Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

보안 플로우 세션 모니터링

이 주제는 운영 모드 명령을 사용하여 플로우 세션의 모니터링, 표시 및 확인에 대한 정보를 다룹니다. 따라서 실행 중인 구성을 커밋하거나 수정할 필요 없이 디버깅할 수 있습니다.

보안 플로우 세션 모니터링 개요

Junos OS 통해 운영 모드 명령을 사용하여 플로우 세션의 모니터링을 구성하고 시작할 수 있습니다. 따라서 실행 중인 구성을 커밋하거나 수정할 필요 없이 디버깅할 수 있습니다. 이 방법은 추적 옵션을 설정하기 위해 구성을 커밋하여 디바이스 상태를 변경하지 않으시면 특히 유용합니다.

플로우 세션 모니터링을 구성하려면 플로우 필터를 정의하고 출력 파일을 지정한 후 모니터링을 시작해야 합니다. 필터(하나 이상) 및 출력 파일이 지정되지 않는 한 플로우 세션 모니터링이 시작되지 않습니다. 또한 필터를 스스로 정의해도 모니터링이 트리거되지 않습니다. 모니터링을 활성화 및 비활성화하려면 및 monitor security flow stop 명령을 명시적으로 사용해야 monitor security flow start 합니다.

  • 플로우 필터 정의- 소스 주소, 대상 주소, 소스 포트, 대상 포트, IP 프로토콜 번호, 수신 또는 발신 인터페이스 이름, 논리적 시스템 이름과 같은 일치 기준의 조합을 사용하여 모니터링할 플로우 세션을 정의합니다. 명령을 사용하여 필터를 삭제할 clear monitor security flow filter 수 있습니다.

    참고:

    구성 모드에 정의된 필터와 달리 시스템을 재부팅할 때 운영 모드 명령을 사용하여 정의된 필터가 삭제됩니다.

  • 출력 파일 지정 - 보안 플로우 모니터링 정보를 저장할 출력 파일을 생성합니다. 이 파일은 디렉터리에 저장 /var/log/ 됩니다. 명령을 사용하여 show log filename 이 파일의 내용을 볼 수 있습니다. monitor security flow file 명령을 사용하여 최대 크기, 최대 수 및 유형과 같은 출력 파일 특성을 지정합니다.

  • 모니터링 시작 - 명령을 사용하여 monitor security flow start 모니터링을 시작합니다. 모니터링이 시작되면 필터와 일치하는 모든 트래픽은 디렉터리에 있는 지정된 출력 파일에 /var/log/ 저장됩니다. Basic-datapath 플래그는 기본 플래그이며 모니터링이 시작될 때 을(를) 켭니다.

    monitor security flow stop 명령을 사용하여 모니터링을 중지합니다. 모니터링이 중단되면 Basic-datapath 플래그가 삭제됩니다.

  • 모니터링 플로우 정보 표시 - 모니터링 작업에 대한 세부 정보를 표시하려면 명령을 사용합니다 show monitoring security flow .

참고:

모니터링 운영 모드 명령 및 플로우 traceoptions 구성 문을 사용하여 플로우 세션 모니터링 및 디버깅을 구성할 수 있습니다. 이러한 두 작업은 병렬로 실행될 수 없습니다. 보안 플로우 모니터링을 켤 때 플로우 추적옵션 세션이 차단되고 flow traceoption 세션이 실행되면 플로우 세션 모니터링이 차단됩니다.

SRX 시리즈 서비스 게이트웨이에 대한 세션 정보 획득 방법 이해하기

특정 세션에 대한 자세한 정보를 포함하여 디바이스에서 활성화된 세션 및 패킷 플로우에 대한 정보를 얻을 수 있습니다. (SRX 시리즈 디바이스에는 실패한 세션에 대한 정보도 표시됩니다.) 활동을 관찰하고 디버깅 목적으로 이 정보를 표시할 수 있습니다. 예를 들어, show security flow 세션 명령을 사용할 수 있습니다.

  • 서비스를 포함한 수신 및 발신 IP 플로우 목록을 표시하려면

  • 예를 들어 플로우와 관련된 보안 속성을 표시하기 위해 해당 플로우에 속하는 트래픽에 적용되는 정책

  • 세션 시간 제한 값을 표시하려면, 세션이 활성화되었을 때, 활성화된 기간, 세션에 활성 트래픽이 있는 경우

참고:

인터페이스 NAT가 구성되고 해당 인터페이스 IP 주소를 사용하여 NAT로 세션이 설정되면 인터페이스 IP 주소가 변경될 때마다 NAT로 설정된 세션이 새로 고쳐지고 새로운 세션이 새로운 IP 주소로 설정됩니다. 이것은 CLI 명령을 사용하여 show security flow session 확인할 수 있습니다.

관련 정책 구성에 로깅 옵션이 포함된 경우 세션 정보를 기록할 수도 있습니다. 모든 SRX 시리즈 디바이스의 플로우 세션 로그의 경우 정책 구성이 향상되었습니다. 세션 init 및 세션 닫기에 대한 세션 로그의 패킷 수신 인터페이스 매개 변수에 대한 정보와 정책 또는 애플리케이션 방화벽에 의해 세션이 거부되면 공통 기준(CC) MRPP(Medium Robustness Protection Profile) 준수를 충족하기 위해 제공됩니다.

정책 구성 - 일치 항목을 로그 session-init 로 기록하거나 session-close syslog에서 세션을 기록하려는 세션에 대한 정책을 구성하려면 다음을 수행합니다.

  • set security policies from-zone untrustZone to-zone trust zone policy policy13 match source-address extHost1

  • set security policies from-zone untrustZone to-zone trustZone policy policy13 match application junos-ping

  • set security policies from-zone untrustZone to-zone trustZone policy policy13 then permit

  • set security policies from-zone untrustZone to-zone trustZone policy policy13 then log session-init

  • set security policies from-zone untrustZone to-zone trustZone policy policy13 then log session-close

Example : 플로우 일치 정책13은 로그에 다음 정보를 기록합니다.

<14>1 2010-09-30T14:55:04.323+08:00 mrpp-srx550-dut0 RT_FLOW 1개 - RT_FLOW_SESSION_CREATE [junos@2626.192.0.2.1.40 source-address="192.0.2.1" source-port="1 1" destination-address="198.51.100.12" destination-port="46384" 서비스 이름="icmp" nat-source-address="192.1 0.2.1" nat-source-port="1" nat-destination-address="198.51.100.12" nat-destination-port="46384" src-nat-rule-name="없음" dst-nat-rule-name="없음" protocol-id="1" policy-name="policy1" source-zone-name="trustZone" destination-zone-name ="untrustZone" session-id-32="41" 패킷 수신 인터페이스="ge-0/0/1.0"] 세션 생성 192.0.2.2. 1/1-->198.51.100.12/46384 icmp 192.0.2.1/1-->198.51.100.12/46384 없음 없음 1 policy1 trustZone 41 ge-0/0/1.0

<14>1 2010-09-30T14:55:07.188+08:00 mrpp-srx550-dut01 RT_FLOW - RT_FLOW_SESSION_CLOSE [junos@2626.192.0.2.1.40 이유="응답 수신" source-address="192.0.2.2.1 1" source-port="1" destination-address="198.51.100.12" destination-port="46384" 서비스 이름="icmp" nat-source-address="192.0.2.1" nat-source-port="1" nat-destination-address="198.51.100.12" nat-destination-port= "46384" src-nat-rule-name="없음" dst-nat-rule-name="None" protocol-id="1" 정책 이름="policy1" source-zone-name="trustZone" destination-zone-name="untrustZone" session-id-32="4 1" 패킷-클라이언트="1" 바이트-클라이언트="84" 패킷-from-server="1" 바이트-서버="84" 경과 시간="0" packet-incoming-interface="ge-0/0/1.0 "] 세션 폐쇄 응답 수신: 192.0.2.1/1-->198.51.100.12/46384 icmp 192.0.2.1/1-->198.51.100.12/46384 없음 없음 1 policy1 trustZone 41 1(84) 1(84) 0 ge-0/0/1.0

모든 SRX 시리즈 서비스 게이트웨이에 대한 글로벌 세션 매개 변수 표시

목적

모든 플로우 또는 세션에 적용되는 구성된 매개 변수에 대한 정보를 획득합니다.

작업

CLI에서 세션 정보를 보려면 다음 명령을 입력합니다.

의미

show security flow 구성 명령은 다음 정보를 표시합니다.

  • allow-dns-reply-타의 추종을 불허하는 수신 도메인 이름 시스템(DNS) 응답 패킷이 허용되는지 확인합니다.

  • route-change-timeout-이(가) 활성화되면 경로 변경에서 사용할 세션 시간 제한 값을 존재하지 않는 경로로 표시합니다.

  • tcp-mss- 네트워크 트래픽의 모든 TCP 패킷에 사용할 TCP 최대 세그먼트 크기 값에 대한 현재 구성을 보여줍니다.

  • tcp-session- 세션 매개 변수를 제어하는 구성된 모든 매개 변수를 표시합니다.

  • syn-flood-protection-mode- SYN 프록시 모드를 표시합니다.

SRX 시리즈 서비스 게이트웨이에 대한 세션 요약 표시

목적

디바이스의 세션 종류, 각 종류의 세션(예: 유니캐스트 세션 및 멀티캐스트 세션 수, 실패한 세션 수, 현재 사용되는 세션 수 및 디바이스가 지원하는 최대 세션 수를 결정합니다. 또한 이 명령은 현재 사용되는 세션의 세부 정보도 표시합니다. 예를 들어, 유효한 세션, 보류 중인 세션, 다른 상태의 무효화된 세션 및 세션이 있습니다.

작업

CLI에서 세션 요약 정보를 보려면 다음 CLI 명령을 입력합니다.

SRX 시리즈 서비스 게이트웨이용 세션에 대한 세션 및 플로우 정보 표시

목적

세션 ID, 세션이 속한 가상 시스템, 네트워크 주소 변환(NAT) 소스 풀(소스 NAT가 사용되는 경우), 세션 및 표준 시간 초과에 대해 구성된 시간 제한 값, 세션 시작 시간 및 세션 활성화 기간을 포함하여 디바이스의 모든 세션에 대한 정보를 표시합니다. 또한 이 디스플레이에는 플로우 방향, 소스 주소 및 포트, 대상 주소 및 포트, IP 프로토콜 및 세션에 사용되는 인터페이스를 포함한 모든 표준 플로우 정보도 표시됩니다.

작업

CLI에서 세션 플로우 정보를 보려면 다음 명령을 입력합니다.

SRX 시리즈 서비스 게이트웨이용 특정 세션에 대한 세션 및 플로우 정보 표시

목적

세션 식별자를 알면 모든 세션이 아닌 특정 세션에 대한 모든 세션 및 플로우 정보를 표시할 수 있습니다.

작업

CLI의 특정 세션에 대한 정보를 보려면 다음 명령을 입력합니다.

필터를 사용하여 SRX 시리즈 서비스 게이트웨이에 대한 세션 및 플로우 정보 표시

목적

필터를 명령에 대한 인자로 지정하여 하나 이상의 세션에 대한 플로우 및 세션 정보를 표시할 show security flow session 수 있습니다. 애플리케이션, 대상 포트, 대상 접두사, 제품군, idp, 인터페이스, nat, 프로토콜, 리소스 관리자, 세션 식별자, 소스 포트, 소스 접두사 및 터널과 같은 필터를 사용할 수 있습니다. 디바이스는 각 세션에 대한 정보를 표시한 다음 에 보고된 세션 수를 지정하는 줄을 표시합니다. 다음은 소스 접두사 필터를 사용하는 명령의 예입니다.

작업

CLI에서 필터를 사용하여 선택한 세션에 대한 정보를 보려면 다음 명령을 입력합니다.

SRX 시리즈 서비스 게이트웨이에 대한 세션 로그 항목에 제공된 정보

세션 로그 항목은 정책 구성과 관련이 있습니다. 제어 정책이 로깅을 활성화한 경우 각 메인 세션 이벤트(생성, 종료, 거부)가 로그 항목을 생성합니다.

표 1, 표 2, 표 3에 표시된 것처럼 세션 생성, 세션 닫기, 세션 거부 이벤트에 대해 다른 필드가 기록됩니다. 각 유형에 따라 동일한 필드 이름은 동일한 정보가 기록되었음을 나타내지만, 각 테이블은 해당 유형의 세션 로그에 대해 기록된 모든 데이터 목록입니다.

다음 테이블은 세션 로그 항목에 표시된 필드를 정의합니다.

표 1: 세션 로그 필드 생성

Field

Description

source-address

세션을 생성한 패킷의 소스 IP 주소입니다.

source-port

세션을 생성한 패킷의 소스 포트입니다.

destination-address

세션을 생성한 패킷의 대상 IP 주소입니다.

destination-port

세션을 생성한 패킷의 대상 포트입니다.

service-name

패킷이 트래버스한 애플리케이션(예: 네이티브 Telnet을 허용하는 정책에 의해 허용되는 세션 동안 Telnet 트래픽에 대한 "junos-telnet").

nat-source-address

NAT가 적용된 경우 변환된 NAT 소스 주소입니다. 소스 주소가 위와 같은 것입니다.

nat-source-port

NAT가 적용된 경우 변환된 NAT 소스 포트, 소스 포트를 위와 같이 할 수 있습니다.

nat-destination-address

NAT가 적용된 경우 변환된 NAT 대상 주소입니다. 그렇지 않으면 위와 같은 대상 주소가 있습니다.

nat-destination-port

NAT가 적용된 경우 변환된 NAT 대상 포트, 그렇지 않으면 위의 대상 포트가 있습니다.

src-nat-rule-name

세션에 적용된 소스 NAT 규칙(있는 경우). 정적 NAT도 구성되고 세션에 적용되고 소스 주소 변환이 이루어지는 경우, 이 필드는 정적 NAT 규칙 이름을 보여줍니다.*

dst-nat-rule-name

세션에 적용된 대상 NAT 규칙(있는 경우). 정적 NAT도 구성되고 세션에 적용되고 대상 주소 변환이 이루어지는 경우, 이 필드는 정적 NAT 규칙 이름을 보여줍니다.*

protocol-id

세션을 생성한 패킷의 프로토콜 ID입니다.

policy-name

세션 생성을 허용한 정책의 이름입니다.

session-id-32

32비트 세션 ID.

* 일부 세션에는 대상 및 소스 NAT가 모두 적용되고 정보가 기록될 수 있습니다.

Junos OS 릴리스 12.1X47-D20 및 Junos OS 릴리스 17.3R1부터 시스템 로그에는 NAT 규칙 유형에 대한 정보가 포함되어 있습니다. NAT 규칙 세션에서 두 개의 새로운 src-nat-rule-type 및 dst-nat-rule-type 파일링이 도입됩니다.

표 2: 세션 닫기 로그 필드

Field

Description

reason

세션이 닫힌 이유.

source-address

세션을 생성한 패킷의 소스 IP 주소입니다.

source-port

세션을 생성한 패킷의 소스 포트입니다.

destination-address

세션을 생성한 패킷의 대상 IP 주소입니다.

destination-port

세션을 생성한 패킷의 대상 포트입니다.

service-name

패킷이 트래버스한 애플리케이션(예: 네이티브 Telnet을 허용하는 정책에 의해 허용되는 세션 동안 Telnet 트래픽에 대한 "junos-telnet").

nat-source-address

NAT가 적용된 경우 변환된 NAT 소스 주소입니다. 소스 주소가 위와 같은 것입니다.

nat-source-port

NAT가 적용된 경우 변환된 NAT 소스 포트, 소스 포트를 위와 같이 할 수 있습니다.

nat-destination-address

NAT가 적용된 경우 변환된 NAT 대상 주소입니다. 그렇지 않으면 위와 같은 대상 주소가 있습니다.

nat-destination-port

NAT가 적용된 경우 변환된 NAT 대상 포트, 그렇지 않으면 위의 대상 포트가 있습니다.

src-nat-rule-name

세션에 적용된 소스 NAT 규칙(있는 경우). 정적 NAT도 구성되고 세션에 적용되고 소스 주소 변환이 이루어지는 경우, 이 필드는 정적 NAT 규칙 이름을 보여줍니다.*

dst-nat-rule-name

세션에 적용된 대상 NAT 규칙(있는 경우). 정적 NAT도 구성되고 세션에 적용되고 대상 주소 변환이 이루어지는 경우, 이 필드는 정적 NAT 규칙 이름을 보여줍니다.*

protocol-id

세션을 생성한 패킷의 프로토콜 ID입니다.

policy-name

세션 생성을 허용한 정책의 이름입니다.

session-id-32

32비트 세션 ID.

packets-from-client

이 세션과 관련된 클라이언트가 보낸 패킷 수.

bytes-from-client

이 세션과 관련된 클라이언트가 보낸 데이터 바이트 수.

packets-from-server

이 세션과 관련된 서버가 보낸 패킷 수.

bytes-from-server

이 세션과 관련된 서버에서 보낸 데이터 바이트 수.

elapsed-time

총 세션은 허용에서 종료까지 걸리는 시간을 초 단위로 경과했습니다.

unset

세션 생성 중에 세션 닫기 이유를 로 unset설정할 수 있습니다.

제어점의 세션 설치가 성공하지 못하면 세션이 그 이유로 unset 닫힙니다. 세션 설치 이유는 예를 들어 비관리 세션 설치를 위한 메모리 가용성에 따라 다릅니다.

TCP CLIENT RST

클라이언트에서 전송된 TCP 리셋 패킷에 의해 세션이 닫혔습니다.

TCP SERVER RST

서버에서 전송된 TCP 리셋 패킷에 의해 세션이 닫혔습니다.

TCP FIN

양쪽 끝에서 수신된 FIN.

response received

패킷 요청에 대해 수신된 응답(예: ICMP req-reply).

ICMP error

수신된 ICMP 오류.

aged out

세월이 났습니다.

ALG

ALG 오류로 세션이 종료되었습니다(예: 원격 액세스 서버(RAS) 최대 제한 도달).

HA

HA 메시지가 세션을 종료했습니다.

idle Timeout

구성된 에이지아웃 시간에 도달하기 전에는 세션에 대한 트래픽이 없었습니다.

auth

인증에 실패했습니다.

IDP

IDP는 보안 모듈(SM) 내부 오류로 인해 세션을 종료했습니다.

synproxy failure

SYN 프록시 실패로 세션이 종료되었습니다.

synproxy limit

마이너 세션을 할당하지 못한 이유는 원래 세션을 무료로 제공해야 합니다.

parent closed

상위 세션이 닫혔습니다.

CLI

CLI에 의해 삭제된 세션.

CP NACK

CP NACK 응답이 수신되었습니다.

CP delete

CP ACK 삭제가 세션을 종료했습니다.

policy delete

삭제로 표시된 해당 정책.

fwd session

포워딩 세션 삭제로 인해 세션이 닫혔습니다.

multicast route change

멀티캐스트 경로가 변경되어 세션이 닫힙니다.

first path reroute, session recreated

첫 번째 경로가 다시 라우팅되고 세션이 다시 생성됩니다.

source NAT allocation failure

SPU는 중앙 지점에서 ACK 메시지를 받았지만 DIP 리소스를 수신하지 못했습니다. 따라서 이 패킷이 누락되고 세션이 닫힙니다.

other

다른 모든 이유 때문에 세션이 닫혔습니다(예: pim reg tun은 새로 고침이 필요함).

error create IKE pass-through template

IKE(Internet Internet) 패스스루 템플릿 생성 오류.

IKE pass-through child session ageout

IKE(Internet Internet) 패스 템플릿 세션에 자식이 없기 때문에 세션이 삭제됩니다.

sess timeout on pending state

시간 초과 타이머가 보류 중인 상태에 도달하여 보류 중인 세션이 닫힙니다.

unknown

알 수 없는 이유로 세션이 닫혔습니다.

* 일부 세션에는 대상 및 소스 NAT가 모두 적용되고 정보가 기록될 수 있습니다.

표 3: 세션 거부 로그 필드

Field

Description

source-address

세션을 생성하려고 시도한 패킷의 소스 IP 주소입니다.

source-port

세션을 생성하려고 시도한 패킷의 소스 포트입니다.

destination-address

세션을 생성하려고 시도한 패킷의 대상 IP 주소입니다.

destination-port

세션을 생성하려고 시도한 패킷의 대상 포트입니다.

service-name

패킷이 통과하려고 시도한 애플리케이션.

protocol-id

세션을 생성하려고 시도한 패킷의 프로토콜 ID입니다.

icmp-type

거부된 패킷이 ICMP로 구성된 경우 ICMP 유형, 그렇지 않으면 이 필드는 0이 됩니다.

policy-name

세션 생성을 거부한 정책 이름입니다.

오류 처리 확장

섀시 매니저 FPC 장애 감지 및 오류 처리 개선 사항 이해

SRX5400, SRX5600 및 SRX5800 디바이스의 Junos OS 라우팅 엔진 및 마이크로커널 오류 탐지 및 관리 기능을 통해 라우팅 엔진 및 우커널이 다양한 심각도 수준에 대해 보고된 모든 오류 활동 및 카운터의 기록을 축적하고 저장할 수 있습니다. 오류를 처리하는 방법을 구성하고 오류가 감지되고 임계값에 도달할 때 수행할 심각도 수준과 작업을 지정할 수 있습니다. 저장된 정보를 기반으로 발생한 오류에 대한 보고서를 생성하고 표시할 수 있습니다.

Junos OS 릴리스 15.1X49-D30 및 Junos OS 릴리스 17.3R1부터 IOC 및 SPC에서 추가 오류를 감지하고 향상된 오류 관리를 제공하는 오류 탐지 개선이 제공됩니다. 이 구현은 주제에서 다루는 오류 감지 및 관리를 확장합니다 show chassis fpc error .

참고:

이 기능은 라우팅 엔진 버전 1에서 지원되지 않습니다.

IOC 및 SPC에서 오류 처리

Junos OS 릴리스 15.1-X49-D50 및 Junos OS 릴리스 17.3R1부터 IOC2 및 IOC3 IOC3 IOC3 IOC(I/O 카드) 및 SPC2 SPC2 SPC2 서비스 처리 카드(SPC2 SPC)에서 오류 관리 개선이 지원됩니다. 일부 개선 기능은 IOC2, IOC3 또는 SPC2 FPC에 특히 해당하며, 이 주제에는 차이점이 있습니다.

오류 감지 및 관리

오류 관리에는 다음이 수반됩니다.

  • 오류 감지.

    Junos OS 섀시 구성 요소 상태를 모니터링하여 일련의 오류 조건을 감지합니다. 감지된 오류는 사전 구성된 오류 심각도 수준 중 하나에 속할 수 있습니다.

    • 치명적인

    • 주요

    • 사소한

  • 취해야 할 작업 파악.

    오류가 발생하면 시스템은 오류의 심각도 수준과 설정 및 충족된 임계값을 기반으로 수행할 작업을 식별합니다.

    FPC는 각 오류 심각도 수준에 대해 일련의 오류 카운터를 유지합니다. 오류 카운터 세트는 개별 오류 및 유형에 대한 모든 오류 및 카운터에서 누적된 카운터로 구성됩니다. 이 정보는 라우팅 엔진 저장됩니다. 각 발생 카운터는 오류 발생 임계값과 연결됩니다. 두 가지 임계값이 있습니다: 하나는 유형에 따라, 다른 하나는 심각도에 따라 다릅니다.

  • 작업 실행.

    이러한 개선의 경우, 지정된 보안 수준에 대한 라우팅 엔진 오류 발생 수가 구성된 임계값에 도달할 때 디바이스가 수행하도록 지시할 수 있는 사전 구성된 조치는 다음과 같습니다.

    • 재설정

    • 오프 라인

    • 경보

    • Get-state

    • 로그

주의:

디바이스 SRX5000 라인 SPC2 카드의 장애 처리 작업을 설정하면 주의하십시오. SPC2 카드의 장애 처리 작업을 오프라인으로 설정하거나 재설정하는 경우, 카드가 오프라인으로 실행되거나 재부팅이 발생하면 섀시 데몬(섀시드)이 모든 FPC 카드(SPC 및 IOC 모두 재부팅)를 재부팅합니다. 즉, 전체 섀시가 재부팅됩니다.

오류 탐지 프로세스

이러한 개선 사항을 통해 다음과 같은 오류 감지 프로세스가 활성화되고 지원됩니다.

  • 라우팅 엔진 버전 2의 오류 관리.

  • SPC2 카드의 우커널 모듈에서 오류 관리.

  • IOC2 및 IOC3 카드의 오류 관리.

  • 드라이버가 웨지 조건의 datapath 오류 감지를 확인합니다.

    참고:

    트리니티 오프로드 엔진 드라이버에 대한 웨지 상태 감지는 SPC2 카드에서만 지원됩니다. 즉, IOC2 및 IOC3 카드에서는 지원되지 않습니다.

  • 호스트 루프백을 위한 웨지 감지.

    참고:

    호스트 루프백에 대한 웨지 상태 감지는 SPC2 카드에서만 지원됩니다. 즉, IOC2 및 IOC3 카드에서는 지원되지 않습니다.

  • 섀시 매니저 패브릭 오류 감지.

  • IOC2 및 IOC3 카드의 경로 오류 감지를 제어합니다.

섀시 클러스터와의 통합

섀시 클러스터 환경에서 중대하거나 치명적인 오류로 인해 알람이 처음으로 발생하면 중복 그룹 1(RG1) 전환이 트리거됩니다. 이는 SRX 시리즈 디바이스의 표준 동작이며 변경되지 않습니다. 그러나 이러한 개선이 적용되면 치명적인 오류에 대한 기본 장애 처리 작업 목록에 알람이 추가됩니다. 기본 장애 처리 목록에 알람을 추가하면 치명적인 오류가 감지되는 즉시 섀시 알람이 RG1 전환을 트리거할 수 있습니다.

웨지 감지, 보고 및 관리

웨지 조건은 네트워크 트래픽을 차단하는 오류로 인해 발생합니다.

이 기능은 여러 유형의 웨지 조건을 감지합니다. 다음을 수행합니다.

  • 웨지(wedge)가 일시적인지 돌이킬 수 없는지 확인합니다.

  • 통계 및 syslog에서 웨지 조건을 기록합니다.

  • 네트워크 관리자에게 라우팅 엔진 섀시 알람을 발생시켜 돌이킬 수 없는 쐐기를 발생하도록 경고합니다.

  • IOC2, IOC3 및 SPC2 카드에 대해 다음과 같은 datapath 오류 감지가 활성화되어 있는지 확인합니다.

    • XM 드라이버에 대한 웨지 감지

    • LU 드라이버에 대한 웨지 감지

    • XL 드라이버에 대한 웨지 감지

    • TOE 드라이버에 대한 웨지 감지(SPC2 전용)

    • 호스트 루프백에 대한 웨지 감지(SPC2 전용)

모든 datapath 웨지 조건이 감지되고 5초 내에 보고됩니다. 각 오류 감지 모듈은 식별 가능한 웨지 상태의 상태 및 기록을 기록하고 보고합니다.

릴리스 기록 테이블
릴리스
설명
15.1X49-D50
Junos OS 릴리스 15.1-X49-D50 및 Junos OS 릴리스 17.3R1부터 IOC2 및 IOC3 IOC3 IOC3 IOC(I/O 카드) 및 SPC2 SPC2 SPC2 서비스 처리 카드(SPC2 SPC)에서 오류 관리 개선이 지원됩니다.
15.1X49-D30
Junos OS 릴리스 15.1X49-D30 및 Junos OS 릴리스 17.3R1부터 IOC 및 SPC에서 추가 오류를 감지하고 향상된 오류 관리를 제공하는 오류 탐지 개선이 제공됩니다.
12.1X47-D20
Junos OS 릴리스 12.1X47-D20 및 Junos OS 릴리스 17.3R1부터 시스템 로그에는 NAT 규칙 유형에 대한 정보가 포함되어 있습니다.