論理システムのトラブルシューティング
以下の機能を使用して、論理システムを監視し、ソフトウェアの問題をトラブルシューティングします。詳細については、以下のトピックを参照してください。
セキュリティ ログと論理システムについて
セキュリティログとは、セキュリティイベントを含むシステムログメッセージです。デバイスが論理システム用に設定されている場合、論理システムのコンテキスト内で生成されたセキュリティログは、名前 logname_LS ( IDP_ATTACK_LOG_EVENT_LSなど)を使用します。ログの論理システムバージョンは、論理システムに設定されていないデバイスのログと同じ属性セットを持っています。論理システム ログには、最初の属性として logical-system-name が含まれています。
以下のセキュリティログは、論理システムに設定 されていない デバイスのIDP_ATTACK_LOG_EVENTログの属性を示しています。
IDP_ATTACK_LOG_EVENT { help "IDP attack log"; description "IDP Attack log generated for attack"; type event; args timestamp message-type source-address source-port destination-address destination-port protocol-name service-name application-name rule-name rulebase-name policy-name repeat-count action threat-severity attack-name nat-source-address nat-source-port nat-destination-address nat-destination-port elapsed-time inbound-bytes outbound-bytes inbound-packets outbound-packets source-zone-name source-interface-name destination-zone-name destination-interface-name packet-log-id message; severity LOG_INFO; flag auditable; edit "2010/10/01 mvr created"; }
以下のセキュリティログは、論理システム用に設定されたデバイスのIDP_ATTACK_LOG_EVENT_LSログの属性を示しています(論理システム名が最初の属性であることに注意してください)。
IDP_ATTACK_LOG_EVENT_LS { help "IDP attack log"; description "IDP Attack log generated for attack"; type event; args logical-system-name timestamp message-type source-address source-port destination-address destination-port protocol-name service-name application-name rule-name rulebase-name policy-name repeat-count action threat-severity attack-name nat-source-address nat-source-port nat-destination-address nat-destination-port elapsed-time inbound-bytes outbound-bytes inbound-packets outbound-packets source-zone-name source-interface-name destination-zone-name destination-interface-name packet-log-id message; severity LOG_INFO; flag auditable; edit "2010/10/01 mvr created"; }
デバイスが論理システム用に設定されている場合、ログ名に _LS サフィックスが含まれており、論理システムごとにログを分離するために論理システム名属性を使用できるため、ログ解析スクリプトを変更する必要があります。
デバイスが論理システム用に設定されていない場合、セキュリティ ログは変更されず、ログを解析するように構築されたスクリプトは変更する必要はありません。
[edit security log
] 階層レベルでログを設定できるのは、プライマリ管理者だけです。ユーザー論理システム管理者は、論理システムのロギングを設定できません。
ストリーム モードは、以下を含む一連のロギング サービスです。
オフボックス ロギング(SRX シリーズ)
オンボックスロギングおよびレポート(SRX300、SRX320、SRX340、SRX345、SRX380、SRX550M、SRX1500、SRX4100、SRX4200、SRX4600シリーズ)
論理システムごとの設定はオフボックス ロギングでサポートされ、ログはこれらの設定に基づいて処理されます。以前は、ユーザー論理システムログはルート論理システムから生成されていました。オフボックス ロギングの場合、論理システム ログは論理システム インターフェイスからしか生成できません。
制限
各SPUは、Junos OS 18.2R1リリースのSRX5400、SRX5600、およびSRX5800デバイス上のクラスタのスタンドアロンおよび500の接続に対して最大1000の接続のみをサポートできます。すべての接続が使用されている場合、ユーザー論理システムの一部の接続が確立されない可能性があります。
エラーメッセージは 、システムログエクスプローラでキャプチャされます。
論理システムのオンボックス レポートの設定
SRX シリーズ ファイアウォールは、論理システム ユーザー向けにさまざまなタイプのレポートをサポートします。
レポートは SRX シリーズ ファイアウォールにローカルに保存されるため、ログとレポートのストレージ用に個別のデバイスやツールを用意する必要はありません。オンボックスレポートは、セキュリティログを表示するためのシンプルで使いやすいインターフェイスを提供します。
開始する前に、以下を行います。
論理システムにセキュリティ ログを設定する方法を理解する。例: 論理システムのセキュリティログの設定を参照してください。
論理システムのオンボックスレポートを設定するには:
デフォルトでは、 report
オプションは無効になっています。コマンドは set logical-systems LSYS1 security log mode stream
デフォルトで有効になっています。
例:論理システムのセキュリティログの設定
この例では、論理システムのセキュリティログを設定する方法を示しています。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
SRXシリーズファイアウォール。
Junos OS リリース 18.3R1 以降のリリース。
開始する前に、以下を行います。
論理システムを構成する方法を理解する。
1 次論理システムのセキュリティー・プロファイルを作成する方法を理解する。 論理システムセキュリティプロファイルについて(プライマリ管理者のみ)を参照してください。
概要
SRX シリーズ ファイアウォールには、システム ログとセキュリティ ログという 2 種類のログがあります。システムは、コントロール プレーン イベント(たとえば、管理者がデバイスにログインする)を記録します。セキュリティログは、トラフィックログとも呼ばれ、特定のトラフィック処理に関するデータプレーンイベントを記録します。例えば、セキュリティポリシーがポリシーの違反により特定のトラフィックを拒否した場合などです。
2 種類のログを収集して、オンボックスまたはオフボックスで保存できます。以下の手順では、オフボックス(ストリームモード)ログのバイナリ形式でセキュリティログを設定する方法について説明します。
オフボックスロギングでは、論理システムのセキュリティログが論理システムインターフェイスから送信されます。論理システム インターフェイスがすでにルーティング インスタンスで設定されている場合は、 階層で edit logical-systems logical-system-name security log stream log-stream-name host
を設定routing-instance routing-instance-name
します。インターフェイスがルーティングインスタンスで設定されていない場合、階層でedit logical-systems logical-system-name security log stream log-stream-name host
ルーティングインスタンスを設定しないでください。
構成
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit]
CLI にコピー アンド ペーストして、設定モードから を入力 commit
します。
set logical-systems LSYS1 security log mode stream set logical-systems LSYS1 security log stream LSYS1_s format binary host 1.3.54.22 set logical-systems LSYS1 security log source-address 2.3.45.66 set logical-systems LSYS1 security log transport protocol tls set logical-systems LSYS1 routing-instances LSYS1_ri instance-type virtual-router set logical-systems LSYS1 routing-instances LSYS_ri interface ge-0/0/3 set logical-systems LSYS1 security log stream LSYS1_s host routing-instance LSYS1_ri set system security-profile p1 security-log-stream-number reserved 1 set system security-profile p1 security-log-stream-number maximum 2 set system security-profile LSYS1_profile logical-system LSYS1
手順
手順
以下の手順では、論理システムのセキュリティログを設定する方法を指定します。
ログ ファイルのロギング モードと形式を指定します。オフボックスのストリームモードロギングの場合。
[edit ] user@host# set logical-systems LSYS1 security log mode stream user@host# set logical-systems LSYS1 security log stream LSYS1_s format binary host 1.3.54.22
-
オフボックスセキュリティロギングでは、ログメッセージを生成したSRXシリーズファイアウォールを識別する送信元アドレスを指定します。送信元アドレスは必須です。
[edit ] user@host# set logical-systems LSYS1 security log source-address 2.3.45.66
ルーティングインスタンスを指定し、インターフェイスを定義します。
[edit ] user@host# set logical-systems LSYS1 routing-instances LSYS1_ri instance-type virtual-router user@host# set logical-systems LSYS1 routing-instances LSYS_ri interface ge-0/0/3
論理システムのルーティング インスタンスを定義します。
[edit ] user@host# set logical-systems LSYS1 security log stream LSYS1_s host routing-instance LSYS1_ri
デバイスのセキュリティログトランスポートプロトコルを指定します。
[edit ] user@host# set logical-systems LSYS1 security log transport protocol tls
手順
手順
以下の手順では、論理システムのセキュリティプロファイルを設定する方法を指定します。
セキュリティプロファイルを設定し、最大ポリシーと予約済みポリシーの数を指定します。
[edit ] user@host# set system security-profile p1 security-log-stream-number reserved 1 user@host# set system security-profile p1 security-log-stream-number maximum 2
設定したセキュリティプロファイルをTSYS1に割り当てます。
[edit ] user@host# set system security-profile LSYS1_profile logical-system LSYS1
結果
設定モードから、 、 、 show logical-systems LSYS1 security log
コマンドを入力して設定をshow system security-profile
show logical-systems LSYS1 routing-instances
確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit] user@host# show system security-profile LSYS1_profile { logical-system LSYS1; } p1 { security-log-stream-number { maximum 2; reserved 1; } }
[edit] user@host# show logical-systems LSYS1 security log mode stream; source-address 2.3.45.66; transport { protocol tls; } stream LSYS1_s { format binary; host { 1.3.54.22; } }
[edit] user@host# show logical-systems LSYS1 routing-instances LSYS1_ri { instance-type virtual-router; interface ge-0/0/3.0; }
デバイスの設定が完了したら、設定モードから を入力します commit
。
検証
セキュリティ ログの詳細出力の検証
目的
出力に、すべての論理システムのリソース情報が表示されていることを確認します。
アクション
動作モードから、 コマンドを show system security-profile security-log-stream-number tenant all
入力します。
logical-system name security profile name usage reserved maximum root-logical-system Default-Profile 0 0
意味
出力には、論理システムのリソース情報が表示されます。
論理システム用のオンボックスバイナリセキュリティログファイルの設定
SRX シリーズ デバイスは、システム ログとセキュリティ ログという 2 種類のログをサポートします。
2 種類のログが収集され、オンボックスまたはオフボックスで保存されます。以下の手順では、論理システムのオンボックス(イベントモード)ログのバイナリ形式でセキュリティログを設定する方法について説明します。
以下の手順では、イベントモードセキュリティロギングのバイナリ形式を指定し、論理システムのログファイル名、パス、ログファイルの特性を定義します。
ログ ファイルのロギング モードと形式を指定します。オンボックスのイベントモードロギングの場合:
[edit] user@host# set logical-systems LSYS1 security log mode event user@host# set logical-systems LSYS1 security log format binary
(オプション)ログファイル名を指定します。
[edit] user@host# set logical-systems LSYS1 security log file name security-binary-log
メモ:セキュリティログファイル名は必須ではありません。セキュリティログファイル名が設定されていない場合、デフォルトではファイルbin_messagesは/var/logディレクトリに作成されます。
コマンドを入力して、設定を
show logical-systems LSYS1
確認します。[edit] user@host# show logical-systems LSYS1 security { log { mode event; format binary; file { name security-binary-log; } } }
以下の手順では、ストリームモードセキュリティロギングのバイナリ形式を指定し、論理システムのログファイル名とログファイルの特性を定義します。
ログ ファイルのロギング モードと形式を指定します。オンボックスの場合、ストリームモードのロギング:
[edit] user@host# set logical-systems LSYS1 security log mode stream user@host# set logical-systems LSYS1 security log stream s1 format binary
(オプション)ログファイル名を指定します。
[edit] user@host# set logical-systems LSYS1 security log stream s1 file name f1.bin
コマンドを入力して、設定を
show logical-systems LSYS1
確認します。[edit] user@host# show logical-systems LSYS1 security { log { mode stream; stream s1 { format binary; file { name f1.bin; } } } }
論理システム用のオフボックスバイナリセキュリティログファイルの設定
SRX シリーズ デバイスは、システム ログとセキュリティ ログという 2 種類のログをサポートします。
2 種類のログを収集して、オンボックスまたはオフボックスで保存できます。以下の手順では、オフボックス(ストリームモード)ログのバイナリ形式でセキュリティログを設定する方法について説明します。
以下の手順では、ストリームモードセキュリティロギングのバイナリ形式を指定し、論理システムのロギングモード、送信元アドレス、およびホスト名の特性を定義します。
ログ ファイルのロギング モードと形式を指定します。オフボックスのストリームモードロギングの場合:
[edit] user@host# set logical-systems LSYS1 security log mode stream s1 format binary
オフボックス セキュリティ ロギングの送信元アドレスを指定します。
[edit] user@host# set logical-systems LSYS1 security log source-address 100.0.0.1
ホスト名を指定します。
[edit] user@host# set logical-systems LSYS1 security log stream s1 host 100.0.0.2
コマンドを入力して、設定を
show logical-systems LSYS1
確認します。[edit] user@host#show logical-systems LSYS1 security { log { mode stream; source-address 100.0.0.1; stream s1 { format binary; host { 100.0.0.2; } } } }
論理システムのデータ パス デバッグについて
データ・パス・デバッグは、パケット処理パスに沿った複数の処理ユニットでのトレースとデバッグを提供します。データ・パス・デバッグは、論理システム間のトラフィックに対して実行することもできます。
[セキュリティデータパスのデバッグを編集]レベルで論理システムのデータパスデバッグを設定できるのは、プライマリ管理者だけです。ユーザー論理システム管理者は、論理システムのデータ・パス・デバッグを構成できません。
エンドツーエンドのイベントトレースは、パケットがデバイスに入ったときからデバイスを離れた時までパケットのパスを追跡します。一次管理者がエンドツーエンドのイベント・トレースを構成すると、トレース出力には論理システム情報が含まれます。
プライマリ管理者は、論理システム間のトラフィックのトレースを設定することもできます。トレース出力は、論理システム間で論理トンネルを出入りするトラフィックを示しています。 トレース順序の保存 オプションが設定されている場合、トレース メッセージは時系列でソートされます。トレースアクションに加えて、論理システム間のトラフィックに対して、パケットダンプやパケット概要などのその他のアクションを設定することもできます。
データ・パス・デバッグは、SRX1400、SRX3400、SRX3600、SRX5400、SRX5600、およびSRX5800でサポートされています。
「」も参照
論理システムのトレースの実行(プライマリ管理者のみ)
ルート・レベルで論理システムのデータ・パス・デバッグを構成できるのは、1 次管理者だけです。
トレースまたはパケット キャプチャのアクション プロファイルを設定するには、
論理システムのトレース メッセージをキャプチャするには、
トレース キャプチャ ファイルを設定します。
[edit security datapath-debug] user@host# set traceoptions file e2e.trace user@host# set traceoptions file size 10m
動作モードでキャプチャされたトレースを表示します。
user@host> show log e2e.trace Jul 7 09:49:56 09:49:56.417578:CID-00:FPC-01:PIC-00:THREAD_ID-00:FINDEX:0:IIF:75:SEQ:0:TC:0 PIC History: ->C0/F1/P0 NP ingress channel 0 packet Meta: Src: F1/P0 Dst: F0/P0 IP: saddr 10.1.1.2 daddr 30.1.1.2 proto 6 len 500 Jul 7 09:49:56 09:49:55.1414031:CID-00:FPC-00:PIC-00:THREAD_ID-04:FINDEX:0:IIF:75:SEQ:0:TC:1 PIC History: ->C0/F1/P0->C0/F0/P0 LBT pkt, payload: DATA Meta: Src: F1/P0 Dst: F0/P0 IP: saddr 10.1.1.2 daddr 30.1.1.2 proto 6 len 500 ... (Some trace information omitted) ... .Jul 7 09:49:56 09:49:55.1415649:CID-00:FPC-00:PIC-00:THREAD_ID-05:FINDEX:0:IIF:75:SEQ:0:TC:16 PIC History: ->C0/F1/P0->C0/F0/P0->C0/F0/P0->C0/F0/P0->C0/F0/P0 POT pkt, action: POT_SEND payload: DATA Meta: Src: F0/P0 Dst: F1/P0 IP: saddr 10.1.1.2 daddr 30.1.1.2 proto 6 len 500 Jul 7 09:49:56 09:49:56.419274:CID-00:FPC-01:PIC-00:THREAD_ID-00:FINDEX:0:IIF:75:SEQ:0:TC:17 PIC History: ->C0/F1/P0->C0/F0/P0->C0/F0/P0->C0/F0/P0->C0/F0/P0->C0/F1/P0 NP egress channel 0 packet Meta: Src: F0/P0 Dst: F1/P0 IP: saddr 10.1.1.2 daddr 30.1.1.2 proto 6 len 500
ログを消去します。
user@host> clear log e2e.trace
論理システムのパケット キャプチャを実行するには、
パケット キャプチャ ファイルを設定します。
[edit security datapath-debug] user@host# set capture-file e2e.pcap user@host# set capture-file format pcap user@host# set capture-file size 10m user@host# set capture-file world-readable user@host# set capture-file maximum-capture-size 1500
運用モードに入って、パケット キャプチャを開始してから停止します。
user@host> request security datapath-debug capture start user@host> request security datapath-debug capture stop
メモ:パケット キャプチャ ファイルは、tcpdump または libpcap 形式を認識するパケット アナライザを使用して、オフラインで開いて分析できます。また、FTPまたはSession Control Protocol(SCP)を使用して、パケットキャプチャファイルを外部デバイスに転送することもできます。
設定モードからのパケット キャプチャを無効にします。
メモ:分析用にファイルを開いたり、FTPまたはSCPで外部デバイスにファイルを転送したりする前に、パケットキャプチャを無効にします。パケット キャプチャを無効にすると、内部ファイル バッファがフラッシュされ、キャプチャされたすべてのパケットがファイルに書き込まれます。
[edit forwarding-options] user@host# set packet-capture disable
パケット キャプチャを表示します。
tcpdumpユーティリティでパケットキャプチャを表示するには::
user@host# tcpdump -nr /var/log/e2e.pcap 09:49:55.1413990 C0/F0/P0 event:11(lbt) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414154 C0/F0/P0 event:11(lbt) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415062 C0/F0/P0 event:11(lbt) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415184 C0/F0/P0 event:11(lbt) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414093 C0/F0/P0 event:12(pot) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414638 C0/F0/P0 event:12(pot) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415011 C0/F0/P0 event:12(pot) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415129 C0/F0/P0 event:12(pot) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415511 C0/F0/P0 event:12(pot) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415649 C0/F0/P0 event:12(pot) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415249 C0/F0/P0 event:18(jexec) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415558 C0/F0/P0 event:18(jexec) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414226 C0/F0/P0 event:18(jexec) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414696 C0/F0/P0 event:18(jexec) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414828 C0/F0/P0 event:16(lt-enter) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414919 C0/F0/P0 event:15(lt-leave) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:56.417560 C0/F1/P0 event:1(np-ingress) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:56.419263 C0/F1/P0 event:2(np-egress) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0
CLI 動作モードからパケット キャプチャを表示するには、次の手順に従います。
user@host> show security datapath-debug capture Packet 1, len 568: (C0/F0/P0/SEQ:0:lbt) 00 00 00 00 00 00 50 c5 8d 0c 99 4a 00 00 0a 01 01 02 08 00 45 60 01 f4 00 00 00 00 40 06 4e 9f 0a 01 01 02 1e 01 01 02 5b 9b 30 39 00 00 00 00 00 00 00 00 50 02 00 00 f8 3c 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ac 7a 00 04 00 00 00 00 b3 e3 15 4e 66 93 15 00 04 22 38 02 38 02 00 00 00 01 00 03 0b 00 00 00 50 d0 1a 08 30 de be bf e4 f3 19 08 Packet 2, len 624: (C0/F0/P0/SEQ:0:lbt) aa 35 00 00 00 00 00 00 00 00 00 00 00 03 00 00 00 0a 00 00 00 00 00 00 05 bd 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 50 c5 8d 0c 99 4a 00 00 0a 01 01 02 08 00 45 60 01 f4 00 00 00 00 40 06 4e 9f 0a 01 01 02 ac 7a 00 04 00 00 00 00 b3 e3 15 4e 0a 94 15 00 04 5a 70 02 70 02 00 00 00 03 00 03 0b 00 00 00 50 d0 1a 08 30 de be bf e4 f3 19 08 ... (Packets 3 through 17 omitted) ... Packet 18, len 568: (C0/F1/P0/SEQ:0:np-egress) 00 00 00 04 00 00 00 00 1e 01 01 02 50 c5 8d 0c 99 4b 08 00 45 60 01 f4 00 00 00 00 3e 06 50 9f 0a 01 01 02 1e 01 01 02 5b 9b 30 39 00 00 00 00 00 00 00 00 50 02 00 00 f8 3c 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ac 7a 04 00 00 00 00 00 b4 e3 15 4e bf 65 06 00 04 22 38 02 38 02 00 00 00 11 00 03 02 00 00 00 50 d0 1a 08 30 de be bf e4 f3 19 08
user@host> show security datapath-debug counters Datapath debug counters Packet Filter 1: lt-enter Chassis 0 FPC 0 PIC 1: 0 lt-enter Chassis 0 FPC 0 PIC 0: 1 lt-leave Chassis 0 FPC 0 PIC 1: 0 lt-leave Chassis 0 FPC 0 PIC 0: 1 np-egress Chassis 0 FPC 1 PIC 3: 0 np-egress Chassis 0 FPC 1 PIC 1: 0 np-egress Chassis 0 FPC 1 PIC 2: 0 np-egress Chassis 0 FPC 1 PIC 0: 1 pot Chassis 0 FPC 0 PIC 1: 0 pot Chassis 0 FPC 0 PIC 0: 6 np-ingress Chassis 0 FPC 1 PIC 3: 0 np-ingress Chassis 0 FPC 1 PIC 1: 0 np-ingress Chassis 0 FPC 1 PIC 2: 0 np-ingress Chassis 0 FPC 1 PIC 0: 1 lbt Chassis 0 FPC 0 PIC 1: 0 lbt Chassis 0 FPC 0 PIC 0: 4 jexec Chassis 0 FPC 0 PIC 1: 0 jexec Chassis 0 FPC 0 PIC 0: 4
「」も参照
論理システム セキュリティ ポリシーにおける DNS 名解決のトラブルシューティング(プライマリ管理者のみ)
問題
説明
セキュリティー ポリシーで使用されているアドレス帳エントリー内のホスト名のアドレスが正しく解決されない場合があります。
原因
通常、SRXシリーズファイアウォールでは、動的ホスト名を含むアドレス帳エントリーが自動的に更新されます。DNS エントリーに関連付けられた TTL フィールドは、ポリシー キャッシュでエントリを更新する時間を示します。TTL 値が期限切れになると、SRX シリーズ ファイアウォールはアドレス帳エントリーの DNS エントリーを自動的に更新します。
ただし、SRXシリーズファイアウォールがDNSサーバーから応答を取得できない場合(例えば、ネットワークでDNSリクエストや応答パケットが失われたり、DNSサーバーが応答を送信できない場合)、アドレス帳エントリー内のホスト名のアドレスが正しく解決できない場合があります。これにより、セキュリティポリシーやセッションの一致が見つからない場合、トラフィックがドロップする可能性があります。
ソリューション
プライマリ管理者は、 コマンドを show security dns-cache
使用して、SRXシリーズファイアウォールのDNSキャッシュ情報を表示できます。DNS キャッシュ情報を更新する必要がある場合は、プライマリ管理者が コマンドを clear security dns-cache
使用できます。
これらのコマンドは、論理システム用に設定されたデバイス上のプライマリ管理者のみが使用できます。このコマンドは、ユーザー論理システムや論理システム用に設定されていないデバイスでは使用できません。