Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

SRX 系列防火墙故障排除

本章介绍对在 Mist 门户上显示为断开连接的 SRX 系列设备进行故障排除的步骤。它还讨论了在 Mist 云中作为 WAN 边缘部署的 SRX 系列设备可用的数据包捕获 (PCAP) 支持。

对显示为断开连接的 SRX 系列防火墙进行故障排除

如果瞻博网络 Mist™ 门户将瞻博网络® SRX 系列防火墙显示为已断开连接,而该防火墙处于联机状态并可在本地访问,则可以使用本主题中列出的步骤对问题进行故障排除。您需要控制台访问权限或对防火墙的 SSH 访问权限才能执行故障排除步骤。

  1. 检查 SRX 系列防火墙是否在受支持的 Junos OS 版本上运行。

    对于 WAN 保证,SRX300、SRX320、SRX340、SRX345、SRX380、SRX550M、SRX1500 和 SRX1600 需要 Junos OS 19.4 及更高版本。

    您可以使用 show version CLI 命令检查版本。

  2. 检查 SRX 系列防火墙是否具有有效的 IP 地址。

    使用 show interfaces terse 命令。

    您应该会看到带有 IP 地址的集成路由和桥接 (IRB) 接口 (IRB.0)。您可能会看到多个 IRB 接口,具体取决于 SRX 系列型号(如果是机箱群集 HA 配置)。

    至少一个 IRB 接口需要具有有效的 IP 地址。防火墙也可以使用管理 IP 地址进行连接,您可以在 fxp0 界面上看到该地址。确保 irb 或 fxp0 接口具有有效的 IP 地址,并且其管理员和链路状态已打开。

  3. 确保防火墙可以访问网关,如以下示例所示。
  4. 检查您的设备是否可以访问互联网。对任何公共服务器(例如 8.8.8.8)启动 ping 测试。
  5. 检查防火墙是否可以解析 oc-term.mistsys.net

    如果防火墙未解析 oc-term.mistsys.net,请确保防火墙配置了 DNS 服务器。

    如果防火墙没有 DNS 服务器,请配置服务器,如以下示例所示:
  6. 确保防火墙端口已打开(例如:TCP 端口 2200 表示 oc-term.mistsys.net)。

    请参阅下表以确定要启用的端口,具体取决于您的云环境:

    表 1:在不同瞻博网络 Mist 云中启用的端口
    服务类型 全球 01 全球 02 欧洲 01
    SRX 系列 redirect.juniper.net (TCP 443) redirect.juniper.net (TCP 443) redirect.juniper.net (TCP 443)
    ztp.mist.com (TCP 443) ztp.gc1.mist.com (TCP 443) ztp.eu.mist.com (TCP 443)
    oc-term.mistsys.net (TCP 2200) oc-term.gc1.mist.com (TCP 2200) oc-term.eu.mist.com (TCP 2200)

    您可以使用以下命令检查连接:

  7. 检查防火墙上的系统时间以确保时间正确。

    如果系统时间不正确,请对其进行配置。有关详细信息,请参阅 在本地配置日期和时间

  8. 检查device-id以确保其格式<org_id>.<mac_addr>为 ,如下所示:

    有关详细信息,请参阅 出站 ssh

    还可以使用命令 show log messages检查日志消息。

  9. 停用然后重新激活出站 SSH,如下所示:
    • 要停用:
    • 要再次激活:
  10. 如果您是首次添加 SRX 系列防火墙,请执行以下操作:
    • 使用 delete 命令从防火墙中删除当前的瞻博网络 Mist 配置。
    • 再次载入防火墙。有关在 Mist 云中启动并运行 SRX 系列防火墙的详细信息,请参阅 云就绪 SRX 防火墙
    • 使用以下命令验证系统服务出站 SSH 和系统连接:
      • show system services outbound-ssh
      • show system connections | grep 2200

使用数据包捕获对 SRX 系列防火墙进行故障排除

SRX 系列防火墙支持手动数据包捕获 (PCAP)。数据包捕获是一种帮助您分析网络流量和解决网络问题的工具。它捕获通过网络传输的实时数据包,以进行监控和记录。

注意:

SRX 系列防火墙不支持动态数据包捕获。

手动数据包捕获由用户从 WAN 边缘数据包捕获页面启动。

要为 SRX 系列防火墙启动手动 PCAP:

  1. 转到站点> WAN 边缘数据包捕获

  2. WAN 选项卡上,单击 添加 WAN Edge + 并选择 SRX 系列防火墙。

    图 1:WAN 边缘数据包捕获 WAN Edge Packet Capture

  3. 指定捕获的数据包数、数据包大小(以字节为单位)以及捕获会话的持续时间。

  4. 使用“ 添加端口筛选器 ”选项指定端口。在此窗格中,您还可以在 TCPDUMP 表达式文本框中输入筛选器。
  5. (可选)选择 “使用表达式生成器” 生成用于数据包捕获的表达式。表达式生成器是一个交互式 GUI 工具,用于以 tcpdump 语法构建自定义筛选器,以便在捕获会话中使用。您可以让构建器启动过滤器条目,然后手动添加到条目或从条目中删除。您可以指定以下选项:
    • IP 主机
    • 协议
    • 端口和端口范围
    • IP 广播
    • IP 组播

    在表达式生成器中输入地址和协议时,门户会在页面上自动生成 tcpdump 表达式。如果需要,可以编辑表达式。

  6. 单击 开始捕获。数据包捕获内容在页面上流式传输。

  7. 您可以通过单击页面右上角的 捕获文件 下载文件进行离线分析。

另请参阅: 动态和手动数据包捕获

参见