致设备无法登录，

1、端口映射配置

对报号令如下：ip nat inside source static tcp 192.168.1.10 80 172.18.161.111 80

2.、整机映射配置

对报号令如下：ip nat inside source static 192.168.1.10 172.18.161.111 permit-inside

【解决步骤】：将表网映射端口80或者4430映射为1080或者14430等端口，预防端口占用问题。

步骤4、排查多条表网线的情况下没有开启源进源出

多条表网线的情况下没有开启源进源出，导致表网接见到设备的数据流出现从接口7进来但是从接口6出去了。

所以在表网口必要开启源进源出，具体蹊径如下：网络—接口配置—对应接口下勾选源进源出

对应的号令如下：

步骤5、排查服务是否启用或者是否存在web包 

1、登录服务没有开启，具体号令为：web服务是否开启show web-service

2、查看端口是否正常监听

（1）Show tcp connect ，LISTEN代表监听状态属于正常状态

Show cpu | in nginx ，NGINX过程占用较幼，属于正常景象

未封shell场景下：

Run-system-shell

ps aux | grep nginx

封shell场景下，查看过程

Debug support

execute diagnose-cmd ps –ef nginx

（2）若过程不存在，必要沉启过程看下是否正常

Run-system-shell

/etc/rc.d/init.d/nginx start 沉启nginx过程

/etc/rc.d/init.d/lnsp start  沉启php过程

封shell场景下

Debug su

execute diagnose-cmd process nginx stop

execute diagnose-cmd process nginx start

（3）若nginx的过程cpu高

导致web登录不上，tcp connect显示新衔接都syn_rev，抓包显示eg没有回包

解决步骤：

  1. show cpu | in nginx 确定nginx进法式列号

  2. 杀掉过程，不影响其他使用，只影响web

  debug su

  execute diagnose-cmd kill 序列号

  3. Kill过程后，必要手动沉启过程

解决规划：

  1. 增长铺排防护，只允许治理员登录web

  2. 低峰期下载最新版本。

五、信息网络

sh ver

sh run

sh web-service

sh cpu | in nginx

sh int usage

sh ver all

sh tcp connect

sh memory

sh cpu | ex 0.00

sh log rev

show int usage

sh envir

sh ip fpm sta

debug su

execute diagnose-cmd fdisk

execute diagnose-cmd mount

exit

六、总结与建议

1、新设备的默认登录接口为GI0/0接口，治理地址为192.168.1.1，电脑必要设置一样网段能力登录。

2、设备默认不容wan口登录，必要把稳。

3、若是查抄WEB职能都正常，依然无法登录，能够参考上述步骤沉启web过程测试下。


【补充】如未解决或必要相识更多详情，可点击售后闪电兔进行征询

• ?【经典案例】域用户自动登录失败提醒用户名或密码谬误

• ?【经典案例】域用户自动登录失败提醒用户名或密码谬误

• ?【经典案例】VDI终端或软客户端登陆虚构机后闪退

• ?【经典案例】VDI终端或软客户端登陆虚构机后闪退

• ?【经典案例】8082平台提醒谬误

• ?【经典案例】8082平台提醒谬误

• ?域用户自动登录失败提醒：无法使用此痛处登录

• ?域用户自动登录失败提醒：无法使用此痛处登录

• ?【经典案例】云桌面闪屏问题排查

• ?【经典案例】云桌面闪屏问题排查