AUF DIESER SEITE
Fehlerbehebung bei der SRX5600 Firewall mit der Junos OS CLI
Fehlerbehebung bei der SRX5600-Firewall mit Gehäuse- und Schnittstellen-Alarmmeldungen
Alarmbedingungen für Gehäusekomponenten an SRX5400-, SRX5600- und SRX5800-Firewalls
Fehlerbehebung bei der SRX5600-Firewall mit Alarmrelaiskontakten
Fehlerbehebung bei der SRX5600-Firewall mit den Craft-Interface-LEDs
Fehlerbehebung bei der SRX5600-Firewall mit den Komponenten-LEDs
Fehlerbehebung bei der SRX5600
Fehlerbehebung bei der SRX5600 Firewall mit der Junos OS CLI
Die Junos OS-Befehlszeilenschnittstelle (CLI) ist das primäre Tool zur Steuerung und Fehlerbehebung von Firewall-Hardware, Junos OS, Routing-Protokollen und Netzwerkkonnektivität. CLI-Befehle zeigen Informationen aus Routing-Tabellen, Informationen zu Routing-Protokollen und Informationen zur Netzwerkkonnektivität an, die von den Dienstprogrammen ping und traceroute abgeleitet werden.
Sie geben CLI-Befehle auf einem oder mehreren externen Verwaltungsgeräten ein, die mit Ports in der Routing-Engine verbunden sind.
Hinweise zur Verwendung der CLI zur Fehlerbehebung von Junos OS finden Sie im entsprechenden Junos OS-Konfigurationshandbuch.
Fehlerbehebung bei der SRX5600-Firewall mit Gehäuse- und Schnittstellen-Alarmmeldungen
Wenn die Routing-Engine eine Alarmbedingung erkennt, leuchtet die Haupt- oder Nebenalarm-LED auf der Fahrzeugschnittstelle auf. Um eine detailliertere Beschreibung der Alarmursache anzuzeigen, geben Sie den CLI-Befehl show chassis alarms ein:
user@host> show chassis alarms
Es gibt zwei Klassen von Alarmmeldungen:
Gehäusealarme: Weisen auf ein Problem mit einer Gehäusekomponente wie dem Kühlsystem oder den Netzteilen hin.
Schnittstellenalarme: Weist auf ein Problem mit einer bestimmten Netzwerkschnittstelle hin.
Alarmbedingungen für Gehäusekomponenten an SRX5400-, SRX5600- und SRX5800-Firewalls
Tabelle 1 listet die Alarme auf, die die Gehäusekomponenten auf SRX5400-, SRX5600- und SRX5800-Firewalls erzeugen können.
Chassis-Komponente |
Alarmbedingung |
Heilmittel |
Schweregrad des Alarms |
|---|---|---|---|
| Luftfilter | Luftfilter wechseln. |
Luftfilter wechseln. |
Gelb |
| Alternative Medien | Die Firewall startet von einem alternativen Boot-Gerät, der Festplatte. Die CompactFlash-Karte ist in der Regel das primäre Boot-Gerät. Die Routing-Engine startet von der Festplatte, wenn das primäre Startgerät ausfällt. |
Eröffnen Sie einen Support-Fall über den Case Manager-Link unter https://www.juniper.net/support/ oder rufen Sie 1-888-314-5822 (gebührenfrei, USA und Kanada) oder 1-408-745-9500 (von außerhalb der USA) an. |
Gelb |
| Craft-Schnittstelle | Die Craft-Schnittstelle ist fehlgeschlagen. |
Ersetzen Sie die fehlerhafte Craft-Schnittstelle. |
Rot |
| Schnittstellenkarten (MPC/IOC/FLEX IOC) | Eine Schnittstellenkarte ist offline. |
Überprüfen Sie die Karte. Entfernen Sie die Karte und setzen Sie sie wieder ein. Wenn dies fehlschlägt, ersetzen Sie die fehlerhafte Karte. |
Gelb |
| Eine Schnittstellenkarte ist ausgefallen. |
Ersetzen Sie die ausgefallene Karte. |
Rot |
|
| Eine Schnittstellenkarte wurde entfernt. |
Stecken Sie die Karte in den leeren Steckplatz. |
Rot |
|
| Voltsensor ausfallen |
Starten Sie die angegebene Karte neu. |
Rot |
|
| Service Processing Card (SPC) | Abnormales Beenden in den aktuellen Datenflusssitzungen einer SPU. |
Eröffnen Sie einen Support-Fall über den Case Manager-Link unter https://www.juniper.net/support/ oder rufen Sie 1-888-314-5822 (gebührenfrei, USA und Kanada) oder 1-408-745-9500 (von außerhalb der USA) an. |
Rot |
| Der CPU Digital Thermal Sensor (DTS) der SPC erreicht eine hohe oder übertemperaturierte Schwelle. |
Überprüfen Sie den Status aller Lüftereinschübe. |
Rot |
|
| FPC-Luftstromtemperatursensoren in SRX5K-SPC3 erreichen eine hohe oder höhere Brandtemperaturschwelle oder überschreiten sie. |
Überprüfen Sie den Status aller Lüftereinschübe. |
Rot |
|
| FPC-Luftstrom-Temperatursensoren in SRX5K-SPC3 haben einen Lese-/Zugriffsfehler. |
Wenn der Alarm konstant vorhanden ist, weist dies auf ein Hardwareproblem hin. Eröffnen Sie einen Support-Fall über den Link Case Manager unter https://www.juniper.net/support/ oder rufen Sie 1-888-314-5822 (gebührenfrei, USA und Kanada) oder 1-408-745-9500 (von außerhalb der Vereinigten Staaten) an. |
Gelb |
|
| SRX5K-SPC3 prüft während des Bootvorgangs und meldet, ob Geräte fehlen. |
Eröffnen Sie einen Support-Fall über den Link Case Manager unter https://www.juniper.net/support/ oder rufen Sie 1-888-314-5822 (gebührenfrei, USA und Kanada) oder 1-408-745-9500 (von außerhalb der Vereinigten Staaten) an. |
Rot |
|
| SRX5K-SPC3 LTC Firmware-Version stimmt nicht überein. LEDs an der Vorderseite des Gehäuses zeigen einen großen Alarm an. |
So aktualisieren Sie die LTC-Firmware-Version manuell:
|
Rot |
|
| Speicherfehler: DIMM-Fehler und ECC-Fehler. |
Eröffnen Sie einen Support-Fall über den Link Case Manager unter https://www.juniper.net/support/ oder rufen Sie 1-888-314-5822 (gebührenfrei, USA und Kanada) oder 1-408-745-9500 (von außerhalb der Vereinigten Staaten) an. |
Rot |
|
| Batterieausfall der Echtzeituhr. |
Eröffnen Sie einen Support-Fall über den Link Case Manager unter https://www.juniper.net/support/ oder rufen Sie 1-888-314-5822 (gebührenfrei, USA und Kanada) oder 1-408-745-9500 (von außerhalb der Vereinigten Staaten) an. |
Rot |
|
| SSDs auf der SRX5K-SPC3 fehlen oder Lese-/Schreibvorgänge auf der SSD schlagen fehl oder das SSD-Dateisystem ist beschädigt. |
Tauschen Sie die SSD aus. oder Eröffnen Sie einen Support-Fall über den Link Case Manager unter https://www.juniper.net/support/ oder rufen Sie 1-888-314-5822 (gebührenfrei, USA und Kanada) oder 1-408-745-9500 (von außerhalb der Vereinigten Staaten) an. |
Rot |
|
| OPMC-Boot-FPGA-Fehler |
Eröffnen Sie einen Support-Fall über den Link Case Manager unter https://www.juniper.net/support/ oder rufen Sie 1-888-314-5822 (gebührenfrei, USA und Kanada) oder 1-408-745-9500 (von außerhalb der Vereinigten Staaten) an. |
Rot |
|
| Fehler des Spannungssensors |
Verwenden Sie über die CLI den Befehl restart chassis-control , um die Firewall neu zu starten. Wenn die SPC immer noch nicht online geschaltet wird, entfernen Sie die SPC und setzen Sie sie wieder ein. |
Rot |
|
| Lüftereinschübe | Ein Lüfterfach wurde aus dem Gehäuse entfernt. |
Setzen Sie das fehlende Lüfterfach ein. |
Rot |
| Das Lüfterfach funktioniert nicht oder ist ausgefallen. |
Ersetzen Sie das Lüfterfach. |
Rot |
|
| Ein Lüfter im Gehäuse dreht sich nicht oder unterschreitet die erforderliche Drehzahl. |
Ersetzen Sie das Lüfterfach. |
Rot |
|
| Ein Lüfterfach mit höherer Kühlleistung ist erforderlich, wenn eine MPC oder SPCs mit hoher Dichte auf dem Gehäuse installiert sind. |
Rüsten Sie auf ein Lüfterfach mit hoher Kapazität auf. |
Gelb |
|
| Lüftereinlage unter Spannung. |
Setzen Sie das Lüfterfach wieder ein. Wenn das Problem weiterhin besteht, eröffnen Sie einen Support-Fall über den Case Manager-Link unter https://www.juniper.net/support/ oder rufen Sie 1-888-314-5822 (gebührenfrei, USA und Kanada) oder 1-408-745-9500 (von außerhalb der USA) an. |
Rot |
|
| Falsches Lüfterfach installiert. |
Prüfen Sie das entsprechende Lüfterfach und setzen Sie es ein. |
Rot |
|
| In SRX5800 Firewall, eine Mischung aus Lüftereinschüben. |
Setzen Sie die entsprechenden Lüftereinschübe ein. |
Rot |
|
| In SRX5800 Firewall ist ein falsches Lüfterfach auf der Oberseite installiert. |
Prüfen Sie das entsprechende Lüfterfach und setzen Sie es ein. |
Rot |
|
| Host-Subsystem | Ein Host-Subsystem wurde entfernt. |
Host-Subsystem in leeren Steckplatz einsetzen. |
Gelb |
| Ein Host-Subsystem ist ausgefallen. |
Ersetzen Sie das ausgefallene Host-Subsystem. |
Rot |
|
| Stromversorgungen | Ein Netzteil wurde aus dem Gehäuse entfernt. |
Stecken Sie das Netzteil in den leeren Steckplatz. |
Gelb |
| Ein Netzteil hat eine hohe Temperatur. |
Ersetzen Sie das ausgefallene Netzteil oder das Eingangsmodul. |
Rot |
|
| Ein Netzteileingang ist ausgefallen. |
Prüfen Sie den Netzteileingangsanschluss. |
Rot |
|
| Ein Netzteilausgang ist ausgefallen. |
Prüfen Sie den Ausgang des Netzteils. |
Rot |
|
| Eine Stromversorgung ist ausgefallen. |
Defekte Netzteile ersetzen. |
Rot |
|
| Ungültige Konfiguration der Wechselstromversorgung. |
Wenn zwei AC-Netzteile installiert sind, stecken Sie ein Netzteil in einen Steckplatz mit ungeraden Zahlen und das andere Netzteil in einen Steckplatz mit geraden Nummern. |
Rot |
|
| Ungültige Konfiguration der DC-Stromversorgung. |
Wenn zwei Gleichstromnetzteile installiert sind, stecken Sie ein Netzteil in einen Steckplatz mit ungeraden Zahlen und das andere Netzteil in einen Steckplatz mit geraden Nummern. |
Rot |
|
| Mischung aus AC- und DC-Netzteilen. |
Mischen Sie keine AC- und DC-Netzteile. Für Gleichstrom trennen Sie die Netzteile vom Stromnetz. Trennen Sie für Wechselstrom die Gleichstromversorgung. |
Rot |
|
| Nicht genügend Netzteile. |
Installieren Sie ein zusätzliches Netzteil. |
Rot |
|
| Routing-Engine | Übermäßige Framing-Fehler bei der Konsolenportierung. Ein Alarm für einen übermäßigen Framing-Fehler wird ausgelöst, wenn der Standardschwellenwert für Framing-Fehler von 20 Fehlern pro Sekunde auf einer seriellen Schnittstelle überschritten wird. Dies kann durch ein fehlerhaftes Kabel für den seriellen Konsolenport verursacht werden, das an das Gerät angeschlossen ist. |
Ersetzen Sie das an das Gerät angeschlossene serielle Kabel. Wenn das Kabel ausgetauscht wird und innerhalb von 5 Minuten nach dem zuletzt erkannten Framing-Fehler keine übermäßigen Framing-Fehler erkannt werden, wird der Alarm automatisch gelöscht. |
Gelb |
| Fehler beim Lesen oder Schreiben der Festplatte. |
Formatieren Sie die Festplatte neu und installieren Sie das bootfähige Image. Wenn dies fehlschlägt, ersetzen Sie die fehlerhafte Routing-Engine. |
Gelb |
|
| Fehler beim Lesen oder Schreiben der CompactFlash-Karte. |
Formatieren Sie die CompactFlash-Karte neu und installieren Sie das bootfähige Image. Wenn dies fehlschlägt, ersetzen Sie die fehlerhafte Routing-Engine. |
Gelb |
|
| Das System wurde von der standardmäßigen Backup-Routing-Engine gestartet. Wenn Sie die primäre Rolle manuell gewechselt haben, ignorieren Sie diese Alarmbedingung. |
Installieren Sie das startbare Image auf der standardmäßigen primären Routing-Engine. Wenn dies fehlschlägt, ersetzen Sie die fehlerhafte Routing-Engine. |
Gelb |
|
| Das System wurde von der Festplatte gestartet. |
Installieren Sie das bootfähige Image auf der CompactFlash-Karte. Wenn dies fehlschlägt, ersetzen Sie die fehlerhafte Routing-Engine. |
Gelb |
|
| CompactFlash-Karte fehlt in der Boot-Liste. |
Ersetzen Sie die fehlerhafte Routing-Engine. |
Rot |
|
| Festplatte fehlt in der Bootliste. |
Ersetzen Sie die fehlerhafte Routing-Engine. |
Rot |
|
| Die Routing-Engine konnte nicht gestartet werden. |
Ersetzen Sie die fehlerhafte Routing-Engine. |
Rot |
|
| Die Ethernet-Verwaltungsschnittstelle (fxp0 oder em0) auf der Routing-Engine ist ausgefallen. |
|
Rot |
|
| System-Control Board (SCB) | Ein SCB wurde entfernt. |
Setzen Sie SCB in den leeren Steckplatz ein. |
Gelb |
| Ein SCB-Temperatursensoralarm ist fehlgeschlagen. |
Ersetzen Sie die ausgefallene SCB. |
Gelb |
|
| Ein SCB ist ausgefallen. |
Ersetzen Sie die ausgefallene SCB. |
Rot |
|
| Ein SCB-Durchsatz verringerte sich. |
|
Gelb |
|
| Ein SCB-PMBus-Gerät fällt aus |
Ignorieren Sie den Alarm, wenn er ein- oder zweimal ausgelöst wird. Wenn der Alarm konstant vorhanden ist, weist dies auf ein Hardwareproblem hin. Eröffnen Sie einen Support-Fall über den Link Case Manager unter https://www.juniper.net/support/ oder rufen Sie 1-888-314-5822 (gebührenfrei, USA und Kanada) oder 1-408-745-9500 (von außerhalb der Vereinigten Staaten) an. |
Gelb |
|
| Temperatur | Die Gehäusetemperatur hat 55 °C überschritten, die Lüfter wurden auf volle Geschwindigkeit eingeschaltet und ein oder mehrere Lüfter sind ausgefallen. |
|
Gelb |
| Die Gehäusetemperatur hat 65 Grad Celsius überschritten und die Lüfter wurden auf volle Geschwindigkeit eingeschaltet. |
|
Gelb |
|
| Die Gehäusetemperatur hat 65 °C überschritten und ein Lüfter ist ausgefallen. Wenn dieser Zustand länger als 4 Minuten anhält, wird die Firewall heruntergefahren. |
|
Rot |
|
| Die Gehäusetemperatur hat 75 °C (167 °F) überschritten. Wenn dieser Zustand länger als 4 Minuten anhält, wird die Firewall heruntergefahren. |
|
Rot |
|
| Der Temperatursensor ist ausgefallen. |
|
Rot |
Alarme der Backup-Routing-Engine
Bei Firewalls mit primären und Backup-Routing-Engines kann eine primäre Routing-Engine Alarme für Ereignisse generieren, die auf einer Backup-Routing-Engine auftreten. Tabelle 2 listet Gehäusealarme auf, die für eine Backup-Routing-Engine generiert wurden.
Da der Fehler in der Backup-Routing-Engine auftritt, ist der Alarmschweregrad für einige Ereignisse (z. B. Ausfälle der Ethernet-Schnittstelle) gelb statt rot.
Informationen zum Konfigurieren redundanter Routing-Engines finden Sie in der Junos OS High Availability Library for Routing Devices.
Chassis-Komponente |
Alarmbedingung |
Heilmittel |
Schweregrad des Alarms |
|---|---|---|---|
| Alternative Medien | Die Backup-Routing-Engine wird von einem alternativen Startgerät, der Festplatte, gestartet. Die CompactFlash-Karte ist in der Regel das primäre Boot-Gerät. Die Routing-Engine startet von der Festplatte, wenn das primäre Startgerät ausfällt. |
Eröffnen Sie einen Support-Fall über den Case Manager-Link unter https://www.juniper.net/support/ oder rufen Sie 1-888-314-5822 (gebührenfrei, USA und Kanada) oder 1-408-745-9500 (von außerhalb der USA) an. |
Gelb |
| Boot-Gerät | Das Boot-Gerät (CompactFlash oder Festplatte) fehlt in der Boot-Liste der Backup-Routing-Engine. |
Ersetzen Sie die fehlgeschlagene Backup-Routing-Engine. |
Rot |
| Ethernet | Die Ethernet-Managementschnittstelle (fxp0 oder em0) auf der Backup-Routing-Engine ist ausgefallen. |
|
Gelb |
| FRU Offline | Die Backup-Routing-Engine kommuniziert nicht mehr mit der primären Routing-Engine. |
Eröffnen Sie einen Support-Fall über den Case Manager-Link unter https://www.juniper.net/support/ oder rufen Sie 1-888-314-5822 (gebührenfrei, USA und Kanada) oder 1-408-745-9500 (von außerhalb der USA) an. |
Gelb |
| Festplatte | Fehler beim Lesen oder Schreiben der Festplatte auf der Backup-Routing-Engine. |
Formatieren Sie die Festplatte neu und installieren Sie das bootfähige Image. Wenn dies fehlschlägt, ersetzen Sie die fehlgeschlagene Backup-Routing-Engine. |
Gelb |
| Multibit-Speicher ECC | Die Backup-Routing-Engine meldet einen Multibit-ECC-Fehler. |
|
Gelb |
Fehlerbehebung bei der SRX5600-Firewall mit Alarmrelaiskontakten
Die Craft-Schnittstelle verfügt über zwei Alarmrelaiskontakte zum Anschluss der Firewall an externe Alarmgeräte. Wann immer eine Systembedingung entweder den Haupt- oder Nebenalarm auf der Fahrzeugschnittstelle auslöst, werden auch die Alarmrelaiskontakte aktiviert. Die Alarmrelaiskontakte befinden sich oben rechts auf der Craft-Schnittstelle.
Fehlerbehebung bei der SRX5600-Firewall mit den Craft-Interface-LEDs
Die Craft-Schnittstelle ist das Panel an der Vorderseite der Firewall, das sich über dem Kartenkäfig befindet und LEDs und Tasten enthält, mit denen Sie Fehler am Gerät beheben können.
Zu den LEDs auf der Craft-Oberfläche gehören die folgenden:
Alarm-LEDs – Eine große rote kreisförmige LED und eine große gelbe dreieckige LED, die sich oben rechts auf der Fahrzeugschnittstelle befinden, zeigen zwei Stufen von Alarmzuständen an. Die runde rote LED leuchtet auf, um einen kritischen Zustand anzuzeigen, der zu einem Herunterfahren des Systems führen kann. Die dreieckige gelbe LED-LED leuchtet auf, um auf einen weniger schwerwiegenden Zustand hinzuweisen, der überwacht oder gewartet werden muss. Beide LEDs können gleichzeitig leuchten. Ein Zustand, der dazu führt, dass eine Alarm-LED aufleuchtet, aktiviert auch den entsprechenden Alarmrelaiskontakt an der Craft-Schnittstelle.
Host-Subsystem-LEDs: Die drei LEDs MASTER, ONLINE und OFFLINE zeigen den Status des Host-Subsystems an. Eine grüne MASTER-LED zeigt an, dass der Host als primärer Host fungiert. Die ONLINE-LED zeigt an, dass der Host online ist. Die OFFLINE-LED zeigt an, dass der Host offline ist. Die LEDs des Host-Subsystems befinden sich auf der linken Seite des Craft-Interfaces und sind mit RE0 und RE1 beschriftet.
Stromversorgungs-LEDs: Zwei LEDs (PEM) zeigen den Status jedes Netzteils an. Grün zeigt an, dass das Netzteil normal funktioniert. Rot zeigt an, dass das Netzteil nicht normal funktioniert. Die Stromversorgungs-LEDs befinden sich in der mittleren Craft-Schnittstelle und sind mit 0 bis 3 beschriftet.
Card OK/Fail-LEDs: Zwei LEDs, OK und FAIL, zeigen den Status der Karte in jedem Steckplatz im Kartenkäfig an. Grün bedeutet OK und Rot zeigt einen Fehler an. Die OK/Fail-LEDs der Karte befinden sich am unteren Rand des Craft-Interfaces und sind mit 0 bis 5 beschriftet.
SCB-LEDs: Zwei LEDs, OK und FAIL, zeigen den Status jedes SCB an. Grün bedeutet OK und Rot zeigt einen Fehler an. Die SCB-LEDs befinden sich in der Mitte des Craft-Interfaces an der Unterseite und sind mit 0 und 1 beschriftet.
Lüfter-LEDs: Zwei LEDs zeigen den Status des Lüfters an. Grün bedeutet OK und Rot bedeutet FAIL. Die Lüfter-LEDs befinden sich oben links auf der Craft-Oberfläche.
Fehlerbehebung bei der SRX5600-Firewall mit den Komponenten-LEDs
Die folgenden LEDs befinden sich an verschiedenen Firewall-Komponenten und zeigen den Status dieser Komponenten an:
Karten-LED: Eine LED mit der Beschriftung OK/FAIL auf jeder Karte im Kartenkäfig zeigt den Status der Karte an.
MIC- und Portmodul-LED – Eine LED mit der Bezeichnung OK/FAIL an jedem in einer MPC installierten MIC und jedem in einem Flex IOC installierten Portmodul zeigt den Status des MIC oder Portmoduls an.
SCB-LEDs: Drei LEDs mit den Bezeichnungen FABRIC ACTIVE, FABRIC ONLYund OK/FAIL auf jeder SCB-Frontplatte zeigen den Status des SCB an. Wenn keine LEDs leuchten, wird die Master-Routing-Engine möglicherweise noch gestartet oder der SCB wird nicht mit Strom versorgt.
Routing-Engine-LEDs: Vier LEDs mit den Bezeichnungen MASTER, HDD, ONLINE und FAIL auf der Frontplatte der Routing-Engine zeigen den Status der Routing-Engine und des Festplattenlaufwerks an.
Stromversorgungs-LEDs: Drei oder vier LEDs auf jeder Frontplatte des Netzteils zeigen den Status des Netzteils an.
Fehlerbehebung beim SRX5600-Firewall-Kühlsystem
Problem
Beschreibung
Die Lüfter in einem Lüfterfach funktionieren nicht normal.
Lösung
Befolgen Sie diese Richtlinien, um Fehler bei den Lüftern zu beheben:
Überprüfe die Lüfter-LEDs und Alarm-LEDs auf der Craft-Oberfläche.
Wenn die Hauptalarm-LED auf der Benutzeroberfläche des Schiffes leuchtet, verwenden Sie die CLI, um Informationen über die Quelle einer Alarmbedingung zu erhalten:
user@host> show chassis alarms.Wenn in der CLI-Ausgabe nur ein Lüfterfehler aufgeführt ist und die anderen Lüfter normal funktionieren, ist der Lüfter höchstwahrscheinlich defekt, und Sie müssen das Lüfterfach austauschen.
Platzieren Sie Ihre Hand in der Nähe der Abluftöffnungen an der Seite des Gehäuses, um festzustellen, ob die Lüfter Luft aus dem Gehäuse drücken.
Wenn das Lüfterfach entfernt wird, treten ein kleiner und ein großer Alarm auf.
Die folgenden Bedingungen führen automatisch dazu, dass die Lüfter mit voller Drehzahl laufen und auch den angezeigten Alarm auslösen:
Ein Lüfter fällt aus (großer Alarm).
Die Firewall-Temperatur überschreitet den Schwellenwert für "Temperatur warm" (kleiner Alarm).
Die Temperatur der Firewall überschreitet die maximale Schwelle ("Temperatur heiß") (großer Alarm und automatische Abschaltung der Netzteile).
Fehlerbehebung SRX5600 Firewall-Schnittstellenkarten
Problem
Beschreibung
Die Schnittstellenkarten (IOCs, Flex-IOCs oder MPCs) funktionieren nicht ordnungsgemäß.
Lösung
Überwachen Sie die grüne LED mit OK auf dem Craft-Interface, das dem Slot entspricht, sobald sich eine Interface-Karte in einer funktionierenden Firewall befindet.
Die Routing-Engine lädt die Software der Schnittstellenkarte unter zwei Bedingungen auf sie herunter: Die Schnittstellenkarte ist vorhanden, wenn die Routing-Engine Junos OS startet, und die Schnittstellenkarte wird installiert und online über die CLI oder die Drucktaste auf der Vorderseite angefordert. Die Schnittstellenkarte führt dann eine Diagnose durch, bei der die OK-LED blinkt. Wenn die Schnittstellenkarte online ist und normal funktioniert, leuchtet die OK-LED dauerhaft grün.
Vergewissern Sie sich, dass die Schnittstellenkarte richtig in der Mittelebene sitzt. Vergewissern Sie sich, dass jeder Auswerfergriff im Uhrzeigersinn gedreht wurde und fest sitzt.
Überprüfen Sie die OK/FAIL-LED auf der Schnittstellenkarte und die OK - und FAIL-LEDs für den Steckplatz auf der Craft-Schnittstelle. Wenn die Schnittstellenkarte online ist und normal funktioniert, leuchtet die OK-LED dauerhaft grün.
Geben Sie den CLI-Befehl
show chassis fpcein, um den Status der installierten Schnittstellenkarten zu überprüfen. Wie in der Beispielausgabe gezeigt, zeigt der Wert Online in der Spalte mit der Bezeichnung Status an, dass die Schnittstellenkarte normal funktioniert:user@host> show chassis fpc Temp CPU Utilization (%) Memory Utilization (%) Slot State (C) Total Interrupt DRAM (MB) Heap Buffer 0 Online 41 9 0 1024 15 57 1 Online 43 5 0 1024 16 57 2 Online 43 11 0 1024 16 57 3 Empty 4 Empty 5 Online 42 6 0 1024 16 57Für eine detailliertere Ausgabe fügen Sie die
detailOption hinzu. Im folgenden Beispiel wird keine Slotnummer angegeben, die optional ist:user@host> show chassis fpc detail Slot 0 information: State Online Temperature 41 degrees C / 105 degrees F Total CPU DRAM 1024 MB Total RLDRAM 256 MB Total DDR DRAM 4096 MB Start time: 2007-07-10 12:28:33 PDT Uptime: 1 hour, 33 minutes, 52 seconds Slot 1 information: State Online Temperature 43 degrees C / 109 degrees F Total CPU DRAM 1024 MB Total RLDRAM 256 MB Total DDR DRAM 4096 MB Start time: 2007-07-10 12:28:38 PDT Uptime: 1 hour, 33 minutes, 47 seconds Slot 2 information: State Online Temperature 43 degrees C / 109 degrees F Total CPU DRAM 1024 MB Total RLDRAM 256 MB Total DDR DRAM 4096 MB Start time: 2007-07-10 12:28:40 PDT Uptime: 1 hour, 33 minutes, 45 seconds Slot 5 information: State Online Temperature 42 degrees C / 107 degrees F Total CPU DRAM 1024 MB Total RLDRAM 256 MB Total DDR DRAM 4096 MB Start time: 2007-07-10 12:28:42 PDT Uptime: 1 hour, 33 minutes, 43 seconds
Eine weitere Beschreibung der Ausgabe des Befehls finden Sie unter Junos OS System Basics and Services Command Reference unter www.juniper.net/documentation/.
Fehlerbehebung SRX5600 Firewall-MICs und Portmodulen
Problem
Beschreibung
Die MICs oder Portmodule funktionieren nicht normal.
Lösung
Überprüfen Sie den Status der einzelnen Ports an einem Portmodul, indem Sie sich die LED auf der Frontplatte des Portmoduls ansehen.
Überprüfen Sie den Status eines Portmoduls, indem Sie den
show chassis fpc pic-statusCLI-Befehl eingeben. Die Steckplätze für Portmodule im Flex-IOC sind von 0 bis 1 nummeriert:user@host> show chassis fpc pic-status Slot 0 Online SRX5k SPC PIC 0 Online SPU Cp-Flow PIC 1 Online SPU Flow Slot 3 Online SRX5k DPC 4X 10GE PIC 0 Online 1x 10GE(LAN/WAN) RichQ PIC 1 Online 1x 10GE(LAN/WAN) RichQ PIC 2 Online 1x 10GE(LAN/WAN) RichQ PIC 3 Online 1x 10GE(LAN/WAN) RichQ Slot 5 Online SRX5k FIOC PIC 0 Online 16x 1GE TX PIC 1 Online 4x 10GE XFP
Weitere Informationen zur Ausgabe des Befehls finden Sie unter Junos OS System Basics and Services Command Reference unter www.juniper.net/documentation/.
Fehlerbehebung SRX5600 Firewall-SPCs
Problem
Beschreibung
Eine Services Processing Card (SPC) funktioniert nicht ordnungsgemäß.
Lösung
Stellen Sie sicher, dass die SPC richtig in der Mittelebene sitzt. Vergewissern Sie sich, dass jeder Auswerfergriff im Uhrzeigersinn gedreht wurde und fest sitzt.
Geben Sie den CLI-Befehl
show chassis fpcein, um den Status der installierten SPCs zu überprüfen. Wie in der Beispielausgabe gezeigt, zeigt der Wert Online in der Spalte mit der Bezeichnung Status an, dass die SPC normal funktioniert:user@host> show chassis fpc Slot State (C) Total Interrupt DRAM (MB) Heap Buffer 0 Online 35 4 0 1024 13 25 1 Online 47 3 0 1024 13 25 2 Online 37 8 0 2048 18 14
Für eine detailliertere Ausgabe fügen Sie die
detailOption hinzu. Im folgenden Beispiel wird keine Slotnummer angegeben, die optional ist:user@host> show chassis fpc detail Slot 0 information: State Online Temperature 35 Total CPU DRAM 1024 MB Total RLDRAM 259 MB Total DDR DRAM 4864 MB Start time: 2013-12-10 02:58:16 PST Uptime: 1 day, 11 hours, 59 minutes, 15 seconds Max Power Consumption 585 Watts Slot 1 information: State Online Temperature 47 Total CPU DRAM 1024 MB Total RLDRAM 259 MB Total DDR DRAM 4864 MB Start time: 2013-12-10 02:55:30 PST Uptime: 1 day, 12 hours, 2 minutes, 1 second Max Power Consumption 585 Watts Slot 2 information: State Online Temperature 37 Total CPU DRAM 2048 MB Total RLDRAM 1036 MB Total DDR DRAM 6656 MB Start time: 2013-12-10 02:58:07 PST Uptime: 1 day, 11 hours, 59 minutes, 24 seconds Max Power Consumption 570 Watts
Weitere Informationen zur Ausgabe des Befehls finden Sie unter Junos OS System Basics and Services Command Reference unter www.juniper.net/documentation/.
Fehlerbehebung bei der Stromversorgung der SRX5600 Firewall
Problem
Beschreibung
Das Stromnetz funktioniert nicht ordnungsgemäß.
Lösung
Überprüfen Sie die LEDs auf jeder Frontplatte des Netzteils.
Wenn ein AC-Netzteil korrekt installiert ist und normal funktioniert, leuchten die LEDs AC OK und DC OK konstant und die PS FAIL-LED leuchtet nicht.
Wenn ein Gleichstromnetzteil korrekt installiert ist und normal funktioniert, leuchten die LEDs PWR OK, BREAKER ON und INPUT OK dauerhaft.
Geben Sie den CLI-Befehl
show chassis environment pemein, um den Status der installierten Netzteile zu überprüfen. Wie in der Beispielausgabe gezeigt, gibt der Wert Online in den Zeilen mit der Bezeichnung Status an, dass jedes Netzteil normal funktioniert:user@host> show chassis environment pem PEM 0 status: State Online Temperature OK DC Output Voltage(V) Current(A) Power(W) Load(%) 47 9 423 20 PEM 1 status: State Online Temperature OK DC Output Voltage(V) Current(A) Power(W) Load(%) 47 19 893 56 PEM 2 status: State Present PEM 3 status: State Present
Wenn ein Netzteil nicht ordnungsgemäß funktioniert, führen Sie die folgenden Schritte aus, um das Problem zu diagnostizieren und zu beheben:
Wenn ein größerer Alarm auftritt, geben Sie den
show chassis alarmsBefehl aus, um die Ursache des Problems zu ermitteln.Vergewissern Sie sich, dass sich der AC-Eingangsschalter (—) oder der Gleichstrom-Leistungsschalter (|) in der ON-Position befindet und das Netzteil mit Strom versorgt wird.
Vergewissern Sie sich, dass der Quellenschutzschalter den richtigen Nennstrom hat. Jedes Netzteil muss an einen separaten Leistungsschalter angeschlossen werden.
Vergewissern Sie sich, dass das AC-Netzkabel oder die Gleichstromkabel, die von der Stromquelle zur Firewall führen, nicht beschädigt sind. Wenn die Isolierung gerissen oder gebrochen ist, ersetzen Sie sofort das Kabel oder Kabel.
Schließen Sie das Netzteil mit einem neuen Netzkabel oder neuen Netzkabeln an eine andere Stromquelle an. Wenn die Status-LEDs des Netzteils anzeigen, dass das Netzteil nicht normal funktioniert, ist das Netzteil die Ursache des Problems. Ersetzen Sie das Netzteil durch ein Ersatzteil.
Wenn alle Netzteile ausgefallen sind, hat die Systemtemperatur möglicherweise den Schwellenwert überschritten, was zum Herunterfahren des Systems führt.
Anmerkung:Wenn die Systemtemperatur den Schwellenwert überschreitet, schaltet Junos OS alle Netzteile ab, sodass kein Status angezeigt wird.
Junos OS kann eines der Netzteile auch aus anderen Gründen abschalten. In diesem Fall versorgen die verbleibenden Netzteile die Firewall mit Strom, und Sie können den Systemstatus weiterhin über die CLI oder das Display anzeigen.
So starten Sie ein Wechselstromnetzteil mit hoher Kapazität nach einem Stillstand aufgrund einer Übertemperatursituation neu:
Bewegen Sie den Netzschalter am Netzteil in die OFF (o)-Position.
Schalten Sie die Stromversorgung bis zu der Stelle aus, an der die Wechselstromleitung in den Bereich des Stromverteilungsmoduls (PDM) führt.
Warten Sie, bis die LEDs des Netzteils erloschen und die Lüfter im Netzteil ausgeschaltet sind. Dies kann bis zu 10 Sekunden dauern.
VORSICHT:Versuchen Sie nicht, das Netzteil einzuschalten, wenn die LED noch leuchtet und der Lüfter noch läuft. In diesem Fall wird die Firewall nicht neu gestartet.
Schalten Sie die Stromversorgung bis zu der Stelle ein, an der die AC-Leitung in den Bereich des Stromverteilungsmoduls (PDM) führt.
Bewegen Sie den Netzschalter am Netzteil in die Position "Ein" (|).
Vergewissern Sie sich, dass die LEDs an der Frontplatte des Netzteils richtig leuchten.
Geben Sie den CLI-Befehl
show chassis environment pemein, und überprüfen Sie, ob der Status undONLINEdie Temperatur istOK.
So starten Sie ein DC-Netzteil mit hoher Kapazität nach einem Stillstand aufgrund einer Übertemperatursituation neu:
Schalten Sie den/die Leistungsschalter am Gleichstromverteiler aus, um die Stromversorgung des Gehäuses und der Netzteile zu unterbrechen.
Schalten Sie den/die Leistungsschalter am Verteilerfeld ein, um das Gehäuse und die Netzteile mit Strom zu versorgen.
Anmerkung:Der Netzschalter an den Netzteilen ist nicht Teil der äußeren oder inneren Gleichstromkreise und muss daher beim Neustart des Gehäuses nicht ausgeschaltet werden.
Wenn die Ausgangsleistung in derselben Zone auf einer Firewall mit einem AC- oder DC-Netzteil mit hoher Kapazität nicht korrekt ausbalanciert ist, schließen Sie zwei Einspeisungen an, und ändern Sie den DIP-Schalter auf 1 , um die Spannung am Netzteilmodul zu erhöhen.
Jedes AC- oder DC-Netzteil mit hoher Kapazität nimmt zwei AC- oder DC-Einspeisungen in zwei eindeutigen AC- oder DC-Buchsen auf. Es ist möglich, mit einer Einspeisung zu arbeiten, aber es kommt zu einer Reduzierung der Stromversorgungsleistung. Der DIP-Schalter muss entsprechend der Anzahl der AC- oder DC-Einspeisungen eingestellt werden, die für die Stromversorgung vorhanden sind.
Position – 0 gibt an, dass nur eine AC- oder DC-Einspeisung bereitgestellt wird.
Position – 1 gibt an, dass zwei AC- oder DC-Einspeisungen bereitgestellt werden.
Das folgende Beispiel zeigt, wie die Position des DIP-Schalters basierend auf der Anzahl der erwarteten AC- oder DC-Eingangseinspeisungen aussehen sollte, die mit dem PEM verbunden sind:
Geben Sie den CLI-Befehl
show chassis powerein, und überprüfen Sie, wie viele Feeds verbunden sind.Die folgende Beispielausgabe zeigt den Ausgang eines Gehäuses mit AC-Netzteilen:
user@host# run show chassis power PEM 0: State: Online AC input: OK (1 feed expected, 1 feed connected) Capacity: 2050 W (maximum 2050 W) DC output: 423 W (zone 0, 9 A at 47 V, 20% of capacity) PEM 1: State: Online AC input: OK (1 feed expected, 2 feed connected) Capacity: 1590 W (maximum 1590 W) DC output: 893 W (zone 0, 19 A at 47 V, 56% of capacity) PEM 2: State: Present AC input: Out of range (1 feed expected, 1 feed connected) Capacity: 0 W (maximum 2050 W) PEM 3: State: Present AC input: Out of range (1 feed expected, 1 feed connected) Capacity: 1590 W (maximum 1590 W) DC output: 0 W (zone 0, 0 A at 0 V, 0% of capacity) System: Zone 0: Capacity: 3640 W (maximum 3640 W) Allocated power: 2002 W (1638 W remaining) Actual usage: 1316 W Total system capacity: 3640 W (maximum 3640 W) Total remaining power: 1638 WDie Ausgabe des
show chassis powerBefehls zeigt, dass: Bei PEM 0 wird eine AC-Eingangseinspeisung erwartet und eine AC-Eingangseinspeisung ist angeschlossen und bei PEM 1 wird eine AC-Eingangseinspeisung erwartet und zwei AC-Eingangseinspeisungen sind angeschlossen.Geben Sie den
show chassis alarmsBefehl aus, um zu sehen, ob aktive Alarme vorhanden sind und die Position des PEM-DIP-Schalters.> show chassis alarms 1 alarms currently active Alarm time Class Description 2018-06-14 05:05:17 PST Minor PEM 1 Dipswitch 0 Feed Connection 2
Die Ausgabe des
show chassis alarmsBefehls zeigt einen aktiven Alarm auf PEM 1 und die Position des DIP-Schalters als 0 an.In diesem Beispielausgang gibt es einen Alarm an PEM 1, da nur eine AC-Einspeisung benötigt wird, aber PEM 1 mit zwei AC-Einspeisungen verbunden ist und die DIP-Schalterposition 0 ist.
Ändern Sie die Position des PEM 1-DIP-Schalters auf 1. Damit sollte der Alarm beseitigt sein.
Anmerkung:Das Ändern der Position des DIP-Schalters wirkt sich nicht auf den Verkehr aus. Es wird jedoch immer empfohlen, dies in einem Wartungsfenster zu tun.
Geben Sie den CLI-Befehl
show chassis powerein, und überprüfen Sie die Ausgabe, um festzustellen, ob die Anzahl der für PEM 1 erwarteten Feeds mit der Anzahl der angeschlossenen Feeds übereinstimmt.# run show chassis power PEM 0: State: Online AC input: OK (1 feed expected, 1 feed connected) Capacity: 2050 W (maximum 2050 W) DC output: 423 W (zone 0, 9 A at 47 V, 20% of capacity) PEM 1: State: Online AC input: OK (1 feed expected, 1 feed connected) Capacity: 1590 W (maximum 1590 W) DC output: 893 W (zone 0, 19 A at 47 V, 56% of capacity) PEM 2: State: Present AC input: Out of range (1 feed expected, 1 feed connected) Capacity: 0 W (maximum 2050 W) PEM 3: State: Present AC input: Out of range (1 feed expected, 1 feed connected) Capacity: 1590 W (maximum 1590 W) DC output: 0 W (zone 0, 0 A at 0 V, 0% of capacity) System: Zone 0: Capacity: 3640 W (maximum 3640 W) Allocated power: 2002 W (1638 W remaining) Actual usage: 1316 W Total system capacity: 3640 W (maximum 3640 W) Total remaining power: 1638 WDie Ausgabe des
show chassis powerBefehls zeigt, dass die erwartete Anzahl der Feeds auf PEM 1 mit den angeschlossenen Feeds übereinstimmt.Geben Sie den CLI-Befehl
show chassis alarmsein, um zu überprüfen, ob der Alarm entfernt wurde.> show chassis alarms No alarms currently active
Die Ausgabe des
show chassis alarmsBefehls zeigt keine aktiven Alarme an.
Verhalten der SRX5400-, SRX5600- und SRX5800-Firewalls bei Ausfall der SRX5K-SCBE und SRX5K-RE-1800X4 in einem Gehäuse-Cluster
Es ist wichtig, das Verhalten der SRX5400-, SRX5600- und SRX5800-Firewalls zu verstehen, wenn die Switch-Control Board (SRX5K-SCBE) und Routing-Engine (SRX5K-RE-1800X4) im Gehäuse-Cluster ausfallen.
Dieses Verfahren gilt auch für SCB3, mit der Ausnahme, dass SCB3-Redundanz unterstützt wird.
Es wird dringend empfohlen, die ISHU während eines Wartungsfensters oder während des geringstmöglichen Datenverkehrs durchzuführen, da der sekundäre Knoten zu diesem Zeitpunkt nicht verfügbar ist.
SRX5K-SCBE und SRX5K-RE-1800X4 können nicht im laufenden Betrieb ausgetauscht werden.
In einem Chassis-Cluster müssen immer vier Fabric-Ebenen aktiv sein. Wenn weniger als vier Fabric-Ebenen aktiv sind, führt für die Redundanzgruppe (RG1+) ein Failover auf den sekundären Knoten durch.
Tabelle 3 zeigt die Mindestanforderungen an die Fabric-Ebene für den SCB.
Bahnsteig |
Anzahl der SRX5K-SCBs |
Aktive Ebenen |
Redundante Ebenen |
Erwartetes Verhalten nach dem Entfernen der SCB und der Routing-Engine |
|---|---|---|---|---|
SRX5400 |
1 |
4 (virtuell) |
0 (virtuell) |
Wenn der SCB im primären Knoten ausfällt, führt das Gerät ein Failover auf den sekundären Knoten durch, wenn der primäre Knoten ausgeschaltet wird. |
SRX5600 |
2 |
4 (virtuell) |
4 (virtuell) |
Wenn der aktive SCB im Primärknoten ausfällt, ändert sich das Verhalten des Geräts nicht, da der redundante SCB aktiv wird, vorausgesetzt, alle vier Fabric-Ebenen sind in gutem Zustand. Wenn der zweite SCB im primären Knoten ausfällt, führt das Gerät ein Failover auf den sekundären Knoten durch, wenn der primäre Knoten ausgeschaltet wird. |
SRX5800 |
3 |
4 |
2 |
Dieses Gerät unterstützt einen SCB für zwei Fabric-Ebenen, wodurch eine Redundanz von drei SCBs erreicht wird. Wenn der aktive SCB ausfällt, ändert sich das Geräteverhalten nicht, da die verbleibenden zwei SCBs die Anforderung erfüllen, über vier Fabric-Ebenen zu verfügen. Wenn auch die zweite SCB ausfällt, sind keine Ersatzflugzeuge im Gehäuse verfügbar, was eine Redundanz zwischen den Chassis auslöst. Daher führt RG1+ ein Failover auf den sekundären Knoten durch. |
Bei SRX5600- und SRX5800-Firewalls findet ein Failover nicht statt, wenn das sekundäre Routing-Engine in Steckplatz 1 ausfällt, während der SCB in Steckplatz 1 inaktiv ist.
Ausführliche Informationen zum Gehäuse-Cluster finden Sie im Gehäuse-Cluster-Benutzerhandbuch für SRX-Serie Geräte bei www.juniper.net/documentation/.