AUF DIESER SEITE
Grundlegendes zu Sicherheitsprotokollen und logischen Systemen
Beispiel: Sicherheitsprotokoll für logische Systeme konfigurieren
Konfigurieren von integrierten binären Sicherheitsprotokolldateien für das logische System
Off-Box-Binärsicherheitsprotokolldateien für das logische System konfigurieren
Grundlegendes zum Debuggen von Datenpfaden für logische Systeme
Ausführen der Ablaufverfolgung für logische Systeme (nur primäre Administratoren)
Fehlerbehebung bei logischen Systemen
Verwenden Sie die folgenden Funktionen, um logische Systeme zu überwachen und Softwareprobleme zu beheben. Weitere Informationen finden Sie in den folgenden Themen:
Grundlegendes zu Sicherheitsprotokollen und logischen Systemen
Sicherheitsprotokolle sind Systemprotokollmeldungen, die Sicherheitsereignisse enthalten. Wenn ein Gerät für logische Systeme konfiguriert ist, verwenden Sicherheitsprotokolle, die im Kontext eines logischen Systems generiert werden, den Namen logname_LS (z. B. IDP_ATTACK_LOG_EVENT_LS). Die logische Systemversion eines Protokolls verfügt über denselben Satz von Attributen wie das Protokoll für Geräte, die nicht für logische Systeme konfiguriert sind. Das Protokoll des logischen Systems enthält logical-system-name als erstes Attribut.
Das folgende Sicherheitsprotokoll zeigt die Attribute für das IDP_ATTACK_LOG_EVENT Protokoll für ein Gerät, das nicht für logische Systeme konfiguriert ist:
IDP_ATTACK_LOG_EVENT {
help "IDP attack log";
description "IDP Attack log generated for attack";
type event;
args timestamp message-type source-address source-port destination-address destination-port protocol-name service-name application-name rule-name rulebase-name policy-name repeat-count action threat-severity attack-name nat-source-address nat-source-port nat-destination-address nat-destination-port elapsed-time inbound-bytes outbound-bytes inbound-packets outbound-packets source-zone-name source-interface-name destination-zone-name destination-interface-name packet-log-id message;
severity LOG_INFO;
flag auditable;
edit "2010/10/01 mvr created";
}
Das folgende Sicherheitsprotokoll zeigt die Attribute für das IDP_ATTACK_LOG_EVENT_LS Protokoll für ein Gerät, das für logische Systeme konfiguriert ist (beachten Sie, dass logical-system-name das erste Attribut ist):
IDP_ATTACK_LOG_EVENT_LS {
help "IDP attack log";
description "IDP Attack log generated for attack";
type event;
args logical-system-name timestamp message-type source-address source-port destination-address destination-port protocol-name service-name application-name rule-name rulebase-name policy-name repeat-count action threat-severity attack-name nat-source-address nat-source-port nat-destination-address nat-destination-port elapsed-time inbound-bytes outbound-bytes inbound-packets outbound-packets source-zone-name source-interface-name destination-zone-name destination-interface-name packet-log-id message;
severity LOG_INFO;
flag auditable;
edit "2010/10/01 mvr created";
}
Wenn ein Gerät für logische Systeme konfiguriert ist, müssen Protokollanalyseskripts möglicherweise geändert werden, da der Protokollname das Suffix _LS enthält und das Attribut logical-system-name verwendet werden kann, um Protokolle nach logischem System zu trennen.
Wenn ein Gerät nicht für logische Systeme konfiguriert ist, bleiben die Sicherheitsprotokolle unverändert, und Skripts, die zum Parsen von Protokollen erstellt wurden, müssen nicht geändert werden.
Nur der primäre Administrator kann die Protokollierung auf der Hierarchieebene [edit security log] konfigurieren. Administratoren des logischen Benutzersystems können die Protokollierung für ihre logischen Systeme nicht konfigurieren.
Der Stream-Modus besteht aus einer Reihe von Protokollierungsdiensten, die Folgendes umfassen:
Off-Box-Protokollierung (SRX-Serie)
On-Box-Protokollierung und -Berichterstellung (Serien SRX300, SRX320, SRX340, SRX345, SRX380, SRX550M, SRX1500, SRX4100, SRX4200 und SRX4600)
Für die Off-Box-Protokollierung wird eine Konfiguration pro logischem System unterstützt, und Protokolle werden basierend auf diesen Konfigurationen verarbeitet. Zuvor wurden die Protokolle des logischen Benutzersystems aus dem logischen Stammsystem generiert. Bei der Off-Box-Protokollierung können die logischen Systemprotokolle nur über die logische Systemschnittstelle generiert werden.
Einschränkungen
Jede SPU kann in Junos OS 18.2R1 nur maximal 1000 Verbindungen für eigenständige und 500 Verbindungen für Cluster auf den Geräten SRX5400, SRX5600 und SRX5800 unterstützen. Wenn alle Verbindungen aufgebraucht sind, können einige Verbindungen für logische Benutzersysteme möglicherweise nicht hergestellt werden.
Die Fehlermeldung wird im Systemprotokoll-Explorer erfasst.
On-Box-Reporting für logische Systeme konfigurieren
Die Firewalls der SRX-Serie unterstützen verschiedene Arten von Berichten für Benutzer logischer Systeme.
Berichte werden lokal auf der Firewall der SRX-Serie gespeichert, und es sind keine separaten Geräte oder Tools für die Speicherung von Protokollen und Berichten erforderlich. Die On-Box-Berichte bieten eine einfache und benutzerfreundliche Oberfläche zum Anzeigen der Sicherheitsprotokolle.
Bevor Sie beginnen:
Erfahren Sie, wie Sie das Sicherheitsprotokoll für logische Systeme konfigurieren. Siehe Beispiel: Konfigurieren des Sicherheitsprotokolls für logische Systeme
So konfigurieren Sie die On-Box-Berichterstellung für das logische System:
Standardmäßig ist die report Option deaktiviert. Der set logical-systems LSYS1 security log mode stream Befehl ist standardmäßig aktiviert.
Beispiel: Sicherheitsprotokoll für logische Systeme konfigurieren
In diesem Beispiel wird gezeigt, wie Sicherheitsprotokolle für ein logisches System konfiguriert werden.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Eine Firewall der SRX-Serie.
Junos OS Version 18.3R1 und höhere Versionen.
Bevor Sie beginnen:
Erfahren Sie, wie Sie ein logisches System konfigurieren.
Erfahren Sie, wie Sie Sicherheitsprofile für das primäre logische System erstellen. Weitere Informationen finden Sie unter Grundlegendes zu Sicherheitsprofilen logischer Systeme (nur für primäre Administratoren).
Übersicht
Firewalls der SRX-Serie verfügen über zwei Arten von Protokollen: Systemprotokolle und Sicherheitsprotokolle. In Systemprotokollen werden Ereignisse auf der Steuerungsebene aufgezeichnet, z. B. die Administratoranmeldung am Gerät. Sicherheitsprotokolle, auch als Datenverkehrsprotokolle bezeichnet, zeichnen Data-Plane-Ereignisse in Bezug auf eine bestimmte Datenverkehrsverarbeitung auf, z. B. wenn eine Sicherheitsrichtlinie bestimmten Datenverkehr aufgrund eines Verstoßes gegen die Richtlinie verweigert.
Die beiden Arten von Protokollen können entweder on-box oder extern gesammelt und gespeichert werden. Im folgenden Verfahren wird erläutert, wie Sicherheitsprotokolle im Binärformat für die Off-Box-Protokollierung (Stream-Modus) konfiguriert werden.
Bei der Off-Box-Protokollierung werden Sicherheitsprotokolle für ein logisches System von einer logischen Systemschnittstelle gesendet. Wenn die logische Systemschnittstelle bereits in einer Routinginstanz konfiguriert ist, konfigurieren Sie routing-instance routing-instance-name in edit logical-systems logical-system-name security log stream log-stream-name host der Hierarchie. Wenn die Schnittstelle nicht in einer Routinginstanz konfiguriert ist, sollte keine Routinginstanz in der edit logical-systems logical-system-name security log stream log-stream-name host Hierarchie konfiguriert werden.
Konfiguration
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set logical-systems LSYS1 security log mode stream set logical-systems LSYS1 security log stream LSYS1_s format binary host 1.3.54.22 set logical-systems LSYS1 security log source-address 2.3.45.66 set logical-systems LSYS1 security log transport protocol tls set logical-systems LSYS1 routing-instances LSYS1_ri instance-type virtual-router set logical-systems LSYS1 routing-instances LSYS_ri interface ge-0/0/3 set logical-systems LSYS1 security log stream LSYS1_s host routing-instance LSYS1_ri set system security-profile p1 security-log-stream-number reserved 1 set system security-profile p1 security-log-stream-number maximum 2 set system security-profile LSYS1_profile logical-system LSYS1
Verfahren
Schritt-für-Schritt-Anleitung
Das folgende Verfahren gibt an, wie Sicherheitsprotokolle für ein logisches System konfiguriert werden.
Geben Sie den Protokollierungsmodus und das Format für die Protokolldatei an. Für externe Protokollierung im Stream-Modus.
[edit ] user@host# set logical-systems LSYS1 security log mode stream user@host# set logical-systems LSYS1 security log stream LSYS1_s format binary host 1.3.54.22
-
Geben Sie für die externe Sicherheitsprotokollierung die Quelladresse an, die die Firewall der SRX-Serie identifiziert, die die Protokollmeldungen generiert hat. Die Quelladresse ist erforderlich.
[edit ] user@host# set logical-systems LSYS1 security log source-address 2.3.45.66
Geben Sie die Routinginstanz an und definieren Sie die Schnittstelle.
[edit ] user@host# set logical-systems LSYS1 routing-instances LSYS1_ri instance-type virtual-router user@host# set logical-systems LSYS1 routing-instances LSYS_ri interface ge-0/0/3
Definieren Sie eine Routing-Instanz für ein logisches System.
[edit ] user@host# set logical-systems LSYS1 security log stream LSYS1_s host routing-instance LSYS1_ri
Geben Sie das Sicherheitsprotokoll für den Transport des Sicherheitsprotokolls für das Gerät an.
[edit ] user@host# set logical-systems LSYS1 security log transport protocol tls
Verfahren
Schritt-für-Schritt-Anleitung
Im folgenden Verfahren wird beschrieben, wie ein Sicherheitsprofil für ein logisches System konfiguriert wird.
Konfigurieren Sie ein Sicherheitsprofil, und geben Sie die Anzahl der maximalen und reservierten Richtlinien an.
[edit ] user@host# set system security-profile p1 security-log-stream-number reserved 1 user@host# set system security-profile p1 security-log-stream-number maximum 2
Weisen Sie das konfigurierte Sicherheitsprofil TSYS1 zu.
[edit ] user@host# set system security-profile LSYS1_profile logical-system LSYS1
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show system security-profileBefehle , show logical-systems LSYS1 security logund show logical-systems LSYS1 routing-instances eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show system security-profile
LSYS1_profile {
logical-system LSYS1;
}
p1 {
security-log-stream-number {
maximum 2;
reserved 1;
}
}
[edit]
user@host# show logical-systems LSYS1 security log
mode stream;
source-address 2.3.45.66;
transport {
protocol tls;
}
stream LSYS1_s {
format binary;
host {
1.3.54.22;
}
}
[edit]
user@host# show logical-systems LSYS1 routing-instances
LSYS1_ri {
instance-type virtual-router;
interface ge-0/0/3.0;
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Überprüfung
Überprüfen der detaillierten Ausgabe für das Sicherheitsprotokoll
Zweck
Stellen Sie sicher, dass die Ausgabe die Ressourceninformationen für alle logischen Systeme anzeigt.
Aktion
Geben Sie im Betriebsmodus den show system security-profile security-log-stream-number tenant all Befehl ein.
logical-system name security profile name usage reserved maximum
root-logical-system Default-Profile 0 0
Bedeutung
Die Ausgabe zeigt die Ressourceninformationen für logische Systeme an.
Konfigurieren von integrierten binären Sicherheitsprotokolldateien für das logische System
Die Geräte der SRX-Serie unterstützen zwei Arten von Protokollen: Systemprotokolle und Sicherheitsprotokolle.
Die beiden Protokolltypen werden gesammelt und entweder on-box oder extern gespeichert. Im folgenden Verfahren wird erläutert, wie Sicherheitsprotokolle im Binärformat für die On-Box-Protokollierung (Ereignismodus) für das logische System konfiguriert werden.
Das folgende Verfahren gibt das Binärformat für die Sicherheitsprotokollierung im Ereignismodus an und definiert den Protokolldateinamen, den Pfad und die Protokolldateimerkmale für das logische System.
Geben Sie den Protokollierungsmodus und das Format für die Protokolldatei an. Für die On-Box-Protokollierung im Ereignismodus:
[edit] user@host# set logical-systems LSYS1 security log mode event user@host# set logical-systems LSYS1 security log format binary
(Optional) Geben Sie einen Protokolldateinamen an.
[edit] user@host# set logical-systems LSYS1 security log file name security-binary-log
Hinweis:Der Dateiname des Sicherheitsprotokolls ist nicht obligatorisch. Wenn der Dateiname des Sicherheitsprotokolls nicht konfiguriert ist, wird die Datei standardmäßig bin_messages im Verzeichnis /var/log erstellt.
Bestätigen Sie Ihre Konfiguration, indem Sie den
show logical-systems LSYS1Befehl eingeben.[edit] user@host# show logical-systems LSYS1 security { log { mode event; format binary; file { name security-binary-log; } } }
Das folgende Verfahren gibt das Binärformat für die Sicherheitsprotokollierung im Streammodus an und definiert den Protokolldateinamen und die Protokolldateimerkmale für das logische System.
Geben Sie den Protokollierungsmodus und das Format für die Protokolldatei an. Für die On-Box-Protokollierung im Stream-Modus:
[edit] user@host# set logical-systems LSYS1 security log mode stream user@host# set logical-systems LSYS1 security log stream s1 format binary
(Optional) Geben Sie einen Protokolldateinamen an.
[edit] user@host# set logical-systems LSYS1 security log stream s1 file name f1.bin
Bestätigen Sie Ihre Konfiguration, indem Sie den
show logical-systems LSYS1Befehl eingeben.[edit] user@host# show logical-systems LSYS1 security { log { mode stream; stream s1 { format binary; file { name f1.bin; } } } }
Off-Box-Binärsicherheitsprotokolldateien für das logische System konfigurieren
Die Geräte der SRX-Serie unterstützen zwei Arten von Protokollen: Systemprotokolle und Sicherheitsprotokolle.
Die beiden Arten von Protokollen können entweder on-box oder extern gesammelt und gespeichert werden. Im folgenden Verfahren wird erläutert, wie Sicherheitsprotokolle im Binärformat für die Off-Box-Protokollierung (Stream-Modus) konfiguriert werden.
Das folgende Verfahren gibt das Binärformat für die Sicherheitsprotokollierung im Streammodus an und definiert die Merkmale des Protokollierungsmodus, der Quelladresse und des Hostnamens für das logische System.
Geben Sie den Protokollierungsmodus und das Format für die Protokolldatei an. Für die Protokollierung außerhalb des Stream-Modus:
[edit] user@host# set logical-systems LSYS1 security log mode stream s1 format binary
Geben Sie die Quelladresse für die externe Sicherheitsprotokollierung an.
[edit] user@host# set logical-systems LSYS1 security log source-address 100.0.0.1
Geben Sie den Hostnamen an.
[edit] user@host# set logical-systems LSYS1 security log stream s1 host 100.0.0.2
Bestätigen Sie Ihre Konfiguration, indem Sie den
show logical-systems LSYS1Befehl eingeben.[edit] user@host#show logical-systems LSYS1 security { log { mode stream; source-address 100.0.0.1; stream s1 { format binary; host { 100.0.0.2; } } } }
Grundlegendes zum Debuggen von Datenpfaden für logische Systeme
Das Debuggen von Datenpfaden ermöglicht die Ablaufverfolgung und das Debuggen auf mehreren Verarbeitungseinheiten entlang des Paketverarbeitungspfads. Das Debuggen von Datenpfaden kann auch für Datenverkehr zwischen logischen Systemen durchgeführt werden.
Nur der primäre Administrator kann das Debuggen von Datenpfaden für logische Systeme auf der Ebene [edit security datapath-debug] konfigurieren. Administratoren des logischen Benutzersystems können das Debuggen von Datenpfaden für ihre logischen Systeme nicht konfigurieren.
Die End-to-End-Ereignisablaufverfolgung verfolgt den Pfad eines Pakets vom Eingang des Geräts bis zum Verlassen des Geräts. Wenn der primäre Administrator die End-to-End-Ereignisablaufverfolgung konfiguriert, enthält die Ablaufverfolgungsausgabe logische Systeminformationen.
Der primäre Administrator kann auch die Ablaufverfolgung für den Datenverkehr zwischen logischen Systemen konfigurieren. Die Ablaufverfolgungsausgabe zeigt den Datenverkehr, der in den logischen Tunnel zwischen logischen Systemen ein- und ausgeht. Wenn die Option preserve-trace-order konfiguriert ist, wird die Trace-Meldung chronologisch sortiert. Zusätzlich zur Ablaufverfolgungsaktion können andere Aktionen wie Paketabbild und Paketzusammenfassung für den Datenverkehr zwischen logischen Systemen konfiguriert werden.
Das Debuggen von Datenpfaden wird auf SRX1400, SRX3400, SRX3600, SRX5400, SRX5600 und SRX5800 unterstützt.
Siehe auch
Ausführen der Ablaufverfolgung für logische Systeme (nur primäre Administratoren)
Nur der primäre Administrator kann das Debuggen von Datenpfaden für logische Systeme auf Stammebene konfigurieren.
So konfigurieren Sie ein Aktionsprofil für eine Ablaufverfolgung oder Paketerfassung:
So erfassen Sie Trace-Nachrichten für logische Systeme:
Konfigurieren Sie die Ablaufverfolgungserfassungsdatei.
[edit security datapath-debug] user@host# set traceoptions file e2e.trace user@host# set traceoptions file size 10m
Zeigen Sie die erfasste Ablaufverfolgung im Betriebsmodus an.
user@host> show log e2e.trace Jul 7 09:49:56 09:49:56.417578:CID-00:FPC-01:PIC-00:THREAD_ID-00:FINDEX:0:IIF:75:SEQ:0:TC:0 PIC History: ->C0/F1/P0 NP ingress channel 0 packet Meta: Src: F1/P0 Dst: F0/P0 IP: saddr 10.1.1.2 daddr 30.1.1.2 proto 6 len 500 Jul 7 09:49:56 09:49:55.1414031:CID-00:FPC-00:PIC-00:THREAD_ID-04:FINDEX:0:IIF:75:SEQ:0:TC:1 PIC History: ->C0/F1/P0->C0/F0/P0 LBT pkt, payload: DATA Meta: Src: F1/P0 Dst: F0/P0 IP: saddr 10.1.1.2 daddr 30.1.1.2 proto 6 len 500 ... (Some trace information omitted) ... .Jul 7 09:49:56 09:49:55.1415649:CID-00:FPC-00:PIC-00:THREAD_ID-05:FINDEX:0:IIF:75:SEQ:0:TC:16 PIC History: ->C0/F1/P0->C0/F0/P0->C0/F0/P0->C0/F0/P0->C0/F0/P0 POT pkt, action: POT_SEND payload: DATA Meta: Src: F0/P0 Dst: F1/P0 IP: saddr 10.1.1.2 daddr 30.1.1.2 proto 6 len 500 Jul 7 09:49:56 09:49:56.419274:CID-00:FPC-01:PIC-00:THREAD_ID-00:FINDEX:0:IIF:75:SEQ:0:TC:17 PIC History: ->C0/F1/P0->C0/F0/P0->C0/F0/P0->C0/F0/P0->C0/F0/P0->C0/F1/P0 NP egress channel 0 packet Meta: Src: F0/P0 Dst: F1/P0 IP: saddr 10.1.1.2 daddr 30.1.1.2 proto 6 len 500
Löschen Sie das Protokoll.
user@host> clear log e2e.trace
So führen Sie die Paketerfassung für logische Systeme durch:
Konfigurieren Sie die Paketerfassungsdatei.
[edit security datapath-debug] user@host# set capture-file e2e.pcap user@host# set capture-file format pcap user@host# set capture-file size 10m user@host# set capture-file world-readable user@host# set capture-file maximum-capture-size 1500
Wechseln Sie in den Betriebsmodus, um die Paketerfassung zu starten und dann zu stoppen.
user@host> request security datapath-debug capture start user@host> request security datapath-debug capture stop
Hinweis:Paketerfassungsdateien können offline mit tcpdump oder einem beliebigen Paketanalysator, der das libpcap-Format erkennt, geöffnet und analysiert werden. Sie können auch FTP oder das Session Control Protocol (SCP) verwenden, um die Paketerfassungsdateien auf ein externes Gerät zu übertragen.
Deaktivieren Sie die Paketerfassung im Konfigurationsmodus.
Hinweis:Deaktivieren Sie die Paketerfassung, bevor Sie die Datei zur Analyse öffnen oder die Datei mit FTP oder SCP auf ein externes Gerät übertragen. Durch das Deaktivieren der Paketerfassung wird sichergestellt, dass der interne Dateipuffer geleert wird und alle erfassten Pakete in die Datei geschrieben werden.
[edit forwarding-options] user@host# set packet-capture disable
Zeigen Sie die Paketerfassung an.
So zeigen Sie die Paketerfassung mit dem Dienstprogramm tcpdump an:
user@host# tcpdump -nr /var/log/e2e.pcap 09:49:55.1413990 C0/F0/P0 event:11(lbt) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414154 C0/F0/P0 event:11(lbt) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415062 C0/F0/P0 event:11(lbt) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415184 C0/F0/P0 event:11(lbt) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414093 C0/F0/P0 event:12(pot) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414638 C0/F0/P0 event:12(pot) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415011 C0/F0/P0 event:12(pot) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415129 C0/F0/P0 event:12(pot) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415511 C0/F0/P0 event:12(pot) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415649 C0/F0/P0 event:12(pot) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415249 C0/F0/P0 event:18(jexec) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415558 C0/F0/P0 event:18(jexec) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414226 C0/F0/P0 event:18(jexec) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414696 C0/F0/P0 event:18(jexec) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414828 C0/F0/P0 event:16(lt-enter) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414919 C0/F0/P0 event:15(lt-leave) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:56.417560 C0/F1/P0 event:1(np-ingress) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:56.419263 C0/F1/P0 event:2(np-egress) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0
So zeigen Sie die Paketerfassung aus dem CLI-Betriebsmodus an:
user@host> show security datapath-debug capture Packet 1, len 568: (C0/F0/P0/SEQ:0:lbt) 00 00 00 00 00 00 50 c5 8d 0c 99 4a 00 00 0a 01 01 02 08 00 45 60 01 f4 00 00 00 00 40 06 4e 9f 0a 01 01 02 1e 01 01 02 5b 9b 30 39 00 00 00 00 00 00 00 00 50 02 00 00 f8 3c 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ac 7a 00 04 00 00 00 00 b3 e3 15 4e 66 93 15 00 04 22 38 02 38 02 00 00 00 01 00 03 0b 00 00 00 50 d0 1a 08 30 de be bf e4 f3 19 08 Packet 2, len 624: (C0/F0/P0/SEQ:0:lbt) aa 35 00 00 00 00 00 00 00 00 00 00 00 03 00 00 00 0a 00 00 00 00 00 00 05 bd 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 50 c5 8d 0c 99 4a 00 00 0a 01 01 02 08 00 45 60 01 f4 00 00 00 00 40 06 4e 9f 0a 01 01 02 ac 7a 00 04 00 00 00 00 b3 e3 15 4e 0a 94 15 00 04 5a 70 02 70 02 00 00 00 03 00 03 0b 00 00 00 50 d0 1a 08 30 de be bf e4 f3 19 08 ... (Packets 3 through 17 omitted) ... Packet 18, len 568: (C0/F1/P0/SEQ:0:np-egress) 00 00 00 04 00 00 00 00 1e 01 01 02 50 c5 8d 0c 99 4b 08 00 45 60 01 f4 00 00 00 00 3e 06 50 9f 0a 01 01 02 1e 01 01 02 5b 9b 30 39 00 00 00 00 00 00 00 00 50 02 00 00 f8 3c 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ac 7a 04 00 00 00 00 00 b4 e3 15 4e bf 65 06 00 04 22 38 02 38 02 00 00 00 11 00 03 02 00 00 00 50 d0 1a 08 30 de be bf e4 f3 19 08
user@host> show security datapath-debug counters Datapath debug counters Packet Filter 1: lt-enter Chassis 0 FPC 0 PIC 1: 0 lt-enter Chassis 0 FPC 0 PIC 0: 1 lt-leave Chassis 0 FPC 0 PIC 1: 0 lt-leave Chassis 0 FPC 0 PIC 0: 1 np-egress Chassis 0 FPC 1 PIC 3: 0 np-egress Chassis 0 FPC 1 PIC 1: 0 np-egress Chassis 0 FPC 1 PIC 2: 0 np-egress Chassis 0 FPC 1 PIC 0: 1 pot Chassis 0 FPC 0 PIC 1: 0 pot Chassis 0 FPC 0 PIC 0: 6 np-ingress Chassis 0 FPC 1 PIC 3: 0 np-ingress Chassis 0 FPC 1 PIC 1: 0 np-ingress Chassis 0 FPC 1 PIC 2: 0 np-ingress Chassis 0 FPC 1 PIC 0: 1 lbt Chassis 0 FPC 0 PIC 1: 0 lbt Chassis 0 FPC 0 PIC 0: 4 jexec Chassis 0 FPC 0 PIC 1: 0 jexec Chassis 0 FPC 0 PIC 0: 4
Siehe auch
Fehlerbehebung bei der DNS-Namensauflösung in Sicherheitsrichtlinien logischer Systeme (nur primäre Administratoren)
Problem
Beschreibung
Die Adresse eines Hostnamens in einem Adressbucheintrag, der in einer Sicherheitsrichtlinie verwendet wird, kann möglicherweise nicht ordnungsgemäß aufgelöst werden.
Ursache
Normalerweise werden Adressbucheinträge, die dynamische Hostnamen enthalten, für Firewalls der SRX-Serie automatisch aktualisiert. Das TTL-Feld, das einem DNS-Eintrag zugeordnet ist, gibt die Zeit an, nach der der Eintrag im Richtliniencache aktualisiert werden soll. Sobald der TTL-Wert abläuft, aktualisiert die Firewall der SRX-Serie automatisch den DNS-Eintrag für einen Adressbucheintrag.
Wenn die Firewall der SRX-Serie jedoch keine Antwort vom DNS-Server erhalten kann (z. B. weil die DNS-Anforderung oder das DNS-Antwortpaket im Netzwerk verloren geht oder der DNS-Server keine Antwort senden kann), kann die Adresse eines Hostnamens in einem Adressbucheintrag möglicherweise nicht korrekt aufgelöst werden. Dies kann dazu führen, dass der Datenverkehr zurückgeht, da keine Übereinstimmung mit der Sicherheitsrichtlinie oder -sitzung gefunden wird.
Lösung
Der primäre Administrator kann den show security dns-cache Befehl verwenden, um DNS-Cache-Informationen auf der Firewall der SRX-Serie anzuzeigen. Wenn die DNS-Cache-Informationen aktualisiert werden müssen, kann der primäre Administrator den clear security dns-cache Befehl verwenden.
Diese Befehle stehen nur dem primären Administrator auf Geräten zur Verfügung, die für logische Systeme konfiguriert sind. Dieser Befehl ist in logischen Benutzersystemen oder auf Geräten, die nicht für logische Systeme konfiguriert sind, nicht verfügbar.