障害発生時の確認方法

動作確認バージョン:vSRX Version22.4R1

ここでは、ファイアウォール（vSRX） について障害発生時のログやコマンド確認方法について紹介します。 本手順ではSNMPTrap確認が含まれております。SNMP機能を用いた監視設定 は、事前に実施頂く必要がございます。

VRRP障害

ノードが再起動したり、VRRP動作のファイアウォール間のキープアライブパケットなどが途絶えてしまった場合VRRPの切り替わりが発生します。

• VRRPが動作している Interface ge-0/0/1 unit0 をDisableで停止させた状態のログ

# MASTER側

user01@vSRX-03> show vrrp
VRRP is not running

# BACKUP側

user01@vSRX-04> show vrrp
Interface     State       Group   VR state VR Mode   Timer    Type   Address
ge-0/0/1.0    up             13   master   Active      A  0.356 lcl    192.168.33.104
                                                                vip    192.168.33.134

• VRRPが動作している Interface ge-0/0/1 をDisableで停止させた状態のログ

# MASTER側

user01@vSRX-03> show vrrp
Interface     State       Group   VR state VR Mode   Timer    Type   Address
ge-0/0/1.0    down           13   init     Active      N  0.000 lcl    192.168.33.103
                                                                vip    192.168.33.134


# BACKUP側

 user01@vSRX-04> show vrrp
 Interface     State       Group   VR state VR Mode   Timer    Type   Address
 ge-0/0/1.0    up             13   master   Active      A  0.477 lcl    192.168.33.104
                                                                 vip    192.168.33.134

• BACKUPからMASTERに状態遷移したときの表示(state がmasterになっていることがわかります。)

user01@vSRX-04> show vrrp detail
Physical interface: ge-0/0/1, Unit: 0, Address: 192.168.33.104/24
  Index: 72, SNMP ifIndex: 520, VRRP-Traps: disabled, VRRP-Version: 2
  Interface state: up, Group: 13, State: master, VRRP Mode: Active
  Priority: 150, Advertisement interval: 5, Authentication type: none
  Advertisement threshold: 3, Computed send rate: 0
  Preempt: yes, Accept-data mode: yes, VIP count: 1, VIP: 192.168.33.134
  Advertisement Timer: 0.313s, Master router: 192.168.33.104
  Virtual router uptime: 2w0d 01:43, Master router uptime: 00:00:31
  Virtual Mac: 00:00:5e:00:01:0d
  Tracking: disabled

user01@vSRX-04>

• Syslog確認: show log messages | match vrrp

VRRP関連のSyslogを確認するために利用します。 以下は、VRRPのBACKUPがMASTERに状態遷移する際に出力されたSyslogです。

user01@vSRX-04> show log messages | match vrrp
Nov  8 06:00:57 vrrpd_update_state_machine, ge-0/0/1.000.000.000.0000:0000:0000:0000:0000:0000:c0a8:2168.013 state: backup
Nov  8 06:00:57 vrrpd_ppmd_delete_adj : ge-0/0/1.000.000.000.0000:0000:0000:0000:0000:0000:c0a8:2168.013
Nov  8 06:00:57 vrrp_fsm_update IFD: ge-0/0/1.000.000.000.0000:0000:0000:0000:0000:0000:c0a8:2168.013 event: master
Nov  8 06:00:57 vrrp_fsm_active: ge-0/0/1.000.000.000.0000:0000:0000:0000:0000:0000:c0a8:2168.013 state from: backup
Nov  8 06:00:57 vrrpd_set_state_in_kernel : vrrp_if ge-0/0/1.000.000.000.0000:0000:0000:0000:0000:0000:c0a8:2168.013, state : 1, group : 13
Nov  8 06:00:57 vrrp_newmaster_trap: vrrp_if : ge-0/0/1.000.000.000.0000:0000:0000:0000:0000:0000:c0a8:2168.013 trap enabled : 0
Nov  8 06:00:57 VRRPD_NEW_MASTER: Interface ge-0/0/1.0 (local address 192.168.33.104) became VRRP master for group 13 with master reason masterNoResponse
Nov  8 06:00:57 vrrp_fsm_update_for_inherit IFD: ge-0/0/1.000.000.000.0000:0000:0000:0000:0000:0000:c0a8:2168.013 event: master
Nov  8 06:00:57 Signalled dcd (PID 1544) to reconfig
Nov  8 06:00:57 vrrpd_set_state_in_kernel : vrrp_if ge-0/0/1.000.000.000.0000:0000:0000:0000:0000:0000:c0a8:2168.013, state : 1, group : 13
Nov  8 06:00:59 vrrpd_config_holddown_expiry:

IPsec障害

• IPSEC ISAKMP Phase1の確認(phase1がDownになったときの表示)

user01@vSRX-03> show security ike security-associations
Index   State  Initiator cookie  Responder cookie  Mode           Remote Address
402079  DOWN   e73f30f207bf64ae  0000000000000000  Main           192.168.1.101

• IPSec SAの確認(Phase2 Tunnel数0のため確立できていないときの表示)

user01@vSRX-03> show security ipsec security-associations
  Total active tunnels: 0

user01@vSRX-03>

• IPSec トンネルに設定しているトンネルインターフェイス(st0)状態(Down状態)

user01@vSRX-03> show interfaces terse
Interface               Admin Link Proto    Local                 Remote
ge-0/0/0                up    up
ge-0/0/0.0              up    up   inet     192.168.3.103/24
(中略)
st0                     up    up
st0.0                   up    down inet     172.16.13.3/24
tap                     up    up
vlan                    up    down
vtep                    up    up

• SNMP Trap確認

IPsec接続している対向ファイアウォールがダウンした際に、SNMP Trapが送出されます。

キャプチャで表示されているifIndex.520のインターフェイスは、トンネルインターフェイス(st0.0)がLinkdownしたことを示しています。

user01@vSRX-03> show snmp mib walk 1.3.6.1.2.1.2.2.1 | no-more
ifIndex.1     = 1
　　(中略)
ifIndex.524   = 524
ifDescr.1     = fxp0
　　(中略)
ifDescr.510   = ge-0/0/0
ifDescr.511   = ge-0/0/0.0
ifDescr.512   = gr-0/0/0
ifDescr.513   = ip-0/0/0
ifDescr.514   = lsq-0/0/0
ifDescr.515   = mt-0/0/0
ifDescr.516   = lt-0/0/0
ifDescr.517   = sp-0/0/0
ifDescr.518   = sp-0/0/0.0
ifDescr.519   = sp-0/0/0.16383
ifDescr.520   = st0.0
ifDescr.521   = ge-0/0/1
ifDescr.522   = ge-0/0/1.0
ifDescr.523   = ge-0/0/2
ifDescr.524   = ge-0/0/2.0

注釈

ifIndex の値は、装置が起動時に設定する値になります。決まった固定値にならず、インターフェイスの利用状況などにより変更されますので上記コマンドなどご利用いただきましてご確認お願い致します。

目次

• カスタマーポータルからの申込・操作方法
  • ファイアウォール インスタンスの申込方法
  • ファイアウォール インスタンスの操作方法
  • ファイアウォール インスタンスの削除方法
  • ファイアウォール インスタンスのステータス説明
• vSRXの動作確認済設定例
  • vSRXをご利用いただく際の留意事項について
  • vSRXの脆弱性対策
  • vSRXの基本機能
  • ネットワーク機能設定
  • ファイアウォール設定
  • 帯域制御設定
  • VPN設定
  • 保守運用者向け機能
  • 運用管理設定
  • コンフィグレーション管理設定
  • 事業者が設定するコンフィグレーションの説明
  • 異なるバージョン間の切替
  • （参考）ファイアウォール（vSRX）の性能測定結果
  • （参考）ファイアウォール（vSRX）のパケット処理の流れについて
  • （参考）vSRX Documentation

---

装置状態確認方法

疎通確認方法(Ping)