Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

维护SRX5800线卡和模块

在SRX5800防火墙上维护接口卡和 SPC

目的

为获得最佳防火墙性能,请验证服务处理卡 (SPC) 和接口卡(IOC、Flex IOC 和 MPC)的状况。防火墙最多可容纳 11 个 SPC 和接口卡。要维护 SPC 和接口卡,请定期执行以下步骤。

行动

定期:

  • 检查每个 SPC 和接口卡的插槽对应的作员接口上的 LED。当卡正常工作时,标记为 OK 的绿色 LED 常亮。

  • 检查每个 SPC 和接口卡面板上的 OK/FAIL LED。如果卡检测到故障,它会向路由引擎发送报警消息。

  • 发出 CLI show chassis fpc 命令以检查已安装卡的状态。如示例输出所示,标记为“状态”的列中的值“联机”表示卡运行正常:

    如需更详细的输出,请添加 detail 选项。以下示例未指定槽号,该编号是可选的:

  • 发出 CLI show chassis fpc pic-status 命令。插槽编号为 05,从下到上:

    有关命令输出的进一步说明,请参阅 www.juniper.net/documentation/ 上的Junos OS系统基础知识和服务命令参考

更换SRX5800防火墙 IOC

要替换 IOC,请执行以下过程:

卸下SRX5800防火墙 IOC

开始删除 IOC 之前:

确保您有以下可用设备:

  • ESD 接地带

  • 更换 IOC 或 IOC 空面板

  • 国际奥委会防静电垫

  • 收发器橡胶安全帽

  • 用于覆盖端口的防尘罩

IOC 的重量高达 13.1 磅(5.9 千克)。准备好接受它的全部重量。

要卸下 IOC(参见 图 1):

  1. ESD 接地腕带连接到裸露的手腕,然后将腕带的另一端连接到 ESD 接地点。
  2. 标记连接到 IOC 上每个端口的电缆,以便以后可以将电缆重新连接到正确的端口。
  3. 使用下列方法之一使 IOC 脱机:

    • 按住作员接口上相应的 IOC 联机按钮。按钮旁边的绿色 OK LED 开始闪烁。按住按钮直到 LED 熄灭。

    • 发出以下 CLI 命令:

      有关命令的详细信息,请参阅 https://www.juniper.net/documentation/ 上的“Junos OS系统基础知识和服务命令参考”。

  4. 使用命令request system power-off关闭防火墙电源。
    注意:

    等待控制台上出现一条消息,确认服务已停止。
  5. 物理关闭电源并从机箱上拔下电源线。
  6. 从 IOC 上拔下电缆。
    激光警告:

    请勿直视光纤收发器或光纤电缆的末端。光纤收发器和连接到收发器的光纤电缆会发出可能伤害眼睛的激光。
    谨慎:

    请勿将光纤收发器暴露在外,插入或拔下电缆时除外。安全帽可保持端口清洁并保护您的眼睛免受意外暴露在激光下。
    谨慎:

    请勿将光纤电缆弯曲超过其最小弯曲半径。直径小于几英寸的电弧会损坏电缆并导致难以诊断的问题。
  7. 立即用橡胶安全帽盖住每个光收发器和每根光纤电缆的末端。
  8. 如果从 IOC 上卸下光收发器,请用防尘罩盖住 IOC 上的端口。
  9. 在电缆管理器中布置断开的电缆,以防止电缆产生应力点。
  10. 同时逆时针转动两个弹出器手柄以卸下 IOC。
  11. 抓住手柄,将 IOC 直接从卡架中滑出一半。
  12. 将一只手放在 IOC 的前面,另一只手放在它下面以支撑它。将 IOC 完全滑出机箱,然后将其放在防静电垫或静电袋中。
    谨慎:

    IOC的权重集中在后端。准备好在将 IOC 滑出机箱时承受全部重量(最大 13.1 磅(5.9 千克)。

    当 IOC 从机箱中取出时,请勿握住弹出器手柄、母线或边缘连接器。他们无法支撑它的重量。

    移除后请勿将 IOC 堆叠在一起。将每个单独放入静电袋中,或放在平坦、稳定表面上的防静电垫上。
  13. 如果短时间内未将 IOC 重新安装到空插槽中,请在插槽上方安装一个空 IOC 面板,以保持插件架中的气流正常。
    谨慎:

    从机箱中卸下 IOC 后,请等待至少 30 秒,然后再重新插入、从其他插槽中卸下 IOC,或者将 IOC 插入其他插槽。

图 1:删除 IOC Removing an IOC

安装SRX5800防火墙 IOC

开始安装 IOC 之前:

确保您有以下可用设备:

  • ESD 接地带

  • 国际奥委会防静电垫

  • 收发器橡胶安全帽

IOC 的重量高达 13.1 磅(5.9 千克)。准备好接受它的全部重量。

要安装 IOC(请参阅 图 2):

  1. ESD 接地腕带连接到裸露的手腕,然后将腕带的另一端连接到 ESD 接地点。
  2. 使用命令request system power-off关闭防火墙电源。
    注意:

    等待控制台上出现一条消息,确认服务已停止。
  3. 物理关闭电源并从机箱上拔下电源线。
  4. 将 IOC 放在防静电垫上或将其从静电袋中取出。
  5. 确定防火墙上将要安装它的插槽。
  6. 验证每个收发器是否都被橡胶安全帽覆盖。如果不是,请用安全帽盖住收发器。
  7. 调整 IOC 的方向,使面板朝向您。
  8. 将 IOC 提起到位,小心地将 IOC 的顶部和底部边缘与插件架内的导轨对齐。
  9. 将 IOC 一直滑入卡架,直到感觉到阻力。
  10. 抓住两个弹出器手柄并同时顺时针旋转它们,直到 IOC 完全就位。
  11. 从每个光纤收发器和电缆上取下橡胶安全帽。
    激光警告:

    请勿直视光纤收发器或光纤电缆的末端。光纤收发器和连接到收发器的光纤电缆会发出可能伤害眼睛的激光。
  12. 将电缆插入每个 IOC 上的电缆连接器端口(请参阅 图 3)。
  13. 将电缆布置在电缆管理器中,以防止其移位或产生应力点。固定电缆,使其在悬挂在地板上时不会支撑自身的重量。将多余的电缆放在整齐盘绕的环中。将紧固件放在环上有助于保持其形状。
    谨慎:

    不要让光纤电缆从连接器上自由悬挂。不要让电缆的紧固环悬垂,这会在紧固点对电缆施加压力。
    谨慎:

    请勿将光纤电缆弯曲超过其最小弯曲半径。直径小于几英寸的电弧会损坏电缆并导致难以诊断的问题。
  14. 将电源线连接到机箱。
  15. 打开防火墙电源。
  16. 使用以下方法之一使 IOC 联机:

    • 按住作员接口上相应的 IOC 联机按钮,直到按钮旁边的绿色 OK LED 常亮,大约需要 5 秒钟。

    • 发出以下 CLI 命令:

      有关命令的详细信息,请参阅 https://www.juniper.net/documentation/ 上的“Junos OS系统基础知识和服务命令参考”。

      谨慎:

      OK LED 变为绿色后,等待至少 30 秒,然后再卸下 IOC、从其他插槽中移除 IOC,或者将 IOC 插入其他插槽。

      您还可以通过发出 show chassis fpcshow chassis fpc pic-status 命令来验证 IOC 是否正常工作。

图 2:安装 IOC Installing an IOC
图 3:将电缆连接到 IOC Attaching a Cable to an IOC

更换SRX5800防火墙 Flex IOC

要更换 Flex IOC,请执行以下过程:

卸下SRX5800防火墙 Flex IOC

开始删除 Flex IOC 之前:

确保您有以下可用设备:

  • ESD 接地带

  • 更换 Flex IOC 或 Flex IOC 空面板

  • 用于 Flex IOC 的防静电垫

Flex IOC 的重量高达 13.1 磅(5.9 千克)。取出卡片时,请准备好接受卡片的全部重量。

要卸下 Flex IOC(参见 图 4):

  1. ESD 接地腕带连接到裸露的手腕,然后将腕带的另一端连接到 ESD 接地点。
  2. 使用以下方法之一使 Flex IOC 脱机:

    • 按住作员界面上的相应在线按钮。按钮旁边的绿色 OK LED 开始闪烁。按住按钮直到 LED 熄灭。

    • 发出以下 CLI 命令:

      有关命令的详细信息,请参阅 www.juniper.net/documentation/ 上的Junos OS系统基础知识和服务命令参考

  3. 使用命令request system power-off关闭防火墙电源。
    注意:

    等待控制台上出现一条消息,确认服务已停止。
  4. 物理关闭电源并从机箱上拔下电源线。
  5. 如果尚未执行此作,请卸下 Flex IOC 中安装的端口模块。请参阅卸下 SRX5800 防火墙端口模块
  6. 同时逆时针转动两个弹出器手柄以卸下 Flex IOC。
  7. 抓住手柄,将 Flex IOC 直接从插件架中滑出一半。
  8. 将一只手放在 Flex IOC 的正面,另一只手放在其下方以支撑它。将 Flex IOC 完全滑出机箱,然后将其放在防静电垫或静电袋中。
    谨慎:

    Flex IOC 的重量集中在后端。准备好在将 Flex IOC 滑出机箱时承受全部重量(最高 13 磅(5.9 千克)。

    当 Flex IOC 从机箱中取出时,请勿握住弹出器手柄、母线或边缘连接器。他们无法支撑它的重量。

    移除后,请勿将 Flex IOC 堆叠在一起。将每个单独放入静电袋中,或放在平坦、稳定表面上的防静电垫上。
  9. 如果短时间内未将替换卡重新安装到空插槽中,请在插槽上方安装一个空面板,以保持插件架内的气流正常。
    谨慎:

    从机箱中卸下 IOC 后,请等待至少 30 秒,然后再重新插入、从其他插槽中卸下 IOC,或者将 IOC 插入其他插槽。
图 4:卸下 Flex IOC Removing a Flex IOC

安装 SRX5800 防火墙 Flex IOC

开始安装 Flex IOC 之前:

确保您有以下可用设备:

  • ESD 接地带

  • 用于 Flex IOC 的防静电垫

注意:

您的防火墙必须运行 Junos 9.5R1 或更高版本才能识别 Flex IOC 和端口模块。

要安装 Flex IOC(参见 图 5):

  1. ESD 接地腕带连接到裸露的手腕,然后将腕带的另一端连接到 ESD 接地点。
  2. 使用命令request system power-off关闭防火墙电源。
    注意:

    等待控制台上出现一条消息,确认服务已停止。
  3. 物理关闭电源并从机箱上拔下电源线。
  4. 将 Flex IOC 放在防静电垫上或将其从静电袋中取出。
  5. 确定防火墙上要安装 Flex IOC 的插槽。
  6. 如果尚未执行此作,请从要安装 Flex IOC 的插槽中取下空面板。
  7. 调整 Flex IOC 的方向,使面板朝向您,卡上的文字正面朝上,EMI 条位于右侧。
  8. 将 Flex IOC 提升到位,先小心地将卡的底部,然后将卡的顶部与卡架内的导轨对齐。
  9. 将 Flex IOC 一直滑入插件架,直到您感觉到阻力。
    图 5:安装 Flex IOC Installing a Flex IOC
  10. 抓住两个弹出器手柄并同时顺时针旋转它们,直到 Flex IOC 完全就位。
  11. 将电源线连接到机箱。
  12. 打开防火墙电源。
  13. 使用以下方法之一使 Flex IOC 联机:

    • 按住作员界面上的相应在线按钮,直到按钮旁边的绿色 OK LED 常亮,大约需要 5 秒钟。

    • 发出以下 CLI 命令:

      有关命令的详细信息,请参阅 www.juniper.net/documentation/ 上的Junos OS系统基础知识和服务命令参考

    谨慎:

    OK LED 变为绿色后,请等待至少 30 秒,然后再取出卡、从其他插槽中取出卡或将卡插入其他插槽。

更换SRX5800防火墙端口模块

要更换端口模块,请执行以下过程:

卸下SRX5800防火墙端口模块

开始卸下端口模块之前:

确保您有以下可用设备:

  • ESD 接地带

  • 十字 (+) 1 号螺丝刀

  • 更换端口模块或空面板

  • 端口模块的防静电垫

  • 收发器橡胶安全帽

  • 用于覆盖端口的防尘罩

端口模块安装在防火墙卡架的 Flex IOC 中。端口模块的重量高达 1.6 磅(0.7 千克)。准备好在卸下或安装端口模块时承受其全部重量。

要卸下端口模块(参见 图 6):

  1. ESD 接地腕带连接到裸露的手腕,然后将腕带的另一端连接到 ESD 接地点。
  2. 为连接到端口模块上每个端口的电缆贴上标签,以便以后可以将电缆重新连接到正确的端口。
  3. 使用以下方法之一使端口模块脱机:

    • 将尖头工具插入端口模块前面板上的 在线 针孔中,按下其后面的按钮。按住按钮直到 OK/FAIL LED 熄灭。

    • 发出以下 CLI 命令:

      有关命令的详细信息,请参阅 www.juniper.net/documentation/ 上的“Junos OS系统基础知识和服务命令参考”。

  4. 关闭防火墙电源。
  5. 断开电缆与端口模块的连接。如果端口模块使用光纤电缆,请立即用橡胶安全帽盖住每个收发器和每根电缆的末端。将断开的电缆排列在电缆管理系统中,以防止电缆产生应力点。
    激光警告:

    请勿直视光纤收发器或光纤电缆的末端。光纤收发器和连接到收发器的光纤电缆会发出可能伤害眼睛的激光。
    谨慎:

    请勿将光纤收发器暴露在外,插入或拔下电缆时除外。安全帽可保持端口清洁并保护您的眼睛免受意外暴露在激光下。
    谨慎:

    请勿将光纤电缆弯曲超过其最小弯曲半径。直径小于几英寸的电弧会损坏电缆并导致难以诊断的问题。
  6. 如果从 IOC 上卸下光纤收发器,请用防尘罩盖住端口模块上的端口。
  7. 使用十字 (+) 1 号螺丝刀松开将端口模块固定在 Flex IOC 插槽中的外加螺钉。
  8. 抓住外加螺钉,将端口模块直接从 Flex IOC 中滑出一半。
  9. 将一只手放在端口模块的前部,另一只手放在其下方以支撑它。将端口模块完全滑出 Flex IOC,然后将其放在防静电垫或静电袋中。
    图 6:卸下端口模块 Removing a Port Module
  10. 如果短时间内未将端口模块重新安装到空插槽中,请在插槽上方安装一个空面板,以保持插件架中的气流正常。
    谨慎:

    从机箱中卸下端口模块后,请等待至少 30 秒,然后再重新插入、从其他插槽中卸下端口模块或将端口模块插入其他插槽。

安装 SRX5800 防火墙端口模块

开始安装端口模块之前:

确保您有以下可用设备:

  • ESD 接地带

  • 十字 (+) 1 号螺丝刀

  • 收发器橡胶安全帽

要将端口模块安装到 Flex IOC 中(请参阅 图 7):

  1. ESD 接地腕带连接到裸露的手腕,然后将腕带的另一端连接到 ESD 接地点。
  2. 关闭防火墙电源。
  3. 将端口模块放在防静电垫上或将其从静电袋中取出。
  4. 验证每个光纤收发器是否都盖有橡胶安全帽。如果不是,请用安全帽盖住收发器。
  5. 如有必要,请卸下覆盖要安装端口模块的 Flex IOC 插槽上的空白面板。
  6. 调整端口模块的方向,使面板朝向您。
  7. 将端口模块提升到位,并小心地将端口模块的顶部和底部边缘与 Flex IOC 内部的导轨对齐。
  8. 将端口模块一直滑入 Flex IOC,直至其完全就位。
  9. 使用十字 (+) 1 号螺丝刀拧紧两个外加螺钉,将端口模块固定在 Flex IOC 中。
    图 7:安装端口模块 Installing a Port Module
  10. 如果端口模块使用光纤接口,请从每个收发器和电缆上取下橡胶安全帽。
    激光警告:

    请勿直视光纤收发器或光纤电缆的末端。光纤收发器和连接到收发器的光纤电缆会发出可能伤害眼睛的激光。
  11. 相应的电缆插入每个端口模块上的电缆连接器端口。固定电缆,使其不支撑自身重量。使用电缆管理系统,将多余的电缆放在整齐的盘绕环中。将紧固件放在环上有助于保持其形状。
    谨慎:

    不要让光纤电缆从连接器上自由悬挂。不要让电缆的紧固环悬垂,这会在紧固点对电缆施加压力。
    谨慎:

    请勿将光纤电缆弯曲超过其最小弯曲半径。直径小于几英寸的电弧会损坏电缆并导致难以诊断的问题。
  12. 打开防火墙电源。
  13. 使用以下方法之一使端口模块联机:

    • 将尖头工具插入端口模块前面板上的 在线 针孔中,按下其后面的按钮。按住按钮,直到前面板另一端的 OK/FAIL LED 在大约 5 秒内呈绿色常亮。

    • 发出以下 CLI 命令:

      有关命令的详细信息,请参阅 www.juniper.net/documentation/ Junos OS系统基础知识和服务命令参考

    谨慎:

    OK/FAIL LED 变为绿色后,等待至少 30 秒,然后再卸下端口模块、从其他插槽中卸下端口模块或将端口模块插入其他插槽中。

您还可以通过发出 show chassis fpcshow chassis fpc pic-status 命令来验证端口模块是否正常工作。

更换SRX5800防火墙 SPC

要更换 SPC,请执行以下过程:

卸下SRX5800防火墙 SPC

开始卸下 SPC 之前:

确保您有以下可用设备:

  • ESD 接地带

  • 更换 SPC 或空面板

  • 防静电垫

  • 收发器橡胶安全帽

SPC 的重量高达 18.3 磅(8.3 千克)。准备好接受它的全部重量。

要卸下 SPC(参见 图 8):

  1. 将 ESD 接地腕带连接到裸露的手腕上,然后将腕带连接到机箱上的一个 ESD 点。
  2. 使用命令request system power-off关闭防火墙电源。
    注意:

    等待控制台上出现一条消息,确认服务已停止。
  3. 物理关闭电源并从机箱上拔下电源线。
  4. 标记连接到 SPC 上每个端口的电缆,以便以后可以将电缆重新连接到正确的端口。
  5. 断开电缆与 SPC 的连接。如果 SPC 使用光纤电缆,请立即用橡胶安全帽盖住每个收发器和每根电缆的末端。将断开的电缆排列在电缆管理系统中,以防止电缆产生应力点。
    激光警告:

    请勿直视光纤收发器或光纤电缆的末端。光纤收发器和连接到收发器的光纤电缆会发出可能伤害眼睛的激光。
    谨慎:

    请勿将光纤收发器暴露在外,插入或拔下电缆时除外。安全帽可保持端口清洁并保护您的眼睛免受意外暴露在激光下。
    谨慎:

    请勿将光纤电缆弯曲超过其最小弯曲半径。直径小于几英寸的电弧会损坏电缆并导致难以诊断的问题。
    谨慎:

    不要让光纤电缆从连接器上自由悬挂。不要让电缆的紧固环悬垂,这会在紧固点对电缆施加压力。
  6. 同时逆时针转动两个弹出器手柄以卸下 SPC。
  7. 抓住手柄,将 SPC 直接从盒中滑出一半。
  8. 将一只手放在 SPC 的前部,另一只手放在其下方以支撑它。将 SPC 完全滑出机箱,然后将其放在防静电垫或静电袋中。
    谨慎:

    SPC 的重量集中在后端。准备好在将 SPC 滑出机箱时承受全部重量(最大 18.3 磅(8.3 千克)。

    当 SPC 从机箱中取出时,请勿握住弹出器手柄、母线或边缘连接器。他们无法支撑它的重量。

    移除后请勿将 SPC 堆叠在一起。将每个单独放入静电袋中,或放在平坦、稳定表面上的防静电垫上。
  9. 如果短时间内未将 SPC 重新安装到空插槽中,请在插槽上方安装一个空面板,以保持插件架中的气流正常。
图 8:卸下 SPC Removing an SPC

安装 SRX5800 防火墙 SPC

开始安装 SPC 之前:

确保您有以下可用设备:

  • ESD 接地带

  • 防静电垫

  • 收发器橡胶安全帽

要安装 SPC(参见 图 9):

  1. 将 ESD 接地腕带连接到裸露的手腕上,然后将腕带连接到机箱上的一个 ESD 点。
  2. 使用命令request system power-off关闭防火墙电源。
    注意:

    等待控制台上出现一条消息,确认服务已停止。
  3. 物理关闭电源并从机箱上拔下电源线。
  4. 将 SPC 放在防静电垫上或将其从静电袋中取出。
  5. 确定防火墙上将要安装它的插槽。
  6. 验证每个光纤收发器是否都盖有橡胶安全帽。如果没有,请用安全帽盖住收发器。
  7. 调整 SPC 的方向,使面板朝向您,卡上的文字正面朝上,EMI 条位于右侧。
  8. 将 SPC 提升到位,先小心地将卡的底部,然后将卡的顶部与卡架内的导轨对齐。
  9. 将 SPC 一直滑入插件架,直到感觉到阻力。
  10. 抓住两个弹出器手柄并同时顺时针旋转它们,直到 SPC 完全就位。
  11. 如果 SPC 使用光纤电缆,请从每个收发器和电缆上取下橡胶安全帽。
    激光警告:

    请勿直视光纤收发器或光纤电缆的末端。光纤收发器和连接到收发器的光纤电缆会发出可能伤害眼睛的激光。
  12. 相应的电缆插入每个 SPC 上的电缆连接器端口(参见图 10)。固定电缆,使其不支撑自身重量。使用电缆管理系统,将多余的电缆放在整齐的盘绕环中。将紧固件放在环上有助于保持其形状。
    谨慎:

    不要让光纤电缆从连接器上自由悬挂。不要让电缆的紧固环悬垂,这会在紧固点对电缆施加压力。
    谨慎:

    请勿将光纤电缆弯曲超过其最小弯曲半径。直径小于几英寸的电弧会损坏电缆并导致难以诊断的问题。
  13. 将电源线连接到机箱。
  14. 打开防火墙电源。
  15. 通过发出 show chassis fpcshow chassis fpc pic-status 命令来验证 SPC 是否正常工作。
图 9:安装 SPC Installing an SPC
图 10:将电缆连接到 SPC Attaching a Cable to an SPC
注意:

要在机箱群集的防火墙中安装其他 SPC,必须满足以下条件。

  • 每个防火墙必须已安装至少两个 SPC。

  • 要添加第一代 SRX5K-SPC-2-10-40 SPC,群集中的两个防火墙都必须运行 Junos OS 11.4R2S1、12.1R2 或更高版本。

  • 要添加第二代 SRX5K-SPC-4-15-320 SPC,群集中的两个防火墙都必须运行 Junos OS 12.1X44-D10 或更高版本。

  • 要添加新一代 SRX5K-SPC3 SPC,群集中的两个防火墙都必须运行 Junos OS 18.2R1-S1 或更高版本。

  • 必须在群集中的两个防火墙中安装相同类型且插槽相同的 SPC。群集中的两个防火墙最终必须具有相同的 SPC 物理配置。

  • 如果仅将第一代 SRX5K-SPC-2-10-40 SPC 添加到机箱中,则必须安装这些 SPC,以使新的 SPC 不是机箱中插槽编号最低的 SPC。例如,如果机箱已有两个 SPC,插槽 2 和 3 中各有一个 SPC,则不能使用此过程在插槽 0 或 1 中安装其他 SPC。

  • 如果要将第二代 SRX5K-SPC-4-15-320 SPC 添加到机箱中,则必须安装新的 SPC,以使第二代 SRX5K-SPC-4-15-320 SPC 成为原始最低编号插槽中的 SPC。例如,如果机箱的插槽 2 和 3 中已经安装了两个第一代 SPC,则必须在插槽 0 或 1 中安装 SRX5K-SPC-4-15-320 SPC。您需要确保在提供中心点 (CP) 功能的插槽中安装了 SRX5K-SPC-4-15-320 SPC,以便 SRX5K-SPC-4-15-320 SPC 执行 CP 功能。

  • 如果要将新一代 SRX5K-SPC3 SPC 添加到机箱中,则必须安装新的 SPC,以便新一代 SRX5K-SPC3 SPC 成为原始最低编号插槽中的 SPC。例如,如果机箱的插槽 2 和 3 中已经安装了两个第二代 SPC,则必须在插槽 0 或 1 中安装 SRX5K-SPC3 SPC。您需要确保在提供中心点 (CP) 功能的插槽中安装了 SRX5K-SPC3 SPC,以便 SRX5K-SPC3 SPC 执行 CP 功能。

    注意:

    您的防火墙不能混用 SRX5K-SPC-2-10-40 SPC 和 SRX5K-SPC3 SPC,但从 Junos OS 18.2R2 版开始,然后是 18.4R1 版(但不是 18.3R1),您可以混合使用 SRX5K-SPC-4-15-320 SPC 和 SRX5K-SPC3 SPC。

  • 如果要将第二代 SRX5K-SPC-4-15-320 SPC 或新一代 SRX5K-SPC3 SPC 添加到防火墙,则防火墙必须已配备大容量电源和风扇托盘以及大容量空气过滤器。有关详细信息,请参阅 将 SRX5800 防火墙从标准容量电源升级到高容量电源

在此安装过程中,您必须一次关闭一台设备。

更换运行中的 SRX5400、SRX5600或SRX5800防火墙中的 SPC 机箱群集

如果您的防火墙是正在运行的机箱群集的一部分,则可以通过将网络停机时间降至最短,将第一代 SRX5K-SPC-2-10-40 SPC 更换为第二代 SRX5K-SPC-4-15-320 SPC,或将第一代和第二代 SPC 更换为新一代 SRX5K-SPC3。

注意:

SRX5400防火墙不支持 SRX5K-SPC-2-10-40 SPC。

要更换属于机箱群集的防火墙中的 SPC,必须满足以下条件:

  • 每个防火墙必须至少安装一个 SPC。如果遇到的会话数大于一个 SPC 的会话限制,则安装可能需要额外的 SPC。

  • 如果机箱群集在主动-主动模式下运行,则必须先将其转换为主动-被动模式,然后才能使用此过程。通过将一个节点设置为所有冗余组的主节点,可以将群集转换为主动-被动模式。

  • 要替换第一代 SRX5K-SPC-2-10-40 SPC,群集中的两个防火墙都必须运行 Junos OS 11.4R2S1、12.1R2 或更高版本。

  • 要替换第二代 SRX5K-SPC-4-15-320 SPC,群集中的两个防火墙都必须运行 Junos OS 12.1X44-D10 或更高版本。

  • 要替换新一代 SRX5K-SPC3 SPC,群集中的两个防火墙都必须运行 Junos OS 18.2R1-S1 或更高版本。

  • 必须在群集中的两个防火墙中安装相同类型且插槽相同的 SPC。群集中的两个防火墙必须具有相同的 SPC 物理配置。

  • 如果要将现有 SRX5K-SPC-2-10-40 SPC 更换为 SRX5K-SPC-4-15-320 SPC,则必须将新 SPC 安装在最低编号的插槽中。例如,如果机箱的插槽 2 和 3 中已安装 SPC,则必须先更换插槽 2 中的 SPC。这可确保中心点 (CP) 功能由 SRX5K-SPC-4-15-320 SPC 执行。

  • 如果是首次将 SRX5K-SPC3 SPC 添加到混合了其他 SPC 的机箱中,则必须先将第一个 SRX5K-SPC3 安装在编号最低的插槽中,其他 SPX5K-SPC3 可以安装在任何可用插槽中。例如,如果机箱的插槽 2 和 3 中已安装两个 SRX5K-SPC-4-15-320 SPC,则必须在插槽 0 或 1 中安装 SRX5K-SPC3 SPC。您需要确保在提供中心点 (CP) 功能的插槽中安装了 SRX5K-SPC3 SPC,以便 SRX5K-SPC3 SPC 执行 CP 功能。

    注意:

    您的防火墙不能混用 SRX5K-SPC-2-10-40 SPC 和 SRX5K-SPC3 SPC,但从 Junos OS 18.2R2 版开始,然后是 18.4R1 版(但不是 18.3R1),您可以混合使用 SRX5K-SPC-4-15-320 SPC 和 SRX5K-SPC3 SPC。

    如果要将 SRX5K-SPC3 添加到只有 SRX5K-SPC3 的机箱中,则新的 SRX5K-SPC3 可以安装在任何可用插槽中。

  • 如果将 SRX5K-SPC-4-15-320 SPC 或 SRX5K-SPC3 SPC 添加到防火墙,则防火墙必须已配备高容量电源和风扇托架以及高容量空气过滤器。有关详细信息,请参阅 将 SRX5600 防火墙从标准容量电源升级到大容量 电源或 将 SRX5600 防火墙从标准容量升级到大容量电源

如果安装不符合这些条件,请使用 安装SRX5400防火墙 SPC安装SRX5600防火墙 SPC安装SRX5800防火墙 SPC 中的过程在防火墙中安装 SPC。

注意:

在此安装过程中,您必须一次关闭一台设备。当一台设备关闭时,另一台设备无需备份即可运行。如果该设备因任何原因发生故障,将导致网络停机,直到您重新启动至少一台设备。

要替换防火墙群集中的 SPC,请执行以下作:

  1. 使用要替换 SPC 的节点的路由引擎上的控制台端口建立 CLI 会话。
  2. show chassis cluster status使用命令确定群集中哪个防火墙当前为主防火墙,哪个防火墙为辅助防火墙。
  3. 如果要在其中恢复 SPC 的防火墙是主节点,请使用request chassis cluster failover node命令触发故障切换,使其他节点成为主节点。请参阅启动机箱群集手动冗余组故障切换
  4. show chassis fpc pic-status使用命令检查两个节点上所有卡的状态。
  5. 禁用连接到辅助节点的收入端口。
  6. 使用以下通信之一关闭辅助节点的电源:

    • request system power-off如果防火墙安装了路由引擎 SRX5K-RE-13-20 或路由引擎 SRX5K-RE-1800X4,请使用命令关闭防火墙。

    • request vmhost power-off如果防火墙安装了路由引擎 SRX5K-RE3-128G,请使用命令关闭防火墙。

    注意:

    等到控制台上出现一条消息,确认服务已停止且 LED 未闪烁。
  7. 等待辅助节点完全关闭,然后从机箱上拔下电源线。
  8. 删除连接到辅助节点的控制链路和结构链路。
  9. 按照卸下SRX5400防火墙 SPC卸下SRX5600防火墙 SPC卸下SRX5800防火墙 SPC 中的过程,从已关闭电源的防火墙上卸下 SPC。
  10. 按照安装SRX5400防火墙 SPC安装SRX5600防火墙 SPC安装SRX5800防火墙 SPC 中的过程,在断电防火墙中安装新的 SPC。
  11. 电源线插入机箱并打开辅助节点的电源。
  12. 使用设备上的控制台端口建立 CLI 会话。
  13. show chassis fpc pic-status使用命令确保辅助节点机箱中的所有卡都已重新联机。
  14. show chassis cluster status使用命令确保所有冗余组的优先级大于零。
  15. 所有卡联机后,使用 CLI 命令show system alarms检查机箱或系统报警。
  16. 如果没有机箱或系统警报,请使用以下命令之一停止辅助节点:

    • request system halt如果辅助节点安装了路由引擎 SRX5K-RE-13-20 或路由引擎 SRX5K-RE-1800X4,请使用命令停止辅助节点。

    • request vmhost halt如果辅助节点安装了路由引擎 SRX5K-RE3-128G,请使用命令停止辅助节点。

  17. 在停止过程中,您将在控制台上看到几条消息。等待看到Press any key to reboot消息,但不要按任何键。
  18. 将控制链路和结构链路连接到辅助节点,现在按任意键。这将重新启动辅助节点,并且需要一些时间才能使所有卡联机。
  19. 使用 CLI 命令show chassis cluster status验证辅助节点的状态。
  20. 启用连接到辅助节点的收入端口以删除IF Interface monitoring该标志。

机箱群集中 SRX5K-SPC3 的不中断服务硬件升级

如果您的设备是机箱群集的一部分,并且没有混合 SPC,而只有 SRX5K-SPC3 SPC,则只能使用不中断服务的硬件升级 (ISHU) 过程安装额外的 SRX5K-SPC3 (SPC3),以避免网络停机。

注意:

此 ISHU 过程不会替换任何现有的服务处理卡 (SPC),它将指导您在机箱群集中安装额外的 SPC3 卡。
注意:

强烈建议您在维护时段或尽可能低的流量期间执行 ISHU,因为辅助节点此时不可用。

要使用 ISHU 过程在属于机箱群集的防火墙中安装 SPC3,必须满足以下条件:

  • 每个防火墙必须至少安装一个 SPC3。

  • 从 Junos OS 19.4R1 版开始,所有 SRX5000 系列设备都支持 ISHU for SRX5K-SPC3 机箱群集:

    • 如果机箱只有一个 SPC3,则使用 ISHU 过程只能再安装一个 SPC3。

    • 如果机箱已有两个 SPC3 卡,则无法使用 ISHU 过程再安装任何 SPC3 卡。

    • 如果机箱已有三个或更多 SPC3 卡,则可以使用 ISHU 过程安装其他 SPC3 卡。

  • 将 SPC3 安装到机箱群集不得将中心点 (CP) 功能模式从组合 CP 模式更改为完全 CP 模式。

    当机箱中有两个或少于两个 SPC3 时,CP 模式为组合 CP 模式。机箱中有两个以上的 SPC3,CP 模式为全 CP 模式。

  • 如果机箱群集在主动-主动模式下运行,则必须先将其转换为主动-被动模式,然后才能使用此过程。通过将一个节点设置为所有冗余组的主节点,可以将群集转换为主动-被动模式。

  • 将新的 SPC3 添加到机箱时,必须将其安装在机箱中编号更高的插槽中,其编号必须高于机箱中第一个安装的 SPC3。

  • 防火墙必须已配备大容量电源和风扇托架,以及大容量空气过滤器。有关详细信息,请参阅将 SRX5600 防火墙从标准容量升级到大容量电源将 SRX5600 防火墙从标准容量升级到大容量电源

在此安装过程中,您必须一次关闭一台设备。在一台设备关闭期间,另一台设备无需备份即可运行。如果其他设备因任何原因发生故障,将导致网络停机,直到至少重新启动其中一台设备。

要在不造成停机的情况下将 SPC3 添加到防火墙群集中:

  1. 使用路由引擎上的控制台端口与群集中的一台设备建立 CLI 会话。
  2. show chassis cluster status使用命令确定群集中哪个防火墙当前为主防火墙,哪个防火墙为辅助防火墙。
  3. 如果在步骤 2 中与之建立 CLI 会话的设备不是集群中的辅助节点,请使用作为辅助节点的设备上的控制台端口建立 CLI 会话。
  4. 在辅助防火墙的 CLI 会话中:
    1. show chassis fpc pic-status使用命令检查两个节点上所有卡的状态。
    2. request vmhost power-off如果防火墙安装了路由引擎 SRX5K-RE3-128G,请使用命令关闭防火墙;否则请使用命令request system power-off
  5. 等待辅助防火墙完全关闭,然后从机箱中拔下电源线。
  6. 按照安装SRX5400防火墙 SPC安装SRX5600防火墙 SPC安装SRX5800防火墙 SPC 中的过程,在断电防火墙中安装新的 SPC3 或 SPC3。
  7. 电源线插入机箱并打开辅助防火墙电源,然后等待其完成启动。
  8. 重新建立与辅助节点设备的 CLI 会话。
  9. show chassis fpc pic-status使用命令确保辅助节点机箱中的所有卡都已重新联机。
  10. show chassis cluster status使用命令确保所有冗余组的优先级大于零。
  11. 使用作为主节点的设备上的控制台端口建立 CLI 会话。
  12. 在主节点的 CLI 会话中:
    1. request chassis cluster failover使用命令对 ID 号大于零的每个冗余组进行故障转移。
    2. request vmhost power-off如果防火墙安装了路由引擎 SRX5K-RE3-128G,请使用命令关闭防火墙,否则请使用命令request system power-off。此作会导致冗余组 0 故障转移到其他防火墙上,使其成为群集中的活动节点。
  13. 重复步骤 6,在已关闭电源的防火墙中安装 SPC3。
  14. 打开防火墙电源并等待其完成启动。
  15. show chassis fpc pic-status在每个节点上使用命令确认所有卡都联机,并且两个防火墙均正常运行。
  16. show chassis cluster status使用命令确保所有冗余组的优先级大于零。

在SRX5800防火墙上维护 MIC 和端口模块

目的

为获得最佳防火墙性能,请验证安装在 MPC 中的 MIC 和安装在 Flex IOC 中的端口模块的状况。

行动

定期:

  • 检查 MIC 和端口模块面板上的 LED。对于不同的端口模块,LED 状态的含义各不相同。如果容纳端口模块的 Flex IOC 检测到端口模块故障,则 Flex IOC 会生成报警消息以发送到路由引擎。

  • 发出 CLI show chassis fpc pic-status 命令。FPC 中的端口模块和 MIC 插槽从下至上从 01 编号:

    有关命令输出的进一步说明,请参阅 www.juniper.net/documentation/ 上的“Junos OS系统基础知识和服务命令参考”。

更换SRX5800防火墙 MIC

要更换 MIC,请执行以下过程:

卸下 SRX5800 防火墙 MIC

MIC 位于安装在防火墙前面的 MPC 中。MIC 的重量不到 2 磅(0.9 千克)。

开始卸下 MIC 之前:

确保您有以下可用设备:

  • ESD 接地带

  • 防静电垫

  • 更换 MIC 或空面板

  • 收发器橡胶安全帽

要卸下 MIC:

  1. 将静电袋或防静电垫放在平坦、稳定的表面上以接收 MIC。
  2. ESD 接地腕带连接到裸露的手腕,然后将腕带的另一端连接到 ESD 接地点。
  3. 关闭防火墙电源。
  4. 为连接到 MIC 的电缆贴上标签,以便以后可以将每根电缆重新连接到正确的 MIC。
  5. 断开 MIC 的电缆。如果 MIC 使用光纤电缆,请立即用橡胶安全帽盖住每个收发器和每根电缆的末端。
    激光警告:

    请勿直视光纤收发器或光纤电缆的末端。光纤收发器和连接到收发器的光纤电缆会发出可能伤害眼睛的激光。
    谨慎:

    请勿将光纤收发器暴露在外,插入或拔下电缆时除外。安全帽可保持端口清洁并保护您的眼睛免受意外暴露在激光下。
  6. 布置电缆以防止其移位或产生应力点。固定电缆,使其在悬挂在地板上时不会支撑自身的重量。将多余的电缆放在整齐盘绕的环中。
    谨慎:

    请勿将光纤电缆弯曲超过其最小弯曲半径。直径小于几英寸的电弧会损坏电缆并导致难以诊断的问题。
  7. 在 MPC 上,将要卸下的 MIC 旁边的弹出旋钮从 MPC 面板上拉开。弹出旋钮位于 MIC 和将 MPC 保留在防火墙卡架中的旋转旋钮之间。拉动弹出旋钮可将 MIC 从 MPC 上拔下并部分弹出。请参阅图 11
    图 11:卸下 MIC Removing a MIC
  8. 抓住 MIC 面板上的手柄,然后将 MIC 滑出 MPC 卡托架。将其放入静电袋或防静电垫上。
  9. 如果短时间内未将 MIC 重新安装到清空的 MIC 插槽中,请在插槽上方安装一个空 MIC 面板,以保持 MPC 插件架中的正常气流。

安装SRX5800防火墙 MIC

开始安装 MIC 之前:

确保您有以下可用设备:

  • ESD 接地带

  • 收发器橡胶安全帽

注意:

如果您的防火墙是机箱群集的一部分,则您可以在群集的防火墙中安装 MIC,而不会导致网络停机。有关详细信息,请参阅 在运行SRX5800防火墙机箱群集中安装 MPC 和 MIC

要安装 MIC,请执行以下作:

  1. ESD 接地腕带连接到裸露的手腕,然后将腕带的另一端连接到 ESD 接地点。
  2. 如果尚未执行此作,请关闭防火墙电源。
  3. 如果 MIC 使用光纤电缆,请验证面板上每个收发器上方是否装有橡胶安全帽。如有必要,安装盖子。
  4. 在 MPC 上,将与要安装的 MIC 相邻的弹出旋钮从 MPC 面板上拉开。弹出旋钮位于 MIC 和将 MPC 保留在防火墙卡架中的旋转旋钮之间。请参阅图 12
    图 12:安装 MIC Installing a MIC
  5. 将 MIC 后部与位于 MIC 插槽角落的导轨对齐。
  6. 将 MIC 滑入 MPC,直至其牢固地固定在 MPC 中。弹出旋钮将自动向面板移动,以将 MIC 锁定在就位位置。

    如果 MIC 未正确插入插槽,请将弹出旋钮完全拉出,然后再次尝试让 MIC 就位。除非在您开始插入 MIC 时弹出旋钮一直处于完全位置,否则 MIC 将无法正确就位。

    谨慎:

    将 MIC 直接滑入插槽,以免损坏 MIC 上的组件。
  7. 将 MIC 插入其插槽后,通过将弹出旋钮一直推入 MPC 面板来验证弹出旋钮是否已接合。
  8. 如果 MIC 使用光纤电缆,请从每个收发器和每根电缆的末端取下橡胶安全帽。
    激光警告:

    请勿直视光纤收发器或光纤电缆的末端。光纤收发器和连接到收发器的光纤电缆会发出可能伤害眼睛的激光。
    谨慎:

    请勿将光纤收发器暴露在外,插入或拔下电缆时除外。安全帽可保持端口清洁并保护您的眼睛免受意外暴露在激光下。
  9. 将相应的电缆插入 MIC 上的电缆连接器。
  10. 布置每根电缆以防止电缆移位或产生应力点。固定电缆,使其在悬挂在地板上时不会支撑自身的重量。将多余的电缆放在整齐盘绕的环中。
    谨慎:

    不要让光纤电缆从连接器上自由悬挂。不要让电缆的紧固环悬垂,这会在紧固点对电缆施加压力。
    谨慎:

    请勿将光纤电缆弯曲超过其最小弯曲半径。直径小于几英寸的电弧会损坏电缆并导致难以诊断的问题。
  11. 打开防火墙电源。电源面板上的 OK LED 应闪烁,然后常亮。
  12. 通过发出 show chassis fpcshow chassis fpc pic-status 命令来验证 MPC 和 MIC 是否正常工作。

更换SRX5800防火墙 MPC

要更换 MPC,请执行以下过程:

卸下SRX5800防火墙 MPC

MPC 垂直安装在防火墙的前面。完全配置的 MPC 的重量可达 18.35 磅(8.3 千克)。准备好接受它的全部重量。

开始删除 MPC 之前:

确保您有以下可用设备:

  • ESD 接地带

  • 更换 MPC 或空面板

  • 防静电垫

  • 收发器橡胶安全帽

要删除 MPC,请执行以下作:

  1. ESD 接地腕带连接到裸露的手腕,然后将腕带的另一端连接到 ESD 接地点。
  2. 关闭防火墙电源。
  3. 标记连接到 MPC 上每个 MIC 的电缆,以便以后可以将电缆重新连接到正确的 MIC。
  4. 断开电缆与 MPC 中安装的 MIC 的连接。
    激光警告:

    请勿直视光纤收发器或光纤电缆的末端。光纤收发器和连接到收发器的光纤电缆会发出可能伤害眼睛的激光。
    谨慎:

    请勿将光纤收发器暴露在外,插入或拔下电缆时除外。安全帽可保持端口清洁并保护您的眼睛免受意外暴露在激光下。
    谨慎:

    请勿将光纤电缆弯曲超过其最小弯曲半径。直径小于几英寸的电弧会损坏电缆并导致难以诊断的问题。
  5. 如果 MIC 使用光纤电缆,请立即用橡胶安全帽盖住每个收发器和每根电缆的末端。
  6. 将断开的电缆排列在电缆管理支架中,以防止电缆产生应力点。
  7. 同时逆时针转动两个弹出器手柄以卸下 MPC。
  8. 抓住手柄,将 MPC 直接滑出插件架的一半。请参阅 图 13
    图 13:卸下 MPC Removing an MPC
  9. 将一只手放在 MPC(MIC 外壳)的前部,另一只手放在其下方以支撑它。将 MPC 完全滑出机箱,然后将其放在防静电垫或静电袋中。
    谨慎:

    MPC 的权重集中在后端。准备好在将 MPC 滑出机箱时承受全部重量(最高 18.35 磅(8.3 千克)。

    当 MPC 从机箱中取出时,请勿握住弹出器手柄、母线或边缘连接器。他们无法支撑它的重量。

    卸下后,请勿将 MPC 堆叠在一起。将每个单独放入静电袋中,或放在平坦、稳定表面上的防静电垫上。
  10. 如有必要,请从 MPC 中删除每个已安装的 MIC。请参阅删除 SRX5800 防火墙 MIC
  11. 取下每个 MIC 后,请立即将其放在防静电垫或静电袋中。
  12. 如果短时间内未将 MPC 重新安装到已清空的线卡插槽中,请在每个插槽上安装一个空面板,以保持机架中的气流正常。

安装 SRX5800 防火墙 MPC

MPC 垂直安装在防火墙的前面。完全配置的 MPC 的重量可达 18.35 磅(8.3 千克)。准备好接受它的全部重量。

注意:

如果您的防火墙是机箱群集的一部分,则可以在群集的防火墙中安装 MPC,而不会导致网络停机。有关详细信息,请参阅 在运行SRX5800防火墙机箱群集中安装 MPC 和 MIC

开始安装 MPC 之前:

确保您有以下可用设备:

  • ESD 接地带

  • 防静电垫

  • 收发器橡胶安全帽

要安装 MPC,请执行以下作:

  1. ESD 接地腕带连接到裸露的手腕,然后将腕带的另一端连接到 ESD 接地点。
  2. 如果尚未执行此作,请关闭防火墙电源。
  3. 将 MPC 放在抗静电垫上。
  4. 从静电包中取出要安装在更换 MPC 中的每个 MIC,并确定 MPC 上要连接的插槽。
  5. 验证每个光纤 MIC 是否都有一个覆盖 MIC 收发器的橡胶安全帽。如果没有,请用安全帽盖住收发器。
  6. 将每个 MIC 安装到 MPC 上的相应插槽中。请参阅安装 SRX5800 防火墙 MIC
  7. 在插件架中找到计划安装 MPC 的插槽。
  8. 调整 MPC 的方向,使面板朝向您。
  9. 将 MPC 提升到位,然后小心地将 MPC 的侧面与插件架内的导轨对齐。请参阅 图 14
    谨慎:

    当 MPC 从机箱中取出时,请勿握住弹出器手柄、母线或边缘连接器。他们无法支撑它的重量。

    图 14:安装 MPC Installing an MPC
  10. 将 MPC 一直滑入插件架,直到感觉到阻力。
  11. 抓住两个弹出器手柄,然后同时顺时针旋转它们,直到 MPC 完全就位。
  12. 如果 MPC 上的任何 MIC 连接到光纤电缆,请从每个收发器和电缆上取下橡胶安全帽。
    激光警告:

    请勿直视光纤收发器或光纤电缆的末端。光纤收发器和连接到收发器的光纤电缆会发出可能伤害眼睛的激光。
  13. 相应的电缆插入 MPC 上每个 MIC 上的电缆连接器端口。固定电缆,使其不支撑自身重量。使用电缆管理系统,将多余的电缆放在整齐的盘绕环中。将紧固件放在环上有助于保持其形状。
    谨慎:

    不要让光纤电缆从连接器上自由悬挂。不要让电缆的紧固环悬垂,这会在紧固点对电缆施加压力。
    谨慎:

    请勿将光纤电缆弯曲超过其最小弯曲半径。直径小于几英寸的电弧会损坏电缆并导致难以诊断的问题。
  14. 打开防火墙电源。电源面板上的 OK LED 应闪烁,然后常亮。
  15. 通过发出 show chassis fpcshow chassis fpc pic-status 命令来验证 MPC 是否正常工作。