Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Monitoreo y solución de problemas

SUMMARY En esta sección se describen las funciones de supervisión de red y solución de problemas de Junos OS.

Ping Hosts

Propósito

Utilice el comando de la CLI ping para comprobar que se puede acceder a un host a través de la red. Este comando es útil para diagnosticar problemas de conectividad de host y red. El dispositivo envía una serie de solicitudes de eco (ping) del Protocolo de mensajes de control de Internet (ICMP) a un host especificado y recibe respuestas de eco ICMP.

Acción

Para usar el ping comando para enviar cuatro solicitudes (recuento de ping) al host3:

Salida de muestra

nombre-comando

Significado

  • Los ping resultados muestran la siguiente información:

    • Tamaño del paquete de respuesta ping (en bytes).

    • Dirección IP del host desde el que se envió la respuesta.

    • Número de secuencia del paquete de respuesta ping. Puede usar este valor para hacer coincidir la respuesta ping con la solicitud ping correspondiente.

    • Valor de recuento de saltos de tiempo de vida (ttl) del paquete de respuesta de ping.

    • Tiempo total entre el envío del paquete de solicitud de ping y la recepción del paquete de respuesta de ping, en milisegundos. Este valor también se denomina tiempo de ida y vuelta.

    • Número de solicitudes de ping (sondeos) enviadas al host.

    • Número de respuestas de ping recibidas del host.

    • Porcentaje de pérdida de paquetes.

    • Estadísticas de ida y vuelta: desviación mínima, media, máxima y estándar del tiempo de ida y vuelta.

Supervisar el tráfico a través del enrutador o conmutador

Para diagnosticar un problema, muestre estadísticas en tiempo real sobre el tráfico que pasa a través de las interfaces físicas en el enrutador o conmutador.

Para mostrar estadísticas en tiempo real sobre interfaces físicas, realice estas tareas:

Mostrar estadísticas en tiempo real sobre todas las interfaces del enrutador o conmutador

Propósito

Muestra estadísticas en tiempo real sobre el tráfico que pasa por todas las interfaces del enrutador o conmutador.

Acción

Para mostrar estadísticas en tiempo real sobre el tráfico que pasa por todas las interfaces del enrutador o conmutador:

Salida de muestra
nombre-comando

Significado

La salida de ejemplo muestra datos de tráfico para interfaces activas y la cantidad que cada campo ha cambiado desde que se inició el comando o desde que se borraron los contadores con la C clave. En este ejemplo, el monitor interface comando se ha estado ejecutando durante 15 segundos desde que se emitió el comando o desde la última vez que los contadores volvieron a cero.

Mostrar estadísticas en tiempo real sobre una interfaz en el enrutador o conmutador

Propósito

Muestra estadísticas en tiempo real sobre el tráfico que pasa a través de una interfaz en el enrutador o conmutador.

Acción

Para mostrar el tráfico que pasa a través de una interfaz en el enrutador o conmutador, utilice el siguiente comando del modo operativo de la CLI de Junos OS:

Salida de muestra
nombre-comando

Significado

La salida de ejemplo muestra los paquetes de entrada y salida para una interfaz SONET determinada (so-0/0/1). La información puede incluir errores comunes de interfaz, como alarmas SONET/SDH y T3, loopbacks detectados y aumentos en los errores de trama. Para obtener más información, consulte Lista de comprobación para el seguimiento de condiciones de error.

Para controlar el resultado del comando mientras se está ejecutando, utilice las teclas que se muestran en Tabla 1.

Tabla 1: Teclas de control de salida para el comando de interfaz de monitor

Acción

Clave

Mostrar información sobre la siguiente interfaz. El monitor interface comando se desplaza por las interfaces físicas o lógicas en el mismo orden en que las muestra el show interfaces terse comando.

N

Mostrar información sobre una interfaz diferente. El comando le pedirá el nombre de una interfaz específica.

I

Congele la pantalla, deteniendo la visualización de estadísticas actualizadas.

F

Descongele la visualización y reanude la visualización de estadísticas actualizadas.

T

Borre (cero) los contadores delta actuales desde que monitor interface se inició. No borra el contador acumulativo.

C

Detenga el monitor interface comando.

Q

Consulte el Explorador de CLI para obtener más información sobre el uso de condiciones de coincidencia con el monitor traffic comando.

Descripción general de la memoria direccionable de contenido ternario dinámico

En los enrutadores de la serie ACX, la memoria direccionable de contenido ternario (TCAM) es utilizada por varias aplicaciones, como firewall, administración de fallas de conectividad, PTPoE, RFC 2544 etcetera. El motor de reenvío de paquetes (PFE) de los enrutadores de la serie ACX utiliza TCAM con límites de espacio TCAM definidos. La asignación de recursos TCAM para varias aplicaciones de filtro se distribuye estáticamente. Esta asignación estática conduce a una utilización ineficiente de los recursos TCAM cuando es posible que todas las aplicaciones de filtro no utilicen este recurso TCAM simultáneamente.

La asignación dinámica del espacio TCAM en los enrutadores ACX asigna eficientemente los recursos TCAM disponibles para varias aplicaciones de filtro. En el modelo TCAM dinámico, varias aplicaciones de filtro (como inet-firewall, bridge-firewall, cfm-filters, etcetera.) pueden utilizar de manera óptima los recursos TCAM disponibles cuando sea necesario. La asignación dinámica de recursos TCAM se basa en el uso y se asigna dinámicamente para las aplicaciones de filtro según sea necesario. Cuando una aplicación de filtro ya no utiliza el espacio TCAM, el recurso se libera y está disponible para su uso por otras aplicaciones. Este modelo dinámico de TCAM atiende a una mayor escala de utilización de recursos de TCAM en función de la demanda de la aplicación.

Aplicaciones que utilizan infraestructura TCAM dinámica

Las siguientes categorías de aplicaciones de filtro utilizan la infraestructura TCAM dinámica:

  • Filtro de firewall: todas las configuraciones de firewall

  • Filtro implícito: demonios del motor de enrutamiento (RE) que usan filtros para lograr su funcionalidad. Por ejemplo, administración de fallos de conectividad, validación de IP MAC, etcetera.

  • Filtros dinámicos: aplicaciones que utilizan filtros para lograr la funcionalidad en el nivel PFE. Por ejemplo, clasificador fijo de nivel de interfaz lógica, RFC 2544, etcetera. Los demonios RE no sabrán acerca de estos filtros.

  • Filtros de inicio del sistema: filtros que requieren entradas a nivel del sistema o un conjunto fijo de entradas en la secuencia de arranque del enrutador. Por ejemplo, captura de protocolo de control de capa 2 y capa 3, aplicador de ARP predeterminado, etcetera.

    Nota:

    El filtro System-init que tiene las aplicaciones para la captura de protocolos de control de capa 2 y capa 3 es esencial para la funcionalidad general del sistema. Las aplicaciones de este grupo de control consumen un espacio TCAM fijo y mínimo del espacio TCAM general. El filtro system-init no utilizará la infraestructura TCAM dinámica y se creará cuando se inicialice el enrutador durante la secuencia de arranque.

Características que utilizan el recurso TCAM

Las aplicaciones que utilizan el recurso TCAM se denominan tcam-app en este documento. Por ejemplo, inet-firewall, puente-firewall, administración de errores de conectividad, administración de fallas de enlace, etc. son todas tcam-apps diferentes.

Tabla 2 describe la lista de tcam-apps que utilizan recursos TCAM.

Tabla 2: Características que utilizan el recurso TCAM

Aplicaciones TCAM/Usuarios de TCAM

Característica/funcionalidad

Etapa TCAM

bd-dtag-validate

Validación de doble etiquetado de dominio de puente

Nota:

Esta función no se admite en enrutadores ACX5048 y ACX5096.

Salida

bd-tpid-swap

Mapa VLAN de dominio de puente con operación tpid de intercambio

Salida

cfm-bd-filter

Administración de errores de conectividad filtros implícitos de dominio de puente

Ingreso

cfm-filter

Filtros implícitos de administración de errores de conectividad

Ingreso

cfm-vpls-filter

Administración de errores de conectividad filtros vpls implícitos

Nota:

Esta función solo se admite en enrutadores ACX5048 y ACX5096.

Ingreso

cfm-vpls-ifl-filter

Administración de errores de conectividad vpls filtros de interfaz lógica implícitos

Nota:

Esta función solo se admite en enrutadores ACX5048 y ACX5096.

Ingreso

cos-fc

Clasificador fijo de nivel de interfaz lógica

Pre-ingreso

fw-ccc-in

Firewall de entrada de la familia de conexión cruzada de circuitos

Ingreso

fw-family-out

Firewall de salida a nivel familiar

Salida

fw-fbf

Reenvío basado en filtros de firewall

Pre-ingreso

fw-fbf-inet6

Reenvío basado en filtros de firewall para la familia inet6

Pre-ingreso

fw-ifl-in

Firewall de ingreso a nivel de interfaz lógica

Ingreso

fw-ifl-out

Firewall de salida a nivel de interfaz lógica

Salida

fw-inet-ftf

Firewall de entrada de la familia Inet en una tabla de reenvío

Ingreso

fw-inet6-ftf

Firewall de entrada de la familia Inet6 en una tabla de reenvío

Ingreso

fw-inet-in

Firewall de entrada de la familia Inet

Ingreso

fw-inet-rpf

Comprobación de fallo del firewall de entrada de la familia Inet en RPF

Ingreso

fw-inet6-in

Firewall de entrada de la familia Inet6

Ingreso

fw-inet6-family-out

Firewall de salida a nivel de familia Inet6

Salida

fw-inet6-rpf

Firewall de entrada de la familia Inet6 en una comprobación de fallo de RPF

Ingreso

fw-inet-pm

Firewall de la familia Inet con acción de espejo de puerto

Nota:

Esta función no se admite en enrutadores ACX5048 y ACX5096.

Ingreso

fw-l2-in

Firewall de entrada de familia de puentes en la interfaz de capa 2

Ingreso

fw-mpls-in

Firewall de entrada de la familia MPLS

Ingreso

fw-semantics

Semántica de uso compartido de firewall para firewall configurado por CLI

Pre-ingreso

fw-vpls-in

Firewall de entrada de la familia VPLS en la interfaz VPLS

Ingreso

ifd-src-mac-fil

Filtro MAC de origen a nivel de interfaz física

Pre-ingreso

ifl-statistics-in

Estadísticas de interfaz de nivel lógico en la entrada

Ingreso

ifl-statistics-out

Estadísticas de interfaz de nivel lógico a la salida

Salida

ing-out-iff

Aplicación de entrada en nombre del filtro de familia de salida para log y syslog

Ingreso

ip-mac-val

Validación IP MAC

Pre-ingreso

ip-mac-val-bcast

Validación IP MAC para difusión

Pre-ingreso

ipsec-reverse-fil

Filtros inversos para el servicio IPsec

Nota:

Esta función no se admite en enrutadores ACX5048 y ACX5096.

Ingreso

irb-cos-rw

Reescritura de IRB CoS

Salida

lfm-802.3ah-in

Administración de fallos de vínculo (IEEE 802.3ah) en la entrada

Nota:

Esta función no se admite en enrutadores ACX5048 y ACX5096.

Ingreso

lfm-802.3ah-out

Administración de errores de vínculo (IEEE 802.3ah) a la salida

Salida

lo0-inet-fil

Looback interfaz inet filter

Ingreso

lo0-inet6-fil

Filtro inet6 de interfaz Looback

Ingreso

mac-drop-cnt

Las estadísticas de caídas por MAC validan y obtienen filtros MAC

Ingreso

mrouter-port-in

Puerto de enrutador de multidifusión para espionaje

Ingreso

napt-reverse-fil

Filtros inversos para el servicio de traducción de puertos de direcciones de red (NAPT)

Nota:

Esta función no se admite en enrutadores ACX5048 y ACX5096.

Ingreso

no-local-switching

Puente sin conmutación local

Ingreso

ptpoe

Trampas punto a punto a través de Ethernet

Nota:

Esta función no se admite en enrutadores ACX5048 y ACX5096.

Ingreso

ptpoe-cos-rw

Reescritura de CoS para PTPoE

Nota:

Esta función no se admite en enrutadores ACX5048 y ACX5096.

Salida

rfc2544-layer2-in

RFC2544 para el servicio de capa 2 en la entrada

Pre-ingreso

rfc2544-layer2-out

RFC2544 para el servicio de capa 2 a la salida

Nota:

Esta función no se admite en enrutadores ACX5048 y ACX5096.

Salida

service-filter-in

Filtro de servicio al ingresar

Nota:

Esta función no se admite en enrutadores ACX5048 y ACX5096.

Ingreso

Monitoreo del uso de recursos TCAM

Puede utilizar los comandos show y clear para supervisar y solucionar problemas de uso de recursos TCAM dinámicos.

Tabla 3 resume los comandos de la interfaz de línea de comandos (CLI) que puede usar para supervisar y solucionar problemas de uso de recursos TCAM dinámicos.

Tabla 3: Mostrar y borrar comandos para supervisar y solucionar problemas de TCAM dinámico

Tarea

Comando

Mostrar las aplicaciones compartidas y las aplicaciones relacionadas para una aplicación en particular

Mostrar la aplicación PFE TCAM

Mostrar el uso de recursos TCAM para una aplicación y las etapas (salida, entrada y preentrada)

Mostrar el uso de TFE TCAM

(ACX5448) Mostrar resumen de HW del filtro PFE

Mostrar los errores de uso de recursos TCAM para aplicaciones y etapas (salida, entrada y preentrada)

Mostrar errores de TFE TCAM

Borra las estadísticas de errores de uso de recursos TCAM para aplicaciones y etapas (salida, entrada y preentrada)

Borrar errores de TCAM de PFE

Ejemplo: Monitoreo y solución de problemas del recurso TCAM

En esta sección se describe un caso de uso en el que puede supervisar y solucionar problemas de recursos de TCAM mediante comandos show. En este caso de uso, ha configurado servicios de capa 2 y las aplicaciones relacionadas con el servicio de capa 2 utilizan recursos TCAM. El enfoque dinámico, como se muestra en este ejemplo, le brinda la flexibilidad completa para administrar los recursos de TCAM según sea necesario.

El requisito de servicio es el siguiente:

  • Cada dominio de puente tiene una interfaz UNI y una interfaz NNI

  • Cada interfaz UNI tiene:

    • Un controlador de nivel de interfaz lógica para vigilar el tráfico a 10 Mbps.

    • Clasificador multicampo con cuatro términos para asignar clase de reenvío y prioridad de pérdida.

  • Cada interfaz UNI configura CFM UP MEP en el nivel 4.

  • Cada interfaz NNI configura CFM DOWN MEP en el nivel 2

Consideremos un escenario en el que hay 100 servicios configurados en el enrutador. Con esta escala, todas las aplicaciones se configuran correctamente y el estado muestra OK el estado.

  1. Visualización del uso de recursos TCAM para todas las etapas.

    Para ver el uso de recursos TCAM para todas las etapas (salida, entrada y preentrada), utilice el show pfe tcam usage all-tcam-stages detail comando. En enrutadores ACX5448, utilice el show pfe filter hw summary comando para ver el recurso TCAM usgae.

  2. Configure servicios adicionales de capa 2 en el enrutador.

    Por ejemplo, agregue 20 servicios más en el enrutador, aumentando así el número total de servicios a 120. Después de agregar más servicios, puede comprobar el estado de la configuración comprobando el mensaje syslog mediante el comando show log messageso ejecutando el show pfe tcam errors comando.

    A continuación se muestra un ejemplo de salida de mensaje syslog que muestra la escasez de recursos TCAM para filtros de familia de conmutación Ethernet para configuraciones más recientes ejecutando el comando CLI show log messages .

    Si utiliza el comando de la show pfe tcam errors all-tcam-stages detail CLI para comprobar el estado de la configuración, el resultado será el siguiente:

    El resultado indica que la fw-l2-in aplicación se está quedando sin recursos TCAM y pasa al estado ERROR. Aunque hay dos segmentos TCAM disponibles en la etapa de entrada, la fw-l2-in aplicación no puede utilizar el espacio TCAM disponible debido a su modo (DOUBLE), lo que provoca un error en la escasez de recursos.

  3. Arreglar las aplicaciones que han fallado debido a la escasez de recursos TCAM.

    La fw-l2-in aplicación falló debido a que se agregó más cantidad de servicios en los enrutadores, lo que resultó en una escasez de recursos TCAM. Aunque otras aplicaciones parecen funcionar bien, se recomienda desactivar o quitar los servicios recién agregados para que la fw-l2-in aplicación pase a un estado OK. Después de quitar o desactivar los servicios recién agregados, debe ejecutar los show pfe tcam usage comandos y show pfe tcam error para comprobar que no hay más aplicaciones en estado de error.

    Para ver el uso de recursos TCAM para todas las etapas (salida, entrada y preentrada), utilice el show pfe tcam usage all-tcam-stages detail comando. Para enrutadores ACX5448, utilice el show pfe filter hw summary comando para ver el uso de recursos TCAM.

    Para ver los errores de uso de recursos TCAM para todas las etapas (salida, entrada y preingreso), use el show pfe tcam errors all-tcam-stages comando.

    Puede ver que todas las aplicaciones que utilizan los recursos TCAM están en OK estado e indica que el hardware se ha configurado correctamente.

Nota:

Como se muestra en el ejemplo, deberá ejecutar los show pfe tcam errors comandos y show pfe tcam usage en cada paso para asegurarse de que las configuraciones son válidas y de que las aplicaciones que usan el recurso TCAM están en buen estado. Para enrutadores ACX5448, use el show pfe filter hw summary comando para ver el uso de recursos TCAM.

Monitoreo y resolución de problemas del recurso TCAM en enrutadores de la serie ACX

La asignación dinámica del espacio de memoria direccionable de contenido ternario (TCAM) en la serie ACX asigna eficientemente los recursos TCAM disponibles para diversas aplicaciones de filtro. En el modelo TCAM dinámico, varias aplicaciones de filtro (como inet-firewall, bridge-firewall, cfm-filters, etcetera.) pueden utilizar de manera óptima los recursos TCAM disponibles cuando sea necesario. La asignación dinámica de recursos TCAM se basa en el uso y se asigna dinámicamente para las aplicaciones de filtro según sea necesario. Cuando una aplicación de filtro ya no utiliza el espacio TCAM, el recurso se libera y está disponible para su uso por otras aplicaciones. Este modelo dinámico de TCAM atiende a una mayor escala de utilización de recursos de TCAM en función de la demanda de la aplicación. Puede utilizar los comandos show and clear para supervisar y solucionar problemas de uso dinámico de recursos TCAM en los enrutadores de la serie ACX.

Nota:

Las aplicaciones que utilizan el recurso TCAM se denominan tcam-app en este documento.

Descripción general de la memoria direccionable de contenido ternario dinámico muestra la tarea y los comandos para supervisar y solucionar problemas de recursos TCAM en enrutadores de la serie ACX

Tabla 4: Comandos para supervisar y solucionar problemas de recursos TCAM en la serie ACX

Cómo

Comando

Ver las aplicaciones compartidas y relacionadas para una aplicación en particular.

show pfe tcam app (list-shared-apps | list-related-apps)

Vea el número de aplicaciones en todas las etapas de tcam.

show pfe tcam usage all-tcam-stages

Vea el número de aplicaciones que utilizan el recurso TCAM en una etapa especificada.

show pfe tcam usage tcam-stage (ingress | egress | pre-egress)

Vea el recurso TCAM utilizado por una aplicación en detalle.

show pfe tcam usage app <application-name> detail

Ver el recurso TCAM utilizado por una aplicación en una etapa especificada.

show pfe tcam usage tcam-stage (ingress | egress | pre-egress) app <application-name>

Conozca la cantidad de recursos TCAM consumidos por una tcam-app

show pfe tcam usage app <application-name>

Vea los errores de uso de recursos TCAM para todas las etapas.

show pfe tcam errors all-tcam-stages detail

Ver los errores de uso de recursos TCAM para una etapa

show pfe tcam errors tcam-stage (ingress | egress | pre-egress)

Ver los errores de uso de recursos TCAM para una aplicación.

show pfe tcam errors app <application-name>

Ver los errores de uso de recursos TCAM para una aplicación junto con su otra aplicación compartida.

show pfe tcam errors app <application-name> shared-usage

Borre las estadísticas de errores de uso de recursos TCAM para todas las etapas.

clear pfe tcam-errors all-tcam-stages

Borre las estadísticas de error de uso de recursos TCAM para una etapa especificada

clear pfe tcam-errors tcam-stage (ingress | egress | pre-egress)

Borre las estadísticas de error de uso de recursos TCAM para una aplicación.

clear pfe tcam-errors app <application-name>

Para obtener más información sobre el TCAM dinámico en la serie ACX, consulte Descripción general de la memoria direccionable de contenido ternario dinámico.

Escalado de servicios en enrutadores ACX5048 y ACX5096

En enrutadores ACX5048 y ACX5096, un servicio típico (como ELINE, ELAN e IP VPN) que se implementa puede requerir aplicaciones (como policías, filtros de firewall, administración de errores de conectividad IEEE 802.1ag, RFC2544) que utilicen la infraestructura TCAM dinámica.

Nota:

Las aplicaciones de servicio que usan recursos TCAM están limitadas por la disponibilidad de recursos TCAM. Por lo tanto, la escala del servicio depende del consumo del recurso TCAM por parte de dichas aplicaciones.

Puede encontrar un caso de uso de ejemplo para monitorear y solucionar problemas de escala de servicio en enrutadores ACX5048 y ACX5096 en la sección Descripción general de la memoria direccionable de contenido ternario dinámico .

Resolución de problemas de resolución de nombres DNS en directivas de seguridad del sistema lógico (solo administradores principales)

Problema

Description

Es posible que la dirección de un nombre de host en una entrada de la libreta de direcciones que se usa en una directiva de seguridad no se resuelva correctamente.

Causa

Normalmente, las entradas de la libreta de direcciones que contienen nombres de host dinámicos se actualizan automáticamente para los firewalls de la serie SRX. El campo TTL asociado a una entrada DNS indica la hora a partir de la cual la entrada debe actualizarse en la caché de directivas. Una vez que expira el valor TTL, el firewall de la serie SRX actualiza automáticamente la entrada DNS para una entrada de libreta de direcciones.

Sin embargo, si el firewall de la serie SRX no puede obtener una respuesta del servidor DNS (por ejemplo, la solicitud DNS o el paquete de respuesta se pierde en la red o el servidor DNS no puede enviar una respuesta), es posible que la dirección de un nombre de host en una entrada de libreta de direcciones no se resuelva correctamente. Esto puede hacer que el tráfico se caiga ya que no se encuentra ninguna política de seguridad o coincidencia de sesión.

Solución

El administrador principal puede usar el comando para mostrar información de show security dns-cache caché DNS en el firewall de la serie SRX. Si es necesario actualizar la información de caché DNS, el administrador principal puede usar el clear security dns-cache comando.

Nota:

Estos comandos solo están disponibles para el administrador principal en dispositivos configurados para sistemas lógicos. Este comando no está disponible en sistemas lógicos de usuario ni en dispositivos que no están configurados para sistemas lógicos.

Solución de problemas de las políticas de seguridad

Sincronización de políticas entre el motor de enrutamiento y el motor de reenvío de paquetes

Problema

Description

Las políticas de seguridad se almacenan en el motor de enrutamiento y en el motor de reenvío de paquetes. Las políticas de seguridad se insertan desde el motor de enrutamiento al motor de reenvío de paquetes cuando se confirman las configuraciones. Si las políticas de seguridad del motor de enrutamiento no están sincronizadas con el motor de reenvío de paquetes, se produce un error en la confirmación de una configuración. Se pueden generar archivos de volcado de núcleo si se intenta la confirmación repetidamente. La falta de sincronización puede deberse a:

  • Un mensaje de política del motor de enrutamiento al motor de reenvío de paquetes se pierde en tránsito.

  • Un error con el motor de enrutamiento, como un UID de directiva reutilizado.

Entorno

Las directivas del motor de enrutamiento y del motor de reenvío de paquetes deben estar sincronizadas para que se confirme la configuración. Sin embargo, en determinadas circunstancias, es posible que las directivas del motor de enrutamiento y del motor de reenvío de paquetes no estén sincronizadas, lo que provoca un error en la confirmación.

Síntomas

Cuando se modifican las configuraciones de directiva y las directivas no están sincronizadas, aparece el siguiente mensaje de error: error: Warning: policy might be out of sync between RE and PFE <SPU-name(s)> Please request security policies check/resync.

Solución

Use el show security policies checksum comando para mostrar el valor de suma de comprobación de la directiva de seguridad y use el request security policies resync comando para sincronizar la configuración de las directivas de seguridad en el motor de enrutamiento y el motor de reenvío de paquetes, si las directivas de seguridad no están sincronizadas.

Comprobación de un error de confirmación de política de seguridad

Problema

Description

La mayoría de los errores de configuración de directivas se producen durante una confirmación o un tiempo de ejecución.

Los errores de confirmación se notifican directamente en la CLI cuando se ejecuta el comando commit-check de la CLI en modo de configuración. Estos errores son errores de configuración y no puede confirmar la configuración sin corregirlos.

Solución

Para corregir estos errores, haga lo siguiente:

  1. Revise los datos de configuración.

  2. Abra el archivo /var/log/nsd_chk_only. Este archivo se sobrescribe cada vez que se realiza una comprobación de confirmación y contiene información detallada sobre el error.

Comprobación de una confirmación de política de seguridad

Problema

Description

Al realizar una confirmación de configuración de directiva, si observa que el comportamiento del sistema es incorrecto, siga estos pasos para solucionar este problema:

Solución

  1. Comandos operativos show : ejecute los comandos operativos para las políticas de seguridad y compruebe que la información que se muestra en el resultado es coherente con lo que esperaba. De lo contrario, la configuración debe cambiarse adecuadamente.

  2. Traceoptions: defina el comando en la configuración de traceoptions la política. Los indicadores bajo esta jerarquía se pueden seleccionar según el análisis del usuario de la salida del show comando. Si no puede determinar qué indicador usar, la opción all de indicador se puede usar para capturar todos los registros de seguimiento.

También puede configurar un nombre de archivo opcional para capturar los registros.

Si especificó un nombre de archivo en las opciones de seguimiento, puede buscar el archivo de registro en /var/log/<filename> para determinar si se ha notificado algún error en el archivo. (Si no especificó un nombre de archivo, el nombre de archivo predeterminado es eventual). Los mensajes de error indican el lugar del error y la razón apropiada.

Después de configurar las opciones de seguimiento, debe volver a confirmar el cambio de configuración que provocó el comportamiento incorrecto del sistema.

Depurar búsqueda de directivas

Problema

Description

Si tiene la configuración correcta, pero parte del tráfico se ha interrumpido o permitido incorrectamente, puede habilitar el lookup indicador en las traceoptions de las políticas de seguridad. La lookup marca registra los seguimientos relacionados con la búsqueda en el archivo de seguimiento.

Solución

Registrar mensajes de error utilizados para solucionar problemas relacionados con ISSU

Los siguientes problemas pueden producirse durante una actualización de ISSU. Puede identificar los errores mediante los detalles de los registros. Para obtener información detallada acerca de mensajes de registro del sistema específicos, consulte Explorador de registros del sistema.

Errores de proceso del chasis

Problema

Description

Errores relacionados con el chasis.

Solución

Utilice los mensajes de error para comprender los problemas relacionados con el chasisd.

Cuando se inicia ISSU, se envía una solicitud al chasis para comprobar si hay algún problema relacionado con el ISSU desde la perspectiva del chasis. Si hay un problema, se crea un mensaje de registro.

Descripción del control de errores comunes para ISSU

Problema

Description

Es posible que encuentre algunos problemas en el curso de una ISSU. En esta sección se proporcionan detalles sobre cómo manejarlos.

Solución

Cualquier error encontrado durante una ISSU da como resultado la creación de mensajes de registro e ISSU sigue funcionando sin afectar al tráfico. Si es necesario revertir a versiones anteriores, el evento se registra o el ISSU se detiene, para no crear versiones no coincidentes en ambos nodos del clúster de chasis. Tabla 8 Proporciona algunas de las condiciones de error comunes y sus soluciones. Los mensajes de ejemplo que se usan en el Tabla 8 provienen del dispositivo SRX1500 y también son aplicables a todos los firewalls de la serie SRX compatibles.

Tabla 8: Errores y soluciones relacionados con ISSU

Condiciones de error

Soluciones

Intentar iniciar una ISSU cuando la instancia anterior de una ISSU ya está en curso

Se muestra el siguiente mensaje:

warning: ISSU in progress

Puede anular el proceso actual de ISSU e iniciar el ISSU de nuevo con el request chassis cluster in-service-upgrade abort comando.

Error de reinicio en el nodo secundario

No se produce ningún tiempo de inactividad del servicio, ya que el nodo principal sigue proporcionando los servicios necesarios. Se muestran mensajes detallados de la consola en los que se solicita que borre manualmente los estados de ISSU existentes y restaure el clúster de chasis.

error: [Oct  6 12:30:16]: Reboot secondary node failed (error-code: 4.1)

       error: [Oct  6 12:30:16]: ISSU Aborted! Backup node maybe in inconsistent state, Please restore backup node
       [Oct  6 12:30:16]: ISSU aborted. But, both nodes are in ISSU window.
       Please do the following:
       1. Rollback the node with the newer image using rollback command
          Note: use the 'node' option in the rollback command
          otherwise, images on both nodes will be rolled back
       2. Make sure that both nodes (will) have the same image
       3. Ensure the node with older image is primary for all RGs
       4. Abort ISSU on both nodes
       5. Reboot the rolled back node

A partir de Junos OS versión 17.4R1, el temporizador de espera para el reinicio inicial del nodo secundario durante el proceso ISSU se amplía de 15 minutos (900 segundos) a 45 minutos (2700 segundos) en clústeres de chasis en dispositivos SRX1500, SRX4100, SRX4200 y SRX4600.

El nodo secundario no pudo completar la sincronización en frío

Se agota el tiempo de espera del nodo principal si el nodo secundario no puede completar la sincronización en frío. Se muestran mensajes de consola detallados que borran manualmente los estados de ISSU existentes y restauran el clúster de chasis. No se produce ningún tiempo de inactividad del servicio en este escenario.

[Oct  3 14:00:46]: timeout waiting for secondary node node1 to sync(error-code: 6.1)
        Chassis control process started, pid 36707 

       error: [Oct  3 14:00:46]: ISSU Aborted! Backup node has been upgraded, Please restore backup node 
       [Oct  3 14:00:46]: ISSU aborted. But, both nodes are in ISSU window. 
       Please do the following: 
      1. Rollback the node with the newer image using rollback command 
          Note: use the 'node' option in the rollback command 
          otherwise, images on both nodes will be rolled back 
      2. Make sure that both nodes (will) have the same image 
      3. Ensure the node with older image is primary for all RGs 
      4. Abort ISSU on both nodes 
      5. Reboot the rolled back node  

Error de conmutación por error de secundaria recién actualizada

No se produce ningún tiempo de inactividad del servicio, ya que el nodo principal sigue proporcionando los servicios necesarios. Se muestran mensajes detallados de la consola en los que se solicita que borre manualmente los estados de ISSU existentes y restaure el clúster de chasis.

[Aug 27 15:28:17]: Secondary node0 ready for failover.
[Aug 27 15:28:17]: Failing over all redundancy-groups to node0
ISSU: Preparing for Switchover
error: remote rg1 priority zero, abort failover.
[Aug 27 15:28:17]: failover all RGs to node node0 failed (error-code: 7.1)
error: [Aug 27 15:28:17]: ISSU Aborted!
[Aug 27 15:28:17]: ISSU aborted. But, both nodes are in ISSU window.
Please do the following:
1. Rollback the node with the newer image using rollback command
    Note: use the 'node' option in the rollback command
           otherwise, images on both nodes will be rolled back
2. Make sure that both nodes (will) have the same image
3. Ensure the node with older image is primary for all RGs
4. Abort ISSU on both nodes
5. Reboot the rolled back node
{primary:node1}

Error de actualización en la estación principal

No se produce ningún tiempo de inactividad del servicio, ya que el nodo secundario conmuta por error como principal y continúa proporcionando los servicios necesarios.

Error de reinicio en el nodo principal

Antes del reinicio del nodo principal, ya que los dispositivos están fuera de la configuración de ISSU, no se muestran mensajes de error relacionados con ISSU. Se muestra el siguiente mensaje de error de reinicio si se detecta algún otro error:

Reboot failure on     Before the reboot of primary node, devices will be out of ISSU setup and no primary node error messages will be displayed.
Primary node

Errores relacionados con soporte técnico de ISSU

Problema

Description

Se produce un error de instalación debido a software no compatible y a una configuración de características no compatible.

Solución

Utilice los siguientes mensajes de error para comprender los problemas relacionados con la compatibilidad:

Error en las comprobaciones de validación inicial

Problema

Description

Las comprobaciones de validación iniciales fallan.

Solución

Las comprobaciones de validación fallan si la imagen no está presente o si el archivo de imagen está dañado. Los siguientes mensajes de error se muestran cuando las comprobaciones de validación iniciales fallan cuando la imagen no está presente y se anula el ISSU:

Cuando la imagen no está presente

Cuando el archivo de imagen está dañado

Si el archivo de imagen está dañado, se muestra el siguiente resultado:

El nodo principal valida la configuración del dispositivo para garantizar que se pueda confirmar con la nueva versión del software. Si algo sale mal, la ISSU se anula y se muestran mensajes de error.

Errores relacionados con la instalación

Problema

Description

El archivo de imagen de instalación no existe o el sitio remoto es inaccesible.

Solución

Utilice los siguientes mensajes de error para comprender los problemas relacionados con la instalación:

ISSU descarga la imagen de instalación como se especifica en el comando ISSU como argumento. El archivo de imagen puede ser un archivo local o ubicado en un sitio remoto. Si el archivo no existe o el sitio remoto es inaccesible, se informa de un error.

Errores de conmutación por error del grupo de redundancia

Problema

Description

Problema con un error del grupo de redundancia automática (RG).

Solución

Utilice los siguientes mensajes de error para comprender el problema:

Errores de sincronización de estado del kernel

Problema

Description

Errores relacionados con ksyncd.

Solución

Use los siguientes mensajes de error para comprender los problemas relacionados con ksyncd:

ISSU comprueba si hay errores de ksyncd en el nodo secundario (nodo 1) y muestra el mensaje de error si hay algún problema y anula la actualización.

Tabla de historial de cambios

La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.

Liberación
Descripción
17.4R1
A partir de Junos OS versión 17.4R1, el temporizador de espera para el reinicio inicial del nodo secundario durante el proceso ISSU se amplía de 15 minutos (900 segundos) a 45 minutos (2700 segundos) en clústeres de chasis en dispositivos SRX1500, SRX4100, SRX4200 y SRX4600.