故障排除断开连接的 SRX 系列防火墙
对断开连接的 SRX 系列防火墙进行故障排除,并获取数据包捕获 (PCAP) 以获得更多洞察。
排除显示为已断开连接的 SRX 系列防火墙
如果瞻博网络 Mist™ 门户显示瞻博网络® SRX 系列防火墙在联机且可在本地访问时已断开连接,则可以使用本主题中列出的步骤对问题进行故障排除。您需要对防火墙的控制台访问权限或 SSH 访问权限,才能执行故障排除步骤。
- 检查 SRX 系列防火墙是否在受支持的 Junos OS 版本上运行。
对于 WAN 保证,您需要 SRX300、SRX320、SRX340、SRX345、SRX380、SRX550M 和 SRX1500 版本Junos OS 19.4 及更高版本。对于 SRX1600、SRX2300 和 SRX4300,设备必须运行Junos OS 24.2R1.17 及更高版本。对于 SRX4120 和 SRX4700,您需要 24.4R1-S2 或更高版本Junos OS。
您可以使用
show versionCLI 命令检查版本。 - 检查 SRX 系列防火墙是否具有有效的 IP 地址。
使用命令
show interfaces terse。user@host > show interfaces terse 1 match ge-0/0/0 ge-0/0/0 up up ge-0/0/0.0 up up inet 10.0.0.51/24 user@host > show interfaces terse I match irb irb up up irb.0 up down irb.2 up up inet 192.168.2.1/24 irb.8 up up inet 192.168.8.1/24 irb.10 up up inet 192.168.10.1/24 irb.24 up up inet 192.168.24.1/24
您应该会看到带有一个 IP 地址的集成路由和桥接 (IRB) 接口 (IRB.0)。您可能会看到多个 IRB 接口,具体取决于 SRX 系列型号(或在机箱群集高可用性配置的情况下)。
至少一个 IRB 接口需要具有有效的 IP 地址。防火墙还可以使用管理 IP 地址进行连接,您可以在 fxp0 接口上看到该地址。
确保:
-
IRB 或 fxp0 接口都有有效的 IP 地址。
-
管理 (Admin) 和链接 (Link) 状态已启动。
-
- 确保防火墙可以访问网关,如以下示例所示。
user@host> ping inet 10.0.0.1 PING 10.0.0.1 (10.0.0.1): 56 data bytes 64 bytes from 10.0.0.1: icmp_seq=0 ttl=64 time=44.967 ms 64 bytes from 10.0.0.1: icmp_seq=l ttl=64 time=1.774 ms 64 bytes from 10.0.0.1: icmp_seq=2 ttl=64 time=41.347 ms 64 bytes from 10.0.0.1: icmp_seq=3 ttl=64 time=1.731 ms 64 bytes from 10.0.0.1: icmp_seq=4 ttl=64 time=1.674 ms ^C ---10.0.0.1 ping statistics--- 5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max/stddev = 1.674/18.299/44.967/20.329 ms
- 检查您的设备是否可以连接到 Internet。对任何公共服务器(例如 8.8.8.8)发起 ping 测试。
user@host> ping inet 8.8.8.8 PING 8.8.8.8 (8.8.8.8): 56 data bytes 64 bytes from 8.8.8.8: icmp_seq=0 ttl=58 time=9.789 ms 64 bytes from 8.8.8.8: icmp_seq=1 ttl=58 time=5.206 ms 64 bytes from 8.8.8.8: icmp_seq=2 ttl=58 time=4.679 ms 64 bytes from 8.8.8.8: icmp_seq=3 ttl=58 time=4.362 ms 64 bytes from 8.8.8.8: icmp_seq=4 ttl=58 time=4.497 ms ^C --- 8.8.8.8 ping statistics --- 5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max/stddev = 4.362/5.707/9.789/2.061 ms
- 检查防火墙是否可以解析
oc-term.mistsys.net。user@host> ping oc-term.mistsys.net PING ab847c3d0fcd311e9b3ae02d80612151-659eb20beaaa3ea3.elb.us-west-1.amazonaws.com (13.56.90.212): 56 data bytes
如果防火墙正在解决
oc-term.mistsys.net笔记,请确保防火墙配置了 DNS 服务器。user@host> show configuration | display set | grep name-server set system name-server 8.8.8.8 set system name-server 8.8.4.4
user@host# set system name-server 8.8.8.8
- 确保防火墙端口处于打开状态(例如:tcp 端口 2200 )。
oc-term.mistsys.net请参阅下表,根据您的云环境确定要启用哪个端口:
表 1:在不同瞻博网络 Mist 云中启用的端口 服务类型 全球 01 全球 02 欧洲 01 SRX 系列 redirect.juniper.net (TCP 443) redirect.juniper.net (TCP 443) redirect.juniper.net (TCP 443) ztp.mist.com (TCP 443) ztp.gc1.mist.com (TCP 443) ztp.eu.mist.com (TCP 443) oc-term.mistsys.net (TCP 2200) oc-term.gc1.mist.com (TCP 2200) oc-term.eu.mist.com (TCP 2200) 您可以使用以下命令检查连接:
user@host> show system connections | grep 2200 tcp4 0 0 10.0.0.51.49981 54.83.93.93.2200 ESTABLISHED
- 在防火墙上检查系统时间,确保时间正确。
user@host> show system uptime Current time: 2021-08-23 19:39:17 UTC Time Source: LOCAL CLOCK System booted: 2021-07-14 22:40:20 UTC (5w4d 20:58 ago) Protocols started: 2021-07-14 22:45:39 UTC (5w4d 20:53 ago) Last configured: 2021-08-23 19:34:05 UTC (00:05:12 ago) by root 7:39PM up 39 days, 20:59, 2 users, load averages: 0.66, 1.07, 0.92
如果系统时间不正确,请进行配置。有关详细信息,请参阅 本地配置日期和时间。
- 检查
device-id以确保其格式<org_id>.<mac_addr>为 ,如下所示:user@host# show system services outbound-ssh traceoptions { file outbound-ssh.log size 64k files 5; flag all; } client mist { device-id abcd123445-1234-12xx-x1y2-ab1234xyz123.<mac>; secret "$abc123"; ## SECRET-DATA keep-alive { retry 12; timeout 5; } services netconf; oc-term-staging.mistsys.net { port 2200; retry 1000; timeout 60; } }有关详细信息,请参阅 outbound-ssh 。
您还可以使用命令
show log messages检查日志消息。 - 停用然后重新激活出站 SSH,如下所示:
- 要停用:
user@host# deactivate system services outbound-ssh client mist user@host# commit
- 要重新激活:
user@host# activate system services outbound-ssh client mist user@host# commit
- 要停用:
- 如果您是 首次添加 SRX 设备,请执行以下操作:
- 使用命令
delete从防火墙中删除当前的瞻博网络 Mist 配置。 - 再次启用防火墙。有关在 Mist 云中启动和运行 SRX 系列防火墙的详细信息,请参阅 云就绪 SRX 防火墙 。
- 使用以下命令验证系统服务 outbound-ssh 和系统连接:
show system services outbound-sshshow system connections | grep 2200
- 使用命令