更正就绪性错误和警告
就绪性错误和警告可能会使您无法成功完成就绪性检查。 本主题提供有关更正不同类型的错误和警告的信息。
查看错误日志中的更多信息
要查看详细的错误信息,请使用 SSH 连接到 Ubuntu 主机,并使用 tail 或 less 查看 /home/vSRX/precheck.log 文件。
root@vsrx:~# tail -f /home/vSRX/precheck.log
br1. 8000.f6fb18672503 no bond1
virbr0 8000.5254009fc6e7 yes
[2025-08-11 11:10:27.909405] The remote node control link is down
[2025-08-11 11:10:27.909501] Error: the control link of other node is down
=========================
Host: vsrx FAILURE - Return code:1126
获取连接错误的详细信息
若现有连接错误信息不足,可查看在 vSRX 和 Ubuntu 虚拟机管理程序上生成的详细诊断输出。 该 precheck.log 文件提供了关于就绪性验证检查的详细诊断信息。 请仔细核对这些信息,以进一步分析连接错误,并确定是否需要进行额外的配置更改。
- 登录到准备就绪检查错误消息中提到的 Ubuntu 虚拟机监控程序。 在就绪性检查操作期间,虚拟机监控程序名称会在错误详细信息中显示。
- 前往 vSRX 目录。
cd /home/vSRX - 检查就绪检查日志文件
precheck.log。tail -f precheck.log
更正连接错误
在进行就绪检查时,您可能会遇到以下两类连接错误:
- 主机 (Ubuntu) SSH 连接错误
- 网关 (vSRX) SSH 连接错误
出现这些错误的许多原因是,检查需要 SSH 根访问主机操作系统 ( Ubuntu ) 或 vSRX 网关的私有 IP 地址。 如果 SSH 连接检查失败,那么操作无法继续。
有关建立 SSH 会话的更多信息,请参阅 使用 SSH 访问设备。 请记住,在步骤 3 中,给出的示例是 admin 用户。 为进行就绪检查,请将 root 用户替换为 vSRX 和硬件(主机)。 此外,请确保将专用
IP 与此过程配合使用,而不是与公共 IP 配合使用。
要验证连接,请使用网关设备详细信息页面的硬件部分(对于 Ubuntu 主机)或 vSRX 部分(对于网关)中列出的根 Gateway Appliance 打开到 Ubuntu 主机或 vSRX's 私有 IP 的 SSH 会话。 确保可以建立 SSH 会话。
如果无法建立会话,请检查以下潜在问题。
对于主机 (Ubuntu) SSH 连接错误:
- Ubuntu 防火墙是否阻止对专用 IP 的 SSH 访问? 防火墙规则必须允许对专用
10.0.0.0/8子网进行 SSH 访问。 有关更多信息,请参阅服务网络的 IBM Cloud IP 范围。 - “Gateway Appliance 详细信息”页面上列出的 root 用户密码是否是 root 用户的正确密码? 否则,请单击 硬件 部分中的设备链接,然后浏览至 密码。 选择 操作> 编辑凭证,并更改密码以与 Ubuntu 主机上的实际 root 用户密码匹配。
- 是否对 SSH 服务器禁用 root 用户登录?
- 是否已禁用或停止 SSH 服务器?
- 是否在 Ubuntu 主机上禁用了 root 用户帐户?
对于网关 (vSRX) SSH 连接错误:
- vSRX 防火墙是否阻止对专用 IP 的 SSH 访问? 防火墙规则必须允许对专用
10.0.0.0/8子网进行 SSH 访问。 有关更多信息,请参阅服务网络的 IBM Cloud IP 范围。 - “Gateway Appliance 详细信息”页面上列出的 root 用户密码是否是 root 用户的正确密码? 否则,请单击 root 用户密码旁边的 编辑 图标
,并更改密码以匹配 vSRX的实际 root 用户密码。 - 是否禁用了根用户账户对 vSRX? 的 SSH 访问?
更正错误 1119
vSRX 的配置可能会阻止通过 telnet 访问本地控制台。 检查以下配置,并在重试预检查操作前将其删除:
set system ports console disable
set system ports console insecure
其他问题可能包括 vSRX 密码不正确。
有时,即使 vSRX 配置看似有效,且未配置预期的控制台设置(如set system ports console disable或insecure),仍可能出现就绪检查错误1119。 此问题可能由 Ubuntu 主机上的配置文件不完整 /etc/hosts 或配置不当引起,这会导致telnet测试期间无法成功解析localhost。 确保将 localhost 明确映射到 IP 地址 127.0.0.1。 映射缺失或错误可能导致就绪脚本无法连接到
vSRX 控制台端口。
以下命令说明了如何正确配置 etc/hosts 文件并将其映射到本地主机。
在映射 localhost 之前,/etc/hosts 文件的外观如以下命令所示,其中 IP 地址 127.0.0.1 只映射到主机系统的名称。
root@test:~# cat /etc/hosts
127.0.0.1 test
127.0.1.1 ubuntu
正确映射 localhost 后,/etc/hosts 文件的外观如以下命令所示,并且 localhost 已正确映射到 IP 地址 127.0.0.1。
root@test:~# cat /etc/hosts
127.0.0.1 test localhost
127.0.1.1 ubuntu
根据这些更改更新主机系统上的 /etc/hosts 文件并运行 telnet localhost (port-number) 命令后,与本地主机的 telnet 连接就会成功,预检查错误也会得到解决。
要确定 telnet 连接的端口号,请在主机系统上运行 virsh dumpxml (VM-Instance-Name) | grep service 命令,并使用服务显示的值。 要识别虚拟机实例名称,请使用 virsh list 命令。
更正错误 1124
vSRX 18.4R1-S1 引入了此 Juniper 问题报告中记录的不兼容性。 您需要 Juniper 帐户才能访问此报告。
如果冗余以太网 (reth) 接口包含 vlan-tagging (缺省值),那么该接口还必须包含 vlan-id 标记。 在 18.4R1-S1中,可以在没有 vlan-id 标记的情况下落实配置。 较新版本 (例如 19.4R2-S3) 不允许此配置。
没有 vlan-id 的示例配置:
set interfaces reth2 vlan-tagging
set interfaces reth2 mtu 9000
set interfaces reth2 redundant-ether-options redundancy-group 1
set interfaces reth2 unit 2058 family inet address xx.xx.xxx.1/26
commit check
此配置的输出为:
root@vSRX-Node0# commit check
[edit interfaces reth2]
‘unit 2058’
VLAN-ID must be specified on tagged ethernet interfaces
error: configuration check-out failed
要解决此错误,请将 vlan-id 标记添加到配置中,然后重试就绪性检查:
set interfaces reth2 unit 2058 vlan-id 2058
更正错误 1125
vSRX 18.4R1-S1 引入了允许 syslog 配置同时包含 structure-data 和 explicit-priority 标签的不兼容性。 在 19.4R2-S3 及以后的版本中,不再允许使用这些标签。
例如,以下系统日志配置包含两个标签 (set system syslog file messages structured-data 和 set system syslog file default-log-messages explicit-priority)。
set system syslog file messages any info
set system syslog file messages authorization warning
set system syslog file messages archive size 10m
set system syslog file messages archive files 10
set system syslog file messages archive world-readable
set system syslog file messages structured-data
set system syslog file interactive-commands interactive-commands info
set system syslog file interactive-commands archive size 1m
set system syslog file interactive-commands archive files 10
set system syslog file interactive-commands archive world-readable
set system syslog file interactive-commands structured-data
set system syslog file default-log-messages any warning
set system syslog file default-log-messages authorization info
set system syslog file default-log-messages user info
set system syslog file default-log-messages firewall any
set system syslog file default-log-messages interactive-commands info
set system syslog file default-log-messages explicit-priority
set system syslog file default-log-messages structured-data
set system syslog file kmd-logs daemon info
commit check
此配置的输出为:
[Stage 3 - Build_vSRX][2021-01-11 15:38:00.623323] Commit check failed: CommitError(edit_path: [edit system syslog file default-log-messages], bad_element: explicit-priority, message: error: ‘explicit-priority’ cannot be configured if ‘structured-data’ is configured
error: configuration check-out failed: (statements constraint check failed))
要解决此问题,请从配置中除去其中一个系统日志标签,然后重试就绪性检查。
更正不受支持的 vSRX 配置命令
Juniper vSRX 包含未记录或隐藏的 CLI 命令。 vSRX 配置不支持其中一些命令,尽管在某些版本中可以提交这些命令。 有时,此行为可能会在发行版之间意外更改。 以下信息详细说明了从较旧的 vSRX 版本升级时一些已知的不受支持的配置命令。 在升级版本之前,务必从 vSRX 配置中删除不支持的命令或隐藏命令。 即使是“就绪检查”未检测到的命令,也要执行此过程。
更正错误 1145
除去与 IDP 相关的策略和配置。 运行以下命令以收集所有依赖关系。
show security policies | match idp | display set
show system scripts | display set
show security idp | display set
然后,删除其中每个依赖关系的配置节。
示例:
delete security policies from-zone <$zone1> to-zone <$zone2> policy
<$policy> then permit application-services idp
delete system scripts commit file templates.xsl
delete security idp
更正错误 1147
与前一部分类似,在安全性部分中更改 Junos 解析配置的方式会导致如下错误:
error: Bad url pattern: *.googleapis.com/(*)
此配置的示例包括:
set security utm custom-objects url-pattern AZURE value *.googleapis.com/*
set security utm custom-objects url-pattern website value *services.site.com
使用 * 作为结尾字符和前缀不再有效。 备用配置为:
set security utm custom-objects url-pattern AZURE value *.googleapis.com
set security utm custom-objects url-pattern website value *.services.site.com
要解决此问题,请根据需要修改 vSRX 配置,落实并重试就绪性检查。
带有 tcp-mss 的命令 set interfaces..
以下未记录的配置可能在 20.4R2-S2之前的版本中落实,但在 20.4R2-S2中失败。 请注意 19.4R3-S2中 show configuration 的 unsupported platform 输出。
[edit]
root@asloma-vsrx-sa-sng0102-vsrx-vSRX# set interfaces st0 unit 0 family inet tcp-mss 1372
[edit]
root@asloma-vsrx-sa-sng0102-vsrx-vSRX# commit
commit complete
[edit]
.......
...
root@asloma-vsrx-sa-sng0102-vsrx-vSRX> show configuration interfaces st0
unit 0 {
family inet {
##
## Warning: statement ignored: unsupported platform (vsrx)
##
tcp-mss 1372;
}
}
在 20.4R2-S2中,不允许使用同一配置,并且由于以下语法错误而失败:
{primary:node0}[edit]
root@asloma-tc1-10g-csb-ha1-vsrx-vSRX# set interfaces st0 unit 0 family inet tcp-mss
^
syntax error.
当您从 pre-20.4R2-S2 之前的版本升级到 20.4R2-S2 时,此场景会导致问题,因为将先前配置落实到新发行版失败,也会导致升级失败。
命令 set security datapath-debug..
set security datapath-debug 众所周知,配置命令会在升级时导致错误。 从 config 中除去所有 datapath-debug 命令,然后重试就绪性检查。 例如,除去类似如下的命令:
set security datapath-debug capture-file pcap001
set security datapath-debug capture-file format pcap
set security datapath-debug capture-file size 10m
set security datapath-debug capture-file files 5
set security datapath-debug maximum-capture-size 1500
正在更正警告 1176
检测到未将 establish-tunnels 设置为 immediately 的 VPN 配置。 升级后,IKE 可能不会立即处于活动状态,这取决于与远程对等网关的协商以及数据流量是否处于活动状态。 如果没有 establish-tunnels immediately,那么将使用 on-traffic 建立隧道。 通过 establish-tunnels immediately 语句,将在落实配置时立即建立隧道。 但是,在隧道的两端进行配置时,establish-tunnels immediately 可能会触发不期望的结果。
有关更多信息,请参阅 (SRX)IPsec 在 SRX-A 是启动器时启动,但在 SRX-A 成为 Juniper 知识库中的响应者时失败。 有关这些设置的更多详情,请参阅 VPN(安全)。
更正警告 1177
检测到一个或多个具有 dynamic-application any 配置的安全区域策略规则。 如果 vSRX 未随内容安全捆绑软件 (CSB) 许可证和应用程序签名数据库一起安装,那么此配置可能会由于较新的 vSRX 发行版 (例如 19.4R2-S3) 中的更改而导致流量中断。
例如,以下安全策略配置包含 dynamic-application any 标签:
set security policies from-zone untrust to-zone untrust policy DYNAMIC-APPLICATION-POLICY-LOCAL match dynamic-application any
set security policies from-zone untrust to-zone untrust policy DYNAMIC-APPLICATION-POLICY-LOCAL match source-address SL8
set security policies from-zone untrust to-zone untrust policy DYNAMIC-APPLICATION-POLICY-LOCAL match destination-address SL8
set security policies from-zone untrust to-zone untrust policy DYNAMIC-APPLICATION-POLICY-LOCAL then permit
如果您正在使用类似的配置,那么建议您安装 CSB 许可证和应用程序签名数据库,或者除去 dynamic-application any 规则。
更正警告 1179
网关上运行的 vSRX 版本未经 IBM Cloud 认证,不支持该版本。 操作系统重载和重建群集等操作会用网关详细信息页面上列出的版本覆盖当前不支持的 vSRX 版本。 由于 vSRX 版本未在 IBM Cloud 上经过认证,建议您联系 IBM 支持 以迁移到此处的认证版本:IBM Cloud Juniper vSRX 支持的版本。
更正警告 1180
在 Gateway 上找到的 vSRX 许可证不是通过 IBM Cloud 采购的,不受支持。 操作系统重载和重建群集等操作会用网关详细信息页面上列出的版本覆盖当前许可证。 可在此处找到受支持的 vSRX 许可证: 查看和更改 vSRX 许可证。 如果许可证是在 IBM Cloud外部采购的,请使用该采购源获取支持。 否则,请联系 IBM 支持部门,迁移到受支持的 vSRX 许可证。
正在更正警告 1181
网关上的 vSRX 许可证和版本都不受支持。 请参阅 更正警告 1179 和 更正警告 1180 以获取有关解决这些警告的帮助。