request services advanced-anti-malware diagnostic
構文
request services advanced-anti-malware diagnostic url (detail | pre-detection url | routing-instance instance-name)
説明
SRX シリーズ ファイアウォールを Juniper Advanced Threat Prevention Cloud に登録して、クラウドへのインターネット接続を確認する前に、このコマンドを使用します。SRX シリーズ ファイアウォールを既に登録している場合は、引き続きこのコマンドと CLI コマンドを request services aamw data-connection 使用して、クラウドへの接続を確認およびトラブルシューティングできます。
この CLI コマンドは、以下をチェックします。
DNS ルックアップ — クラウド ホスト名の前方 DNS ルックアップを実行して、IP アドレスが返されたことを確認します。クラウドにインターフェイス名を取得できない場合、検証プロセスは終了します。この問題は、接続エラーが原因である可能性があります。お使いのネットワーク接続を確認してください。
クラウドへのルート — telnet を使用してネットワーク接続をテストします。
サーバーが稼働しているかどうか — telnet および ping コマンドを使用して、クラウドとの接続を検証します。
発信インターフェイス—ルーティング エンジン(RE)とパケット転送エンジン(PFE)の両方がインターネットに接続できることを確認します。
IPパスMTU—SRXシリーズファイアウォールとクラウドサーバー間のネットワークパス上の最大送信単位(MTU)サイズを決定します。発信インターフェイスMTUが1414未満の場合、検証プロセスは終了します。回避策として、発信インターフェイスMTUをデフォルト値または1414より大きい値に設定します。
パスMTUが発信インターフェイスMTU未満の場合、警告メッセージが表示されます。これはマイナーな問題であり、メッセージを無視できます。より高いパスMTUを推奨しますが、低いパスMTUは機能します。
SSL設定の一貫性—SSLプロファイル、クライアント証明書、CAがREとPFEの両方に存在することを確認します。
クライアントとサーバーのクロックチェック - このCLIコマンドを実行すると、まずサーバー時間とローカル時間の違いを確認します。時差は1分未満と見込まれます。時差が 1 分を超える場合は、エラー メッセージが表示されます。 表 1 を参照してください。
オプション
| url | Juniper Advanced Threat PreventionクラウドサーバーへのURL。 |
| detail | (オプション)より詳細な出力を提供するデバッグ モード。 |
| pre-detection url | (オプション)事前検知モード:SRX シリーズ ファイアウォールを実際に登録する前に、クラウド サーバーへの接続をテストできます。 このオプションを使用するには、Web UI で[ デバイス ]、[ 登録]の順にクリックします。次のような ops スクリプトが送信されます。 op url https://abc.def.junipersecurity.net/bootstrap/enroll/AaBbCc/DdEeFf.slax 事前検知オプションの URL として、ops スクリプトのルート URL を使用します。例えば、上記の ops スクリプトを使用すると、 コマンドは次のように実行されます。 request services advanced-anti-malware diagnostic pre-detection abc.def.junipersecurity.net |
| routing-instance | (オプション)登録時に使用されるルーティング インスタンス。このオプションを指定すると、カスタマイズされたルーティングインスタンスを使用して、Juniper ATPクラウドサーバーへのデータプレーン接続を診断できます。コマンド ラインに追加 |
その他の情報
表 1 は、この CLI コマンドで検出されたエラー状態を示しています。
エラーメッセージ |
説明 |
|---|---|
URL到達不能が検出されました。URL URL ポート ポート に到達可能であることを確認してください。 |
クラウド サーバーにアクセスできませんでした。 |
SSL プロファイル ssl プロファイル名 は、PFE と RE の間で一貫性がありません。 |
SSL プロファイルは RE に存在しますが、PFE には存在しません。 |
SSL プロファイル ssl プロファイル名 が空です。 |
SSLプロファイルに信頼できるCAもクライアント証明書も設定されていません。 |
SSL ローカル証明書 のローカル証明書 は、PFE と RE の間で一貫性がありません。 |
SSL クライアント証明書が PFE に存在しません。 |
SSL CA ca 名 は、PFE と RE の間で一貫性がありません。 |
SSL CA は RE に存在しますが、PFE には存在しません。 |
DNSルックアップの失敗が検出されましたら、DNS設定を確認してください。 |
クラウド サーバーの IP アドレスが見つかりません。 このテストが失敗した場合は、インターネット接続が正しく機能し、DNSサーバーが構成されており、クラウドURLのエントリがあることを確認してください。 |
管理インターフェイスを介した SKYATP への接続が検出されます。パケット転送プレーンを介した SKYATP 接続であることを確認してください。 |
このテストでは、クラウド サーバーへのインターネット接続が管理インターフェイスを経由していることを検出しました。その結果、PFE とクラウド サーバーの接続が失敗する可能性があります。 これを修正するには、管理インターフェイスではなく PFE を介したクラウドへのインターネット接続を変更します。 |
サーバー時間を取得できません。 |
サーバー時間を取得できませんでした。 |
サーバーとこのデバイスの間で時間の差が大きすぎる。 |
サーバー時間とローカル SRX シリーズ ファイアウォールの時間の差は 1 分以上です。 これを修正するには、ローカル SRX シリーズ ファイアウォールのクロックが正しく設定されていることを確認します。また、正しい NTP サーバーを使用していることを確認します。 |
ICMP サービスがダウンしているため、IP パス MTU チェックを実行できません。 |
Juniper ATPクラウドサーバーに接続できません。 |
必要な ICMP セッションが見つかりません。 |
指定された URL で ICMP セッションを確立できません。有効な URL を指定していることを確認します。 |
必要な権限レベル
ビュー
サンプル出力
- リクエストサービスの高度なマルウェア対策診断
- リクエストサービスの高度なマルウェア対策診断の詳細
- リクエストサービス Advanced-Anti-Malware Diagnostic Pre-Detection
リクエストサービスの高度なマルウェア対策診断
user@host> request services advanced-anti-malware diagnostic abc.def.junipersecurity.net Time check : [OK] DNS check : [OK] SKYATP reachability check : [OK] SKYATP ICMP service check : [OK] Interface configuration check : [OK] Outgoing interface MTU is default value IP Path MTU check : [OK] IP Path MTU is 1472 SSL configuration consistent check : [OK]
リクエストサービスの高度なマルウェア対策診断の詳細
user@host> request services advanced-anti-malware diagnostic abc.def.junipersecurity.net detail
Time check : [OK]
[INFO] Try to get IP address for hostname abc.def.junipersecurity.net
DNS check : [OK]
[INFO] Try to test SKYATP server connectivity
SKYATP reachability check : [OK]
[INFO] Try ICMP service in SKYATP
SKYATP ICMP service check : [OK]
[INFO] To-SKYATP connection is using ge-0/0/3.0, according to route
Interface configuration check : [OK]
Outgoing interface MTU is default value
[INFO] Check IP MTU with length 1472
IP Path MTU check : [OK]
IP Path MTU is 1472
SSL configuration consistent check : [OK]
リクエストサービス Advanced-Anti-Malware Diagnostic Pre-Detection
user@host> request services advanced-anti-malware diagnostic pre-detection abc.def.junipersecurity.net Time check : [OK] DNS check : [OK] SKYATP reachability check : [OK] SKYATP ICMP service check : [OK] Interface configuration check : [OK] Outgoing interface MTU is default value IP Path MTU check : [OK] IP Path MTU is 1472
リリース情報
Junos OS リリース 15.1X49-D60 で導入されたコマンド。Junos OSリリース15.1X49-D90に追加されたクラウドチェック、MTU警告、クライアントおよびサーバークロックチェックへのインターフェイス名。 routing-instance Junos OS リリース 15.1X49-D100 で追加されたオプション。