Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

監視およびトラブルシューティング

このセクションでは、Junos OS のネットワーク監視機能とトラブルシューティング機能について説明します。

Ping ホスト

目的

CLI ping コマンドを使用して、ネットワーク経由でホストに到達できることを確認します。このコマンドは、ホストとネットワークの接続の問題を診断するのに役立ちます。デバイスは、一連のインターネット制御メッセージ プロトコル(ICMP)エコー(ping)要求を指定されたホストに送信し、ICMP エコー応答を受信します。

アクション

ping コマンドを使用して 4 つの要求 (ping カウント) を host3 に送信するには、次のようにします。

出力例

コマンド名

意味

  • ping結果には、次の情報が表示されます。

    • ping 応答パケットのサイズ (バイト単位)。

    • 応答の送信元ホストの IP アドレス。

    • ping 応答パケットのシーケンス番号。この値を使用して、ping 応答を対応する ping 要求と照合できます。

    • ping応答パケットのTTL(Time-to-live)ホップカウント値。

    • ping 要求パケットの送信から ping 応答パケットの受信までの合計時間 (ミリ秒単位)。この値は、往復時間とも呼ばれます。

    • ホストに送信された ping リクエスト(プローブ)の数。

    • ホストから受信した ping 応答の数。

    • パケット損失率。

    • 往復時間の統計: 往復時間の最小値、平均値、最大値、および標準偏差。

ルーターまたはスイッチを介してトラフィックを監視

問題を診断する場合、ルーターまたはスイッチの物理インターフェイスを通過するトラフィックに関するリアルタイムの統計情報を表示します。

物理インターフェイスに関するリアルタイムの統計情報を表示するには、次のタスクを実行します。

ルーターまたはスイッチ上のすべてのインターフェイスに関するリアルタイムの統計情報を表示します。

目的

ルーターまたはスイッチ上のすべてのインターフェイスを通過するトラフィックに関するリアルタイムの統計情報を表示します。

アクション

ルーターまたはスイッチ上のすべてのインターフェイスを通過するトラフィックに関するリアルタイムの統計情報を表示するには:

出力例
コマンド名

意味

サンプル出力には、アクティブなインターフェイスのトラフィック データと、コマンドの開始以降、または C キーを使用してカウンターがクリアされた後の各フィールドの変化量が表示されます。この例では、 monitor interface コマンドは、コマンドが発行されてから、またはカウンターが最後にゼロに戻ってから 15 秒間実行されています。

ルーターまたはスイッチ上のインターフェイスに関するリアルタイムの統計情報を表示します。

目的

ルーターまたはスイッチ上のインターフェイスを通過するトラフィックに関するリアルタイムの統計情報を表示します。

アクション

ルーターまたはスイッチのインターフェイスを通過するトラフィックを表示するには、次の Junos OS CLI 運用モード コマンドを使用します。

出力例
コマンド名

意味

サンプル出力は、特定の SONET インターフェイス(so-0/0/1)の入力パケットと出力パケットを示しています。この情報には、SONET/SDH および T3 アラーム、検出されたループバック、フレーミング エラーの増加などの一般的なインターフェイス障害を含めることができます。

実行中にコマンドの出力を制御するには、 表 1 に示すキーを使用します。

表 1: モニターインターフェースコマンドの出力制御キー

アクション

キー

次のインターフェイスの情報を表示します。monitor interfaceコマンドは、物理インターフェースまたは論理インターフェースを、show interfaces terseコマンドで表示されるのと同じ順序でスクロールします。

N

別のインターフェイスの情報を表示します。コマンドは、特定のインターフェイスの名前を入力するよう求めます。

I

ディスプレイをフリーズさせ、更新された統計情報の表示を停止します。

F

ディスプレイのフリーズを解除して、更新された統計情報の表示を再開します。

T

monitor interface が起動されてからの現在のデルタ カウンターをクリア(ゼロ)します。累積カウンタはクリアされません。

C

monitor interface コマンドを停止します。

Q

monitor traffic コマンドでの照合条件の使用に関する詳細については、CLIエクスプローラーを参照してください。

動的三元コンテンツ・アドレス可能メモリーの概要

TCAM(Ternary Content Addressable Memory)は、ファイアウォール、接続障害管理、PTPoE、RFC 2544 など、さまざまなアプリケーションで使用されています。ACX シリーズ ルーターの PFE(パケット転送エンジン)は、TCAM スペース制限が定義された TCAM を使用します。さまざまなフィルターアプリケーションへのTCAMリソースの割り当ては、静的に分散されます。この静的割り当てにより、すべてのフィルタ アプリケーションがこの TCAM リソースを同時に使用しない場合、TCAM リソースの使用効率が低下します。

ルータでのTCAMスペースの動的割り当ては、さまざまなフィルタアプリケーションに利用可能なTCAMリソースを効率的に割り当てます。動的TCAMモデルでは、さまざまなフィルターアプリケーション(inet-firewall、ブリッジファイアウォール、cfmフィルターなど)は、必要に応じて使用可能なTCAMリソースを最適に利用できます。動的TCAMリソース割り当ては使用量主導型であり、必要に応じてフィルターアプリケーションに動的に割り当てられます。フィルター アプリケーションが TCAM スペースを使用しなくなると、リソースは解放され、他のアプリケーションで使用できるようになります。この動的TCAMモデルは、アプリケーションの需要に基づいて、より高いスケールのTCAMリソース使用率に対応します。

動的TCAMインフラストラクチャを使用するアプリケーション

次のフィルター アプリケーション カテゴリは、動的 TCAM インフラストラクチャを使用します。

  • ファイアウォールフィルター - すべてのファイアウォール設定

  • 暗黙的フィルター—ルーティングエンジン(RE)は、フィルターを使用してその機能を実現します。たとえば、接続障害管理、IP MAC検証などです。

  • ダイナミックフィルター - PFEレベルで機能を実現するためにフィルターを使用するアプリケーション。たとえば、論理インターフェイス レベルの固定分類子、RFC 2544 などです。REデーモンはこれらのフィルターについて知りません。

  • System-init フィルター - システム レベルのエントリー、またはルーターのブート シーケンスの固定エントリー セットを必要とするフィルター。例えば、レイヤー2およびレイヤー3制御プロトコルトラップ、デフォルトARPポリサーなどです。

    注:

    レイヤー2およびレイヤー3制御プロトコルトラップ用のアプリケーションを備えたSystem-initフィルターは、システム全体の機能に不可欠です。この制御グループのアプリケーションは、TCAM スペース全体から固定された最小限の TCAM スペースを消費します。system-init フィルターは動的 TCAM インフラストラクチャを使用せず、ブート シーケンス中にルーターが初期化されるときに作成されます。

TCAMリソースを使用する機能

TCAM リソースを使用するアプリケーションは、このドキュメントでは tcam-app と呼ばれます。たとえば、inetファイアウォール、ブリッジファイアウォール、接続障害管理、リンク障害管理などはすべて異なるtcamアプリです。

表 2 は、TCAM リソースを使用する TCAM アプリケーションのリストについて説明します。

表 2: TCAMリソースを使用する機能

TCAM アプリ/TCAM ユーザ

特徴/機能

TCAMステージ

bd-dtag-validate

ブリッジ ドメイン、デュアルタグ付き検証

注:

この機能は、ACX5048およびACX5096ルーターではサポートされていません。

Egress

bd-tpid-swap

スワップtpiド操作によるブリッジドメインvlan-map

Egress

cfm-bd-filter

接続性障害管理暗黙的ブリッジドメインフィルター

イングレス

cfm-filter

接続障害管理暗黙的フィルタ

イングレス

cfm-vpls-filter

接続障害管理暗黙的 VPLS フィルター

注:

この機能は、ACX5048およびACX5096ルーターでのみサポートされます。

イングレス

cfm-vpls-ifl-filter

接続障害管理暗黙的 VPLS 論理インターフェイス フィルター

注:

この機能は、ACX5048およびACX5096ルーターでのみサポートされます。

イングレス

cos-fc

論理インターフェイス レベルの固定分類子

事前入力

fw-ccc-in

回線クロスコネクト ファミリー イングレス ファイアウォール

イングレス

fw-family-out

ファミリーレベルのegressファイアウォール

Egress

fw-fbf

ファイアウォールフィルターベースのフォワーディング

事前入力

fw-fbf-inet6

inet6ファミリー向けファイアウォールフィルターベースフォワーディング

事前入力

fw-ifl-in

論理インターフェイス レベルのイングレス ファイアウォール

イングレス

fw-ifl-out

論理インターフェイス レベルのエグレス ファイアウォール

Egress

fw-inet-ftf

転送テーブル上のInetファミリーイングレスファイアウォール

イングレス

fw-inet6-ftf

転送テーブル上のInet6ファミリーイングレスファイアウォール

イングレス

fw-inet-in

Inetファミリーのイングレスファイアウォール

イングレス

fw-inet-rpf

RPFフェイルチェック上のInetファミリーイングレスファイアウォール

イングレス

fw-inet6-in

Inet6ファミリーのイングレスファイアウォール

イングレス

fw-inet6-family-out

Inet6ファミリーレベルのegressファイアウォール

Egress

fw-inet6-rpf

RPFフェイルチェックでのInet6ファミリーイングレスファイアウォール

イングレス

fw-inet-pm

ポートミラーアクションを備えたInetファミリーファイアウォール

注:

この機能は、ACX5048およびACX5096ルーターではサポートされていません。

イングレス

fw-l2-in

レイヤー2インターフェイス上のブリッジファミリーイングレスファイアウォール

イングレス

fw-mpls-in

MPLSファミリーイングレスファイアウォール

イングレス

fw-semantics

CLIで設定されたファイアウォールのファイアウォール共有セマンティクス

事前入力

fw-vpls-in

VPLSインターフェイス上のVPLSファミリーイングレスファイアウォール

イングレス

ifd-src-mac-fil

物理インターフェイス レベルのソース MAC フィルター

事前入力

ifl-statistics-in

イングレスでの論理レベル インターフェイス統計情報

イングレス

ifl-statistics-out

エグレスでの論理レベル インターフェイスの統計情報

Egress

ing-out-iff

ログとsyslogのエグレスファミリーフィルターに代わってイングレスアプリケーション

イングレス

ip-mac-val

IP MAC 検証

事前入力

ip-mac-val-bcast

ブロードキャストのIP MAC検証

事前入力

ipsec-reverse-fil

IPsecサービスのリバースフィルター

注:

この機能は、ACX5048およびACX5096ルーターではサポートされていません。

イングレス

irb-cos-rw

IRB CoS の書き換え

Egress

lfm-802.3ah-in

ingressでのリンク障害管理(IEEE 802.3ah)

注:

この機能は、ACX5048およびACX5096ルーターではサポートされていません。

イングレス

lfm-802.3ah-out

エグレスでのリンク障害管理(IEEE 802.3ah)

Egress

lo0-inet-fil

ルーバックインターフェースイネットフィルター

イングレス

lo0-inet6-fil

ルーバック インターフェイス inet6 フィルター

イングレス

mac-drop-cnt

MAC 検証および送信元 MAC フィルターによるドロップの統計情報

イングレス

mrouter-port-in

スヌーピング用マルチキャスト ルーター ポート

イングレス

napt-reverse-fil

ネットワーク アドレス ポート変換 (NAPT) サービスの逆引きフィルター

注:

この機能は、ACX5048およびACX5096ルーターではサポートされていません。

イングレス

no-local-switching

ブリッジのローカルスイッチングなし

イングレス

ptpoe

ポイントツーポイントのイーサネットトラップ

注:

この機能は、ACX5048およびACX5096ルーターではサポートされていません。

イングレス

ptpoe-cos-rw

PTPoE 向けの CoS 書き換え

注:

この機能は、ACX5048およびACX5096ルーターではサポートされていません。

Egress

rfc2544-layer2-in

ingressでのレイヤー2サービスRFC2544

事前入力

rfc2544-layer2-out

エグレスでのレイヤー2サービスRFC2544

注:

この機能は、ACX5048およびACX5096ルーターではサポートされていません。

Egress

service-filter-in

イングレス時のサービスフィルター

注:

この機能は、ACX5048およびACX5096ルーターではサポートされていません。

イングレス

TCAMリソース使用状況のモニタリング

show および clear コマンドを使用して、動的 TCAM リソース使用状況をモニタおよびトラブルシューティングできます。

表 3 は、動的TCAMリソース使用状況のモニタリングとトラブルシューティングに使用できるコマンドラインインターフェイス(CLI)コマンドの概要を示しています。

表 3: 動的TCAMを監視およびトラブルシューティングするためのコマンドの表示とクリア

タスク

コマンド

特定のアプリケーションの共有アプリケーションと関連アプリケーションを表示する

PFE TCAMアプリを表示

アプリケーションとステージ(エグレス、イングレス、および事前イングレス)のTCAMリソース使用状況の表示

show pfe tcam 使用法

(ACX5448)show pfe filter hw summary:

アプリケーションおよびステージ(エグレス、イングレス、および事前イングレス)のTCAMリソース使用エラーの表示

show pfe tcam errors

アプリケーションおよびステージ(エグレス、イングレス、および事前イングレス)のTCAMリソース使用エラー統計をクリアします

PFE TCAMエラーのクリア

例:TCAMリソースのモニタリングとトラブルシューティング

このセクションでは、show コマンドを使用して TCAM リソースをモニタおよびトラブルシューティングできるユースケースについて説明します。このユースケースシナリオでは、レイヤー2サービスを設定し、レイヤー2サービス関連アプリケーションがTCAMリソースを使用しています。この例で示すような動的なアプローチにより、必要に応じてTCAMリソースを完全に柔軟に管理できます。

サービス要件は次のとおりです。

  • 各ブリッジ ドメインには、1 つの UNI インターフェイスと 1 つの NNI インターフェイスがあります

  • 各 UNI インターフェイスには次のものがあります。

    • 10 Mbps でトラフィックをポリシングする 1 つの論理インターフェイス レベル ポリサー。

    • 転送クラスと損失優先度を割り当てる4項を持つマルチフィールド分類器。

  • 各 UNI インターフェイスは、レベル 4 で CFM UP MEP を設定します。

  • 各 NNI インターフェイスは、レベル 2 で CFM DOWN MEP を設定します

ルーターに100のサービスが設定されているシナリオを考えてみましょう。このスケールでは、すべてのアプリケーションが正常に構成され、状態が OK 状態を示します。

  1. すべてのステージのTCAMリソース使用状況を表示します。

    すべてのステージ(エグレス、イングレス、および事前イングレス)のTCAMリソース使用状況を表示するには、 show pfe tcam usage all-tcam-stages detail コマンドを使用します。ACX5448ルーターでは、 show pfe filter hw summary コマンドを使用して TCAM リソース usgae を表示します。

  2. ルーターに追加のレイヤー 2 サービスを設定します。

    例えば、ルーターに 20 のサービスを追加して、サービスの総数を 120 に増やします。サービスを追加した後、コマンド show log messagesを使用して syslog メッセージを確認するか、 show pfe tcam errors コマンドを実行することで、設定のステータスを確認できます。

    以下は、 show log messages CLI コマンドを実行した場合の、新しい設定用のイーサネットスイッチング ファミリー フィルターの TCAM リソース不足を示す syslog メッセージ出力例です。

    show pfe tcam errors all-tcam-stages detail CLI コマンドを使用して設定のステータスを確認すると、出力は次のようになります。

    出力は、 fw-l2-in アプリケーションがTCAMリソースを使い果たし、FAILED状態に移行していることを示しています。イングレス段階で使用可能な TCAM スライスは 2 つありますが、 fw-l2-in アプリケーションはモード(DOUBLE)のために使用可能な TCAM スペースを使用できず、リソース不足エラーが発生します。

  3. TCAMリソース不足により障害が発生したアプリケーションの修正

    ルータにサービス数が追加されたために fw-l2-in アプリケーションが失敗し、その結果、TCAM リソースが不足しました。他のアプリケーションは正常に動作しているように見えますが、 fw-l2-in アプリケーションがOK状態に移行するように、新しく追加されたサービスを非アクティブ化または削除することをお勧めします。新しく追加されたサービスを削除または非アクティブ化した後、 show pfe tcam usage コマンドと show pfe tcam error コマンドを実行して、障害状態のアプリケーションがなくなったことを確認する必要があります。

    すべてのステージ(エグレス、イングレス、および事前イングレス)のTCAMリソース使用状況を表示するには、 show pfe tcam usage all-tcam-stages detail コマンドを使用します。ACX5448ルータの場合は、 show pfe filter hw summary コマンドを使用して TCAM リソースの使用状況を表示します。

    すべてのステージ(エグレス、イングレス、および事前イングレス)のTCAMリソース使用エラーを表示するには、 show pfe tcam errors all-tcam-stages コマンドを使用します。

    TCAMリソースを使用するすべてのアプリケーションが OK 状態であり、ハードウェアが正常に設定されたことを示しています。

注:

例に示すように、各ステップで show pfe tcam errors コマンドと show pfe tcam usage コマンドを実行して、設定が有効であること、および TCAM リソースを使用するアプリケーションが OK 状態であることを確認する必要があります。ACX5448ルータの場合は、 show pfe filter hw summary コマンドを使用してTCAMリソースの使用状況を表示します。

ACXシリーズルーターのTCAMリソースの監視とトラブルシューティング

ACXシリーズのTCAM(Ternary Content Addressable Memory)スペースを動的に割り当てることで、さまざまなフィルターアプリケーションに利用可能なTCAMリソースを効率的に割り当てることができます。動的TCAMモデルでは、さまざまなフィルターアプリケーション(inet-firewall、ブリッジファイアウォール、cfmフィルターなど)は、必要に応じて使用可能なTCAMリソースを最適に利用できます。動的TCAMリソース割り当ては使用量主導型であり、必要に応じてフィルターアプリケーションに動的に割り当てられます。フィルター アプリケーションが TCAM スペースを使用しなくなると、リソースは解放され、他のアプリケーションで使用できるようになります。この動的TCAMモデルは、アプリケーションの需要に基づいて、より高いスケールのTCAMリソース使用率に対応します。show および clear コマンドを使用して、ACX シリーズ ルーターの動的 TCAM リソース使用状況を監視およびトラブルシューティングできます。

注:

TCAM リソースを使用するアプリケーションは、このドキュメントでは tcam-app と呼ばれます。

動的三元コンテンツ・アドレス可能メモリーの概要 は、ACXシリーズルーターのTCAMリソースを監視およびトラブルシューティングするためのタスクとコマンドを示しています

表 4: ACXシリーズのTCAMリソースを監視およびトラブルシューティングするコマンド

操作方法

コマンド

特定のアプリケーションの共有アプリケーションと関連アプリケーションを表示します。

show pfe tcam app (list-shared-apps | list-related-apps)

すべての tcam ステージのアプリケーション数を表示します。

show pfe tcam usage all-tcam-stages

指定したステージでTCAMリソースを使用しているアプリケーションの数を表示します。

show pfe tcam usage tcam-stage (ingress | egress | pre-egress)

アプリケーションで使用されるTCAMリソースを詳細に表示します。

show pfe tcam usage app <application-name> detail

指定したステージでアプリケーションによって使用される TCAM リソースを表示します。

show pfe tcam usage tcam-stage (ingress | egress | pre-egress) app <application-name>

TCAMアプリケーションによって消費されたTCAMリソースの数を把握する

show pfe tcam usage app <application-name>

すべてのステージの TCAM リソース使用エラーを表示します。

show pfe tcam errors all-tcam-stages detail

ステージのTCAMリソース使用エラーの表示

show pfe tcam errors tcam-stage (ingress | egress | pre-egress)

アプリケーションの TCAM リソース使用エラーを表示します。

show pfe tcam errors app <application-name>

アプリケーションと他の共有アプリケーションの TCAM リソース使用状況エラーを表示します。

show pfe tcam errors app <application-name> shared-usage

すべてのステージの TCAM リソース使用エラー統計をクリアします。

clear pfe tcam-errors all-tcam-stages

指定されたステージのTCAMリソース使用エラー統計をクリアする

clear pfe tcam-errors tcam-stage (ingress | egress | pre-egress)

アプリケーションの TCAM リソース使用エラー統計をクリアします。

clear pfe tcam-errors app <application-name>

ACXシリーズの動的TCAMの詳細については、「 動的3項コンテンツアドレス可能メモリの概要」を参照してください。

ACX5048およびACX5096ルーターでのサービス拡張

ACX5048およびACX5096ルーターでは、導入される一般的なサービス(ELINE、ELAN、IP VPNなど)には、動的TCAMインフラストラクチャを使用するアプリケーション(ポリサー、ファイアウォールフィルター、接続障害管理IEEE 802.1ag、RFC2544など)が必要になる場合があります。

注:

TCAM リソースを使用するサービス アプリケーションは、TCAM リソースの可用性によって制限されます。したがって、サービスの規模は、このようなアプリケーションによる TCAM リソースの消費に依存します。

ACX5048およびACX5096ルーターでのサービス規模の監視とトラブルシューティングの使用例については、「 動的3元コンテンツアドレス可能メモリの概要 」セクションを参照してください。

論理システム セキュリティ ポリシーでの DNS 名前解決のトラブルシューティング(プライマリ管理者のみ)

問題点

説明

セキュリティポリシーで使用されているアドレス帳エントリー内のホスト名のアドレスが正しく解決されない可能性があります。

原因

通常、動的ホスト名を含むアドレス帳エントリーは、SRXシリーズファイアウォールで自動的に更新されます。DNS エントリに関連付けられた TTL フィールドは、ポリシー キャッシュでエントリを更新するまでの時間を示します。TTL値が期限切れになると、SRXシリーズファイアウォールはアドレス帳エントリーのDNSエントリーを自動的に更新します。

ただし、SRXシリーズファイアウォールがDNSサーバーから応答を取得できない場合(たとえば、DNSリクエストまたは応答パケットがネットワークで失われたり、DNSサーバーが応答を送信できない場合)、アドレス帳エントリ内のホスト名のアドレスが正しく解決されない可能性があります。これにより、セキュリティ ポリシーまたはセッションの一致が見つからないため、トラフィックがドロップする可能性があります。

ソリューション

プライマリ管理者は、 show security dns-cache コマンドを使用して、SRXシリーズファイアウォールのDNSキャッシュ情報を表示できます。DNS キャッシュ情報を更新する必要がある場合、プライマリ管理者は clear security dns-cache コマンドを使用できます。

注:

これらのコマンドは、論理システム用に設定されたデバイスのプライマリ管理者のみが使用できます。このコマンドは、ユーザー論理システムまたは論理システム用に設定されていないデバイスでは使用できません。

関連項目

セキュリティポリシーのトラブルシューティング

ルーティングエンジンとパケット転送エンジン間でのポリシーの同期

問題点

説明

セキュリティ ポリシーは、ルーティング エンジンとパケット転送エンジンに保存されます。セキュリティポリシーは、設定をコミットする際にルーティングエンジンからパケット転送エンジンにプッシュされます。ルーティング エンジンのセキュリティ ポリシーがパケット転送エンジンと同期していない場合、設定のコミットは失敗します。コア ダンプ ファイルは、コミットが繰り返し試行された場合に生成される場合があります。非同期は、次の原因で発生する可能性があります。

  • ルーティング エンジンからパケット転送エンジンへのポリシー メッセージは、転送中に失われます。

  • ルーティング エンジンのエラー(ポリシー UID の再利用など)。

環境

ルーティングエンジンとパケット転送エンジンのポリシーは、コンフィギュレーションをコミットするために同期している必要があります。ただし、特定の状況下では、ルーティング エンジンとパケット転送エンジンのポリシーが同期しなくなり、コミットが失敗することがあります。

症状

ポリシー構成が変更され、ポリシーが同期していない場合、次のエラーメッセージが表示されます。 error: Warning: policy might be out of sync between RE and PFE <SPU-name(s)> Please request security policies check/resync.

ソリューション

セキュリティ ポリシーが同期していない場合は、 show security policies checksum コマンドを使用してセキュリティ ポリシーのチェックサム値を表示し、 request security policies resync コマンドを使用してルーティング エンジンとパケット転送エンジンのセキュリティ ポリシーの設定を同期します。

セキュリティポリシーのコミット失敗の確認

問題点

説明

ほとんどのポリシー構成エラーは、コミットまたは実行時に発生します。

コンフィギュレーション モードで CLI コマンドを実行 commit-check 、コミット失敗は CLI で直接報告されます。これらのエラーは設定エラーであり、これらのエラーを修正せずに設定をコミットすることはできません。

ソリューション

これらのエラーを修正するには、次の手順を実行します。

  1. 構成データを確認します。

  2. /var/log/nsd_chk_only ファイルを開きます。このファイルは、コミット チェックを実行するたびに上書きされ、詳細なエラー情報が含まれています。

セキュリティポリシーコミットの検証

問題点

説明

ポリシー構成のコミットの実行時に、システムの動作が正しくないことに気付いた場合は、次の手順を使用してこの問題のトラブルシューティングを行います。

ソリューション

  1. 動作 show コマンド:セキュリティポリシーの操作コマンドを実行し、出力に表示される情報が期待したものと一致していることを確認します。そうでない場合は、構成を適切に変更する必要があります。

  2. traceoptions - ポリシー設定で traceoptions コマンドを設定します。この階層の下にあるフラグは、 show コマンド出力のユーザー分析に従って選択できます。使用するフラグを決定できない場合は、フラグ オプション all を使用してすべてのトレース ログをキャプチャできます。

また、ログをキャプチャするために、オプションのファイル名を設定することもできます。

trace オプションでファイル名を指定した場合は、/var/log/<filename> でログファイルを検索し、ファイルにエラーが報告されていないかどうかを確認できます。(ファイル名を指定しなかった場合、デフォルトのファイル名がイベントされます。)エラー メッセージには、障害の場所と適切な理由が示されます。

トレース・オプションを設定した後、誤ったシステム動作の原因となった設定変更を再コミットする必要があります。

デバッグ ポリシー ルックアップ

問題点

説明

正しい設定を行っているにもかかわらず、一部のトラフィックが誤ってドロップまたは許可された場合、セキュリティポリシーのtraceoptionsで lookup フラグを有効にできます。lookup フラグは、ルックアップ関連のトレースをトレース ファイルに記録します。

ソリューション

ISSU 関連の問題のトラブルシューティングに使用されるログエラーメッセージ

ISSU のアップグレード中に、次の問題が発生する可能性があります。ログの詳細を使用してエラーを特定できます。特定のシステムログメッセージの詳細については、 システムログエクスプローラを参照してください。

シャーシ プロセス エラー

問題点

説明

シャーシ に関連するエラー。

ソリューション

エラーメッセージを使用して、chassisdに関連する問題を理解します。

ISSU が起動すると、シャーシの観点から ISSU に関連する問題があるかどうかを確認する要求が chassisd に送信されます。問題がある場合は、ログ メッセージが作成されます。

ISSU の一般的なエラー処理について

問題点

説明

ISSUの過程でいくつかの問題が発生する可能性があります。このセクションでは、それらの処理方法について詳しく説明します。

ソリューション

ISSU 中にエラーが発生するとログ メッセージが作成され、ISSU はトラフィックに影響を与えることなく機能し続けます。以前のバージョンに戻す必要がある場合は、シャーシ クラスタの両方のノードで一致しないバージョンが作成されないように、イベントがログに記録されるか、ISSU が停止します。 表 8 では、一般的なエラー状態とその回避策の一部を示します。表 8で使用されるサンプルメッセージは、SRX1500デバイスからのものであり、サポートされているすべてのSRXシリーズファイアウォールにも適用されます。

表 8: ISSU 関連のエラーと解決策

エラー状態

ソリューション

ISSU の前のインスタンスが既に進行中の場合に ISSU の開始を試みる

次のメッセージが表示されます。

warning: ISSU in progress

現在の ISSU プロセスを中止し、 request chassis cluster in-service-upgrade abort コマンドを使用して ISSU を再度開始できます。

セカンダリノードでの再起動失敗

プライマリノードが必要なサービスを提供し続けるため、サービスのダウンタイムは発生しません。既存の ISSU 状態を手動でクリアし、シャーシ クラスタを復元するように要求する詳細なコンソール メッセージが表示されます。

error: [Oct  6 12:30:16]: Reboot secondary node failed (error-code: 4.1)

       error: [Oct  6 12:30:16]: ISSU Aborted! Backup node maybe in inconsistent state, Please restore backup node
       [Oct  6 12:30:16]: ISSU aborted. But, both nodes are in ISSU window.
       Please do the following:
       1. Rollback the node with the newer image using rollback command
          Note: use the 'node' option in the rollback command
          otherwise, images on both nodes will be rolled back
       2. Make sure that both nodes (will) have the same image
       3. Ensure the node with older image is primary for all RGs
       4. Abort ISSU on both nodes
       5. Reboot the rolled back node

セカンダリ ノードがコールド同期を完了できませんでした

セカンダリノードがコールド同期を完了できなかった場合、プライマリノードはタイムアウトします。既存の ISSU 状態を手動でクリアし、シャーシ クラスタを復元することを示す詳細なコンソール メッセージが表示されます。このシナリオでは、サービスのダウンタイムは発生しません。

[Oct  3 14:00:46]: timeout waiting for secondary node node1 to sync(error-code: 6.1)
        Chassis control process started, pid 36707 

       error: [Oct  3 14:00:46]: ISSU Aborted! Backup node has been upgraded, Please restore backup node 
       [Oct  3 14:00:46]: ISSU aborted. But, both nodes are in ISSU window. 
       Please do the following: 
      1. Rollback the node with the newer image using rollback command 
          Note: use the 'node' option in the rollback command 
          otherwise, images on both nodes will be rolled back 
      2. Make sure that both nodes (will) have the same image 
      3. Ensure the node with older image is primary for all RGs 
      4. Abort ISSU on both nodes 
      5. Reboot the rolled back node

新しくアップグレードされたセカンダリのフェイルオーバーに失敗しました

プライマリノードが必要なサービスを提供し続けるため、サービスのダウンタイムは発生しません。既存の ISSU 状態を手動でクリアし、シャーシ クラスタを復元するように要求する詳細なコンソール メッセージが表示されます。

[Aug 27 15:28:17]: Secondary node0 ready for failover.
[Aug 27 15:28:17]: Failing over all redundancy-groups to node0
ISSU: Preparing for Switchover
error: remote rg1 priority zero, abort failover.
[Aug 27 15:28:17]: failover all RGs to node node0 failed (error-code: 7.1)
error: [Aug 27 15:28:17]: ISSU Aborted!
[Aug 27 15:28:17]: ISSU aborted. But, both nodes are in ISSU window.
Please do the following:
1. Rollback the node with the newer image using rollback command
    Note: use the 'node' option in the rollback command
           otherwise, images on both nodes will be rolled back
2. Make sure that both nodes (will) have the same image
3. Ensure the node with older image is primary for all RGs
4. Abort ISSU on both nodes
5. Reboot the rolled back node
{primary:node1}

プライマリでのアップグレードの失敗

セカンダリノードはプライマリとしてフェイルオーバーし、必要なサービスを提供し続けるため、サービスのダウンタイムは発生しません。

プライマリノードでの再起動の失敗

プライマリノードの再起動前は、デバイスがISSUセットアップから外れているため、ISSU関連のエラーメッセージは表示されません。その他の障害が検出されると、次の再起動エラーメッセージが表示されます。

Reboot failure on     Before the reboot of primary node, devices will be out of ISSU setup and no primary node error messages will be displayed.
Primary node

ISSU サポート関連のエラー

問題点

説明

サポートされていないソフトウェアとサポートされていない機能構成が原因で、インストールの失敗が発生します。

ソリューション

次のエラー メッセージを使用して、互換性関連の問題を理解します。

初期検証チェックの失敗

問題点

説明

最初の検証チェックは失敗します。

ソリューション

イメージが存在しない場合、またはイメージ ファイルが破損している場合、検証チェックは失敗します。イメージが存在せず、ISSU が中止されたときに初期検証チェックが失敗すると、次のエラー メッセージが表示されます。

画像が存在しない場合

画像ファイルが破損している場合

イメージ ファイルが破損している場合は、次の出力が表示されます。

プライマリノードはデバイス設定を検証し、新しいソフトウェアバージョンを使用してコミットできることを確認します。何か問題が発生した場合、ISSU は中止され、エラー メッセージが表示されます。

インストール関連のエラー

問題点

説明

インストール・イメージ・ファイルが存在しないか、リモート・サイトにアクセスできません。

ソリューション

以下のエラー・メッセージを使用して、インストール関連の問題を理解してください。

ISSU は、ISSU コマンドで指定されたインストール イメージを引数としてダウンロードします。イメージ・ファイルは、ローカル・ファイルでもリモート・サイトでもかまいません。ファイルが存在しない場合、またはリモート・サイトにアクセスできない場合は、エラーが報告されます。

冗長グループのフェイルオーバーエラー

問題点

説明

自動冗長グループ(RG)の障害で問題が発生しました。

ソリューション

以下のエラー・メッセージを使用して、問題を理解してください。

カーネル状態の同期エラー

問題点

説明

ksyncd に関連するエラー。

ソリューション

ksyncd に関連する問題を理解するには、以下のエラー・メッセージを使用してください。

ISSU は、セカンダリノード(ノード 1)に ksyncd エラーがあるかどうかを確認し、問題がある場合はエラーメッセージを表示してアップグレードを中止します。

変更履歴

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。

リリース
説明
17.4R1
Junos OS リリース 17.4R1 以降、ISSU プロセス中のセカンダリ ノードの初期再起動の保留タイマーは、SRX1500、SRX4100、SRX4200、および SRX4600 デバイスのシャーシ クラスタで 15 分(900 秒)から 45 分(2700 秒)に延長されました。