Connectrix Brocade:交换机无法与配置的安全系统日志服务器建立连接。
Summary: 通过 secccertmgmt 命令导入安全系统日志服务器 CA 证书并使用 syslogadmin 命令设置安全系统日志服务器的 IP 地址后,交换机无法与安全系统日志服务器建立连接。
Symptoms
通过 secccertmgmt 命令导入安全系统日志服务器 CA 证书并使用 syslogadmin 命令设置安全系统日志服务器的 IP 地址后,交换机无法与安全系统日志服务器建立连接。
sw0:admin> seccertmgmt show -all
ssh private key:
Exists
ssh public keys available for users:
None
| 协议 | 客户端 CA | 服务器 CA | 西 南部 | CSR | PVT 密钥 | 密码 |
|---|---|---|---|---|---|---|
| FCAP | Empty | 不适用 | Empty | Empty | Empty | Empty |
| 半径 | Empty | Empty | Empty | Empty | Empty | 不适用 |
| LDAP | Empty | Empty | Empty | Empty | Empty | 不适用 |
| 系统日志 | Empty | 存在 | Empty | Empty | Empty | 不适用 |
| HTTPS | 不适用 | Empty | 存在 | Empty | 存在 | 不适用 |
sw0:admin> syslogadmin --show -ip
syslog.1 192.168.0.100 secure: port 5003
症状:
系统日志服务器的日志中可能包含以下错误: Nov 13 20:45:51 syslog01 rsyslogd: gnutls returned error on handshake: The TLS connection was non-properly terminated. Nov 13 20:45:51 syslog01 rsyslogd: rsyslogd: gnutls returned error on handshake: The TLS connection was non-properly terminated Nov 13 20:45:51 syslog01 rsyslogd: unexpected GnuTLS error -12 in nsdsel_gtls.c:178: A TLS fatal alert has been received. Nov 13 20:45:51 syslog01 rsyslogd: rsyslogd: unexpected GnuTLS error -12 in nsdsel_gtls.c:178: A TLS fatal alert has been received. Nov 13 20:45:51 syslog01 rsyslogd: rsyslogd: netstream session 0x7f993c00e0c0 from 192.168.0.1 will be closed due to error Nov 13 20:45:51 syslog01 rsyslogd: netstream session 0x7f993c00e0c0 from 192.168.0.1 will be closed due to error
Cause
根源:
由于收到未知证书,交换机将拒绝与系统日志服务器的 TLS 会话。 这是由于系统日志服务器证书不包含系统日志服务器的 IP 地址导致的。 因此,交换机无法根据导入的证书验证收到的证书,随后会终止连接。
Resolution
更新交换机配置,以使用安全系统日志服务器的完全限定域名,而不是 IP 地址。 可能需要更新 dnsconfig 命令,以确保交换机可以解析安全系统日志服务器的名称。 完成后,交换机将能够与安全系统日志服务器建立安全 TLS 会话。
命令示例:
dnsconfig --add -domain dns.brocade.com -serverip1 192.168.0.200 syslogadmin --set -ip syslog01.lab.brocade.com -secure -port 5003