Ayúdenos a mejorar su experiencia.

Háganos saber su opinión.

¿Podría dedicar dos minutos de su tiempo a completar una encuesta?

Announcement: Try the Ask AI chatbot for answers to your technical questions about Juniper products and solutions.

close
header-navigation

Solutions

Featured solutions AI Campus and branch Data center WAN Security Service provider Cloud operator Industries
Campus and Branch

Welcome to the NOW Way to Wi-Fi

Take your networking performance to new heights with a modern, cloud-native, AI-Native architecture. Only Juniper can help you unleash the full potential of Wi-Fi 7 with our AI-Native platform for innovation.
Prepare for liftoff
Business intelligence analyst dashboard on virtual screen. Big data Graphs Charts.

AI Data Center Networking

Juniper’s AI data center solution is a quick way to deploy high performing AI training and inference networks that are the most flexible to design and easiest to manage with limited IT resources.
Find out more
Enterprise AI-Native Networking

Enterprise AI‑Native Routing

Juniper's Ai-Native routing solution delivers robust 400GbE and 800GbE capabilities for unmatched performance, reliability, and sustainability at scale.
Explore enterprise routing
Zero trust security

Ops4AI Lab

Visit our lab in Sunnyvale, CA and see our AI data center solution for yourself. You can try out your own model’s functionality and performance, too.
Visit the lab
Enterprise AI-Native Networking

Enterprise AI‑Native Routing

Juniper's Ai-Native routing solution delivers robust 400GbE and 800GbE capabilities for unmatched performance, reliability, and sustainability at scale.
Explore enterprise routing
Higher Education

Shaping Student Experiences: The NOW Way to Build Higher Education Networks

Juniper Networks CIO Sharon Mandell and a virtual summit of C-level IT leaders from prestigious institutions discuss ongoing efforts to support digital transformation on campus.
Watch now
Hand on tablet with healthcare overlay of graphics

Security in healthcare

In this IDC Spotlight report, discover how AI networking can automate and strengthen a healthcare ecosystem to defeat criminals and prevent loss. 
Gain insights into ecosystem security
Retail

The Future of In-Store Technologies

Retail experts Kevin McCartan, Senior IT Service Delivery Engineer at Musgrave; Jack Stratten of Insider Trends; and Christian Gilby, Senior Director of Product Marketing at Juniper Networks, discuss customer experiences.
See the future

Products

Wireless access Wired access SD-WAN / SASE Routing and switching Security Mist AI™ Management software Network operating system Blueprint for AI-Native Acceleration Optics
  • Operations
ACX7020 router

Juniper ACX7020 Cloud Metro Access Router

Legacy networks simply cannot meet the demands of today’s rapidly evolving metro landscape. Unlock a new generation of highly scalable architectures and automated operations with the Juniper ACX7020. 
Learn more
EX4000 Ethernet Switch

Next-gen AI-Native EX4000 line of switches

Lack of AI innovation from your current networking vendor slowing you down? Embrace Juniper’s cloud-native, AI-Native access switches that support every level and layer, across nearly every deployment.
Discover how
The Q and AI text with an image of Bob Friday and Kedar Dhuru.

The Q&AI Podcast

Delivering practical solutions and enriching discussions, this podcast series is a vital resource for those seeking an in-depth exploration of AI's transformative potential.
Catch the latest episode

Services

Services
Services AI Care

Juniper AI Care Services Revolutionize Your Service Experience

Our industry-first AI-Native services couple AIOps with our deep expertise across the full network life cycle. You can move from reactive response to proactive insight and action.
Explore AI Care Services
Services AI Data Center

Juniper AI Data Center Deployment Services Optimize Your AI Model Runs

We use our expertise and validated designs to help design, deploy, validate and tune networks, including GPUs and storage, to get the most from your AI infrastructure operation.
Learn about AI Data Center Deployment Services

Partners

Partners

Support and Documentation

Support and Documentation

Learn

About Juniper Training Events The Feed Resources Technology learning topics Thought leadership and insights
Audience raising hands up while businessman is speaking in training at the office.

Juniper certification and training news

See the latest
Ringing of the bell

All global events

See the latest
AI-native-now

AI-Native NOW event series

Explore events
AINN AI Innovation Impact Virtual Event

AI-Native NOW: AI Innovation and Impact

Register NOW
Juniper's Christina Hendrix at the head of a conference table. With the text "The NOW Way to Network" overlayed, with "NOW" emphasizing the "O" in green color.

The NOW Way to Network

Watch the video series
AI Native Now

Executive insights

Dive deep with leading experts and thought leaders on all the topics that matter most to your business, from AI to network security to driving rapid, relevant transformation for your business.
Learn more
A keynote speaker giving a presentation at a conference. There are dozens of people sitting around them. The presentation is displayed via projector on all the walls in the room.

Leadership voices

Juniper Networks’ leaders operate on the front lines of creating the network of the future. Take a look around to see what’s on their minds.
Watch now
Bob Friday and Jessica Garrison speaking

Bob Friday Talks

Join Bob as he ventures into all the knowns -- and -- unknowns -- of AI.
Catch the latest episode
Documentation
Menu
License Guide
Quick Starts
Validated Designs
Explore Pathfinder Apps
CLI Explorer
Feature Explorer
Hardware Compatibility Tool
Port Checker
Browse All
Collapse

Pathfinder Apps

All

By Software

By Hardware

Learn More
Pathfinder HomeCLI ExplorerCompliance AdvisorFeature ExplorerHardware Compatibility ToolJunos XML API ExplorerJunos YANG Data Model ExplorerPort CheckerPower CalculatorSNMP MIB ExplorerSystem Log Explorer
CLI ExplorerFeature ExplorerJunos XML API ExplorerJunos YANG Data Model ExplorerSNMP MIB ExplorerSystem Log Explorer
Compliance AdvisorFeature ExplorerHardware Compatibility ToolPort CheckerPower Calculator
Home Documentation Junos OS Guía de administración y monitoreo de red Administración de red y solución de problemas

Guía de administración y monitoreo de red

keyboard_arrow_up
close
keyboard_arrow_left
Guía de administración y monitoreo de red
Table of Contents Expand all
list Table of Contents
EN ESTA PÁGINA
keyboard_arrow_right

¿Fue útil esta traducción automática?

starstarstarstarstar
Go to English page
DESCARGO DE RESPONSABILIDAD:

Esta página será traducida por software de traducción automática de terceros. Si bien nos hemos esforzado por proporcionar una traducción de calidad, Juniper Networks no puede garantizar su corrección. En caso de duda respecto a la exactitud de la información que ofrece esta traducción, consulte la versión en inglés. El PDF descargable está disponible solo en inglés.

Monitoreo y solución de problemas

date_range 18-Jan-25
arrow_backward
arrow_forward

En esta sección se describen las funciones de supervisión de red y solución de problemas de Junos OS.

Ping Hosts

Propósito

Utilice el comando de la CLI ping para comprobar que se puede acceder a un host a través de la red. Este comando es útil para diagnosticar problemas de conectividad de host y red. El dispositivo envía una serie de solicitudes de eco (ping) del Protocolo de mensajes de control de Internet (ICMP) a un host especificado y recibe respuestas de eco ICMP.

Acción

Para usar el ping comando para enviar cuatro solicitudes (recuento de ping) al host3:

content_copy zoom_out_map
ping host count number

Salida de muestra

nombre-comando
content_copy zoom_out_map
ping host3 count 4
user@switch> ping host3 count 4 
PING host3.site.net (192.0.2.111): 56 data bytes
64 bytes from 192.0.2.111: icmp_seq=0 ttl=122 time=0.661 ms
64 bytes from 192.0.2.111: icmp_seq=1 ttl=122 time=0.619 ms
64 bytes from 192.0.2.111: icmp_seq=2 ttl=122 time=0.621 ms
64 bytes from 192.0.2.111: icmp_seq=3 ttl=122 time=0.634 ms

--- host3.site.net ping statistics ---
4 packets transmitted, 4 packets received, 0% packet loss
round-trip min/avg/max/stddev = 0.619/0.634/0.661/0.017 ms

Significado

  • Los ping resultados muestran la siguiente información:

    • Tamaño del paquete de respuesta ping (en bytes).

    • Dirección IP del host desde el que se envió la respuesta.

    • Número de secuencia del paquete de respuesta ping. Puede usar este valor para hacer coincidir la respuesta ping con la solicitud ping correspondiente.

    • Valor de recuento de saltos de tiempo de vida (ttl) del paquete de respuesta de ping.

    • Tiempo total entre el envío del paquete de solicitud de ping y la recepción del paquete de respuesta de ping, en milisegundos. Este valor también se denomina tiempo de ida y vuelta.

    • Número de solicitudes de ping (sondeos) enviadas al host.

    • Número de respuestas de ping recibidas del host.

    • Porcentaje de pérdida de paquetes.

    • Estadísticas de ida y vuelta: desviación mínima, media, máxima y estándar del tiempo de ida y vuelta.

Supervisar el tráfico a través del enrutador o conmutador

Para diagnosticar un problema, muestre estadísticas en tiempo real sobre el tráfico que pasa a través de las interfaces físicas en el enrutador o conmutador.

Para mostrar estadísticas en tiempo real sobre interfaces físicas, realice estas tareas:

Mostrar estadísticas en tiempo real sobre todas las interfaces del enrutador o conmutador

Propósito

Muestra estadísticas en tiempo real sobre el tráfico que pasa por todas las interfaces del enrutador o conmutador.

Acción

Para mostrar estadísticas en tiempo real sobre el tráfico que pasa por todas las interfaces del enrutador o conmutador:

content_copy zoom_out_map
user@host> monitor interface traffic
Salida de muestra
nombre-comando
content_copy zoom_out_map
user@host> monitor interface traffic           
host name                 Seconds: 15                  Time: 12:31:09
Interface    Link  Input packets        (pps)     Output packets        (pps)
 so-1/0/0    Down              0          (0)                  0          (0)
 so-1/1/0    Down              0          (0)                  0          (0)
 so-1/1/1    Down              0          (0)                  0          (0)
 so-1/1/2    Down              0          (0)                  0          (0)
 so-1/1/3    Down              0          (0)                  0          (0)
 t3-1/2/0    Down              0          (0)                  0          (0)
 t3-1/2/1    Down              0          (0)                  0          (0)
 t3-1/2/2    Down              0          (0)                  0          (0)
 t3-1/2/3    Down              0          (0)                  0          (0)
 so-2/0/0      Up          211035          (1)              36778          (0)
 so-2/0/1      Up         192753          (1)              36782          (0)
 so-2/0/2      Up         211020          (1)              36779          (0)
 so-2/0/3      Up         211029          (1)              36776          (0)
 so-2/1/0      Up         189378          (1)              36349          (0)
 so-2/1/1    Down              0          (0)              18747          (0)
 so-2/1/2    Down              0          (0)              16078          (0)
 so-2/1/3      Up              0          (0)              80338          (0)
 at-2/3/0      Up              0          (0)                  0          (0)
 at-2/3/1    Down              0          (0)                  0          (0)
Bytes=b, Clear=c, Delta=d, Packets=p, Quit=q or ESC, Rate=r, Up=^U, Down=^D

Significado

La salida de ejemplo muestra datos de tráfico para interfaces activas y la cantidad que cada campo ha cambiado desde que se inició el comando o desde que se borraron los contadores con la C clave. En este ejemplo, el monitor interface comando se ha estado ejecutando durante 15 segundos desde que se emitió el comando o desde la última vez que los contadores volvieron a cero.

Mostrar estadísticas en tiempo real sobre una interfaz en el enrutador o conmutador

Propósito

Muestra estadísticas en tiempo real sobre el tráfico que pasa a través de una interfaz en el enrutador o conmutador.

Acción

Para mostrar el tráfico que pasa a través de una interfaz en el enrutador o conmutador, utilice el siguiente comando del modo operativo de la CLI de Junos OS:

content_copy zoom_out_map
user@host> monitor interface  interface-name
Salida de muestra
nombre-comando
content_copy zoom_out_map
user@host> monitor interface so-0/0/1            
Next='n', Quit='q' or ESC, Freeze='f', Thaw='t', Clear='c', Interface='i'
R1
Interface: so-0/0/1, Enabled, Link is Up
Encapsulation: PPP, Keepalives, Speed: OC3 Traffic statistics:
  Input bytes:                    5856541 (88 bps)
  Output bytes:                   6271468 (96 bps)
  Input packets:                   157629 (0 pps)
  Output packets:                  157024 (0 pps)
Encapsulation statistics:
  Input keepalives:                 42353
  Output keepalives:                42320
  LCP state: Opened
Error statistics:
  Input errors:                         0
  Input drops:                          0
  Input framing errors:                 0
  Input runts:                          0
  Input giants:                         0
  Policed discards:                     0
  L3 incompletes:                       0
  L2 channel errors:                    0
  L2 mismatch timeouts:                 0
  Carrier transitions:                  1
  Output errors:                        0
  Output drops:                         0
  Aged packets:                         0
Active alarms : None
Active defects: None
SONET error counts/seconds:
  LOS count                             1
  LOF count                             1
  SEF count                             1
  ES-S                                 77
  SES-S                                77
SONET statistics:
  BIP-B1                                0
  BIP-B2                                0
  REI-L                                 0
  BIP-B3                                0
  REI-P                                 0
Received SONET overhead:  F1        : 0x00  J0        : 0xZ

Significado

La salida de ejemplo muestra los paquetes de entrada y salida para una interfaz SONET determinada (so-0/0/1). La información puede incluir errores comunes de interfaz, como alarmas SONET/SDH y T3, loopbacks detectados y aumentos en los errores de trama. Para obtener más información, consulte Lista de comprobación para el seguimiento de condiciones de error.

Para controlar el resultado del comando mientras se está ejecutando, utilice las teclas que se muestran en Tabla 1.

Tabla 1: Teclas de control de salida para el comando de interfaz de monitor

Acción

Clave

Mostrar información sobre la siguiente interfaz. El monitor interface comando se desplaza por las interfaces físicas o lógicas en el mismo orden en que las muestra el show interfaces terse comando.

N

Mostrar información sobre una interfaz diferente. El comando le pedirá el nombre de una interfaz específica.

I

Congele la pantalla, deteniendo la visualización de estadísticas actualizadas.

F

Descongele la visualización y reanude la visualización de estadísticas actualizadas.

T

Borre (cero) los contadores delta actuales desde que monitor interface se inició. No borra el contador acumulativo.

C

Detenga el monitor interface comando.

Q

Consulte el Explorador de CLI para obtener más información sobre el uso de condiciones de coincidencia con el monitor traffic comando.

Descripción general de la memoria direccionable de contenido ternario dinámico

En los enrutadores de la serie ACX, la memoria direccionable de contenido ternario (TCAM) es utilizada por varias aplicaciones, como firewall, administración de fallas de conectividad, PTPoE, RFC 2544 etcetera. El motor de reenvío de paquetes (PFE) de los enrutadores de la serie ACX utiliza TCAM con límites de espacio TCAM definidos. La asignación de recursos TCAM para varias aplicaciones de filtro se distribuye estáticamente. Esta asignación estática conduce a una utilización ineficiente de los recursos TCAM cuando es posible que todas las aplicaciones de filtro no utilicen este recurso TCAM simultáneamente.

La asignación dinámica del espacio TCAM en los enrutadores ACX asigna eficientemente los recursos TCAM disponibles para varias aplicaciones de filtro. En el modelo TCAM dinámico, varias aplicaciones de filtro (como inet-firewall, bridge-firewall, cfm-filters, etcetera.) pueden utilizar de manera óptima los recursos TCAM disponibles cuando sea necesario. La asignación dinámica de recursos TCAM se basa en el uso y se asigna dinámicamente para las aplicaciones de filtro según sea necesario. Cuando una aplicación de filtro ya no utiliza el espacio TCAM, el recurso se libera y está disponible para su uso por otras aplicaciones. Este modelo dinámico de TCAM atiende a una mayor escala de utilización de recursos de TCAM en función de la demanda de la aplicación.

Aplicaciones que utilizan infraestructura TCAM dinámica

Las siguientes categorías de aplicaciones de filtro utilizan la infraestructura TCAM dinámica:

  • Filtro de firewall: todas las configuraciones de firewall

  • Filtro implícito: demonios del motor de enrutamiento (RE) que usan filtros para lograr su funcionalidad. Por ejemplo, administración de fallos de conectividad, validación de IP MAC, etcetera.

  • Filtros dinámicos: aplicaciones que utilizan filtros para lograr la funcionalidad en el nivel PFE. Por ejemplo, clasificador fijo de nivel de interfaz lógica, RFC 2544, etcetera. Los demonios RE no sabrán acerca de estos filtros.

  • Filtros de inicio del sistema: filtros que requieren entradas a nivel del sistema o un conjunto fijo de entradas en la secuencia de arranque del enrutador. Por ejemplo, captura de protocolo de control de capa 2 y capa 3, aplicador de ARP predeterminado, etcetera.

    Nota:

    El filtro System-init que tiene las aplicaciones para la captura de protocolos de control de capa 2 y capa 3 es esencial para la funcionalidad general del sistema. Las aplicaciones de este grupo de control consumen un espacio TCAM fijo y mínimo del espacio TCAM general. El filtro system-init no utilizará la infraestructura TCAM dinámica y se creará cuando se inicialice el enrutador durante la secuencia de arranque.

Características que utilizan el recurso TCAM

Las aplicaciones que utilizan el recurso TCAM se denominan tcam-app en este documento. Por ejemplo, inet-firewall, puente-firewall, administración de errores de conectividad, administración de fallas de enlace, etc. son todas tcam-apps diferentes.

Tabla 2 describe la lista de tcam-apps que utilizan recursos TCAM.

Tabla 2: Características que utilizan el recurso TCAM

Aplicaciones TCAM/Usuarios de TCAM

Característica/funcionalidad

Etapa TCAM

bd-dtag-validate

Validación de doble etiquetado de dominio de puente

Nota:

Esta función no se admite en enrutadores ACX5048 y ACX5096.

Salida

bd-tpid-swap

Mapa VLAN de dominio de puente con operación tpid de intercambio

Salida

cfm-bd-filter

Administración de errores de conectividad filtros implícitos de dominio de puente

Ingreso

cfm-filter

Filtros implícitos de administración de errores de conectividad

Ingreso

cfm-vpls-filter

Administración de errores de conectividad filtros vpls implícitos

Nota:

Esta función solo se admite en enrutadores ACX5048 y ACX5096.

Ingreso

cfm-vpls-ifl-filter

Administración de errores de conectividad vpls filtros de interfaz lógica implícitos

Nota:

Esta función solo se admite en enrutadores ACX5048 y ACX5096.

Ingreso

cos-fc

Clasificador fijo de nivel de interfaz lógica

Pre-ingreso

fw-ccc-in

Firewall de entrada de la familia de conexión cruzada de circuitos

Ingreso

fw-family-out

Firewall de salida a nivel familiar

Salida

fw-fbf

Reenvío basado en filtros de firewall

Pre-ingreso

fw-fbf-inet6

Reenvío basado en filtros de firewall para la familia inet6

Pre-ingreso

fw-ifl-in

Firewall de ingreso a nivel de interfaz lógica

Ingreso

fw-ifl-out

Firewall de salida a nivel de interfaz lógica

Salida

fw-inet-ftf

Firewall de entrada de la familia Inet en una tabla de reenvío

Ingreso

fw-inet6-ftf

Firewall de entrada de la familia Inet6 en una tabla de reenvío

Ingreso

fw-inet-in

Firewall de entrada de la familia Inet

Ingreso

fw-inet-rpf

Comprobación de fallo del firewall de entrada de la familia Inet en RPF

Ingreso

fw-inet6-in

Firewall de entrada de la familia Inet6

Ingreso

fw-inet6-family-out

Firewall de salida a nivel de familia Inet6

Salida

fw-inet6-rpf

Firewall de entrada de la familia Inet6 en una comprobación de fallo de RPF

Ingreso

fw-inet-pm

Firewall de la familia Inet con acción de espejo de puerto

Nota:

Esta función no se admite en enrutadores ACX5048 y ACX5096.

Ingreso

fw-l2-in

Firewall de entrada de familia de puentes en la interfaz de capa 2

Ingreso

fw-mpls-in

Firewall de entrada de la familia MPLS

Ingreso

fw-semantics

Semántica de uso compartido de firewall para firewall configurado por CLI

Pre-ingreso

fw-vpls-in

Firewall de entrada de la familia VPLS en la interfaz VPLS

Ingreso

ifd-src-mac-fil

Filtro MAC de origen a nivel de interfaz física

Pre-ingreso

ifl-statistics-in

Estadísticas de interfaz de nivel lógico en la entrada

Ingreso

ifl-statistics-out

Estadísticas de interfaz de nivel lógico a la salida

Salida

ing-out-iff

Aplicación de entrada en nombre del filtro de familia de salida para log y syslog

Ingreso

ip-mac-val

Validación IP MAC

Pre-ingreso

ip-mac-val-bcast

Validación IP MAC para difusión

Pre-ingreso

ipsec-reverse-fil

Filtros inversos para el servicio IPsec

Nota:

Esta función no se admite en enrutadores ACX5048 y ACX5096.

Ingreso

irb-cos-rw

Reescritura de IRB CoS

Salida

lfm-802.3ah-in

Administración de fallos de vínculo (IEEE 802.3ah) en la entrada

Nota:

Esta función no se admite en enrutadores ACX5048 y ACX5096.

Ingreso

lfm-802.3ah-out

Administración de errores de vínculo (IEEE 802.3ah) a la salida

Salida

lo0-inet-fil

Looback interfaz inet filter

Ingreso

lo0-inet6-fil

Filtro inet6 de interfaz Looback

Ingreso

mac-drop-cnt

Las estadísticas de caídas por MAC validan y obtienen filtros MAC

Ingreso

mrouter-port-in

Puerto de enrutador de multidifusión para espionaje

Ingreso

napt-reverse-fil

Filtros inversos para el servicio de traducción de puertos de direcciones de red (NAPT)

Nota:

Esta función no se admite en enrutadores ACX5048 y ACX5096.

Ingreso

no-local-switching

Puente sin conmutación local

Ingreso

ptpoe

Trampas punto a punto a través de Ethernet

Nota:

Esta función no se admite en enrutadores ACX5048 y ACX5096.

Ingreso

ptpoe-cos-rw

Reescritura de CoS para PTPoE

Nota:

Esta función no se admite en enrutadores ACX5048 y ACX5096.

Salida

rfc2544-layer2-in

RFC2544 para el servicio de capa 2 en la entrada

Pre-ingreso

rfc2544-layer2-out

RFC2544 para el servicio de capa 2 a la salida

Nota:

Esta función no se admite en enrutadores ACX5048 y ACX5096.

Salida

service-filter-in

Filtro de servicio al ingresar

Nota:

Esta función no se admite en enrutadores ACX5048 y ACX5096.

Ingreso

Monitoreo del uso de recursos TCAM

Puede utilizar los comandos show y clear para supervisar y solucionar problemas de uso de recursos TCAM dinámicos.

Tabla 3 resume los comandos de la interfaz de línea de comandos (CLI) que puede usar para supervisar y solucionar problemas de uso de recursos TCAM dinámicos.

Tabla 3: Mostrar y borrar comandos para supervisar y solucionar problemas de TCAM dinámico

Tarea

Comando

Mostrar las aplicaciones compartidas y las aplicaciones relacionadas para una aplicación en particular

Mostrar la aplicación PFE TCAM

Mostrar el uso de recursos TCAM para una aplicación y las etapas (salida, entrada y preentrada)

Mostrar el uso de TFE TCAM

(ACX5448) Mostrar resumen de HW del filtro PFE

Mostrar los errores de uso de recursos TCAM para aplicaciones y etapas (salida, entrada y preentrada)

Mostrar errores de TFE TCAM

Borra las estadísticas de errores de uso de recursos TCAM para aplicaciones y etapas (salida, entrada y preentrada)

Borrar errores de TCAM de PFE

Ejemplo: Monitoreo y solución de problemas del recurso TCAM

En esta sección se describe un caso de uso en el que puede supervisar y solucionar problemas de recursos de TCAM mediante comandos show. En este caso de uso, ha configurado servicios de capa 2 y las aplicaciones relacionadas con el servicio de capa 2 utilizan recursos TCAM. El enfoque dinámico, como se muestra en este ejemplo, le brinda la flexibilidad completa para administrar los recursos de TCAM según sea necesario.

El requisito de servicio es el siguiente:

  • Cada dominio de puente tiene una interfaz UNI y una interfaz NNI

  • Cada interfaz UNI tiene:

    • Un controlador de nivel de interfaz lógica para vigilar el tráfico a 10 Mbps.

    • Clasificador multicampo con cuatro términos para asignar clase de reenvío y prioridad de pérdida.

  • Cada interfaz UNI configura CFM UP MEP en el nivel 4.

  • Cada interfaz NNI configura CFM DOWN MEP en el nivel 2

Consideremos un escenario en el que hay 100 servicios configurados en el enrutador. Con esta escala, todas las aplicaciones se configuran correctamente y el estado muestra OK el estado.

  1. Visualización del uso de recursos TCAM para todas las etapas.

    Para ver el uso de recursos TCAM para todas las etapas (salida, entrada y preentrada), utilice el show pfe tcam usage all-tcam-stages detail comando. En enrutadores ACX5448, utilice el show pfe filter hw summary comando para ver el recurso TCAM usgae.

    content_copy zoom_out_map
    user@host> show pfe tcam usage all-tcam-stages detail
Slot 0

Tcam Resource Stage: Pre-Ingress
--------------------------------
Free [hw-grps: 3 out of 3]
No dynamic tcam usage

Tcam Resource Stage: Ingress
----------------------------
Free [hw-grps: 2 out of 8]
Group: 11, Mode: SINGLE, Hw grps used: 3, Tcam apps: 2
               Used  Allocated  Available     Errors
Tcam-Entries    800       1024        224          0
Counters        800       1024        224          0
Policers          0       1024       1024          0

App tcam usage:
----------------
App-Name              Entries Counters Policers Precedence  State
  Related-App-Name ..
-----------------------------------------------------------------
cfm-filter                500      500        0          3     OK
cfm-bd-filter             300      300        0          2     OK

Group: 8, Mode: DOUBLE, Hw grps used: 2, Tcam apps: 1
               Used  Allocated  Available     Errors
Tcam-Entries    500        512         12          0
Counters        500       1024        524          0
Policers          0       1024       1024          0

App tcam usage:
----------------
App-Name              Entries Counters Policers Precedence  State
  Related-App-Name ..
-----------------------------------------------------------------
fw-l2-in                  500      500        0          2     OK
  fw-semantics              0        X        X          1     OK

Group: 14, Mode: SINGLE, Hw grps used: 1, Tcam apps: 1
               Used  Allocated  Available     Errors
Tcam-Entries    200        512        312          0
Counters        200        512        312          0
Policers        100        512        412          0

App tcam usage:
----------------
App-Name              Entries Counters Policers Precedence  State
  Related-App-Name ..
-----------------------------------------------------------------
fw-ifl-in                 200      200      100          1     OK

Tcam Resource Stage: Egress
---------------------------
Free [hw-grps: 3 out of 3]
No dynamic tcam usage

  2. Configure servicios adicionales de capa 2 en el enrutador.

    Por ejemplo, agregue 20 servicios más en el enrutador, aumentando así el número total de servicios a 120. Después de agregar más servicios, puede comprobar el estado de la configuración comprobando el mensaje syslog mediante el comando show log messageso ejecutando el show pfe tcam errors comando.

    A continuación se muestra un ejemplo de salida de mensaje syslog que muestra la escasez de recursos TCAM para filtros de familia de conmutación Ethernet para configuraciones más recientes ejecutando el comando CLI show log messages .

    content_copy zoom_out_map
    [Sat Jul 11 16:10:33.794 LOG: Err] ACX Error (dfw):acx_dfw_check_phy_slice_availability :Insufficient phy slices to accomodate grp:13/IN_IFF_BRIDGE mode:1/DOUBLE
[Sat Jul 11 16:10:33.794 LOG: Err] ACX Error (dfw):acx_dfw_check_resource_availability :Could not write filter: f-bridge-ge-0/0/0.103-i, insufficient TCAM resources
[Sat Jul 11 16:10:33.794 LOG: Err] ACX Error (dfw):acx_dfw_update_filter_in_hw :acx_dfw_check_resource_availability failed for filter:f-bridge-ge-0/0/0.103-i
[Sat Jul 11 16:10:33.794 LOG: Err] ACX Error (dfw):acx_dfw_create_hw_instance :Status:1005 Could not program dfw(f-bridge-ge-0/0/0.103-i) type(IN_IFF_BRIDGE)! [1005]
[Sat Jul 11 16:10:33.794 LOG: Err] ACX Error (dfw):acx_dfw_bind_shim :[1005] Could not create dfw(f-bridge-ge-0/0/0.103-i) type(IN_IFF_BRIDGE)
[Sat Jul 11 16:10:33.794 LOG: Err] ACX Error (dfw):acx_dfw_bind :[1000] bind failed for filter f-bridge-ge-0/0/0.103-i

    Si utiliza el comando de la show pfe tcam errors all-tcam-stages detail CLI para comprobar el estado de la configuración, el resultado será el siguiente:

    content_copy zoom_out_map
    user@host> show pfe tcam errors all-tcam-stages detail
Slot 0

Tcam Resource Stage: Pre-Ingress
--------------------------------
Free [hw-grps: 3 out of 3]
No dynamic tcam usage

Tcam Resource Stage: Ingress
----------------------------
Free [hw-grps: 2 out of 8]
Group: 11, Mode: SINGLE, Hw grps used: 3, Tcam apps: 2
               Used  Allocated  Available     Errors
Tcam-Entries    960       1024         64          0
Counters        960       1024         64          0
Policers          0       1024       1024          0

App tcam usage:
----------------
App-Name              Entries Counters Policers Precedence  State
  Related-App-Name ..
-----------------------------------------------------------------
cfm-filter                600      600        0          3     OK
cfm-bd-filter             360      360        0          2     OK

Group: 8, Mode: DOUBLE, Hw grps used: 2, Tcam apps: 1
               Used  Allocated  Available     Errors
Tcam-Entries    510        512          2         18
Counters        510       1024        514          0
Policers          0       1024       1024          0

App tcam usage:
----------------
App-Name              Entries Counters Policers Precedence  State
  Related-App-Name ..
-----------------------------------------------------------------
fw-l2-in                  510      510        0          2 FAILED
  fw-semantics              0        X        X          1     OK

App error statistics:
----------------------
App-Name              Entries Counters Policers Precedence  State
  Related-App-Name ..
-----------------------------------------------------------------
fw-l2-in                   18        0        0          2 FAILED
  fw-semantics              0        X        X          1     OK

Group: 14, Mode: SINGLE, Hw grps used: 1, Tcam apps: 1
               Used  Allocated  Available     Errors
Tcam-Entries    240        512        272          0
Counters        240        512        272          0
Policers        120        512        392          0

App tcam usage:
----------------
App-Name              Entries Counters Policers Precedence  State
  Related-App-Name ..
-----------------------------------------------------------------
fw-ifl-in                 240      240      120          1     OK

Tcam Resource Stage: Egress
---------------------------
Free [hw-grps: 3 out of 3]
No dynamic tcam usage

    El resultado indica que la fw-l2-in aplicación se está quedando sin recursos TCAM y pasa al estado ERROR. Aunque hay dos segmentos TCAM disponibles en la etapa de entrada, la fw-l2-in aplicación no puede utilizar el espacio TCAM disponible debido a su modo (DOUBLE), lo que provoca un error en la escasez de recursos.

  3. Arreglar las aplicaciones que han fallado debido a la escasez de recursos TCAM.

    La fw-l2-in aplicación falló debido a que se agregó más cantidad de servicios en los enrutadores, lo que resultó en una escasez de recursos TCAM. Aunque otras aplicaciones parecen funcionar bien, se recomienda desactivar o quitar los servicios recién agregados para que la fw-l2-in aplicación pase a un estado OK. Después de quitar o desactivar los servicios recién agregados, debe ejecutar los show pfe tcam usage comandos y show pfe tcam error para comprobar que no hay más aplicaciones en estado de error.

    Para ver el uso de recursos TCAM para todas las etapas (salida, entrada y preentrada), utilice el show pfe tcam usage all-tcam-stages detail comando. Para enrutadores ACX5448, utilice el show pfe filter hw summary comando para ver el uso de recursos TCAM.

    content_copy zoom_out_map
    user@host> show pfe tcam usage all-tcam-stages detail
Slot 0

Tcam Resource Stage: Pre-Ingress
--------------------------------
Free [hw-grps: 3 out of 3]
No dynamic tcam usage

Tcam Resource Stage: Ingress
----------------------------
Free [hw-grps: 2 out of 8]
Group: 11, Mode: SINGLE, Hw grps used: 3, Tcam apps: 2
               Used  Allocated  Available     Errors
Tcam-Entries    800       1024        224          0
Counters        800       1024        224          0
Policers          0       1024       1024          0

App tcam usage:
----------------
App-Name              Entries Counters Policers Precedence  State
  Related-App-Name ..
-----------------------------------------------------------------
cfm-filter                500      500        0          3     OK
cfm-bd-filter             300      300        0          2     OK

Group: 8, Mode: DOUBLE, Hw grps used: 2, Tcam apps: 1
               Used  Allocated  Available     Errors
Tcam-Entries    500        512         12         18
Counters        500       1024        524          0
Policers          0       1024       1024          0

App tcam usage:
----------------
App-Name              Entries Counters Policers Precedence  State
  Related-App-Name ..
-----------------------------------------------------------------
fw-l2-in                  500      500        0          2     OK
  fw-semantics              0        X        X          1     OK

Group: 14, Mode: SINGLE, Hw grps used: 1, Tcam apps: 1
               Used  Allocated  Available     Errors
Tcam-Entries    200        512        312          0
Counters        200        512        312          0
Policers        100        512        412          0

App tcam usage:
----------------
App-Name              Entries Counters Policers Precedence  State
  Related-App-Name ..
-----------------------------------------------------------------
fw-ifl-in                 200      200      100          1     OK

Tcam Resource Stage: Egress
---------------------------
Free [hw-grps: 3 out of 3]
No dynamic tcam usage

    Para ver los errores de uso de recursos TCAM para todas las etapas (salida, entrada y preingreso), use el show pfe tcam errors all-tcam-stages comando.

    content_copy zoom_out_map
    user@host> show pfe tcam errors all-tcam-stages detail
Slot 0

Tcam Resource Stage: Pre-Ingress
--------------------------------
No tcam usage

Tcam Resource Stage: Ingress
----------------------------
Group: 11, Mode: SINGLE, Hw grps used: 3, Tcam apps: 2
               Errors   Resource-Shortage
Tcam-Entries        0                   0
Counters            0                   0
Policers            0                   0

Group: 8, Mode: DOUBLE, Hw grps used: 2, Tcam apps: 1
               Errors   Resource-Shortage
Tcam-Entries       18                   0
Counters            0                   0
Policers            0                   0

Group: 14, Mode: SINGLE, Hw grps used: 1, Tcam apps: 1
               Errors   Resource-Shortage
Tcam-Entries        0                   0
Counters            0                   0
Policers            0                   0

Tcam Resource Stage: Egress
---------------------------
No tcam usage

    Puede ver que todas las aplicaciones que utilizan los recursos TCAM están en OK estado e indica que el hardware se ha configurado correctamente.

Nota:

Como se muestra en el ejemplo, deberá ejecutar los show pfe tcam errors comandos y show pfe tcam usage en cada paso para asegurarse de que las configuraciones son válidas y de que las aplicaciones que usan el recurso TCAM están en buen estado. Para enrutadores ACX5448, use el show pfe filter hw summary comando para ver el uso de recursos TCAM.

Monitoreo y resolución de problemas del recurso TCAM en enrutadores de la serie ACX

La asignación dinámica del espacio de memoria direccionable de contenido ternario (TCAM) en la serie ACX asigna eficientemente los recursos TCAM disponibles para diversas aplicaciones de filtro. En el modelo TCAM dinámico, varias aplicaciones de filtro (como inet-firewall, bridge-firewall, cfm-filters, etcetera.) pueden utilizar de manera óptima los recursos TCAM disponibles cuando sea necesario. La asignación dinámica de recursos TCAM se basa en el uso y se asigna dinámicamente para las aplicaciones de filtro según sea necesario. Cuando una aplicación de filtro ya no utiliza el espacio TCAM, el recurso se libera y está disponible para su uso por otras aplicaciones. Este modelo dinámico de TCAM atiende a una mayor escala de utilización de recursos de TCAM en función de la demanda de la aplicación. Puede utilizar los comandos show and clear para supervisar y solucionar problemas de uso dinámico de recursos TCAM en los enrutadores de la serie ACX.

Nota:

Las aplicaciones que utilizan el recurso TCAM se denominan tcam-app en este documento.

Descripción general de la memoria direccionable de contenido ternario dinámico muestra la tarea y los comandos para supervisar y solucionar problemas de recursos TCAM en enrutadores de la serie ACX

Tabla 4: Comandos para supervisar y solucionar problemas de recursos TCAM en la serie ACX

Cómo

Comando

Ver las aplicaciones compartidas y relacionadas para una aplicación en particular.

show pfe tcam app (list-shared-apps | list-related-apps)

Vea el número de aplicaciones en todas las etapas de tcam.

show pfe tcam usage all-tcam-stages

Vea el número de aplicaciones que utilizan el recurso TCAM en una etapa especificada.

show pfe tcam usage tcam-stage (ingress | egress | pre-egress)

Vea el recurso TCAM utilizado por una aplicación en detalle.

show pfe tcam usage app <application-name> detail

Ver el recurso TCAM utilizado por una aplicación en una etapa especificada.

show pfe tcam usage tcam-stage (ingress | egress | pre-egress) app <application-name>

Conozca la cantidad de recursos TCAM consumidos por una tcam-app

show pfe tcam usage app <application-name>

Vea los errores de uso de recursos TCAM para todas las etapas.

show pfe tcam errors all-tcam-stages detail

Ver los errores de uso de recursos TCAM para una etapa

show pfe tcam errors tcam-stage (ingress | egress | pre-egress)

Ver los errores de uso de recursos TCAM para una aplicación.

show pfe tcam errors app <application-name>

Ver los errores de uso de recursos TCAM para una aplicación junto con su otra aplicación compartida.

show pfe tcam errors app <application-name> shared-usage

Borre las estadísticas de errores de uso de recursos TCAM para todas las etapas.

clear pfe tcam-errors all-tcam-stages

Borre las estadísticas de error de uso de recursos TCAM para una etapa especificada

clear pfe tcam-errors tcam-stage (ingress | egress | pre-egress)

Borre las estadísticas de error de uso de recursos TCAM para una aplicación.

clear pfe tcam-errors app <application-name>

Para obtener más información sobre el TCAM dinámico en la serie ACX, consulte Descripción general de la memoria direccionable de contenido ternario dinámico.

Escalado de servicios en enrutadores ACX5048 y ACX5096

En enrutadores ACX5048 y ACX5096, un servicio típico (como ELINE, ELAN e IP VPN) que se implementa puede requerir aplicaciones (como policías, filtros de firewall, administración de errores de conectividad IEEE 802.1ag, RFC2544) que utilicen la infraestructura TCAM dinámica.

Nota:

Las aplicaciones de servicio que usan recursos TCAM están limitadas por la disponibilidad de recursos TCAM. Por lo tanto, la escala del servicio depende del consumo del recurso TCAM por parte de dichas aplicaciones.

Puede encontrar un caso de uso de ejemplo para monitorear y solucionar problemas de escala de servicio en enrutadores ACX5048 y ACX5096 en la sección Descripción general de la memoria direccionable de contenido ternario dinámico .

Resolución de problemas de resolución de nombres DNS en directivas de seguridad del sistema lógico (solo administradores principales)

Problema

Description

Es posible que la dirección de un nombre de host en una entrada de la libreta de direcciones que se usa en una directiva de seguridad no se resuelva correctamente.

Causa

Normalmente, las entradas de la libreta de direcciones que contienen nombres de host dinámicos se actualizan automáticamente para los firewalls de la serie SRX. El campo TTL asociado a una entrada DNS indica la hora a partir de la cual la entrada debe actualizarse en la caché de directivas. Una vez que expira el valor TTL, el firewall de la serie SRX actualiza automáticamente la entrada DNS para una entrada de libreta de direcciones.

Sin embargo, si el firewall de la serie SRX no puede obtener una respuesta del servidor DNS (por ejemplo, la solicitud DNS o el paquete de respuesta se pierde en la red o el servidor DNS no puede enviar una respuesta), es posible que la dirección de un nombre de host en una entrada de libreta de direcciones no se resuelva correctamente. Esto puede hacer que el tráfico se caiga ya que no se encuentra ninguna política de seguridad o coincidencia de sesión.

Solución

El administrador principal puede usar el comando para mostrar información de show security dns-cache caché DNS en el firewall de la serie SRX. Si es necesario actualizar la información de caché DNS, el administrador principal puede usar el clear security dns-cache comando.

Nota:

Estos comandos solo están disponibles para el administrador principal en dispositivos configurados para sistemas lógicos. Este comando no está disponible en sistemas lógicos de usuario ni en dispositivos que no están configurados para sistemas lógicos.

Consulte también

Solución de problemas de las políticas de seguridad

Sincronización de políticas entre el motor de enrutamiento y el motor de reenvío de paquetes

Problema

Description

Las políticas de seguridad se almacenan en el motor de enrutamiento y en el motor de reenvío de paquetes. Las políticas de seguridad se insertan desde el motor de enrutamiento al motor de reenvío de paquetes cuando se confirman las configuraciones. Si las políticas de seguridad del motor de enrutamiento no están sincronizadas con el motor de reenvío de paquetes, se produce un error en la confirmación de una configuración. Se pueden generar archivos de volcado de núcleo si se intenta la confirmación repetidamente. La falta de sincronización puede deberse a:

  • Un mensaje de política del motor de enrutamiento al motor de reenvío de paquetes se pierde en tránsito.

  • Un error con el motor de enrutamiento, como un UID de directiva reutilizado.

Entorno

Las directivas del motor de enrutamiento y del motor de reenvío de paquetes deben estar sincronizadas para que se confirme la configuración. Sin embargo, en determinadas circunstancias, es posible que las directivas del motor de enrutamiento y del motor de reenvío de paquetes no estén sincronizadas, lo que provoca un error en la confirmación.

Síntomas

Cuando se modifican las configuraciones de directiva y las directivas no están sincronizadas, aparece el siguiente mensaje de error: error: Warning: policy might be out of sync between RE and PFE <SPU-name(s)> Please request security policies check/resync.

Solución

Use el show security policies checksum comando para mostrar el valor de suma de comprobación de la directiva de seguridad y use el request security policies resync comando para sincronizar la configuración de las directivas de seguridad en el motor de enrutamiento y el motor de reenvío de paquetes, si las directivas de seguridad no están sincronizadas.

Consulte también

  • No link title
  • No link title
  • No link title

Comprobación de un error de confirmación de política de seguridad

Problema

Description

La mayoría de los errores de configuración de directivas se producen durante una confirmación o un tiempo de ejecución.

Los errores de confirmación se notifican directamente en la CLI cuando se ejecuta el comando commit-check de la CLI en modo de configuración. Estos errores son errores de configuración y no puede confirmar la configuración sin corregirlos.

Solución

Para corregir estos errores, haga lo siguiente:

  1. Revise los datos de configuración.

  2. Abra el archivo /var/log/nsd_chk_only. Este archivo se sobrescribe cada vez que se realiza una comprobación de confirmación y contiene información detallada sobre el error.

Comprobación de una confirmación de política de seguridad

Problema

Description

Al realizar una confirmación de configuración de directiva, si observa que el comportamiento del sistema es incorrecto, siga estos pasos para solucionar este problema:

Solución

  1. Comandos operativos show : ejecute los comandos operativos para las políticas de seguridad y compruebe que la información que se muestra en el resultado es coherente con lo que esperaba. De lo contrario, la configuración debe cambiarse adecuadamente.

  2. Traceoptions: defina el comando en la configuración de traceoptions la política. Los indicadores bajo esta jerarquía se pueden seleccionar según el análisis del usuario de la salida del show comando. Si no puede determinar qué indicador usar, la opción all de indicador se puede usar para capturar todos los registros de seguimiento.

    content_copy zoom_out_map
    user@host# set security policies traceoptions <flag all>

También puede configurar un nombre de archivo opcional para capturar los registros.

content_copy zoom_out_map
user@host# set security policies traceoptions <filename>

Si especificó un nombre de archivo en las opciones de seguimiento, puede buscar el archivo de registro en /var/log/<filename> para determinar si se ha notificado algún error en el archivo. (Si no especificó un nombre de archivo, el nombre de archivo predeterminado es eventual). Los mensajes de error indican el lugar del error y la razón apropiada.

Después de configurar las opciones de seguimiento, debe volver a confirmar el cambio de configuración que provocó el comportamiento incorrecto del sistema.

Depurar búsqueda de directivas

Problema

Description

Si tiene la configuración correcta, pero parte del tráfico se ha interrumpido o permitido incorrectamente, puede habilitar el lookup indicador en las traceoptions de las políticas de seguridad. La lookup marca registra los seguimientos relacionados con la búsqueda en el archivo de seguimiento.

Solución

content_copy zoom_out_map
user@host# set security policies traceoptions <flag lookup>

Registrar mensajes de error utilizados para solucionar problemas relacionados con ISSU

Los siguientes problemas pueden producirse durante una actualización de ISSU. Puede identificar los errores mediante los detalles de los registros. Para obtener información detallada acerca de mensajes de registro del sistema específicos, consulte Explorador de registros del sistema.

Errores de proceso del chasis

Problema

Description

Errores relacionados con el chasis.

Solución

Utilice los mensajes de error para comprender los problemas relacionados con el chasisd.

Cuando se inicia ISSU, se envía una solicitud al chasis para comprobar si hay algún problema relacionado con el ISSU desde la perspectiva del chasis. Si hay un problema, se crea un mensaje de registro.

Descripción del control de errores comunes para ISSU

Problema

Description

Es posible que encuentre algunos problemas en el curso de una ISSU. En esta sección se proporcionan detalles sobre cómo manejarlos.

Solución

Cualquier error encontrado durante una ISSU da como resultado la creación de mensajes de registro e ISSU sigue funcionando sin afectar al tráfico. Si es necesario revertir a versiones anteriores, el evento se registra o el ISSU se detiene, para no crear versiones no coincidentes en ambos nodos del clúster de chasis. Tabla 8 Proporciona algunas de las condiciones de error comunes y sus soluciones. Los mensajes de ejemplo que se usan en el Tabla 8 provienen del dispositivo SRX1500 y también son aplicables a todos los firewalls de la serie SRX compatibles.

Tabla 8: Errores y soluciones relacionados con ISSU

Condiciones de error

Soluciones

Intentar iniciar una ISSU cuando la instancia anterior de una ISSU ya está en curso

Se muestra el siguiente mensaje:

warning: ISSU in progress

Puede anular el proceso actual de ISSU e iniciar el ISSU de nuevo con el request chassis cluster in-service-upgrade abort comando.

Error de reinicio en el nodo secundario

No se produce ningún tiempo de inactividad del servicio, ya que el nodo principal sigue proporcionando los servicios necesarios. Se muestran mensajes detallados de la consola en los que se solicita que borre manualmente los estados de ISSU existentes y restaure el clúster de chasis.

error: [Oct  6 12:30:16]: Reboot secondary node failed (error-code: 4.1)

       error: [Oct  6 12:30:16]: ISSU Aborted! Backup node maybe in inconsistent state, Please restore backup node
       [Oct  6 12:30:16]: ISSU aborted. But, both nodes are in ISSU window.
       Please do the following:
       1. Rollback the node with the newer image using rollback command
          Note: use the 'node' option in the rollback command
          otherwise, images on both nodes will be rolled back
       2. Make sure that both nodes (will) have the same image
       3. Ensure the node with older image is primary for all RGs
       4. Abort ISSU on both nodes
       5. Reboot the rolled back node

A partir de Junos OS versión 17.4R1, el temporizador de espera para el reinicio inicial del nodo secundario durante el proceso ISSU se amplía de 15 minutos (900 segundos) a 45 minutos (2700 segundos) en clústeres de chasis en dispositivos SRX1500, SRX4100, SRX4200 y SRX4600.

El nodo secundario no pudo completar la sincronización en frío

Se agota el tiempo de espera del nodo principal si el nodo secundario no puede completar la sincronización en frío. Se muestran mensajes de consola detallados que borran manualmente los estados de ISSU existentes y restauran el clúster de chasis. No se produce ningún tiempo de inactividad del servicio en este escenario.

[Oct  3 14:00:46]: timeout waiting for secondary node node1 to sync(error-code: 6.1)
        Chassis control process started, pid 36707 

       error: [Oct  3 14:00:46]: ISSU Aborted! Backup node has been upgraded, Please restore backup node 
       [Oct  3 14:00:46]: ISSU aborted. But, both nodes are in ISSU window. 
       Please do the following: 
      1. Rollback the node with the newer image using rollback command 
          Note: use the 'node' option in the rollback command 
          otherwise, images on both nodes will be rolled back 
      2. Make sure that both nodes (will) have the same image 
      3. Ensure the node with older image is primary for all RGs 
      4. Abort ISSU on both nodes 
      5. Reboot the rolled back node

Error de conmutación por error de secundaria recién actualizada

No se produce ningún tiempo de inactividad del servicio, ya que el nodo principal sigue proporcionando los servicios necesarios. Se muestran mensajes detallados de la consola en los que se solicita que borre manualmente los estados de ISSU existentes y restaure el clúster de chasis.

[Aug 27 15:28:17]: Secondary node0 ready for failover.
[Aug 27 15:28:17]: Failing over all redundancy-groups to node0
ISSU: Preparing for Switchover
error: remote rg1 priority zero, abort failover.
[Aug 27 15:28:17]: failover all RGs to node node0 failed (error-code: 7.1)
error: [Aug 27 15:28:17]: ISSU Aborted!
[Aug 27 15:28:17]: ISSU aborted. But, both nodes are in ISSU window.
Please do the following:
1. Rollback the node with the newer image using rollback command
    Note: use the 'node' option in the rollback command
           otherwise, images on both nodes will be rolled back
2. Make sure that both nodes (will) have the same image
3. Ensure the node with older image is primary for all RGs
4. Abort ISSU on both nodes
5. Reboot the rolled back node
{primary:node1}

Error de actualización en la estación principal

No se produce ningún tiempo de inactividad del servicio, ya que el nodo secundario conmuta por error como principal y continúa proporcionando los servicios necesarios.

Error de reinicio en el nodo principal

Antes del reinicio del nodo principal, ya que los dispositivos están fuera de la configuración de ISSU, no se muestran mensajes de error relacionados con ISSU. Se muestra el siguiente mensaje de error de reinicio si se detecta algún otro error:

Reboot failure on     Before the reboot of primary node, devices will be out of ISSU setup and no primary node error messages will be displayed.
Primary node

Errores relacionados con soporte técnico de ISSU

Problema

Description

Se produce un error de instalación debido a software no compatible y a una configuración de características no compatible.

Solución

Utilice los siguientes mensajes de error para comprender los problemas relacionados con la compatibilidad:

content_copy zoom_out_map
WARNING: Current configuration not compatible with /var/tmp/junos-srx5000-11.4X3.2-domestic.tgz
Exiting in-service-upgrade window
Exiting in-service-upgrade window

Error en las comprobaciones de validación inicial

Problema

Description

Las comprobaciones de validación iniciales fallan.

Solución

Las comprobaciones de validación fallan si la imagen no está presente o si el archivo de imagen está dañado. Los siguientes mensajes de error se muestran cuando las comprobaciones de validación iniciales fallan cuando la imagen no está presente y se anula el ISSU:

Cuando la imagen no está presente

content_copy zoom_out_map
user@host> ...0120914_srx_12q1_major2.2-539764-domestic.tgz 
Chassis ISSU Started
Chassis ISSU Started
ISSU: Validating Image
Initiating in-service-upgrade
Initiating in-service-upgrade
Fetching package...
error: File does not exist: /var/tmp/junos-srx1k3k-12.1I20120914_srx_12q1_major2.2-539764-domestic.tgz
error: Couldn't retrieve package /var/tmp/junos-srx1k3k-12.1I20120914_srx_12q1_major2.2-539764-domestic.tgz
Exiting in-service-upgrade window
Exiting in-service-upgrade window
Chassis ISSU Aborted
Chassis ISSU Aborted
Chassis ISSU Aborted
ISSU: IDLE
ISSU aborted; exiting ISSU window.

Cuando el archivo de imagen está dañado

Si el archivo de imagen está dañado, se muestra el siguiente resultado:

content_copy zoom_out_map
user@host> ...junos-srx1k3k-11.4X9-domestic.tgz_1 
Chassis ISSU Started
node1:
--------------------------------------------------------------------------
Chassis ISSU Started
ISSU: Validating Image
Initiating in-service-upgrade

node1:
--------------------------------------------------------------------------
Initiating in-service-upgrade
ERROR: Cannot use /var/tmp/junos-srx1k3k-11.4X9-domestic.tgz_1:
gzip: stdin: invalid compressed data--format violated
tar: Child returned status 1
tar: Error exit delayed from previous errors
ERROR: It may have been corrupted during download.
ERROR: Please try again, making sure to use a binary transfer.
Exiting in-service-upgrade window

node1:
--------------------------------------------------------------------------
Exiting in-service-upgrade window
Chassis ISSU Aborted
Chassis ISSU Aborted

node1:
--------------------------------------------------------------------------
Chassis ISSU Aborted
ISSU: IDLE
ISSU aborted; exiting ISSU window.

{primary:node0}

El nodo principal valida la configuración del dispositivo para garantizar que se pueda confirmar con la nueva versión del software. Si algo sale mal, la ISSU se anula y se muestran mensajes de error.

Errores relacionados con la instalación

Problema

Description

El archivo de imagen de instalación no existe o el sitio remoto es inaccesible.

Solución

Utilice los siguientes mensajes de error para comprender los problemas relacionados con la instalación:

content_copy zoom_out_map
error: File does not exist: /var/tmp/junos-srx5000-11.4X3.2-domest
error: Couldn't retrieve package /var/tmp/junos-srx5000-11.4X3.2-domest

ISSU descarga la imagen de instalación como se especifica en el comando ISSU como argumento. El archivo de imagen puede ser un archivo local o ubicado en un sitio remoto. Si el archivo no existe o el sitio remoto es inaccesible, se informa de un error.

Errores de conmutación por error del grupo de redundancia

Problema

Description

Problema con un error del grupo de redundancia automática (RG).

Solución

Utilice los siguientes mensajes de error para comprender el problema:

content_copy zoom_out_map
failover all RG 1+ groups to node 0
error: Command failed.  None of the redundancy-groups has been failed over.
       Some redundancy-groups on node1 are already in manual failover mode.
       Please execute 'failover reset all' first..

Errores de sincronización de estado del kernel

Problema

Description

Errores relacionados con ksyncd.

Solución

Use los siguientes mensajes de error para comprender los problemas relacionados con ksyncd:

content_copy zoom_out_map
Failed to get kernel-replication error information from Standby Routing Engine.
mgd_slave_peer_has_errors() returns error at line 4414 in mgd_package_issu.

ISSU comprueba si hay errores de ksyncd en el nodo secundario (nodo 1) y muestra el mensaje de error si hay algún problema y anula la actualización.

Tabla de historial de cambios

La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.

Liberación
Descripción
17.4R1
A partir de Junos OS versión 17.4R1, el temporizador de espera para el reinicio inicial del nodo secundario durante el proceso ISSU se amplía de 15 minutos (900 segundos) a 45 minutos (2700 segundos) en clústeres de chasis en dispositivos SRX1500, SRX4100, SRX4200 y SRX4600.
arrow_backward PREVIOUS Comprimir los registros de solución de problemas de /var/logs para enviarlos al soporte técnico de Juniper Networks
NEXT arrow_forward Solución de problemas del rendimiento del sistema con la metodología de monitoreo de recursos
footer-navigation

© 1999 - 2025 Juniper Networks, Inc. All rights reserved.

Scroll to top