? ? ? ? ?了解Juniper產品的都知道，不管是防火墻、交換機還是路由器，Junos操作系統上RE（路由引擎)和PFE（數據轉發引擎）是分離的。策略不同步主要是對于低中高端防火墻來說的，像SRX100-SRX300、到最近才出來的SRX1500，及SRX4K，以及史上頂級一二的防火墻SRX5800都有可能出現策略不同步的情況（Note：Chassis-cluster-雙機環境中，防火墻幾乎都是雙機部署，特殊情況除外）。RE通過由單獨的SCB或SFB去承載，而PFE則是在單獨的業務接口板卡上（不同的型號需要單獨對待）。

? ? ? ? ?根據最近半年的Case處理，發現在SRX1500、SRX4K平面出現策略不同步的情況比較頻繁，雖然這事吧，不算大，但在客戶方也是蠻重要的，對于大客戶來說，基本都是通過Netconf下發配置的，一下發出現提交報錯，這很容易影響運維操作。但RE和PFE配置同步失敗，最終的Root-Case還是要再等等……并不是什么問題都有解決方案的，大部分都是Workaround來處理的。

? ? ??

?案例日志如下：

? ? ??

edit security]

'policies'

Policy is out of sync between RE and PFE <SPU-name(s)>.

Please resync before commit.

error: configuration check-out failed

Note：這個問題可以在低端和高端防火墻單機和雙機上看到。錯誤日志千千萬，不變的是需要處理的進程-NSD；

出現策略不同步的原因有以下幾點：

1. 從RE到PFE的policy消息丟失

2. RE上出現問題，例如：使用重復的策略ID；

排查的基本細路如下：

1. 如果同步異常的話，先對比RE和PFE的checksum值，通過以下命令：

RE上使用命令“show security policies checksum ” (Note:隱藏命令，需輸入完全)

示例：

root@vsrx-a> show security policies checksum

Logical system: root-logical-system

From zone ? ? ? ? ? ? ? ?To zone ? ? ? ? ? ? ? ? ?Checksum

trust ? ? ? ? ? ? ? ? ? ?untrust ? ? ? ? ? ? ? ? ?0x66b85abb-ca868ed9-a025220e-ca14f609

每個PFE上（Branch防火墻是FWDD, HE防火墻是XLR）

root@vsrx-a% vty fwdd

BSD platform (VMWare virtual processor, 428MB memory, 8192KB flash)

FLOWD_VSRX(vsrx-a vty)# show usp policy checksum

Logical system: root-logical-system

From zone ? ? ? ? ? ? ? ? ? ? ? To zone ? ? ? ? ? ? ? ? ? ? ? ? checksum

trust ? ? ? ? ? ? ? ? ? ? ? ? ? untrust ? ? ? ? ? ? ? ? ? ? ? ? 0x66b85abb-ca868ed9-a025220e-ca14f609

Note: ?RE和PFE的Checksum值必須一致。

執行以下步驟解決問題：

1. 執行命令 > request security policies resync (隱藏命令）后，查看Commit是可以正常同步。

root@vsrx-a> request security policies resync

node0:

--------------------------------------------------------------------------

Start sending policies ...

Succeeds.

Total sent 2 policies.

{primary:node0}

2. 如果步驟1還未恢復，嘗試執行#commit synchronize ?【隱藏命令】，如果commit synchronize 從執行失敗，則使用commit synchronize ?force 命令

3. 如果步驟2還是沒有恢復Commit問題，重啟nsd進程

。

root@vsrx-a# run restart network-security

Network security daemon started, pid 1293

4. 如果操作完步驟3還未恢復，則重啟設備（如果是Chassis-cluster則重啟兩臺，如果是生產環境中，則根據評估進行相關操作，不要做重啟動作）

后話：很多時候，都是重啟NSD進程恢復的，因為在客戶生產環境不太可能因為重啟設備，這畢竟是大動作，涉及到業務，又是一級變更，備件、現場工程師都要到場。

轉載于:https://blog.51cto.com/8019770/2384218

總結

以上是生活随笔為你收集整理的【SRX】RE与PFE策略不同步，导致Commit失败-----案例分析的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。