Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

维护 SRX5400 主机子系统

维护 SRX5400 防火墙主机子系统

目的

为获得最佳防火墙性能,请验证主机子系统的状况。主机子系统由安装在 SCB 插槽中的 SCB 和路由引擎组成。

行动

定期:

  • 检查作员接口上的 LED,查看有关路由引擎状态的信息。

  • 检查 SCB 面板上的 LED。

  • 检查路由引擎面板上的 LED。

  • 要检查路由引擎的状态,请发出 show chassis routing-engine 命令。输出类似于以下内容:

  • 要检查 SCB 的状态,请发出 show chassis environment cb 命令。输出类似于以下内容:

要检查特定 SCB 的状态,请发出 show chassis environment cb node slot 命令,例如 show chassis environment cb node 0

有关使用 CLI 的详细信息,请参阅 CLI 资源管理器

使SRX5400防火墙主机子系统脱机

主机子系统由安装了路由引擎的 SCB 组成。您使主机子系统脱机,并将其作为一个单元联机。在更换 SCB 或路由引擎之前,必须使主机子系统脱机。使主机子系统脱机会导致设备关闭。

要使主机子系统脱机,请执行以下作:

  1. 在连接到与您要移除的 SCB 配对的路由引擎的控制台或其他管理设备上,进入 CLI作模式并发出以下命令。命令会彻底关闭路由引擎,因此会保留其状态信息:
  2. 等待控制台上出现一条消息,确认作系统已停止。

    有关命令的详细信息,请参阅 www.juniper.net/documentation/ 上的Junos OS系统基础知识和服务命令参考

    注意:

    发出命令后 request system halt ,SCB 可能会继续转发流量大约 5 分钟。

作和定位SRX5400防火墙 SCB 弹出器

  • 卸下或插入 SCB 时,请确保相邻插槽中的卡或空面板已完全插入,以免用弹出器手柄撞击它们。顶出器手柄需要完全插入所有相邻组件,以免弹出器手柄撞到它们,这可能会导致损坏。

  • 顶出器手柄必须存放在电路板的中心。确保位于电路板右端和左端的弹出器的长端是水平的,并尽可能压向电路板的中心。

  • 要插入或卸下 SCB,请将弹出器水平滑过 SCB,旋转它,然后再滑动四分之一圈。再次转动弹出器并根据需要重复。利用分度功能来最大限度地提高杠杆作用并避免碰到任何相邻组件。

  • 同时作两个弹出器手柄。SCB 上的插入力对于一个弹出器来说太大了。

更换 SRX5400 防火墙 SCB

在更换 SCB 之前,请阅读作 和定位 SRX5400 防火墙 SCB 弹出器中的指南。要更换 SCB,请执行以下过程:

注意:

更换 SCB 的过程适用于 SRX5K-SCB、SRX5K-SCBE 和 SRX5K-SCB3。

卸下SRX5400防火墙 SCB

要卸下 SCB(参见 图 1):

注意:

SCB 和路由引擎将作为一个单元移除。您也可以单独移除路由引擎。
谨慎:

在卸下 SCB 之前,请确保您知道如何正确作弹出器手柄以避免损坏设备。

  1. 如果要从机箱群集中卸下 SCB,请停用任何节点的交换矩阵接口。
    注意:

    应停用交换矩阵接口,以避免机箱群集出现故障。
  2. 使用命令request system power-off关闭防火墙电源。
    注意:

    等待控制台上出现一条消息,确认服务已停止。
  3. 物理关闭电源并从机箱上拔下电源线。
  4. 将静电袋或防静电垫放在平坦、稳定的表面上。
  5. ESD 接地腕带连接到裸露的手腕,然后将腕带的另一端连接到 ESD 接地点。
  6. 同时逆时针旋转弹出器手柄以卸下 SCB。
  7. 抓住弹出器手柄,将 SCB 滑出机箱的一半左右。
  8. 将一只手放在 SCB 下方以支撑它,然后将其完全滑出机箱。
  9. 将 SCB 放在抗静电垫上。
  10. 如果现在不更换 SCB,请在空插槽上安装一个空面板。
图 1:卸下 SCB Removing the SCB

安装 SRX5400 防火墙 SCB

要安装 SCB(请参阅 图 2):

  1. ESD 接地腕带连接到裸露的手腕,然后将腕带的另一端连接到 ESD 接地点。
  2. 使用命令request system power-off关闭防火墙电源。
    注意:

    等待控制台上出现一条消息,确认服务已停止。
  3. 物理关闭电源并从机箱上拔下电源线。
  4. 小心地将 SCB 的侧面与机箱内的导轨对齐。
  5. SCB 滑入机箱,直到您感觉到阻力,小心确保其正确对齐。
    图 2:安装 SCB Installing the SCB
  6. 抓住两个弹出器手柄并同时顺时针旋转它们,直到 SCB 完全就位。
  7. 将弹出器手柄放在适当的位置,水平并朝向电路板的中心。
  8. 将电源线连接到机箱并打开防火墙电源。电源面板上的 OK LED 应闪烁,然后常亮。
  9. 要验证 SCB 是否正常工作,请检查其面板上的 LED。安装 SCB 几分钟后,绿色 OK/FAIL LED 应常亮。如果 OK/FAIL LED 为红色,请卸下并重新安装 SCB。如果 OK/FAIL LED 仍然常亮,则 SCB 无法正常工作。请联系您的客户支持代表。

    要检查 SCB 的状态,请执行以下作:

  10. 如果将 SCB 安装到机箱群集中,则通过新安装的 SCB 的控制台将节点放回群集并重新启动。

    其中 x 是群集 ID,Y 是节点 ID

  11. 激活已禁用的交换矩阵接口。

更换 SRX5400 防火墙路由引擎

要更换路由引擎,请执行以下过程:

注意:

更换路由引擎的过程适用于 SRX5K-RE-13-20、SRX5K-RE-1800X4 和 SRX5K-RE-128G。

卸下SRX5400防火墙路由引擎

谨慎:

更换路由引擎之前,必须使主机子系统脱机。

要卸下路由引擎(请参阅 图 3):

  1. 使主机子系统脱机,如使 SRX5400 防火墙主机子系统脱机中所述。
  2. 将静电袋或防静电垫放在平坦、稳定的表面上。
  3. ESD 接地腕带连接到裸露的手腕,然后将腕带的另一端连接到 ESD 接地点。
  4. 向外翻转弹出器手柄以卸下路由引擎。
  5. 抓住路由引擎的弹出器手柄,然后将其滑出机箱的一半左右。
  6. 将一只手放在路由引擎下方以支撑它,然后将其完全滑出机箱。
    图 3:卸下路由引擎 Removing the Routing Engine
  7. 将路由引擎放在防静电垫上。

安装 SRX5400 防火墙路由引擎

要将路由引擎安装到 SCB 中(请参阅 图 4):

注意:

如果在服务网关中仅安装一个路由引擎,则必须将其安装在服务网关机箱的 SCB 插槽 0 中。
  1. 如果尚未执行此作,请使主机子系统脱机。请参阅使 SRX5400 防火墙主机子系统脱机
  2. ESD 接地腕带连接到裸露的手腕,然后将腕带的另一端连接到 ESD 接地点。
  3. 确保弹出器手柄未处于锁定位置。如有必要,向外翻转弹出器手柄。
  4. 将一只手放在路由引擎下方以支撑它。
  5. 小心地将路由引擎的侧面与 SCB 开口内的导轨对齐。
  6. 路由引擎滑入 SCB,直到您感觉到阻力,然后按下路由引擎的面板,直到它与连接器啮合。
    谨慎:

    路由引擎在导轨上的不正确对齐可能会损坏路由引擎背面的组件。
    图 4:安装路由引擎 Installing the Routing Engine
  7. 向内按下两个弹出器手柄以固定路由引擎。
  8. 拧紧路由引擎面板左右两端的外加螺钉。
  9. 打开防火墙电源。电源面板上的 OK LED 应闪烁,然后常亮。

    路由引擎可能需要几分钟才能启动。

    路由引擎启动后,通过检查作员接口上的 RE0RE1 LED,验证其安装是否正确。如果防火墙正常运行且路由引擎运行正常,绿色 ONLINE LED 将常亮。如果红色 FAIL LED 常亮,请卸下并重新安装路由引擎。如果红色 FAIL LED 仍常亮,则路由引擎运行不正常。请联系您的客户支持代表。

    要检查路由引擎的状态,请使用 CLI 命令:

    有关使用 CLI 的详细信息,请参阅 CLI 资源管理器

  10. 如果机箱群集中的某个节点上的路由引擎已更换,则需要从群集中的其他节点复制证书和密钥对:

    1. 在群集的两个节点上以 root 用户身份启动 shell 接口。

    2. 使用以下命令验证源节点(群集中的其他节点)和目标节点(更换了路由引擎的节点)的 /var/db/certs/common/key-pair 文件夹中的文件:

      ls -la /var/db/certs/common/key-pair/

    3. 如果两个节点上都存在相同的文件,请将目标节点上的文件备份到其他位置。例如:

      root@SRX-B% pwd /var/db/certs/common/key-pair root@SRX-B% ls -la total 8 drwx------ 2 root wheel 512 Jan 22 15:09 drwx------ 7 root wheel 512 Mar 26 2009 -rw-r--r-- 1 root wheel 0 Jan 22 15:09 test root@SRX-B% mv test test.old root@SRX-B% ls -la total 8 drwx------ 2 root wheel 512 Jan 22 15:10 drwx------ 7 root wheel 512 Mar 26 2009 -rw-r--r-- 1 root wheel 0 Jan 22 15:09 test.old root@SRX-B%

    4. 将源节点的 /var/db/certs/common/key-pair 文件夹中的文件复制到目标节点上的同一文件夹。

      注意:

      确保为目标节点使用正确的节点号。

    5. 在目标节点中,使用 ls –la 命令验证是否已复制源节点的 /var/db/certs/common/key-pair 文件夹中的所有文件。

    6. /var/db/certs/common/local /var/db/certs/common/certification-authority 文件夹重复步骤 b 到步骤 e。

针对 SCB3 和 IOC3 的低影响硬件升级

开始 LICU 过程之前,请验证群集中的两个防火墙是否运行相同的 Junos OS 版本。

注意:

只能使用 LICU 进程执行硬件升级。

在将软件从 Junos OS 12.3X48-D10 版升级到 15.1X49-D10 的同时,必须同时执行硬件升级。

如果您的设备属于机箱群集,则可以使用低影响硬件升级 (LICU) 过程将 SRX5K-SCBE (SCB2) 升级到 SRX5K-SCB3 (SCB3),将 SRX5K-MPC (IOC2) 升级到 IOC3(SRX5K-MPC3-100G10G 或 SRX5K-MPC3-40G10G),同时尽可能缩短停机时间。您也可以按照此过程将 SCB1 升级到 SCB2,将 RE1 升级到 RE2。

在机箱群集中,主设备描述为节点 0,辅助设备描述为节点 1。

按照以下步骤执行 LICU

  1. 当 LICU 正在进行时,通过将辅助节点与网络隔离来确保辅助节点不会对网络流量产生影响。为此,请禁用辅助节点上的物理接口(RETH 子接口)。
  2. 禁用要接管的辅助节点的 SYN 位和 TCP 序列号检查。
  3. 提交配置。
  4. 断开机箱群集中设备之间的控制和交换矩阵链路,以便断开运行不同 Junos OS 版本的节点的连接。为此,请将控制端口和结构端口更改为错误的值。交换矩阵端口必须设置为任何 FPC 编号,控制端口必须设置为任何非 IOC 端口。发出以下命令:
  5. 提交配置。
    注意:

    提交配置后,将显示以下错误消息: 与节点 1 的连接已断开错误:由于控制平面通信中断,节点 1 上的远程解锁配置失败

    忽略错误消息。

  6. 将辅助节点上的 Junos OS 版本从 12.3X48-D10 升级到 15.1X49-D10。
  7. 打开辅助节点的电源。

    看:

  8. 在辅助节点上执行硬件升级,方法是将 SCB2 替换为 SCB3,将 IOC2 替换为 IOC3,并将现有中板替换为增强型中板。

    升级 SCB 时,请执行以下步骤:

    要升级辅助节点上的路由引擎,请执行以下作:

    1. 关闭辅助节点电源之前,请将配置信息复制到 USB 设备。
    2. 将 RE1 替换为 RE2,并在 RE2 上升级 Junos OS。
    3. 配置从 USB 设备上传到 RE2。

      有关在设备上安装 USB 驱动器的详细信息,请参阅知识库中的知识库中的知识库文章 KB12880KB12022

    升级 MPC 时执行此步骤。

    1. 在辅助节点上配置控制端口、结构端口和 RETH 子端口。 

      [edit]
root@clustert# show | display set | grep reth0
set chassis cluster redundancy-group 1 ip-monitoring family
inet 44.44.44.2 interface reth0.0 secondary-ip-address 44.44.44.3
set interfaces xe-3/0/0 gigether-options redundant-parent
reth0
set interfaces xe-9/0/0 gigether-options redundant-parent
reth0
set interfaces reth0 vlan-tagging
set interfaces reth0 redundant-ether-options redundancy-group
1
set interfaces reth0 unit 0 vlan-id 20
set interfaces reth0 unit 0 family inet address 44.44.44.1/8

      [edit]
root@clustert# show | display set | grep reth1
set interfaces xe-3/0/4 gigether-options redundant-parent
reth1
set interfaces xe-9/0/4 gigether-options redundant-parent
reth1
set interfaces reth1 vlan-tagging 
set interfaces reth1 redundant-ether-options redundancy-group
1
 set interfaces reth1 unit 0 vlan-id 30
set interfaces reth1 unit 0 family inet address 55.55.55.1/8

  9. 验证辅助节点是否正在运行升级后的 Junos OS 版本。
  10. 通过禁用主节点上的接口和在辅助节点上启用接口来验证配置更改。
  11. 检查配置更改。
  12. 验证后,提交配置。

    网络流量将故障转移到辅助节点。

  13. 通过检查辅助节点上的会话表和网络流量,验证故障转移是否成功。
  14. 将主节点上的 Junos OS 版本从 12.3X48-D10 升级到 15.1X49-D10。

    忽略与断开连接的群集有关的错误消息。

  15. 打开主节点的电源。

    看:

  16. 在主节点上执行硬件升级,方法是将 SCB2 替换为 SCB3,将 IOC2 替换为 IOC3,并将现有中板替换为增强型中板。

    升级 SCB 时执行以下步骤。

    要升级主节点上的路由引擎,请执行以下作:

    1. 关闭辅助节点电源之前,请将配置信息复制到 USB 设备。
    2. 将 RE1 替换为 RE2,并在 RE2 上升级 Junos OS。
    3. 配置从 USB 设备上传到 RE2。

      有关在设备上安装 USB 驱动器的详细信息,请参阅知识库中的知识库中的知识库文章 KB12880KB12022

    升级 MPC 时执行此步骤。

    1. 在主节点上配置控制端口、交换矩阵端口和 RETH 子端口。 

      [edit]
root@clustert# show | display set | grep fab
set groups global interfaces fab1 fabric-options member-interfaces
xe-9/0/2 
set groups global interfaces fab0 fabric-options member-interfaces
xe-3/0/2

      [edit]
root@clustert# show | display set | grep reth0
set chassis cluster redundancy-group 1 ip-monitoring family
inet 44.44.44.2 interface reth0.0 secondary-ip-address 44.44.44.3
set interfaces xe-3/0/0 gigether-options redundant-parent
reth0
set interfaces xe-9/0/0 gigether-options redundant-parent
reth0
set interfaces reth0 vlan-tagging
set interfaces reth0 redundant-ether-options redundancy-group
1
set interfaces reth0 unit 0 vlan-id 20
set interfaces reth0 unit 0 family inet address 44.44.44.1/8

      [edit]
root@clustert# show | display set | grep reth1
set interfaces xe-3/0/4 gigether-options redundant-parent
reth1
set interfaces xe-9/0/4 gigether-options redundant-parent
reth1
set interfaces reth1 vlan-tagging 
set interfaces reth1 redundant-ether-options redundancy-group
1
 set interfaces reth1 unit 0 vlan-id 30
set interfaces reth1 unit 0 family inet address 55.55.55.1/8

  17. 验证主节点是否正在运行升级后的 Junos OS 版本,以及主节点是否可以接管网络流量。
  18. 检查配置更改。
  19. 验证后,提交配置。
  20. 通过在辅助节点上禁用接口并在主节点上启用接口来验证配置更改。

    网络流量将故障转移到主节点。

  21. 要同步群集中的设备,请在辅助节点上使用正确的端口值重新配置控制端口和交换矩阵端口。
  22. 提交配置。
  23. 打开辅助节点的电源。

    看:

    1. 打开辅助节点电源时,请启用主节点上的控制端口和结构端口,然后使用正确的端口值重新配置它们。
  24. 提交配置。
  25. 辅助节点启动后,验证它是否与主节点同步。
  26. 为辅助节点启用 SYN 位和 TCP 序列号检查。
  27. 提交配置。
  28. 验证冗余组 (RG) 状态及其优先级。

    辅助节点开机后,发出以下命令:

    在辅助节点上启用流量接口。

有关 LICU 的详细信息,请参阅知识库中的知识库文章 KB17947

机箱群集中 SRX5K-RE-1800X4 和 SRX5K-SCBE 或者 SRX5K-RE-1800X4 和 SRX5K-SCB3 的不中断服务硬件升级

在开始 ISHU 过程之前,请确保完成以下先决条件:

  • 更换 表 1 中指定的所有接口卡,如 IOC 和 Flex IOC。

    表 1:用于升级的接口卡列表

    要更换的卡

    升级补卡

    SRX5K-40GE-SFP

    SRX5K-MPC 和 MIC

    SRX5K-4XGE-XFP

    SRX5K-MPC 和 MIC

    SRX5K-FPC-IOC

    SRX5K-MPC 和 MIC

    SRX5K-RE-13-20

    SRX5K-RE-1800X4

    SRX5K-SCB

    SRX5K-SCBE

    SRX5K-SCBE

    SRX5K-SCB3

  • 验证群集中的两个防火墙是否运行相同的 Junos OS 版本;带有 SRX5K-RE-1800X4 的 SRX5K-SCBE 的版本为 12.1X47-D15 或更高版本,对于带有 SRX5K-RE-1800X4 的 SRX5K-SCB3 为 15.1X49-D10 或更高版本。有关防火墙上支持的卡的更多信息,请参阅 SRX5400、SRX5600 和 SRX5800 防火墙上支持的卡

    有关统一不中断服务的软件升级(统一 ISSU)的详细信息,请参阅 使用 ISSU 升级机箱群集中的两台设备

如果您的设备属于机箱群集,则使用不中断服务的硬件升级 (ISHU) 过程可以升级:

  • 带 SRX5K-RE-13-20 的 SRX5K-SCB 到带 SRX5K-RE-1800X4 的 SRX5K-SCBE

    注意:

    两个防火墙必须具有相同的 Junos OS 12.3X48 版本。

  • SRX5K-SCBE 与 SRX5K-RE-1800X4 到 SRX5K-SCB3 与 SRX5K-RE-1800X4

    注意:

    不能将带有 SRX5K-RE-13-20 的 SRX5K-SCB 直接升级到带有 SRX5K-RE-1800X4 的 SRX5K-SCB3。

注意:

强烈建议您在维护时段或尽可能低的流量期间执行 ISHU ,因为辅助节点此时不可用。

确保在升级 SCB 和路由引擎的同时升级,因为仅支持以下配置:

  • SRX5K-RE-13-20 和 SRX5K-SCB

  • SRX5K-RE-1800X4 和 SRX5K-SCBE

  • SRX5K-RE-1800X4 和 SRX5K-SCB3
注意:

执行 ISHU 时,在SRX5800防火墙中,第二个 SCB 可以包含路由引擎,但第三个 SCB 不得包含路由引擎。在 SRX5600 防火墙中,第二个 SCB 可以包含路由引擎。

要执行 ISHU,请执行:

  1. 将配置信息从辅助节点导出到 USB 或外部存储设备。

    有关在设备上安装 USB 的详细信息,请参阅知识库中的知识库KB12880KB12022知识库文章。

  2. 关闭辅助节点电源。

    请参阅关闭 SRX5400 防火墙关闭 SRX5600 防火墙或关闭 SRX5800 防火墙

  3. 将所有接口卡从底板中拉出 6 英寸到 8 英寸(将电缆留在原位),断开它们与机箱背板的连接。
  4. 根据机箱规格将 SRX5K-SCB 更换为 SRX5K-SCBE,或将 SRX5K-SCBE 更换为 SRX5K-SCB3,将 SRX5K-RE-13-20 更换为 SRX5K-RE-1800X4。
  5. 打开辅助节点的电源。

    看:

  6. 辅助节点作为独立节点重新启动后,配置与主节点相同的群集 ID。
  7. 在辅助节点上安装与主节点相同的 Junos OS 软件映像,然后重新启动。
    注意:

    确保SRX5K-RE-1800X4和SRX5K-SCBE的Junos OS版本为12.1X47-D15或更高版本,SRX5K-RE-1800X4和SRX5K-SCB3的版本为15.1X49-D10或更高版本。
  8. 辅助节点重新启动后,将所有配置设置从 USB 导入到节点。

    有关在设备上安装 USB 的详细信息,请参阅知识库中的知识库KB12880KB12022知识库文章。

  9. 关闭辅助节点电源。

    请参阅 关闭 SRX5400 防火墙关闭 SRX5600 防火墙关闭 SRX5800 防火墙

  10. 将所有接口卡重新插入机箱背板。
    注意:

    确保卡的插入顺序与主节点中的插入顺序相同,并保持控制链路和结构链路之间的连接。
  11. 打开节点电源并发出以下命令以确保所有卡都联机:

    节点启动后,必须作为辅助节点加入群集。要进行验证,请发出以下命令

    注意:

    命令输出必须指示节点优先级已设置为非零值,并且集群包含主节点和辅助节点。
  12. 手动启动对升级节点的冗余组 (RG) 故障切换,以便将其作为主节点分配给所有 RG。

    对于 RG0,发出以下命令:

    对于 RG1,发出以下命令:

    通过发出以下命令,验证所有 RG 是否都已进行故障转移:

  13. 通过执行以下作来验证升级后的辅助节点的作:

    • 要确保所有 FPC 都联机,请发出以下命令:

    • 要确保所有 RG 都已升级,并且节点优先级设置为非零值,请发出以下命令:

    • 要确保升级后的主节点接收和传输数据,请发出以下命令:

    • 要确保在升级后的节点上创建和删除会话,请发出以下命令:

  14. 对主节点重复步骤 112
  15. 要确保成功完成 ISHU 进程,请发出以下命令,以检查群集的状态:

有关机箱群集的详细信息,请参阅《www.juniper.net/documentation/ SRX 系列设备机箱群集用户指南》。