【SRX】RE與PFE策略不同步，導致Commit失敗-----案例分析

? ? ? ? ?了解Juniper產(chǎn)品的都知道，不管是防火墻、交換機還是路由器，Junos操作系統(tǒng)上RE（路由引擎)和PFE（數(shù)據(jù)轉(zhuǎn)發(fā)引擎）是分離的。策略不同步主要是對于低中高端防火墻來說的，像SRX100-SRX300、到最近才出來的SRX1500，及SRX4K，以及史上頂級一二的防火墻SRX5800都有可能出現(xiàn)策略不同步的情況（Note：Chassis-cluster-雙機環(huán)境中，防火墻幾乎都是雙機部署，特殊情況除外）。RE通過由單獨的SCB或SFB去承載，而PFE則是在單獨的業(yè)務接口板卡上（不同的型號需要單獨對待）。

? ? ? ? ?根據(jù)最近半年的Case處理，發(fā)現(xiàn)在SRX1500、SRX4K平面出現(xiàn)策略不同步的情況比較頻繁，雖然這事吧，不算大，但在客戶方也是蠻重要的，對于大客戶來說，基本都是通過Netconf下發(fā)配置的，一下發(fā)出現(xiàn)提交報錯，這很容易影響運維操作。但RE和PFE配置同步失敗，最終的Root-Case還是要再等等……并不是什么問題都有解決方案的，大部分都是Workaround來處理的。

? ? ??

?案例日志如下：

? ? ??

edit security]

'policies'

Policy is out of sync between RE and PFE <SPU-name(s)>.

Please resync before commit.

error: configuration check-out failed

Note：這個問題可以在低端和高端防火墻單機和雙機上看到。錯誤日志千千萬，不變的是需要處理的進程-NSD；

出現(xiàn)策略不同步的原因有以下幾點：

1. 從RE到PFE的policy消息丟失

2. RE上出現(xiàn)問題，例如：使用重復的策略ID；

排查的基本細路如下：

1. 如果同步異常的話，先對比RE和PFE的checksum值，通過以下命令：

RE上使用命令“show security policies checksum ” (Note:隱藏命令，需輸入完全)

示例：

root@vsrx-a> show security policies checksum

Logical system: root-logical-system

From zone ? ? ? ? ? ? ? ?To zone ? ? ? ? ? ? ? ? ?Checksum

trust ? ? ? ? ? ? ? ? ? ?untrust ? ? ? ? ? ? ? ? ?0x66b85abb-ca868ed9-a025220e-ca14f609

每個PFE上（Branch防火墻是FWDD, HE防火墻是XLR）

root@vsrx-a% vty fwdd

BSD platform (VMWare virtual processor, 428MB memory, 8192KB flash)

FLOWD_VSRX(vsrx-a vty)# show usp policy checksum

Logical system: root-logical-system

From zone ? ? ? ? ? ? ? ? ? ? ? To zone ? ? ? ? ? ? ? ? ? ? ? ? checksum

trust ? ? ? ? ? ? ? ? ? ? ? ? ? untrust ? ? ? ? ? ? ? ? ? ? ? ? 0x66b85abb-ca868ed9-a025220e-ca14f609

Note: ?RE和PFE的Checksum值必須一致。

執(zhí)行以下步驟解決問題：

1. 執(zhí)行命令 > request security policies resync (隱藏命令）后，查看Commit是可以正常同步。

root@vsrx-a> request security policies resync

node0:

--------------------------------------------------------------------------

Start sending policies ...

Succeeds.

Total sent 2 policies.

{primary:node0}

2. 如果步驟1還未恢復，嘗試執(zhí)行#commit synchronize ?【隱藏命令】，如果commit synchronize 從執(zhí)行失敗，則使用commit synchronize ?force 命令

3. 如果步驟2還是沒有恢復Commit問題，重啟nsd進程

。

root@vsrx-a# run restart network-security

Network security daemon started, pid 1293

4. 如果操作完步驟3還未恢復，則重啟設備（如果是Chassis-cluster則重啟兩臺，如果是生產(chǎn)環(huán)境中，則根據(jù)評估進行相關操作，不要做重啟動作）

后話：很多時候，都是重啟NSD進程恢復的，因為在客戶生產(chǎn)環(huán)境不太可能因為重啟設備，這畢竟是大動作，涉及到業(yè)務，又是一級變更，備件、現(xiàn)場工程師都要到場。