SRX5400 主机子系统
SRX5400 防火墙主机子系统概述
主机子系统由安装在交换机控制板 (SCB) 中的路由引擎组成。主机子系统提供防火墙的路由和系统管理功能。您必须在设备上安装一个主机子系统。主机子系统组件如下所示:
交换机控制板
SRX5K-SCB-从 Junos OS 9.2 版到 12.3X48 版
SRX5K-SCBE—来自 Junos OS 12.1X47-D15 及更高版本
SRX5K-SCB3—来自 Junos OS 15.1X49-D10 及更高版本
SRX5K-SCB4—来自 Junos OS 19.3R1 及更高版本
注意:SRX5K-SCB4 在 SRX5400 防火墙上不受支持。
路由引擎
SRX5K-RE-13-20– 从 Junos OS 9.2 版到 12.3X48 版
SRX5K-RE-1800X4 – 来自 Junos OS 12.1X47-D15 及更高版本
SRX5K-RE3-128G— 来自 Junos OS 19.3R1 及更高版本
只能在主机子系统中配置以下路由引擎和 SCB 组合:
SRX5K-RE-13-20 和 SRX5K-SCB
SRX5K-RE-1800X4 和 SRX5K-SCBE
SRX5K-RE-1800X4 和 SRX5K-SCB3
SRX5K-RE-1800X4 和 SRX5K-SCB4
SRX5K-RE3-128G 和 SRX5K-SCB3 或 SRX5K-SCB4
主机子系统有三个 LED,显示其状态。主机子系统 LED 位于操作员接口的中间。
交换机控制板 SRX5K-SCB 概述
交换机控制板 (SCB) 提供以下功能:
开机和关闭 MPC 和 SPC
控制时钟、系统重置和启动
监控和控制系统功能,包括风扇速度、板电源状态、PDM 状态和控制以及系统前面板
通过集成到 SCB 中的交换机交换矩阵提供与机箱内所有 MPC 的互连
当 SCB 是主机子系统的一部分时,路由引擎将直接安装在 SCB 上的插槽中(请参阅 图 1)。
您必须在防火墙中作为主机子系统的一部分安装一个 SCB。
SCB 水平安装到标记为 0 的卡壳底部的插槽中。如果任何插槽为空,则必须安装一个空面板。
有关防火墙支持的 SCB 的详细信息,请参阅 www.juniper.net/documentation/ 上的 SRX5400、SRX5600 和 SRX5800 防火墙卡参考。
交换机控制板 SRX5K-SCB 规格
SRX5K-SCB 交换机控制板 (SCB)(图 2)具有以下功能:
开机和关闭 I/O 卡 (IOC) 和服务处理卡 (SPC)
控制时钟、系统重置和启动
监控和控制系统功能,包括风扇速度、板电源状态、PDM 状态和控制以及系统前面板
通过集成到 SCB 中的交换机交换矩阵提供与机箱内所有 IOC 的互连
SRX5400 和 SRX5600 防火墙每个安装一个 SCB,您可以安装另一个 SCB 以实现冗余。SRX5800 防火墙已安装了两个 SCB,您可以安装第三个 SCB 以实现交换阵列冗余。
主机子系统由直接安装在 SCB 面板上的插槽中的路由引擎组成。当没有路由引擎是 SCB 时,其插槽必须覆盖一个空面板。
每个 SCB 都包含以下组件:
机箱管理以太网交换机。
I2C 总线逻辑,用于与每个组件进行低级别通信。
组件冗余电路。
千兆以太网交换机,连接到所有组件上的嵌入式 CPU 综合体。
交换矩阵 — 为 IOC 提供交换功能。
控制 FPGA — 为路由引擎提供外设组件互连 (PCI) 接口。
1000Base-T 以太网控制器 — 在路由引擎之间提供 1-Gbps 以太网链路。
以太网交换机 — 在路由引擎和 IOC 之间提供 1-Gbps 的链路速度。
用于机箱管理和控制的电路。
路由引擎和 SCB 的电源电路。
描述 |
|
软件版本 |
|
电缆和连接器 |
路由引擎插槽 |
控制 |
没有 |
支持的插槽 |
|
功率要求 |
150 瓦 |
重量 |
约 10 磅(4.5 千克) |
Led |
确定/失败 双色 LED:
仅交换矩阵 导致:
交换矩阵活动 导致:
|
序列号位置 |
序列号标签位于 图 3 中。
图 3:SCB 序列号标签
|
交换机控制板 SRX5K-SCBE 概述
SRX5000 系列增强型交换机控制板 (SRX5K-SCBE) 可满足高端安全市场的需求,需要支持更高容量流量。SRX5K-SCBE 提供更高的接口密度(插槽和容量扩展)和更完善的服务。
SRX5K-SCBE 的一些关键属性包括:
每个插槽 120 Gbps 的带宽,支持冗余交换矩阵,并通过使用新一代交换矩阵 (XF) 芯片提高交换矩阵性能。
一种集中式时钟架构,支持时钟清理和分配。Stratum 3 时钟模块在集中式机箱位置执行时钟监控、过滤和保持。
全性能与交换矩阵冗余,可实现更高容量的线卡,例如 SRX5K-MPC。
路由引擎直接安装在 SRX5K-SCBE 上的插槽中,如图 4 所示。
交换机控制板 SRX5K-SCBE 规格
每个 SRX5K-SCBE 都包含以下组件:
用于与每个组件的低级别通信的 I2C 总线逻辑
组件冗余电路
控制板/路由引擎主要角色机制
千兆以太网交换机,连接到所有组件上的嵌入式 CPU 综合体
交换矩阵,为 MPC 提供交换功能
1000BASE-T 以太网控制器,在路由引擎之间提供 1-Gbps 以太网链路
路由引擎和 SRX5K-SCBE 的电源电路
LED — 提供 SRX5K-SCBE 和时钟接口的状态
| 描述 |
|
| 软件版本 | Junos OS 12.1X47-D15 及更高版本 |
| 电缆和连接器 | 路由引擎插槽 |
| 控制 | 没有 |
| 支持的插槽 |
|
| 功率要求 |
|
| 重量 | 9.6 磅(4.4 千克),带路由引擎 |
| 序列号位置 | 序列号标签位于 图 5 中。
图 5:SRX5K-SCBE 序列号标签
|
SRX5K-SCBE LED
表 1 介绍了 SRX5K-SCBE LED 及其状态。
| 标签 | 颜色 | 状态 | 说明 |
|---|---|---|---|
交换矩阵活动 |
绿色 |
稳步上 |
交换矩阵处于活动模式。 |
仅交换矩阵 |
绿色 |
稳步上 |
SRX5K-SCBE 在仅交换矩阵模式下运行。 |
没有 |
关闭 |
SRX5K-SCBE 在交换矩阵/控制板模式下运行。 |
|
确定/失败 |
绿色 |
稳步上 |
SRX5K-SCBE 已在线运行。 |
红 |
稳步上 |
SRX5K-SCBE 失败。 |
|
没有 |
关闭 |
SRX5K-SCBE 脱机。 |
交换机控制板 SRX5K-SCB3 概述
SRX5K-SCB3 (SCB3) 可满足高端安全市场的需求,需要支持更高容量流量、更大的接口密度(插槽和容量规模)以及更完善的服务。SRX5400、SRX5600 和 SRX5800 防火墙支持 SCB3。
SCB3 支持标准中板和增强型中板。
SCB3 的一些关键属性包括:
现有中板和交换矩阵链路速度为 8.36 Gbps,支持每插槽 205 Gbps 的带宽以及无冗余结构支持的插槽 308 Gbps。
增强型中板和交换矩阵链路速度为 10.2 Gbps,通过冗余交换矩阵支持,每个插槽的带宽为 249 Gbps,每个无冗余插槽的带宽为 374 Gbps
借助新一代交换矩阵 (XF2) 芯片提高交换矩阵性能。
借助交换矩阵冗余实现全性能,实现更高容量的线卡。
仅支持 MPC 线卡,例如 SRX5K-MPC (IOC2) 和 IOC3 (SRX5K-MPC3-40G10G 或 SRX5K-MPC3-100G10G)。
两个 10 千兆以太网 SFP+ 端口(这些端口已禁用,保留供将来使用)。
路由引擎直接安装在 SCB3 上的插槽中,如图 6 所示。
交换机控制板 SRX5K-SCB3 规格
每个 SRX5K-SCB3 (SCB3) 都包含以下组件:
用于与每个组件的低级别通信的 I2C 总线逻辑
组件冗余电路
控制板/路由引擎主要角色机制
千兆以太网交换机,连接到所有组件上的嵌入式 CPU 综合体
交换矩阵,为 MPC 提供交换功能
控制现场可编程门阵列 (FPGA),为路由引擎提供外设组件互连 (PCI) 接口
用于机箱管理和控制的电路
路由引擎和 SCB3 的电源电路
用于提供 SCB3 状态的 LED
| 描述 | 带路由引擎插槽的 SCB3 |
| 软件版本 | Junos OS 15.1X49-D10 及更高版本 |
| 电缆和连接器 | 路由引擎插槽 |
| 控制 | 没有 |
| 支持的插槽 |
|
| 功率要求 | 300 瓦 |
| 重量 | 9.6 磅(4.4 千克),带路由引擎 |
| 序列号位置 | 序列号标签位于 图 7 中所示。
图 7:SRX5K-SCB3 序列号标签
|
SRX5K-SCB3 LED
表 2 介绍了 SCB3 LED 及其状态。
标签 |
颜色 |
状态 |
描述 |
|---|---|---|---|
交换矩阵活动 |
绿色 |
稳步上 |
交换矩阵处于活动模式。 |
确定/失败 |
绿色 |
稳步上 |
SCB3 在线。 |
红 |
稳步上 |
SCB3 失败。 |
|
– |
关闭 |
SCB3 脱机。 |
|
链接 |
绿色 |
稳步上 |
端口已启用并已建立链路。 |
– |
关闭 |
端口已禁用或未建立链路。 |
路由引擎 SRX5K-RE-13-20 概述
路由引擎是一个基于英特尔的 PC 平台,运行 Junos OS。在路由引擎上运行的软件进程会维护路由表,管理设备上使用的路由协议,控制设备接口,控制机箱的某些组件,并提供用于系统管理和用户对设备的访问的接口(参见 图 8)。
路由引擎上的 USB 端口可接受 USB 存储卡,以便加载 Junos OS。
有关防火墙支持的路由引擎的详细信息,请参阅 www.juniper.net/documentation/ 上的 SRX5400、SRX5600 和 SRX5800 防火墙卡参考。
路由引擎 SRX5K-RE-13-20 规格
SRX5K-RE-13-20 路由引擎(图 9)是基于英特尔的 PC 平台,运行 Junos 操作系统 (Junos OS)。在路由引擎上运行的软件进程维护路由表,管理设备上使用的路由协议,控制设备接口,控制某些机箱组件,以及提供用于系统管理和用户对设备的访问的接口。
您必须在防火墙中至少安装一个路由引擎。如果两个路由引擎都运行 Junos OS 10.0 或更高版本,则可以安装第二个路由引擎。如果您使用 Junos OS 10.0 及更高版本中提供的双机箱群集控制链路功能,则需要第二个路由引擎。第二个路由引擎不能执行路由引擎的所有功能,并且无法提高弹性或冗余性。安装的第二个路由引擎和交换机控制板 (SCB) 不构成主机子系统。第二个路由引擎的唯一功能是在用于机箱群集控制链路的服务处理卡 (SPC) 上启用机箱群集控制 1 端口的硬件基础架构。如果在防火墙中只安装一个路由引擎,则必须将其安装在 SCB0 前面板的插槽中。如果安装第二个路由引擎来使用双机箱群集控制链路功能,则将其安装在 SCB1 前面板的插槽中。
路由引擎包含以下组件:
CPU — 运行 Junos OS 以维护防火墙的路由表和路由协议。它具有Pentium级处理器。
DRAM — 为路由和转发表以及其他路由引擎进程提供存储。
USB 端口 — 提供可移动介质接口,您可以通过该接口手动安装 Junos OS。Junos 支持 USB 1.0 版。
内部闪存盘 — 为软件映像、配置文件和微代码提供主存储。该磁盘是固定紧凑型闪存,无法从防火墙外部访问。
硬盘 — 为日志文件、内存转储提供辅助存储,并在内部紧凑型闪存盘发生故障时重新启动系统。
HDD LED — 指示硬盘驱动器的磁盘活动。
管理端口 — 每个路由引擎都有一个 10/100 Mbps 以太网端口用于连接到管理网络,以及两个异步串行端口—一个用于连接到控制台,一个用于连接到调制解调器或其他辅助设备。接口端口标记为 AUX、 控制台和 以太网。
EEPROM — 存储路由引擎的序列号。
提取器剪辑 — 用于插入和提取路由引擎。
强制拧紧— 保护路由引擎到位。
路由引擎按以下顺序从存储介质启动:USB 设备(如果有),然后是内部闪存盘,然后是硬盘,然后是 LAN。
有关路由引擎组件(例如 DRAM 数量)的具体信息,请发出 show chassis routing-engine 命令。
描述 |
用于 SRX5400、SRX5600 和 SRX5800 防火墙的路由引擎 |
软件版本 |
|
电缆和连接器 |
AUX — 通过带有 RJ-45 连接器的电缆,将路由引擎连接到笔记本电脑、调制解调器或其他辅助设备。 控制台 — 通过带有 RJ-45 连接器的电缆将路由引擎连接到系统控制台。 以太网 — 通过以太网连接将路由引擎连接到管理 LAN(或任何其他插入以太网连接的设备),以便进行带外管理。 |
控制 |
|
支持的插槽 |
安装在 SCB 中的前面板插槽:
注意:
防火墙主机子系统路由引擎必须安装在插槽 0 中的 SCB 中。安装在插槽 1 中的 SCB 中的路由引擎仅在机箱群集配置中启用双控制链路。 |
功率要求 |
90 瓦 |
重量 |
约 2.4 磅(1.1 千克) |
Led |
硬盘 导致:
主人 导致:
注意:
SRX5400、SRX5600 和 SRX5800 防火墙不支持辅助或备份路由引擎,因此 主 LED 应始终亮起。 确定/失败 双色 LED:
在线 导致:
|
序列号位置 |
序列号标签位于路由引擎顶部的右侧,如图 10 所示
图 10:SRX5K-RE-13-20 序列号标签
|
路由引擎 SRX5K-RE-1800X4 概述
增强型路由引擎是一款基于英特尔的 PC 平台,运行 Junos OS。在路由引擎上运行的软件进程会维护路由表,管理设备上使用的路由协议,控制设备接口,控制机箱的某些组件,并提供用于系统管理和用户对设备的访问的接口。路由引擎必须直接安装到 SRX5K-SCBE 中。路由引擎上的 USB 端口可接受 USB 内存设备,以便加载 Junos OS。 图 11 显示了路由引擎。
位于路由引擎上的三个端口连接到一个或多个外部设备,系统管理员可以在这些外部设备上发出 Junos OS CLI 命令来管理防火墙。
端口的功能如下所示:
AUX – 通过带 RJ-45 连接器的串行电缆,将路由引擎连接到笔记本电脑、调制解调器或其他辅助设备。
控制台 – 通过带有 RJ-45 连接器的串行电缆将路由引擎连接到系统控制台。
以太网 – 通过以太网连接将路由引擎连接到管理 LAN(或任何其他插入以太网连接的设备),以便进行带外管理。该端口使用自动感应 RJ-45 连接器来支持 10/100/1000 Mbps 连接。端口底部的两个小 LED 表示正在使用的连接:对于 10/100/1000 Mbps 的连接,LED 呈黄色或绿色闪烁,当流量通过端口时,LED 呈浅绿色。
位于路由引擎上的固态驱动器 (SSD) 插槽为日志文件、生成核心文件以及紧凑型Flash 卡发生故障时重新启动系统提供辅助存储。目前,SRX5K-RE-1800X4 仅支持一个 128-GB SSD。
SRX5K-RE-1800X4 路由引擎启动序列
防火墙随附三份 Junos OS 副本,这些副本预安装在路由引擎上,位于以下位置:
在路由引擎的 CompactFlash 卡上
路由引擎中的 SSD 上
在 USB 闪存驱动器上,可插入路由引擎面板上的插槽
路由引擎按以下顺序从存储介质启动:USB 设备(如果有)、CompactFlash 卡、固态驱动器 (SSD),然后是 LAN。通常,防火墙将从 CompactFlash 卡上的软件副本启动。
路由引擎 SRX5K-RE-1800X4 规格
每个路由引擎都包含以下组件:
CPU — 运行 Junos OS 以维护路由表和路由协议。
DRAM — 为路由和转发表以及其他路由引擎进程提供存储。
USB 端口 — 提供可拆卸介质接口,您可以通过该接口手动安装 Junos OS。Junos OS 支持 USB 1.0 和 2.0 版。
紧凑型Flash 卡 — 为软件映像、配置文件和微代码提供主存储。CompactFlash 卡已固定,无法从设备外部访问。
固态驱动器 (SSD) — 为日志文件提供辅助存储,用于生成核心文件,并在 CompactFlash 卡发生故障时用于重新启动系统。
接口端口 — AUX、 控制台和 以太网 端口提供对管理设备的访问。每个路由引擎都有一个 10/100/1000 Mbps 以太网端口用于连接到管理网络,以及两个异步串行端口—一个用于连接到控制台,一个用于连接到调制解调器或其他辅助设备。
EEPROM — 存储路由引擎的序列号。
重置按钮 — 按后重新启动路由引擎。
“联机/脱机”按钮 — 按下路由引擎即可联机或脱机。
提取器剪辑 — 插入和提取路由引擎。
强制拧紧— 保护路由引擎到位。
| 描述 | 用于 SRX5400、SRX5600 和 SRX5800 防火墙的路由引擎 |
| 软件版本 | Junos OS 12.1X47-D15 及更高版本 |
| 电缆和连接器 | 路由引擎插槽
|
| 控制 | RESET 按钮 – 按下后重新启动路由引擎。 |
| 支持的插槽 | 安装在 SCB 中的前面板插槽:
注意:
防火墙主机子系统路由引擎必须安装在插槽 0 中的 SCB 中。安装在插槽 1 中的 SCB 中的路由引擎仅在机箱群集配置中启用双控制链路。 |
| 功率要求 | 90 瓦 |
| 重量 | 2.4 磅(1.1 千克) |
| 序列号位置 | 序列号标签位于 图 12 中。
图 12:SRX5K-RE-1800X4 序列号标签
|
SRX5K-RE-1800X4 LED
每个路由引擎都有四个 LED,用于指示其状态。标记为“MASTER”、“存储”、“在线”和“确定/失败”的 LED 直接位于路由引擎的面板上。表 3 介绍了路由引擎 LED 及其状态。
| 标签 | 颜色 | 状态 | 说明 |
|---|---|---|---|
主人 |
蓝色 |
稳步上 |
路由引擎是主要路由引擎。 |
存储 |
绿色 |
闪烁 |
指示 SSD 或 CompactFlash 卡上的活动。 |
在线 |
绿色 |
闪烁 |
路由引擎正在在线过渡。 |
没有 |
稳步上 |
路由引擎运行正常。 |
|
确定/失败 |
红 |
稳步上 |
路由引擎出现故障。 |
路由引擎 SRX5K-RE3-128G 规格
路由引擎维护路由表,管理设备上使用的路由协议,控制设备接口,控制某些机箱组件,并提供用于系统管理和用户对设备的访问的接口。
图 13 显示了 SRX5K-RE3-128G 路由引擎。
|
1
—
提取器剪辑 |
6
—
“联机/脱机 ”按钮 |
|
2
—
辅助端口 (AUX) |
7
—
SSD LED — 磁盘 1 和 磁盘 2 |
|
3
—
控制台端口 (控制台) |
8
—
USB 端口 — USB1 和 USB2 |
|
4
—
管理端口 (MGMT) |
9
—
RESET 按钮 |
|
5
—
路由引擎状态 LED — 联机、 正常/失败和 MASTER |
10
—
SSD 卡插槽盖 |
| 描述 | SRX5400、SRX5600 和 SRX5800 防火墙的路由引擎,基于 Intel 的 Haswell-EP CPU、6 核和 128GB DDR4 内存。它提供了更高的控制平面性能和可扩展性,以及 SRX 系列 5000 系列机箱中的虚拟化功能。 |
| 软件版本 | Junos OS 19.3R1 及更高版本 |
| 电缆和连接器 | 路由引擎插槽
|
| 控制 | RESET 按钮 – 按下后重新启动路由引擎。 |
| 支持的插槽 | 安装在 SCB 中的前面板插槽:
注意:
防火墙主机子系统路由引擎必须安装在插槽 0 中的 SCB 中。安装在插槽 1 中的 SCB 中的路由引擎仅在机箱群集配置中启用双控制链路。
注意:
在 SRX5600 或 SRX5800 防火墙机箱群集配置中,如果混合使用 SRX5K-RE-1800X4 和 SRX5K-RE3-128G 路由引擎,则不支持双控制链路功能。要支持双控制链路,必须安装两个 SRX5K-RE3-128G。 |
| 功率要求 | 110 瓦 |
| 重量 | 2.69 磅(1.22 千克) |
| 序列号位置 | 序列号标签位于 图 14 中。
图 14:SRX5K-RE3-128G 序列号标签
|
SRX5K-RE3-128G 路由引擎组件
每个路由引擎都包含以下组件:
CPU — 运行 Junos OS 以维护路由表和路由协议。
EEPROM — 存储路由引擎的序列号。
DRAM — 为路由和转发表以及其他路由引擎进程提供存储。
路由引擎和交换机控制板之间的一个 10 千兆以太网接口。
提取器剪辑 — 控制保护路由引擎的锁定系统。
接口端口 — AUX、 控制台和 MGMT 端口提供对管理设备的访问。每个路由引擎都有一个 10/100/1000 Mbps 以太网端口用于连接到管理网络,以及两个异步串行端口—一个用于连接到控制台,一个用于连接到调制解调器或其他辅助设备。
注意:控制接口名称因路由引擎而异:
对于 RE2,控制接口显示为
em0和em1。对于 RE3,控制接口显示为
ixlv0和igb0。
有关更多信息,请参阅 shows chassis 群集接口。
状态 LED — 表 4 介绍了 联机、 确定/失败、 主 LED、 DISK1 和 DISK2 LED 的功能。
“联机/脱机 ”按钮 — 按下路由引擎即可联机或脱机。
注意:“ 联机/脱机 ”按钮必须按住至少 4 秒。
USB1 和 USB2 端口 — 提供可移动介质接口,通过该接口可手动安装 Junos OS。Junos OS 支持 USB 3.0、2.0 和 1.1 版。
RESET 按钮 — 按下后重新启动路由引擎。
SSD1 (主)和 SSD2 (辅助)固态驱动器 (SSD)— 两个 200 GB 的超薄固态驱动器,用于存储软件映像、配置文件、微代码、日志文件和内存转储。当从 主 SSD1 启动失败时,路由引擎将从 SSD2 重新启动 。
强制搞砸 — 保护路由引擎。
SRX5K-RE3-128G 路由引擎 LED
每个路由引擎都有四个 LED,用于指示其状态。标记为 联机、 OK/FAIL、 MASTER、 DISK1 和 DISK2 的 LED 直接位于路由引擎的面板上。 表 4 介绍了路由引擎 LED 及其状态。
标签 |
颜色 |
状态 |
描述 |
|---|---|---|---|
在线 |
绿色
|
闪烁速度缓慢 |
路由引擎正在启动 BIOS 和主机操作系统。 |
快速闪烁 |
路由引擎正在启动 Junos OS。 |
||
- |
关闭 |
路由引擎未联机或运行不正常。 |
|
确定/失败 |
绿色 |
稳步上 |
路由引擎正在启动。 |
黄色 |
稳步上 |
路由引擎未开机,表示故障。 |
|
主人 |
蓝色 |
稳步上 |
此路由引擎是主要路由引擎。 |
磁盘 1 |
绿色 |
闪烁 |
表示存在磁盘活动。 |
- |
关闭 |
没有磁盘活动。 |
|
磁盘 2 |
绿色
|
闪烁 |
表示存在磁盘活动。 |
- |
关闭 |
没有磁盘活动。 |
SRX5K-RE3-128G 路由引擎启动序列
在 SRX5K-RE3-128G 路由引擎中启动遵循以下顺序 — USB 设备、SSD1、SSD2 和 LAN。SSD1 是主要启动设备。SSD1 和 SSD2 会尝试两次启动序列。