Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

보안 디바이스 문제 해결

논리적 시스템 보안 정책에서 DNS 이름 해석 문제 해결(기본 관리자만 해당)

문제

설명

보안 정책에서 사용되는 주소록 항목의 호스트 이름 주소가 올바르게 해결되지 않을 수 있습니다.

원인

일반적으로 SRX 시리즈 디바이스에 대해 동적 호스트 이름을 포함하는 주소록 항목이 자동으로 업데이트됩니다. DNS 엔트리와 연관된 TTL 필드는 정책 캐시에서 엔트리를 새로 고쳐야 하는 시간을 나타냅니다. TTL 값이 만료되면 SRX 시리즈 디바이스는 주소록 입력에 대한 DNS 엔트리를 자동으로 새로 고칩니다.

그러나 SRX 시리즈 디바이스가 DNS 서버에서 응답을 얻을 수 없는 경우(예: DNS 요청 또는 응답 패킷이 네트워크에서 손실되거나 DNS 서버가 응답을 보낼 수 없음) 주소록 항목의 호스트 이름 주소가 제대로 해결되지 않을 수 있습니다. 따라서 보안 정책이나 세션 일치가 발견되지 않으면 트래픽이 드롭됩니다.

솔루션

기본 관리자는 이 명령을 사용하여 show security dns-cache SRX 시리즈 디바이스에 DNS 캐시 정보를 표시할 수 있습니다. DNS 캐시 정보를 새로 고쳐야 하는 경우 기본 관리자는 이 clear security dns-cache 명령을 사용할 수 있습니다.

주:

이들 명령은 논리적 시스템을 위해 구성된 장비에서 기본 관리자에게만 제공됩니다. 이 명령은 사용자 논리적 시스템이나 논리적 시스템에 대해 구성되지 않은 장치에서는 사용할 수 없습니다.

보안 정책 문제 해결

라우팅 엔진과 패킷 포워딩 엔진 간의 정책 동기화

문제

설명

보안 정책은 라우팅 엔진과 패킷 포워딩 엔진에 저장됩니다. 구성을 커밋할 때 보안 정책이 Routing Engine에서 Packet Forwarding Engine으로 푸시됩니다. 라우팅 엔진의 보안 정책이 패킷 전달 엔진과 동기화되지 않으면 구성 커밋에 실패합니다. 커밋을 반복적으로 시도하면 코어 덤프 파일을 생성할 수 있습니다. 동기화가 중단된 경우

  • 전송 중에 Routing Engine에서 Packet Forwarding Engine으로 전달되는 정책 메시지가 손실됩니다.

  • 재사용된 정책 UID와 같은 라우팅 엔진에 오류가 발생했습니다.

환경

라우팅 엔진 및 패킷 포워딩 엔진의 정책은 구성이 커밋될 때 동기화되어야 합니다. 그러나 특정 상황에서는 Routing Engine 및 Packet Forwarding Engine의 정책이 동기화되지 않아 커밋에 장애가 발생할 수 있습니다.

증상

정책 구성이 수정되고 정책이 동기화되지되면 다음 오류 메시지가 표시됩니다. error: Warning: policy might be out of sync between RE and PFE <SPU-name(s)> Please request security policies check/resync.

솔루션

show security policies checksum 명령을 사용하여 보안 정책 체크섬 값을 표시하고 보안 정책이 동기화되지 않은 경우 명령을 사용하여 request security policies resync 라우팅 엔진 및 패킷 포워딩 엔진의 보안 정책 구성을 동기화합니다.

보안 정책 커밋 실패 확인

문제

설명

대부분의 정책 구성 장애는 커밋 또는 런타임 중에 발생합니다.

커밋 실패는 구성 모드에서 CLI 명령을 commit-check 실행할 때 CLI에서 직접 보고됩니다. 이러한 오류는 구성 오류이며 이러한 오류를 수정하지 않고는 구성을 커밋할 수 없습니다.

솔루션

이러한 오류를 해결하려면 다음을 수행합니다.

  1. 구성 데이터를 검토합니다.

  2. 파일 /var/log/nsd_chk_only 엽니다. 이 파일은 커밋 검사를 수행할 때마다 덮어쓰기되며 자세한 장애 정보가 포함되어 있습니다.

보안 정책 커밋 검증

문제

설명

정책 구성 커밋을 수행할 때 시스템 동작이 올바르지 않다는 것을 알게 되면 다음 단계를 사용하여 이 문제를 해결하십시오.

솔루션

  1. 운영 show 명령—보안 정책에 대한 운영 명령을 실행하고 출력에 표시된 정보가 예상한 것과 일치하는지 확인합니다. 그렇지 않은 경우 구성을 적절하게 변경해야 합니다.

  2. Traceoptions—정책 구성에서 traceoptions 명령을 설정합니다. 이 계층의 플래그는 명령 출력의 show 사용자 분석에 따라 선택할 수 있습니다. 사용할 플래그를 확인할 수 없는 경우 모든 추적 로그를 캡처하는 데 플래그 옵션을 all 사용할 수 있습니다.

로그를 캡처하기 위한 파일 이름 옵션을 구성할 수도 있습니다.

추적 옵션에 파일 이름을 지정한 경우 로그 파일에 대한 /var/log/<filename>를 확인하여 파일에 오류가 보고되었는지 확인할 수 있습니다. (파일 이름을 지정하지 않은 경우 기본 파일 이름이 지정됩니다.) 오류 메시지는 장애 장소와 적절한 이유를 나타냅니다.

추적 옵션을 구성한 후에 잘못된 시스템 동작을 야기한 구성 변경을 다시 커밋해야 합니다.

디버깅 정책 조회

문제

설명

올바른 구성을 가지고 있지만 일부 트래픽이 잘못 삭제되거나 허용된 경우 보안 정책 추적옵션에서 플래그를 활성화 lookup 할 수 있습니다. 플래그는 lookup 추적 파일에서 조회 관련 추적을 로그합니다.

솔루션

ISSU 관련 문제 해결에 사용되는 로그 오류 메시지

ISSU 업그레이드 중에 다음과 같은 문제가 발생할 수 있습니다. 로그에서 세부 정보를 사용하여 오류를 식별할 수 있습니다. 특정 시스템 로그 메시지에 대한 자세한 내용은 System Log Explorer를 참조하십시오.

섀시드 프로세스 오류

문제

설명

섀시드 관련 오류.

솔루션

오류 메시지를 사용하여 섀시드 관련 문제를 파악합니다.

ISSU가 시작되면 섀시 관점에서 ISSU와 관련된 문제가 있는지 확인하기 위해 요청이 섀시드로 전송됩니다. 문제가 있는 경우 로그 메시지가 생성됩니다.

ISSU에 대한 공통 오류 처리 이해

문제

설명

ISSU 과정에서 몇 가지 문제가 발생할 수 있습니다. 이 섹션에서는 이를 처리하는 방법에 대해 자세히 설명합니다.

솔루션

ISSU 동안 발생하는 모든 오류는 로그 메시지를 생성하게 되며, ISSU는 트래픽에 영향을 주지 않으면서 계속 작동합니다. 이전 버전으로 복귀해야 하는 경우 섀시 클러스터의 두 노드에서 일치하지 않는 버전을 생성하지 않도록 이벤트가 로깅되거나 ISSU가 중단됩니다. 표 4 몇 가지 일반적인 오류 조건과 해결 방법을 제공합니다. SRX1500 장비에서 표 4 보낸 샘플 메시지는 지원되는 모든 SRX 시리즈 디바이스에도 적용됩니다.

표 4: ISSU 관련 오류 및 솔루션

오류 조건

솔루션

이전 ISSU 인스턴스가 이미 진행 중일 때 ISSU 시작 시도

다음 메시지가 표시됩니다.

warning: ISSU in progress

현재 ISSU 프로세스를 중단하고 명령을 사용하여 request chassis cluster in-service-upgrade abort ISSU를 다시 시작할 수 있습니다.

보조 노드에서 재부팅 실패

기본 노드에서 계속 필요한 서비스를 제공하기 때문에 서비스 다운타임이 발생하지 않습니다. 기존 ISSU 상태를 수동으로 지우고 섀시 클러스터를 복원해야 하는 자세한 콘솔 메시지가 표시됩니다.

error: [Oct  6 12:30:16]: Reboot secondary node failed (error-code: 4.1)

       error: [Oct  6 12:30:16]: ISSU Aborted! Backup node maybe in inconsistent state, Please restore backup node
       [Oct  6 12:30:16]: ISSU aborted. But, both nodes are in ISSU window.
       Please do the following:
       1. Rollback the node with the newer image using rollback command
          Note: use the 'node' option in the rollback command
          otherwise, images on both nodes will be rolled back
       2. Make sure that both nodes (will) have the same image
       3. Ensure the node with older image is primary for all RGs
       4. Abort ISSU on both nodes
       5. Reboot the rolled back node

Junos OS 릴리스 17.4R1부터 시작하여, ISSU 프로세스 동안 보조 노드의 초기 재부팅을 위한 대기 타이머가 SRX1500, SRX4100, SRX4200 및 SRX4600 디바이스의 섀시 클러스터에서 15분(900초)에서 45분(2700초)으로 확장됩니다.

보조 노드가 콜드 동기화를 완료하지 못했습니다.

보조 노드가 냉기 동기화를 완료하지 못하면 기본 노드가 타임 아웃됩니다. 기존 ISSU 상태를 수동으로 지우고 섀시 클러스터를 복원하는 상세 콘솔 메시지가 표시됩니다. 이 시나리오에서는 서비스 다운타임이 발생하지 않습니다.

[Oct  3 14:00:46]: timeout waiting for secondary node node1 to sync(error-code: 6.1)
        Chassis control process started, pid 36707 

       error: [Oct  3 14:00:46]: ISSU Aborted! Backup node has been upgraded, Please restore backup node 
       [Oct  3 14:00:46]: ISSU aborted. But, both nodes are in ISSU window. 
       Please do the following: 
      1. Rollback the node with the newer image using rollback command 
          Note: use the 'node' option in the rollback command 
          otherwise, images on both nodes will be rolled back 
      2. Make sure that both nodes (will) have the same image 
      3. Ensure the node with older image is primary for all RGs 
      4. Abort ISSU on both nodes 
      5. Reboot the rolled back node  

새로 업그레이드된 보조 서비스의 페일오버 실패

기본 노드에서 계속 필요한 서비스를 제공하기 때문에 서비스 다운타임이 발생하지 않습니다. 기존 ISSU 상태를 수동으로 지우고 섀시 클러스터를 복원해야 하는 자세한 콘솔 메시지가 표시됩니다.

[Aug 27 15:28:17]: Secondary node0 ready for failover.
[Aug 27 15:28:17]: Failing over all redundancy-groups to node0
ISSU: Preparing for Switchover
error: remote rg1 priority zero, abort failover.
[Aug 27 15:28:17]: failover all RGs to node node0 failed (error-code: 7.1)
error: [Aug 27 15:28:17]: ISSU Aborted!
[Aug 27 15:28:17]: ISSU aborted. But, both nodes are in ISSU window.
Please do the following:
1. Rollback the node with the newer image using rollback command
    Note: use the 'node' option in the rollback command
           otherwise, images on both nodes will be rolled back
2. Make sure that both nodes (will) have the same image
3. Ensure the node with older image is primary for all RGs
4. Abort ISSU on both nodes
5. Reboot the rolled back node
{primary:node1}

기본 업그레이드 실패

보조 노드가 기본 노드로 장애를 발생시키고 계속 필요한 서비스를 제공하기 때문에 서비스 다운타임이 발생하지 않습니다.

기본 노드에서 재부팅 실패

기본 노드가 재부팅되기 전에, 장비가 ISSU 설정에서 벗어나면 ISSU 관련 오류 메시지가 표시되지 않습니다. 다른 장애가 탐지되면 다음 재부팅 오류 메시지가 표시됩니다.

Reboot failure on     Before the reboot of primary node, devices will be out of ISSU setup and no primary node error messages will be displayed.
Primary node

ISSU 지원 관련 오류

문제

설명

지원되지 않는 소프트웨어와 지원되지 않는 기능 구성으로 인해 설치 실패가 발생합니다.

솔루션

호환성 관련 문제를 파악하려면 다음 오류 메시지를 사용합니다.

최초 검증 검사 실패

문제

설명

최초 검증 검사는 실패합니다.

솔루션

이미지가 없거나 이미지 파일이 손상되었는지에 대한 검증 검사에 실패합니다. 이미지가 표시되지 않고 ISSU가 중단되면 초기 검증 검사가 실패하면 다음과 같은 오류 메시지가 표시됩니다.

이미지가 없을 때

이미지 파일이 손상되었을 때

이미지 파일이 손상되면 다음 출력이 표시됩니다.

기본 노드는 장비 구성을 검증하여 새 소프트웨어 버전을 사용하여 디바이스를 커밋할 수 있는지 확인합니다. 문제가 발생하면 ISSU 중단 및 오류 메시지가 표시됩니다.

설치 관련 오류

문제

설명

설치 이미지 파일이 없거나 원격 사이트에 접근할 수 없습니다.

솔루션

다음 오류 메시지를 사용하여 설치 관련 문제를 이해합니다.

ISSU는 ISSU 명령에 지정된 설치 이미지를 인수로 다운로드합니다. 이미지 파일은 로컬 파일이거나 원격 사이트에 위치할 수 있습니다. 파일이 없거나 원격 사이트에 접근할 수 없는 경우 오류가 보고됩니다.

이중화 그룹 페일오버 오류

문제

설명

자동 이중화 그룹(RG) 장애 문제.

솔루션

다음 오류 메시지를 사용하여 문제를 파악합니다.

커널 상태 동기화 오류

문제

설명

ksyncd 관련 오류.

솔루션

ksyncd와 관련된 문제를 이해하려면 다음 오류 메시지를 사용합니다.

ISSU는 보조 노드(노드 1)에 ksyncd 오류가 있는지 확인하고, 문제가 있고 업그레이드가 중단된 경우 오류 메시지를 표시합니다.

출시 내역 표
릴리스
설명
17.4R1
Junos OS 릴리스 17.4R1부터 시작하여, ISSU 프로세스 동안 보조 노드의 초기 재부팅을 위한 대기 타이머가 SRX1500, SRX4100, SRX4200 및 SRX4600 디바이스의 섀시 클러스터에서 15분(900초)에서 45분(2700초)으로 확장됩니다.