Dépannage des dispositifs de sécurité
Dépannage de la résolution de noms DNS dans les stratégies de sécurité du système logique (administrateurs principaux uniquement)
Problème
Description
L’adresse d’un nom d’hôte dans une entrée du carnet d’adresses utilisée dans une stratégie de sécurité peut ne pas être résolue correctement.
Cause
Normalement, les entrées du carnet d’adresses contenant des noms d’hôte dynamiques sont actualisées automatiquement pour les pare-feu SRX Series. Le champ TTL associé à une entrée DNS indique le délai après lequel l’entrée doit être actualisée dans le cache de stratégie. Une fois la valeur TTL expirée, le pare-feu SRX Series actualise automatiquement l’entrée DNS pour une entrée de carnet d’adresses.
Toutefois, si le pare-feu SRX Series ne parvient pas à obtenir une réponse du serveur DNS (par exemple, si la requête DNS ou le paquet de réponse est perdu dans le réseau ou si le serveur DNS ne peut pas envoyer de réponse), l’adresse d’un nom d’hôte dans une entrée du carnet d’adresses peut échouer à se résoudre correctement. Cela peut entraîner une baisse du trafic, car aucune stratégie de sécurité ou correspondance de session n’est trouvée.
Solution
L’administrateur principal peut utiliser la show security dns-cache commande pour afficher les informations du cache DNS sur le pare-feu SRX Series. Si les informations du cache DNS doivent être actualisées, l’administrateur principal peut utiliser la clear security dns-cache commande.
Ces commandes ne sont disponibles que pour l’administrateur principal sur les périphériques configurés pour les systèmes logiques. Cette commande n’est pas disponible dans les systèmes logiques utilisateur ni sur les périphériques qui ne sont pas configurés pour les systèmes logiques.
Voir également
Dépannage de l’interface des services de liaison
Pour résoudre les problèmes de configuration sur une interface de services de liaison :
- Déterminer quels composants CoS sont appliqués aux liens constitutifs
- Déterminez les causes de la gigue et de la latence sur le bundle de liaisons multiples
- Déterminez si le LFI et l’équilibrage de charge fonctionnent correctement
- Déterminer pourquoi des paquets sont abandonnés sur un circuit virtuel virtuel entre un équipement Juniper Networks et un équipement tiers
Déterminer quels composants CoS sont appliqués aux liens constitutifs
Problème
Description
Vous configurez un bundle multilink, mais vous avez également du trafic sans encapsulation MLPPP qui passe par les liens constitutifs du bundle multilink. Appliquez-vous tous les composants CoS aux liens constitutifs ou leur application au bundle de liaisons multiples est-elle suffisante ?
Solution
Vous pouvez appliquer un mappage de planificateur à l’ensemble de liens multiples et à ses liens constitutifs. Bien que vous puissiez appliquer plusieurs composants CoS avec la carte du planificateur, configurez uniquement ceux qui sont nécessaires. Nous vous recommandons de garder la configuration sur les liens constitutifs simple pour éviter tout retard inutile dans la transmission.
Tableau 1 indique les composants CoS à appliquer sur un fibré multiliaisons et ses liaisons constitutives.
Composant Cos |
Bundle multiliens |
Liens constitutifs |
Explication |
|---|---|---|---|
Classificateur |
Oui |
Non |
La classification CoS a lieu du côté entrant de l’interface, et non du côté émetteur, de sorte qu’aucun classificateur n’est nécessaire sur les liaisons constitutives. |
Classe de transfert |
Oui |
Non |
La classe de transfert est associée à une file d’attente, et la file d’attente est appliquée à l’interface par un mappage de planificateur. L’affectation de la file d’attente est prédéterminée sur les liens constitutifs. Tous les paquets de Q2 du bundle multilink sont affectés à Q2 du lien constitutif, et les paquets de toutes les autres files d’attente sont mis en file d’attente à Q0 du lien constitutif. |
Carte du planificateur |
Oui |
Oui |
Appliquez les cartes du planificateur sur le faisceau de liaisons multiples et le lien constitutif comme suit :
|
Taux de mise en forme d’un planificateur unitaire ou d’un planificateur au niveau de l’interface |
Non |
Oui |
Étant donné que la planification par unité n’est appliquée qu’au point d’extrémité, appliquez ce taux de mise en forme aux liens constitutifs uniquement. Toute configuration appliquée précédemment est remplacée par la configuration du lien constitutif. |
Mise en forme exacte du débit de transmission ou au niveau de la file d’attente |
Oui |
Non |
La mise en forme au niveau de l’interface appliquée aux liens constitutifs remplace toute mise en forme de la file d’attente. Appliquez donc la mise en forme exacte du débit de transmission uniquement sur le faisceau multiliaison. |
Règles de réécriture |
Oui |
Non |
Les bits de réécriture sont automatiquement copiés du paquet dans les fragments lors de la fragmentation. Ainsi, ce que vous configurez sur le faisceau de liens multiples est transporté sur les fragments vers les liens constitutifs. |
Groupe de canaux virtuels |
Oui |
Non |
Les groupes de canaux virtuels sont identifiés à l’aide de règles de filtre de pare-feu qui sont appliquées aux paquets uniquement avant le bundle de liaisons multiples. Ainsi, vous n’avez pas besoin d’appliquer la configuration du groupe de canaux virtuels aux liens constitutifs. |
Voir également
Déterminez les causes de la gigue et de la latence sur le bundle de liaisons multiples
Problème
Description
Pour tester la gigue et la latence, vous envoyez trois flux de paquets IP. Tous les paquets ont les mêmes paramètres de priorité IP. Après la configuration de LFI et CRTP, la latence augmentait même sur une liaison non encombrée. Comment réduire la gigue et la latence ?
Solution
Pour réduire la gigue et la latence, procédez comme suit :
Assurez-vous d’avoir configuré un taux de mise en forme sur chaque lien constitutif.
Assurez-vous que vous n’avez pas configuré de taux de mise en forme sur l’interface des services de liaison.
Assurez-vous que la valeur du taux de mise en forme configurée est égale à la bande passante de l’interface physique.
Si les taux de mise en forme sont correctement configurés et que la gigue persiste, contactez le Centre d’assistance technique de Juniper Networks (JTAC).
Déterminez si le LFI et l’équilibrage de charge fonctionnent correctement
Problème
Description
Dans ce cas, vous disposez d’un seul réseau qui prend en charge plusieurs services. Le réseau transmet les données et le trafic vocal sensible à la latence. Après avoir configuré MLPPP et LFI, assurez-vous que les paquets vocaux sont transmis sur le réseau avec très peu de retard et de gigue. Comment savoir si les paquets vocaux sont traités comme des paquets LFI et si l’équilibrage de charge est correctement effectué ?
Solution
Lorsque LFI est activé, les paquets de données (non-LFI) sont encapsulés avec un en-tête MLPPP et fragmentés en paquets d’une taille spécifiée. Les paquets vocaux sensibles au retard (LFI) sont encapsulés en PPP et entrelacés entre les fragments de paquets de données. La mise en file d’attente et l’équilibrage de charge sont effectués différemment pour les paquets LFI et non-LFI.
Pour vérifier que LFI est exécuté correctement, déterminez que les paquets sont fragmentés et encapsulés comme configuré. Une fois que vous savez si un paquet est traité comme un paquet LFI ou un paquet non-LFI, vous pouvez vérifier si l’équilibrage de charge est effectué correctement.
Solution Scenario—Supposons que deux équipements Juniper Networks, R0 et R1, soient connectés par un faisceau de liaisons lsq-0/0/0.0 multiples qui agrège deux liaisons série, se-1/0/0 et se-1/0/1. Sur R0 et R1, MLPPP et LFI sont activés sur l’interface des services de liaison et le seuil de fragmentation est défini sur 128 octets.
Dans cet exemple, nous avons utilisé un générateur de paquets pour générer des flux vocaux et de données. Vous pouvez utiliser la fonctionnalité de capture de paquets pour capturer et analyser les paquets sur l’interface entrante.
Les deux flux de données suivants ont été envoyés sur le bundle multilink :
100 paquets de données de 200 octets (supérieurs au seuil de fragmentation)
500 paquets de données de 60 octets (inférieur au seuil de fragmentation)
Les deux flux vocaux suivants ont été envoyés sur le bundle multilink :
100 paquets vocaux de 200 octets à partir du port source 100
300 paquets vocaux de 200 octets à partir du port source 200
Pour vérifier que LFI et l’équilibrage de charge sont effectués correctement :
Seules les parties significatives de la sortie de la commande sont affichées et décrites dans cet exemple.
Vérifiez la fragmentation des paquets. À partir du mode opérationnel, entrez la
show interfaces lsq-0/0/0commande pour vérifier que les paquets volumineux sont correctement fragmentés.user@R0#> show interfaces lsq-0/0/0 Physical interface: lsq-0/0/0, Enabled, Physical link is Up Interface index: 136, SNMP ifIndex: 29 Link-level type: LinkService, MTU: 1504 Device flags : Present Running Interface flags: Point-To-Point SNMP-Traps Last flapped : 2006-08-01 10:45:13 PDT (2w0d 06:06 ago) Input rate : 0 bps (0 pps) Output rate : 0 bps (0 pps) Logical interface lsq-0/0/0.0 (Index 69) (SNMP ifIndex 42) Flags: Point-To-Point SNMP-Traps 0x4000 Encapsulation: Multilink-PPP Bandwidth: 16mbps Statistics Frames fps Bytes bps Bundle: Fragments: Input : 0 0 0 0 Output: 1100 0 118800 0 Packets: Input : 0 0 0 0 Output: 1000 0 112000 0 ... Protocol inet, MTU: 1500 Flags: None Addresses, Flags: Is-Preferred Is-Primary Destination: 9.9.9/24, Local: 9.9.9.10Meaning: la sortie affiche un récapitulatif des paquets transitant par le périphérique sur le faisceau de liaisons multiples. Vérifiez les informations suivantes sur le bundle multilink :Le nombre total de paquets en transit = 1000
Le nombre total de fragments en transit = 1100
Le nombre de paquets de données fragmentés = 100
Le nombre total de paquets envoyés (600 + 400) sur le bundle multilink correspond au nombre de paquets en transit (1000), ce qui indique qu’aucun paquet n’a été abandonné.
Le nombre de fragments en transit dépasse de 100 le nombre de paquets en transit, ce qui indique que 100 paquets de données volumineux ont été correctement fragmentés.
Corrective Action: si les paquets ne sont pas fragmentés correctement, vérifiez la configuration de votre seuil de fragmentation. Les paquets inférieurs au seuil de fragmentation spécifié ne sont pas fragmentés.Vérifiez l’encapsulation des paquets. Pour savoir si un paquet est traité comme un paquet LFI ou non-LFI, déterminez son type d’encapsulation. Les paquets LFI sont encapsulés en PPP, et les paquets non-LFI sont encapsulés en PPP et MLPPP. Les encapsulations PPP et MLPPP ont des overheads différents, ce qui donne des paquets de tailles différentes. Vous pouvez comparer la taille des paquets pour déterminer le type d’encapsulation.
Un petit paquet de données non fragmenté contient un en-tête PPP et un seul en-tête MLPPP. Dans un paquet de données fragmenté volumineux, le premier fragment contient un en-tête PPP et un en-tête MLPPP, mais les fragments consécutifs ne contiennent qu’un en-tête MLPPP.
Les encapsulations PPP et MLPPP ajoutent le nombre d’octets suivant à un paquet :
L’encapsulation PPP ajoute 7 octets :
4 octets d’en-tête + 2 octets de séquence de vérification de trame (FCS) + 1 octet inactif ou contenant un indicateur
L’encapsulation MLPPP ajoute entre 6 et 8 octets :
4 octets d’en-tête PPP + 2 à 4 octets d’en-tête multiliaison
Figure 1 affiche la surcharge ajoutée aux en-têtes PPP et MLPPP.
Figure 1 : En-têtes PPP et MLPPP
Pour les paquets CRTP, la surcharge d’encapsulation et la taille des paquets sont encore plus petites que pour un paquet LFI. Pour plus d’informations, reportez-vous à la section Exemple : Configuration du protocole de transport en temps réel compressé.
Tableau 2 Affiche la surcharge d’encapsulation pour un paquet de données et un paquet vocal de 70 octets chacun. Après encapsulation, la taille du paquet de données est supérieure à la taille du paquet vocal.
Tableau 2 : Encapsulation PPP et MLPPP Type de paquet
Encapsulation
Taille initiale du paquet
Encapsulation Overhead
Taille du paquet après encapsulation
Paquet vocal (LFI)
PPP
70 octets
4 + 2 + 1 = 7 octets
77 octets
Fragment de données (non-LFI) avec séquence courte
Le MLPPP
70 octets
4 + 2 + 1 + 4 + 2 = 13 octets
83 octets
Fragment de données (non-LFI) avec séquence longue
Le MLPPP
70 octets
4 + 2 + 1 + 4 + 4 = 15 octets
85 octets
À partir du mode opérationnel, entrez la
show interfaces queuecommande pour afficher la taille du paquet transmis sur chaque file d’attente. Divisez le nombre d’octets transmis par le nombre de paquets pour obtenir la taille des paquets et déterminer le type d’encapsulation.Vérifiez l’équilibrage de charge. En mode opérationnel, entrez la
show interfaces queuecommande sur le bundle multilink et ses liens constitutifs pour vérifier si l’équilibrage de charge est correctement effectué sur les paquets.user@R0> show interfaces queue lsq-0/0/0 Physical interface: lsq-0/0/0, Enabled, Physical link is Up Interface index: 136, SNMP ifIndex: 29 Forwarding classes: 8 supported, 8 in use Egress queues: 8 supported, 8 in use Queue: 0, Forwarding classes: DATA Queued: Packets : 600 0 pps Bytes : 44800 0 bps Transmitted: Packets : 600 0 pps Bytes : 44800 0 bps Tail-dropped packets : 0 0 pps RED-dropped packets : 0 0 pps … Queue: 1, Forwarding classes: expedited-forwarding Queued: Packets : 0 0 pps Bytes : 0 0 bps … Queue: 2, Forwarding classes: VOICE Queued: Packets : 400 0 pps Bytes : 61344 0 bps Transmitted: Packets : 400 0 pps Bytes : 61344 0 bps … Queue: 3, Forwarding classes: NC Queued: Packets : 0 0 pps Bytes : 0 0 bps …user@R0> show interfaces queue se-1/0/0 Physical interface: se-1/0/0, Enabled, Physical link is Up Interface index: 141, SNMP ifIndex: 35 Forwarding classes: 8 supported, 8 in use Egress queues: 8 supported, 8 in use Queue: 0, Forwarding classes: DATA Queued: Packets : 350 0 pps Bytes : 24350 0 bps Transmitted: Packets : 350 0 pps Bytes : 24350 0 bps ... Queue: 1, Forwarding classes: expedited-forwarding Queued: Packets : 0 0 pps Bytes : 0 0 bps … Queue: 2, Forwarding classes: VOICE Queued: Packets : 100 0 pps Bytes : 15272 0 bps Transmitted: Packets : 100 0 pps Bytes : 15272 0 bps … Queue: 3, Forwarding classes: NC Queued: Packets : 19 0 pps Bytes : 247 0 bps Transmitted: Packets : 19 0 pps Bytes : 247 0 bps …user@R0> show interfaces queue se-1/0/1 Physical interface: se-1/0/1, Enabled, Physical link is Up Interface index: 142, SNMP ifIndex: 38 Forwarding classes: 8 supported, 8 in use Egress queues: 8 supported, 8 in use Queue: 0, Forwarding classes: DATA Queued: Packets : 350 0 pps Bytes : 24350 0 bps Transmitted: Packets : 350 0 pps Bytes : 24350 0 bps … Queue: 1, Forwarding classes: expedited-forwarding Queued: Packets : 0 0 pps Bytes : 0 0 bps … Queue: 2, Forwarding classes: VOICE Queued: Packets : 300 0 pps Bytes : 45672 0 bps Transmitted: Packets : 300 0 pps Bytes : 45672 0 bps … Queue: 3, Forwarding classes: NC Queued: Packets : 18 0 pps Bytes : 234 0 bps Transmitted: Packets : 18 0 pps Bytes : 234 0 bpsMeaning: la sortie de ces commandes affiche les paquets transmis et mis en file d’attente sur chaque file d’attente de l’interface de services de liaison et de ses liens constitutifs. Tableau 3 affiche un récapitulatif de ces valeurs. (Étant donné que le nombre de paquets transmis est égal au nombre de paquets en file d’attente sur toutes les liaisons, ce tableau affiche uniquement les paquets en file d’attente.)Tableau 3 : Nombre de paquets transmis dans une file d’attente Paquets en file d’attente
Bundle lsq-0/0/0.0
Lien constitutif se-1/0/0
Lien constitutif se-1/0/1
Explication
Paquets au T0
600
350
350
Le nombre total de paquets transitant par les liens constitutifs (350 + 350 = 700) dépassait le nombre de paquets en file d’attente (600) sur le faisceau de liaisons multiples.
Paquets au T2
400
100
300
Le nombre total de paquets transitant par les liens constitutifs était égal au nombre de paquets sur le faisceau.
Paquets au T3
0
19
18
Les paquets transitant Q3 des liens constitutifs sont destinés aux messages keepalive échangés entre les liens constitutifs. Ainsi, aucun paquet n’a été compté sur Q3 du paquet.
Sur le bundle de liens multiples, vérifiez les points suivants :
Le nombre de paquets mis en file d’attente correspond au nombre de paquets transmis. Si les nombres correspondent, aucun paquet n’a été abandonné. S’il y avait plus de paquets en file d’attente que de paquets transmis, ils étaient abandonnés car la mémoire tampon était trop petite. La taille de la mémoire tampon sur les liens constitutifs contrôle l’encombrement à l’étape de sortie. Pour corriger ce problème, augmentez la taille de la mémoire tampon sur les liens constitutifs.
Le nombre de paquets transitant par Q0 (600) correspond au nombre de paquets de données de grande et de petite taille reçus (100+500) sur le bundle multilink. Si les nombres correspondent, tous les paquets de données ont correctement transité Q0.
Le nombre de paquets transitant Q2 sur le faisceau multiliaison (400) correspond au nombre de paquets vocaux reçus sur le faisceau multiliaison. Si les chiffres correspondent, tous les paquets LFI vocaux ont correctement transité Q2.
Sur les liens constitutifs, vérifiez les points suivants :
Le nombre total de paquets transitant Q0 (350+350) correspond au nombre de paquets de données et de fragments de données (500+200). Si les nombres correspondent, tous les paquets de données après fragmentation ont correctement transité Q0 des liens constitutifs.
Les paquets transitaient par les deux liaisons constitutives, ce qui indique que l’équilibrage de charge était correctement effectué sur les paquets non-LFI.
Le nombre total de paquets transitant Q2 (300+100) sur les liaisons constitutives correspond au nombre de paquets vocaux reçus (400) sur le faisceau de liaisons multiples. Si les chiffres correspondent, tous les paquets LFI vocaux ont correctement transité Q2.
Les paquets LFI du port
100source ont transitése-1/0/0par , et les paquets LFI du port200source ont transitése-1/0/1. Ainsi, tous les paquets LFI (Q2) ont été hachés en fonction du port source et ont correctement transité par les deux liens constitutifs.
Corrective Action: si les paquets n’ont transité qu’une seule liaison, procédez comme suit pour résoudre le problème :Déterminez si la liaison physique est
up(opérationnelle) oudown(indisponible). Une liaison indisponible indique un problème au niveau du PIM, du port d’interface ou de la connexion physique (erreurs de couche de liaison). Si le lien est opérationnel, passez à l’étape suivante.Vérifiez que les classificateurs sont correctement définis pour les paquets non-LFI. Assurez-vous que les paquets non-LFI ne sont pas configurés pour être mis en file d’attente Q2. Tous les paquets mis en file d’attente Q2 sont traités comme des paquets LFI.
Vérifiez qu’au moins une des valeurs suivantes est différente dans les paquets LFI : l’adresse source, l’adresse de destination, le protocole IP, le port source ou le port de destination. Si les mêmes valeurs sont configurées pour tous les paquets LFI, les paquets sont tous hachés vers le même flux et transitent par la même liaison.
Utilisez les résultats pour vérifier l’équilibrage de charge.
Déterminer pourquoi des paquets sont abandonnés sur un circuit virtuel virtuel entre un équipement Juniper Networks et un équipement tiers
Problème
Description
Vous configurez un circuit virtuel permanent (PVC) entre les interfaces T1, E1, T3 ou E3 sur un équipement Juniper Networks et un équipement tiers, et des paquets sont abandonnés et la commande ping échoue.
Solution
Si l’équipement tiers ne prend pas en charge FRF.12 de la même manière que l’équipement Juniper Networks ou s’il prend en charge FRF.12 d’une manière différente, l’interface de l’équipement Juniper Networks sur le circuit circuit virtuel permanent peut ignorer un paquet fragmenté contenant des en-têtes FRF.12 et le considérer comme un « rejet contrôlé ».
Pour contourner ce problème, configurez les bundles multiliens sur les deux homologues et configurez les seuils de fragmentation sur les bundles multilinks.
Dépannage des stratégies de sécurité
- Synchronisation des stratégies entre le moteur de routage et le moteur de transfert de paquets
- Vérification de l’échec d’une validation de stratégie de sécurité
- Vérification d’une validation de stratégie de sécurité
- Recherche de stratégie de débogage
Synchronisation des stratégies entre le moteur de routage et le moteur de transfert de paquets
Problème
Description
Les stratégies de sécurité sont stockées dans le moteur de routage et le moteur de transfert de paquets. Les stratégies de sécurité sont transmises du moteur de routage au moteur de transfert de paquets lorsque vous validez les configurations. Si les stratégies de sécurité du moteur de routage ne sont pas synchronisées avec le moteur de transfert de paquets, la validation d’une configuration échoue. Des fichiers de core dump peuvent être générés si la validation est tentée à plusieurs reprises. La désynchronisation peut être due à :
Un message de stratégie transmis par le moteur de routage au moteur de transfert de paquets est perdu en transit.
Une erreur avec le moteur de routage, telle qu’un UID de stratégie réutilisé.
Environnement
Les stratégies du moteur de routage et du moteur de transfert de paquets doivent être synchronisées pour que la configuration soit validée. Toutefois, dans certaines circonstances, les stratégies du moteur de routage et du moteur de transfert de paquets peuvent ne pas être synchronisées, ce qui entraîne l’échec de la validation.
Symptômes
Lorsque les configurations de stratégie sont modifiées et que les stratégies ne sont pas synchronisées, le message d’erreur suivant s’affiche : error: Warning: policy might be out of sync between RE and PFE <SPU-name(s)> Please request security policies check/resync.
Solution
Utilisez la show security policies checksum commande pour afficher la valeur de la somme de contrôle de la stratégie de sécurité et synchroniser request security policies resync la configuration des stratégies de sécurité dans le moteur de routage et le moteur de transfert de paquets, si les stratégies de sécurité ne sont pas synchronisées.
Voir également
Vérification de l’échec d’une validation de stratégie de sécurité
Problème
Description
La plupart des échecs de configuration des stratégies se produisent lors d’une validation ou d’un runtime.
Les échecs de validation sont signalés directement sur l’interface de ligne de commande lorsque vous exécutez la commande commit-check de l’interface de ligne de commande en mode de configuration. Ces erreurs sont des erreurs de configuration, et vous ne pouvez pas valider la configuration sans corriger ces erreurs.
Solution
Pour corriger ces erreurs, procédez comme suit :
Vérifiez vos données de configuration.
Ouvrez le fichier /var/log/nsd_chk_only. Ce fichier est écrasé chaque fois que vous effectuez une vérification de validation et contient des informations détaillées sur les échecs.
Vérification d’une validation de stratégie de sécurité
Problème
Description
Lors de l’exécution d’une validation de configuration de stratégie, si vous remarquez que le comportement du système est incorrect, procédez comme suit pour résoudre ce problème :
Solution
Operational Commands (Commandes opérationnelles show ) : exécutez les commandes opérationnelles pour les stratégies de sécurité et vérifiez que les informations affichées dans la sortie correspondent à ce que vous attendiez. Si ce n’est pas le cas, la configuration doit être modifiée en conséquence.
Traceoptions : définissez la commande dans la configuration de
traceoptionsvotre stratégie. Les indicateurs de cette hiérarchie peuvent être sélectionnés en fonction de l’analyse de la sortie de la commande par l’utilisateurshow. Si vous ne parvenez pas à déterminer l’indicateur à utiliser, l’optionalld’indicateur peut être utilisée pour capturer tous les journaux de suivi.user@host#
set security policies traceoptions <flag all>
Vous pouvez également configurer un nom de fichier facultatif pour capturer les journaux.
user@host# set security policies traceoptions <filename>
Si vous avez spécifié un nom de fichier dans les options de traçage, vous pouvez rechercher le fichier journal dans le fichier journal /var/log/<filename> pour vérifier si des erreurs ont été signalées dans le fichier. (Si vous n’avez pas spécifié de nom de fichier, le nom de fichier par défaut est eventd.) Les messages d’erreur indiquent le lieu de la défaillance et la raison appropriée.
Après avoir configuré les options de traçage, vous devez valider à nouveau la modification de configuration à l’origine du comportement incorrect du système.
Recherche de stratégie de débogage
Problème
Description
Lorsque vous disposez de la configuration correcte, mais qu’une partie du trafic a été incorrectement supprimée ou autorisée, vous pouvez activer l’indicateur lookup dans les traceoptions des stratégies de sécurité. L’indicateur lookup consigne les traces associées à la recherche dans le fichier de trace.
Solution
user@host# set security policies traceoptions <flag lookup>