Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

安全设备故障排除

逻辑系统安全策略中的 DNS 名称解析故障排除(仅主要管理员)

说明

在安全策略中使用的地址簿条目中的主机名地址可能无法正确解析。

触发

通常,包含动态主机名的通讯簿条目将自动为 SRX 系列设备进行刷新。与 DNS 条目关联的 TTL 字段指示在策略缓存中刷新条目的时间。TTL 值到期后,SRX 系列设备将自动刷新地址簿条目的 DNS 条目。

但是,如果 SRX 系列设备无法从 DNS 服务器获得响应(例如,DNS 请求或响应数据包在网络中丢失或 DNS 服务器无法发送响应),地址簿条目中的主机名地址可能无法解析 correctly. 这可能会导致流量下降,因为未找到安全策略或会话匹配项。

解决方案

主管理员可使用 命令在 SRX 系列设备上显示 show security dns-cache DNS 缓存信息。如果需要刷新 DNS 缓存信息,主管理员可使用 clear security dns-cache 命令。

注:

这些命令仅在为逻辑系统配置的设备上对主管理员可用。此命令不能用于用户逻辑系统或未配置为逻辑系统的设备上。

安全策略故障排除

在路由引擎和数据包转发引擎之间同步策略

说明

安全策略存储在路由引擎和数据包转发引擎中。提交配置时,安全策略从路由引擎推送至数据包转发引擎。如果路由引擎上的安全策略与数据包转发引擎不同步,则配置提交将失败。如果反复尝试提交,则可能会生成核心转储文件。不同步可能是由于以下原因造成的:

  • 从路由引擎到数据包转发引擎的策略消息在传输过程中丢失。

  • 路由引擎出错,如重新使用的策略 UID。

环境

路由引擎和数据包转发引擎中的策略必须同步才能提交配置。但是,在某些情况下,路由引擎和数据包转发引擎中的策略可能不同步,从而导致提交失败。

症状

如果策略配置已修改且策略不同步,则会显示以下错误消息-error: Warning: policy might be out of sync between RE and PFE <SPU-name(s)> Please request security policies check/resync.

解决方案

如果安全show security policies checksum策略不同步,请使用命令显示安全策略校验request security policies resync 和值,并使用命令在路由引擎和数据包转发引擎中同步安全策略的配置。

检查安全策略提交故障

说明

提交或运行时大多数策略配置发生故障。

在配置模式下执行 CLI CLI,直接报告 commit-check 提交失败。这些错误是配置错误,您不能在不修复这些错误的情况下提交配置。

解决方案

要修复这些错误,请执行以下操作:

  1. 查看您的配置数据。

  2. 打开文件/var/log/nsd_chk_only。每次执行提交检查时都会覆盖此文件,其中包含详细的失败信息。

验证安全策略提交

说明

执行策略配置提交时,如果您注意到系统行为不正确,请使用以下步骤解决此问题:

解决方案

  1. 操作 show 命令 — 执行安全策略的操作命令并验证输出中显示的信息是否与预期一致。如果不是,则需要妥善更改配置。

  2. 追踪选项 — 在策略 traceoptions 配置中设置 命令。根据show 命令输出的用户分析,可选择此层次结构下的标志。如果您无法确定要使用的标志,则可以使用all标记选项捕获所有跟踪日志。

您还可以配置可选文件名以捕获日志。

如果在追踪选项中指定了文件名,可以在 /var/log/< 文件名 > 中查找日志文件,以确定文件中是否报告任何错误。(如果未指定文件名,则默认文件名为 eventd。)错误消息指示故障的位置和适当的原因。

配置跟踪选项之后,必须重新提交导致错误系统行为的配置更改。

调试策略查找

说明

如果配置正确,但某些信息流被错误地丢弃或允许,您可以在安全策略追踪选项lookup中启用该标志。该lookup标记将在跟踪文件中记录查找相关的跟踪。

解决方案

用于故障排除 ISSU 相关问题的日志错误消息

ISSU 升级期间可能会出现以下问题。您可以使用日志中的详细信息来识别错误。有关特定系统日志消息的详细信息,请参阅系统日志资源管理器

Chassisd 进程错误

说明

与 chassisd 相关的错误。

解决方案

使用错误消息了解与 chassisd 相关的问题。

当 ISSU 启动时,会向 chassisd 发送一则请求,以检查机箱的 ISSU 是否有任何问题。如果存在问题,将创建日志消息。

了解 ISSU 的常见错误处理

说明

在 ISSU 过程中,您可能会遇到一些问题。本节提供有关如何处理它们的详细信息。

解决方案

在 ISSU 期间遇到的任何错误都会导致创建日志消息,而 ISSU 在不影响信息流的情况下继续运行。如果需要恢复为前一版本,则事件可能已记录或 ISSU 已停止,因此不会在机箱集群的两个节点上创建任何不匹配的版本。表 4提供了一些常见错误情况及其解决方法。中使用的表 4示例消息来自 SRX1500 设备,也适用于所有支持的 SRX 系列设备。

表 4: ISSU 相关错误和解决方案

错误情况

解决方案

当 ISSU 的上一实例已在运行时尝试启动 ISSU

将显示以下消息:

warning: ISSU in progress

您可以中止当前 ISSU 进程,然后使用request chassis cluster in-service-upgrade abort命令再次启动 ISSU。

辅助节点上的重新启动失败

由于主节点继续提供所需的服务,因此不会发生服务停机。将显示详细的控制台消息,要求您手动清除现有 ISSU 状态并恢复机箱集群。

error: [Oct  6 12:30:16]: Reboot secondary node failed (error-code: 4.1)

       error: [Oct  6 12:30:16]: ISSU Aborted! Backup node maybe in inconsistent state, Please restore backup node
       [Oct  6 12:30:16]: ISSU aborted. But, both nodes are in ISSU window.
       Please do the following:
       1. Rollback the node with the newer image using rollback command
          Note: use the 'node' option in the rollback command
          otherwise, images on both nodes will be rolled back
       2. Make sure that both nodes (will) have the same image
       3. Ensure the node with older image is primary for all RGs
       4. Abort ISSU on both nodes
       5. Reboot the rolled back node

从 Junos OS Release 17.4 R1 开始,在 ISSU 进程期间初始重新启动辅助节点的保留计时器,在 SRX1500、SRX4100、SRX4200 和 SRX4600 设备上的机箱集群中从15分钟(900秒)到45分钟(2700秒)进行扩展。

辅助节点无法完成冷同步

如果辅助节点未能完成冷同步,则主节点超时。将显示详细的控制台消息,您可以手动清除现有 ISSU 状态并恢复机箱集群。在这种情况下不会发生服务停机。

[Oct  3 14:00:46]: timeout waiting for secondary node node1 to sync(error-code: 6.1)
        Chassis control process started, pid 36707 

       error: [Oct  3 14:00:46]: ISSU Aborted! Backup node has been upgraded, Please restore backup node 
       [Oct  3 14:00:46]: ISSU aborted. But, both nodes are in ISSU window. 
       Please do the following: 
      1. Rollback the node with the newer image using rollback command 
          Note: use the 'node' option in the rollback command 
          otherwise, images on both nodes will be rolled back 
      2. Make sure that both nodes (will) have the same image 
      3. Ensure the node with older image is primary for all RGs 
      4. Abort ISSU on both nodes 
      5. Reboot the rolled back node  

新升级辅助副本的故障转移失败

由于主节点继续提供所需的服务,因此不会发生服务停机。将显示详细的控制台消息,要求您手动清除现有 ISSU 状态并恢复机箱集群。

[Aug 27 15:28:17]: Secondary node0 ready for failover.
[Aug 27 15:28:17]: Failing over all redundancy-groups to node0
ISSU: Preparing for Switchover
error: remote rg1 priority zero, abort failover.
[Aug 27 15:28:17]: failover all RGs to node node0 failed (error-code: 7.1)
error: [Aug 27 15:28:17]: ISSU Aborted!
[Aug 27 15:28:17]: ISSU aborted. But, both nodes are in ISSU window.
Please do the following:
1. Rollback the node with the newer image using rollback command
    Note: use the 'node' option in the rollback command
           otherwise, images on both nodes will be rolled back
2. Make sure that both nodes (will) have the same image
3. Ensure the node with older image is primary for all RGs
4. Abort ISSU on both nodes
5. Reboot the rolled back node
{primary:node1}

主要升级故障

不会发生服务停机,因为辅助节点作为主设备进行故障转移,并继续提供所需的服务。

主节点上的重新启动失败

在重新启动主节点之前,设备将不会出现 ISSU 设置,并且不会显示与 ISSU 相关的错误消息。如果检测到任何其他故障,将显示以下重新启动错误消息:

Reboot failure on     Before the reboot of primary node, devices will be out of ISSU setup and no primary node error messages will be displayed.
Primary node

ISSU 网络支持-相关错误

说明

安装失败的原因是不支持的软件和功能配置。

解决方案

使用以下错误消息可了解与兼容性相关的问题:

初始验证检查失败

说明

初始验证检查失败。

解决方案

如果图像不存在或图像文件损坏,验证检查将失败。当映像不存在且 ISSU 已中止时,在初始验证检查失败时会显示以下错误消息:

图像不存在时

图像文件损坏时

如果图像文件损坏,以下输出将显示:

主节点将验证设备配置,确保可使用新软件版本提交。如果出现错误,将显示 ISSU 中止和错误消息。

与安装相关的错误

说明

安装映像文件不存在或无法访问远程站点。

解决方案

使用以下错误消息来了解与安装相关的问题:

ISSU 下载在 ISSU 命令中指定为参数的安装映像。该图像文件可以是本地文件或位于远程站点。如果文件不存在或远程站点不可访问,将报告错误。

冗余组故障转移错误

说明

自动冗余组(RG)出现故障。

解决方案

使用以下错误消息来了解问题:

内核状态同步错误

说明

与 ksyncd 相关的错误。

解决方案

使用以下错误消息可了解与 ksyncd 相关的问题:

ISSU 将检查辅助节点(节点1)上是否存在任何 ksyncd 错误,如果存在任何问题,则显示错误消息并中止升级。

发布历史记录表
版本
说明
17.4R1
从 Junos OS Release 17.4 R1 开始,在 ISSU 进程期间初始重新启动辅助节点的保留计时器,在 SRX1500、SRX4100、SRX4200 和 SRX4600 设备上的机箱集群中从15分钟(900秒)到45分钟(2700秒)进行扩展。