IBM Cloud Docs
作動可能エラーおよび警告の修正

作動可能エラーおよび警告の修正

作動可能エラーおよび警告により、作動可能検査を正常に完了できない場合があります。 このトピックでは、さまざまなタイプのエラーと警告の修正に関する情報を提供します。

接続エラーの修正

準備チェックを行う際に遭遇する可能性のある接続性エラーには、2つのカテゴリーがある:

  • ホスト (Ubuntu) SSH 接続エラー
  • ゲートウェイ (vSRX) SSH 接続エラー

これらのエラーの多くは、検査されるゲートウェイ・アクションに、ホスト (Ubuntu) OS またはゲートウェイ (vSRX) いずれかのプライベート IP アドレスへのルート SSH アクセスが必要であるという事実に起因します。 SSH 接続検査が失敗すると、アクションを続行することはできません。

SSH セッションの確立について詳しくは、SSH を使用したデバイスへのアクセスを参照してください。 ステップ3では、 admin。 作動可能検査の場合は、vSRX およびハードウェア (ホスト) の両方で、代わりに root ユーザーを使用してください。 また、この手順では必ずパブリック IP ではなく、プライベート IP を使用してください。

接続を検証するには、ゲートウェイ アプライアンスの詳細ページのハードウェアセクション ( Ubuntu ホストの場合) または vSRX's セクション (ゲートウェイの場合) にリストされているルート資格情報を使用して、 Ubuntu ホストまたは vSRX のプライベート IP への Gateway Appliance を開きます。 SSH セッションを確立できることを確認します。

セッションを確立できない場合は、次の潜在的な問題がないか確認します。

ホスト (Ubuntu) SSH 接続エラーの場合:

  • Ubuntu のファイアウォールがプライベート IP への SSH アクセスをブロックしていませんか? ファイアウォール・ルールはプライベートの 10.0.0.0/8 サブネットへの SSH アクセスを許可しなければなりません。 サービス・ネットワークについて詳しくは、IBM Cloud IP の範囲を参照してください。
  • 「ゲートウェイ・アプライアンスの詳細 (Gateway Appliance Details)」ページにリストされている root のパスワードは、root ユーザーの正しいパスワードですか? 違っている場合は、**「ハードウェア」 セクションにあるデバイス・リンクをクリックして「パスワード」**にナビゲートします。 **「アクション」>「資格情報の編集」**の順に選択して、Ubuntu ホストの実際の root のパスワードに一致するようにパスワードを変更します。
  • SSH サーバーの root ログインが使用不可になっていませんか?
  • SSH サーバーが使用不可または停止していませんか?
  • Ubuntu ホストで root ユーザーのアカウントが使用不可になっていませんか?

ゲートウェイ (vSRX) SSH 接続エラーの場合:

  • vSRX のファイアウォールがプライベート IP への SSH アクセスをブロックしていませんか? ファイアウォール・ルールはプライベートの 10.0.0.0/8 サブネットへの SSH アクセスを許可しなければなりません。 サービス・ネットワークについて詳しくは、IBM Cloud IP の範囲を参照してください。
  • 「ゲートウェイ・アプライアンスの詳細 (Gateway Appliance Details)」ページにリストされている root のパスワードは、root ユーザーの正しいパスワードですか? そうでない場合は、ルート・パスワードの横にある 編集 アイコン 「編集」アイコン をクリックし、vSRX の実際のルート・パスワードと一致するようにパスワードを変更します。
  • root ユーザー・アカウントで SRX への SSH アクセスが使用不可になっていませんか?

エラー訂正 1119

vSRXがtelnetによるローカルコンソールアクセスをブロックする設定になっている可能性があります。 以下のコンフィギュレーションをチェックし、プレチェック操作を再試行する前に削除する:

set system ports console disable set system ports console insecure

その他の問題としては、vSRXのパスワードが間違っている場合があります。

エラー 1124 の修正

vSRX 18.4R1-S1 では、この Juniper 問題レポートに記載されている非互換性が導入されました。 この報告にアクセスするには Juniper アカウントが必要です。

冗長イーサネット (reth) インターフェースに vlan-tagging (デフォルト) が含まれている場合、そのインターフェースには vlan-id タグも含まれています。 18.4R1-S1 では、vlan-id タグがなくても構成をコミットすることができました。 それより新しいバージョン (19.4R2-S3 など) では、この構成は許可されなくなりました。

vlan-id がない構成の例を以下に示します。

set interfaces reth2 vlan-tagging
set interfaces reth2 mtu 9000
set interfaces reth2 redundant-ether-options redundancy-group 1
set interfaces reth2 unit 2058 family inet address xx.xx.xxx.1/26
commit check

この構成の出力は次のようになります。

root@vSRX-Node0# commit check
[edit interfaces reth2]
 ‘unit 2058’
   VLAN-ID must be specified on tagged ethernet interfaces
error: configuration check-out failed

このエラーに対処するには、以下のようにして vlan-id タグを構成に追加し、作動可能検査を再試行してください。

set interfaces reth2 unit 2058 vlan-id 2058

エラー 1125 の修正

vSRX 18.4R1-S1 では、syslog 構成に structure-data ラベルと explicit-priority ラベルの両方を含むことが許可される非互換性が導入されました。 これは、バージョン 19.4R2-S3 以降では許可されなくなりました。

例えば、以下の syslog 構成には両方のラベル (set system syslog file messages structured-data および set system syslog file default-log-messages explicit-priority) が含まれています。

set system syslog file messages any info
set system syslog file messages authorization warning
set system syslog file messages archive size 10m
set system syslog file messages archive files 10
set system syslog file messages archive world-readable
set system syslog file messages structured-data
set system syslog file interactive-commands interactive-commands info
set system syslog file interactive-commands archive size 1m
set system syslog file interactive-commands archive files 10
set system syslog file interactive-commands archive world-readable
set system syslog file interactive-commands structured-data
set system syslog file default-log-messages any warning
set system syslog file default-log-messages authorization info
set system syslog file default-log-messages user info
set system syslog file default-log-messages firewall any
set system syslog file default-log-messages interactive-commands info
set system syslog file default-log-messages explicit-priority
set system syslog file default-log-messages structured-data
set system syslog file kmd-logs daemon info
commit check

この構成の出力は次のようになります。

[Stage 3 - Build_vSRX][2021-01-11 15:38:00.623323] Commit check failed: CommitError(edit_path: [edit system syslog file default-log-messages], bad_element: explicit-priority, message: error: ‘explicit-priority’ cannot be configured if ‘structured-data’ is configured
error: configuration check-out failed: (statements constraint check failed))

この問題を修正するには、構成からいずれかの syslog ラベルを削除し、作動可能検査を再試行してください。

サポートされない vSRX 構成コマンドの修正

Juniper vSRX には、文書化されていない、または非表示の CLI コマンドが含まれています。 vSRX 構成では、これらのコマンドの一部はサポートされていませんが、一部のリリースではコミットできます。 リリース・バージョン間で動作が予期せず変更されることがあります。 以下の情報は、 vSRX の古いバージョンからアップグレードした場合に、サポートされていないことが知られている設定コマンドの詳細です。 バージョンをアップグレードする前に、 vSRX のコンフィギュレーションから、サポートされていないコマンドや非表示のコマンドを削除しておくことが重要です。 これは、レディネス・チェックで検出されなかったコマンドでも行う。

エラー 1145 の訂正

IDP 関連のポリシーおよび構成を削除します。 以下のコマンドを実行して、すべての依存関係を収集します。

show security policies | match idp | display set
show system scripts | display set
show security idp | display set

次に、これらの各依存関係の構成スタンザを削除します。

例:

delete security policies from-zone <$zone1> to-zone <$zone2> policy
<$policy> then permit application-services idp
delete system scripts commit file templates.xsl
delete security idp

エラー 1147 の修正

前のセクションと同様に、セキュリティー・セクションで Junos が構成を解析する方法を変更すると、以下のようなエラーが発生する可能性があります。

error: Bad url pattern: *.googleapis.com/(*)

この構成の例には以下が含まれる:

set security utm custom-objects url-pattern AZURE value *.googleapis.com/*
set security utm custom-objects url-pattern website value *services.site.com

* を末尾の文字および接頭部として使用することは、もはや有効ではありません。 代替構成は以下のとおりです。

set security utm custom-objects url-pattern AZURE value *.googleapis.com
set security utm custom-objects url-pattern website value *.services.site.com

この問題を修正するには、必要に応じて vSRX 構成を変更し、作動可能検査をコミットしてから再試行します。

tcp-mss を指定したコマンド set interfaces..

以下の文書化されていない設定は、 20.4R2-S2 より前のバージョンではコミットされるかもしれませんが、 20.4R2-S2 では失敗します。 19.4R3-S2 の show configuration からの unsupported platform 出力に注意してください。

[edit]
root@asloma-vsrx-sa-sng0102-vsrx-vSRX# set interfaces st0 unit 0 family inet tcp-mss 1372

[edit]
root@asloma-vsrx-sa-sng0102-vsrx-vSRX# commit
commit complete

[edit]

.......
...

root@asloma-vsrx-sa-sng0102-vsrx-vSRX> show configuration interfaces st0
unit 0 {
    family inet {
        ##
        ## Warning: statement ignored: unsupported platform (vsrx)
        ##
        tcp-mss 1372;
    }
}

20.4R2-S2では、同じ構成は許可されず、以下の構文エラーで失敗します。

{primary:node0}[edit]
root@asloma-tc1-10g-csb-ha1-vsrx-vSRX# set interfaces st0 unit 0 family inet tcp-mss
                                                                             ^
syntax error.

このシナリオは、 pre-20.4R2-S2 バージョンから 20.4R2-S2 にアップグレードする際に問題を引き起こします。なぜなら、以前の設定の新しいリリースへのコミットが失敗し、アップグレードも失敗してしまうからです。

コマンド set security datapath-debug..

set security datapath-debug 構成コマンドは、アップグレード時にエラーの原因となることが知られています。 config からすべての datapath-debug コマンドを削除して、作動可能検査を再試行してください。 例えば、以下のようなコマンドを削除します。

set security datapath-debug capture-file pcap001
set security datapath-debug capture-file format pcap
set security datapath-debug capture-file size 10m
set security datapath-debug capture-file files 5
set security datapath-debug maximum-capture-size 1500

警告 1176 の修正

establish-tunnels に設定されていない immediately を持つ VPN 構成が検出されました。 アップグレード後、リモート・ピアゲートウェイとの交渉やデータトラフィックがアクティブに流れているかどうかによっては、IKEがすぐにアクティブにならない場合があります。 establish-tunnels immediately がない場合、トンネルは on-traffic を使用して確立されます。 establish-tunnels immediately ステートメントを使用すると、トンネルは構成のコミット時に即時に確立されます。 ただし、establish-tunnels immediately がトンネルの両端で構成されていると、思わしくない出力が発生することがあります。

詳細については、Juniper Knowledge Baseの「 (SRX)SRX-AがイニシエータになるとIPsecが起動するが、SRX-Aがレスポンダになると失敗する 」を参照。 これらの設定の詳細については、 vpn(セキュリティ)を参照してください。

警告 1177 の修正

dynamic-application any 構成を使用した 1 つ以上のセキュリティー・ゾーン・ポリシー・ルールが検出されました。 vSRX が、Content Security Bundle (CSB) ライセンスおよびアプリケーション・シグニチャー・データベースを使用してインストールされていない場合は、新しい vSRX (19.4R2-S3 など) での変更によって、この構成が原因でトラフィックの途絶が発生する可能性があります。

例えば、以下のセキュリティー・ポリシー構成には、dynamic-application any ラベルが含まれています。

set security policies from-zone untrust to-zone untrust policy DYNAMIC-APPLICATION-POLICY-LOCAL match dynamic-application any
set security policies from-zone untrust to-zone untrust policy DYNAMIC-APPLICATION-POLICY-LOCAL match source-address SL8
set security policies from-zone untrust to-zone untrust policy DYNAMIC-APPLICATION-POLICY-LOCAL match destination-address SL8
set security policies from-zone untrust to-zone untrust policy DYNAMIC-APPLICATION-POLICY-LOCAL then permit

同様の構成を使用している場合は、CSB ライセンスとアプリケーション・シグニチャー・データベースをインストールするか、dynamic-application any ルールを削除することをお勧めします。

警告 1179 の修正

ゲートウェイで実行されている vSRX のバージョンは、IBM Cloud で認証されておらず、サポートされていません。 OS ReloadやRebuild Clusterなどの操作は、現在サポートされていない vSRX バージョンを、ゲートウェイの詳細ページに現在表示されているバージョンで上書きします。 vSRX のバージョンは IBM Cloud で認証されていないため、 IBM サポートに 連絡し、 IBM Cloud Juniper vSRX にある認証済みバージョンに移行することをお勧めします。

警告 1180 の修正

ゲートウェイにある vSRX ライセンスは、 IBM Cloud を通して調達されたものではなく、サポートされていません。 OS ReloadやRebuild Clusterなどの操作は、Gateway Detailsページに現在表示されているバージョンで現在のライセンスを上書きします。 サポートされる vSRX ライセンスは、vSRX ライセンスの表示および変更 記されています。 ライセンスが IBM Cloud 以外で調達された場合は、その調達元と協力してサポートを受ける。 そうでない場合は、 IBM サポート に連絡して、サポートされている vSRX ライセンスにマイグレーションすることを強くお勧めします。

警告 1181 の修正

ゲートウェイの vSRX ライセンスとバージョンの両方がサポートされていません。 これらの警告の解決については、 警告 1179 の修正 および 警告 1180 の修正 を参照してください。