Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

セキュリティ デバイスのトラブルシューティング

論理システム セキュリティ ポリシーにおける DNS 名解決のトラブルシューティング(プライマリ管理者のみ)

問題

説明

セキュリティー ポリシーで使用されているアドレス帳エントリー内のホスト名のアドレスが正しく解決されない場合があります。

原因

通常、SRX シリーズ デバイスで動的ホスト名を含むアドレス帳エントリーは自動的に更新されます。DNS エントリーに関連付けられた TTL フィールドは、ポリシー キャッシュでエントリを更新する時間を示します。TTL 値が期限切れになると、SRX シリーズ デバイスはアドレス帳エントリーの DNS エントリーを自動的に更新します。

ただし、SRXシリーズデバイスがDNSサーバーから応答を取得できない場合(例えば、ネットワークでDNSリクエストや応答パケットが失われたり、DNSサーバーが応答を送信できない場合)、アドレス帳エントリー内のホスト名のアドレスが正しく解決されない場合があります。これにより、セキュリティポリシーやセッションの一致が見つからない場合、トラフィックがドロップする可能性があります。

ソリューション

プライマリ管理者は、 コマンドを show security dns-cache 使用して、SRXシリーズデバイス上のDNSキャッシュ情報を表示できます。DNS キャッシュ情報を更新する必要がある場合は、プライマリ管理者が コマンドを clear security dns-cache 使用できます。

注:

これらのコマンドは、論理システム用に設定されたデバイス上のプライマリ管理者のみが使用できます。このコマンドは、ユーザー論理システムや論理システム用に設定されていないデバイスでは使用できません。

セキュリティ ポリシーのトラブルシューティング

ルーティング エンジンとパケット転送エンジン間のポリシーの同期

問題

説明

セキュリティポリシーは、ルーティングエンジンとパケット転送エンジンに保存されます。設定をコミットすると、セキュリティポリシーがルーティングエンジンからパケット転送エンジンにプッシュされます。ルーティング エンジンのセキュリティ ポリシーがパケット転送エンジンと同期していない場合、設定のコミットは失敗します。コミットを繰り返し試すと、コア ダンプ ファイルが生成される場合があります。同期が切れている原因は次のとおりです。

  • ルーティング エンジンからパケット転送エンジンへのポリシー メッセージは、送信中に失われます。

  • 再利用されたポリシー UID など、ルーティング エンジンに関するエラー。

環境

設定をコミットするには、ルーティング エンジンとパケット転送エンジンのポリシーが同期している必要があります。ただし、特定の状況では、ルーティング エンジンとパケット転送エンジンのポリシーが同期していない可能性があり、その場合、コミットが失敗します。

症状

ポリシー設定が変更され、ポリシーが同期していない場合、次のエラーメッセージが表示されます- error: Warning: policy might be out of sync between RE and PFE <SPU-name(s)> Please request security policies check/resync.

ソリューション

コマンドを show security policies checksum 使用してセキュリティ ポリシーのチェックサム値を表示し、 コマンドを request security policies resync 使用して、セキュリティ ポリシーが同期していない場合、ルーティング エンジンとパケット転送エンジン内のセキュリティ ポリシーの設定を同期します。

セキュリティ ポリシーのコミット失敗の確認

問題

説明

ほとんどのポリシー設定エラーは、コミットまたは実行時に発生します。

設定モードで CLI コマンド commit-check を実行すると、コミット失敗が CLI で直接報告されます。これらのエラーは設定エラーであり、これらのエラーを修正せずに設定をコミットすることはできません。

ソリューション

これらのエラーを修正するには、次の手順に従います。

  1. 設定データを確認します。

  2. ファイル/var/log/nsd_chk_onlyを開きます。このファイルは、コミット チェックを実行するたびに上書きされ、詳細な障害情報が含まれます。

セキュリティ ポリシーコミットの検証

問題

説明

ポリシー設定コミットを実行した後、システムの動作が正しくあることに気付いた場合は、次の手順を使用してこの問題をトラブルシューティングします。

ソリューション

  1. 運用 show コマンド—セキュリティポリシーの運用コマンドを実行し、出力に表示される情報が期待した内容と一致していることを確認します。そうでない場合は、構成を適切に変更する必要があります。

  2. Traceoptions —ポリシー設定で コマンドを設定 traceoptions します。この階層の下のフラグは、コマンド出力の show ユーザー分析に従って選択できます。どのフラグを使用するかを決定できない場合、 フラグ・オプション all を使用してすべてのトレース・ログをキャプチャーすることができます。

また、ログをキャプチャするオプションのファイル名を設定することもできます。

トレース オプションでファイル名を指定した場合、ログ ファイルの /var/log/<filename>を参照して、ファイルにエラーが報告されたかどうかを確認できます。(ファイル名を指定しなかった場合、デフォルトのファイル名は eventd です。エラーメッセージは、障害の発生場所と適切な理由を示しています。

トレース オプションを設定した後、不正なシステム動作の原因となった設定変更を再度コミットする必要があります。

デバッグ ポリシー のルックアップ

問題

説明

正しい設定が、トラフィックの一部が正しくドロップまたは許可されていない場合は、セキュリティ ポリシーの traceoptions で フラグを有効に lookup できます。フラグは、 lookup トレース ファイル内の検索に関連するトレースを記録します。

ソリューション

ISSU 関連の問題のトラブルシューティングに使用されるエラー メッセージのログ

ISSU のアップグレード中に、以下の問題が発生する可能性があります。ログの詳細を使用してエラーを特定できます。特定のシステムログメッセージの詳細については、 システムログエクスプローラを参照してください。

シャーシプロセスエラー

問題

説明

シャーシに関連するエラー。

ソリューション

エラーメッセージを使用して、シャーシに関連する問題を理解します。

ISSU が起動すると、シャーシの観点から ISSU に関連する問題があるかどうかをチェックする要求がシャーシに送信されます。問題が発生した場合は、ログ メッセージが作成されます。

ISSU の一般的なエラー処理について

問題

説明

ISSU の過程で、いくつかの問題が発生する可能性があります。このセクションでは、その処理方法について詳しく説明します。

ソリューション

ISSU 中に発生したエラーはすべてログ メッセージを作成する結果になり、ISSU はトラフィックに影響を与えることなく引き続き機能します。以前のバージョンへの復元が必要な場合は、シャーシ クラスタの両方のノードで不一致のバージョンを作成しないように、イベントがログに記録されるか、ISSU が停止します。 表 4 は、一般的なエラー状態とその回避策を示しています。で 表 4 使用されるサンプルメッセージは、SRX1500デバイスからのものであり、サポートされるすべてのSRXシリーズデバイスにも適用されます。

表 4: ISSU関連のエラーとソリューション

エラー状態

ソリューション

ISSU の以前のインスタンスが既に進行中の場合に ISSU の開始を試みる

以下のメッセージが表示されます。

warning: ISSU in progress

現在の ISSU プロセスを中止し、 コマンドを使用して request chassis cluster in-service-upgrade abort ISSU を再度開始できます。

セカンダリ ノードでの再起動失敗

プライマリ ノードが引き続き必要なサービスを提供するため、サービス ダウンタイムは発生しません。既存の ISSU 状態を手動でクリアし、シャーシ クラスターを復元することを要求する詳細なコンソール メッセージが表示されます。

error: [Oct  6 12:30:16]: Reboot secondary node failed (error-code: 4.1)

       error: [Oct  6 12:30:16]: ISSU Aborted! Backup node maybe in inconsistent state, Please restore backup node
       [Oct  6 12:30:16]: ISSU aborted. But, both nodes are in ISSU window.
       Please do the following:
       1. Rollback the node with the newer image using rollback command
          Note: use the 'node' option in the rollback command
          otherwise, images on both nodes will be rolled back
       2. Make sure that both nodes (will) have the same image
       3. Ensure the node with older image is primary for all RGs
       4. Abort ISSU on both nodes
       5. Reboot the rolled back node

Junos OS リリース 17.4R1 以降、ISSU プロセス中のセカンダリ ノードの最初の再起動用のホールド タイマーが、SRX1500、SRX4100、SRX4200、SRX4600 デバイスのシャーシ クラスターで 15 分(900 秒)から 45 分(2700 秒)に延長されます。

セカンダリ ノードがコールド同期を完了できなかった

セカンダリ ノードがコールド同期を完了できない場合、プライマリ ノードはタイムアウトします。既存の ISSU 状態を手動でクリアし、シャーシ クラスターを復元する詳細なコンソール メッセージが表示されます。このシナリオでは、サービスダウンタイムは発生しません。

[Oct  3 14:00:46]: timeout waiting for secondary node node1 to sync(error-code: 6.1)
        Chassis control process started, pid 36707 

       error: [Oct  3 14:00:46]: ISSU Aborted! Backup node has been upgraded, Please restore backup node 
       [Oct  3 14:00:46]: ISSU aborted. But, both nodes are in ISSU window. 
       Please do the following: 
      1. Rollback the node with the newer image using rollback command 
          Note: use the 'node' option in the rollback command 
          otherwise, images on both nodes will be rolled back 
      2. Make sure that both nodes (will) have the same image 
      3. Ensure the node with older image is primary for all RGs 
      4. Abort ISSU on both nodes 
      5. Reboot the rolled back node  

新しくアップグレードされたセカンダリのフェイルオーバーに失敗しました

プライマリ ノードが引き続き必要なサービスを提供するため、サービス ダウンタイムは発生しません。既存の ISSU 状態を手動でクリアし、シャーシ クラスターを復元することを要求する詳細なコンソール メッセージが表示されます。

[Aug 27 15:28:17]: Secondary node0 ready for failover.
[Aug 27 15:28:17]: Failing over all redundancy-groups to node0
ISSU: Preparing for Switchover
error: remote rg1 priority zero, abort failover.
[Aug 27 15:28:17]: failover all RGs to node node0 failed (error-code: 7.1)
error: [Aug 27 15:28:17]: ISSU Aborted!
[Aug 27 15:28:17]: ISSU aborted. But, both nodes are in ISSU window.
Please do the following:
1. Rollback the node with the newer image using rollback command
    Note: use the 'node' option in the rollback command
           otherwise, images on both nodes will be rolled back
2. Make sure that both nodes (will) have the same image
3. Ensure the node with older image is primary for all RGs
4. Abort ISSU on both nodes
5. Reboot the rolled back node
{primary:node1}

プライマリのアップグレード失敗

セカンダリ ノードがプライマリとしてフェールオーバーし、必要なサービスを継続的に提供するため、サービス ダウンタイムは発生しません。

プライマリ ノードでの再起動失敗

プライマリ ノードの再起動前に、ISSU セットアップから外れているデバイスでは、ISSU 関連のエラー メッセージは表示されません。他の障害が検出された場合、以下の再起動エラー メッセージが表示されます。

Reboot failure on     Before the reboot of primary node, devices will be out of ISSU setup and no primary node error messages will be displayed.
Primary node

ISSU サポート関連のエラー

問題

説明

サポートされていないソフトウェアとサポートされていない機能設定により、インストールエラーが発生します。

ソリューション

互換性関連の問題を理解するには、次のエラー メッセージを使用します。

初期検証チェックの失敗

問題

説明

最初の検証チェックは失敗します。

ソリューション

検証チェックは、イメージが存在しない場合、またはイメージ ファイルが破損している場合に失敗します。イメージが存在せず、ISSU が中止された場合、初期検証チェックが失敗すると、以下のエラー メッセージが表示されます。

画像が存在しない場合

画像ファイルが破損している場合

イメージファイルが破損している場合、次の出力が表示されます。

プライマリ ノードは、デバイス設定を検証して、新しいソフトウェア バージョンを使用してコミットできることを確認します。何か問題が発生した場合は、ISSU の打ち切りとエラー メッセージが表示されます。

インストールに関連するエラー

問題

説明

インストール・イメージ・ファイルが存在しないか、リモート・サイトにアクセスできない。

ソリューション

次のエラー メッセージを使用して、インストールに関連する問題を理解します。

ISSU は、ISSU コマンドで指定されたインストール イメージを引数としてダウンロードします。イメージ・ファイルは、ローカル・ファイルでも、リモート・サイトに配置することもできます。ファイルが存在しないか、リモート・サイトにアクセスできない場合は、エラーが報告されます。

冗長性グループのフェイルオーバーエラー

問題

説明

自動冗長グループ(RG)に障害が発生した場合の問題。

ソリューション

次のエラー メッセージを使用して、問題を理解します。

カーネル状態同期エラー

問題

説明

ksyncd に関連するエラー。

ソリューション

ksyncd に関連する問題を理解するには、以下のエラー メッセージを使用します。

ISSU は、セカンダリ ノード(ノード 1)に ksyncd エラーがあるかどうかをチェックし、問題があり、アップグレードを中止した場合にエラー メッセージを表示します。

リリース履歴テーブル
リリース
説明
17.4R1
Junos OS リリース 17.4R1 以降、ISSU プロセス中のセカンダリ ノードの最初の再起動用のホールド タイマーが、SRX1500、SRX4100、SRX4200、SRX4600 デバイスのシャーシ クラスターで 15 分(900 秒)から 45 分(2700 秒)に延長されます。