Juniper ISG1000 HA环境下出现inoperable

很久不写博文了，最近有点懒，今天就记录一个troubleshooting的过程吧。

立刻就要十月一了，按照惯例，集团IT要进行设备的节前检查和设备配置的备份等工做，在检查到juniper的ISG 1000时，发现状态不对，状态显示以下：

 

我这边的环境是两台ISG 1000 作NSRP，两台设备一主一备，配置同步，session同步。正常的状态：主为M（master），备为B（backup），而目前的备机的状态为I（inoperable），出现这样的状态，则表明master出现问题时，备机没法取代正常工做。

查阅juniper的资料得知，inoperable状态出现问题的缘由是由于系统工做不正常，或者网络链接有问题。

系统工做是否正常暂时没法确认。

在CLI下查看逐个的去检查每一个接口的状态，使用get interface E1/X 或者是get interface E2/X，检查物理接口，使用get inter redundant1来检查虚拟接口，以下：

 

 

而此两台防火墙互相切换的条件是配置了moniter interface，也就是说当被监控的接口down做为触发条件。目前配置的moniter interface 为E1/3  E1/4,以及redundant1口，检查中发现，redundant1down，则致使backup机器认为本身出现问题，未来出现问题之时没法取代master正常工做，则变成了inoperable状态，即没法使用的状态。

顺便看下，nsrp moniter的状态：

 

Redundant1 down了看到了吧？ 这个颇有可能就是使机器出现I状态的缘由。

9月15日晚上，我作了一次测试，将该防火墙的moniter interface中配置监控的redundant1去掉，即不监控该接口，该防火墙当即从inoperable 变为了backup状态。目前基本能够肯定是因为接口down的问题，致使inoperable。

  今晚计划去IDC现场检查，顺序以下：

一、 检查链路，插拔链接线，并准备多模跳线，看是不是由于物理链问题损坏致使的接口down

二、 检查模块，目前防火墙与下面流控设备之间是使用多模光纤跳线链接，若跳线没有问题，还需确认，光模块是否工做正常。准备多模光模块一枚，准备更换。

三、 理论上讲，经过以上两点，物理故障排除后，接口状态应该变为UP，若两个物理接口UP后，moniter interface的条件已经不存在，防火墙的inoperable应恢复到backup。

四、 若状态依然是inoperable，则计划是将两台防火墙的抢占关闭（防止重启后，抢夺master的位置），将该防火墙进行reset。

五、 Reset后，依然inoperable状态，回家睡觉……次日再考虑其余解决方案。

 

欲知后事如何，且看今晚….