Connectrix Brocade: 스위치가 구성된 보안 syslog 서버와의 연결을 설정하지 못했습니다.

secccertmgmt 명령을 통해 보안 syslog 서버 CA 인증서를 가져오고 syslogadmin 명령을 사용하여 보안 syslog 서버의 IP 주소를 설정한 후 스위치가 보안 syslog 서버와의 연결을 설정하지 못합니다.
 
sw0:admin> seccertmgmt show -all
 
ssh private key:
   Exists
 
ssh public keys available for users:
   None

 

sw0:admin> syslogadmin --show -ip
syslog.1        192.168.0.100     secure: port 5003

증상:
 

syslog 서버의 로그에 다음 오류가 포함될 수 있습니다. Nov 13 20:45:51 syslog01 rsyslogd: gnutls returned error on handshake: The TLS connection was non-properly terminated. Nov 13 20:45:51 syslog01 rsyslogd: rsyslogd: gnutls returned error on handshake: The TLS connection was non-properly terminated Nov 13 20:45:51 syslog01 rsyslogd: unexpected GnuTLS error -12 in nsdsel_gtls.c:178: A TLS fatal alert has been received. Nov 13 20:45:51 syslog01 rsyslogd: rsyslogd: unexpected GnuTLS error -12 in nsdsel_gtls.c:178: A TLS fatal alert has been received. Nov 13 20:45:51 syslog01 rsyslogd: rsyslogd: netstream session 0x7f993c00e0c0 from 192.168.0.1 will be closed due to error Nov 13 20:45:51 syslog01 rsyslogd: netstream session 0x7f993c00e0c0 from 192.168.0.1 will be closed due to error

근본 원인:

알 수 없는 인증서를 수신하여 스위치가 syslog 서버와의 TLS 세션을 거부합니다.  이는 syslog 서버 인증서에 syslog 서버의 IP 주소가 포함되어 있지 않기 때문에 발생합니다.  따라서 스위치는 가져온 인증서에 대해 수신한 인증서의 유효성을 검사할 수 없으며 이후에 연결을 종료합니다.

 

IP 주소 대신 보안 syslog 서버의 정규화된 도메인 이름을 사용하도록 스위치 구성을 업데이트합니다.  스위치가 보안 syslog 서버의 이름을 확인할 수 있도록 dnsconfig 명령을 업데이트해야 할 수 있습니다.  완료되면 스위치는 보안 syslog 서버와 보안 TLS 세션을 설정할 수 있습니다.  

명령 예:

dnsconfig --add -domain dns.brocade.com -serverip1 192.168.0.200 syslogadmin --set -ip syslog01.lab.brocade.com -secure -port 5003