Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의 내용
 

연결이 끊긴 SRX 시리즈 방화벽 문제 해결

연결 끊김 문제를 해결하고 PCAP(Get Packet Capture)를 통해 추가 인사이트를 얻으십시오.

연결이 끊긴 것으로 표시된 SRX 시리즈 방화벽 문제 해결

주니퍼 Mist™ 포털에 주니퍼 네트웍®스 SRX 시리즈 방화벽이 온라인 상태이고 로컬에서 연결할 수 있을 때 연결이 끊어진 것으로 표시되는 경우 이 항목에 나열된 단계를 사용하여 문제를 해결할 수 있습니다. 문제 해결 단계를 수행하려면 방화벽에 대한 콘솔 액세스 또는 SSH 액세스가 필요합니다.

  1. SRX 시리즈 방화벽이 지원되는 Junos OS 버전에서 실행되고 있는지 확인합니다.

    WAN Assurance의 경우 SRX300, SRX320, SRX340, SRX345, SRX380, SRX550M 및 SRX1500에 버전 19.4 이상Junos OS 필요합니다. SRX1600, SRX2300, SRX4300의 경우, 디바이스는 릴리스 24.2R1.17 이상Junos OS 실행되어야 합니다. SRX4700의 경우 24.4R1-S2 이상의 Junos OS 버전이 필요합니다.

    CLI 명령을 사용하여 show version 버전을 확인할 수 있습니다.

  2. SRX 시리즈 방화벽의 IP 주소가 유효한지 확인합니다.

    명령을 사용합니다.show interfaces terse

    IP 주소가 있는 통합 라우팅 및 브리징(IRB) 인터페이스(irb.0)가 표시되어야 합니다. SRX 시리즈 모델(또는 섀시 클러스터 고가용성 구성의 경우)에 따라 여러 IRB 인터페이스가 표시될 수 있습니다.

    적어도 하나의 IRB 인터페이스에 유효한 IP 주소가 있어야 합니다. 방화벽은 fxp0 인터페이스에서 볼 수 있는 관리 IP 주소를 사용하여 연결할 수도 있습니다.

    다음을 확인합니다.

    • irb 또는 fxp0 인터페이스에 유효한 IP 주소가 있습니다.

    • 관리자 및 링크 상태가 켜짐입니다.

  3. 다음 샘플과 같이 방화벽이 게이트웨이에 연결할 수 있는지 확인합니다.
  4. 장치가 인터넷에 연결할 수 있는지 확인합니다. 공용 서버(예: 8.8.8.8)에 대한 ping 테스트를 시작합니다.
  5. 방화벽이 문제를 해결할 oc-term.mistsys.net수 있는지 확인합니다.

    방화벽이 확인 oc-term.mistsys.net되지 않으면 방화벽에 DNS 서버가 구성되어 있는지 확인하십시오.

    방화벽에 DNS 서버가 없는 경우 다음 예제 와 같이 서버를 구성합니다.
  6. 방화벽 포트가 열려 있는지 확인합니다(예: oc-term.mistsys.net 의 경우 tcp 포트 2200).

    다음 표를 참조하여 클라우드 환경에 따라 활성화할 포트를 결정합니다.

    표 1: 다양한 주니퍼 Mist 클라우드에서 활성화할 포트
    서비스 유형 글로벌 01 글로벌 02 유럽 01
    SRX 시리즈 redirect.juniper.net(TCP 443) redirect.juniper.net(TCP 443) redirect.juniper.net(TCP 443)
    ztp.mist.com(TCP 443) ztp.gc1.mist.com(TCP 443) ztp.eu.mist.com(TCP 443)
    oc-term.mistsys.net(TCP 2200) oc-term.gc1.mist.com(TCP 2200) oc-term.eu.mist.com(TCP 2200)

    다음 명령을 사용하여 연결을 확인할 수 있습니다.

  7. 방화벽의 시스템 시간을 확인하여 시간이 정확한지 확인합니다.

    시스템 시간이 올바르지 않으면 구성합니다. 자세한 내용은 로컬에서 날짜 및 시간 구성을 참조하십시오.

  8. 형식인지 확인하십시오 device-id . <org_id>.<mac_addr>아래와 같이:

    자세한 내용은 outbound-ssh 를 참조하십시오.

    명령을 사용하여 로그 메시지를 검사할 수도 있습니다.show log messages

  9. 아래와 같이 아웃바운드 SSH를 비활성화한 다음 다시 활성화합니다.
    • 비활성화하려면
    • 다시 활성화하려면
  10. SRX 시리즈 방화벽을 처음 추가하는 경우, 다음을 수행합니다.
    • delete 명령을 사용하여 방화벽에서 현재 주니퍼 Mist 구성을 삭제합니다.
    • 방화벽을 다시 온보딩합니다. Mist 클라우드에서 SRX 시리즈 방화벽을 실행하는 방법에 대한 자세한 내용은 클라우드 지원 SRX 방화벽을 참조하십시오.
    • 다음 명령을 사용하여 시스템 서비스 outbound-ssh 및 시스템 연결을 확인합니다.
      • show system services outbound-ssh
      • show system connections | grep 2200

패킷 캡처를 사용하여 SRX 시리즈 방화벽 문제 해결

SRX 시리즈 방화벽은 수동 설정 패킷 캡처(PCAP)를 지원합니다. 패킷 캡처는 네트워크 트래픽을 분석하고 네트워크 문제를 해결하는 데 도움이 되는 도구입니다. 모니터링 및 로깅을 위해 네트워크를 통해 이동하는 실시간 데이터 패킷을 캡처합니다.

메모:

SRX 시리즈 방화벽은 동적 패킷 캡처를 지원하지 않습니다.

수동 패킷 캡처는 사용자가 WAN 에지 패킷 캡처 페이지에서 시작합니다.

SRX 시리즈 방화벽에 대한 수동 설정 PCAP를 시작하려면:

  1. 사이트 > WAN 에지 패킷 캡처로 이동합니다.

  2. WAN 탭에서 WAN Edge 추가 +를 클릭하고 SRX 시리즈 방화벽을 선택합니다.

    그림 1: WAN 에지 패킷 캡처 WAN Edge Packet Capture

  3. 캡처한 패킷 수, 패킷 크기(바이트) 및 캡처 세션 기간을 지정합니다.

  4. 포트 필터 추가 옵션을 사용하여 포트를 지정합니다. 이 창의 TCPDUMP 식 텍스트 상자에 필터를 입력할 수도 있습니다.

  5. 필요에 따라 식 작성기 사용을 선택하여 패킷 캡처에 대한 식을 작성합니다. 식 작성기는 캡처 세션에서 사용할 tcpdump 구문으로 사용자 지정 필터를 빌드하는 대화형 GUI 도구입니다. 빌더가 필터 항목을 시작하도록 한 다음 수동으로 항목을 추가하거나 삭제하도록 할 수 있습니다. 다음 옵션을 지정할 수 있습니다.
    • IP 호스트
    • 프로토콜
    • 포트 및 포트 범위
    • IP 브로드캐스트
    • IP 멀티캐스트

    표현식 작성기에 주소와 프로토콜을 입력하면 포털이 페이지에서 자동으로 tcpdump 표현식을 생성합니다. 필요한 경우 표현식을 편집할 수 있습니다.

  6. 캡처 시작을 클릭합니다. 패킷 캡처 콘텐츠가 페이지에서 스트리밍됩니다.

  7. 페이지 오른쪽 상단에 있는 캡처된 파일을 클릭하여 오프라인 분석을 위해 파일을 다운로드할 수 있습니다.

참조: 동적 및 수동 패킷 캡처.

또한보십시오