Juniper ISG1000 HA環境下出現inoperable

很久不寫博文了，最近有點懶，今天就記錄一個troubleshooting的過程吧。

立刻就要十月一了，按照慣例，集團IT要進行設備的節前檢查和設備配置的備份等工做，在檢查到juniper的ISG 1000時，發現狀態不對，狀態顯示以下：

 

我這邊的環境是兩臺ISG 1000 作NSRP，兩臺設備一主一備，配置同步，session同步。正常的狀態：主爲M（master），備爲B（backup），而目前的備機的狀態爲I（inoperable），出現這樣的狀態，則表明master出現問題時，備機沒法取代正常工做。

查閱juniper的資料得知，inoperable狀態出現問題的緣由是由於系統工做不正常，或者網絡鏈接有問題。

系統工做是否正常暫時沒法確認。

在CLI下查看逐個的去檢查每一個接口的狀態，使用get interface E1/X 或者是get interface E2/X，檢查物理接口，使用get inter redundant1來檢查虛擬接口，以下：

 

 

而此兩臺防火牆互相切換的條件是配置了moniter interface，也就是說當被監控的接口down做爲觸發條件。目前配置的moniter interface 爲E1/3  E1/4,以及redundant1口，檢查中發現，redundant1down，則致使backup機器認爲本身出現問題，未來出現問題之時沒法取代master正常工做，則變成了inoperable狀態，即沒法使用的狀態。

順便看下，nsrp moniter的狀態：

 

Redundant1 down了看到了吧？ 這個頗有可能就是使機器出現I狀態的緣由。

9月15日晚上，我作了一次測試，將該防火牆的moniter interface中配置監控的redundant1去掉，即不監控該接口，該防火牆當即從inoperable 變爲了backup狀態。目前基本能夠肯定是因爲接口down的問題，致使inoperable。

  今晚計劃去IDC現場檢查，順序以下：

一、 檢查鏈路，插拔鏈接線，並準備多模跳線，看是不是由於物理鏈問題損壞致使的接口down

二、 檢查模塊，目前防火牆與下面流控設備之間是使用多模光纖跳線鏈接，若跳線沒有問題，還需確認，光模塊是否工做正常。準備多模光模塊一枚，準備更換。

三、 理論上講，經過以上兩點，物理故障排除後，接口狀態應該變爲UP，若兩個物理接口UP後，moniter interface的條件已經不存在，防火牆的inoperable應恢復到backup。

四、 若狀態依然是inoperable，則計劃是將兩臺防火牆的搶佔關閉（防止重啓後，搶奪master的位置），將該防火牆進行reset。

五、 Reset後，依然inoperable狀態，回家睡覺……次日再考慮其餘解決方案。

 

欲知後事如何，且看今晚….