논리적 시스템 문제 해결
다음 기능을 사용하여 논리적 시스템을 모니터링하고 소프트웨어 문제를 해결합니다. 자세한 내용은 다음 주제를 참조하십시오.
보안 로그 및 논리적 시스템 이해
보안 로그는 보안 이벤트를 포함하는 시스템 로그 메시지입니다. 디바이스가 논리적 시스템에 대해 구성된 경우, 논리적 시스템의 컨텍스트 내에서 생성된 보안 로그는 이름logname _LS(예: IDP_ATTACK_LOG_EVENT_LS)을 사용합니다. 로그의 논리적 시스템 버전은 논리적 시스템에 대해 구성되지 않은 디바이스에 대한 로그와 동일한 속성 집합을 가지고 있습니다. 논리적 시스템 로그에는 논리적 시스템 이름이 첫 번째 속성으로 포함됩니다.
다음 보안 로그는 논리적 시스템에 대해 구성 되지 않은 디바이스의 IDP_ATTACK_LOG_EVENT 로그에 대한 속성을 보여줍니다.
IDP_ATTACK_LOG_EVENT { help "IDP attack log"; description "IDP Attack log generated for attack"; type event; args timestamp message-type source-address source-port destination-address destination-port protocol-name service-name application-name rule-name rulebase-name policy-name repeat-count action threat-severity attack-name nat-source-address nat-source-port nat-destination-address nat-destination-port elapsed-time inbound-bytes outbound-bytes inbound-packets outbound-packets source-zone-name source-interface-name destination-zone-name destination-interface-name packet-log-id message; severity LOG_INFO; flag auditable; edit "2010/10/01 mvr created"; }
다음 보안 로그에는 논리적 시스템용으로 구성된 디바이스의 IDP_ATTACK_LOG_EVENT_LS 로그에 대한 속성이 표시됩니다(논리적 시스템 이름은 첫 번째 속성임).
IDP_ATTACK_LOG_EVENT_LS { help "IDP attack log"; description "IDP Attack log generated for attack"; type event; args logical-system-name timestamp message-type source-address source-port destination-address destination-port protocol-name service-name application-name rule-name rulebase-name policy-name repeat-count action threat-severity attack-name nat-source-address nat-source-port nat-destination-address nat-destination-port elapsed-time inbound-bytes outbound-bytes inbound-packets outbound-packets source-zone-name source-interface-name destination-zone-name destination-interface-name packet-log-id message; severity LOG_INFO; flag auditable; edit "2010/10/01 mvr created"; }
디바이스가 논리적 시스템에 대해 구성된 경우 로그 이름에 _LS 접미사가 포함되고 논리적 시스템 이름 속성을 사용하여 논리적 시스템으로 로그를 분리할 수 있기 때문에 로그 구문 분석 스크립트를 수정해야 할 수 있습니다.
디바이스가 논리적 시스템에 대해 구성되지 않은 경우 보안 로그는 변경되지 않고 로그를 구문 분석하도록 구축된 스크립트는 수정할 필요가 없습니다.
기본 관리자만 [edit security log
] 계층 수준에서 로깅을 구성할 수 있습니다. 사용자 논리적 시스템 관리자는 논리적 시스템에 대한 로깅을 구성할 수 없습니다.
스트림 모드는 다음과 같은 로깅 서비스 집합입니다.
오프박스 로깅(SRX 시리즈)
온박스 로깅 및 보고(SRX300, SRX320, SRX340, SRX345, SRX380, SRX550M, SRX1500, SRX4100, SRX4200, SRX4600 시리즈)
논리적 시스템별 구성은 오프박스 로깅에 지원되며 로그는 이러한 구성을 기반으로 처리됩니다. 이전에는 루트 논리적 시스템에서 사용자 논리적 시스템 로그가 생성되었습니다. 오프박스 로깅의 경우 논리적 시스템 로그는 논리적 시스템 인터페이스에서만 생성될 수 있습니다.
제한
각 SPU는 Junos OS 18.2R1 릴리스의 SRX5400, SRX5600 및 SRX5800 디바이스에 대해 독립형 클러스터에 대해 최대 1,000개의 연결과 500개의 연결만 지원할 수 있습니다. 모든 연결이 사용되면 사용자 논리 시스템에 대한 일부 연결이 설정되지 않을 수 있습니다.
오류 메시지는 시스템 로그 탐색기에서 캡처됩니다.
논리적 시스템에 대한 온박스 보고 구성
SRX 시리즈 방화벽은 논리적 시스템 사용자에 대해 다양한 유형의 보고서를 지원합니다.
보고서는 SRX 시리즈 방화벽에 로컬로 저장되며 로그 및 보고서 저장을 위한 별도의 장치나 도구가 필요하지 않습니다. 온박스 보고서는 보안 로그를 보기 위한 간단하고 사용하기 쉬운 인터페이스를 제공합니다.
시작하기 전에 다음을 수행합니다.
논리적 시스템에 대한 보안 로그 구성 방법을 이해합니다. 예: 논리적 시스템에 대한 보안 로그 구성
논리적 시스템에 대한 온박스 보고를 구성하려면 다음을 수행합니다.
기본적으로 report
옵션은 비활성화됩니다. set logical-systems LSYS1 security log mode stream
명령은 기본적으로 활성화됩니다.
예: 논리적 시스템에 대한 보안 로그 구성
이 예는 논리적 시스템에 대한 보안 로그를 구성하는 방법을 보여줍니다.
요구 사항
이 예는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 사용합니다.
SRX 시리즈 방화벽.
릴리스 18.3R1 이상에서 Junos OS.
시작하기 전에 다음을 수행합니다.
논리적 시스템을 구성하는 방법을 이해합니다.
기본 논리적 시스템에 대한 보안 프로필을 만드는 방법을 이해합니다. 논리적 시스템 보안 프로필 이해하기(기본 관리자만 해당)를 참조하십시오.
개요
SRX 시리즈 방화벽에는 시스템 로그와 보안 로그라는 두 가지 유형의 로그가 있습니다. 시스템은 컨트롤 플레인 이벤트를 기록합니다(예: 관리자가 디바이스에 로그인). 트래픽 로그라고도 하는 보안 로그는 특정 트래픽 처리와 관련된 데이터 플레인 이벤트를 기록합니다( 예: 보안 정책이 정책의 일부 위반으로 인해 특정 트래픽을 거부하는 경우).
두 가지 유형의 로그를 온박스 또는 오프박스 중 하나를 수집하고 저장할 수 있습니다. 아래 절차에서는 오프박스(스트림 모드) 로깅을 위해 이진 형식으로 보안 로그를 구성하는 방법을 설명합니다.
오프박스 로깅의 경우 논리적 시스템에 대한 보안 로그가 논리적 시스템 인터페이스에서 전송됩니다. 논리적 시스템 인터페이스가 라우팅 인스턴스에서 이미 구성된 경우 계층에서 을(를edit logical-systems logical-system-name security log stream log-stream-name host
) 구성 routing-instance routing-instance-name
합니다. 인터페이스가 라우팅 인스턴스에서 구성되지 않은 경우 계층에서 edit logical-systems logical-system-name security log stream log-stream-name host
라우팅 인스턴스를 구성해서는 안 됩니다.
구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit]
로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력 commit
합니다.
set logical-systems LSYS1 security log mode stream set logical-systems LSYS1 security log stream LSYS1_s format binary host 1.3.54.22 set logical-systems LSYS1 security log source-address 2.3.45.66 set logical-systems LSYS1 security log transport protocol tls set logical-systems LSYS1 routing-instances LSYS1_ri instance-type virtual-router set logical-systems LSYS1 routing-instances LSYS_ri interface ge-0/0/3 set logical-systems LSYS1 security log stream LSYS1_s host routing-instance LSYS1_ri set system security-profile p1 security-log-stream-number reserved 1 set system security-profile p1 security-log-stream-number maximum 2 set system security-profile LSYS1_profile logical-system LSYS1
절차
단계별 절차
다음 절차는 논리적 시스템에 대한 보안 로그를 구성하는 방법을 지정합니다.
로그 파일에 대한 로깅 모드 및 형식을 지정합니다. 오프박스의 경우, 스트림 모드 로깅.
[edit ] user@host# set logical-systems LSYS1 security log mode stream user@host# set logical-systems LSYS1 security log stream LSYS1_s format binary host 1.3.54.22
-
오프박스 보안 로깅의 경우, 로그 메시지를 생성한 SRX 시리즈 방화벽을 식별하는 소스 주소를 지정합니다. 소스 주소가 필요합니다.
[edit ] user@host# set logical-systems LSYS1 security log source-address 2.3.45.66
라우팅 인스턴스를 지정하고 인터페이스를 정의합니다.
[edit ] user@host# set logical-systems LSYS1 routing-instances LSYS1_ri instance-type virtual-router user@host# set logical-systems LSYS1 routing-instances LSYS_ri interface ge-0/0/3
논리적 시스템에 대한 라우팅 인스턴스를 정의합니다.
[edit ] user@host# set logical-systems LSYS1 security log stream LSYS1_s host routing-instance LSYS1_ri
디바이스에 대한 보안 로그 전송 프로토콜을 지정합니다.
[edit ] user@host# set logical-systems LSYS1 security log transport protocol tls
절차
단계별 절차
다음 절차는 논리적 시스템에 대한 보안 프로필을 구성하는 방법을 지정합니다.
보안 프로필을 구성하고 최대 및 예약 정책 수를 지정합니다.
[edit ] user@host# set system security-profile p1 security-log-stream-number reserved 1 user@host# set system security-profile p1 security-log-stream-number maximum 2
구성된 보안 프로필을 TSYS1에 할당합니다.
[edit ] user@host# set system security-profile LSYS1_profile logical-system LSYS1
결과
구성 모드에서 , show logical-systems LSYS1 security log
및 show logical-systems LSYS1 routing-instances
명령을 입력하여 구성을 show system security-profile
확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
[edit] user@host# show system security-profile LSYS1_profile { logical-system LSYS1; } p1 { security-log-stream-number { maximum 2; reserved 1; } }
[edit] user@host# show logical-systems LSYS1 security log mode stream; source-address 2.3.45.66; transport { protocol tls; } stream LSYS1_s { format binary; host { 1.3.54.22; } }
[edit] user@host# show logical-systems LSYS1 routing-instances LSYS1_ri { instance-type virtual-router; interface ge-0/0/3.0; }
디바이스 구성이 완료되면 구성 모드에서 을(를) 입력합니다 commit
.
확인
논리적 시스템에 대한 온박스 이진 보안 로그 파일 구성
SRX 시리즈 디바이스는 시스템 로그와 보안 로그라는 두 가지 유형의 로그를 지원합니다.
두 가지 유형의 로그가 수집되어 온박스 또는 오프박스 중 하나에 저장됩니다. 다음 절차에서는 논리적 시스템에 대한 온박스(이벤트 모드) 로깅에 대해 이진 형식으로 보안 로그를 구성하는 방법을 설명합니다.
다음 절차는 이벤트 모드 보안 로깅을 위해 이진 형식을 지정하고 논리적 시스템에 대한 로그 파일 이름, 경로 및 로그 파일 특성을 정의합니다.
로그 파일에 대한 로깅 모드 및 형식을 지정합니다. 온박스의 경우, 이벤트 모드 로깅:
[edit] user@host# set logical-systems LSYS1 security log mode event user@host# set logical-systems LSYS1 security log format binary
(선택 사항) 로그 파일 이름을 지정합니다.
[edit] user@host# set logical-systems LSYS1 security log file name security-binary-log
참고:보안 로그 파일 이름은 필수가 아닙니다. 보안 로그 파일 이름이 구성되지 않은 경우 기본적으로 파일 bin_messages /var/log directory에 생성됩니다.
명령을 입력하여 구성을 확인합니다
show logical-systems LSYS1
.[edit] user@host# show logical-systems LSYS1 security { log { mode event; format binary; file { name security-binary-log; } } }
다음 절차는 stream-mode 보안 로깅을 위한 이진 형식을 지정하고 논리적 시스템에 대한 로그 파일 이름과 로그 파일 특성을 정의합니다.
로그 파일에 대한 로깅 모드 및 형식을 지정합니다. 온박스의 경우, stream-mode 로깅:
[edit] user@host# set logical-systems LSYS1 security log mode stream user@host# set logical-systems LSYS1 security log stream s1 format binary
(선택 사항) 로그 파일 이름을 지정합니다.
[edit] user@host# set logical-systems LSYS1 security log stream s1 file name f1.bin
명령을 입력하여 구성을 확인합니다
show logical-systems LSYS1
.[edit] user@host# show logical-systems LSYS1 security { log { mode stream; stream s1 { format binary; file { name f1.bin; } } } }
논리적 시스템에 대한 오프박스 이진 보안 로그 파일 구성
SRX 시리즈 디바이스는 시스템 로그와 보안 로그라는 두 가지 유형의 로그를 지원합니다.
두 가지 유형의 로그를 온박스 또는 오프박스 중 하나를 수집하고 저장할 수 있습니다. 아래 절차에서는 오프박스(스트림 모드) 로깅을 위해 이진 형식으로 보안 로그를 구성하는 방법을 설명합니다.
다음 절차는 stream-mode 보안 로깅을 위한 이진 형식을 지정하고 논리적 시스템에 대한 로깅 모드, 소스 주소 및 호스트 이름 특성을 정의합니다.
로그 파일에 대한 로깅 모드 및 형식을 지정합니다. 오프박스의 경우 스트림 모드 로깅:
[edit] user@host# set logical-systems LSYS1 security log mode stream s1 format binary
오프박스 보안 로깅을 위한 소스 주소를 지정합니다.
[edit] user@host# set logical-systems LSYS1 security log source-address 100.0.0.1
호스트 이름을 지정합니다.
[edit] user@host# set logical-systems LSYS1 security log stream s1 host 100.0.0.2
명령을 입력하여 구성을 확인합니다
show logical-systems LSYS1
.[edit] user@host#show logical-systems LSYS1 security { log { mode stream; source-address 100.0.0.1; stream s1 { format binary; host { 100.0.0.2; } } } }
논리 시스템에 대한 데이터 경로 디버깅 이해하기
데이터 경로 디버깅은 패킷 처리 경로를 따라 여러 처리 장치에서 추적 및 디버깅을 제공합니다. 논리 시스템 간의 트래픽에서도 데이터 경로 디버깅이 수행될 수 있습니다.
오직 기본 관리자만이 [edit security datapath-debug] 수준에서 논리 시스템에 대한 데이터 경로 디버깅을 구성할 수 있습니다. 사용자 논리적 시스템 관리자는 논리적 시스템에 대한 데이터 경로 디버깅을 구성할 수 없습니다.
엔드투엔드 이벤트 추적은 패킷이 디바이스에 들어갈 때부터 디바이스를 떠날 때까지 패킷 경로를 추적합니다. 기본 관리자가 엔드 투 엔드 이벤트 추적을 구성할 때 추적 출력에는 논리적 시스템 정보가 포함됩니다.
또한 기본 관리자는 논리적 시스템 간의 트래픽에 대한 추적을 구성할 수도 있습니다. 추적 출력은 논리적 시스템 간에 논리적 터널에 들어오고 나가는 트래픽을 보여줍니다. 보존-trace-order 옵션이 구성되면 추적 메시지가 연대순으로 정렬됩니다. 추적 작업 외에도 패킷 덤프 및 패킷 요약과 같은 다른 작업이 논리적 시스템 간의 트래픽에 대해 구성될 수 있습니다.
데이터 경로 디버깅은 SRX1400, SRX3400, SRX3600, SRX5400, SRX5600 및 SRX5800 지원됩니다.
더 보기
논리적 시스템에 대한 추적 수행(기본 관리자만 해당)
기본 관리자만이 루트 수준에서 논리 시스템에 대한 데이터 경로 디버깅을 구성할 수 있습니다.
추적 또는 패킷 캡처를 위한 작업 프로필을 구성하려면 다음을 수행합니다.
논리적 시스템에 대한 추적 메시지를 캡처하려면 다음을 수행합니다.
추적 캡처 파일을 구성합니다.
[edit security datapath-debug] user@host# set traceoptions file e2e.trace user@host# set traceoptions file size 10m
운영 모드에서 캡처한 추적을 표시합니다.
user@host> show log e2e.trace Jul 7 09:49:56 09:49:56.417578:CID-00:FPC-01:PIC-00:THREAD_ID-00:FINDEX:0:IIF:75:SEQ:0:TC:0 PIC History: ->C0/F1/P0 NP ingress channel 0 packet Meta: Src: F1/P0 Dst: F0/P0 IP: saddr 10.1.1.2 daddr 30.1.1.2 proto 6 len 500 Jul 7 09:49:56 09:49:55.1414031:CID-00:FPC-00:PIC-00:THREAD_ID-04:FINDEX:0:IIF:75:SEQ:0:TC:1 PIC History: ->C0/F1/P0->C0/F0/P0 LBT pkt, payload: DATA Meta: Src: F1/P0 Dst: F0/P0 IP: saddr 10.1.1.2 daddr 30.1.1.2 proto 6 len 500 ... (Some trace information omitted) ... .Jul 7 09:49:56 09:49:55.1415649:CID-00:FPC-00:PIC-00:THREAD_ID-05:FINDEX:0:IIF:75:SEQ:0:TC:16 PIC History: ->C0/F1/P0->C0/F0/P0->C0/F0/P0->C0/F0/P0->C0/F0/P0 POT pkt, action: POT_SEND payload: DATA Meta: Src: F0/P0 Dst: F1/P0 IP: saddr 10.1.1.2 daddr 30.1.1.2 proto 6 len 500 Jul 7 09:49:56 09:49:56.419274:CID-00:FPC-01:PIC-00:THREAD_ID-00:FINDEX:0:IIF:75:SEQ:0:TC:17 PIC History: ->C0/F1/P0->C0/F0/P0->C0/F0/P0->C0/F0/P0->C0/F0/P0->C0/F1/P0 NP egress channel 0 packet Meta: Src: F0/P0 Dst: F1/P0 IP: saddr 10.1.1.2 daddr 30.1.1.2 proto 6 len 500
로그를 삭제합니다.
user@host> clear log e2e.trace
논리적 시스템에 대한 패킷 캡처 수행:
패킷 캡처 파일을 구성합니다.
[edit security datapath-debug] user@host# set capture-file e2e.pcap user@host# set capture-file format pcap user@host# set capture-file size 10m user@host# set capture-file world-readable user@host# set capture-file maximum-capture-size 1500
운영 모드를 입력하여 패킷 캡처를 시작한 다음 중지합니다.
user@host> request security datapath-debug capture start user@host> request security datapath-debug capture stop
참고:패킷 캡처 파일은 tcpdump 또는 libpcap 형식을 인식하는 모든 패킷 분석기 사용하여 오프라인에서 열고 분석할 수 있습니다. 또한 FTP 또는 SCP(Session Control Protocol)를 사용하여 패킷 캡처 파일을 외부 디바이스로 전송할 수 있습니다.
구성 모드에서 패킷 캡처를 비활성화합니다.
참고:분석을 위해 파일을 열거나 FTP 또는 SCP를 사용하여 파일을 외부 디바이스로 전송하기 전에 패킷 캡처를 비활성화합니다. 패킷 캡처를 비활성화하면 내부 파일 버퍼가 플러시되고 캡처한 모든 패킷이 파일에 작성됩니다.
[edit forwarding-options] user@host# set packet-capture disable
패킷 캡처를 표시합니다.
tcpdump 유틸리티를 사용하여 패킷 캡처를 표시하려면 다음을 수행합니다.
user@host# tcpdump -nr /var/log/e2e.pcap 09:49:55.1413990 C0/F0/P0 event:11(lbt) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414154 C0/F0/P0 event:11(lbt) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415062 C0/F0/P0 event:11(lbt) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415184 C0/F0/P0 event:11(lbt) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414093 C0/F0/P0 event:12(pot) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414638 C0/F0/P0 event:12(pot) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415011 C0/F0/P0 event:12(pot) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415129 C0/F0/P0 event:12(pot) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415511 C0/F0/P0 event:12(pot) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415649 C0/F0/P0 event:12(pot) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415249 C0/F0/P0 event:18(jexec) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415558 C0/F0/P0 event:18(jexec) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414226 C0/F0/P0 event:18(jexec) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414696 C0/F0/P0 event:18(jexec) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414828 C0/F0/P0 event:16(lt-enter) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414919 C0/F0/P0 event:15(lt-leave) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:56.417560 C0/F1/P0 event:1(np-ingress) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:56.419263 C0/F1/P0 event:2(np-egress) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0
CLI 운영 모드에서 패킷 캡처를 표시하려면 다음을 수행합니다.
user@host> show security datapath-debug capture Packet 1, len 568: (C0/F0/P0/SEQ:0:lbt) 00 00 00 00 00 00 50 c5 8d 0c 99 4a 00 00 0a 01 01 02 08 00 45 60 01 f4 00 00 00 00 40 06 4e 9f 0a 01 01 02 1e 01 01 02 5b 9b 30 39 00 00 00 00 00 00 00 00 50 02 00 00 f8 3c 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ac 7a 00 04 00 00 00 00 b3 e3 15 4e 66 93 15 00 04 22 38 02 38 02 00 00 00 01 00 03 0b 00 00 00 50 d0 1a 08 30 de be bf e4 f3 19 08 Packet 2, len 624: (C0/F0/P0/SEQ:0:lbt) aa 35 00 00 00 00 00 00 00 00 00 00 00 03 00 00 00 0a 00 00 00 00 00 00 05 bd 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 50 c5 8d 0c 99 4a 00 00 0a 01 01 02 08 00 45 60 01 f4 00 00 00 00 40 06 4e 9f 0a 01 01 02 ac 7a 00 04 00 00 00 00 b3 e3 15 4e 0a 94 15 00 04 5a 70 02 70 02 00 00 00 03 00 03 0b 00 00 00 50 d0 1a 08 30 de be bf e4 f3 19 08 ... (Packets 3 through 17 omitted) ... Packet 18, len 568: (C0/F1/P0/SEQ:0:np-egress) 00 00 00 04 00 00 00 00 1e 01 01 02 50 c5 8d 0c 99 4b 08 00 45 60 01 f4 00 00 00 00 3e 06 50 9f 0a 01 01 02 1e 01 01 02 5b 9b 30 39 00 00 00 00 00 00 00 00 50 02 00 00 f8 3c 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ac 7a 04 00 00 00 00 00 b4 e3 15 4e bf 65 06 00 04 22 38 02 38 02 00 00 00 11 00 03 02 00 00 00 50 d0 1a 08 30 de be bf e4 f3 19 08
user@host> show security datapath-debug counters Datapath debug counters Packet Filter 1: lt-enter Chassis 0 FPC 0 PIC 1: 0 lt-enter Chassis 0 FPC 0 PIC 0: 1 lt-leave Chassis 0 FPC 0 PIC 1: 0 lt-leave Chassis 0 FPC 0 PIC 0: 1 np-egress Chassis 0 FPC 1 PIC 3: 0 np-egress Chassis 0 FPC 1 PIC 1: 0 np-egress Chassis 0 FPC 1 PIC 2: 0 np-egress Chassis 0 FPC 1 PIC 0: 1 pot Chassis 0 FPC 0 PIC 1: 0 pot Chassis 0 FPC 0 PIC 0: 6 np-ingress Chassis 0 FPC 1 PIC 3: 0 np-ingress Chassis 0 FPC 1 PIC 1: 0 np-ingress Chassis 0 FPC 1 PIC 2: 0 np-ingress Chassis 0 FPC 1 PIC 0: 1 lbt Chassis 0 FPC 0 PIC 1: 0 lbt Chassis 0 FPC 0 PIC 0: 4 jexec Chassis 0 FPC 0 PIC 1: 0 jexec Chassis 0 FPC 0 PIC 0: 4
더 보기
논리적 시스템 보안 정책에서 DNS 이름 확인 문제 해결(기본 관리자만 해당)
문제
설명
보안 정책에 사용되는 주소록 항목의 호스트 이름 주소가 올바르게 해결되지 않을 수 있습니다.
원인
일반적으로 동적 호스트 이름이 포함된 주소록 항목은 SRX 시리즈 방화벽에 대해 자동으로 리프레시됩니다. DNS 항목과 연결된 TTL 필드는 정책 캐시에서 항목을 새로 고쳐야 하는 시간을 나타냅니다. TTL 값이 만료되면 SRX 시리즈 방화벽이 주소록 항목의 DNS 항목을 자동으로 새로 고칩니다.
그러나 SRX 시리즈 방화벽이 DNS 서버에서 응답을 얻을 수 없는 경우(예: DNS 요청 또는 응답 패킷이 네트워크에서 손실되거나 DNS 서버가 응답을 보낼 수 없는 경우), 주소록 항목의 호스트 이름 주소가 올바르게 해결되지 않을 수 있습니다. 이로 인해 보안 정책이나 세션 일치가 없으면 트래픽이 감소할 수 있습니다.
솔루션
기본 관리자는 명령을 사용하여 show security dns-cache
SRX 시리즈 방화벽에 DNS 캐시 정보를 표시할 수 있습니다. DNS 캐시 정보를 새로 고쳐야 하는 경우, 기본 관리자는 명령을 사용할 clear security dns-cache
수 있습니다.
이러한 명령은 논리적 시스템을 위해 구성된 디바이스의 기본 관리자만 사용할 수 있습니다. 이 명령은 사용자 논리적 시스템 또는 논리적 시스템에 대해 구성되지 않은 디바이스에서 사용할 수 없습니다.