Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

切断されたSRXシリーズファイアウォールのトラブルシューティング

切断のトラブルシューティングを行い、パケットキャプチャ(PCAP)を取得して、さらなるインサイトを得ることができます。

切断と表示されるSRXシリーズファイアウォールのトラブルシューティング

ジュニパーMist™ポータルに、ジュニパーネットワークス®のSRXシリーズファイアウォールがオンラインでローカルから到達可能なときに切断と表示されている場合は、このトピックに記載されている手順を使用して問題をトラブルシューティングできます。トラブルシューティング手順を実行するには、ファイアウォールへのコンソールアクセスまたはSSHアクセスが必要です。

  1. サポートされているJunos OSバージョンでSRXシリーズファイアウォールが実行されているかどうかを確認します。

    WAN Assuranceでは、SRX300、SRX320、SRX340、SRX345、SRX380、SRX550M、SRX1500 Junos OSバージョン19.4以降が必要です。SRX1600、SRX2300、およびSRX4300では、デバイスはリリース24.2R1.17以降Junos OS実行する必要があります。SRX4700には、24.4R1-S2以降のJunos OSバージョンが必要です。

    show version CLIコマンドを使用して、バージョンを確認できます。

  2. SRXシリーズファイアウォールに有効なIPアドレスがあるかどうかを確認します。

    show interfaces terseコマンドを使用します。

    IPアドレスを持つIRB(統合型ルーティングおよびブリッジング)インターフェイス(irb.0)が表示されます。SRXシリーズモデルによっては(またはシャーシクラスターの高可用性設定の場合)には、複数のIRBインターフェイスが表示される場合があります。

    少なくとも 1 つの IRB インターフェイスには有効な IP アドレスが必要です。ファイアウォールは、fxp0インターフェイスで確認できる管理IPアドレスを使用して接続することもできます。

    以下を確認します。

    • irb または fxp0 インターフェイスのいずれかに有効な IP アドレスがあります。

    • 管理とリンクの状態はアップしています。

  3. 次の例に示すように、ファイアウォールがゲートウェイに到達できることを確認します。
  4. デバイスがインターネットに接続できるかどうかを確認します。任意のパブリックサーバー(例:8.8.8.8)に対して ping テストを開始します。
  5. ファイアウォールがoc-term.mistsys.netを解決できるかどうかを確認します。

    ファイアウォールが oc-term.mistsys.netを解決しない場合は、ファイアウォールにDNSサーバーが設定されていることを確認します。

    ファイアウォールにDNSサーバーがない場合は、次の例に示すようにサーバーを設定します。
  6. ファイアウォールポートが開いていることを確認します(例:oc-term.mistsys.net のTCPポート2200)。

    クラウド環境に応じて、有効にするポートを決定するには、以下の表を参照してください。

    表1:異なるジュニパーMistクラウドで有効にするポート
    サービスタイプ グローバル 01 グローバル 02 ヨーロッパ 01
    SRXシリーズ redirect.juniper.net(TCP 443) redirect.juniper.net(TCP 443) redirect.juniper.net(TCP 443)
    ztp.mist.com(TCP 443) ztp.gc1.mist.com(TCP 443) ztp.eu.mist.com(TCP 443)
    oc-term.mistsys.net(TCP 2200) oc-term.gc1.mist.com(TCP 2200) oc-term.eu.mist.com(TCP 2200)

    次のコマンドを使用して接続を確認できます。

  7. ファイアウォールのシステム時刻をチェックして、時刻が正しいことを確認します。

    システム時刻が正しくない場合は、設定します。詳細については、「 ローカルで日付と時刻を構成する」を参照してください。

  8. device-idに示すように、<org_id>.<mac_addr>の形式になっていることを確認してください。

    詳細については 、「outbound-ssh 」を参照してください。

    コマンド show log messagesを使用してログメッセージを調べることもできます。

  9. 以下に示すように、アウトバウンドSSHを無効化してから再有効化します。
    • 無効にするには:
    • 再度アクティブ化するには:
  10. SRXシリーズファイアウォールを初めて追加する場合は、以下を実行します。
    • deleteコマンドを使用して、現在のジュニパーMist設定をファイアウォールから削除します。
    • ファイアウォールを再度オンボーディングします。MistクラウドでSRXシリーズファイアウォールを立ち上げて実行する方法の詳細については、「 クラウド対応SRXファイアウォール 」を参照してください。
    • 以下のコマンドを使用して、システムサービスoutbound-sshとシステム接続を確認します。
      • show system services outbound-ssh
      • show system connections | grep 2200

パケットキャプチャを使用したSRXシリーズファイアウォールのトラブルシューティング

SRXシリーズファイアウォールは、手動パケットキャプチャ(PCAP)をサポートしています。パケットキャプチャは、ネットワークトラフィックの分析とネットワーク問題のトラブルシューティングに役立つツールです。監視とロギングのためにネットワークを介して伝送されるリアルタイムデータパケットをキャプチャします。

手記:

SRXシリーズファイアウォールは、ダイナミックパケットキャプチャをサポートしていません。

手動パケットキャプチャは、ユーザーがWANエッジパケットキャプチャページから開始します。

SRXシリーズファイアウォールの手動PCAPを開始するには:

  1. サイト>のWANエッジパケットキャプチャに移動します。

  2. WANタブで、WANエッジを追加+をクリックし、SRXシリーズファイアウォールを選択します。

    図1:WANエッジパケットキャプチャWAN Edge Packet Capture

  3. キャプチャされるパケット数、パケットサイズ(バイト単位)、およびキャプチャセッションの期間を指定します。

  4. ポート フィルターの追加 オプションを使用してポートを指定します。このペインでは、[TCPDUMP 式] テキスト ボックスにフィルターを入力することもできます。

  5. オプションで、 式ビルダーを使用して パケットキャプチャ用の式を構築します。式ビルダーは、キャプチャ セッションで使用する tcpdump 構文でカスタム フィルターを構築するための対話型 GUI ツールです。ビルダーにフィルターエントリを開始させ、手動でエントリに追加または削除することができます。以下のオプションを指定できます。
    • IPホスト
    • プロトコル
    • ポートとポート範囲
    • IPブロードキャスト
    • IPマルチキャスト

    式ビルダーにアドレスとプロトコルを入力すると、ポータルはページ上にtcpdump式を自動的に生成します。必要に応じて、式を編集できます。

  6. [キャプチャを開始] をクリックします。パケットキャプチャコンテンツはページ上でストリーミングされます。

  7. ページの右上にあるキャプチャ されたファイル をクリックすると、オフライン分析用にファイルをダウンロードできます。

動的パケットキャプチャと手動パケットキャプチャ」も参照してください。

関連項目