Juniper

Juniper SSG | Warning: configuration out of sync

Leider kann es immer mal wieder vorkommen, dass zwei SSG Junipers, die per NSRP (NetScreen Redundancy Protocol) HA-Dienste (hohe Verfügbarkeit) bereitstellen, in der Konfiguration nicht mehr syncron sind.

Um zu testen, ob die SSG´s mit ScreenOS noch syncron sind, einfach auf dem Master- oder Slave-System folgenden Befehl eingeben:

exec nsrp sync global-config check-sum [Enter]

Sieht die Ausgabe dann wie folgt aus:

Juniper1(M)-> exec nsrp sync global-config check-sum
Juniper1(M)-> configuration in sync

ist alles in Ordnung. Der Cluster läuft und die Konfiguration der Geräte ist syncron. Anders ist es bei folgender Ausgabe:

Juniper1(M)-> exec nsrp sync global-config check-sum
Juniper1(M)-> Warning: configuration out of sync

Hier ist die Konfiguration nicht mehr syncron und es muss Abhilfe geschaffen werden. Am einfachsten lässt sich der Unterschied in den Konfigurationen auf den beiden Geräten mit folgendem Befehl anzeigen:

exec nsrp sync global-config diff [Enter]

Als Ausgabe erfolgt die Anzahl der Konfigurationsunterschiede und auch die Konfigurationszeilen der jeweiligen Geräte. Hier ein Beispiel:

ServerJuniper1(M)-> exec nsrp sync global-config diff
ServerJuniper1(M)-> rcv_sys_config_diff: get local config sucess
Local have 2 different cmd lines:
297 set route 1.1.1.1/32 vrouter „untrust-vr“ metric 10 description „Route for PBR“
298 set route 0.0.0.0/0 vrouter „untrust-vr“ metric 20
Peer have 2 different cmd lines:
297 set route 1.1.1.1/32 vrouter „untrust-vr“ preference 20 metric 10 description „Route for PBR“
298 set route 0.0.0.0/0 vrouter „untrust-vr“ preference 20 metric 20

Behebt man jetzt die Konfigurationsdifferenzen und wiederholt den Befehl, sollte die Ausgabe wie folgt ausschauen:

ServerJuniper1(M)-> exec nsrp sync global-config diff
ServerJuniper1(M)-> rcv_sys_config_diff: get local config sucess
Local have 0 different cmd lines:
Peer have 0 different cmd lines:

Jetzt gibt auch die Prüfung wieder ein „configuration in sync“ als Ausgabe. Leider ist der Befehl mit dem global-config diff nicht öffentlich dokumentiert. Es ist also nicht sichergestellt, dass dieser Befehl auf allen ScreenOS Versionen immer zur Verfügung steht. Bei meinen Testsystemen mit der Version 6.2.0r8.0 und 6.2.0r11.0 war das jedoch der Fall.

Leave a Reply

Your email address will not be published. Required fields are marked *