request security policies check
语法
request security policies check <from-zone zone name> <global> <logical-system (logical-system name | all)> <pfe> <root-logical-system> <to-zone zone-name> <tenant tenant-name>
描述
显示路由引擎和数据包转发引擎之间的安全策略同步状态。使用该命令可显示设备上同步或不同步的所有安全策略的列表。
使用 show security policies checksum 命令显示安全策略校验和值,并使用 request security policies resync 命令同步路由引擎和数据包转发引擎中的安全策略配置。
选项
| <from-zone zone-name | 显示此区域的安全策略同步状态。 |
| global | 显示全局策略同步状态。 |
| logical-system (logical-system name | all) | 显示在逻辑系统或所有逻辑系统上配置的安全策略的安全策略同步状态。 |
| pfe | 显示数据包转发引擎上安全策略的安全策略同步状态。 |
| root-logical-system | 显示在根逻辑系统上配置的安全策略的安全策略同步状态。这是默认结果。 |
| to-zone zone-name | 显示安全策略与此区域的同步状态。 |
| tenant tenant-name | 显示在租户上配置的安全策略的安全策略同步状态。 |
其他信息
安全策略存储在路由引擎和数据包转发引擎中。提交配置时,安全策略将从路由引擎推送到数据包转发引擎。如果路由引擎上的安全策略与数据包转发引擎不同步,则提交配置将失败。如果反复尝试提交,可能会生成核心转储文件。不同步可能是由于:
从路由引擎到数据包转发引擎的策略消息在传输过程中丢失。
路由引擎错误,例如重复使用的策略 UID。
修改策略配置且策略不同步时,将显示以下错误消息 - error: Warning: policy might be out of sync between RE and PFE <SPU-name(s)>. Please request security policies check/resync。
所需权限级别
维护
示例输出
请求安全策略检查
user@host> request security policies check Start sending policies ... Success Total sent 1 policy. Policy Checking Result: PFE master in-sync
请求安全策略检查逻辑系统 LSYS1
user@host> request security policies check logical-system LSYS1 Start sending policies ... Success Total sent 1 policy. Policy Checking Result: PFE fpc0.pic3 in-sync PFE fpc0.pic1 in-sync PFE fpc0.pic0 in-sync PFE fpc0.pic2 in-sync
请求安全策略检查逻辑系统全部
user@host> request security policies check logical-system all Start sending policies ... Success Total sent 2 policies. Policy Checking Result: PFE fpc0.pic1 in-sync PFE fpc0.pic3 in-sync PFE fpc0.pic2 in-sync PFE fpc0.pic0 in-sync
请求安全策略检查从区域信任到区域不信任
user@host> request security policies check from-zone trust to-zone untrust Start sending policies ... Success Total sent 2 policies. Policy Checking Result: PFE fpc4.pic0 in-sync PFE fpc4.pic1 out-of-sync
发布信息
在 Junos OS 18.4R1 版中引入的命令。