Một số cách giải quyết / sửa lỗi cho UTM / IDP trên Junos 12.1X44-D10.4 cho các thiết bị nhánh SRX Series là gì?


7

Các khóa học mới nhất của JNCIP / JNCIE-SEC sử dụng 12.1X44-D10.4 làm phiên bản Junos được đề xuất. Tôi thiết lập đánh giá 30 ngày trên thiết bị SRX tại nhà để nghiên cứu JIPS, dựa trên 12.1. Tại thời điểm này, tôi đoán rằng vấn đề của tôi là giấy phép dùng thử cho 12.1X44-D10.4 có thể tương đương với 12.2, 12.3 hoặc hoàn toàn không được hỗ trợ. Đây là những gì tôi đang cố gắng bây giờ:

netops> request security idp security-package download full-update    
Will be processed in async mode. Check the status using the status checking CLI

root> request security idp security-package download status         
In progress:SignatureUpdate_tmp.xml.gz                          100 % 2034681 Bytes/ 2034681 Bytes

root> request security idp security-package download status    
Done;File applications.xml.gz is corrupt - MD5 hash match failed

Vì giấy phép được cài đặt đúng cách (nhưng không phải chữ ký IDP), tôi cũng sẽ yêu cầu tải xuống theo cách thủ công với các tham số URL thích hợp (được đề cập trong KB19502 )

Tôi đã không gặp may mắn trên Juniper.net, nhưng đây là các bước tiếp theo được lên kế hoạch của tôi:

  • Đánh hơi lưu lượng truy cập / tìm ra phiên bản nào nó đang cố tải xuống
  • Thủ công yêu cầu tải xuống, ví dụ. https://services.netscreen.com/cgi-bin/index.cgi?device=jsrx650&feature=idp&os=10.3&detector=10.4.160100823&from=1817&to=1805&type=update
  • Nói chuyện với đại diện Juniper của tôi trong tuần này (và vâng, tôi đang thêm hỗ trợ trên thiết bị này). Chỉnh sửa: đã mở một vé Chăm sóc khách hàng với Juniper, vì đây là một thiết bị mới. Sẽ theo dõi với độ phân giải.
  • Tôi đang đọc qua techpub / tài liệu để xem liệu có bất kỳ bước bổ sung nào có thể khiến điều này không thành công hay không, nhưng tôi đã thử các nghi phạm thông thường như phân giải tên, thời gian hệ thống / NTP, v.v.

Chỉnh sửa: hạ cấp xuống 12.1R5.5 không khắc phục được sự cố và tôi vẫn bị lỗi băm / md5 khớp không thành công. Điều này dường như không phải do thiếu dung lượng, có thể gây ra các lỗi lạ như thế này.


Có câu trả lời nào giúp bạn không? nếu vậy, bạn nên chấp nhận câu trả lời để câu hỏi không xuất hiện mãi mãi, tìm kiếm câu trả lời. Ngoài ra, bạn có thể cung cấp và chấp nhận câu trả lời của riêng bạn.
Ron Maupin

Câu trả lời:


4

Có vẻ như đây là một sửa chữa dễ dàng (tôi cũng đã thử 12.1R6.5 và 12.1X44-D11.5, nhưng không có kết quả).

Đầu tiên, tôi xem xét phiên bản DB chữ ký mà nó đang cố tải xuống (2263):

 netops> request security idp security-package download check-server    
 Successfully retrieved from(https://services.netscreen.com/cgi-bin/index.cgi).
 Version info:2263(Detector=12.6.160130325, Templates=2263)

Sau đó, tôi quyết định rằng đây có thể là một tổng kiểm tra md5 xấu thực sự (theo những gì Junos mong đợi) và tôi đã tải xuống phiên bản trước đó, 2262:

 netops> request security idp security-package download version full-update 2262    
 Will be processed in async mode. Check the status using the status checking CLI

Nó đã làm việc! Tôi đã phải làm một cái gì đó tương tự trên Netscreen, nhưng đã được một lúc rồi. Tôi đã tắt cập nhật tự động và tôi có thể quay lại học.

 netops> request security idp security-package download status    
 Done;Successfully downloaded from(https://services.netscreen.com/cgi-bin/index.cgi).
 Version info:2262(Tue May 14 16:27:00 2013 UTC, Detector=12.6.160130325)

Bây giờ quá trình tải xuống đã hoàn tất, mọi thứ đã được cài đặt đúng cách:

 netops> request security idp security-package install          
 Will be processed in async mode. Check the status using the status checking CLI

 netops> request security idp security-package install status 
 In progress:performing DB update...

 netops> request security idp security-package install status    
 In progress:performing DB update for an xml (groups.xml)

 netops> request security idp security-package install status
 In progress:performing DB update for an xml (applications.xml)

 etc.

 netops> request security idp security-package install status    
 Done;Attack DB update : successful - [UpdateNumber=2262,ExportDate=Tue May 14 16:27:00   2013 UTC,Detector=12.6.160130325]
 Updating control-plane with new detector : successful
 Updating data-plane with new attack or detector : not performed
  due to no active policy configured.

Tôi nghĩ rằng đây là một lỗi trong SRX110H-VA, một sự kết hợp của bản phát hành phần cứng / phần mềm hoặc cập nhật chữ ký xấu trên services.netscreen.com. Tôi khá chắc chắn rằng tôi chỉ có thể xem qua XML và tìm ra md5sum xấu ở đâu (và sửa nó bằng tay), nhưng tôi sẽ theo dõi khi tôi nghe lại từ Juniper.

Chỉnh sửa mới nhất: Tôi cũng phải tải xuống thủ công mẫu chính sách từ Juniper, giải nén nó gzip -d templates.xml.gzvà đặt nó vào /var/db/idpd/sec-download/sub-download/. Khi đã xong, tôi có thể cài đặt nó. Vấn đề ở đây là request security idp security-package install policy-templateslệnh không lấy 'phiên bản', giống như các lệnh idp khác. Đây sẽ luôn là một vấn đề khi chính sách IDP đầu có lỗi md5, mặc dù tôi hy vọng rằng điều này không xảy ra thường xuyên tại Juniper.

 netops> request security idp security-package install policy-templates 
 Will be processed in async mode. Check the status using the status checking CLI

 netops> request security idp security-package install status              
 Done;policy-templates has been successfully updated into internal repository
 (=>/var/db/scripts/commit/templates.xsl)! 
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.