EN ESTA PÁGINA
Ejemplo: Configurar registro de seguridad para sistemas lógicos
Configuración de archivos de registro de seguridad binarios en caja para el sistema lógico
Configuración de archivos de registro de seguridad binarios fuera de la caja para el sistema lógico
Descripción de la depuración de rutas de datos para sistemas lógicos
Realización de rastreo para sistemas lógicos (solo administradores principales)
Solución de problemas de sistemas lógicos
Utilice las siguientes funciones para supervisar los sistemas lógicos y solucionar los problemas de software. Para obtener más información, consulte los temas siguientes:
Descripción de registros de seguridad y sistemas lógicos
Los registros de seguridad son mensajes de registro del sistema que incluyen eventos de seguridad. Si un dispositivo está configurado para sistemas lógicos, los registros de seguridad generados en el contexto de un sistema lógico usan el nombrelogname _LS (por ejemplo, IDP_ATTACK_LOG_EVENT_LS). La versión del sistema lógico de un registro tiene el mismo conjunto de atributos que el registro para dispositivos que no están configurados para sistemas lógicos. El registro del sistema lógico incluye logical-system-name como primer atributo.
El siguiente registro de seguridad muestra los atributos del registro de IDP_ATTACK_LOG_EVENT para un dispositivo que no está configurado para sistemas lógicos:
IDP_ATTACK_LOG_EVENT { help "IDP attack log"; description "IDP Attack log generated for attack"; type event; args timestamp message-type source-address source-port destination-address destination-port protocol-name service-name application-name rule-name rulebase-name policy-name repeat-count action threat-severity attack-name nat-source-address nat-source-port nat-destination-address nat-destination-port elapsed-time inbound-bytes outbound-bytes inbound-packets outbound-packets source-zone-name source-interface-name destination-zone-name destination-interface-name packet-log-id message; severity LOG_INFO; flag auditable; edit "2010/10/01 mvr created"; }
El siguiente registro de seguridad muestra los atributos del registro de IDP_ATTACK_LOG_EVENT_LS para un dispositivo configurado para sistemas lógicos (tenga en cuenta que el nombre del sistema lógico es el primer atributo):
IDP_ATTACK_LOG_EVENT_LS { help "IDP attack log"; description "IDP Attack log generated for attack"; type event; args logical-system-name timestamp message-type source-address source-port destination-address destination-port protocol-name service-name application-name rule-name rulebase-name policy-name repeat-count action threat-severity attack-name nat-source-address nat-source-port nat-destination-address nat-destination-port elapsed-time inbound-bytes outbound-bytes inbound-packets outbound-packets source-zone-name source-interface-name destination-zone-name destination-interface-name packet-log-id message; severity LOG_INFO; flag auditable; edit "2010/10/01 mvr created"; }
Si un dispositivo está configurado para sistemas lógicos, es posible que sea necesario modificar los scripts de análisis de registro, ya que el nombre de registro incluye el sufijo _LS y el atributo logical-system-name se puede usar para separar registros por sistema lógico.
Si un dispositivo no está configurado para sistemas lógicos, los registros de seguridad permanecen inalterados y los scripts creados para analizar registros no necesitan ninguna modificación.
Solo el administrador principal puede configurar el registro en el nivel jerárquico [edit security log
]. Los administradores de sistemas lógicos de usuario no pueden configurar el registro para sus sistemas lógicos.
El modo de transmisión es un conjunto de servicios de registro que incluye:
Registro fuera de la caja (serie SRX)
Registro e informes en caja (SRX300, SRX320, SRX340, SRX345, SRX380, SRX550M, SRX1500, SRX4100, SRX4200 y SRX4600)
Se admite la configuración por sistema lógico para el registro fuera de la caja y los registros se manejan según estas configuraciones. Anteriormente, los registros del sistema lógico del usuario se generaban desde el sistema lógico raíz. Para los registros fuera de la caja, los registros del sistema lógico solo se pueden generar desde la interfaz del sistema lógico.
Limitaciones
Cada SPU solo puede admitir un máximo de 1000 conexiones para conexiones independientes y 500 para clústeres en los SRX5400, SRX5600 y dispositivos SRX5800 en la versión 18.2R1 de Junos OS. Si se utilizan todas las conexiones, es posible que no se establezcan algunas conexiones para sistemas lógicos de usuario.
El mensaje de error se capturará en el Explorador de registros del sistema.
Configuración de informes en caja para sistemas lógicos
Los firewalls serie SRX admiten diferentes tipos de informes para usuarios del sistema lógico.
Los informes se almacenan localmente en el firewall de la serie SRX y no hay necesidad de dispositivos o herramientas independientes para el almacenamiento de registros e informes. Los informes en caja ofrecen una interfaz simple y fácil de usar para ver los registros de seguridad.
Antes de empezar:
Comprenda cómo configurar el registro de seguridad para sistemas lógicos. Vea el ejemplo: Configurar registro de seguridad para sistemas lógicos
Para configurar informes en caja para el sistema lógico:
De forma predeterminada, la report
opción está deshabilitada. El set logical-systems LSYS1 security log mode stream
comando está habilitado de forma predeterminada.
Ejemplo: Configurar registro de seguridad para sistemas lógicos
En este ejemplo, se muestra cómo configurar registros de seguridad para un sistema lógico.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Un firewall de la serie SRX.
Junos OS versión 18.3R1 y versiones posteriores.
Antes de empezar:
Comprender cómo configurar un sistema lógico.
Comprenda cómo crear perfiles de seguridad para el sistema lógico principal. Consulte Descripción de perfiles de seguridad de sistemas lógicos (solo administradores principales).
Visión general
Los firewalls serie SRX tienen dos tipos de registro: registros del sistema y registros de seguridad. Los registros del sistema registran eventos del plano de control, por ejemplo, el inicio de sesión del administrador en el dispositivo. Los registros de seguridad, también conocidos como registros de tráfico, registran eventos de plano de datos relacionados con el manejo específico del tráfico, por ejemplo, cuando una política de seguridad niega cierto tráfico debido a alguna violación de la política.
Los dos tipos de registros se pueden recopilar y guardar ya sea en la caja o fuera de la caja. El siguiente procedimiento explica cómo configurar registros de seguridad en formato binario para el registro fuera de caja (modo de transmisión).
Para los registros fuera de la caja, los registros de seguridad de un sistema lógico se envían desde una interfaz de sistema lógico. Si la interfaz lógica del sistema ya está configurada en una instancia de enrutamiento, configure routing-instance routing-instance-name
en edit logical-systems logical-system-name security log stream log-stream-name host
la jerarquía. Si la interfaz no está configurada en la instancia de enrutamiento, no se debe configurar ninguna instancia de enrutamiento en edit logical-systems logical-system-name security log stream log-stream-name host
la jerarquía.
Configuración
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit
desde el [edit]
modo de configuración.
set logical-systems LSYS1 security log mode stream set logical-systems LSYS1 security log stream LSYS1_s format binary host 1.3.54.22 set logical-systems LSYS1 security log source-address 2.3.45.66 set logical-systems LSYS1 security log transport protocol tls set logical-systems LSYS1 routing-instances LSYS1_ri instance-type virtual-router set logical-systems LSYS1 routing-instances LSYS_ri interface ge-0/0/3 set logical-systems LSYS1 security log stream LSYS1_s host routing-instance LSYS1_ri set system security-profile p1 security-log-stream-number reserved 1 set system security-profile p1 security-log-stream-number maximum 2 set system security-profile LSYS1_profile logical-system LSYS1
Procedimiento
Procedimiento paso a paso
El siguiente procedimiento especifica cómo configurar registros de seguridad para un sistema lógico.
Especifique el modo de registro y el formato del archivo de registro. Para el registro en modo de transmisión fuera de la caja.
[edit ] user@host# set logical-systems LSYS1 security log mode stream user@host# set logical-systems LSYS1 security log stream LSYS1_s format binary host 1.3.54.22
-
Para el registro de seguridad externo, especifique la dirección de origen, que identifica al firewall serie SRX que generó los mensajes de registro. Se requiere la dirección de origen.
[edit ] user@host# set logical-systems LSYS1 security log source-address 2.3.45.66
Especifique la instancia de enrutamiento y defina la interfaz.
[edit ] user@host# set logical-systems LSYS1 routing-instances LSYS1_ri instance-type virtual-router user@host# set logical-systems LSYS1 routing-instances LSYS_ri interface ge-0/0/3
Defina una instancia de enrutamiento para un sistema lógico.
[edit ] user@host# set logical-systems LSYS1 security log stream LSYS1_s host routing-instance LSYS1_ri
Especifique el protocolo de transporte de registro de seguridad para el dispositivo.
[edit ] user@host# set logical-systems LSYS1 security log transport protocol tls
Procedimiento
Procedimiento paso a paso
El siguiente procedimiento especifica cómo configurar un perfil de seguridad para un sistema lógico.
Configure un perfil de seguridad y especifique el número de políticas máximas y reservadas.
[edit ] user@host# set system security-profile p1 security-log-stream-number reserved 1 user@host# set system security-profile p1 security-log-stream-number maximum 2
Asigne el perfil de seguridad configurado a TSYS1.
[edit ] user@host# set system security-profile LSYS1_profile logical-system LSYS1
Resultados
Desde el modo de configuración, ingrese los comandos , show logical-systems LSYS1 security log
y show logical-systems LSYS1 routing-instances
para confirmar la show system security-profile
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show system security-profile LSYS1_profile { logical-system LSYS1; } p1 { security-log-stream-number { maximum 2; reserved 1; } }
[edit] user@host# show logical-systems LSYS1 security log mode stream; source-address 2.3.45.66; transport { protocol tls; } stream LSYS1_s { format binary; host { 1.3.54.22; } }
[edit] user@host# show logical-systems LSYS1 routing-instances LSYS1_ri { instance-type virtual-router; interface ge-0/0/3.0; }
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Verificación
Verificar la salida detallada para el registro de seguridad
Propósito
Compruebe que el resultado muestra la información de recursos de todos los sistemas lógicos.
Acción
Desde el modo operativo, ingrese el show system security-profile security-log-stream-number tenant all
comando.
logical-system name security profile name usage reserved maximum root-logical-system Default-Profile 0 0
Significado
El resultado muestra la información de recursos de los sistemas lógicos.
Configuración de archivos de registro de seguridad binarios en caja para el sistema lógico
Los dispositivos de la serie SRX admiten dos tipos de registro: registros del sistema y registros de seguridad.
Los dos tipos de registro se recopilan y se guardan en la caja o fuera de la caja. En el siguiente procedimiento se explica cómo configurar registros de seguridad en formato binario para el registro en caja (modo de evento) del sistema lógico.
El siguiente procedimiento especifica el formato binario para el registro de seguridad en modo de evento y define las características del archivo de registro, la ruta de acceso y el archivo de registro para el sistema lógico.
Especifique el modo de registro y el formato del archivo de registro. Para el registro en modo de evento en caja:
[edit] user@host# set logical-systems LSYS1 security log mode event user@host# set logical-systems LSYS1 security log format binary
(Opcional) Especifique un nombre de archivo de registro.
[edit] user@host# set logical-systems LSYS1 security log file name security-binary-log
Nota:El nombre de archivo del registro de seguridad no es obligatorio. Si el nombre de archivo del registro de seguridad no está configurado, de forma predeterminada el archivo bin_messages se crea en el directorio /var/log.
Para confirmar la configuración, ingrese el
show logical-systems LSYS1
comando.[edit] user@host# show logical-systems LSYS1 security { log { mode event; format binary; file { name security-binary-log; } } }
El siguiente procedimiento especifica el formato binario para el registro de seguridad en modo de transmisión y define las características del archivo de registro y el nombre de archivo de registro para el sistema lógico.
Especifique el modo de registro y el formato del archivo de registro. Para el registro en modo de transmisión en caja:
[edit] user@host# set logical-systems LSYS1 security log mode stream user@host# set logical-systems LSYS1 security log stream s1 format binary
(Opcional) Especifique un nombre de archivo de registro.
[edit] user@host# set logical-systems LSYS1 security log stream s1 file name f1.bin
Para confirmar la configuración, ingrese el
show logical-systems LSYS1
comando.[edit] user@host# show logical-systems LSYS1 security { log { mode stream; stream s1 { format binary; file { name f1.bin; } } } }
Configuración de archivos de registro de seguridad binarios fuera de la caja para el sistema lógico
Los dispositivos de la serie SRX admiten dos tipos de registro: registros del sistema y registros de seguridad.
Los dos tipos de registro se pueden recopilar y guardar en el caja o fuera de la caja. El siguiente procedimiento explica cómo configurar registros de seguridad en formato binario para el registro fuera de caja (modo de transmisión).
El siguiente procedimiento especifica el formato binario para el registro de seguridad en modo de secuencia y define las características del modo de registro, la dirección de origen y el nombre de host para el sistema lógico.
Especifique el modo de registro y el formato del archivo de registro. Para el registro en modo de transmisión fuera de la caja:
[edit] user@host# set logical-systems LSYS1 security log mode stream s1 format binary
Especifique la dirección de origen para el registro de seguridad externo.
[edit] user@host# set logical-systems LSYS1 security log source-address 100.0.0.1
Especifique el nombre de host.
[edit] user@host# set logical-systems LSYS1 security log stream s1 host 100.0.0.2
Para confirmar la configuración, ingrese el
show logical-systems LSYS1
comando.[edit] user@host#show logical-systems LSYS1 security { log { mode stream; source-address 100.0.0.1; stream s1 { format binary; host { 100.0.0.2; } } } }
Descripción de la depuración de rutas de datos para sistemas lógicos
La depuración de rutas de datos proporciona rastreo y depuración en varias unidades de procesamiento a lo largo de la ruta de procesamiento de paquetes. La depuración de rutas de datos también se puede realizar en el tráfico entre sistemas lógicos.
Solo el administrador principal puede configurar la depuración de rutas de datos para sistemas lógicos en el nivel de [edit security datapath-debug]. Los administradores de sistemas lógicos de usuario no pueden configurar la depuración de rutas de datos para sus sistemas lógicos.
El seguimiento de eventos de extremo a extremo rastrea la ruta de un paquete desde que entra en el dispositivo hasta que sale del dispositivo. Cuando el administrador principal configura el seguimiento de eventos de extremo a extremo, el resultado de seguimiento contiene información lógica del sistema.
El administrador principal también puede configurar el rastreo para el tráfico entre sistemas lógicos. El resultado de seguimiento muestra el tráfico que entra y sale del túnel lógico entre sistemas lógicos. Cuando se configura la opción conservar-seguimiento-orden , el mensaje de seguimiento se ordena cronológicamente. Además de la acción de seguimiento, otras acciones, como el volcado de paquetes y el resumen del paquete, se pueden configurar para el tráfico entre sistemas lógicos.
La depuración de rutas de datos se admite en SRX1400, SRX3400, SRX3600, SRX5400, SRX5600 y SRX5800.
Ver también
Realización de rastreo para sistemas lógicos (solo administradores principales)
Solo el administrador principal puede configurar la depuración de rutas de datos para sistemas lógicos en el nivel raíz.
Para configurar un perfil de acción para un seguimiento o captura de paquetes:
Para capturar mensajes de seguimiento para sistemas lógicos:
Configure el archivo de captura de seguimiento.
[edit security datapath-debug] user@host# set traceoptions file e2e.trace user@host# set traceoptions file size 10m
Muestra el seguimiento capturado en modo operativo.
user@host> show log e2e.trace Jul 7 09:49:56 09:49:56.417578:CID-00:FPC-01:PIC-00:THREAD_ID-00:FINDEX:0:IIF:75:SEQ:0:TC:0 PIC History: ->C0/F1/P0 NP ingress channel 0 packet Meta: Src: F1/P0 Dst: F0/P0 IP: saddr 10.1.1.2 daddr 30.1.1.2 proto 6 len 500 Jul 7 09:49:56 09:49:55.1414031:CID-00:FPC-00:PIC-00:THREAD_ID-04:FINDEX:0:IIF:75:SEQ:0:TC:1 PIC History: ->C0/F1/P0->C0/F0/P0 LBT pkt, payload: DATA Meta: Src: F1/P0 Dst: F0/P0 IP: saddr 10.1.1.2 daddr 30.1.1.2 proto 6 len 500 ... (Some trace information omitted) ... .Jul 7 09:49:56 09:49:55.1415649:CID-00:FPC-00:PIC-00:THREAD_ID-05:FINDEX:0:IIF:75:SEQ:0:TC:16 PIC History: ->C0/F1/P0->C0/F0/P0->C0/F0/P0->C0/F0/P0->C0/F0/P0 POT pkt, action: POT_SEND payload: DATA Meta: Src: F0/P0 Dst: F1/P0 IP: saddr 10.1.1.2 daddr 30.1.1.2 proto 6 len 500 Jul 7 09:49:56 09:49:56.419274:CID-00:FPC-01:PIC-00:THREAD_ID-00:FINDEX:0:IIF:75:SEQ:0:TC:17 PIC History: ->C0/F1/P0->C0/F0/P0->C0/F0/P0->C0/F0/P0->C0/F0/P0->C0/F1/P0 NP egress channel 0 packet Meta: Src: F0/P0 Dst: F1/P0 IP: saddr 10.1.1.2 daddr 30.1.1.2 proto 6 len 500
Desactive el registro.
user@host> clear log e2e.trace
Para realizar la captura de paquetes para sistemas lógicos:
Configure el archivo de captura de paquetes.
[edit security datapath-debug] user@host# set capture-file e2e.pcap user@host# set capture-file format pcap user@host# set capture-file size 10m user@host# set capture-file world-readable user@host# set capture-file maximum-capture-size 1500
Ingrese al modo operativo para iniciar y, luego, detenga la captura de paquetes.
user@host> request security datapath-debug capture start user@host> request security datapath-debug capture stop
Nota:Los archivos de captura de paquetes se pueden abrir y analizar sin conexión con tcpdump o cualquier analizador de paquetes que reconozca el formato libpcap. También puede usar FTP o el Protocolo de control de sesión (SCP) para transferir los archivos de captura de paquetes a un dispositivo externo.
Desactive la captura de paquetes desde el modo de configuración.
Nota:Desactive la captura de paquetes antes de abrir el archivo para análisis o transferirlo a un dispositivo externo con FTP o SCP. La deshabilitación de la captura de paquetes garantiza que el búfer interno del archivo esté limpiado y que todos los paquetes capturados se escriban en el archivo.
[edit forwarding-options] user@host# set packet-capture disable
Muestra la captura de paquetes.
Para mostrar la captura de paquetes con la utilidad tcpdump:
user@host# tcpdump -nr /var/log/e2e.pcap 09:49:55.1413990 C0/F0/P0 event:11(lbt) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414154 C0/F0/P0 event:11(lbt) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415062 C0/F0/P0 event:11(lbt) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415184 C0/F0/P0 event:11(lbt) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414093 C0/F0/P0 event:12(pot) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414638 C0/F0/P0 event:12(pot) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415011 C0/F0/P0 event:12(pot) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415129 C0/F0/P0 event:12(pot) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415511 C0/F0/P0 event:12(pot) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415649 C0/F0/P0 event:12(pot) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415249 C0/F0/P0 event:18(jexec) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415558 C0/F0/P0 event:18(jexec) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414226 C0/F0/P0 event:18(jexec) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414696 C0/F0/P0 event:18(jexec) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414828 C0/F0/P0 event:16(lt-enter) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414919 C0/F0/P0 event:15(lt-leave) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:56.417560 C0/F1/P0 event:1(np-ingress) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:56.419263 C0/F1/P0 event:2(np-egress) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0
Para mostrar la captura de paquetes desde el modo operativo de la CLI:
user@host> show security datapath-debug capture Packet 1, len 568: (C0/F0/P0/SEQ:0:lbt) 00 00 00 00 00 00 50 c5 8d 0c 99 4a 00 00 0a 01 01 02 08 00 45 60 01 f4 00 00 00 00 40 06 4e 9f 0a 01 01 02 1e 01 01 02 5b 9b 30 39 00 00 00 00 00 00 00 00 50 02 00 00 f8 3c 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ac 7a 00 04 00 00 00 00 b3 e3 15 4e 66 93 15 00 04 22 38 02 38 02 00 00 00 01 00 03 0b 00 00 00 50 d0 1a 08 30 de be bf e4 f3 19 08 Packet 2, len 624: (C0/F0/P0/SEQ:0:lbt) aa 35 00 00 00 00 00 00 00 00 00 00 00 03 00 00 00 0a 00 00 00 00 00 00 05 bd 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 50 c5 8d 0c 99 4a 00 00 0a 01 01 02 08 00 45 60 01 f4 00 00 00 00 40 06 4e 9f 0a 01 01 02 ac 7a 00 04 00 00 00 00 b3 e3 15 4e 0a 94 15 00 04 5a 70 02 70 02 00 00 00 03 00 03 0b 00 00 00 50 d0 1a 08 30 de be bf e4 f3 19 08 ... (Packets 3 through 17 omitted) ... Packet 18, len 568: (C0/F1/P0/SEQ:0:np-egress) 00 00 00 04 00 00 00 00 1e 01 01 02 50 c5 8d 0c 99 4b 08 00 45 60 01 f4 00 00 00 00 3e 06 50 9f 0a 01 01 02 1e 01 01 02 5b 9b 30 39 00 00 00 00 00 00 00 00 50 02 00 00 f8 3c 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ac 7a 04 00 00 00 00 00 b4 e3 15 4e bf 65 06 00 04 22 38 02 38 02 00 00 00 11 00 03 02 00 00 00 50 d0 1a 08 30 de be bf e4 f3 19 08
user@host> show security datapath-debug counters Datapath debug counters Packet Filter 1: lt-enter Chassis 0 FPC 0 PIC 1: 0 lt-enter Chassis 0 FPC 0 PIC 0: 1 lt-leave Chassis 0 FPC 0 PIC 1: 0 lt-leave Chassis 0 FPC 0 PIC 0: 1 np-egress Chassis 0 FPC 1 PIC 3: 0 np-egress Chassis 0 FPC 1 PIC 1: 0 np-egress Chassis 0 FPC 1 PIC 2: 0 np-egress Chassis 0 FPC 1 PIC 0: 1 pot Chassis 0 FPC 0 PIC 1: 0 pot Chassis 0 FPC 0 PIC 0: 6 np-ingress Chassis 0 FPC 1 PIC 3: 0 np-ingress Chassis 0 FPC 1 PIC 1: 0 np-ingress Chassis 0 FPC 1 PIC 2: 0 np-ingress Chassis 0 FPC 1 PIC 0: 1 lbt Chassis 0 FPC 0 PIC 1: 0 lbt Chassis 0 FPC 0 PIC 0: 4 jexec Chassis 0 FPC 0 PIC 1: 0 jexec Chassis 0 FPC 0 PIC 0: 4
Ver también
Solución de problemas de la resolución de nombres dns en las políticas de seguridad del sistema lógico (solo para administradores principales)
Problema
Descripción
Es posible que la dirección de un nombre de host en una entrada de libreta de direcciones que se use en una política de seguridad no se resuelva correctamente.
Causa
Normalmente, las entradas de la libreta de direcciones que contienen nombres de host dinámicos se actualizan automáticamente para los firewalls serie SRX. El campo TTL asociado con una entrada DNS indica el tiempo después del cual se debe actualizar la entrada en la caché de políticas. Una vez que caduca el valor TTL, el firewall serie SRX actualiza automáticamente la entrada DNS para una entrada de libreta de direcciones.
Sin embargo, si el firewall serie SRX no puede obtener una respuesta del servidor DNS (por ejemplo, el paquete de solicitud o respuesta DNS se pierde en la red o el servidor DNS no puede enviar una respuesta), es posible que la dirección de un nombre de host en una entrada de una libreta de direcciones no se resuelva correctamente. Esto puede hacer que el tráfico se caiga, ya que no se encuentra ninguna política de seguridad o coincidencia de sesión.
Solución
El administrador principal puede usar el show security dns-cache
comando para mostrar información de caché DNS en el firewall serie SRX. Si es necesario actualizar la información de la caché DNS, el administrador principal puede usar el clear security dns-cache
comando.
Estos comandos solo están disponibles para el administrador principal en dispositivos configurados para sistemas lógicos. Este comando no está disponible en sistemas lógicos de usuario ni en dispositivos que no están configurados para sistemas lógicos.