1.情况:

在我的环境中,有两个由NSM管理的SRX群集。 NSM从Internet下载IDP签名更新,然后将这些更新推送到每个SRX群集。大多数SRX群集成员将获得IDP签名更新,但NSM通过虚拟机箱管理的一对除外。

2.症状:

对于NSM通过Virtual Chassis管理的这对SRX群集,始终只有主要群集成员才能获得签名更新,而不是次要群集成员。即使故障转移之后,辅助节点也成为主要节点,NSM仍会认为该对SRX群集已更新到最新的签名数据库,然后停止推送。

3.解决方案:

瞻博网络有一个 KB 在两个集群成员之间手动同步数据库。只要您拥有一个成员,就可以手动将第二个成员复制并安装它。

步骤1:将签名从主文件夹复制到辅助文件夹

[电子邮件 protected]% rlogin -T node0
— JUNOS 11.4R10.3建成于2013-11-15 06:56:20 UTC

[电子邮件 protected]% ls -l / var / db / idpd / nsm-download /
总计75784
 1 root  wheel  23406109 4月20日15:04 SignatureUpdate.xml
 1 root  wheel    223243 Apr 20 15:04 application_groups.xml
 1 root  wheel    31953 Apr 20 15:05 application_groups2.xml.gz
 1 root  wheel  1678841 4月20日15:04 applications.xml
 1 root  wheel    11823四月20 15:07 applications.xsd
 1 root  wheel    232937 Apr 20 15:06 applications2.xml.gz
 1 root  wheel  4413629 4月20日15:06 Compiled_ai.bin2
 1 root  wheel    18360年4月20日15:06 contexts.xml.gz
 1 root  wheel      851 Apr 20 15:06filters.xml.gz
 1 root  wheel  4067651 4月20日15:07 groups.xml
 1 root  wheel      753 Apr 20 15:07 heuristics.bin.gz
 1 root  wheel  1349960 Apr 20 15:07 libidp-detector.so.tgz.v
 1 root  wheel  3093356 Apr 20 15:04 libqmprotocols.tgz
 1 root  wheel      472 Apr 20 15:07 platform.xml
 1 root  wheel    59327 4月20日15:05 products.xml.gz
 1 root  wheel      921 Apr 20 15:06 services.xml.gz
 1 root  wheel      2832四月20 15:06 templates.xml.gz


[电子邮件 protected]% rcp -r -T / var / db / idpd / nsm-download / * node0:/ var / db / idpd / nsm-download /
[电子邮件 protected]%cli

[电子邮件 protected]% cd / var / db / idpd / nsm-download /
[电子邮件 protected]%ls -l
总计75784
 1 root  wheel  23406109 Apr 21 14:55 SignatureUpdate.xml
 1 root  wheel    223243 Apr 21 14:55 application_groups.xml
 1 root  wheel    31953 Apr 21 14:55 application_groups2.xml.gz
 1 root  wheel  1678841 4月21日14:56 applications.xml
 1 root  wheel    11823 Apr 21 14:56应用程序.xsd
 1 root  wheel    232937 Apr 21 14:56 applications2.xml.gz
 1 root  wheel  4413629 4月21日14:56
 1 root  wheel    18360年4月21日14:56 contexts.xml.gz
 1 root  wheel      851 Apr 21 14:56filters.xml.gz
 1 root  wheel  4067651 4月21日14:57 groups.xml
 1 root  wheel      753 Apr 21 14:57 heuristics.bin.gz
 1 root  wheel  1349960 Apr 21 14:57 libidp-detector.so.tgz.v
 1 root  wheel  3093356 Apr 21 14:58 libqmprotocols.tgz
 1 root  wheel      472 Apr 21 14:58 platform.xml
 1 root  wheel    59327 4月21日14:58 products.xml.gz
 1 root  wheel      921 Apr 21 14:58 services.xml.gz
 1 root  wheel      2832年4月21日14:58 templates.xml.gz
[电子邮件 protected]% cp * / var / db / idpd / sec-download /

步骤2:安装复制的签名数据库

{primary:node1}
[电子邮件 protected]> 请求安全IDP安全软件包安装节点0 
node0:
[电子邮件 protected]%clear ——————————————
将以异步模式处理。使用状态检查CLI检查状态

{primary:node1}
[电子邮件 protected]> 请求安全IDP安全软件包安装状态   
node0:
————————————————————————
完成; AI安装失败!攻击数据库更新失败!

node1:
————————————————————————
准备接受新请求

{primary:node1}
[电子邮件 protected]> 请求安全IDP安全软件包安装状态   
node0:
————————————————————————
完成;攻击数据库更新:未执行
      due to the same version between downloaded 上e 并安装了一个。
     使用新的检测器更新控制和数据平面:未执行
     由于下载之间的检测器版本相同 and installed 上e.

node1:
————————————————————————
完成;攻击数据库更新:成功– [UpdateNumber = 2373,ExportDate = Tue May 13 13 16:22:18 2014 UTC,Detector = 12.6.160140207]
     使用新的检测器更新控制平面:成功

     使用新的攻击或检测器更新数据平面:成功


{secondary:node0}
[电子邮件 protected]> …安全IDP安全软件包安装状态   
node0:
————————————————————————
进行中:正在安装AI…

node1:
————————————————————————
完成;攻击数据库更新:未执行
      due to the same version between downloaded 上e 并安装了一个。
     使用新的检测器更新控制和数据平面:未执行

     由于下载之间的检测器版本相同 and installed 上e.


{primary:node1}
[电子邮件 protected]> 显示安全IDP策略提交状态 
node0:
————————————————————————
 IDP策略[/var/db/idpd/bins/fw-tw-20140109.bin.gz.v]和检测器[/var/db/idpd/sec-repository/installed-detector/libidp-detector.so.tgz。 v]已成功加载。
 加载的策略大小为:350641字节

node1:
————————————————————————
 IDP策略[/var/db/idpd/bins/fw-tw-20140109.bin.gz.v]和检测器[/var/db/idpd/sec-repository/installed-detector/libidp-detector.so.tgz。 v]已成功加载。
 加载的策略大小为:415603字节


步骤3:确认安装状态

[电子邮件 protected]% rlogin -T node0
— JUNOS 11.4R10.3建成于2013-11-15 06:56:20 UTC

{secondary:node0}
[电子邮件 protected]> …安全IDP安全软件包安装状态   
node0:
————————————————————————
正在进行中:为xml执行数据库更新(SignatureUpdate.xml)

node1:
————————————————————————
准备接受新请求



{secondary:node0}
[电子邮件 protected]> …安全IDP安全软件包安装状态   
node0:
————————————————————————
完成;攻击数据库更新:成功– [UpdateNumber = 2365,ExportDate = Wed Apr 16 19:07:52 2014 UTC,Detector = 12.6.160140207]
     使用新的检测器更新控制平面:成功
     使用新的攻击或检测器更新数据平面:成功

node1:
————————————————————————
准备接受新请求

{secondary:node0}
[电子邮件 protected]> 显示安全IDP安全软件包版本 
node0:
————————————————————————

 攻击数据库版本:2365(2014年4月16日星期三19:07:52 UTC)
 检测器版本:12.6.160140207
 策略模板版本:不适用

node1:
————————————————————————

 攻击数据库版本:2365(2014年4月16日星期三19:07:52 UTC)
 检测器版本:12.6.160140207
 策略模板版本:不适用

通过 约翰

发表评论