セキュリティポリシーのトラブルシューティング
ルーティングエンジンとパケット転送エンジン間でのポリシーの同期
問題
Description: セキュリティポリシーは、ルーティングエンジンとパケット転送エンジンに格納されます。セキュリティポリシーは、構成をコミットするときにルーティングエンジンからパケット転送エンジンにプッシュされます。ルーティングエンジンのセキュリティポリシーがパケット転送エンジンと同期していない場合は、設定のコミットが失敗します。コミットが繰り返し試行された場合に、コアダンプファイルを生成することがあります。同期が取れないのは、以下の理由によるものです。
ルーティングエンジンからパケット転送エンジンへのポリシーメッセージは、送信中に失われています。
再利用可能なポリシー UID など、ルーティングエンジンにエラーが発生しています。
Environment: コミットする設定には、ルーティングエンジンとパケット転送エンジンのポリシーが同期化されている必要があります。しかし、特定の状況下では、ルーティングエンジンとパケット転送エンジンのポリシーは同期されていない可能性があり、これが原因でコミットが失敗することがあります。
Symptoms: ポリシーの構成が変更され、ポリシーが同期されていない場合、以下のエラーメッセージが表示されます。error: Warning: policy might be out of sync between RE and PFE <SPU-name(s)> Please request security policies check/resync.
ソリューション
このshow security policies checksumコマンドを使用して、セキュリティポリシーのチェックサム値request security policies resync を表示し、セキュリティポリシーが同期していない場合は、コマンドを使用してルーティングエンジンとパケット転送エンジンにあるセキュリティポリシーの設定を同期します。
セキュリティポリシーのコミット失敗の確認
問題
Description: ほとんどのポリシー構成エラーは、コミットまたはランタイムの実行中に発生します。
CLI コマンドを実行すると、CLI でコミットエラーが直接報告される commit-check設定モードにします。これらのエラーは構成エラーであり、これらのエラーを修正せずに構成をコミットすることはできません。
ソリューション
これらのエラーを解決するには、以下を実行します。
構成データを確認します。
/Var/log/nsd_chk_only. ファイルを開きます。このファイルは、コミットチェックを実行するたびに上書きされ、詳細な障害情報が含まれています。
セキュリティポリシーのコミットを検証する
問題
Description: ポリシー設定のコミットを実行すると、システムの動作に誤りがある場合は、以下の手順を使用して問題のトラブルシューティングを行います。
ソリューション
運用 showコマンド—は、セキュリティポリシーの運用コマンドを実行し、出力に表示される情報が予想どおりであることを確認します。設定していない場合は、構成を適切に変更する必要があります。
Traceoptions—ポリシー設定traceoptionsでコマンドを設定します。この階層下のフラグは、 show コマンド出力のユーザーごとの分析として選択できます。使用するフラグを決定できない場合は、flag オプションallを使用してすべてのトレースログをキャプチャできます。
user@host# set security policies traceoptions <flag all>
また、ログをキャプチャするためのオプションのファイル名を設定することもできます。
トレースオプションでファイル名を指定した場合は、/var/log/< を見ることができます。filename> ファイルでエラーが報告されたかどうかを確認するには、ログファイルを確認する必要があります。(ファイル名が指定されていない場合、デフォルトのファイル名は eventd です)。エラーメッセージには、障害の場所と適切な理由が示されます。
トレースオプションを設定した後、システムの動作が不適切になった構成の変更を再度無効にする必要があります。
デバッグポリシーのルックアップ
問題
Description: 構成が正しいにもかかわらず、一部のトラフィックが不適切に削除または許可されlookupた場合、セキュリティポリシー traceoptions でフラグを有効にすることができます。このlookupフラグによって、トレースファイル内のルックアップ関連トレースがログに記録されます。