Solución de problemas de dispositivos de seguridad
Resolución de problemas de resolución de nombres DNS en directivas de seguridad del sistema lógico (solo administradores principales)
Problema
Description
Es posible que la dirección de un nombre de host en una entrada de la libreta de direcciones que se usa en una directiva de seguridad no se resuelva correctamente.
Causa
Normalmente, las entradas de la libreta de direcciones que contienen nombres de host dinámicos se actualizan automáticamente para los firewalls de la serie SRX. El campo TTL asociado a una entrada DNS indica la hora a partir de la cual la entrada debe actualizarse en la caché de directivas. Una vez que expira el valor TTL, el firewall de la serie SRX actualiza automáticamente la entrada DNS para una entrada de libreta de direcciones.
Sin embargo, si el firewall de la serie SRX no puede obtener una respuesta del servidor DNS (por ejemplo, la solicitud DNS o el paquete de respuesta se pierde en la red o el servidor DNS no puede enviar una respuesta), es posible que la dirección de un nombre de host en una entrada de libreta de direcciones no se resuelva correctamente. Esto puede hacer que el tráfico se caiga ya que no se encuentra ninguna política de seguridad o coincidencia de sesión.
Solución
El administrador principal puede usar el comando para mostrar información de show security dns-cache caché DNS en el firewall de la serie SRX. Si es necesario actualizar la información de caché DNS, el administrador principal puede usar el clear security dns-cache comando.
Estos comandos solo están disponibles para el administrador principal en dispositivos configurados para sistemas lógicos. Este comando no está disponible en sistemas lógicos de usuario ni en dispositivos que no están configurados para sistemas lógicos.
Consulte también
Solución de problemas de la interfaz de servicios de vínculo
Para resolver problemas de configuración en una interfaz de servicios de vínculo:
- Determinar qué componentes de CoS se aplican a los vínculos constituyentes
- Determinar qué causa la fluctuación y la latencia en el paquete multivínculo
- Determinar si LFI y equilibrio de carga funcionan correctamente
- Determinar por qué se dejan caer paquetes en un PVC entre un dispositivo de Juniper Networks y un dispositivo de terceros
Determinar qué componentes de CoS se aplican a los vínculos constituyentes
Problema
Description
Está configurando un paquete multivínculo, pero también tiene tráfico sin encapsulación MLPPP que pasa a través de vínculos constituyentes del paquete multivínculo. ¿Aplica todos los componentes de CoS a los enlaces constituyentes o es suficiente aplicarlos al paquete multivínculo?
Solución
Puede aplicar una asignación de programador al paquete multivínculo y a sus vínculos constituyentes. Aunque puede aplicar varios componentes de CoS con la asignación del programador, configure solo los que sean necesarios. Le recomendamos que mantenga la configuración de los enlaces constituyentes simple para evitar retrasos innecesarios en la transmisión.
Tabla 1 muestra los componentes de CoS que se aplicarán en un paquete multivínculo y sus vínculos constituyentes.
Componente Cos |
Paquete Multilink |
Enlaces constituyentes |
Explicación |
|---|---|---|---|
Clasificador |
Sí |
No |
La clasificación CoS tiene lugar en el lado entrante de la interfaz, no en el lado de transmisión, por lo que no se necesitan clasificadores en los enlaces constituyentes. |
Clase de reenvío |
Sí |
No |
La clase de reenvío se asocia a una cola y la cola se aplica a la interfaz mediante una asignación de programador. La asignación de cola está predeterminada en los vínculos constituyentes. Todos los paquetes de Q2 del paquete multivínculo se asignan a Q2 del enlace constituyente, y los paquetes de todas las demás colas se ponen en cola en Q0 del enlace constituyente. |
Mapa del programador |
Sí |
Sí |
Aplique las asignaciones del programador en el paquete multivínculo y el vínculo constituyente de la siguiente manera:
|
Velocidad de conformación para un programador por unidad o un programador de nivel de interfaz |
No |
Sí |
Dado que la programación por unidad se aplica solo en el punto final, aplique esta velocidad de conformación solo a los vínculos constituyentes. Cualquier configuración aplicada anteriormente se sobrescribe con la configuración del vínculo constituyente. |
Velocidad de transmisión exacta o modelado a nivel de cola |
Sí |
No |
La forma a nivel de interfaz aplicada en los vínculos constituyentes anula cualquier forma en la cola. Por lo tanto, aplique la forma exacta de la velocidad de transmisión solo en el paquete multivínculo. |
Reescritura de reglas |
Sí |
No |
Los bits de reescritura se copian del paquete en los fragmentos automáticamente durante la fragmentación. Por lo tanto, lo que se configura en el paquete multivínculo se lleva en los fragmentos a los enlaces constituyentes. |
Grupo de canales virtuales |
Sí |
No |
Los grupos de canales virtuales se identifican mediante reglas de filtro de firewall que se aplican a los paquetes solo antes del paquete multivínculo. Por lo tanto, no es necesario aplicar la configuración del grupo de canales virtuales a los vínculos constituyentes. |
Consulte también
Determinar qué causa la fluctuación y la latencia en el paquete multivínculo
Problema
Description
Para probar la fluctuación y la latencia, se envían tres flujos de paquetes IP. Todos los paquetes tienen la misma configuración de prioridad de IP. Después de configurar LFI y CRTP, la latencia aumentó incluso en un vínculo no congestionado. ¿Cómo puede reducir la fluctuación y la latencia?
Solución
Para reducir la fluctuación y la latencia, haga lo siguiente:
Asegúrese de que ha configurado una velocidad de conformación en cada enlace constituyente.
Asegúrese de que no ha configurado una velocidad de conformación en la interfaz de servicios de vínculo.
Asegúrese de que el valor de la velocidad de conformación configurada sea igual al ancho de banda de la interfaz física.
Si las velocidades de conformación están configuradas correctamente y la fluctuación persiste, comuníquese con el Centro de asistencia técnica de Juniper Networks (JTAC).
Determinar si LFI y equilibrio de carga funcionan correctamente
Problema
Description
En este caso, tiene una sola red que admite varios servicios. La red transmite datos y tráfico de voz sensible a los retrasos. Después de configurar MLPPP y LFI, asegúrese de que los paquetes de voz se transmiten a través de la red con muy poco retraso y fluctuación. ¿Cómo puede saber si los paquetes de voz se tratan como paquetes LFI y si el equilibrio de carga se realiza correctamente?
Solución
Cuando LFI está habilitado, los paquetes de datos (no LFI) se encapsulan con un encabezado MLPPP y se fragmentan en paquetes de un tamaño especificado. Los paquetes de voz sensibles al retardo (LFI) están encapsulados en PPP e intercalados entre fragmentos de paquetes de datos. Las colas y el equilibrio de carga se realizan de manera diferente para los paquetes LFI y no LFI.
Para comprobar que LFI se realiza correctamente, determine que los paquetes estén fragmentados y encapsulados según lo configurado. Después de saber si un paquete se trata como un paquete LFI o un paquete que no es LFI, puede confirmar si el equilibrio de carga se realiza correctamente.
Solution Scenario: supongamos que dos dispositivos de Juniper Networks, R0 y R1, están conectados por un paquete lsq-0/0/0.0 multivínculo que agrega dos vínculos se-1/0/0 serie y se-1/0/1. En R0 y R1, MLPPP y LFI se habilitan en la interfaz de servicios de vínculo y el umbral de fragmentación se establece en 128 bytes.
En este ejemplo, usamos un generador de paquetes para generar flujos de voz y datos. Puede utilizar la función de captura de paquetes para capturar y analizar los paquetes en la interfaz entrante.
Los dos flujos de datos siguientes se enviaron en el paquete multivínculo:
100 paquetes de datos de 200 bytes (mayores que el umbral de fragmentación)
500 paquetes de datos de 60 bytes (más pequeños que el umbral de fragmentación)
Las dos secuencias de voz siguientes se enviaron en el paquete multivínculo:
100 paquetes de voz de 200 bytes desde el puerto fuente 100
300 paquetes de voz de 200 bytes desde el puerto fuente 200
Para confirmar que la LFI y el equilibrio de carga se realizan correctamente:
En este ejemplo, solo se muestran y describen las partes significativas de la salida del comando.
Compruebe la fragmentación de paquetes. Desde el modo operativo, escriba el
show interfaces lsq-0/0/0comando para comprobar que los paquetes grandes están fragmentados correctamente.user@R0#> show interfaces lsq-0/0/0 Physical interface: lsq-0/0/0, Enabled, Physical link is Up Interface index: 136, SNMP ifIndex: 29 Link-level type: LinkService, MTU: 1504 Device flags : Present Running Interface flags: Point-To-Point SNMP-Traps Last flapped : 2006-08-01 10:45:13 PDT (2w0d 06:06 ago) Input rate : 0 bps (0 pps) Output rate : 0 bps (0 pps) Logical interface lsq-0/0/0.0 (Index 69) (SNMP ifIndex 42) Flags: Point-To-Point SNMP-Traps 0x4000 Encapsulation: Multilink-PPP Bandwidth: 16mbps Statistics Frames fps Bytes bps Bundle: Fragments: Input : 0 0 0 0 Output: 1100 0 118800 0 Packets: Input : 0 0 0 0 Output: 1000 0 112000 0 ... Protocol inet, MTU: 1500 Flags: None Addresses, Flags: Is-Preferred Is-Primary Destination: 9.9.9/24, Local: 9.9.9.10Meaning: el resultado muestra un resumen de los paquetes que transitan por el dispositivo en el paquete multivínculo. Compruebe la siguiente información en el paquete multivínculo:El número total de paquetes en tránsito = 1000
El número total de fragmentos en tránsito=1100
El número de paquetes de datos fragmentados =100
El número total de paquetes enviados (600 + 400) en el paquete multivínculo coincide con el número de paquetes en tránsito (1000), lo que indica que no se descartó ningún paquete.
El número de fragmentos en tránsito supera en 100 el número de paquetes en tránsito, lo que indica que 100 paquetes de datos grandes se fragmentaron correctamente.
Corrective Action: si los paquetes no están fragmentados correctamente, compruebe la configuración del umbral de fragmentación. Los paquetes menores que el umbral de fragmentación especificado no se fragmentan.Verifique la encapsulación del paquete. Para averiguar si un paquete se trata como un paquete LFI o no LFI, determine su tipo de encapsulación. Los paquetes LFI están encapsulados PPP y los paquetes que no son LFI se encapsulan con PPP y MLPPP. Las encapsulaciones PPP y MLPPP tienen diferentes sobrecargas, lo que resulta en paquetes de diferentes tamaños. Puede comparar tamaños de paquetes para determinar el tipo de encapsulación.
Un pequeño paquete de datos no fragmentado contiene un encabezado PPP y un solo encabezado MLPPP. En un paquete de datos fragmentado de gran tamaño, el primer fragmento contiene un encabezado PPP y un encabezado MLPPP, pero los fragmentos consecutivos contienen solo un encabezado MLPPP.
Las encapsulaciones PPP y MLPPP agregan el siguiente número de bytes a un paquete:
La encapsulación PPP agrega 7 bytes:
4 bytes de encabezado + 2 bytes de secuencia de comprobación de tramas (FCS) + 1 byte que está inactivo o contiene una marca
La encapsulación MLPPP agrega entre 6 y 8 bytes:
4 bytes de encabezado PPP+2 a 4 bytes de encabezado multivínculo
Figura 1 muestra la sobrecarga agregada a los encabezados PPP y MLPPP.
Figura 1: Encabezados PPP y MLPPP
Para los paquetes CRTP, la sobrecarga de encapsulación y el tamaño del paquete son incluso menores que para un paquete LFI. Para obtener más información, consulte Ejemplo: Configuración del protocolo de transporte comprimido en tiempo real.
Tabla 2 muestra la sobrecarga de encapsulación de un paquete de datos y un paquete de voz de 70 bytes cada uno. Después de la encapsulación, el tamaño del paquete de datos es mayor que el tamaño del paquete de voz.
Tabla 2: Sobrecarga de encapsulación PPP y MLPPP Tipo de paquete
Encapsulación
Tamaño inicial del paquete
Sobrecarga de encapsulación
Tamaño del paquete después de la encapsulación
Paquete de voz (LFI)
PPP
70 bytes
4 + 2 + 1 = 7 bytes
77 bytes
Fragmento de datos (no LFI) con secuencia corta
MLPPP
70 bytes
4 + 2 + 1 + 4 + 2 = 13 bytes
83 bytes
Fragmento de datos (no LFI) con secuencia larga
MLPPP
70 bytes
4 + 2 + 1 + 4 + 4 = 15 bytes
85 bytes
Desde el modo operativo, escriba el
show interfaces queuecomando para mostrar el tamaño del paquete transmitido en cada cola. Divida el número de bytes transmitidos por el número de paquetes para obtener el tamaño de los paquetes y determinar el tipo de encapsulación.Verifique el equilibrio de carga. Desde el modo operativo, introduzca el
show interfaces queuecomando en el paquete multivínculo y sus enlaces constituyentes para confirmar si el equilibrio de carga se realiza en consecuencia en los paquetes.user@R0> show interfaces queue lsq-0/0/0 Physical interface: lsq-0/0/0, Enabled, Physical link is Up Interface index: 136, SNMP ifIndex: 29 Forwarding classes: 8 supported, 8 in use Egress queues: 8 supported, 8 in use Queue: 0, Forwarding classes: DATA Queued: Packets : 600 0 pps Bytes : 44800 0 bps Transmitted: Packets : 600 0 pps Bytes : 44800 0 bps Tail-dropped packets : 0 0 pps RED-dropped packets : 0 0 pps … Queue: 1, Forwarding classes: expedited-forwarding Queued: Packets : 0 0 pps Bytes : 0 0 bps … Queue: 2, Forwarding classes: VOICE Queued: Packets : 400 0 pps Bytes : 61344 0 bps Transmitted: Packets : 400 0 pps Bytes : 61344 0 bps … Queue: 3, Forwarding classes: NC Queued: Packets : 0 0 pps Bytes : 0 0 bps …user@R0> show interfaces queue se-1/0/0 Physical interface: se-1/0/0, Enabled, Physical link is Up Interface index: 141, SNMP ifIndex: 35 Forwarding classes: 8 supported, 8 in use Egress queues: 8 supported, 8 in use Queue: 0, Forwarding classes: DATA Queued: Packets : 350 0 pps Bytes : 24350 0 bps Transmitted: Packets : 350 0 pps Bytes : 24350 0 bps ... Queue: 1, Forwarding classes: expedited-forwarding Queued: Packets : 0 0 pps Bytes : 0 0 bps … Queue: 2, Forwarding classes: VOICE Queued: Packets : 100 0 pps Bytes : 15272 0 bps Transmitted: Packets : 100 0 pps Bytes : 15272 0 bps … Queue: 3, Forwarding classes: NC Queued: Packets : 19 0 pps Bytes : 247 0 bps Transmitted: Packets : 19 0 pps Bytes : 247 0 bps …user@R0> show interfaces queue se-1/0/1 Physical interface: se-1/0/1, Enabled, Physical link is Up Interface index: 142, SNMP ifIndex: 38 Forwarding classes: 8 supported, 8 in use Egress queues: 8 supported, 8 in use Queue: 0, Forwarding classes: DATA Queued: Packets : 350 0 pps Bytes : 24350 0 bps Transmitted: Packets : 350 0 pps Bytes : 24350 0 bps … Queue: 1, Forwarding classes: expedited-forwarding Queued: Packets : 0 0 pps Bytes : 0 0 bps … Queue: 2, Forwarding classes: VOICE Queued: Packets : 300 0 pps Bytes : 45672 0 bps Transmitted: Packets : 300 0 pps Bytes : 45672 0 bps … Queue: 3, Forwarding classes: NC Queued: Packets : 18 0 pps Bytes : 234 0 bps Transmitted: Packets : 18 0 pps Bytes : 234 0 bpsMeaning: el resultado de estos comandos muestra los paquetes transmitidos y en cola en cada cola de la interfaz de servicios de vínculo y sus vínculos constituyentes. Tabla 3 muestra un resumen de estos valores. (Dado que el número de paquetes transmitidos es igual al número de paquetes en cola en todos los vínculos, esta tabla muestra sólo los paquetes en cola).Tabla 3: Número de paquetes transmitidos en una cola Paquetes en cola
Paquete lsq-0/0/0.0
Enlace constituyente se-1/0/0
Enlace constituyente se-1/0/1
Explicación
Paquetes en Q0
600
350
350
El número total de paquetes que transitan por los vínculos constituyentes (350+350 = 700) superó el número de paquetes en cola (600) en el paquete multivínculo.
Paquetes en Q2
400
100
300
El número total de paquetes que transitan por los vínculos constituyentes es igual al número de paquetes del paquete.
Paquetes en Q3
0
19
18
Los paquetes que transitan Q3 de los enlaces constituyentes son para mensajes keepalive intercambiados entre enlaces constituyentes. Por lo tanto, no se contaron paquetes en Q3 del paquete.
En el paquete multivínculo, compruebe lo siguiente:
El número de paquetes en cola coincide con el número transmitido. Si los números coinciden, no se descartó ningún paquete. Si se ponían en cola más paquetes de los que se transmitían, los paquetes se descartaban porque el búfer era demasiado pequeño. El tamaño del búfer en los vínculos constituyentes controla la congestión en la etapa de salida. Para corregir este problema, aumente el tamaño del búfer en los vínculos constituyentes.
El número de paquetes que transitan Q0 (600) coincide con el número de paquetes de datos grandes y pequeños recibidos (100+500) en el paquete multivínculo. Si los números coinciden, todos los paquetes de datos transitaron correctamente Q0.
El número de paquetes que transitan Q2 en el paquete multivínculo (400) coincide con el número de paquetes de voz recibidos en el paquete multivínculo. Si los números coinciden, todos los paquetes LFI de voz transitaron correctamente Q2.
En los vínculos constituyentes, compruebe lo siguiente:
El número total de paquetes que transitan Q0 (350+350) coincide con el número de paquetes de datos y fragmentos de datos (500+200). Si los números coinciden, todos los paquetes de datos después de la fragmentación transitaron correctamente Q0 de los enlaces constituyentes.
Los paquetes transitaron por ambos enlaces constituyentes, lo que indica que el equilibrio de carga se realizó correctamente en paquetes que no eran LFI.
El número total de paquetes que transitan Q2 (300+100) en los enlaces constituyentes coincide con el número de paquetes de voz recibidos (400) en el paquete multivínculo. Si los números coinciden, todos los paquetes LFI de voz transitaron correctamente Q2.
Paquetes LFI desde el puerto
100de origen transitadosse-1/0/0y paquetes LFI desde el puerto200de origen transitadosse-1/0/1. Por lo tanto, todos los paquetes LFI (Q2) se cifraron en función del puerto de origen y transitaron correctamente ambos enlaces constituyentes.
Corrective Action: si los paquetes transitaron solo un vínculo, siga estos pasos para resolver el problema:Determine si el vínculo físico está
up(operativo) odown(no disponible). Un vínculo no disponible indica un problema con el PIM, el puerto de interfaz o la conexión física (errores de capa de enlace). Si el vínculo está operativo, vaya al paso siguiente.Compruebe que los clasificadores estén definidos correctamente para los paquetes que no son LFI. Asegúrese de que los paquetes que no sean LFI no estén configurados para ponerse en cola en Q2. Todos los paquetes en cola para Q2 se tratan como paquetes LFI.
Compruebe que al menos uno de los siguientes valores es diferente en los paquetes LFI: dirección de origen, dirección de destino, protocolo IP, puerto de origen o puerto de destino. Si se configuran los mismos valores para todos los paquetes LFI, todos los paquetes se cifran al mismo flujo y transitan por el mismo vínculo.
Utilice los resultados para verificar el equilibrio de carga.
Determinar por qué se dejan caer paquetes en un PVC entre un dispositivo de Juniper Networks y un dispositivo de terceros
Problema
Description
Está configurando un circuito virtual permanente (PVC) entre interfaces T1, E1, T3 o E3 en un dispositivo de Juniper Networks y un dispositivo de terceros, y los paquetes se descartan y se produce un error en el ping.
Solución
Si el dispositivo de terceros no tiene la misma compatibilidad con FRF.12 que el dispositivo de Juniper Networks o admite FRF.12 de otra manera, la interfaz del dispositivo de Juniper Networks en el PVC podría descartar un paquete fragmentado que contenga encabezados FRF.12 y contarlo como un "descarte vigilado".
Como solución alternativa, configure paquetes multivínculo en ambos pares y configure umbrales de fragmentación en los paquetes multivínculo.
Solución de problemas de las políticas de seguridad
- Sincronización de políticas entre el motor de enrutamiento y el motor de reenvío de paquetes
- Comprobación de un error de confirmación de política de seguridad
- Comprobación de una confirmación de política de seguridad
- Depurar búsqueda de directivas
Sincronización de políticas entre el motor de enrutamiento y el motor de reenvío de paquetes
Problema
Description
Las políticas de seguridad se almacenan en el motor de enrutamiento y en el motor de reenvío de paquetes. Las políticas de seguridad se insertan desde el motor de enrutamiento al motor de reenvío de paquetes cuando se confirman las configuraciones. Si las políticas de seguridad del motor de enrutamiento no están sincronizadas con el motor de reenvío de paquetes, se produce un error en la confirmación de una configuración. Se pueden generar archivos de volcado de núcleo si se intenta la confirmación repetidamente. La falta de sincronización puede deberse a:
Un mensaje de política del motor de enrutamiento al motor de reenvío de paquetes se pierde en tránsito.
Un error con el motor de enrutamiento, como un UID de directiva reutilizado.
Entorno
Las directivas del motor de enrutamiento y del motor de reenvío de paquetes deben estar sincronizadas para que se confirme la configuración. Sin embargo, en determinadas circunstancias, es posible que las directivas del motor de enrutamiento y del motor de reenvío de paquetes no estén sincronizadas, lo que provoca un error en la confirmación.
Síntomas
Cuando se modifican las configuraciones de directiva y las directivas no están sincronizadas, aparece el siguiente mensaje de error: error: Warning: policy might be out of sync between RE and PFE <SPU-name(s)> Please request security policies check/resync.
Solución
Use el show security policies checksum comando para mostrar el valor de suma de comprobación de la directiva de seguridad y use el request security policies resync comando para sincronizar la configuración de las directivas de seguridad en el motor de enrutamiento y el motor de reenvío de paquetes, si las directivas de seguridad no están sincronizadas.
Consulte también
Comprobación de un error de confirmación de política de seguridad
Problema
Description
La mayoría de los errores de configuración de directivas se producen durante una confirmación o un tiempo de ejecución.
Los errores de confirmación se notifican directamente en la CLI cuando se ejecuta el comando commit-check de la CLI en modo de configuración. Estos errores son errores de configuración y no puede confirmar la configuración sin corregirlos.
Solución
Para corregir estos errores, haga lo siguiente:
Revise los datos de configuración.
Abra el archivo /var/log/nsd_chk_only. Este archivo se sobrescribe cada vez que se realiza una comprobación de confirmación y contiene información detallada sobre el error.
Comprobación de una confirmación de política de seguridad
Problema
Description
Al realizar una confirmación de configuración de directiva, si observa que el comportamiento del sistema es incorrecto, siga estos pasos para solucionar este problema:
Solución
Comandos operativos show : ejecute los comandos operativos para las políticas de seguridad y compruebe que la información que se muestra en el resultado es coherente con lo que esperaba. De lo contrario, la configuración debe cambiarse adecuadamente.
Traceoptions: defina el comando en la configuración de
traceoptionsla política. Los indicadores bajo esta jerarquía se pueden seleccionar según el análisis del usuario de la salida delshowcomando. Si no puede determinar qué indicador usar, la opciónallde indicador se puede usar para capturar todos los registros de seguimiento.user@host#
set security policies traceoptions <flag all>
También puede configurar un nombre de archivo opcional para capturar los registros.
user@host# set security policies traceoptions <filename>
Si especificó un nombre de archivo en las opciones de seguimiento, puede buscar el archivo de registro en /var/log/<filename> para determinar si se ha notificado algún error en el archivo. (Si no especificó un nombre de archivo, el nombre de archivo predeterminado es eventual). Los mensajes de error indican el lugar del error y la razón apropiada.
Después de configurar las opciones de seguimiento, debe volver a confirmar el cambio de configuración que provocó el comportamiento incorrecto del sistema.
Depurar búsqueda de directivas
Problema
Description
Si tiene la configuración correcta, pero parte del tráfico se ha interrumpido o permitido incorrectamente, puede habilitar el lookup indicador en las traceoptions de las políticas de seguridad. La lookup marca registra los seguimientos relacionados con la búsqueda en el archivo de seguimiento.
Solución
user@host# set security policies traceoptions <flag lookup>