Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

SRX 系列防火墙故障排除

如果瞻博网络 Mist™ 门户将瞻博网络® SRX 系列防火墙显示为已断开连接,而该防火墙处于联机状态并可在本地访问,则可以使用本主题中列出的步骤对问题进行故障排除。您需要控制台访问权限或对防火墙的 SSH 访问权限才能执行故障排除步骤。

  1. 检查 SRX 系列防火墙是否在受支持的 Junos OS 版本上运行。

    对于 WAN 保证,SRX300、SRX320、SRX340、SRX345、SRX380、SRX550M 和 SRX1500 需要 Junos OS 版本 19.4 及更高版本。

    您可以使用 show version CLI 命令检查版本。

  2. 检查 SRX 系列防火墙是否具有有效的 IP 地址。

    使用 show interfaces terse 命令。

    图 1:显示接口简洁的命令输出示例 show interfaces terse Command Output Sample

    您应该会看到带有 IP 地址的集成路由和桥接 (IRB) 接口 (IRB.0)。您可能会看到多个 IRB 接口,具体取决于 SRX 系列型号(如果是机箱群集 HA 配置)。

    至少一个 IRB 接口需要具有有效的 IP 地址。防火墙也可以使用管理 IP 地址进行连接,您可以在 fxp0 界面上看到该地址。确保 irb 或 fxp0 接口具有有效的 IP 地址,并且其管理员和链路状态已打开。

  3. 确保防火墙可以访问网关,如图 2 所示。
    图 2:ping inet 命令输出示例 ping inet Command Output Sample
  4. 检查您的设备是否可以访问互联网。对任何公共服务器(例如 8.8.8.8启动 ping 测试。
  5. 检查防火墙是否可以解析 oc-term.mistsys.net

    如果防火墙未解析 oc-term.mistsys.net,请确保防火墙配置了 DNS 服务器。

    如果防火墙没有 DNS 服务器,请配置服务器,如以下示例所示:
  6. 确保防火墙端口已打开(例如:TCP 端口 2200 表示 oc-term.mistsys.net)。

    请参阅下表以确定要启用的端口,具体取决于您的云环境:

    全球
    表 1:在不同瞻博网络 Mist 云中启用的端口
    服务类型01 全球 02 欧洲 01
    SRX 系列 redirect.juniper.net (TCP 443) redirect.juniper.net (TCP 443) redirect.juniper.net (TCP 443)
    ztp.mist.com (TCP 443) ztp.gc1.mist.com (TCP 443) ztp.eu.mist.com (TCP 443)
    oc-term.mistsys.net (TCP 2200) oc-term.gc1.mist.com (TCP 2200) oc-term.eu.mist.com (TCP 2200)

    您可以使用以下命令检查连接:

  7. 检查防火墙上的系统时间以确保时间正确。

    如果系统时间不正确,请对其进行配置。有关详细信息,请参阅 在本地配置日期和时间

  8. 检查device-id以确保其格式<org_id>.<mac_addr>为 ,如下所示:

    有关详细信息,请参阅 出站 ssh

    还可以使用命令 show log messages检查日志消息。

  9. 停用然后重新激活出站 SSH,如下所示:
    • 要停用:
    • 要再次激活:
  10. 如果您是首次添加 SRX 系列防火墙,请执行以下操作:
    • 使用 delete 命令从防火墙中删除当前的瞻博网络 Mist 配置。
    • 再次载入防火墙。有关在 Mist 云中启动并运行 SRX 系列防火墙的详细信息,请参阅 云就绪 SRX 防火墙
    • 使用以下命令验证系统服务出站 SSH 和系统连接:
      • show system services outbound-ssh
      • show system connections | grep 2200

相关文档