Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

故障排除断开连接的 SRX 系列防火墙

故障排除、断开连接并获取数据包捕获 (PCAP),以获得更多见解。

排除显示为已断开连接的 SRX 系列防火墙

如果瞻博网络 Mist™ 门户显示瞻博网络® SRX 系列防火墙在联机且可在本地访问时已断开连接,则可以使用本主题中列出的步骤对问题进行故障排除。您需要对防火墙的控制台访问权限或 SSH 访问权限,才能执行故障排除步骤。

  1. 检查 SRX 系列防火墙是否在受支持的 Junos OS 版本上运行。

    对于 WAN 保证,您需要 SRX300、SRX320、SRX340、SRX345、SRX380、SRX550M 和 SRX1500 版本Junos OS 19.4 及更高版本。对于 SRX1600、SRX2300 和 SRX4300,设备必须运行Junos OS 24.2R1.17 及更高版本。对于SRX4700,您需要 24.4R1-S2 及更高版本的Junos OS版本。

    您可以使用 show version CLI 命令检查版本。

  2. 检查 SRX 系列防火墙是否具有有效的 IP 地址。

    使用命令 show interfaces terse

    您应该会看到带有一个 IP 地址的集成路由和桥接 (IRB) 接口 (IRB.0)。您可能会看到多个 IRB 接口,具体取决于 SRX 系列型号(或者如果是机箱群集高可用性配置)。

    至少一个 IRB 接口需要具有有效的 IP 地址。防火墙还可以使用管理 IP 地址进行连接,您可以在 fxp0 接口上看到该地址。

    确保:

    • IRB 或 fxp0 接口都有有效的 IP 地址。

    • 管理 (Admin) 和链接 (Link) 状态已启动。

  3. 确保防火墙可以访问网关,如以下示例所示。
  4. 检查您的设备是否可以连接到 Internet。对任何公共服务器(例如 8.8.8.8)发起 ping 测试。
  5. 检查防火墙是否可以解析 oc-term.mistsys.net

    如果防火墙未解析 oc-term.mistsys.net,请确保防火墙配置了 DNS 服务器。

    如果防火墙没有 DNS 服务器,请按照以下示例所示配置服务器:
  6. 确保防火墙端口处于打开状态(例如:用于 oc-term.mistsys.net 的 tcp 端口 2200)。

    请参阅下表,根据您的云环境确定要启用哪个端口:

    表 1:在不同瞻博网络 Mist 云中启用的端口
    服务类型 全球 01 全球 02 欧洲 01
    SRX 系列 redirect.juniper.net (TCP 443) redirect.juniper.net (TCP 443) redirect.juniper.net (TCP 443)
    ztp.mist.com (TCP 443) ztp.gc1.mist.com (TCP 443) ztp.eu.mist.com (TCP 443)
    oc-term.mistsys.net (TCP 2200) oc-term.gc1.mist.com (TCP 2200) oc-term.eu.mist.com (TCP 2200)

    您可以使用以下命令检查连接:

  7. 在防火墙上检查系统时间,确保时间正确。

    如果系统时间不正确,请进行配置。有关详细信息,请参阅 本地配置日期和时间

  8. 检查device-id以确保其格式<org_id>.<mac_addr>为 ,如下所示:

    有关详细信息,请参阅 outbound-ssh

    您还可以使用命令 show log messages检查日志消息。

  9. 停用然后重新激活出站 SSH,如下所示:
    • 要停用:
    • 要再次激活:
  10. 如果您是首次添加 SRX 系列防火墙,请执行以下作:
    • 使用 delete 命令从防火墙中删除当前的瞻博网络 Mist 配置。
    • 再次启用防火墙。有关在 Mist 云中启动和运行 SRX 系列防火墙的详细信息,请参阅 云就绪 SRX 防火墙
    • 使用以下命令验证系统服务 outbound-ssh 和系统连接:
      • show system services outbound-ssh
      • show system connections | grep 2200

使用数据包捕获对 SRX 系列防火墙进行故障排除

SRX 系列防火墙支持手册数据包捕获 (PCAP)。数据包捕获是一种帮助您分析网络流量和排除网络问题的工具。它捕获网络中传输的实时数据包以进行监控和记录。

注意:

SRX 系列防火墙不支持动态数据包捕获。

手动数据包捕获由用户从 WAN 边缘数据包捕获页面启动。

要启动 SRX 系列防火墙的手册 PCAP:

  1. 至站点 > WAN边缘数据包捕获

  2. WAN 选项卡上,单击 添加 WAN Edge + ,然后选择 SRX 系列防火墙。

    图 1:WAN 边缘数据包捕获 WAN Edge Packet Capture

  3. 指定捕获的数据包数、数据包大小(以字节为单位)以及捕获会话的持续时间。

  4. 使用 Add Port Filter 选项指定端口。在此窗格中,您还可以在 TCPDUMP 表达式文本框中输入过滤器。

  5. (可选)选择“ 使用表达式生成器 ”来生成数据包捕获的表达式。表达式生成器是一种交互式 GUI 工具,用于以 tcpdump 语法构建自定义过滤器以在捕获会话中使用。您可以让构建器启动过滤器条目,然后手动添加到条目或从条目中删除。您可以指定以下选项:
    • IP 主机
    • 协议
    • 端口和端口范围
    • IP 广播
    • IP 组播

    在表达式生成器中输入地址和协议后,门户会自动在页面上生成 tcpdump 表达式。如果需要,可以编辑表达式。

  6. 单击 开始捕获。数据包捕获内容将流式传输到页面上。

  7. 您可以通过单击页面右上角的 “捕获的文件 ”下载文件进行离线分析。

另请参阅: 动态和手动数据包捕获

也可以看看