Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

维护 SRX5400 线卡和模块

手持 SRX5400 防火墙卡

携带卡时,您可以垂直或水平持卡。

注意:

一张卡重达 18.3 磅(8.3 千克)。准备在抬起卡时接受卡的全重。

要垂直持有卡:

  1. 调整卡的定位,使面板面向您。要验证方向,请确认卡上的文本位于右侧,EMI 条位于右侧。
  2. 用一只手围住卡面板,大约从顶部边缘向下放置四分之一。为避免 EMI 屏蔽条变形,请勿用力按下。
  3. 将另一手放在卡的底部边缘。

如果卡是水平的,然后再抓住它,把左手放在面板上,右手沿着底部边缘。

要水平持卡:

  1. 调整卡的定位,使面板面向您。

  2. 用左手抓住顶部边缘,用右手抓住下边缘。

你可以把卡的面板放在你的身体上,当你携带它。

携带卡时,不要碰到任何东西。卡组件十分脆弱。

切勿将卡放在任何位置(本主题表明合适的位置除外)。特别是,切勿抓住连接器边缘,特别是在连接器和底部边缘相遇的角处的电源连接器处(请参阅 图 1)。

图 1:不要抓住连接器边缘 Do Not Grasp the Connector Edge

千万不要只用一只手用面板携带卡。

请勿将卡的任何边缘直接固定在硬表面上(参见 图 2)。

不要堆叠卡。

图 2:不要将卡放在边缘 Do Not Rest the Card on an Edge

如果卡必须在边缘上临时休息,同时在垂直和水平之间更改其方向,请使用手作为边缘和表面之间的缓冲。

存储 SRX5400 防火墙卡

您必须按如下方法存储卡:

  • 在防火墙机箱中

  • 在运送备用卡的容器中

  • 水平和钣金侧下

将卡存放在水平表面上或运输容器中时,始终将其放入防静电袋中。由于卡很重,而且防静电袋很脆弱,两个人把卡插入袋子比较容易。为此,一人将卡放在水平位置,面板面向身体,另一人将袋子的开放处滑过卡连接器边缘。

如果你必须自己把卡插进一个袋子,首先把卡水平放在一个平整、稳定的表面上,钣金一边向下。调整卡的定向方向,让面板面向您。小心地将卡连接器边缘插入袋的开放口,然后向外拉袋以盖住卡。

切勿将卡堆叠在任何其他组件下或之上。

更换 SRX5400 防火墙 MPC

要更换 MPC,请执行以下操作:

卸下 SRX5400 防火墙 MPC

MPC 水平安装在防火墙前面。完全配置的 MPC 重达 18.35 磅(8.3 千克)。准备好接受它的全部力量。

要移除 MPC:

  1. 准备好用于 MPC 的更换 MPC 空白面板和抗静电垫。此外,在要卸下的 MPC 上使用光学接口,为每个 MIC 设置现成的橡胶安全帽。
  2. 将 ESD 地面表带固定在裸露的手腕上,将表带的另一端连接到 ESD 地面点。
  3. 对连接到 MPC 上每个 MIC 的电缆进行标记,以便以后将电缆重新连接到正确的 MIC。
  4. 使用以下一种方法使 MPC 脱机:
    • 按住操作员界面上的相应在线按钮。按钮旁边的绿色 OK/失败 LED 开始闪烁。按住按钮,直到 LED 熄灯。

    • 发出以下 CLI 命令:

      user@host>request chassis fpc slot slot-number offline

  5. 如果尚未关闭防火墙,请关闭防火墙。
  6. 断开电缆与安装在 MPC 中的 MIC 的连接。
    激光警报:

    请勿直接查看光纤收发器或光纤电缆的末端。连接到收发器的光纤收发器和光纤电缆会发射激光,可能会损坏眼睛。

    谨慎:

    请勿使光纤收发器不可见,除非插入或拔下电缆。安全帽可保持端口清洁,防止眼睛意外暴露在激光下。

    谨慎:

    避免光纤电缆弯曲超出其最小弯曲半径。直径小于几英寸的弧线会损坏电缆,并导致难以诊断的问题。

  7. 如果 MIC 使用光纤电缆,请立即用橡胶安全帽盖覆盖每个收发器和每个电缆的末端。
  8. 在电缆管理托架中安排断开连接的电缆,以防止电缆产生压力点。
  9. 同时逆时针旋转两个弹出器手柄,以解插 MPC。
  10. 抓住把手,将 MPC 直接从卡笼中滑出。请参阅 图 3
    图 3:卸下 MPC Removing an MPC
  11. 将一只手放在 MPC(MIC 外壳)的前面,另一只手放在 MPC 下面以支持它。将 MPC 完全从机箱中滑出,将其放置在防静电垫上或静电袋中。
    谨慎:

    MPC 的权重集中在后端。将 MPC 滑出机箱时,准备好接受全重(最高 18.35 磅(8.3 千克)。

    当 MPC 不在机箱中时,请勿由弹出器手柄、母线或边缘连接器保持它。它们无法支持其重量。

    拔下后,请勿将 MPC 堆叠在一起。将每一个分别放在一个静电袋中,或单独放置在一个平整、稳定的表面上的抗静电垫上。

  12. 如有必要,请从 MPC 中移除每个已安装的 MIC。
  13. 取出每个 MIC 后,立即将其放在抗静电垫上或静电袋中。
  14. 如果未在短时间内将 MPC 重新安装到空的线卡插槽中,请在每个插槽上安装一个空的 DPC 面板,以保持卡架中的气流正常。

安装 SRX5400 防火墙 MPC

MPC 水平安装在防火墙前面。完全配置的 MPC 重达 18.35 磅(8.3 千克)。准备好接受它的全部力量。

要安装 MPC:

  1. 将 ESD 地面表带固定在裸露的手腕上,将表带的另一端连接到 ESD 地面点。
  2. 如果尚未关闭防火墙,请关闭防火墙。
  3. 将 MPC 放在防静电垫上。
  4. 从其静电袋中取出要安装在更换 MPC 中的每个 MIC,并识别 MPC 上的插槽。
  5. 验证每个光纤 MIC 是否都有一个覆盖 MIC 收发器的橡胶安全帽。如果没有,请用安全帽盖好收发器。
  6. 将每个 MIC 安装到 MPC 上的相应插槽中。
  7. 找到计划安装 MPC 的卡架中的插槽。
  8. 调整 MPC 方向,使面板面向您。
  9. 将 MPC 抬到位,并小心地将 MPC 的两侧与卡笼内的参考线对齐。请参阅 图 4
    谨慎:

    当 MPC 不在机箱中时,请勿由弹出器手柄、母线或边缘连接器保持它。它们无法支持其重量。

    图 4:在 SRX5400 防火墙 Installing an MPC in the SRX5400 Firewall中安装 MPC
  10. 将 MPC 一直滑入卡笼,直到您感到阻力。
  11. 抓住两个弹出器手柄,并同时顺时针旋转,直到 MPC 完全就位。
  12. 如果 MPC 上的任何 MIC 连接到光纤电缆,请从每个收发器和电缆上拔下橡胶安全帽。
    激光警报:

    请勿直接查看光纤收发器或光纤电缆的末端。连接到收发器的光纤收发器和光纤电缆会发射激光,可能会损坏眼睛。

  13. 将相应的电缆插入 MPC 上每个 MIC 上的电缆连接器端口。保护电缆,使其无法支撑自己的重量。使用电缆管理系统,将多余的电缆放入一个整齐的线圈环路中。在环路上放置异形有助于保持其形状。
    谨慎:

    不要让光纤电缆脱离连接器。不允许电缆的紧固环路悬垂,这会在紧固点承受电缆的重压。

    谨慎:

    避免光纤电缆弯曲超出其最小弯曲半径。直径小于几英寸的弧线会损坏电缆,并导致难以诊断的问题。

  14. 打开防火墙电源。电源面板上的 OK LED 应闪烁,然后稳定亮起。
  15. 通过发出和 show chassis fpc pic-status 命令来show chassis fpc验证 MPC 是否正常运行。例如:

    使用以下 CLI 命令首次将 MPC 联机:

更换 SRX5400 防火墙 MIC

要更换 MIC,请执行以下操作:

卸下 SRX5400 防火墙 MIC

MIC 位于防火墙正面安装的 MPC 中。MIC 的重量不到 2 磅(0.9 千克)。

要移除 MIC:

  1. 将一个静电袋或抗静电垫放在一个平坦、稳定的表面上,以接收 MIC。如果 MIC 连接到光纤电缆,请为每个收发器和电缆准备一个橡胶安全帽。
  2. 将 ESD 地面表带固定在裸露的手腕上,将表带的另一端连接到 ESD 地面点。
  3. 关闭防火墙电源。
  4. 对连接到 MIC 的电缆进行标记,以便以后将每根电缆重新连接到正确的 MIC。
  5. 断开电缆与 MIC 的连接。如果 MIC 使用光纤电缆,请立即用橡胶安全帽覆盖每个收发器和每个电缆的末端。
    激光警报:

    请勿直接查看光纤收发器或光纤电缆的末端。连接到收发器的光纤收发器和光纤电缆会发射激光,可能会损坏眼睛。

    谨慎:

    请勿使光纤收发器不可见,除非插入或拔下电缆。安全帽可保持端口清洁,防止眼睛意外暴露在激光下。

  6. 排列电缆以防止电缆脱落或形成压力点。保护电缆,使其在挂在地板上时不会支撑自己的重量。将多余的电缆从一个整齐的线圈中排除。
    谨慎:

    避免光纤电缆弯曲超出其最小弯曲半径。直径小于几英寸的弧线会损坏电缆,并导致难以诊断的问题。

  7. 在 MPC 上,拉出要从 MPC 面板上卸下的 MIC 旁边的弹出旋钮。弹出式旋钮位于 MIC 和将 MPC 保留在防火墙卡笼中的旋转旋钮之间。从 MPC 中拉出弹出器旋钮,拔下 MIC 并部分弹出。请参阅图 5
    图 5:卸下 MIC Removing a MIC
  8. 抓住 MIC 面板上的把手,将 MIC 从 MPC 卡托架中滑出。将其放入静电袋或防静电垫上。
  9. 如果未在短时间内将 MIC 重新安装到已清空的 MIC 插槽中,请在插槽上安装一个空的 MIC 面板,以保持 MPC 卡笼中的气流正常。

安装 SRX5400 防火墙 MIC

要安装 MIC:

  1. 将 ESD 地面表带固定在裸露的手腕上,将表带的另一端连接到 ESD 地面点。
  2. 如果尚未关闭防火墙,请关闭防火墙。
  3. 如果 MIC 使用光纤电缆,请验证面板上的每个收发器上是否有橡胶安全帽。如果需要,请安装上限。
  4. 在 MPC 上,从 MPC 面板上拉出与 MIC 相邻的弹出旋钮。弹出式旋钮位于 MIC 和将 MPC 保留在防火墙卡笼中的旋转旋钮之间。请参阅图 6
    图 6:安装 MIC Installing a MIC
  5. 将 MIC 的背面与位于 MIC 插槽角的参考线对齐。
  6. 将 MIC 滑入 MPC,直到它牢固地位于 MPC 中。弹出旋钮将自动向面板移动,以锁定 MIC 所在的位置。

    如果 MIC 不能正确位于插槽中,请一直拉出弹出器旋钮,然后再次尝试将 MIC 固定在插槽中。除非您在开始插入 MIC 时弹出旋钮一直处于一直,否则 MIC 无法正确坐位。

    谨慎:

    将 MIC 直接滑入插槽,避免损坏 MIC 上的组件。

  7. 将 MIC 固定在其插槽中后,将弹出器旋钮一直推向 MPC 面板,以验证弹出旋钮是否已接合。
  8. 如果 MIC 使用光纤电缆,请从每个收发器和每个电缆的末端拔下橡胶安全帽。
    激光警报:

    请勿直接查看光纤收发器或光纤电缆的末端。连接到收发器的光纤收发器和光纤电缆会发射激光,可能会损坏眼睛。

    谨慎:

    请勿使光纤收发器不可见,除非插入或拔下电缆。安全帽可保持端口清洁,防止眼睛意外暴露在激光下。

  9. 将相应的电缆插入 MIC 上的电缆连接器中。
  10. 安排每根电缆以防止电缆脱落或产生压力点。保护电缆,使其在挂在地板上时不会支撑自己的重量。将多余的电缆从一个整齐的线圈中排除。
    谨慎:

    不要让光纤电缆脱离连接器。不允许电缆的紧固环路悬垂,这会在紧固点承受电缆的重压。

    谨慎:

    避免光纤电缆弯曲超出其最小弯曲半径。直径小于几英寸的弧线会损坏电缆,并导致难以诊断的问题。

  11. 打开防火墙电源。电源面板上的 OK LED 应闪烁,然后稳定亮起。
  12. 通过发出 show chassis fpc 和 命令来验证 MPC 和 show chassis fpc pic-status MIC 是否正常运行。

在运行中的 SRX5400 防火墙机箱群集中安装 MPC 和 MIC

如果您的防火墙是机箱群集的一部分,则可以在群集的防火墙中安装其他 MPC,而不会造成网络停机。

此类安装满足以下条件:

  • 群集中的每个防火墙都有一个用于 MPC 的未占用插槽。

  • 如果机箱群集在主动-主动模式下运行,则必须先将其转换为主动-被动模式,然后才能使用此过程。通过将一个节点作为所有冗余组的主节点,将群集过渡到主动-被动模式。

  • 群集中的两个防火墙都必须运行 Junos OS 12.1X45-D10 或更高版本。

如果安装不符合这些标准,请使用 安装 SRX5400 防火墙 MPC 中的过程在防火墙中安装 MPC。

注意:

在此安装过程中,您必须一次一个关闭两个设备。关闭一台设备期间,剩余设备将无备份运行。如果剩余设备因任何原因出现故障,则会导致网络停机,直至至少一台设备重新启动。

在不造成停机的情况下在运行中的 SRX5400 防火墙群集中安装 MPC:

  1. 使用路由引擎上的控制台端口与群集中的一台设备建立 CLI 会话。
  2. 发出命令以确定show chassis cluster status群集中哪些防火墙是主要防火墙,哪些防火墙是辅助防火墙。

    在以下示例中,所有冗余组在节点 0 上都是主组,在节点 1 上是辅助组:

  3. 如果在步骤 2 中用来建立 CLI 会话的设备不是群集中的辅助节点,请使用作为辅助节点的设备上的控制台端口建立 CLI 会话。
  4. 在辅助防火墙的 CLI 会话中request system power off,发出命令以关闭防火墙。
  5. 等待辅助防火墙完全关闭。
  6. 使用安装 SRX5400 防火墙 MPC 中的过程,在关闭的防火墙中安装新的 MPC。
  7. 使用安装 SRX5400 防火墙 MIC 中的过程,在关闭的防火墙的 MPC 中安装 MIC。
  8. 打开辅助防火墙电源,等待防火墙启动。
  9. 使用辅助节点设备重新建立 CLI 会话。
  10. 发出 show chassis fpc pic-status 命令,确保辅助节点机箱中的所有卡都重新联机。例如:
  11. show chassis cluster status发出命令,确保所有冗余组的优先级都大于零。
  12. 使用作为主节点的设备上的控制台端口建立 CLI 会话。
  13. 在主节点设备的 CLI 会话中,发出 request chassis cluster failover 命令以故障转移 ID 编号大于零的每个冗余组。

    例如:

  14. 在主节点设备的 CLI 会话中request system power off,发出命令以关闭防火墙。此操作会使冗余组 0 故障转移到其他防火墙上,使其成为群集中的活动节点。
  15. 重复步骤 6,在关闭的防火墙中安装 MPC。
  16. 重复步骤 7,在关闭防火墙的 MPC 中安装 MIC。
  17. 打开防火墙电源,等待防火墙启动。
  18. show chassis fpc pic-status在每个节点上发出命令以确认所有卡均联机且两个防火墙均正常运行。例如:
  19. show chassis cluster status发出命令,确保所有冗余组的优先级都大于零。

维护 SRX5400 防火墙上的 SPC

目的

为获得最佳防火墙性能,请验证服务处理卡 (SPC) 的情况。防火墙最多可将三个 FPC(两个 SPC) 水平安装在机箱正面的卡架中。要维护 SPC,请定期执行以下过程。

行动

定期:

  • 检查与每个 SPC 插槽对应的操作员接口上的 LED。当 SPC 正常运行时,标记为 OK 的绿色 LED 会稳定地发光。

  • 检查每个 SPC 面板上的 “确定/失败” LED。如果 SPC 检测到故障,它会向路由引擎发送告警消息。

  • 发出 CLI show chassis fpc 命令,检查已安装 SPC 的状态。如示例输出所示,标记为状态的列中的值 Online 表示 SPC 运行正常:

    有关更详细的输出,请 detail 添加选项。以下示例未指定插槽编号(可选):

  • 发出 CLI show chassis fpc pic-status 命令。插槽编号为 02,自下而上:

    有关命令输出的进一步说明,请参阅 www.juniper.net/documentation/ 上的 Junos OS 系统基础知识和服务命令参考

更换 SRX5400 防火墙 SPC

要替换 SPC,请执行以下操作:

卸下 SRX5400 防火墙 SPC

SPC 重达 18.3 磅(8.3 千克)。准备好接受它的全部力量。

要移除 SPC(请参阅 图 7):

  1. 准备好更换 SPC 或空白面板和 SPC 的防静电垫。此外,还为每个使用光学接口拆除的 SPC 都有现成的橡胶安全帽。
  2. 将 ESD 地面表带固定在裸露的手腕上,将表带的另一端连接到 ESD 地面点。
  3. 使用命令request system power-off关闭防火墙。
    注意:

    等待控制台上出现消息,确认服务已停止。

  4. 物理关闭电源,然后从机箱中拔下电源线。
  5. 对连接到 SPC 上每个端口的电缆进行标记,以便以后将线缆重新连接到正确的端口。
  6. 断开电缆与 SPC 的连接。如果 SPC 使用光纤电缆,请立即用橡胶安全帽盖覆盖每个收发器和每个电缆的末端。在电缆管理系统中安排断开连接的电缆,以防止电缆产生压力点。
    激光警报:

    请勿直接查看光纤收发器或光纤电缆的末端。连接到收发器的光纤收发器和光纤电缆会发射激光,可能会损坏眼睛。

    谨慎:

    请勿使光纤收发器不可见,除非插入或拔下电缆。安全帽可保持端口清洁,防止眼睛意外暴露在激光下。

    谨慎:

    避免光纤电缆弯曲超出其最小弯曲半径。直径小于几英寸的弧线会损坏电缆,并导致难以诊断的问题。

    谨慎:

    不要让光纤电缆脱离连接器。不允许电缆的紧固环路悬垂,这会在紧固点承受电缆的重压。

  7. 同时逆时针旋转两个弹出器手柄,以拔出 SPC。
  8. 抓住把手,将 SPC 直接从卡笼中滑出。
  9. 将一只手放在 SPC 正面,另一只手放在 SPC 下面以支持 SPC。将 SPC 完全从机箱中滑出,将其放置在防静电垫上或静电袋中。
    谨慎:

    SPC 的权重集中在后端。将 SPC 滑出机箱时,准备好接受全重(最高 18.3 磅(8.3 千克)。

    当 SPC 脱离机箱时,请勿由弹出器手柄、母线或边缘连接器保持它。它们无法支持其重量。

    拔下后,请勿将 SPC 堆叠在一起。将每一个分别放在一个静电袋中,或单独放置在一个平整、稳定的表面上的抗静电垫上。

  10. 如果未在短时间内将 SPC 重新安装到空插槽中,请在插槽上安装一个空面板,以保持卡笼中的气流正常。
图 7:卸下 SPC Removing an SPC

安装 SRX5400 防火墙 SPC

要安装 SPC(请参阅 图 8):

  1. 将 ESD 地面表带固定在裸露的手腕上,将表带的另一端连接到 ESD 地面点。
  2. 使用命令request system power-off关闭防火墙。
    注意:

    等待控制台上出现消息,确认服务已停止。

  3. 物理关闭电源,然后从机箱中拔下电源线。
  4. 将 SPC 放在抗静电垫上,或将其从其静电袋中取出。
  5. 确定防火墙上安装 SPC 的插槽。
  6. 验证每个光纤收发器是否都覆盖有橡胶安全帽。如果没有,请用安全帽盖好收发器。
  7. 调整 SPC,使面板面向您,卡上的文本位于右侧,EMI 条位于右侧。
  8. 将 SPC 抬到位,并小心地将卡的右边缘和左边缘与卡架内的参考线对齐。
  9. 将 SPC 一直滑入卡架,直到您感到阻力。
  10. 抓住两个弹出器手柄并同时顺时针旋转,直到 SPC 完全就位。
  11. 如果 SPC 使用光纤电缆,请从每个收发器和电缆上拔下橡胶安全帽。
    激光警报:

    请勿直接查看光纤收发器或光纤电缆的末端。连接到收发器的光纤收发器和光纤电缆会发射激光,可能会损坏眼睛。

  12. 将相应的电缆插入每个 SPC 上的电缆连接器端口(请参阅 图 9)。保护电缆,使其无法支撑自己的重量。使用电缆管理系统,将多余的电缆放入一个整齐的线圈环路中。在环路上放置异形有助于保持其形状。
    谨慎:

    不要让光纤电缆脱离连接器。不允许电缆的紧固环路悬垂,这会在紧固点承受电缆的重压。

    谨慎:

    避免光纤电缆弯曲超出其最小弯曲半径。直径小于几英寸的弧线会损坏电缆,并导致难以诊断的问题。

  13. 将电源线连接到机箱。
  14. 打开防火墙电源。电源面板上的 OK LED 应闪烁,然后稳定亮起。
  15. 通过发出 show chassis fpcshow chassis fpc pic-status 命令来验证 SPC 是否正常运行。
图 8:安装 SPC Installing an SPC
图 9:将电缆连接到 SPC Attaching a Cable to an SPC

替换运行中的 SRX5400、SRX5600 或 SRX5800 防火墙机箱群集中的 SPC

如果您的防火墙是运行机箱群集的一部分,您可以通过尽可能缩短网络的停机时间,用第二代 SRX5K-SPC-2-10-40 SPC 替换第一代 SRX5K-SPC 或第一代和第二代 SPC 与下一代 SRX5K-SPC3。

注意:

SRX5K-SPC-2-10-40 SPC 在 SRX5400 防火墙上不受支持。

要替换属于机箱群集的防火墙中的 SPC,它必须满足以下条件:

  • 每个防火墙都必须至少安装一个 SPC。如果遇到的会话数超过一个 SPC 的会话限制,则安装可以保证额外的 SPC。

  • 如果机箱群集在主动-主动模式下运行,则必须先将其转换为主动-被动模式,然后才能使用此过程。通过将一个节点作为所有冗余组的主节点,将群集过渡到主动-被动模式。

  • 要替换第一代 SRX5K-SPC-2-10-40 SPC,群集中的两个防火墙都必须运行 Junos OS 11.4R2S1、12.1R2 或更高版本。

  • 要替换第二代 SRX5K-SPC-4-15-320 SPC,群集中的两个防火墙都必须运行 Junos OS 12.1X44-D10 或更高版本。

  • 要替换新一代 SRX5K-SPC3 SPC,群集中的两个防火墙都必须运行 Junos OS 18.2R1-S1 或更高版本。

  • 您必须在群集中的两个防火墙的相同类型和插槽中安装 SPC。群集中的两个防火墙必须具有相同的物理 SPC 配置。

  • 如果要用 SRX5K-SPC-2-10-40 SPC 替换现有 SRX5K-SPC-4-15-320 SPC,则必须将新的 SPC 安装在编号最低的插槽中。例如,如果机箱的插槽 2 和 3 中已安装 SPC,则必须首先更换插槽 2 中的 SPC。这可确保中心点 (CP) 功能由 SRX5K-SPC-4-15-320 SPC 执行。

  • 如果您是首次将 SRX5K-SPC3 SPC 添加到混合使用其他 SPC 的机箱中,则必须首先将第一个 SRX5K-SPC3 安装在编号最低的插槽中,而其他 SPX5K-SPC3 可以安装在任何可用插槽中。例如,如果机箱的插槽 2 和 3 中已安装两个 SRX5K-SPC-4-15-320 SPC,则必须在插槽 0 或 1 中安装 SRX5K-SPC3 SPC。您需要确保将 SRX5K-SPC3 SPC 安装在提供中心点 (CP) 功能的插槽中,以便由 SRX5K-SPC3 SPC 执行 CP 功能。

    注意:

    您的防火墙不能混合使用 SRX5K-SPC-2-10-40 SPC 和 SRX5K-SPC3 SPC 但从 Junos OS 18.2R2 版开始,然后是 18.4R1,但不是 18.3R1,您可以混合使用 SRX5K-SPC-4-15-320 SPC 和 SRX5K-SPC3 SPC。

    如果要将 SRX5K-SPC3s 添加到只有 SRX5K-SPC3 的机箱中,则可以将新的 SRX5K-SPC3 安装在任何可用插槽中。

  • 如果要将 SRX5K-SPC-4-15-320 SPC 或 SRX5K-SPC3 SPC 添加到防火墙中,则防火墙必须已经配备高容量电源和风扇托架,以及大容量空气过滤器。有关更多信息 ,请参阅将 SRX5600 防火墙从标准容量升级到高容量电源将 SRX5600 防火墙从标准容量升级到高容量电源

如果安装不符合这些标准,请使用安装 SRX5400 防火墙 SPC安装 SRX5600 防火墙 SPC 或安装 SRX5800 防火墙 SPC 中的过程,以在防火墙中安装 SPC。

注意:

在此安装过程中,您必须一次一个关闭两个设备。关闭一台设备期间,剩余设备将无备份运行。如果剩余设备因任何原因出现故障,则会导致网络停机,直至至少一台设备重新启动。

要替换防火墙群集中的 SPC:

  1. 使用路由引擎上的控制台端口与群集中的一台设备建立 CLI 会话。
  2. 使用show chassis cluster status命令确定群集中哪些防火墙是主要防火墙,哪些防火墙是辅助防火墙。
  3. 如果在步骤 2 中用来建立 CLI 会话的设备不是群集中的辅助节点,请使用作为辅助节点的设备上的控制台端口建立 CLI 会话。
  4. 使用 show chassis fpc pic-status 命令检查两个节点上所有卡的状态。
  5. 在辅助防火墙的 CLI 会话中request system power off,使用命令关闭防火墙。
  6. 等待辅助防火墙完全关闭,然后从机箱中拔下电源线。
  7. 使用删除 SRX5400 防火墙 SPC、移除 SRX5600 防火墙 SPC移除 SRX5800 防火墙 SPC 中的过程,从关闭的防火墙中移除 SPC
  8. 使用安装 SRX5400 防火墙 SPC、安装 SRX5600 防火墙 SPC 或安装 SRX5800 防火墙 SPC 中的过程,在关闭的防火墙中安装新的 SPC 或 SPC
  9. 将电源线插入机箱,然后打开辅助防火墙,等待启动完毕。
  10. 使用辅助节点设备重新建立 CLI 会话。
  11. show chassis fpc pic-status使用命令确保辅助节点机箱中的所有卡都重新联机。
  12. show chassis cluster status使用命令确保所有冗余组的优先级都大于零。
  13. 使用作为主节点的设备上的控制台端口建立 CLI 会话。
  14. 在主节点设备的 CLI 会话中,使用 request chassis cluster failover 命令对 ID 编号大于零的每个冗余组进行故障转移。
  15. 在主节点设备的 CLI 会话中request system power off,使用命令关闭防火墙。此操作会使冗余组 0 故障转移到其他防火墙上,使其成为群集中的活动节点。
  16. 重复步骤 7 和步骤 8,在关闭的防火墙中更换或安装 SPC。
  17. 打开防火墙电源,等待防火墙启动。
  18. show chassis fpc pic-status在每个节点上使用命令以确认所有卡均联机且两个防火墙均正常运行。
  19. show chassis cluster status使用命令确保所有冗余组的优先级都大于零。

机箱群集中 SRX5K-SPC3 不中断硬件升级

如果设备属于机箱群集,并且没有 SPC 组合,但仅具有 SRX5K-SPC3 SPC,则只能使用不中断服务的硬件升级 (ISHU) 过程安装其他 SRX5K-SPC3 (SPC3),并避免网络停机。

注意:

此 ISHU 过程不会替换任何现有服务处理卡 (SPC),它会指导您在机箱群集中安装其他 SPC3 卡。

注意:

我们强烈建议您在维护时段或尽可能低的流量期间执行 ISHU,因为此时辅助节点不可用。

要使用 ISHU 过程在属于机箱群集的防火墙中安装 SPC3,必须满足以下条件:

  • 每个防火墙都必须至少安装一个 SPC3。

  • 从 Junos OS 19.4R1 版开始,所有 SRX5000 系列设备机箱群集都支持适用于 SRX5K-SPC3 的 ISHU:

    • 如果机箱只有一个 SPC3,则只能使用 ISHU 过程再安装一个 SPC3。

    • 如果机箱已有两个 SPC3 卡,则不能使用 ISHU 过程安装任何其他 SPC3 卡。

    • 如果机箱已有三个或更多 SPC3 卡,则可以使用 ISHU 过程安装其他 SPC3 卡。

  • 将 SPC3 安装到机箱群集时,不得将中心点 (CP) 功能模式从组合 CP 模式更改为全 CP 模式。

    当机箱中有两个或小于两个 SPC3 时,CP 模式为组合 CP 模式。机箱中多个 SPC3,CP 模式为全 CP 模式。

  • 如果机箱群集在主动-主动模式下运行,则必须先将其转换为主动-被动模式,然后才能使用此过程。通过将一个节点作为所有冗余组的主节点,将群集过渡到主动-被动模式。

  • 向机箱添加新 SPC3 时,必须将其安装在编号比机箱中第一个安装的 SPC3 更高的插槽中。

  • 防火墙必须已经配备高容量电源和风扇托架以及大容量空气过滤器。有关更多信息 ,请参阅将 SRX5600 防火墙从标准容量升级到高容量电源将 SRX5600 防火墙从标准容量升级到高容量电源

在此安装过程中,您必须一次一个关闭两个设备。在关闭一台设备期间,另一台设备无需备份即可运行。如果另一台设备因任何原因出现故障,则会导致网络停机,直至至少一台设备重新启动。

在不造成停机的情况下在防火墙群集中添加 SPC3:

  1. 使用路由引擎上的控制台端口与群集中的一台设备建立 CLI 会话。
  2. 使用show chassis cluster status命令确定群集中哪些防火墙是主要防火墙,哪些防火墙是辅助防火墙。
  3. 如果在步骤 2 中用来建立 CLI 会话的设备不是群集中的辅助节点,请使用作为辅助节点的设备上的控制台端口建立 CLI 会话。
  4. 在辅助防火墙的 CLI 会话中:
    1. 使用show chassis fpc pic-status命令检查两个节点上所有卡的状态。
    2. request vmhost power-off如果已安装路由引擎 SRX5K-RE3-128G,则使用命令关闭防火墙,其他使用request system power-off命令。
  5. 等待辅助防火墙完全关闭,然后从机箱中拔下电源线。
  6. 使用安装 SRX5400 防火墙 SPC、安装 SRX5600 防火墙 SPC 或安装 SRX5800 防火墙 SPC 中的过程,在关闭的防火墙安装新的 SPC3 或 SPC3
  7. 将电源线插入机箱,然后打开辅助防火墙,等待启动完毕。
  8. 使用辅助节点设备重新建立 CLI 会话。
  9. show chassis fpc pic-status使用命令确保辅助节点机箱中的所有卡都重新联机。
  10. show chassis cluster status使用命令确保所有冗余组的优先级都大于零。
  11. 使用作为主节点的设备上的控制台端口建立 CLI 会话。
  12. 在主节点的 CLI 会话中:
    1. request chassis cluster failover使用命令对 ID 编号大于零的每个冗余组进行故障转移。
    2. request vmhost power-off如果已安装路由引擎 SRX5K-RE3-128G,请使用命令关闭防火墙,否则请使用request system power-off命令。此操作会使冗余组 0 故障转移到其他防火墙上,使其成为群集中的活动节点。
  13. 重复步骤 6,在关闭的防火墙中安装 SPC3。
  14. 打开防火墙电源,等待防火墙启动。
  15. show chassis fpc pic-status在每个节点上使用命令以确认所有卡均联机且两个防火墙均正常运行。
  16. show chassis cluster status使用命令确保所有冗余组的优先级都大于零。