【SRX】RE与PFE策略不同步,导致Commit失败-----案例分析
? ? ? ? ?了解Juniper產品的都知道,不管是防火墻、交換機還是路由器,Junos操作系統上RE(路由引擎)和PFE(數據轉發引擎)是分離的。策略不同步主要是對于低中高端防火墻來說的,像SRX100-SRX300、到最近才出來的SRX1500,及SRX4K,以及史上頂級一二的防火墻SRX5800都有可能出現策略不同步的情況(Note:Chassis-cluster-雙機環境中,防火墻幾乎都是雙機部署,特殊情況除外)。RE通過由單獨的SCB或SFB去承載,而PFE則是在單獨的業務接口板卡上(不同的型號需要單獨對待)。
? ? ? ? ?根據最近半年的Case處理,發現在SRX1500、SRX4K平面出現策略不同步的情況比較頻繁,雖然這事吧,不算大,但在客戶方也是蠻重要的,對于大客戶來說,基本都是通過Netconf下發配置的,一下發出現提交報錯,這很容易影響運維操作。但RE和PFE配置同步失敗,最終的Root-Case還是要再等等……并不是什么問題都有解決方案的,大部分都是Workaround來處理的。
? ? ??
?案例日志如下:
? ? ??
edit security]
'policies'
Policy is out of sync between RE and PFE <SPU-name(s)>.
Please resync before commit.
error: configuration check-out failed
Note:這個問題可以在低端和高端防火墻單機和雙機上看到。錯誤日志千千萬,不變的是需要處理的進程-NSD;
出現策略不同步的原因有以下幾點:
1. 從RE到PFE的policy消息丟失
2. RE上出現問題,例如:使用重復的策略ID;
排查的基本細路如下:
1. 如果同步異常的話,先對比RE和PFE的checksum值,通過以下命令:
RE上使用命令“show security policies checksum ” (Note:隱藏命令,需輸入完全)
示例:
root@vsrx-a> show security policies checksum
Logical system: root-logical-system
From zone ? ? ? ? ? ? ? ?To zone ? ? ? ? ? ? ? ? ?Checksum
trust ? ? ? ? ? ? ? ? ? ?untrust ? ? ? ? ? ? ? ? ?0x66b85abb-ca868ed9-a025220e-ca14f609
每個PFE上(Branch防火墻是FWDD, HE防火墻是XLR)
root@vsrx-a% vty fwdd
BSD platform (VMWare virtual processor, 428MB memory, 8192KB flash)
FLOWD_VSRX(vsrx-a vty)# show usp policy checksum
Logical system: root-logical-system
From zone ? ? ? ? ? ? ? ? ? ? ? To zone ? ? ? ? ? ? ? ? ? ? ? ? checksum
trust ? ? ? ? ? ? ? ? ? ? ? ? ? untrust ? ? ? ? ? ? ? ? ? ? ? ? 0x66b85abb-ca868ed9-a025220e-ca14f609
Note: ?RE和PFE的Checksum值必須一致。
執行以下步驟解決問題:
1. 執行命令 > request security policies resync (隱藏命令)后,查看Commit是可以正常同步。
root@vsrx-a> request security policies resync
node0:
--------------------------------------------------------------------------
Start sending policies ...
Succeeds.
Total sent 2 policies.
{primary:node0}
2. 如果步驟1還未恢復,嘗試執行#commit synchronize ?【隱藏命令】,如果commit synchronize 從執行失敗,則使用commit synchronize ?force 命令
3. 如果步驟2還是沒有恢復Commit問題,重啟nsd進程
。
root@vsrx-a# run restart network-security
Network security daemon started, pid 1293
4. 如果操作完步驟3還未恢復,則重啟設備(如果是Chassis-cluster則重啟兩臺,如果是生產環境中,則根據評估進行相關操作,不要做重啟動作)
后話:很多時候,都是重啟NSD進程恢復的,因為在客戶生產環境不太可能因為重啟設備,這畢竟是大動作,涉及到業務,又是一級變更,備件、現場工程師都要到場。
轉載于:https://blog.51cto.com/8019770/2384218
總結
以上是生活随笔為你收集整理的【SRX】RE与PFE策略不同步,导致Commit失败-----案例分析的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Android人脸识别Demo竖屏YUV
- 下一篇: Node基础篇(一)