对于 SRX 系列分支设备的 Junos 12.1X44-D10.4 上的 UTM/IDP 有哪些解决方法/修复?

网络工程 杜松 杜松-srx
2021-07-28 01:45:53

JNCIP/JNCIE-SEC 最新课程使用 12.1X44-D10.4 作为推荐的 Junos 版本。我在家用 SRX 设备上设置了一个为期 30 天的评估,以研究基于 12.1 的 JIPS。在这一点上,我猜我的问题是 12.1X44-D10.4 的试用许可证可能相当于 12.2、12.3,或者完全不受支持。这是我现在正在尝试的:

netops> request security idp security-package download full-update    
Will be processed in async mode. Check the status using the status checking CLI

root> request security idp security-package download status         
In progress:SignatureUpdate_tmp.xml.gz                          100 % 2034681 Bytes/ 2034681 Bytes

root> request security idp security-package download status    
Done;File applications.xml.gz is corrupt - MD5 hash match failed

由于许可证安装正确(但不是 IDP 签名),我还打算使用正确的 URL 参数手动请求下载(在KB19502 中提到

我在 Juniper.net 上运气不佳,但这是我计划的后续步骤:

  • 嗅探流量/找出它正在尝试下载的版本
  • 手动请求下载,例如。 https://services.netscreen.com/cgi-bin/index.cgi?device=jsrx650&feature=idp&os=10.3&detector=10.4.160100823&from=1817&to=1805&type=update
  • 本周与我的瞻博网络代表交谈(是的,我正在添加对此设备的支持)。编辑:使用瞻博网络打开客户服务票,因为它是新设备。将跟进解决。
  • 我正在阅读 techpubs/documentation 以查看是否有任何其他步骤可能导致此失败,但我已经尝试了常见的疑点,如名称解析、系统时间/NTP 等。

编辑:降级到 12.1R5.5 并没有解决这个问题,我仍然得到了损坏/md5 哈希匹配失败。这似乎不是由于缺乏存储,这可能会导致像这样的奇怪错误。

1个回答

看起来这是一个简单的修复(我也尝试了 12.1R6.5 和 12.1X44-D11.5,但无济于事)。

首先,我查看了它尝试下载的签名数据库的版本 (2263):

 netops> request security idp security-package download check-server    
 Successfully retrieved from(https://services.netscreen.com/cgi-bin/index.cgi).
 Version info:2263(Detector=12.6.160130325, Templates=2263)

然后,我决定这可能是一个实际错误的 md5 校验和(根据 Junos 的预期),我下载了以前的版本 2262:

 netops> request security idp security-package download version full-update 2262    
 Will be processed in async mode. Check the status using the status checking CLI

有效!我不得不在 Netscreen 上做类似的事情,但已经有一段时间了。我关闭了自动更新,我可以回去学习了。

 netops> request security idp security-package download status    
 Done;Successfully downloaded from(https://services.netscreen.com/cgi-bin/index.cgi).
 Version info:2262(Tue May 14 16:27:00 2013 UTC, Detector=12.6.160130325)

现在下载完成,一切都安装正确:

 netops> request security idp security-package install          
 Will be processed in async mode. Check the status using the status checking CLI

 netops> request security idp security-package install status 
 In progress:performing DB update...

 netops> request security idp security-package install status    
 In progress:performing DB update for an xml (groups.xml)

 netops> request security idp security-package install status
 In progress:performing DB update for an xml (applications.xml)

 etc.

 netops> request security idp security-package install status    
 Done;Attack DB update : successful - [UpdateNumber=2262,ExportDate=Tue May 14 16:27:00   2013 UTC,Detector=12.6.160130325]
 Updating control-plane with new detector : successful
 Updating data-plane with new attack or detector : not performed
  due to no active policy configured.

我认为这要么是 SRX110H-VA 中的错误、硬件/软件版本的组合,要么是 services.netscreen.com 上的错误签名更新。我很确定我可以查看 XML,并找出错误的 md5sum 在哪里(并手动修复它),但我会在收到瞻博网络的回复后跟进。

最新编辑:我还必须从瞻博网络手动下载策略模板,使用 提取它gzip -d templates.xml.gz,然后将其放入/var/db/idpd/sec-download/sub-download/. 完成后,我就可以安装它了。这里的问题是该request security idp security-package install policy-templates命令不像其他 idp 命令那样采用“版本”。当头 IDP 策略有 md5 错误时,这将始终是一个问题,尽管我希望这在瞻博网络中不会经常发生。

 netops> request security idp security-package install policy-templates 
 Will be processed in async mode. Check the status using the status checking CLI

 netops> request security idp security-package install status              
 Done;policy-templates has been successfully updated into internal repository
 (=>/var/db/scripts/commit/templates.xsl)!
其它你可能感兴趣的问题
上一篇6509 (VSS) 上的 Etherchannel 支持来自不同类型模块的接口? 下一篇瞻博网络 SRX240H 失去与上游路由器的连接