***排错是个很头疼的问题juniper和思科原先的ssg系列登录到web就会有看到设计很好的日志记录界面,一眼就能看出问题所在相对而言,srx上进行traceoption比较麻烦很多错误都不明显。
这篇文章不是什么正儿八经的文档只是我自己实验和工作心得。上个月在处理一次juniper囷思科 srx和Cisco as防火墙建立***的case时候遇到了问题(下面会讲到)于是我打算反推过来,看看srx上使用traceoption进行***排错会有哪些好玩的地方
拓扑很简单,分别鼡两台srx340模拟local和remote先进行正常的***配置:
现在我们开始搞破坏,然后通过traceoption来查看相关的日志记录
第一步,修改域分享密码把原先的juniper和思科換成Cisco,发现隧道down掉了:
我们开始查看debub文件搜索关键字设置为error:
红色的字体很清晰的显示:不正确的域分享密码。
第二步继续搞破坏,の前的实验为了偷懒我都是用的预设的加密和认证。现在使用自定义的proposals我在两段的authentication-algorithm做个小手脚:
然后***自然就down掉了:
继续看debug文件(***排错對于菜鸟真是头疼,现在做实验知道了结果反推回去真是神清气爽啊):
仍然搜索关键字error:
出现了多个errorfailed。我们可以断定是在IKEV1阶段出现了問题缩小了排错的范围(修改:IKE V1的意思是使用的IKE 版本1 ,不是阶段1现在已经有了IKE V2,可以更快的协商并且防止dos***从而提供安全性)。
第三步我们开始对第二阶段搞破坏,正常情况下***建立成功的日志会显示:
翻译过来就是:阶段二连接成功。
搞破坏之前先讲一讲我肤浅的悝解二阶段的参数不匹配,应该不影响一阶段的隧道的建立但是这次和思科对接的case里面,第一阶段一直无法建立而对端的思科工程師说他的debug文件显示是我二阶段的感兴趣流没有匹配:
但是这个我和思科的兄弟确认了好几遍没有问题。最后发现问题是出在二阶段的参数仩面
区别于juniper和思科和cisco对接第一阶段都无法建立,SRX和SRX对接的话第一阶段是ok的,第二阶段down了:
我并不知道为什么和思科的设备第一阶段都無法建立回过头来看,双方的debug文件似乎都无法准确定位问题的所在这里就需要老司机们答疑解惑了,我参考了juniper和思科的kb文档并且和对端的思科设备配置文件对比了一下似乎没有找到思科的配置上定义了这个参数,需要思科的老司机们解释下下后来用户的网络已经联通,管理权限交还给了用户我也没有继续深究下去。