Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의 내용
 

SRX 시리즈 방화벽 문제 해결

이 장에서는 Mist 포털에서 연결이 끊어진 것으로 나타나는 SRX 시리즈 디바이스의 문제를 해결하는 단계에 대해 설명합니다. 또한 Mist 클라우드에서 WAN 에지로 구축된 SRX 시리즈 디바이스에 사용할 수 있는 패킷 캡처(PCAP) 지원에 대해서도 설명합니다.

연결이 끊긴 것으로 표시된 SRX 시리즈 방화벽 문제 해결

Juniper Mist™ 포털에 주니퍼 네트웍스® SRX 시리즈 방화벽이 온라인 상태이고 로컬로 연결할 수 있을 때 연결이 끊긴 것으로 표시되면 이 주제에 나열된 단계를 사용하여 문제를 해결할 수 있습니다. 문제 해결 단계를 수행하려면 방화벽에 대한 콘솔 액세스 또는 SSH 액세스가 필요합니다.

  1. SRX 시리즈 방화벽이 지원되는 Junos OS 버전에서 실행되고 있는지 확인합니다.

    WAN Assurance를 위해서는 SRX300, SRX320, SRX340, SRX345, SRX380, SRX550M, SRX1500 및 SRX1600용 Junos OS 버전 19.4 이상이 필요합니다.

    CLI 명령을 사용하여 show version 버전을 확인할 수 있습니다.

  2. SRX 시리즈 방화벽에 유효한 IP 주소가 있는지 확인합니다.

    show interfaces terse 명령을 사용합니다.

    IP 주소가 있는 통합 라우팅 및 브리징(IRB) 인터페이스(irb.0)가 표시되어야 합니다. SRX 시리즈 모델(또는 섀시 클러스터 HA 구성의 경우)에 따라 여러 IRB 인터페이스가 표시될 수 있습니다.

    적어도 하나의 IRB 인터페이스가 유효한 IP 주소를 가져야 합니다. 방화벽은 fxp0 인터페이스에서 볼 수 있는 관리 IP 주소를 사용하여 연결할 수도 있습니다. irb 또는 fxp0 인터페이스에 유효한 IP 주소가 있고 Admin 및 Link 상태가 up인지 확인합니다.

  3. 다음 샘플과 같이 방화벽이 게이트웨이에 연결할 수 있는지 확인합니다.
  4. 기기가 인터넷에 연결할 수 있는지 확인합니다. 공용 서버(예: 8.8.8.8)에 대해 ping 테스트를 시작합니다.
  5. 방화벽이 문제를 해결할 oc-term.mistsys.net수 있는지 확인합니다.

    방화벽이 확인 oc-term.mistsys.net되지 않으면 방화벽에 DNS 서버가 구성되어 있는지 확인합니다.

    방화벽에 DNS 서버가 없는 경우 다음 예제와 같이 서버를 구성합니다.
  6. 방화벽 포트가 열려 있는지 확인합니다(예: oc-term.mistsys.net 의 경우 tcp 포트 2200).

    다음 표를 참조하여 클라우드 환경에 따라 사용할 포트를 결정하십시오.

    표 1: 다양한 Juniper Mist 클라우드에서 활성화할 포트
    서비스 유형 글로벌 01 글로벌 02 유럽 01
    SRX 시리즈 redirect.juniper.net(TCP 443) redirect.juniper.net(TCP 443) redirect.juniper.net(TCP 443)
    ztp.mist.com(TCP 443) ztp.gc1.mist.com(TCP 443) ztp.eu.mist.com(TCP 443)
    oc-term.mistsys.net(TCP 2200) oc-term.gc1.mist.com(TCP 2200) oc-term.eu.mist.com(TCP 2200)

    다음 명령을 사용하여 연결을 확인할 수 있습니다.

  7. 방화벽에서 시스템 시간을 확인하여 시간이 올바른지 확인합니다.

    시스템 시간이 올바르지 않으면 구성합니다. 자세한 내용은 로컬로 날짜 및 시간 구성을 참조하십시오.

  8. 아래 그림과 같이 형식<org_id>.<mac_addr>인지 확인하십시오device-id.

    자세한 내용은 outbound-ssh 를 참조하세요.

    명령을 show log messages사용하여 로그 메시지를 검사할 수도 있습니다.

  9. 아래와 같이 아웃바운드 SSH를 비활성화했다가 다시 활성화합니다.
    • 비활성화하려면:
    • 다시 활성화하려면:
  10. SRX 시리즈 방화벽을 처음 추가하는 경우 다음을 수행합니다.
    • delete 명령을 사용하여 방화벽에서 현재 Juniper Mist 구성을 삭제합니다.
    • 방화벽을 다시 온보딩합니다. Mist 클라우드에서 SRX 시리즈 방화벽을 설치하고 실행하는 방법에 대한 자세한 내용은 클라우드 레디 SRX 방화벽을 참조하십시오.
    • 다음 명령을 사용하여 시스템 서비스 outbound-ssh 및 시스템 연결을 확인합니다.
      • show system services outbound-ssh
      • show system connections | grep 2200

패킷 캡처를 사용한 SRX 시리즈 방화벽 문제 해결

SRX 시리즈 방화벽은 수동 패킷 캡처(PCAP)를 지원합니다. 패킷 캡처는 네트워크 트래픽을 분석하고 네트워크 문제를 해결하는 데 도움이 되는 도구입니다. 모니터링 및 로깅을 위해 네트워크를 통해 이동하는 실시간 데이터 패킷을 캡처합니다.

메모:

SRX 시리즈 방화벽은 동적 패킷 캡처를 지원하지 않습니다.

수동 패킷 캡처는 WAN Edge 패킷 캡처 페이지에서 사용자에 의해 시작됩니다.

SRX 시리즈 방화벽에 대한 수동 PCAP를 시작하려면:

  1. WAN Edge 패킷 캡처> 사이트로 이동합니다.

  2. WAN 탭에서 WAN Edge 추가 +를 클릭하고 SRX 시리즈 방화벽을 선택합니다.

    그림 1: WAN 에지 패킷 캡처 WAN Edge Packet Capture

  3. 캡처된 패킷 수, 바이트 단위의 패킷 크기, 캡처 세션 기간을 지정합니다.

  4. 포트 필터 추가 옵션을 사용하여 포트를 지정합니다. 이 창에서 TCPDUMP 식 텍스트 상자에 필터를 입력할 수도 있습니다.
  5. 필요에 따라 Use Expression builder to build the expression for packet capture(표현식 빌더를 사용하여 패킷 캡처를 위한 표현식 작성)를 선택합니다. 표현식 빌더는 캡처 세션에서 사용할 tcpdump 구문으로 사용자 정의 필터를 빌드하는 대화형 GUI 도구입니다. 작성기가 필터 항목을 시작하도록 한 다음 항목에서 수동으로 추가하거나 삭제할 수 있습니다. 다음 옵션을 지정할 수 있습니다.
    • IP 호스트
    • 프로토콜
    • 포트 및 포트 범위
    • IP 브로드캐스트
    • IP 멀티캐스트

    표현식 빌더에 주소 및 프로토콜을 입력하면 포털이 페이지에 tcpdump 표현식을 자동으로 생성합니다. 필요한 경우 표현식을 편집할 수 있습니다.

  6. Start Capture(캡처 시작)를 클릭합니다. 패킷 캡처 콘텐츠는 페이지에서 스트리밍됩니다.

  7. 페이지 오른쪽 상단의 캡처된 파일을 클릭하여 오프라인 분석을 위해 파일을 다운로드할 수 있습니다.

참고 항목: 동적 및 수동 패킷 캡처(Dynamic and Manual Packet Captures).

또한보십시오