Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Monitoring and Troubleshooting

SUMMARY 이 섹션에서는 Junos OS의 네트워크 모니터링 및 문제 해결 기능에 대해 설명합니다.

Ping 호스트

목적

CLI ping 명령을 사용하여 네트워크를 통해 호스트에 연결할 수 있는지 확인합니다. 이 명령은 호스트 및 네트워크 연결 문제를 진단하는 데 유용합니다. 디바이스는 일련의 ICMP(Internet Control Message Protocol) 에코(ping) 요청을 지정된 호스트에 보내고 ICMP 에코 응답을 수신합니다.

작업

명령을 사용하여 ping host3에 4개의 요청(ping 수)을 보내려면 다음을 수행합니다.

샘플 출력

command-name

의미

  • 결과에는 ping 다음 정보가 표시됩니다.

    • ping 응답 패킷의 크기(바이트)입니다.

    • 응답이 전송된 호스트의 IP 주소입니다.

    • ping 응답 패킷의 시퀀스 번호입니다. 이 값을 사용하여 ping 응답을 해당 ping 요청과 일치시킬 수 있습니다.

    • ping 응답 패킷의 TTL(Time-to-Live) 홉 카운트 값입니다.

    • ping 요청 패킷 전송과 ping 응답 패킷 수신 사이의 총 시간(밀리초)입니다. 이 값을 왕복 시간이라고도 합니다.

    • 호스트로 전송된 ping 요청(프로브) 수입니다.

    • 호스트로부터 받은 ping 응답 수입니다.

    • 패킷 손실률.

    • 왕복 시간 통계: 왕복 시간의 최소값, 평균값, 최대값 및 표준편차입니다.

라우터 또는 스위치를 통한 트래픽 모니터링

문제 진단을 위해 라우터 또는 스위치의 물리적 인터페이스를 통과하는 트래픽에 대한 실시간 통계를 표시합니다.

물리적 인터페이스에 대한 실시간 통계를 표시하려면 다음 작업을 수행하십시오.

라우터 또는 스위치의 모든 인터페이스에 대한 실시간 통계 표시

목적

라우터 또는 스위치의 모든 인터페이스를 통과하는 트래픽에 대한 실시간 통계를 표시합니다.

작업

라우터 또는 스위치의 모든 인터페이스를 통과하는 트래픽에 대한 실시간 통계 표시:

샘플 출력
command-name

의미

샘플 출력은 활성 인터페이스에 대한 트래픽 데이터와 명령이 시작된 이후 또는 키를 사용하여 C 카운터가 지워진 이후 각 필드가 변경된 양을 표시합니다. 이 예제에서는 monitor interface 명령이 실행된 이후 또는 카운터가 마지막으로 0으로 반환된 이후 명령이 15초 동안 실행되었습니다.

라우터 또는 스위치의 인터페이스에 대한 실시간 통계 표시

목적

라우터 또는 스위치의 인터페이스를 통과하는 트래픽에 대한 실시간 통계를 표시합니다.

작업

라우터 또는 스위치의 인터페이스를 통과하는 트래픽을 표시하려면 다음 Junos OS CLI 운영 모드 명령을 사용합니다.

샘플 출력
command-name

의미

샘플 출력은 특정 SONET 인터페이스()에 대한 입력 및 출력 패킷을 보여줍니다.so-0/0/1 이 정보에는 SONET/SDH 및 T3 알람, 감지된 루프백, 프레이밍 오류 증가와 같은 일반적인 인터페이스 장애가 포함될 수 있습니다. 자세한 내용은 추적 오류 조건 검사 목록을 참조하십시오.

실행 중에 명령의 출력을 제어하려면 에 표 1표시된 키를 사용합니다.

표 1: monitor interface 명령에 대한 출력 제어 키

작업

key

다음 인터페이스에 대한 정보를 표시합니다. monitor interface 명령은 물리적 또는 논리적 인터페이스를 명령에 의해 표시되는 순서와 동일한 순서로 스크롤합니다show interfaces terse.

N

다른 인터페이스에 대한 정보를 표시합니다. 명령은 특정 인터페이스의 이름을 입력하라는 메시지를 표시합니다.

I

디스플레이를 중지하여 업데이트된 통계 표시를 중지합니다.

F

디스플레이를 해제하고 업데이트된 통계 표시를 다시 시작합니다.

T

시작된 이후의 monitor interface 현재 델타 카운터를 지웁니다(영). 누적 카운터는 지워지지 않습니다.

C

명령을 중지합니다 monitor interface .

Q

명령과 함께 일치 조건을 사용하는 방법에 대한 자세한 내용은 CLI 탐색기monitor traffic 참조하십시오.

Dynamic Ternary Content Addressable Memory 개요

ACX 시리즈 라우터에서 TCAM(Ternary Content Addressable Memory)은 방화벽, 연결 장애 관리, PTPoE, RFC 2544 등과 같은 다양한 애플리케이션에서 사용됩니다. ACX 시리즈 라우터의 패킷 전달 엔진(PFE)은 정의된 TCAM 공간 제한이 있는 TCAM을 사용합니다. 다양한 필터 애플리케이션에 대한 TCAM 리소스 할당은 정적으로 분산됩니다. 이러한 정적 할당은 모든 필터 애플리케이션이 이 TCAM 리소스를 동시에 사용하지 않을 수 있는 경우 TCAM 리소스의 비효율적인 활용으로 이어집니다.

ACX 라우터에서 TCAM 공간을 동적으로 할당하면 다양한 필터 애플리케이션에 사용 가능한 TCAM 리소스를 효율적으로 할당할 수 있습니다. 동적 TCAM 모델에서는 다양한 필터 애플리케이션(예: inet-firewall, bridge-firewall, cfm-filters 등)이 필요할 때 사용 가능한 TCAM 리소스를 최적으로 활용할 수 있습니다. 동적 TCAM 리소스 할당은 사용량 중심이며 필요에 따라 필터 애플리케이션에 동적으로 할당됩니다. 필터 애플리케이션이 더 이상 TCAM 공간을 사용하지 않으면 리소스가 해제되어 다른 애플리케이션에서 사용할 수 있습니다. 이 동적 TCAM 모델은 애플리케이션의 수요에 따라 더 높은 규모의 TCAM 리소스 사용률을 지원합니다.

동적 TCAM 인프라를 사용하는 애플리케이션

다음 필터 응용 프로그램 범주는 동적 TCAM 인프라를 사용합니다.

  • 방화벽 필터 - 모든 방화벽 구성

  • 암시적 필터 - 라우팅 엔진(RE)은 필터를 사용하여 기능을 달성합니다. 예를 들어 연결 장애 관리, IP MAC 검증 등이 있습니다.

  • 동적 필터 - PFE 수준에서 기능을 달성하기 위해 필터를 사용하는 애플리케이션. 예를 들어, 논리적 인터페이스 수준 고정 분류자, RFC 2544 등이 있습니다. RE 악마는 이러한 필터에 대해 알지 못할 것입니다.

  • System-init filters(시스템 초기화 필터) - 시스템 수준의 항목 또는 라우터의 부팅 시퀀스에서 고정된 항목 집합이 필요한 필터입니다. 예를 들어, 레이어 2 및 레이어 3 제어 프로토콜 트랩, 기본 ARP 폴리서 등이 있습니다.

    주:

    레이어 2 및 레이어 3 제어 프로토콜 트랩에 대한 애플리케이션이 있는 System-init 필터는 전체 시스템 기능에 필수적입니다. 이 제어 그룹의 애플리케이션은 전체 TCAM 공간에서 고정된 최소 TCAM 공간을 사용합니다. system-init 필터는 동적 TCAM 인프라를 사용하지 않으며 부팅 시퀀스 중에 라우터가 초기화될 때 생성됩니다.

TCAM 리소스를 사용하는 기능

TCAM 리소스를 사용하는 애플리케이션을 이 문서에서는 tcam-app이라고 합니다. 예를 들어, inet-firewall, bridge-firewall, 연결 장애 관리, 링크 장애 관리 등은 모두 다른 tcam-apps입니다.

표 2 에서는 TCAM 리소스를 사용하는 tcam-apps 목록을 설명합니다.

표 2: TCAM 리소스를 사용하는 기능

TCAM 앱/TCAM 사용자

특징/기능

TCAM 단계

bd-dtag-validate

브리지 도메인 이중 태그 검증

주:

이 기능은 ACX5048 및 ACX5096 라우터에서는 지원되지 않습니다.

출구

bd-tpid-swap

스왑 tpid 작업이 있는 브리지 도메인 vlan-map

출구

cfm-bd-filter

연결 장애 관리 암시적 브리지 도메인 필터

진입

cfm-filter

연결 장애 관리 암시적 필터

진입

cfm-vpls-filter

연결 장애 관리 암시적 VPLS 필터

주:

이 기능은 ACX5048 및 ACX5096 라우터에서만 지원됩니다.

진입

cfm-vpls-ifl-filter

연결 장애 관리 암시적 vpls 논리적 인터페이스 필터

주:

이 기능은 ACX5048 및 ACX5096 라우터에서만 지원됩니다.

진입

cos-fc

논리적 인터페이스 수준 고정 분류자

사전 수신

fw-ccc-in

서킷 교차 연결 제품군 수신 방화벽

진입

fw-family-out

제품군 수준 송신 방화벽

출구

fw-fbf

방화벽 필터 기반 포워딩

사전 수신

fw-fbf-inet6

inet6 제품군을 위한 방화벽 필터 기반 포워딩

사전 수신

fw-ifl-in

논리적 인터페이스 수준 수신 방화벽

진입

fw-ifl-out

논리적 인터페이스 수준 송신 방화벽

출구

fw-inet-ftf

포워딩 테이블의 Inet 제품군 수신 방화벽

진입

fw-inet6-ftf

포워딩 테이블의 Inet6 제품군 수신 방화벽

진입

fw-inet-in

Inet 제품군 수신 방화벽

진입

fw-inet-rpf

RPF의 Inet 제품군 수신 방화벽 실패 확인

진입

fw-inet6-in

Inet6 제품군 수신 방화벽

진입

fw-inet6-family-out

Inet6 제품군 수준 송신 방화벽

출구

fw-inet6-rpf

RPF 실패 확인의 Inet6 제품군 수신 방화벽

진입

fw-inet-pm

포트 미러링 동작이 있는 Inet 제품군 방화벽

주:

이 기능은 ACX5048 및 ACX5096 라우터에서는 지원되지 않습니다.

진입

fw-l2-in

레이어 2 인터페이스의 브리지 제품군 수신 방화벽

진입

fw-mpls-in

MPLS 제품군 수신 방화벽

진입

fw-semantics

CLI 구성 방화벽에 대한 방화벽 공유 의미 체계

사전 수신

fw-vpls-in

VPLS 인터페이스의 VPLS 제품군 수신 방화벽

진입

ifd-src-mac-fil

물리적 인터페이스 수준 소스 MAC 필터

사전 수신

ifl-statistics-in

수신 시 논리적 수준 인터페이스 통계

진입

ifl-statistics-out

송신 시 논리적 수준 인터페이스 통계

출구

ing-out-iff

로그 및 syslog에 대한 송신 제품군 필터를 대신하는 수신 애플리케이션

진입

ip-mac-val

IP MAC 검증

사전 수신

ip-mac-val-bcast

브로드캐스트를 위한 IP MAC 검증

사전 수신

ipsec-reverse-fil

IPsec 서비스에 대한 역방향 필터

주:

이 기능은 ACX5048 및 ACX5096 라우터에서는 지원되지 않습니다.

진입

irb-cos-rw

IRB CoS 재작성

출구

lfm-802.3ah-in

수신 시 링크 장애 관리(IEEE 802.3ah)

주:

이 기능은 ACX5048 및 ACX5096 라우터에서는 지원되지 않습니다.

진입

lfm-802.3ah-out

송신 시 링크 장애 관리(IEEE 802.3ah)

출구

lo0-inet-fil

루백 인터페이스 inet 필터

진입

lo0-inet6-fil

루백 인터페이스 inet6 필터

진입

mac-drop-cnt

MAC 검증 및 소스 MAC 필터에 의한 삭제 통계

진입

mrouter-port-in

스누핑을 위한 멀티캐스트 라우터 포트

진입

napt-reverse-fil

NAPT(네트워크 주소 포트 변환) 서비스에 대한 역방향 필터

주:

이 기능은 ACX5048 및 ACX5096 라우터에서는 지원되지 않습니다.

진입

no-local-switching

브리지 노로컬 스위칭

진입

ptpoe

Point-to-Point-Over-the-Ethernet 트랩

주:

이 기능은 ACX5048 및 ACX5096 라우터에서는 지원되지 않습니다.

진입

ptpoe-cos-rw

PTPoE를 위한 CoS 재작성

주:

이 기능은 ACX5048 및 ACX5096 라우터에서는 지원되지 않습니다.

출구

rfc2544-layer2-in

수신 시 레이어 2 서비스에 대한 RFC2544

사전 수신

rfc2544-layer2-out

송신 시 레이어 2 서비스에 대한 RFC2544

주:

이 기능은 ACX5048 및 ACX5096 라우터에서는 지원되지 않습니다.

출구

service-filter-in

수신 시 서비스 필터

주:

이 기능은 ACX5048 및 ACX5096 라우터에서는 지원되지 않습니다.

진입

TCAM 리소스 사용량 모니터링

show 및 clear 명령을 사용하여 동적 TCAM 리소스 사용량을 모니터링하고 문제를 해결할 수 있습니다.

표 3 에는 동적 TCAM 리소스 사용을 모니터링하고 문제를 해결하는 데 사용할 수 있는 명령줄 인터페이스(CLI) 명령이 요약되어 있습니다.

표 3: 동적 TCAM 모니터링 및 문제 해결을 위한 명령 표시 및 지우기

작업

명령어

특정 응용 프로그램에 대한 공유 응용 프로그램 및 관련 응용 프로그램 표시

pfe tcam 앱 표시

애플리케이션 및 단계(송신, 수신 및 사전 수신)에 대한 TCAM 리소스 사용량 표시

pfe tcam 사용량 표시

(ACX5448) pfe 필터 hw 요약 표시

애플리케이션 및 단계(송신, 수신 및 사전 수신)에 대한 TCAM 리소스 사용 오류 표시

pfe tcam 오류 표시

애플리케이션 및 단계(송신, 수신 및 사전 수신)에 대한 TCAM 리소스 사용 오류 통계를 지웁니다

PFE TCAM 오류 지우기

예: TCAM 리소스 모니터링 및 문제 해결

이 섹션에서는 show 명령을 사용하여 TCAM 리소스를 모니터링하고 문제를 해결할 수 있는 사용 사례에 대해 설명합니다. 이 사용 사례 시나리오에서는 레이어 2 서비스를 구성했으며 레이어 2 서비스 관련 애플리케이션은 TCAM 리소스를 사용합니다. 이 예에 표시된 동적 접근 방식은 필요에 따라 TCAM 리소스를 관리할 수 있는 완벽한 유연성을 제공합니다.

서비스 요구 사항은 다음과 같습니다.

  • 각 브리지 도메인에는 UNI 인터페이스 1개와 NNI 인터페이스 1개가 있습니다

  • 각 UNI 인터페이스에는 다음이 있습니다.

    • 10Mbps에서 트래픽을 감시하는 논리적 인터페이스 레벨 폴리서 1개.

    • 포워딩 클래스와 손실 우선순위를 할당하기 위한 4개의 용어가 있는 다중 필드 분류기입니다.

  • 각 UNI 인터페이스는 레벨 4에서 CFM UP MEP를 구성합니다.

  • 각 NNI 인터페이스는 레벨 2에서 CFM DOWN MEP를 구성합니다

라우터에 100개의 서비스가 구성된 시나리오를 생각해 보겠습니다. 이 규모를 사용하면 모든 애플리케이션이 성공적으로 구성되고 상태가 상태를 표시합니다 OK .

  1. 모든 단계에 대한 TCAM 리소스 사용량 보기.

    모든 단계(송신, 수신 및 사전 수신)에 대한 TCAM 리소스 사용량을 show pfe tcam usage all-tcam-stages detail 보려면 명령을 사용합니다. ACX5448 라우터에서 명령을 사용하여 show pfe filter hw summary TCAM 리소스 usgae를 확인합니다.

  2. 라우터에서 추가 레이어 2 서비스를 구성합니다.

    예를 들어, 라우터에 20개의 서비스를 더 추가하여 총 서비스 수를 120개로 늘립니다. 더 많은 서비스를 추가한 후 명령을 show log messages사용하여 syslog 메시지를 확인하거나 명령을 실행하여 구성 상태를 확인할 수 있습니다 show pfe tcam errors .

    다음은 CLI 명령을 실행하여 최신 구성을 위한 이더넷 스위칭 제품군 필터에 대한 TCAM 리소스 부족을 보여주는 샘플 syslog 메시지 출력입니다 show log messages .

    CLI 명령을 사용하여 show pfe tcam errors all-tcam-stages detail 구성 상태를 확인하는 경우 출력은 아래와 같습니다.

    출력은 애플리케이션에 TCAM 리소스가 부족하여 FAILED 상태로 이동함을 fw-l2-in 나타냅니다. 수신 단계에서 사용할 수 있는 TCAM 슬라이스가 두 개 있지만, fw-l2-in 애플리케이션은 모드(DOUBLE)로 인해 사용 가능한 TCAM 공간을 사용할 수 없어 리소스 부족 오류가 발생합니다.

  3. TCAM 리소스 부족으로 인해 실패한 애플리케이션을 수정합니다.

    fw-l2-in 라우터에 더 많은 수의 서비스를 추가하여 애플리케이션이 실패했으며, 이로 인해 TCAM 리소스가 부족해졌습니다. 다른 응용 프로그램은 제대로 작동하는 것처럼 보이지만 응용 프로그램이 정상 상태로 이동하도록 fw-l2-in 새로 추가된 서비스를 비활성화하거나 제거하는 것이 좋습니다. 새로 추가된 서비스를 제거하거나 비활성화한 후 및 show pfe tcam error 명령을 실행하여 show pfe tcam usage 실패 상태의 애플리케이션이 더 이상 없는지 확인해야 합니다.

    모든 단계(송신, 수신 및 사전 수신)에 대한 TCAM 리소스 사용량을 show pfe tcam usage all-tcam-stages detail 보려면 명령을 사용합니다. ACX5448 라우터의 경우 명령을 사용하여 show pfe filter hw summary TCAM 리소스 사용량을 확인합니다.

    모든 단계(송신, 수신 및 사전 수신)에 대한 TCAM 리소스 사용 오류를 보려면 명령을 사용합니다 show pfe tcam errors all-tcam-stages .

    TCAM 리소스를 사용하는 모든 애플리케이션이 상태 OK 이며 하드웨어가 성공적으로 구성되었음을 나타낼 수 있습니다.

주:

예제에 표시된 대로 각 단계에서 및 show pfe tcam usage 명령을 실행하여 show pfe tcam errors 구성이 유효하고 TCAM 리소스를 사용하는 애플리케이션이 OK 상태인지 확인해야 합니다. ACX5448 라우터의 경우 명령을 사용하여 show pfe filter hw summary TCAM 리소스 사용량을 확인합니다.

ACX 시리즈 라우터의 TCAM 리소스 모니터링 및 문제 해결

ACX 시리즈에서 TCAM(Ternary Content Addressable Memory) 공간의 동적 할당은 다양한 필터 애플리케이션에 사용 가능한 TCAM 리소스를 효율적으로 할당합니다. 동적 TCAM 모델에서는 다양한 필터 애플리케이션(예: inet-firewall, bridge-firewall, cfm-filters 등)이 필요할 때 사용 가능한 TCAM 리소스를 최적으로 활용할 수 있습니다. 동적 TCAM 리소스 할당은 사용량 중심이며 필요에 따라 필터 애플리케이션에 동적으로 할당됩니다. 필터 애플리케이션이 더 이상 TCAM 공간을 사용하지 않으면 리소스가 해제되어 다른 애플리케이션에서 사용할 수 있습니다. 이 동적 TCAM 모델은 애플리케이션의 수요에 따라 더 높은 규모의 TCAM 리소스 사용률을 지원합니다. show 및 clear 명령을 사용하여 ACX 시리즈 라우터에서 동적 TCAM 리소스 사용을 모니터링하고 문제를 해결할 수 있습니다.

주:

TCAM 리소스를 사용하는 애플리케이션을 이 문서에서는 tcam-app이라고 합니다.

Dynamic Ternary Content Addressable Memory 개요 은(는) ACX 시리즈 라우터에서 TCAM 리소스를 모니터링하고 문제를 해결하기 위한 작업과 명령을 보여줍니다

표 4: ACX 시리즈에서 TCAM 리소스 모니터링 및 문제 해결 명령

어떻게

명령어

특정 응용 프로그램에 대한 공유 응용 프로그램과 관련 응용 프로그램을 봅니다.

show pfe tcam app (list-shared-apps | list-related-apps)

모든 TCAM 단계의 애플리케이션 수를 확인합니다.

show pfe tcam usage all-tcam-stages

지정된 단계에서 TCAM 리소스를 사용하는 애플리케이션 수를 봅니다.

show pfe tcam usage tcam-stage (ingress | egress | pre-egress)

애플리케이션에서 사용하는 TCAM 리소스를 자세히 봅니다.

show pfe tcam usage app <application-name> detail

지정된 단계에서 애플리케이션이 사용하는 TCAM 리소스를 봅니다.

show pfe tcam usage tcam-stage (ingress | egress | pre-egress) app <application-name>

tcam-app에서 사용하는 TCAM 리소스 수 파악

show pfe tcam usage app <application-name>

모든 단계에 대한 TCAM 리소스 사용 오류를 확인합니다.

show pfe tcam errors all-tcam-stages detail

스테이지에 대한 TCAM 리소스 사용 오류 보기

show pfe tcam errors tcam-stage (ingress | egress | pre-egress)

애플리케이션에 대한 TCAM 리소스 사용 오류를 봅니다.

show pfe tcam errors app <application-name>

다른 공유 애플리케이션과 함께 애플리케이션에 대한 TCAM 리소스 사용 오류를 봅니다.

show pfe tcam errors app <application-name> shared-usage

모든 단계에 대한 TCAM 리소스 사용 오류 통계를 지웁니다.

clear pfe tcam-errors all-tcam-stages

지정된 단계에 대한 TCAM 리소스 사용 오류 통계를 지웁니다

clear pfe tcam-errors tcam-stage (ingress | egress | pre-egress)

애플리케이션에 대한 TCAM 리소스 사용 오류 통계를 지웁니다.

clear pfe tcam-errors app <application-name>

ACX 시리즈의 동적 TCAM에 대한 자세한 내용은 동적 삼항 콘텐츠 주소 지정 가능 메모리 개요를 참조하십시오.

ACX5048 및 ACX5096 라우터에서의 서비스 확장

ACX5048 및 ACX5096 라우터에서 구축되는 일반적인 서비스(예: ELINE, ELAN 및 IP VPN)에는 동적 TCAM 인프라를 사용하는 애플리케이션(예: 폴리서, 방화벽 필터, 연결 장애 관리 IEEE 802.1ag RFC2544)이 필요할 수 있습니다.

주:

TCAM 리소스를 사용하는 서비스 응용 프로그램은 TCAM 리소스 가용성에 의해 제한됩니다. 따라서 서비스의 규모는 이러한 애플리케이션의 TCAM 리소스 사용량에 따라 달라집니다.

ACX5048 및 ACX5096 라우터의 서비스 확장 모니터링 및 문제 해결을 위한 샘플 사용 사례는 Dynamic Ternary Content Addressable Memory 개요 섹션에서 찾을 수 있습니다.

논리적 시스템 보안 정책에서 DNS 이름 확인 문제 해결(기본 관리자만 해당)

문제

설명

보안 정책에 사용되는 주소록 항목의 호스트 이름 주소가 올바르게 확인되지 않을 수 있습니다.

원인

일반적으로 동적 호스트 이름이 포함된 주소록 항목은 SRX 시리즈 방화벽에 대해 자동으로 새로 고쳐집니다. DNS 항목과 연결된 TTL 필드는 정책 캐시에서 항목을 새로 고쳐야 하는 시간을 나타냅니다. TTL 값이 만료되면 SRX 시리즈 방화벽은 주소록 항목의 DNS 항목을 자동으로 새로 고칩니다.

그러나 SRX 시리즈 방화벽이 DNS 서버로부터 응답을 얻을 수 없는 경우(예: 네트워크에서 DNS 요청 또는 응답 패킷이 손실되거나 DNS 서버가 응답을 보낼 수 없는 경우) 주소록 항목의 호스트 이름 주소가 올바르게 확인되지 않을 수 있습니다. 이로 인해 보안 정책 또는 세션 일치가 발견되지 않아 트래픽이 손실될 수 있습니다.

솔루션

주 관리자는 명령을 사용하여 show security dns-cache SRX 시리즈 방화벽에 DNS 캐시 정보를 표시할 수 있습니다. DNS 캐시 정보를 새로 고쳐야 하는 경우 기본 관리자가 명령을 사용할 수 있습니다 clear security dns-cache .

주:

이러한 명령은 논리적 시스템에 대해 구성된 디바이스의 기본 관리자만 사용할 수 있습니다. 이 명령은 사용자 논리적 시스템 또는 논리적 시스템에 대해 구성되지 않은 디바이스에서는 사용할 수 없습니다.

보안 정책 문제 해결

라우팅 엔진과 패킷 전달 엔진 간의 정책 동기화

문제

설명

보안 정책은 라우팅 엔진과 패킷 전달 엔진에 저장됩니다. 구성을 커밋할 때 보안 정책이 라우팅 엔진에서 패킷 전달 엔진으로 푸시됩니다. 라우팅 엔진의 보안 정책이 패킷 전달 엔진과 동기화되지 않으면 구성 커밋이 실패합니다. 커밋을 반복적으로 시도하면 코어 덤프 파일이 생성될 수 있습니다. 동기화되지 않은 이유는 다음과 같습니다.

  • 라우팅 엔진에서 패킷 전달 엔진으로의 정책 메시지는 전송 중에 손실됩니다.

  • 재사용된 정책 UID와 같은 라우팅 엔진에 오류가 있습니다.

환경

구성을 커밋하려면 라우팅 엔진과 패킷 전달 엔진의 정책이 동기화되어야 합니다. 그러나 특정 상황에서는 라우팅 엔진과 패킷 전달 엔진의 정책이 동기화되지 않아 커밋이 실패할 수 있습니다.

증상

정책 구성이 수정되고 정책이 동기화되지 않으면 다음 오류 메시지가 표시됩니다. error: Warning: policy might be out of sync between RE and PFE <SPU-name(s)> Please request security policies check/resync.

솔루션

show security policies checksum 명령을 사용하여 보안 정책 체크섬 값을 표시하고, 보안 정책이 동기화되지 않은 경우 명령을 사용하여 request security policies resync 라우팅 엔진 및 패킷 전달 엔진의 보안 정책 구성을 동기화합니다.

보안 정책 커밋 실패 확인

문제

설명

대부분의 정책 구성 실패는 커밋 또는 런타임 중에 발생합니다.

커밋 실패는 구성 모드에서 CLI 명령을 commit-check 실행할 때 CLI에 직접 보고됩니다. 이러한 오류는 구성 오류이며, 이러한 오류를 수정하지 않고는 구성을 커밋할 수 없습니다.

솔루션

이러한 오류를 해결하려면 다음을 수행합니다.

  1. 구성 데이터를 검토합니다.

  2. /var/log/nsd_chk_only 파일을 엽니다. 이 파일은 커밋 검사를 수행할 때마다 덮어쓰며 자세한 실패 정보를 포함합니다.

보안 정책 커밋 확인

문제

설명

정책 구성 커밋을 수행할 때 시스템 동작이 올바르지 않은 경우 다음 단계를 사용하여 이 문제를 해결합니다.

솔루션

  1. 운영 show 명령 - 보안 정책에 대한 운영 명령을 실행하고 출력에 표시된 정보가 예상한 것과 일치하는지 확인합니다. 그렇지 않은 경우 구성을 적절하게 변경해야 합니다.

  2. Traceoptions - 정책 구성에서 명령을 설정합니다 traceoptions . 이 계층 아래의 플래그는 명령 출력의 사용자 분석에 따라 선택할 수 있습니다 show . 사용할 플래그를 결정할 수 없는 경우 flag 옵션을 all 사용하여 모든 추적 로그를 캡처할 수 있습니다.

로그를 캡처하기 위해 선택적 파일 이름을 구성할 수도 있습니다.

추적 옵션에서 파일 이름을 지정한 경우 /var/log/<filename>에서 로그 파일을 확인하여 파일에 오류가 보고되었는지 확인할 수 있습니다. (파일 이름을 지정하지 않은 경우 기본 파일 이름이 이벤트됩니다.) 오류 메시지는 실패 위치와 적절한 이유를 나타냅니다.

추적 옵션을 구성한 후에는 잘못된 시스템 동작을 일으킨 구성 변경을 다시 커밋해야 합니다.

디버깅 정책 조회

문제

설명

구성이 올바르지만 일부 트래픽이 잘못 삭제되거나 허용된 경우 보안 정책 traceoptions에서 플래그를 lookup 활성화할 수 있습니다. 플래그는 lookup 조회 관련 추적을 추적 파일에 기록합니다.

솔루션

ISSU 관련 문제 해결에 사용되는 오류 메시지 기록

ISSU 업그레이드 중에 다음과 같은 문제가 발생할 수 있습니다. 로그의 세부 정보를 사용하여 오류를 식별할 수 있습니다. 특정 시스템 로그 메시지에 대한 자세한 내용은 시스템 로그 탐색기를 참조하십시오.

섀시 프로세스 오류

문제

설명

섀시 관련 오류.

솔루션

오류 메시지를 사용하여 섀시와 관련된 문제를 이해합니다.

ISSU가 시작되면 섀시 관점에서 ISSU와 관련된 문제가 있는지 확인하기 위해 섀시에 요청이 전송됩니다. 문제가 있는 경우 로그 메시지가 생성됩니다.

ISSU에 대한 일반적인 오류 처리 이해

문제

설명

ISSU 과정에서 몇 가지 문제가 발생할 수 있습니다. 이 섹션에서는 이를 처리하는 방법에 대해 자세히 설명합니다.

솔루션

ISSU 도중 오류가 발생하면 로그 메시지가 생성되며 ISSU는 트래픽에 영향을 주지 않고 계속 작동합니다. 이전 버전으로 되돌려야 하는 경우, 섀시 클러스터의 두 노드에서 일치하지 않는 버전이 생성되지 않도록 이벤트가 기록되거나 ISSU가 중단됩니다. 표 8 에서는 몇 가지 일반적인 오류 조건과 이에 대한 해결 방법을 제공합니다. 에 표 8 사용된 샘플 메시지는 SRX1500 디바이스에서 전송된 것으로, 지원되는 모든 SRX 시리즈 방화벽에도 적용됩니다.

표 8: ISSU 관련 오류 및 해결 방법

오류 조건

솔루션

ISSU의 이전 인스턴스가 이미 진행 중일 때 ISSU 시작 시도

다음 메시지가 표시됩니다.

warning: ISSU in progress

현재 ISSU 프로세스를 중단하고 명령을 사용하여 ISSU를 다시 시작할 수 있습니다 request chassis cluster in-service-upgrade abort .

보조 노드에서 재부팅 실패

기본 노드가 필요한 서비스를 계속 제공하므로 서비스 다운타임이 발생하지 않습니다. 기존 ISSU 상태를 수동으로 지우고 섀시 클러스터를 복원하도록 요청하는 자세한 콘솔 메시지가 표시됩니다.

error: [Oct  6 12:30:16]: Reboot secondary node failed (error-code: 4.1)

       error: [Oct  6 12:30:16]: ISSU Aborted! Backup node maybe in inconsistent state, Please restore backup node
       [Oct  6 12:30:16]: ISSU aborted. But, both nodes are in ISSU window.
       Please do the following:
       1. Rollback the node with the newer image using rollback command
          Note: use the 'node' option in the rollback command
          otherwise, images on both nodes will be rolled back
       2. Make sure that both nodes (will) have the same image
       3. Ensure the node with older image is primary for all RGs
       4. Abort ISSU on both nodes
       5. Reboot the rolled back node

Junos OS 릴리스 17.4R1부터 ISSU 프로세스 중 보조 노드의 초기 재부팅을 위한 보류 타이머가 SRX1500, SRX4100, SRX4200 및 SRX4600 디바이스의 섀시 클러스터에서 15분(900초)에서 45분(2700초)으로 연장됩니다.

보조 노드가 콜드 동기화를 완료하지 못했습니다.

보조 노드가 콜드 동기화를 완료하지 못하면 기본 노드의 시간이 초과됩니다. 기존 ISSU 상태를 수동으로 지우고 섀시 클러스터를 복원하라는 자세한 콘솔 메시지가 표시됩니다. 이 시나리오에서는 서비스 가동 중지 시간이 발생하지 않습니다.

[Oct  3 14:00:46]: timeout waiting for secondary node node1 to sync(error-code: 6.1)
        Chassis control process started, pid 36707 

       error: [Oct  3 14:00:46]: ISSU Aborted! Backup node has been upgraded, Please restore backup node 
       [Oct  3 14:00:46]: ISSU aborted. But, both nodes are in ISSU window. 
       Please do the following: 
      1. Rollback the node with the newer image using rollback command 
          Note: use the 'node' option in the rollback command 
          otherwise, images on both nodes will be rolled back 
      2. Make sure that both nodes (will) have the same image 
      3. Ensure the node with older image is primary for all RGs 
      4. Abort ISSU on both nodes 
      5. Reboot the rolled back node  

새로 업그레이드된 보조 데이터베이스의 장애 조치(failover) 실패

기본 노드가 필요한 서비스를 계속 제공하므로 서비스 다운타임이 발생하지 않습니다. 기존 ISSU 상태를 수동으로 지우고 섀시 클러스터를 복원하도록 요청하는 자세한 콘솔 메시지가 표시됩니다.

[Aug 27 15:28:17]: Secondary node0 ready for failover.
[Aug 27 15:28:17]: Failing over all redundancy-groups to node0
ISSU: Preparing for Switchover
error: remote rg1 priority zero, abort failover.
[Aug 27 15:28:17]: failover all RGs to node node0 failed (error-code: 7.1)
error: [Aug 27 15:28:17]: ISSU Aborted!
[Aug 27 15:28:17]: ISSU aborted. But, both nodes are in ISSU window.
Please do the following:
1. Rollback the node with the newer image using rollback command
    Note: use the 'node' option in the rollback command
           otherwise, images on both nodes will be rolled back
2. Make sure that both nodes (will) have the same image
3. Ensure the node with older image is primary for all RGs
4. Abort ISSU on both nodes
5. Reboot the rolled back node
{primary:node1}

기본에서 업그레이드 실패

보조 노드가 기본 노드로 장애 조치되고 필요한 서비스를 계속 제공하기 때문에 서비스 다운타임이 발생하지 않습니다.

기본 노드에서 재부팅 실패

기본 노드를 재부팅하기 전에 디바이스가 ISSU 설정에서 벗어나면 ISSU 관련 오류 메시지가 표시되지 않습니다. 다른 오류가 감지되면 다음 재부팅 오류 메시지가 표시됩니다.

Reboot failure on     Before the reboot of primary node, devices will be out of ISSU setup and no primary node error messages will be displayed.
Primary node

ISSU 지원 관련 에러

문제

설명

지원되지 않는 소프트웨어 및 지원되지 않는 기능 구성으로 인해 설치 오류가 발생합니다.

솔루션

다음 오류 메시지를 사용하여 호환성 관련 문제를 이해할 수 있습니다.

초기 유효성 검사 실패

문제

설명

초기 유효성 검사가 실패합니다.

솔루션

이미지가 없거나 이미지 파일이 손상된 경우 유효성 검사가 실패합니다. 이미지가 존재하지 않고 ISSU가 중단될 때 초기 검증 검사가 실패할 때 다음 오류 메시지가 표시됩니다.

이미지가 없을 때

이미지 파일이 손상된 경우

이미지 파일이 손상된 경우 다음과 같은 출력이 표시됩니다.

기본 노드는 디바이스 구성을 검증하여 새 소프트웨어 버전을 사용하여 커밋할 수 있는지 확인합니다. 문제가 발생하면 ISSU가 중단되고 오류 메시지가 표시됩니다.

설치 관련 오류

문제

설명

설치 이미지 파일이 없거나 원격 사이트에 액세스할 수 없습니다.

솔루션

다음 오류 메시지를 사용하여 설치 관련 문제를 이해하십시오.

ISSU는 ISSU 명령에 지정된 대로 설치 이미지를 인수로 다운로드합니다. 이미지 파일은 로컬 파일이거나 원격 사이트에 있을 수 있습니다. 파일이 없거나 원격 사이트에 액세스할 수 없는 경우 오류가 보고됩니다.

중복 그룹 페일오버 오류

문제

설명

RG(Automatic Redundancy Group) 오류에 문제가 있습니다.

솔루션

다음 오류 메시지를 사용하여 문제를 파악합니다.

커널 상태 동기화 오류

문제

설명

관련 오류: ksyncd.

솔루션

다음 오류 메시지를 사용하여 ksyncd와 관련된 문제를 이해하십시오.

ISSU는 보조 노드(노드 1)에 ksyncd 오류가 있는지 확인하고 문제가 있는 경우 오류 메시지를 표시하며 업그레이드를 중단합니다.

변경 내역 표

기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. Feature Explorer 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.

릴리스
설명
17.4R1
Junos OS 릴리스 17.4R1부터 ISSU 프로세스 중 보조 노드의 초기 재부팅을 위한 보류 타이머가 SRX1500, SRX4100, SRX4200 및 SRX4600 디바이스의 섀시 클러스터에서 15분(900초)에서 45분(2700초)으로 연장됩니다.