SRXシリーズファイアウォールのトラブルシューティング
Juniper Mist™ポータルで、Juniper Networks® SRXシリーズファイアウォールがオンラインでローカルに到達できるのに切断済みと表示される場合は、このトピックに記載されている手順を使用して問題をトラブルシューティングできます。トラブルシューティングの手順を実行するには、コンソールアクセスまたはファイアウォールへのSSHアクセスが必要です。
- SRXシリーズファイアウォールが、サポートされているJunos OSバージョンで実行されているかどうかを確認します。
WAN Assuranceでは、SRX300、SRX320、SRX340、SRX345、SRX380、SRX550M、およびSRX1500用のJunos OSバージョン19.4以降が必要です。
CLI コマンドを使用して
show version
、バージョンを確認できます。 - SRXシリーズファイアウォールに有効なIPアドレスがあるかどうかを確認します。
コマンド
show interfaces terse
を使用します。図1:show interfaces terseコマンド出力サンプルIP アドレスを持つ統合型ルーティングおよびブリッジング(IRB)インターフェイス(irb.0)が表示されます。SRX シリーズのモデル(またはシャーシ クラスタの HA 設定の場合)によっては、複数の IRB インターフェイスが表示される場合があります。
少なくとも 1 つの IRB インターフェイスに有効な IP アドレスが必要です。ファイアウォールは、fxp0インターフェイスで確認できる管理IPアドレスを使用して接続することもできます。irb または fxp0 インターフェイスに有効な IP アドレスがあり、その Admin 状態と Link 状態がアップしていることを確認します。
- 図 2 に示すように、ファイアウォールがゲートウェイに到達できることを確認します。
図2:pinginetコマンド出力サンプル
- デバイスがインターネットに接続できるかどうかを確認します。任意のパブリック サーバー (8.8.8.8 など) に対する ping テストを開始します。
user@host> ping inet 8.8.8.8 PING 8.8.8.8 (8.8.8.8): 56 data bytes 64 bytes from 8.8.8.8: icmp_seq=0 ttl=58 time=9.789 ms 64 bytes from 8.8.8.8: icmp_seq=1 ttl=58 time=5.206 ms 64 bytes from 8.8.8.8: icmp_seq=2 ttl=58 time=4.679 ms 64 bytes from 8.8.8.8: icmp_seq=3 ttl=58 time=4.362 ms 64 bytes from 8.8.8.8: icmp_seq=4 ttl=58 time=4.497 ms ^C --- 8.8.8.8 ping statistics --- 5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max/stddev = 4.362/5.707/9.789/2.061 ms
- ファイアウォールが解決
oc-term.mistsys.net
できるかどうかを確認します。user@host> ping oc-term.mistsys.net PING ab847c3d0fcd311e9b3ae02d80612151-659eb20beaaa3ea3.elb.us-west-1.amazonaws.com (13.56.90.212): 56 data bytes
ファイアウォールが解決
oc-term.mistsys.net
しない場合は、ファイアウォールに DNS サーバーが構成されていることを確認します。user@host> show configuration | display set | grep name-server set system name-server 8.8.8.8 set system name-server 8.8.4.4
user@host# set system name-server 8.8.8.8
- ファイアウォール ポートが開いていることを確認します (例: oc-term.mistsys.net の場合は TCP ポート 2200)。
次の表を参照して、クラウド環境に応じて有効にするポートを決定します。
表1:さまざまなJuniper Mistクラウドで有効にするポート サービスタイプ グローバル 01グローバル 02 ヨーロッパ 01 SRXシリーズ redirect.juniper.net (TCP 443) redirect.juniper.net (TCP 443) redirect.juniper.net (TCP 443) ztp.mist.com (TCP 443) ztp.gc1.mist.com (TCP 443) ztp.eu.mist.com (TCP 443) oc-term.mistsys.net (TCP 2200) oc-term.gc1.mist.com (TCP 2200) oc-term.eu.mist.com (TCP 2200) 次のコマンドを使用して接続を確認できます。
user@host> show system connections | grep 2200 tcp4 0 0 10.0.0.51.49981 54.83.93.93.2200 ESTABLISHED
- ファイアウォールのシステム時刻をチェックして、時刻が正しいことを確認します。
user@host> show system uptime Current time: 2021-08-23 19:39:17 UTC Time Source: LOCAL CLOCK System booted: 2021-07-14 22:40:20 UTC (5w4d 20:58 ago) Protocols started: 2021-07-14 22:45:39 UTC (5w4d 20:53 ago) Last configured: 2021-08-23 19:34:05 UTC (00:05:12 ago) by root 7:39PM up 39 days, 20:59, 2 users, load averages: 0.66, 1.07, 0.92
システム時刻が正しくない場合は、構成します。詳細については、次を参照してください: 日付と時刻をローカルで構成する。
device-id
以下に示すように、形式<org_id>.<mac_addr>
になっていることを確認してください。user@host# show system services outbound-ssh traceoptions { file outbound-ssh.log size 64k files 5; flag all; } client mist { device-id abcd123445-1234-12xx-x1y2-ab1234xyz123.<mac>; secret "$abc123"; ## SECRET-DATA keep-alive { retry 12; timeout 5; } services netconf; oc-term-staging.mistsys.net { port 2200; retry 1000; timeout 60; } }
詳細については、 outbound-ssh を参照してください。
また、 コマンドを使用して
show log messages
ログ メッセージを調べることもできます。- 以下に示すように、アウトバウンド SSH を非アクティブ化してから再アクティブ化します。
- 非アクティブ化するには:
user@host# deactivate system services outbound-ssh client mist user@host# commit
- 再度アクティベートするには:
user@host# deactivate system services outbound-ssh client mist user@host# commit
- 非アクティブ化するには:
- SRXシリーズファイアウォールを初めて追加する場合は、次の手順を実行します。
- deleteコマンドを使用して、ファイアウォールから現在のJuniper Mist設定を削除します。
- ファイアウォールを再度オンボードします。SRXシリーズファイアウォールをMistクラウドで稼働させる方法の詳細については、 クラウドレディSRXファイアウォール を参照してください。
- 次のコマンドを使用して、システムサービスのアウトバウンド-sshとシステム接続を確認します。
show system services outbound-ssh
show system connections | grep 2200