セキュリティ デバイスのトラブルシューティング

問題

ソリューション

スケジューラ マップをマルチリンク バンドルとその構成要素リンクに適用できます。スケジューラ マップを使用して複数の CoS コンポーネントを適用することはできますが、必要な CoS コンポーネントのみを設定します。送信に不必要な遅延を避けるために、構成要素リンクの設定をシンプルにしておくことをお勧めします。

表 1 は、マルチリンクバンドルとその構成要素リンクに適用されるCoSコンポーネントを示しています。

問題

ソリューション

ジッターと遅延を減らすには、以下のことを行います。

1. 各構成要素リンクにシェーピング レートが設定されていることを確認します。

2. リンクサービスインターフェイスにシェーピングレートが設定されていないことを確認します。

3. 設定されたシェーピングレート値が物理インターフェイスの帯域幅と等しいことを確認します。

4. シェーピング レートが正しく設定されていても、ジッターが継続する場合は、ジュニパーネットワークス技術支援センター(JTAC)にお問い合わせください。

問題

ソリューション

LFI が有効になっている場合、データ(非 LFI)パケットは MLPPP ヘッダーでカプセル化され、指定されたサイズのパケットにフラグメント化されます。遅延の影響を受けやすい音声(LFI)パケットは、PPP カプセル化され、データ パケット フラグメント間でインターリーブされます。キューイングとロードバランシングは、LFIパケットと非LFIパケットで異なる方法で実行されます。

LFI が正しく実行されていることを確認するには、パケットがフラグメント化され、構成どおりにカプセル化されていることを確認します。パケットが LFI パケットまたは非 LFI パケットとして扱われるかどうかを確認した後、ロード バランシングが正しく実行されているかどうかを確認できます。

Solution Scenario—ジュニパーネットワークスのデバイス R0 と R1 の 2 つが、2 つのシリアル リンクと を集約するマルチリンク se-1/0/0 バンドルlsq-0/0/0.0によって接続されたとse-1/0/1します。R0 および R1 では、リンク サービス インターフェイスで MLPPP と LFI が有効になり、フラグメント化しきい値が 128 バイトに設定されています。

この例では、パケット ジェネレータを使用して音声とデータ ストリームを生成しました。パケット キャプチャ機能を使用して、受信インターフェイス上のパケットをキャプチャおよび分析できます。

マルチリンクバンドルには、以下の2つのデータストリームが送信されました。

• 200 バイトの 100 個のデータ パケット(フラグメント化しきい値を超える)

• 60 バイトの 500 個のデータ パケット(フラグメント化しきい値よりも小さい)

マルチリンク バンドルには、以下の 2 つの音声ストリームが送信されました。

• 送信元ポート 100 から 200 バイトの 100 音声パケット

• 送信元ポート 200 から 200 バイトの 300 個の音声パケット

LFI とロード バランシングが正しく実行されていることを確認するには、

1. パケットのフラグメント化を検証します。動作モードから、 コマンドを show interfaces lsq-0/0/0 入力して、大きなパケットが正しくフラグメント化されていることを確認します。

   Meaning—出力は、マルチリンクバンドル上でデバイスを通過するパケットの概要を示しています。マルチリンクバンドルで以下の情報を確認します。

   • 転送パケットの総数 = 1000

   • トランジット フラグメントの総数=1100

   • フラグメント化されたデータ パケットの数 =100

   マルチリンクバンドルで送信されたパケットの総数(600 + 400)は、パケットがドロップしなかったことを示す通過パケット数(1000)と一致します。

   トランジット フラグメントの数はトランジット パケットの数を 100 個超え、100 個の大規模なデータ パケットが正しくフラグメント化されていることを示しています。

   Corrective Actionパケットが正しくフラグメント化されていない場合は、フラグメント化しきい値の設定を確認します。指定されたフラグメント化しきい値より小さいパケットは、フラグメント化されません。

2. パケットカプセル化を検証します。パケットがLFIパケットまたは非LFIパケットとして扱われるかどうかを確認するには、そのカプセル化タイプを決定します。LFI パケットは PPP カプセル化され、非 LFI パケットは PPP と MLPPP の両方でカプセル化されます。PPPおよびMLPPPカプセル化はオーバーヘッドが異なっており、パケットのサイズが異なります。パケットサイズを比較して、カプセル化タイプを決定できます。

   小さなフラグメント化されていないデータ パケットには、PPP ヘッダーと単一の MLPPP ヘッダーが含まれています。大規模なフラグメント データ パケットでは、最初のフラグメントには PPP ヘッダーと MLPPP ヘッダーが含まれますが、連続するフラグメントには MLPPP ヘッダーのみが含まれています。

   PPPおよびMLPPPカプセル化は、パケットに以下のバイト数を追加します。

   • PPP カプセル化により、7 バイトが追加されます。

     4 バイトのヘッダー+2 バイトの FCS(フレーム チェック シーケンス)+1 バイト(アイドル状態またはフラグを含む)

   • MLPPPカプセル化は、6~8バイトの間に追加されます。

     PPPヘッダー+4バイト+マルチリンクヘッダー2~4バイト

   図 1 は、PPP および MLPPP ヘッダーに追加されるオーバーヘッドを示しています。

   図 1: PPP および MLPPP ヘッダー

   CRTP パケットの場合、カプセル化オーバーヘッドとパケット サイズは LFI パケットよりもさらに小さくなります。詳細については、 例: 圧縮リアルタイムトランスポートプロトコルを設定する。

   表 2 は、データパケットと各70バイトの音声パケットのカプセル化オーバーヘッドを示しています。カプセル化後、データパケットのサイズは音声パケットのサイズよりも大きくなります。

   表 2: PPPおよびMLPPPカプセル化オーバーヘッド

   パケット タイプ	カプセル 化	初期パケット サイズ	カプセル化オーバーヘッド	カプセル化後のパケット サイズ
   音声パケット(LFI)	Ppp	70 バイト	4 + 2 + 1 = 7 バイト	77 バイト
   短いシーケンスを持つデータ フラグメント(非 LFI)	MLPPP	70 バイト	4 + 2 + 1 + 4 + 2 = 13 バイト	83 バイト
   長いシーケンスを持つデータ フラグメント(非 LFI)	MLPPP	70 バイト	4 + 2 + 1 + 4 + 4 = 15 バイト	85 バイト

   動作モードから、 コマンドを show interfaces queue 入力して、各キューで送信されたパケットのサイズを表示します。パケット数で送信されるバイト数を分割して、パケットのサイズを取得し、カプセル化タイプを決定します。

3. ロードバランシングを検証します。動作モードから、マルチリンクバンドルとその構成要素リンクに コマンドを入力 show interfaces queue し、パケットに対してそれに応じてロードバランシングが実行されるかどうかを確認します。

   Meaningこれらのコマンドからの出力は、リンク サービス インターフェイスとその構成要素リンクの各キューで送信およびキューイングされたパケットを示しています。 表 3 は、これらの値の概要を示しています。(送信されるパケットの数が、すべてのリンク上のキューに入ったパケットの数と等しいため、この表にはキューに入れたパケットのみが表示されます)。

   表 3: - キューで送信されたパケット数

   キューイングされたパケット	バンドル lsq-0/0/0.0	構成要素リンク se-1/0/0	構成要素リンク se-1/0/1	説明
   Q0 のパケット	600	350	350	構成要素リンクを通過するパケットの総数(350+350 = 700)が、マルチリンクバンドル上のキューイングされたパケット数(600)を超えました。
   第 2 四半期のパケット	400	100	300	構成要素リンクを通過するパケットの総数は、バンドル上のパケット数と同じでした。
   第 3 四半期のパケット	0	19	18	構成要素リンクの第 3 四半期に送信されるパケットは、構成要素リンク間で交換されるキープアライブ メッセージ用です。そのため、バンドルの第 3 四半期にはパケットがカウントされませんでした。

   マルチリンクバンドルで、以下を確認します。

   • キューイングされたパケットの数は、送信された数と一致します。数字が一致する場合、パケットはドロップされませんでした。送信されたパケットよりも多くのパケットがキューに入っていた場合、バッファが小さすぎるため、パケットがドロップされました。構成要素リンクのバッファー サイズは、出力段階での輻輳を制御します。この問題を修正するには、構成要素リンクのバッファー サイズを大きくします。

   • Q0(600)を通過するパケット数は、マルチリンクバンドルで受信した大小データパケット(100+500)の数と一致します。数字が一致する場合、すべてのデータ パケットが Q0 を正しく通過しました。

   • マルチリンクバンドル(400)でQ2を通過するパケット数は、マルチリンクバンドルで受信した音声パケットの数と一致します。数字が一致する場合、すべての音声 LFI パケットが Q2 を正しく通過しました。

   構成要素リンクで、以下を確認します。

   • Q0(350+350)を通過するパケットの総数は、データパケットとデータフラグメントの数(500+200)と一致します。数字が一致する場合、フラグメント化後のすべてのデータ パケットが構成要素リンクの Q0 を正しく通過しました。

     パケットは両方の構成要素リンクを通過し、非 LFI パケットでロード バランシングが正しく実行されたことを示しました。

   • 構成要素リンクで Q2(300+100)を通過するパケットの総数は、マルチリンク バンドルで受信した音声パケットの数(400)と一致します。数字が一致する場合、すべての音声 LFI パケットが Q2 を正しく通過しました。

     送信されたse-1/0/0送信元ポートからの LFI パケット、および送信元ポート100200から送信された se-1/0/1LFI パケット。したがって、すべての LFI(Q2)パケットは、送信元ポートに基づいてハッシュされ、両方の構成要素リンクを正しく通過しました。

   Corrective Action—パケットが 1 つのリンクのみを通過した場合、次の手順を実行して問題を解決します。

   1. 物理リンクが up (動作中)か down (利用不可)かを判断します。利用できないリンクは、PIM、インターフェイス ポート、または物理接続の問題(リンクレイヤー エラー)を示します。リンクが機能している場合は、次のステップに進みます。

   2. 分類子が非 LFI パケットに対して正しく定義されていることを確認します。非 LFI パケットが Q2 にキューイングされるように設定されていないことを確認します。Q2 にキューイングされたすべてのパケットは、LFI パケットとして扱われます。

   3. LFI パケットで、以下の値の少なくとも 1 つが異なっていることを確認します。送信元アドレス、宛先アドレス、IP プロトコル、送信元ポート、または宛先ポート。すべての LFI パケットに同じ値が設定されている場合、パケットはすべて同じフローにハッシュされ、同じリンクを転送します。

4. 結果を使用してロード バランシングを検証します。

問題

ソリューション

サードパーティー製デバイスがジュニパーネットワークス デバイスと同じ FRF.12 をサポートしていない場合、または別の方法で FRF.12 をサポートしている場合、PVC 上のジュニパーネットワークスのデバイス インターフェイスは、FRF.12 ヘッダーを含むフラグメント パケットを破棄し、「ポリシングされた破棄」としてカウントする可能性があります。

回避策として、両方のピアでマルチリンクバンドルを設定し、マルチリンクバンドルにフラグメント化しきい値を設定します。

問題

• 説明
• 環境
• 症状

ソリューション

コマンドを show security policies checksum 使用してセキュリティ ポリシーのチェックサム値を表示し、 コマンドを request security policies resync 使用して、セキュリティ ポリシーが同期していない場合、ルーティング エンジンとパケット転送エンジン内のセキュリティ ポリシーの設定を同期します。

問題

ソリューション

これらのエラーを修正するには、次の手順に従います。

1. 設定データを確認します。

2. ファイル/var/log/nsd_chk_onlyを開きます。このファイルは、コミット チェックを実行するたびに上書きされ、詳細な障害情報が含まれます。

問題

ソリューション

1. 運用 show コマンド—セキュリティポリシーの運用コマンドを実行し、出力に表示される情報が期待した内容と一致していることを確認します。そうでない場合は、構成を適切に変更する必要があります。

2. Traceoptions —ポリシー設定で コマンドを設定 traceoptions します。この階層の下のフラグは、コマンド出力の show ユーザー分析に従って選択できます。どのフラグを使用するかを決定できない場合、 フラグ・オプション all を使用してすべてのトレース・ログをキャプチャーすることができます。

また、ログをキャプチャするオプションのファイル名を設定することもできます。

トレース オプションでファイル名を指定した場合、ログ ファイルの /var/log/<filename>を参照して、ファイルにエラーが報告されたかどうかを確認できます。(ファイル名を指定しなかった場合、デフォルトのファイル名は eventd です。エラーメッセージは、障害の発生場所と適切な理由を示しています。

トレース オプションを設定した後、不正なシステム動作の原因となった設定変更を再度コミットする必要があります。

問題

ソリューション

問題

ソリューション

エラーメッセージを使用して、シャーシに関連する問題を理解します。

ISSU が起動すると、シャーシの観点から ISSU に関連する問題があるかどうかをチェックする要求がシャーシに送信されます。問題が発生した場合は、ログ メッセージが作成されます。

問題

ソリューション

ISSU 中に発生したエラーはすべてログ メッセージを作成する結果になり、ISSU はトラフィックに影響を与えることなく引き続き機能します。以前のバージョンへの復元が必要な場合は、シャーシ クラスタの両方のノードで不一致のバージョンを作成しないように、イベントがログに記録されるか、ISSU が停止します。 表 4 は、一般的なエラー状態とその回避策を示しています。で 表 4 使用されるサンプルメッセージは、SRX1500デバイスからのものであり、サポートされるすべてのSRXシリーズデバイスにも適用されます。

error: [Oct  6 12:30:16]: Reboot secondary node failed (error-code: 4.1)

       error: [Oct  6 12:30:16]: ISSU Aborted! Backup node maybe in inconsistent state, Please restore backup node
       [Oct  6 12:30:16]: ISSU aborted. But, both nodes are in ISSU window.
       Please do the following:
       1. Rollback the node with the newer image using rollback command
          Note: use the 'node' option in the rollback command
          otherwise, images on both nodes will be rolled back
       2. Make sure that both nodes (will) have the same image
       3. Ensure the node with older image is primary for all RGs
       4. Abort ISSU on both nodes
       5. Reboot the rolled back node

[Oct  3 14:00:46]: timeout waiting for secondary node node1 to sync(error-code: 6.1)
        Chassis control process started, pid 36707 

       error: [Oct  3 14:00:46]: ISSU Aborted! Backup node has been upgraded, Please restore backup node 
       [Oct  3 14:00:46]: ISSU aborted. But, both nodes are in ISSU window. 
       Please do the following: 
      1. Rollback the node with the newer image using rollback command 
          Note: use the 'node' option in the rollback command 
          otherwise, images on both nodes will be rolled back 
      2. Make sure that both nodes (will) have the same image 
      3. Ensure the node with older image is primary for all RGs 
      4. Abort ISSU on both nodes 
      5. Reboot the rolled back node  

[Aug 27 15:28:17]: Secondary node0 ready for failover.
[Aug 27 15:28:17]: Failing over all redundancy-groups to node0
ISSU: Preparing for Switchover
error: remote rg1 priority zero, abort failover.
[Aug 27 15:28:17]: failover all RGs to node node0 failed (error-code: 7.1)
error: [Aug 27 15:28:17]: ISSU Aborted!
[Aug 27 15:28:17]: ISSU aborted. But, both nodes are in ISSU window.
Please do the following:
1. Rollback the node with the newer image using rollback command
    Note: use the 'node' option in the rollback command
           otherwise, images on both nodes will be rolled back
2. Make sure that both nodes (will) have the same image
3. Ensure the node with older image is primary for all RGs
4. Abort ISSU on both nodes
5. Reboot the rolled back node
{primary:node1}

Reboot failure on     Before the reboot of primary node, devices will be out of ISSU setup and no primary node error messages will be displayed.
Primary node

問題

ソリューション

互換性関連の問題を理解するには、次のエラー メッセージを使用します。

問題

ソリューション

検証チェックは、イメージが存在しない場合、またはイメージ ファイルが破損している場合に失敗します。イメージが存在せず、ISSU が中止された場合、初期検証チェックが失敗すると、以下のエラー メッセージが表示されます。

画像が存在しない場合

画像ファイルが破損している場合

イメージファイルが破損している場合、次の出力が表示されます。

プライマリ ノードは、デバイス設定を検証して、新しいソフトウェア バージョンを使用してコミットできることを確認します。何か問題が発生した場合は、ISSU の打ち切りとエラー メッセージが表示されます。

問題

ソリューション

次のエラー メッセージを使用して、インストールに関連する問題を理解します。

ISSU は、ISSU コマンドで指定されたインストール イメージを引数としてダウンロードします。イメージ・ファイルは、ローカル・ファイルでも、リモート・サイトに配置することもできます。ファイルが存在しないか、リモート・サイトにアクセスできない場合は、エラーが報告されます。

問題

ソリューション

次のエラー メッセージを使用して、問題を理解します。

問題

ソリューション

ksyncd に関連する問題を理解するには、以下のエラー メッセージを使用します。

ISSU は、セカンダリ ノード(ノード 1)に ksyncd エラーがあるかどうかをチェックし、問題があり、アップグレードを中止した場合にエラー メッセージを表示します。