ジュニパーSRX240Hがアップストリームルーターへの接続を失う

7

2つのSRX240がクラスター化されています。クラスタリングは、2つの冗長グループと3つのRETHで構成されます。

reth1は、ge-0 / 0/5およびge-5 / 0/5を介してインターネット接続に接続されています。私たちのインターネット接続は、片道100 Mbpsの専用線です。自動ネゴシエーション設定を無効にし、速度と全二重モードを手動で設定することを確認する必要があります。

これらのインターフェースを示す構成は次のとおりです

cluster {
    reth-count 3;
    redundancy-group 0 {
        node 0 priority 100;
        node 1 priority 99;
    }
    redundancy-group 1 {
        node 0 priority 100;
        node 1 priority 99;
        preempt;
        interface-monitor {
            ge-0/0/5 weight 255;
            ge-5/0/5 weight 255;
        }
     }
}

interfaces {
    ge-0/0/5 {
        speed 100m;
        link-mode full-duplex;
        gigether-options {
            no-auto-negotiation;
            redundant-parent reth1;
        }
    }
    ge-5/0/5 {
        speed 100m;
        gigether-options {
            no-auto-negotiation;
            redundant-parent reth1;
        }
    }
    reth1 {
        redundant-ether-options {
            redundancy-group 1;
        }
        unit 0 {
            family inet {
                address 1.1.1.25/30;
            }
        }
    } 
}

アップストリームのNTEは、IPアドレス1.1.1.26/30にあります(IPは変更されています)。

接続は正常に機能し、回線速度のダウンロード速度が最大に近くなります。私は待ち時間が短く、あなたが期待する他のすべてのものを持っています。ただし、ときどきアップストリームのNTEに突然pingできなくなります。接続が停止するだけです。

インターフェースのステータスを確認すると、稼働中と表示されます。

{primary:node0}
gareth@FW01> show interfaces ge-0/0/5
Physical interface: ge-0/0/5, Enabled, Physical link is Up
  Interface index: 139, SNMP ifIndex: 527
  Link-level type: Ethernet, MTU: 1514, Link-mode: Full-duplex, Speed: 100mbps,
  BPDU Error: None, MAC-REWRITE Error: None, Loopback: Disabled,
  Source filtering: Disabled, Flow control: Enabled, Auto-negotiation: Enabled,
  Remote fault: Online
  Device flags   : Present Running
  Interface flags: SNMP-Traps Internal: 0x0
  Link flags     : None
  CoS queues     : 8 supported, 8 maximum usable queues
  Current address: 00:10:de:ff:20:01, Hardware address: 08:81:f4:cd:a1:05
  Last flapped   : 2013-05-16 01:35:08 UTC (03:39:01 ago)
  Input rate     : 7144 bps (10 pps)
  Output rate    : 34488 bps (58 pps)
  Active alarms  : None
  Active defects : None
  Interface transmit statistics: Disabled

  Logical interface ge-0/0/5.0 (Index 74) (SNMP ifIndex 528)
    Flags: SNMP-Traps 0x0 Encapsulation: ENET2
    Input packets : 20966964
    Output packets: 13453431
    Security: Zone: Null
    Protocol aenet, AE bundle: reth1.0   Link Index: 0

{primary:node0}
gareth@FW01> show interfaces reth1.0
  Logical interface reth1.0 (Index 68) (SNMP ifIndex 578)
    Flags: SNMP-Traps 0x0 Encapsulation: ENET2
    Statistics        Packets        pps         Bytes          bps
    Bundle:
        Input :      20967161         12   19068965037         9320
        Output:      13454302         44    3387733487        29088
    Security: Zone: untrust-internet
    Allowed host-inbound traffic : ping
    Protocol inet, MTU: 1500
      Flags: Sendbcast-pkt-to-re
      Addresses, Flags: Is-Preferred Is-Primary
        Destination: 1.1.1.24/30, Local: 1.1.1.25,
        Broadcast: 1.1.1.27

最後のフラップの理由は、それを除外するためにネットワークケーブルを変更したためです。ケーブルを外して新しいケーブルを接続すると、接続が元に戻ります。私は今それを信頼するのに少し消極的です。

それが再び起こった場合、誰かが私が見ることができる他の何かを持っていますか?

サポートされているバージョンで動作するはずであるというhttp://kb.juniper.net/InfoCenter/index?page=content&id=KB16672の投稿を見つけました。

特にハイエンドSRXデバイス向けのリリースは、11.2R1、11.1R1、10.3R3、10.4R2、10.2R4以降です。Branch SRXデバイスの場合、これはJunos 11.1R4、11.2R2、および11.4R1以降でのみサポートされます。

バージョン11.2R4.3を実行しています

juniper-srx 
ガレス・ヘイスティングス
ソース
接続しているNTUを明確にできますか?その上に2つのポートがありますか?それとも1つのポートとその間にスイッチがありますか?
LapTop006 2013年
これは、World Wide Packets Lightening Edge 45です。4ポートスイッチが組み込まれています。
Gareth Hastings

回答:

4

ここに役立つはずのいくつかのバージョン情報があります。すぐに気が付くもう1つのことは、自動ネゴシエーションが無効になっていることです。これは必要ありません。これはあなたのプロバイダーが求めているものですか、それとも学習した行動に基づいていますか?自動ネゴシエーションは10年以上推奨されてきたので、私はそこにあるものを読むことをお勧めします。接続しているものも問題なく機能するはずです(最後に問題が発生したのは3500XLでした。チェックアウト:

http://etherealmind.com/ethernet-autonegotiation-works-why-how-standard-should-be-set/

まず、Junosによると(バージョンについて言及したため)、Junos 11.4R7.5は、2013年4月8日の時点で、SRX240の推奨リリースとしてサポートされています。

http://kb.juniper.net/InfoCenter/index?page=content&id=KB21476(ログインが必要)

また、JTACはSRXまたはJシリーズのEEOLリリースでIPsec機能を使用することをお勧めします(FYIは該当する場合としない場合があります)。(私にとって、juniper.netのSRX240Hで利用できるリリースは10.4、11.4、12.1のみです。これは、何を実行するかについての期待を設定するのに役立ちます。)

http://www.juniper.net/alerts/viewalert.jsp?txtAlertNumber=PSN-2013-01-822&actionBtn=検索(ログインが必要)

また、不正なTCP脆弱性が発生する前にリリースされたバージョンを実行しています。ライブエクスプロイトが存在することを考えると身震いしますが、2013年1月または2月、またはそれ以降に公開されたバージョンを使用している必要があります。11.2に必要なバージョンは、11.2R5.5または11.2R7.5(またはそれ以上)です。

http://osvdb.org/89751

SRXも「急速に進化する」プラットフォームであるため、バージョンについて説明しました。事例証拠と伝聞では、より頻繁にアップグレードすることをお勧めします。

Lunistorvalds
ソース
auto-negについては、プロバイダー(Virgin-Big Red)から手動で速度を割り当てるように指示されています。2011年初頭からのメールによるとHi Gareth, Our network team have advised to try the below:- Hard code the WAN interface to the speed that they have ordered 10, 100. or 1000 and duplex set to full. then have the LAN interface set to auto auto.
Gareth Hastings 2013年
手順は次のとおりです。1.ファームウェアを更新してから2.プロバイダーに確認し、ハードコードされた速度/デュプレックス設定を使用する必要があるかどうかを確認します。コメントありがとうございます。うまくいけば、今夜以降はもう問題は表示されません。
Gareth Hastings 2013年
1
イーサネットリンクのエラーを監視することも重要だと思います。(ここにも広範なバージョンを投稿する可能性があります)。ハードセットの速度/デュプレックスが問題である場合、それは調べるべき場所です。内部IPからの喫煙(ルーター、/ 30の近く、/ 30のプロバイダー側​​、インターネット上のどこかなど)のほか、インターネット上のある場所から各サーバーへの喫煙など接続のポイントは、接続の問題を視覚化できます。
lunistorvalds 2013年
これに対するアップデートを提供するためだけに、速度とデュプレックスの設定をハードコードすることをお勧めしました:(そして、最新のJunosリリースにもアップデートしました。これまでのところ、私は元の問題に遭遇していません。助けてくれてありがとう
Garethヘイスティングス
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.