更正就绪性错误和警告
就绪性错误和警告可能会使您无法成功完成就绪性检查。 本主题提供有关更正不同类型的错误和警告的信息。
更正连接错误
在执行就绪性检查时,可能会迂到两类连接错误:
- 主机 (Ubuntu) SSH 连接错误
- 网关 (vSRX) SSH 连接错误
其中许多错误是由于所检查的网关操作需要对任一主机 (Ubuntu) 的专用 IP 地址进行 root 用户 SSH 访问而导致的。操作系统或网关 (vSRX)。 如果 SSH 连接检查失败,那么操作无法继续。
有关建立 SSH 会话的更多信息,请参阅 使用 SSH 访问设备。 请注意,对于步骤 3,给出的示例是使用 admin 用户。 要进行就绪性检查,请将 root 用户替换为 vSRX 和硬件 (主机)。 此外,请确保将专用
IP 与此过程配合使用,而不是与公共 IP 配合使用。
要验证连接性,请使用 硬件 部分(对于 Ubuntu 主机)或 vSRX 部分(对于网关)中列出的根凭据,在 Gateway Appliance 详情 页面的 Ubuntu 主机或 vSRX's 私有 IP 上打开 SSH 会话。 确保可以建立 SSH 会话。
如果无法建立会话,请检查以下潜在问题。
对于主机 (Ubuntu) SSH 连接错误:
- Ubuntu 防火墙是否阻止对专用 IP 的 SSH 访问? 防火墙规则必须允许对专用
10.0.0.0/8子网进行 SSH 访问。 有关更多信息,请参阅服务网络的 IBM Cloud IP 范围。 - “Gateway Appliance 详细信息”页面上列出的 root 用户密码是否是 root 用户的正确密码? 否则,请单击 硬件 部分中的设备链接,然后浏览至 密码。 选择 操作> 编辑凭证,并更改密码以与 Ubuntu 主机上的实际 root 用户密码匹配。
- 是否对 SSH 服务器禁用 root 用户登录?
- 是否已禁用或停止 SSH 服务器?
- 是否在 Ubuntu 主机上禁用了 root 用户帐户?
对于网关 (vSRX) SSH 连接错误:
- vSRX 防火墙是否阻止对专用 IP 的 SSH 访问? 防火墙规则必须允许对专用
10.0.0.0/8子网进行 SSH 访问。 有关更多信息,请参阅服务网络的 IBM Cloud IP 范围。 - “Gateway Appliance 详细信息”页面上列出的 root 用户密码是否是 root 用户的正确密码? 否则,请单击 root 用户密码旁边的 编辑 图标
,并更改密码以匹配 vSRX的实际 root 用户密码。 - 是否禁用了根用户账户对 vSRX? 的 SSH 访问?
更正错误 1119
vSRX的配置可能会阻止通过 telnet 访问本地控制台。 检查以下配置,并在重试预检查操作前将其删除:
set system ports console disable
set system ports console insecure
其他问题可能包括vSRX密码不正确。
更正错误 1124
vSRX 18.4R1-S1 引入了此 Juniper 问题报告中记录的不兼容性。 您需要 Juniper 帐户才能访问此报告。
如果冗余以太网 (reth) 接口包含 vlan-tagging (缺省值),那么该接口还必须包含 vlan-id 标记。 在 18.4R1-S1中,可以在没有 vlan-id 标记的情况下落实配置。 较新版本 (例如 19.4R2-S3) 不允许此配置。
没有 vlan-id 的示例配置:
set interfaces reth2 vlan-tagging
set interfaces reth2 mtu 9000
set interfaces reth2 redundant-ether-options redundancy-group 1
set interfaces reth2 unit 2058 family inet address xx.xx.xxx.1/26
commit check
该配置的输出结果为
root@vSRX-Node0# commit check
[edit interfaces reth2]
‘unit 2058’
VLAN-ID must be specified on tagged ethernet interfaces
error: configuration check-out failed
要解决此错误,请将 vlan-id 标记添加到配置中,然后重试就绪性检查:
set interfaces reth2 unit 2058 vlan-id 2058
更正错误 1125
vSRX 18.4R1-S1 引入了允许 syslog 配置同时包含 structure-data 和 explicit-priority 标签的不兼容性。 在 V 19.4R2-S3 及更高版本中,不再允许此操作。
例如,以下系统日志配置包含两个标签 (set system syslog file messages structured-data 和 set system syslog file default-log-messages explicit-priority)。
set system syslog file messages any info
set system syslog file messages authorization warning
set system syslog file messages archive size 10m
set system syslog file messages archive files 10
set system syslog file messages archive world-readable
set system syslog file messages structured-data
set system syslog file interactive-commands interactive-commands info
set system syslog file interactive-commands archive size 1m
set system syslog file interactive-commands archive files 10
set system syslog file interactive-commands archive world-readable
set system syslog file interactive-commands structured-data
set system syslog file default-log-messages any warning
set system syslog file default-log-messages authorization info
set system syslog file default-log-messages user info
set system syslog file default-log-messages firewall any
set system syslog file default-log-messages interactive-commands info
set system syslog file default-log-messages explicit-priority
set system syslog file default-log-messages structured-data
set system syslog file kmd-logs daemon info
commit check
该配置的输出结果为
[Stage 3 - Build_vSRX][2021-01-11 15:38:00.623323] Commit check failed: CommitError(edit_path: [edit system syslog file default-log-messages], bad_element: explicit-priority, message: error: ‘explicit-priority’ cannot be configured if ‘structured-data’ is configured
error: configuration check-out failed: (statements constraint check failed))
要解决此问题,请从配置中除去其中一个系统日志标签,然后重试就绪性检查。
更正不受支持的 vSRX 配置命令
Juniper vSRX 包含未记录或隐藏的 CLI 命令。 vSRX 配置不支持这些命令中的某些命令,即使在某些发行版中可以落实这些命令。 有时,此行为可能会在发行版之间意外更改。 以下信息详细说明了从较旧的 vSRX 版本升级时一些已知的不受支持的配置命令。 在升级版本之前,必须从 vSRX 配置中除去不受支持的或隐藏的命令。 即使使用就绪性检查未检测到的命令也要执行此操作。
更正错误 1145
除去与 IDP 相关的策略和配置。 运行以下命令以收集所有依赖关系。
show security policies | match idp | display set
show system scripts | display set
show security idp | display set
然后,删除其中每个依赖关系的配置节。
示例:
delete security policies from-zone <$zone1> to-zone <$zone2> policy
<$policy> then permit application-services idp
delete system scripts commit file templates.xsl
delete security idp
更正错误 1147
与前一部分类似,在安全性部分中更改 Junos 解析配置的方式会导致如下错误:
error: Bad url pattern: *.googleapis.com/(*)
这种配置的例子包括
set security utm custom-objects url-pattern AZURE value *.googleapis.com/*
set security utm custom-objects url-pattern website value *services.site.com
使用 * 作为结尾字符和前缀不再有效。 备用配置为:
set security utm custom-objects url-pattern AZURE value *.googleapis.com
set security utm custom-objects url-pattern website value *.services.site.com
要解决此问题,请根据需要修改 vSRX 配置,落实并重试就绪性检查。
带有 tcp-mss 的命令 set interfaces..
以下未记录的配置可能在 20.4R2-S2之前的版本中落实,但在 20.4R2-S2中失败。 请注意 19.4R3-S2中 show configuration 的 unsupported platform 输出。
[edit]
root@asloma-vsrx-sa-sng0102-vsrx-vSRX# set interfaces st0 unit 0 family inet tcp-mss 1372
[edit]
root@asloma-vsrx-sa-sng0102-vsrx-vSRX# commit
commit complete
[edit]
.......
...
root@asloma-vsrx-sa-sng0102-vsrx-vSRX> show configuration interfaces st0
unit 0 {
family inet {
##
## Warning: statement ignored: unsupported platform (vsrx)
##
tcp-mss 1372;
}
}
在 20.4R2-S2中,不允许使用同一配置,并且由于以下语法错误而失败:
{primary:node0}[edit]
root@asloma-tc1-10g-csb-ha1-vsrx-vSRX# set interfaces st0 unit 0 family inet tcp-mss
^
syntax error.
当您从 pre-20.4R2-S2 之前的版本升级到 20.4R2-S2 时,此场景会导致问题,因为将先前配置落实到新发行版失败,也会导致升级失败。
命令 set security datapath-debug..
已知 set security datapath-debug 配置命令会导致升级时发生错误。 从 config 中除去所有 datapath-debug 命令,然后重试就绪性检查。 例如,除去类似如下的命令:
set security datapath-debug capture-file pcap001
set security datapath-debug capture-file format pcap
set security datapath-debug capture-file size 10m
set security datapath-debug capture-file files 5
set security datapath-debug maximum-capture-size 1500
正在更正警告 1176
检测到未将 establish-tunnels 设置为 immediately 的 VPN 配置。 升级后,IKE 可能不会立即处于活动状态,这取决于与远程对等网关的协商以及数据流量是否处于活动状态。 如果没有 establish-tunnels immediately,那么将使用 on-traffic 建立隧道。 通过 establish-tunnels immediately 语句,将在落实配置时立即建立隧道。 但是,在隧道的两端进行配置时,establish-tunnels immediately 可能会触发不期望的结果。
有关更多信息,请参阅 (SRX)IPsec 在 SRX-A 是启动器时启动,但在 SRX-A 成为 Juniper 知识库中的响应者时失败。 有关这些设置的更多详细信息,请参阅 vpn(安全性)。
更正警告 1177
检测到一个或多个具有 dynamic-application any 配置的安全区域策略规则。 如果 vSRX 未随内容安全捆绑软件 (CSB) 许可证和应用程序签名数据库一起安装,那么此配置可能会由于较新的 vSRX 发行版 (例如 19.4R2-S3) 中的更改而导致流量中断。
例如,以下安全策略配置包含 dynamic-application any 标签:
set security policies from-zone untrust to-zone untrust policy DYNAMIC-APPLICATION-POLICY-LOCAL match dynamic-application any
set security policies from-zone untrust to-zone untrust policy DYNAMIC-APPLICATION-POLICY-LOCAL match source-address SL8
set security policies from-zone untrust to-zone untrust policy DYNAMIC-APPLICATION-POLICY-LOCAL match destination-address SL8
set security policies from-zone untrust to-zone untrust policy DYNAMIC-APPLICATION-POLICY-LOCAL then permit
如果您正在使用类似的配置,那么建议您安装 CSB 许可证和应用程序签名数据库,或者除去 dynamic-application any 规则。
更正警告 1179
在 Gateway 上运行的 vSRX 版本未在 IBM Cloud 上进行认证,不受支持。 操作系统重装和重建集群之类的操作将使用“网关详细信息”页面上当前列出的版本覆盖当前不受支持的 vSRX 版本。 由于 vSRX 版本未在 IBM Cloud 上经过认证,建议您联系 IBM 支持 以迁移到此处的认证版本:IBM Cloud Juniper vSRX 支持的版本。
更正警告 1180
在 Gateway 上找到的 vSRX 许可证不是通过 IBM Cloud 采购的,不受支持。 诸如“操作系统重装”和“重建集群”之类的操作将使用“网关详细信息”页面上当前列出的版本覆盖当前许可证。 可在此处找到受支持的 vSRX 许可证: 查看和更改 vSRX 许可证。 如果许可证是在 IBM Cloud外部采购的,请使用该采购源获取支持。 否则,强烈建议您联系 IBM 支持 以迁移到受支持的 vSRX 许可证。
正在更正警告 1181
网关上的 vSRX 许可证和版本都不受支持。 请参阅 更正警告 1179 和 更正警告 1180 以获取有关解决这些警告的帮助。