これは本当に奇妙な問題です。
テストネットワーク環境で、古いCiscoルーターを置き換えるゲートウェイとしてJuniper SRX 220Hをインストールしようとしています。簡略化されたトポロジを以下に示します。
ISP ----- ONT ----- SRX ----- Other devices (Routers, switches, client computers...)
ISPからSRXへのリンクは、802.1Qトランクリンクで、2つのVLANが含まれています(インターネットアクセス用のVLAN 35、DHCPによって割り当てられたIPアドレス、20分のリース。ここでは使用されないIPTV用のVLAN 34)。
SRXは最初にISPからIPアドレスを取得できます。12〜17分後(最初のDHCPリースの更新後、2回目の更新前)、SRXはインターネットアクセスを失いました(ゲートウェイにpingできません)。システムログまたはシステムステータスには、特別なものや通知はありません。「インターフェースの表示」は、すべてが正常に機能すると述べました。しかし、ge-0 / 0/0ではトラフィックはまったくありません。ケーブルを取り外したり、SRXを再起動したりすると、さらに12〜17分間機能し、すべてのトラフィックが再び停止します。
このSRXをインストールする前に、同じ構成の古いCiscoルーターは問題なく動作します。
手がかりはありますか?
SRXの部分的な構成を以下に示します。
interfaces {
ge-0/0/0 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members vlan-internet;
}
}
}
}
ge-0/0/1 {
unit 0 {
family ethernet-switching {
vlan {
members vlan-trust;
}
}
}
vlan {
mac xx:xx:xx:xx:xx:xx;
unit 0 {
family inet {
address 192.168.99.254/24;
}
}
unit 35 {
family inet {
dhcp;
}
}
}
}
vlans {
vlan-internet {
vlan-id 35;
l3-interface vlan.35;
}
vlan-trust {
vlan-id 3;
l3-interface vlan.0;
}
}
対応するシスコの構成:
interface GigabitEthernet0/0
description WAN
mac-address xxxx.xxxx.xxxx
no ip address
duplex auto
speed auto
media-type rj45
no negotiation auto
!
interface GigabitEthernet0/0.35
description FibreOP-Internet
encapsulation dot1Q 35
ip address dhcp
ip nat outside
ip virtual-reassembly in
!
編集:
ISPとSRX ge-0 / 0/0を接続するケーブルを交換しました。何も良いことがない。
EDIT2:
ISP環境をシミュレートするために予備のCiscoスイッチを構成しました。VLANトランクと同じDHCPリース期間が設定されています。次に、SRXのge-0 / 0/0をそのスイッチに接続します。SRXの構成は保持されます。この実験では、SRXの動作は正常です。これは私を本当に混乱させます。
EDIT3:
@ryankleinが要求する出力
root@Firewall> show dhcp client statistics
warning: dhcp-service subsystem not running - not needed by configuration.
root@Firewall> show dhcp client binding
warning: dhcp-service subsystem not running - not needed by configuration.
EDIT4:
@ryankleinが要求する出力
root@Firewall> show system services dhcp statistics
Packets dropped:
Total 0
Messages received:
BOOTREQUEST 0
DHCPDECLINE 0
DHCPDISCOVER 0
DHCPINFORM 0
DHCPRELEASE 0
DHCPREQUEST 0
Messages sent:
BOOTREPLY 0
DHCPOFFER 0
DHCPACK 0
DHCPNAK 0
root@Firewall> show system services dhcp client
Logical Interface name vlan.35
Hardware address xx:xx:xx:xx:xx:xx
Client status bound
Address obtained 142.xxx.xxx.xxx
Update server disabled
Lease obtained at 2015-01-18 03:35:47 NST
Lease expires at 2015-01-18 03:55:47 NST
DHCP options:
Code: 1, Type: ip-address, Value: 255.255.252.0
Name: server-identifier, Value: 142.yyy.yyy.yyy
Name: router, Value: [ 142.xxx.xxx.1 ]
Name: name-server, Value: [ 47.55.55.55, 142.166.166.166 ]
root@Firewall>
EDIT5:
私はSRXとISPの間でデータをキャプチャし、何かが役に立つかもしれないことを発見しました。
トポロジー図が更新されました(SRXとISPの間に欠落していたONTデバイスが追加されました)。
インターネットがなくなっても、ONTとSRX間のレイヤー2通信はまだアクティブです。ONTは、ISPがSRXに割り当てたIPアドレスにARPクエリ要求を送信し続けているようです。インターネットがなくなった後も、ARPの要求と応答を見ることができます。この動作は、ONTがこの問題の原因ではないことを示していると思います。
インターネットがなくなると、DHCP要求パケットは他のトラフィックと同じように応答を受け取りません。インターネットがなくなって失敗した後、SRXでIPアドレスを更新しようとしました。キャプチャされたデータは、リモート側からの応答がないことを示しています。
DHCPの更新は、インターネットが正常な場合に成功します。「システムサービスdhcpクライアントにvlan.35を更新するように要求」を発行すると、DHCP要求と対応するDHCP ACKが表示されます。
(不正確。次の項目を参照)インターネットがなくなったら、現在のDHCPリースを解放し、新しいリースを要求して接続を復元します。現在のDHCPリースを解放して更新しようとしたところ、SRXが新しいIPアドレスを取得し、インターネットが復旧しました。キャプチャされたデータは、単一のDHCP要求パケットが応答を受信しないにもかかわらず(上記を参照)、DHCPリリースパケットがDHCP NAK応答をもたらすことを示しています。その後、DHCP検出が発行され、正しいDHCPオファーが取得されます。その後、インターネットが復活しました。ただし、この結果を繰り返してみたところ、何も問題はありませんでした。DHCPリリースもDHCP検出も応答を取得しません。renewコマンドの直後にrelease and renewコマンドを発行しました。これらのパケットの送信が速すぎるかどうかによって、応答しない動作が発生するかどうかはわかりません。
インターネットがなくなった後、DHCP検出要求を発行し、最初の要求がインターネット接続を復元するように処理されます。キャプチャされたデータは、インターネットがなくなったときにDHCP要求パケットを発行すると、DHCP NAK応答が発生することを示しています。前の項目の結果と組み合わせて、DHCP要求とDHCPリリースの両方を発行すると、DHCP NAKが発生します。ただし、DHCPサーバーにIPアドレスを要求するのが初めてであるかのように処理する(DHCP検出を送信してからDHCP要求を送信する)と、肯定的な結果が得られ、インターネットアクセスが復元されます。更新:NAKが常に送信されるとは限らないようです... DHCPリクエスト/リリースがDHCP NAKで返されることもあり、無音の場合もあります...