AUF DIESER SEITE
Fehlerbehebung bei der SRX5600 Firewall mit der Junos OS CLI
Fehlerbehebung bei der SRX5600-Firewall mit Gehäuse- und Schnittstellenalarmmeldungen
Alarmbedingungen für Gehäusekomponenten an SRX5400-, SRX5600- und SRX5800-Firewalls
Fehlerbehebung bei der SRX5600 Firewall mit Alarmrelaiskontakten
Fehlerbehebung bei der SRX5600 Firewall mit den Craft-Interface-LEDs
Fehlerbehebung in der SRX5600 Firewall mit den Komponenten-LEDs
Fehlerbehebung bei der SRX5600
Fehlerbehebung bei der SRX5600 Firewall mit der Junos OS CLI
Die Befehlszeilenschnittstelle (CLI) von Junos OS ist das primäre Tool zur Steuerung und Fehlerbehebung von Firewall-Hardware, Junos OS, Routing-Protokollen und Netzwerkkonnektivität. CLI-Befehle zeigen Informationen aus Routing-Tabellen, Informationen zu Routing-Protokollen und Informationen zur Netzwerkkonnektivität an, die von den Ping- und Traceroute-Dienstprogrammen abgeleitet werden.
Sie geben CLI-Befehle auf einem oder mehreren externen Managementgeräten ein, die mit Ports in der Routing-Engine verbunden sind.
Informationen zur Verwendung der CLI zur Fehlerbehebung bei Junos OS finden Sie im entsprechenden Junos OS-Konfigurationshandbuch.
Fehlerbehebung bei der SRX5600-Firewall mit Gehäuse- und Schnittstellenalarmmeldungen
Wenn die Routing-Engine eine Alarmbedingung erkennt, leuchtet die Haupt- oder Nebenalarm-LED auf der Benutzeroberfläche des Fahrzeugs auf. Um eine detailliertere Beschreibung der Alarmursache anzuzeigen, geben Sie den show chassis alarms CLI-Befehl ein:
user@host> show chassis alarms
Es gibt zwei Klassen von Alarmmeldungen:
Gehäusealarme: Weisen auf ein Problem mit einer Gehäusekomponente hin, z. B. mit dem Kühlsystem oder den Netzteilen.
Schnittstellenalarme: Weisen auf ein Problem mit einer bestimmten Netzwerkschnittstelle hin.
Alarmbedingungen für Gehäusekomponenten an SRX5400-, SRX5600- und SRX5800-Firewalls
Tabelle 1 listet die Alarme auf, die die Gehäusekomponenten auf SRX5400-, SRX5600- und SRX5800-Firewalls erzeugen können.
Chassis-Komponente |
Alarm-Bedingung |
Heilmittel |
Schweregrad des Alarms |
|---|---|---|---|
| Luftfilter | Luftfilter wechseln. |
Luftfilter wechseln. |
Gelb |
| Alternative Medien | Die Firewall bootet von einem alternativen Boot-Gerät, der Festplatte. Die CompactFlash-Karte ist in der Regel das primäre Startgerät. Die Routing-Engine startet von der Festplatte, wenn das primäre Startgerät ausfällt. |
Eröffnen Sie einen Support-Fall über den Case Manager-Link unter https://www.juniper.net/support/ oder rufen Sie 1-888-314-5822 (gebührenfrei, USA und Kanada) oder 1-408-745-9500 (von außerhalb der USA) an. |
Gelb |
| Craft-Schnittstelle | Die Craft-Schnittstelle ist ausgefallen. |
Ersetzen Sie die fehlgeschlagene Craft-Schnittstelle. |
Rot |
| Schnittstellenkarten (MPC/IOC/Flex IOC) | Eine Schnittstellenkarte ist offline. |
Überprüfen Sie die Karte. Nehmen Sie die Karte heraus und setzen Sie sie wieder ein. Wenn dies fehlschlägt, ersetzen Sie die ausgefallene Karte. |
Gelb |
| Eine Schnittstellenkarte ist ausgefallen. |
Ersetzen Sie die ausgefallene Karte. |
Rot |
|
| Eine Schnittstellenkarte wurde entfernt. |
Stecken Sie die Karte in den leeren Steckplatz. |
Rot |
|
| Voltsensor fällt aus |
Starten Sie die angegebene Karte neu. |
Rot |
|
| Service Processing Card (SPC) | Abnormaler Abgang in den aktuellen Flow-Sitzungen einer SPU. |
Eröffnen Sie einen Support-Fall über den Case Manager-Link unter https://www.juniper.net/support/ oder rufen Sie 1-888-314-5822 (gebührenfrei, USA und Kanada) oder 1-408-745-9500 (von außerhalb der USA) an. |
Rot |
| Der digitale Temperatursensor (DTS) der CPU erreicht eine hohe oder über der Temperaturschwelle. |
Überprüfen Sie den Status aller Lüftereinschübe. |
Rot |
|
| FPC-Luftstromtemperatursensoren im SRX5K-SPC3 erreichen einen hohen oder überschreiten den Schwellenwert für die Brandtemperatur. |
Überprüfen Sie den Status aller Lüftereinschübe. |
Rot |
|
| FPC-Luftstrom-Temperatursensoren in SRX5K-SPC3 Lese-/Zugriffsfehler. |
Wenn der Alarm ständig vorhanden ist, deutet dies auf ein Hardwareproblem hin. Eröffnen Sie einen Support-Fall über den Case Manager-Link unter https://www.juniper.net/support/ oder rufen Sie 1-888-314-5822 (gebührenfrei, USA und Kanada) oder 1-408-745-9500 (von außerhalb der USA) an. |
Gelb |
|
| SRX5K-SPC3 sucht während des Bootvorgangs nach fehlenden Geräten und meldet Berichte. |
Eröffnen Sie einen Support-Fall über den Case Manager-Link unter https://www.juniper.net/support/ oder rufen Sie 1-888-314-5822 (gebührenfrei, USA und Kanada) oder 1-408-745-9500 (von außerhalb der USA) an. |
Rot |
|
| SRX5K-SPC3 LTC Firmware-Version stimmt nicht überein. LEDs an der Vorderseite des Gehäuses zeigen einen größeren Alarm an. |
So aktualisieren Sie die LTC-Firmware-Version manuell:
|
Rot |
|
| Speicherfehler: DIMM-Fehler und ECC-Fehler. |
Eröffnen Sie einen Support-Fall über den Case Manager-Link unter https://www.juniper.net/support/ oder rufen Sie 1-888-314-5822 (gebührenfrei, USA und Kanada) oder 1-408-745-9500 (von außerhalb der USA) an. |
Rot |
|
| Batterieausfall der Echtzeituhr. |
Eröffnen Sie einen Support-Fall über den Case Manager-Link unter https://www.juniper.net/support/ oder rufen Sie 1-888-314-5822 (gebührenfrei, USA und Kanada) oder 1-408-745-9500 (von außerhalb der USA) an. |
Rot |
|
| SSDs auf der SRX5K-SPC3 fehlen oder Lese-/Schreibzugriff auf SSD schlägt fehl oder das SSD-Dateisystem ist beschädigt. |
Tauschen Sie die SSD aus. Oder Eröffnen Sie einen Support-Fall über den Case Manager-Link unter https://www.juniper.net/support/ oder rufen Sie 1-888-314-5822 (gebührenfrei, USA und Kanada) oder 1-408-745-9500 (von außerhalb der USA) an. |
Rot |
|
| OPMC-Boot-FPGA-Fehler |
Eröffnen Sie einen Support-Fall über den Case Manager-Link unter https://www.juniper.net/support/ oder rufen Sie 1-888-314-5822 (gebührenfrei, USA und Kanada) oder 1-408-745-9500 (von außerhalb der USA) an. |
Rot |
|
| Fehler des Spannungssensors |
Verwenden Sie in der CLI den Befehl restart chassis-control , um die Firewall neu zu starten. Wenn SPC immer noch nicht online ist, entfernen Sie die SPC und fügen Sie sie wieder ein. |
Rot |
|
| Lüftereinschübe | Ein Lüftereinschub wurde aus dem Gehäuse entfernt. |
Installieren Sie den fehlenden Lüftereinschub. |
Rot |
| Der Lüftereinschub funktioniert nicht oder ist ausgefallen. |
Ersetzen Sie den Lüfterfach. |
Rot |
|
| Ein Lüfter im Gehäuse dreht sich nicht oder unter der erforderlichen Drehzahl. |
Ersetzen Sie den Lüfterfach. |
Rot |
|
| Ein Lüftereinschub mit höherer Kühlleistung ist erforderlich, wenn ein MPC oder SPCs mit hoher Dichte auf dem Gehäuse installiert sind. |
Rüsten Sie auf einen Lüftereinschub mit hoher Kapazität auf. |
Gelb |
|
| Lüftereinschub unter Spannung. |
Setzen Sie den Lüftereinschub wieder ein. Wenn das Problem weiterhin besteht, öffnen Sie einen Support-Fall über den Case Manager-Link unter https://www.juniper.net/support/ oder rufen Sie 1-888-314-5822 (gebührenfrei, USA und Kanada) oder 1-408-745-9500 (von außerhalb der USA) an. |
Rot |
|
| Falscher Lüftereinschub installiert. |
Überprüfen Sie den entsprechenden Lüftereinschub und setzen Sie ihn ein. |
Rot |
|
| In SRX5800 Firewall eine Mischung aus Lüftereinschüben. |
Setzen Sie die entsprechenden Lüftereinschübe ein. |
Rot |
|
| In SRX5800 Firewall ist oben falscher Lüftereinschub installiert. |
Überprüfen Sie den entsprechenden Lüftereinschub und setzen Sie ihn ein. |
Rot |
|
| Host-Subsystem | Ein Host-Subsystem wurde entfernt. |
Setzen Sie das Host-Subsystem in den leeren Steckplatz ein. |
Gelb |
| Ein Host-Subsystem ist ausgefallen. |
Ersetzen Sie das ausgefallene Host-Subsystem. |
Rot |
|
| Netzteile | Ein Netzteil wurde aus dem Gehäuse entfernt. |
Stecken Sie das Netzteil in den leeren Steckplatz. |
Gelb |
| Ein Netzteil hat eine hohe Temperatur. |
Ersetzen Sie das ausgefallene Netzteil oder das Leistungseingangsmodul. |
Rot |
|
| Ein Netzteileingang ist ausgefallen. |
Überprüfen Sie den Anschluss des Netzteileingangs. |
Rot |
|
| Ein Netzteilausgang ist ausgefallen. |
Überprüfen Sie die Verbindung des Netzteilausgangs. |
Rot |
|
| Ein Netzteil ist ausgefallen. |
Ersetzen Sie das ausgefallene Netzteil. |
Rot |
|
| Ungültige Konfiguration der Wechselstromversorgung. |
Wenn zwei Wechselstromnetzteile installiert sind, stecken Sie ein Netzteil in einen Steckplatz mit ungerader Nummer und das andere Netzteil in einen Steckplatz mit gerader Nummer. |
Rot |
|
| Ungültige Konfiguration des DC-Netzteils. |
Wenn zwei Gleichstromnetzteile installiert sind, stecken Sie ein Netzteil in einen Steckplatz mit ungerader Nummer und das andere Netzteil in einen Steckplatz mit gerader Nummer. |
Rot |
|
| Mischung aus AC- und DC-Netzteilen. |
Mischen Sie keine Wechselstrom- und Gleichstromnetzteile. Trennen Sie bei Gleichstrom das Netzteil. Trennen Sie bei Wechselstrom die Gleichstromversorgung. |
Rot |
|
| Nicht genügend Netzteile. |
Installieren Sie ein zusätzliches Netzteil. |
Rot |
|
| Routing-Engine | Übermäßige Framing-Fehler am Konsolenport. Ein Alarm für übermäßige Framing-Fehler wird ausgelöst, wenn der standardmäßige Framing-Fehler-Schwellenwert von 20 Fehlern pro Sekunde an einer seriellen Schnittstelle überschritten wird. Dies kann durch ein fehlerhaftes Kabel des seriellen Konsolenanschlusses verursacht werden, das an das Gerät angeschlossen ist. |
Ersetzen Sie das an das Gerät angeschlossene serielle Kabel. Wenn das Kabel ausgetauscht wird und innerhalb von 5 Minuten nach dem letzten erkannten Framing-Fehler keine übermäßigen Framing-Fehler festgestellt werden, wird der Alarm automatisch gelöscht. |
Gelb |
| Fehler beim Lesen oder Schreiben der Festplatte. |
Formatieren Sie die Festplatte neu und installieren Sie ein bootfähiges Image. Wenn dies fehlschlägt, ersetzen Sie die ausgefallene Routing-Engine. |
Gelb |
|
| Fehler beim Lesen oder Schreiben der CompactFlash-Karte. |
Formatieren Sie die CompactFlash-Karte neu und installieren Sie ein bootfähiges Image. Wenn dies fehlschlägt, ersetzen Sie die ausgefallene Routing-Engine. |
Gelb |
|
| Das System wurde von der standardmäßigen Backup-Routing-Engine gestartet. Wenn Sie die primäre Rolle manuell gewechselt haben, ignorieren Sie diese Alarmbedingung. |
Installieren Sie das bootfähige Image auf der standardmäßigen primären Routing-Engine. Wenn dies fehlschlägt, ersetzen Sie die ausgefallene Routing-Engine. |
Gelb |
|
| Das System wurde von der Festplatte gebootet. |
Installieren Sie das bootfähige Image auf der CompactFlash-Karte. Wenn dies fehlschlägt, ersetzen Sie die ausgefallene Routing-Engine. |
Gelb |
|
| CompactFlash-Karte fehlt in der Boot-Liste. |
Ersetzen Sie die ausgefallene Routing-Engine. |
Rot |
|
| Festplatte fehlt in der Boot-Liste. |
Ersetzen Sie die ausgefallene Routing-Engine. |
Rot |
|
| Die Routing-Engine konnte nicht gestartet werden. |
Ersetzen Sie die ausgefallene Routing-Engine. |
Rot |
|
| Die Ethernet-Verwaltungsschnittstelle (fxp0 oder em0) der Routing-Engine ist ausgefallen. |
|
Rot |
|
| System Control Board (SCB) | Ein SCB wurde entfernt. |
Setzen Sie den SCB in den leeren Steckplatz ein. |
Gelb |
| Ein SCB-Temperatursensoralarm ist fehlgeschlagen. |
Ersetzen Sie den ausgefallenen SCB. |
Gelb |
|
| Ein SCB ist ausgefallen. |
Ersetzen Sie den ausgefallenen SCB. |
Rot |
|
| Ein SCB-Durchsatz wurde verringert. |
|
Gelb |
|
| Ein SCB PMBus-Gerät fällt aus |
Ignorieren Sie den Alarm, wenn er ein- oder zweimal ausgelöst wird. Wenn der Alarm ständig vorhanden ist, deutet dies auf ein Hardwareproblem hin. Eröffnen Sie einen Support-Fall über den Case Manager-Link unter https://www.juniper.net/support/ oder rufen Sie 1-888-314-5822 (gebührenfrei, USA und Kanada) oder 1-408-745-9500 (von außerhalb der USA) an. |
Gelb |
|
| Temperatur | Die Gehäusetemperatur hat 55 Grad Celsius (131 Grad Fahrenheit) überschritten, die Lüfter wurden auf volle Drehzahl gedreht und ein oder mehrere Lüfter sind ausgefallen. |
|
Gelb |
| Die Gehäusetemperatur hat 65 Grad C (149 Grad F) überschritten und die Lüfter wurden auf volle Drehzahl gedreht. |
|
Gelb |
|
| Die Gehäusetemperatur hat 65 Grad C (149 Grad F) überschritten und ein Lüfter ist ausgefallen. Wenn dieser Zustand länger als 4 Minuten anhält, wird die Firewall heruntergefahren. |
|
Rot |
|
| Die Gehäusetemperatur hat 75 Grad C (167 Grad F) überschritten. Wenn dieser Zustand länger als 4 Minuten anhält, wird die Firewall heruntergefahren. |
|
Rot |
|
| Der Temperatursensor ist ausgefallen. |
|
Rot |
Backup-Routing-Engine-Alarme
Bei Firewalls mit primären und Backup-Routing-Engines kann eine primäre Routing-Engine Alarme für Ereignisse generieren, die auf einer Backup-Routing-Engine auftreten. Tabelle 2 listet Chassis-Alarme auf, die für eine Backup-Routing-Engine generiert wurden.
Da der Fehler in der Backup-Routing-Engine auftritt, ist der Alarmschweregrad für einige Ereignisse (z. B. Ethernet-Schnittstellenfehler) gelb statt rot.
Weitere Informationen zum Konfigurieren redundanter Routing-Engines finden Sie in der Junos OS High Availability Library for Routing Devices.
Chassis-Komponente |
Alarm-Bedingung |
Heilmittel |
Schweregrad des Alarms |
|---|---|---|---|
| Alternative Medien | Die Backup-Routing-Engine bootet von einem alternativen Startgerät, der Festplatte. Die CompactFlash-Karte ist in der Regel das primäre Startgerät. Die Routing-Engine startet von der Festplatte, wenn das primäre Startgerät ausfällt. |
Eröffnen Sie einen Support-Fall über den Case Manager-Link unter https://www.juniper.net/support/ oder rufen Sie 1-888-314-5822 (gebührenfrei, USA und Kanada) oder 1-408-745-9500 (von außerhalb der USA) an. |
Gelb |
| Boot-Gerät | Das Boot-Gerät (CompactFlash oder Festplatte) fehlt in der Boot-Liste der Backup-Routing-Engine. |
Ersetzen Sie die ausgefallene Backup-Routing-Engine. |
Rot |
| Ethernet | Die Ethernet-Verwaltungsschnittstelle (fxp0 oder em0) der Backup-Routing-Engine ist ausgefallen. |
|
Gelb |
| FRU Offline | Die Backup-Routing-Engine kommuniziert nicht mehr mit der primären Routing-Engine. |
Eröffnen Sie einen Support-Fall über den Case Manager-Link unter https://www.juniper.net/support/ oder rufen Sie 1-888-314-5822 (gebührenfrei, USA und Kanada) oder 1-408-745-9500 (von außerhalb der USA) an. |
Gelb |
| Festplatte | Fehler beim Lesen oder Schreiben der Festplatte auf der Backup-Routing-Engine. |
Formatieren Sie die Festplatte neu und installieren Sie ein bootfähiges Image. Wenn dies fehlschlägt, ersetzen Sie die ausgefallene Backup-Routing-Engine. |
Gelb |
| Multibit-Speicher ECC | Die Backup-Routing-Engine meldet einen Multibit-ECC-Fehler. |
|
Gelb |
Fehlerbehebung bei der SRX5600 Firewall mit Alarmrelaiskontakten
Die Craft-Schnittstelle verfügt über zwei Alarmrelaiskontakte zum Anschluss der Firewall an externe Alarmgeräte. Immer wenn ein Systemzustand entweder den Haupt- oder Nebenalarm auf der Fahrzeugschnittstelle auslöst, werden auch die Alarmrelaiskontakte aktiviert. Die Alarmrelaiskontakte befinden sich oben rechts auf der Benutzeroberfläche des Fahrzeugs.
Fehlerbehebung bei der SRX5600 Firewall mit den Craft-Interface-LEDs
Die Benutzeroberfläche ist das Bedienfeld an der Vorderseite der Firewall, das sich über dem Kartenkäfig befindet und LEDs und Tasten enthält, mit denen Sie Fehler am Gerät beheben können.
Zu den LEDs auf der Benutzeroberfläche gehören die folgenden:
Alarm-LEDs: Eine große rote runde LED und eine große gelbe dreieckige LED, die sich oben rechts auf der Benutzeroberfläche des Fahrzeugs befinden, zeigen zwei Alarmstufen an. Die kreisförmige rote LED zeigt einen kritischen Zustand an, der zu einem Herunterfahren des Systems führen kann. Die dreieckigen gelben LED-Leuchten zeigen einen weniger schwerwiegenden Zustand an, der überwacht oder gewartet werden muss. Beide LEDs können gleichzeitig leuchten. Eine Bedingung, die dazu führt, dass eine Alarm-LED aufleuchtet, aktiviert auch den entsprechenden Alarmrelaiskontakt auf der Fahrzeugschnittstelle.
Host-Subsystem-LEDs: Die drei LEDs MASTER, ONLINE und OFFLINEzeigen den Status des Host-Subsystems an. Eine grüne MASTER-LED zeigt an, dass der Host als primärer Host fungiert. Die ONLINE-LED zeigt an, dass der Host online ist. Die OFFLINE-LED zeigt an, dass der Host offline ist. Die LEDs des Host-Subsystems befinden sich auf der linken Seite der Benutzeroberfläche und sind mit RE0 und RE1 beschriftet.
Stromversorgungs-LEDs – Zwei LEDs (PEM) zeigen den Status jeder Stromversorgung an. Grün zeigt an, dass die Stromversorgung normal funktioniert. Rot zeigt an, dass die Stromversorgung nicht normal funktioniert. Die Netzteil-LEDs befinden sich in der mittleren Schnittstelle des Fahrzeugs und sind mit 0 bis 3 beschriftet.
OK/Fail-LEDs der Karte: Zwei LEDs, OK und FAIL, zeigen den Status der Karte in jedem Steckplatz im Kartenkäfig an. Grün steht für OK und Rot für einen Fehler. Die OK/Fail-LEDs der Karte befinden sich am unteren Rand der Handwerksoberfläche und sind mit 0 bis 5 beschriftet.
SCB-LEDs: Zwei LEDs, OK und FAIL, zeigen den Status jedes SCB an. Grün steht für OK und Rot für einen Fehler. Die SCB-LEDs befinden sich in der Mitte der Benutzeroberfläche an der Unterseite und sind mit 0 und 1 beschriftet.
Lüfter-LEDs: Zwei LEDs zeigen den Status des Lüfters an. Grün steht für OK und Rot für FAIL. Die Lüfter-LEDs befinden sich oben links im Craft-Interface.
Fehlerbehebung in der SRX5600 Firewall mit den Komponenten-LEDs
Die folgenden LEDs befinden sich an verschiedenen Firewall-Komponenten und zeigen den Status dieser Komponenten an:
Karten-LED: Eine LED mit der Aufschrift OK/FAIL auf jeder Karte im Kartenkäfig zeigt den Status der Karte an.
MIC und Portmodul-LED: Eine LED mit der Aufschrift OK/FAIL an jedem in einem MPC installierten MIC und jedes in einem Flex IOC installierte Portmodul zeigt den Status des MIC oder Portmoduls an.
SCB-LEDs: Drei LEDs mit den Bezeichnungen FABRIC ACTIVE, FABRIC ONLY und OK/FAIL auf jeder SCB-Frontplatte zeigen den Status des SCB an. Wenn keine LEDs leuchten, startet die Master-Routing-Engine möglicherweise noch oder der SCB wird nicht mit Strom versorgt.
Routing-Engine-LEDs—Vier LEDs mit den Bezeichnungen MASTER, HDD, ONLINEund FAIL auf der Frontplatte der Routing-Engine zeigen den Status der Routing-Engine und der Festplatte an.
Stromversorgungs-LEDs: Drei oder vier LEDs an jeder Frontplatte des Netzteils zeigen den Status des Netzteils an.
Fehlerbehebung beim Kühlsystem der SRX5600 Firewall
Problem
Beschreibung
Die Lüfter in einem Lüftereinschub funktionieren nicht normal.
Lösung
Befolgen Sie diese Richtlinien, um Probleme mit den Lüftern zu beheben:
Überprüfen Sie die Lüfter- und Alarm-LEDs auf der Benutzeroberfläche des Schiffes.
Wenn die Hauptalarm-LED auf der Benutzeroberfläche des Fahrzeugs leuchtet, verwenden Sie die CLI, um Informationen über die Quelle einer Alarmbedingung abzurufen:
user@host> show chassis alarms.Wenn in der CLI-Ausgabe nur ein Lüfterfehler aufgeführt ist und die anderen Lüfter normal funktionieren, ist der Lüfter höchstwahrscheinlich defekt und Sie müssen den Lüftereinschub austauschen.
Legen Sie Ihre Hand in die Nähe der Abluftöffnungen an der Seite des Gehäuses, um festzustellen, ob die Lüfter Luft aus dem Gehäuse drücken.
Wenn der Lüftereinschub entfernt wird, treten ein kleiner und ein größerer Alarm auf.
Die folgenden Bedingungen führen dazu, dass die Lüfter automatisch mit voller Drehzahl laufen und auch den angezeigten Alarm auslösen:
Ein Lüfter fällt aus (großer Alarm).
Die Temperatur der Firewall überschreitet den Schwellenwert "Temperatur warm" (kleiner Alarm).
Die Temperatur der Firewall überschreitet die maximale ("Temperatur heiß") Schwelle (Hauptalarm und automatische Abschaltung der Netzteile).
Fehlerbehebung SRX5600 Firewall-Schnittstellenkarten
Problem
Beschreibung
Die Schnittstellenkarten (IOCs, Flex IOCs oder MPCs) funktionieren nicht normal.
Lösung
Überwachen Sie die grüne LED mit der Aufschrift OK auf der Fahrzeugschnittstelle, die dem Steckplatz entspricht, sobald eine Schnittstellenkarte in einer funktionierenden Firewall sitzt.
Die Routing-Engine lädt die Software der Schnittstellenkarte unter zwei Bedingungen herunter: Die Schnittstellenkarte ist vorhanden, wenn die Routing-Engine Junos OS startet, und die Schnittstellenkarte wird installiert und online über die CLI oder die Drucktaste auf der Vorderseite angefordert. Die Schnittstellenkarte führt dann eine Diagnose durch, bei der die OK-LED blinkt. Wenn die Schnittstellenkarte online ist und normal funktioniert, leuchtet die OK-LED konstant grün.
Stellen Sie sicher, dass die Schnittstellenkarte richtig in der Mittelebene sitzt. Vergewissern Sie sich, dass jeder Auswerfergriff im Uhrzeigersinn gedreht wurde und fest angezogen ist.
Überprüfen Sie die OK/FAIL-LED auf der Schnittstellenkarte und die OK - und FAIL-LEDs für den Steckplatz auf der Bastelschnittstelle. Wenn die Schnittstellenkarte online ist und normal funktioniert, leuchtet die OK-LED konstant grün.
Geben Sie den CLI-Befehl
show chassis fpcein, um den Status der installierten Schnittstellenkarten zu überprüfen. Wie in der Beispielausgabe gezeigt, gibt der Wert Online in der Spalte State an, dass die Schnittstellenkarte normal funktioniert:user@host> show chassis fpc Temp CPU Utilization (%) Memory Utilization (%) Slot State (C) Total Interrupt DRAM (MB) Heap Buffer 0 Online 41 9 0 1024 15 57 1 Online 43 5 0 1024 16 57 2 Online 43 11 0 1024 16 57 3 Empty 4 Empty 5 Online 42 6 0 1024 16 57Fügen Sie für eine detailliertere Ausgabe die
detailOption hinzu. Im folgenden Beispiel wird keine Steckplatznummer angegeben, die optional ist:user@host> show chassis fpc detail Slot 0 information: State Online Temperature 41 degrees C / 105 degrees F Total CPU DRAM 1024 MB Total RLDRAM 256 MB Total DDR DRAM 4096 MB Start time: 2007-07-10 12:28:33 PDT Uptime: 1 hour, 33 minutes, 52 seconds Slot 1 information: State Online Temperature 43 degrees C / 109 degrees F Total CPU DRAM 1024 MB Total RLDRAM 256 MB Total DDR DRAM 4096 MB Start time: 2007-07-10 12:28:38 PDT Uptime: 1 hour, 33 minutes, 47 seconds Slot 2 information: State Online Temperature 43 degrees C / 109 degrees F Total CPU DRAM 1024 MB Total RLDRAM 256 MB Total DDR DRAM 4096 MB Start time: 2007-07-10 12:28:40 PDT Uptime: 1 hour, 33 minutes, 45 seconds Slot 5 information: State Online Temperature 42 degrees C / 107 degrees F Total CPU DRAM 1024 MB Total RLDRAM 256 MB Total DDR DRAM 4096 MB Start time: 2007-07-10 12:28:42 PDT Uptime: 1 hour, 33 minutes, 43 seconds
Weitere Informationen zur Ausgabe des Befehls finden Sie unter Junos OS System Basics and Services Command Reference unter www.juniper.net/documentation/.
Fehlerbehebung SRX5600 MICs und Portmodulen der Firewall
Problem
Beschreibung
Die MICs oder Portmodule funktionieren nicht normal.
Lösung
Überprüfen Sie den Status der einzelnen Ports eines Portmoduls, indem Sie sich die LED auf der Frontplatte des Portmoduls ansehen.
Überprüfen Sie den Status eines Portmoduls, indem Sie den
show chassis fpc pic-statusCLI-Befehl ausführen. Die Portmodulsteckplätze im Flex IOC sind von 0 bis 1 nummeriert:user@host> show chassis fpc pic-status Slot 0 Online SRX5k SPC PIC 0 Online SPU Cp-Flow PIC 1 Online SPU Flow Slot 3 Online SRX5k DPC 4X 10GE PIC 0 Online 1x 10GE(LAN/WAN) RichQ PIC 1 Online 1x 10GE(LAN/WAN) RichQ PIC 2 Online 1x 10GE(LAN/WAN) RichQ PIC 3 Online 1x 10GE(LAN/WAN) RichQ Slot 5 Online SRX5k FIOC PIC 0 Online 16x 1GE TX PIC 1 Online 4x 10GE XFP
Weitere Informationen zur Ausgabe des Befehls finden Sie unter Junos OS System Basics and Services Command Reference unter www.juniper.net/documentation/.
Fehlerbehebung SRX5600 Firewall-SPCs
Problem
Beschreibung
Eine Services Processing Card (SPC) funktioniert nicht normal.
Lösung
Stellen Sie sicher, dass das SPC richtig in der Mittelebene sitzt. Vergewissern Sie sich, dass jeder Auswerfergriff im Uhrzeigersinn gedreht wurde und fest angezogen ist.
Geben Sie den CLI-Befehl
show chassis fpcein, um den Status der installierten SPCs zu überprüfen. Wie in der Beispielausgabe gezeigt, gibt der Wert Online in der Spalte State an, dass die SPC normal funktioniert:user@host> show chassis fpc Slot State (C) Total Interrupt DRAM (MB) Heap Buffer 0 Online 35 4 0 1024 13 25 1 Online 47 3 0 1024 13 25 2 Online 37 8 0 2048 18 14
Fügen Sie für eine detailliertere Ausgabe die
detailOption hinzu. Im folgenden Beispiel wird keine Steckplatznummer angegeben, die optional ist:user@host> show chassis fpc detail Slot 0 information: State Online Temperature 35 Total CPU DRAM 1024 MB Total RLDRAM 259 MB Total DDR DRAM 4864 MB Start time: 2013-12-10 02:58:16 PST Uptime: 1 day, 11 hours, 59 minutes, 15 seconds Max Power Consumption 585 Watts Slot 1 information: State Online Temperature 47 Total CPU DRAM 1024 MB Total RLDRAM 259 MB Total DDR DRAM 4864 MB Start time: 2013-12-10 02:55:30 PST Uptime: 1 day, 12 hours, 2 minutes, 1 second Max Power Consumption 585 Watts Slot 2 information: State Online Temperature 37 Total CPU DRAM 2048 MB Total RLDRAM 1036 MB Total DDR DRAM 6656 MB Start time: 2013-12-10 02:58:07 PST Uptime: 1 day, 11 hours, 59 minutes, 24 seconds Max Power Consumption 570 Watts
Weitere Informationen zur Ausgabe des Befehls finden Sie unter Junos OS System Basics and Services Command Reference unter www.juniper.net/documentation/.
Fehlerbehebung im SRX5600 Firewall Power System
Problem
Beschreibung
Das Stromnetz funktioniert nicht normal.
Lösung
Überprüfen Sie die LEDs auf jeder Frontplatte des Netzteils.
Wenn ein AC-Netzteil korrekt installiert ist und normal funktioniert, leuchten die AC-OK - und DC-OK-LEDs konstant und die PS-FAIL-LED leuchtet nicht.
Wenn ein Gleichstromnetzteil korrekt installiert ist und normal funktioniert, leuchten die LEDs PWR OK, BREAKER ON und INPUT OK konstant.
Geben Sie den CLI-Befehl
show chassis environment pemein, um den Status der installierten Netzteile zu überprüfen. Wie in der Beispielausgabe gezeigt, gibt der Wert Online in den Zeilen mit der Bezeichnung State an, dass die einzelnen Netzteile normal funktionieren:user@host> show chassis environment pem PEM 0 status: State Online Temperature OK DC Output Voltage(V) Current(A) Power(W) Load(%) 47 9 423 20 PEM 1 status: State Online Temperature OK DC Output Voltage(V) Current(A) Power(W) Load(%) 47 19 893 56 PEM 2 status: State Present PEM 3 status: State Present
Wenn ein Netzteil nicht normal funktioniert, führen Sie die folgenden Schritte aus, um das Problem zu diagnostizieren und zu beheben:
Wenn ein größerer Alarm auftritt, geben Sie den
show chassis alarmsBefehl aus, um die Ursache des Problems zu ermitteln.Vergewissern Sie sich, dass der AC-Eingangsschalter (—) oder der DC-Leistungsschalter (|) eingeschaltet ist und das Netzteil mit Strom versorgt wird.
Stellen Sie sicher, dass der Quellleistungsschalter den richtigen Nennstrom hat. Jede Stromversorgung muss an einen separaten Quellleistungsschalter angeschlossen werden.
Stellen Sie sicher, dass das Netzkabel oder die Gleichstromkabel von der Stromquelle zur Firewall nicht beschädigt sind. Wenn die Isolierung gerissen oder gebrochen ist, ersetzen Sie sofort das Kabel oder die Leitung.
Schließen Sie das Netzteil mit einem neuen Netzkabel oder neuen Netzkabeln an eine andere Stromquelle an. Wenn die Status-LEDs der Stromversorgung anzeigen, dass die Stromversorgung nicht normal funktioniert, liegt die Ursache des Problems an der Stromversorgung. Ersetzen Sie das Netzteil durch ein Ersatznetzteil.
Wenn alle Netzteile ausgefallen sind, hat die Systemtemperatur möglicherweise den Schwellenwert überschritten, was zu einer Abschaltung des Systems geführt hat.
Hinweis:Wenn die Systemtemperatur den Schwellenwert überschreitet, schaltet Junos OS alle Netzteile ab, sodass kein Status angezeigt wird.
Junos OS kann auch eines der Netzteile aus anderen Gründen abschalten. In diesem Fall versorgen die verbleibenden Netzteile die Firewall mit Strom, und Sie können den Systemstatus weiterhin über die CLI oder das Display anzeigen.
So starten Sie ein AC-Netzteil mit hoher Kapazität nach einer Abschaltung aufgrund einer Übertemperatursituation neu:
Bringen Sie den Netzschalter am Netzteil in die Position Aus (o).
Schalten Sie die Stromversorgung an der Stelle aus, an der die Wechselstromleitung in den Bereich des Stromverteilungsmoduls (PDM) führt.
Warten Sie, bis die LEDs des Netzteils erlöschen und die Lüfter im Netzteil heruntergefahren sind. Dies kann bis zu 10 Sekunden dauern.
VORSICHT:Versuchen Sie nicht, das Netzteil einzuschalten, wenn die LED noch leuchtet und der Lüfter noch läuft. Wenn Sie dies tun, wird die Firewall nicht neu gestartet.
Schalten Sie die Stromversorgung dort ein, wo die Wechselstromleitung in den Bereich des Stromverteilungsmoduls (PDM) führt.
Bringen Sie den Netzschalter am Netzteil in die Position ON (|).
Vergewissern Sie sich, dass die LEDs an der Frontplatte des Netzteils richtig leuchten.
Geben Sie den CLI-Befehl
show chassis environment pemein, und überprüfen Sie, ob der Status und die Temperatur .ONLINEOK
So starten Sie ein DC-Netzteil mit hoher Kapazität nach einer Abschaltung aufgrund einer Übertemperatursituation neu:
Schalten Sie den/die Leistungsschalter am DC-Verteiler aus, um die Stromversorgung des Gehäuses und der Netzteile zu unterbrechen.
Schalten Sie den/die Leistungsschalter am Verteilerfeld ein, um das Gehäuse und die Netzteile mit Strom zu versorgen.
Hinweis:Der Netzschalter an den Netzteilen ist nicht Teil des äußeren oder inneren Gleichstromkreises und muss daher beim Neustart des Gehäuses nicht ausgeschaltet werden.
Wenn die Ausgangsleistung in derselben Zone einer Firewall mit einem AC- oder DC-Stromversorgungsmodul mit hoher Kapazität nicht korrekt ausgeglichen ist, verbinden Sie zwei Einspeisungen und ändern Sie den DIP-Schalter auf 1 , um die Spannung am Stromversorgungsmodul zu erhöhen.
Jedes AC- oder DC-Netzteil mit hoher Kapazität akzeptiert zwei AC- oder DC-Einspeisungen in zwei separaten AC- oder DC-Buchsen. Es ist möglich, mit einer Einspeisung zu arbeiten, aber es gibt eine Reduzierung der Stromversorgungsleistung. Der DIP-Schalter muss entsprechend der Anzahl der AC- oder DC-Einspeisungen eingestellt werden, die für die Stromversorgung vorhanden sind.
den Gleichstromeingangsmodus
Position – 0 gibt an, dass nur eine AC- oder DC-Einspeisung bereitgestellt wird.
Position – 1 gibt an, dass zwei AC- oder DC-Feeds bereitgestellt werden.
Das folgende Beispiel zeigt, wie die Position des DIP-Schalters basierend auf der Anzahl der erwarteten und an das PEM angeschlossenen AC- oder DC-Eingangseinspeisungen aussehen sollte:
Geben Sie den CLI-Befehl
show chassis powerein und prüfen Sie, wie viele Feeds verbunden sind.Die folgende Beispielausgabe ist der Ausgang eines Gehäuses mit Wechselstromnetzteilen:
user@host# run show chassis power PEM 0: State: Online AC input: OK (1 feed expected, 1 feed connected) Capacity: 2050 W (maximum 2050 W) DC output: 423 W (zone 0, 9 A at 47 V, 20% of capacity) PEM 1: State: Online AC input: OK (1 feed expected, 2 feed connected) Capacity: 1590 W (maximum 1590 W) DC output: 893 W (zone 0, 19 A at 47 V, 56% of capacity) PEM 2: State: Present AC input: Out of range (1 feed expected, 1 feed connected) Capacity: 0 W (maximum 2050 W) PEM 3: State: Present AC input: Out of range (1 feed expected, 1 feed connected) Capacity: 1590 W (maximum 1590 W) DC output: 0 W (zone 0, 0 A at 0 V, 0% of capacity) System: Zone 0: Capacity: 3640 W (maximum 3640 W) Allocated power: 2002 W (1638 W remaining) Actual usage: 1316 W Total system capacity: 3640 W (maximum 3640 W) Total remaining power: 1638 WDie Ausgabe des
show chassis powerBefehls zeigt, dass bei PEM 0 eine AC-Eingangseinspeisung erwartet wird und eine AC-Eingangseinspeisung angeschlossen ist und bei PEM 1 eine AC-Eingangseinspeisung erwartet wird und zwei AC-Eingangseinspeisungen angeschlossen sind.Geben Sie den
show chassis alarmsBefehl ein, um zu sehen, ob aktive Alarme vorhanden sind und wie sich der PEM-DIP-Schalter befindet.> show chassis alarms 1 alarms currently active Alarm time Class Description 2018-06-14 05:05:17 PST Minor PEM 1 Dipswitch 0 Feed Connection 2
Die Ausgabe des
show chassis alarmsBefehls zeigt einen aktiven Alarm auf PEM 1 und die Position des DIP-Schalters als 0 an.In diesem Beispielausgang gibt es einen Alarm für PEM 1, da nur eine AC-Einspeisung erforderlich ist, PEM 1 jedoch mit zwei AC-Einspeisungen verbunden ist und die DIP-Schalterposition 0 ist.
Ändern Sie die Position des DIP-Schalters PEM 1 auf 1. Dadurch sollte der Alarm gelöscht werden.
Hinweis:Das Ändern der Position des DIP-Schalters wirkt sich nicht auf den Datenverkehr aus. Es wird jedoch immer empfohlen, dies in einem Wartungsfenster zu tun.
Geben Sie den CLI-Befehl
show chassis powerein, und überprüfen Sie die Ausgabe, um festzustellen, ob die Anzahl der für PEM 1 erwarteten Feeds mit der Anzahl der verbundenen Feeds übereinstimmt.# run show chassis power PEM 0: State: Online AC input: OK (1 feed expected, 1 feed connected) Capacity: 2050 W (maximum 2050 W) DC output: 423 W (zone 0, 9 A at 47 V, 20% of capacity) PEM 1: State: Online AC input: OK (1 feed expected, 1 feed connected) Capacity: 1590 W (maximum 1590 W) DC output: 893 W (zone 0, 19 A at 47 V, 56% of capacity) PEM 2: State: Present AC input: Out of range (1 feed expected, 1 feed connected) Capacity: 0 W (maximum 2050 W) PEM 3: State: Present AC input: Out of range (1 feed expected, 1 feed connected) Capacity: 1590 W (maximum 1590 W) DC output: 0 W (zone 0, 0 A at 0 V, 0% of capacity) System: Zone 0: Capacity: 3640 W (maximum 3640 W) Allocated power: 2002 W (1638 W remaining) Actual usage: 1316 W Total system capacity: 3640 W (maximum 3640 W) Total remaining power: 1638 WDie Ausgabe des
show chassis powerBefehls zeigt, dass die Anzahl der erwarteten Feeds auf PEM 1 mit der Anzahl der verbundenen Feeds übereinstimmt.Geben Sie den CLI-Befehl
show chassis alarmsein, um zu überprüfen, ob der Alarm entfernt wurde.> show chassis alarms No alarms currently active
Die Ausgabe des
show chassis alarmsBefehls zeigt keine aktiven Alarme an.
Verhalten der SRX5400-, SRX5600- und SRX5800-Firewalls, wenn SRX5K-SCBE und SRX5K-RE-1800X4 in einem Chassis-Cluster ausfallen
Es ist wichtig, das Verhalten der SRX5400-, SRX5600- und SRX5800-Firewalls zu verstehen, wenn das Switch Control Board (SRX5K-SCBE) und die Routing-Engine (SRX5K-RE-1800X4) im Gehäuse-Cluster ausfallen.
Dieses Verfahren gilt auch für SCB3, mit der Ausnahme, dass SCB3-Redundanz unterstützt wird.
Es wird dringend empfohlen, die ISHU während eines Wartungsfensters oder während des geringstmöglichen Datenverkehrs durchzuführen, da der sekundäre Knoten zu diesem Zeitpunkt nicht verfügbar ist.
Der SRX5K-SCBE und der SRX5K-RE-1800X4 können nicht im laufenden Betrieb ausgetauscht werden.
Vier Fabric-Ebenen müssen zu jedem Zeitpunkt in einem Chassis-Cluster aktiv sein. Wenn weniger als vier Fabric-Ebenen aktiv sind, führt die Redundanzgruppe (RG1+) ein Failover auf den sekundären Knoten durch.
Tabelle 3 zeigt die Mindestanforderungen an die Fabric-Ebene für den SCB.
Plattform |
Anzahl der SRX5K-SCBs |
Aktive Ebenen |
Redundante Ebenen |
Erwartetes Verhalten nach dem Entfernen des SCB und der Routing-Engine |
|---|---|---|---|---|
SRX5400 |
1 |
4 (virtuell) |
0 (virtuell) |
Wenn der SCB im primären Knoten ausfällt, führt das Gerät beim Ausschalten des primären Knotens ein Failover auf den sekundären Knoten durch. |
SRX5600 |
2 |
4 (virtuell) |
4 (virtuell) |
Wenn der aktive SCB im primären Knoten ausfällt, ändert sich das Verhalten des Geräts nicht, da der redundante SCB aktiv wird, vorausgesetzt, alle vier Fabric-Ebenen sind in gutem Zustand. Wenn der zweite SCB im primären Knoten ausfällt, führt das Gerät beim Ausschalten des primären Knotens ein Failover auf den sekundären Knoten durch. |
SRX5800 |
3 |
4 |
2 |
Dieses Gerät unterstützt einen SCB für zwei Fabric-Ebenen, wodurch eine Redundanz von drei SCBs gewährleistet wird. Wenn der aktive SCB ausfällt, ändert sich das Geräteverhalten nicht, da die verbleibenden zwei SCBs die Anforderung erfüllen, über vier Fabric-Ebenen zu verfügen. Wenn auch der zweite SCB ausfällt, sind keine Ersatzebenen im Chassis verfügbar, was eine Redundanz zwischen den Chassis auslöst. Daher führt RG1+ ein Failover auf den sekundären Knoten durch. |
In SRX5600- und SRX5800-Firewalls findet kein Failover statt, wenn die sekundäre Routing-Engine in Steckplatz 1 ausfällt, während der SCB in Steckplatz 1 inaktiv ist.
Ausführliche Informationen zum Chassis-Cluster finden Sie im Benutzerhandbuch für Chassis-Cluster für Geräte der SRX-Serie unter www.juniper.net/documentation/.