Connectrix Brocade:交換器無法與設定的安全系統記錄伺服器建立連線。
Summary: 以 secccertmgmt 命令匯入安全系統記錄伺服器 CA 憑證,並使用 syslogadmin 命令設定安全系統記錄伺服器的 IP 位址後,交換器便無法與安全系統記錄伺服器建立連線。
Symptoms
透過 secccertmgmt 命令匯入安全系統記錄伺服器 CA 憑證,並使用 syslogadmin 命令設定安全系統記錄伺服器的 IP 位址後,交換器無法與安全系統記錄伺服器建立連線。
sw0:admin> seccertmgmt show -all
ssh private key:
Exists
ssh public keys available for users:
None
| 通訊協定 | 用戶端 CA | 伺服器 CA | 軟體 | CSR | PVT 金鑰 | 密碼片語 |
|---|---|---|---|---|---|---|
| FCAP | 空白 | NA | 空白 | 空白 | 空白 | 空白 |
| 半徑 | 空白 | 空白 | 空白 | 空白 | 空白 | NA |
| LDAP | 空白 | 空白 | 空白 | 空白 | 空白 | NA |
| 系統記錄 | 空白 | 有 | 空白 | 空白 | 空白 | NA |
| HTTPS | NA | 空白 | 有 | 空白 | 有 | NA |
sw0:admin> syslogadmin --show -ip
syslog.1 192.168.0.100 secure: port 5003
症狀:
系統記錄伺服器的記錄中可能包含下列錯誤: Nov 13 20:45:51 syslog01 rsyslogd: gnutls returned error on handshake: The TLS connection was non-properly terminated. Nov 13 20:45:51 syslog01 rsyslogd: rsyslogd: gnutls returned error on handshake: The TLS connection was non-properly terminated Nov 13 20:45:51 syslog01 rsyslogd: unexpected GnuTLS error -12 in nsdsel_gtls.c:178: A TLS fatal alert has been received. Nov 13 20:45:51 syslog01 rsyslogd: rsyslogd: unexpected GnuTLS error -12 in nsdsel_gtls.c:178: A TLS fatal alert has been received. Nov 13 20:45:51 syslog01 rsyslogd: rsyslogd: netstream session 0x7f993c00e0c0 from 192.168.0.1 will be closed due to error Nov 13 20:45:51 syslog01 rsyslogd: netstream session 0x7f993c00e0c0 from 192.168.0.1 will be closed due to error
Cause
根本原因:
交換器會因為收到未知憑證,而拒絕與系統記錄伺服器的 TLS 工作階段。 這是由於系統記錄伺服器憑證未包含系統記錄伺服器的 IP 位址所造成。 因此,交換機無法根據導入的證書驗證其收到的證書,並隨後終止連接。
Resolution
更新交換器組態,以使用安全 syslog 伺服器的完整網域名稱,而非 IP 位址。 可能需要更新 dnsconfig 命令,以確保交換器可解析安全 syslog 伺服器的名稱。 完成後,交換器將能夠與安全的 syslog 伺服器建立安全的 TLS 工作階段。
命令範例:
dnsconfig --add -domain dns.brocade.com -serverip1 192.168.0.200 syslogadmin --set -ip syslog01.lab.brocade.com -secure -port 5003