Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

SRX5400 ホスト サブシステムの保守

SRX5400 ファイアウォール ホスト サブシステムの保守

目的

ファイアウォールのパフォーマンスを最適化するには、ホスト サブシステムの状態を確認します。ホスト サブシステムは、SCB と、SCB のスロットにインストールされたルーティングエンジンで構成されます。

アクション

定期的に:

  • クラフト インターフェイスの LED をチェックして、ルーティング エンジンのステータスに関する情報を表示します。

  • SCB フェースプレートの LED を確認します。

  • ルーティングエンジンのフェースプレートのLEDを確認します。

  • ルーティングエンジンのステータスを確認するには、 show chassis routing-engine コマンドを発行します。出力は次のようになります。

  • SCB の状況を確認するには、 show chassis environment cb コマンドを発行します。出力は次のようになります。

特定の SCB の状況を検査するには、 show chassis environment cb node slot コマンド (例えば、 show chassis environment cb node 0) を発行します。

CLIの使用の詳細については、 CLIエクスプローラーを参照してください。

SRX5400ファイアウォールホストサブシステムのオフライン化

ホスト サブシステムは、ルーティングエンジンがインストールされた SCB で構成されています。ホスト サブシステムをオフラインにし、ユニットとしてオンラインにします。SCB またはルーティングエンジンを交換する前に、ホスト サブシステムをオフラインにする必要があります。ホスト サブシステムをオフラインにすると、デバイスがシャットダウンします。

ホスト サブシステムをオフラインにするには、次のようにします。

  1. 取り外すSCBとペアになっているルーティングエンジンに接続されているコンソールまたはその他の管理デバイスで、CLI動作モードに入り、次のコマンドを発行します。コマンドは、ルーティングエンジンをクリーンにシャットダウンし、その状態情報を保持します:
  2. オペレーティングシステムが停止したことを確認するメッセージがコンソールに表示されるまで待ちます。

    このコマンドの詳細については、www.juniper.net/documentation/ の「Junos OS System Basics and Services Command Reference」を参照してください。

    手記:

    SCB は、 request system halt コマンドが発行されてから約 5 分間、トラフィックの転送を継続する場合があります。

SRX5400 ファイアウォール SCB イジェクタの操作と配置

  • SCB の取り外しまたは挿入の際は、イジェクター ハンドルに当たらないように、隣接するスロットのカードまたはブランク パネルが完全に挿入されていることを確認してください。イジェクタ ハンドルは、隣接するすべてのコンポーネントを完全に挿入して、イジェクタ ハンドルが衝突して損傷しないようにする必要があります。

  • エジェクタ ハンドルは、ボードの中央に向かって保管する必要があります。ボードの右端と左端の両方にあるイジェクターの長い端が水平で、ボードの中央に向かってできるだけ押していることを確認します。

  • SCB を挿入または取り外すには、イジェクタを SCB 上で水平にスライドさせて回転させ、もう一度 4 分の 1 回転スライドさせます。エジェクタをもう一度回し、必要に応じて繰り返します。インデックス機能を利用して、レバレッジを最大化し、隣接するコンポーネントにぶつからないようにします。

  • 両方のイジェクタハンドルを同時に操作します。SCB の挿入力が 1 つのエジェクタに対して大きすぎます。

SRX5400ファイアウォールSCBの交換

SCB を交換する前に、「 SRX5400 ファイアウォール SCB イジェクタの操作と配置」のガイドラインをお読みください。SCB を交換するには、次の手順を実行します。

手記:

SCB を交換する手順は、SRX5K-SCB、SRX5K-SCBE、SRX5K-SCB3 に適用されます。

SRX5400 ファイアウォール SCB の削除

SCBを取り外すには( 図1を参照)。

手記:

SCB とルーティングエンジンは、1 つのユニットとして削除されます。ルーティングエンジンを個別に取り外すこともできます。
注意:

SCB を取り外す前に、機器の損傷を防ぐためにイジェクター ハンドルを適切に操作する方法を確認してください。

  1. シャーシ クラスタから SCB を削除する場合は、任意のノードからファブリック インターフェイスを非アクティブにします。
    手記:

    ファブリックインターフェイスは、シャーシクラスタの障害を回避するために非アクティブ化する必要があります。
  2. request system power-offコマンドを使用して、ファイアウォールの電源を切ります。
    手記:

    サービスが停止したことを確認するメッセージがコンソールに表示されるまで待ちます。
  3. 物理的に電源を切り、電源ケーブルをシャーシから取り外します。
  4. 静電防止袋または帯電防止マットを平らで安定した面に置きます。
  5. ESD 接地ストラップを手首に着け、ストラップのもう一方の端を ESD 接地ポイントと接続します。
  6. イジェクタ ハンドルを反時計回りに同時に回転させて、SCB を外します。
  7. イジェクター ハンドルをつかみ、SCB をシャーシから約半分引き出します。
  8. 片手をSCBの下に添えて支え、シャーシから完全に引き出します。
  9. SCB を静電気防止用マットの上に置きます。
  10. SCB を今すぐ交換しない場合は、空のスロットに空のパネルを取り付けます。
図1:SCBJuniper Networks chassis with a line card being inserted. Arrow indicates module movement direction.の取り外し

SRX5400 ファイアウォール SCB のインストール

SCB を取り付けるには ( 図 2 を参照)。

  1. ESD 接地ストラップを手首に着け、ストラップのもう一方の端を ESD 接地ポイントと接続します。
  2. request system power-offコマンドを使用して、ファイアウォールの電源を切ります。
    手記:

    サービスが停止したことを確認するメッセージがコンソールに表示されるまで待ちます。
  3. 物理的に電源を切り、電源ケーブルをシャーシから取り外します。
  4. SCB の側面をシャーシ内のガイドに慎重に合わせます。
  5. 抵抗を感じるまでSCBをシャーシにスライドさせ、正しく位置合わせされていることを慎重に確認します。
    図 2:SCB Juniper Networks modular router with a module being inserted or removed, used in data centers for routing and switching.の取り付け
  6. 両方のイジェクタ ハンドルをつかみ、SCB が完全に装着されるまで時計回りに同時に回転させます。
  7. イジェクタハンドルを、水平にボードの中央に向かって適切な位置に配置します。
  8. 電源ケーブルをシャーシに接続し、ファイアウォールの電源を入れます。電源フェースプレートの OK LED が点滅し、その後点灯します。
  9. SCB が正常に機能していることを確認するには、フェースプレートの LED を確認します。緑色の OK/FAIL LED は、SCB を取り付けてから数分後に点灯します。OK/FAIL LED が赤色の場合は、SCB を取り外して再度取り付けます。それでも OK/FAIL LED が点灯する場合は、SCB が正常に機能していません。カスタマーサポート担当者にお問い合わせください。

    SCB のステータスを確認するには、次の手順を実行します。

  10. SCB をシャーシ クラスタに設置した場合は、新しく設置した SCB のコンソールを使用してノードをクラスタに戻し、再起動します。

    ここで、xはクラスタID、YはノードIDです

  11. 無効にしたファブリックインターフェイスをアクティブにします。

SRX5400ファイアウォールルーティングエンジンの置き換え

ルーティングエンジンを交換するには、以下の手順を実行します。

手記:

ルーティングエンジンを交換する手順は、SRX5K-RE-13-20、SRX5K-RE-1800X4、SRX5K-RE-128Gの両方に適用されます。

SRX5400ファイアウォールルーティングエンジンの削除

注意:

ルーティングエンジンを交換する前に、ホスト サブシステムをオフラインにする必要があります。

ルーティングエンジンを取り外すには( 図 3 を参照)。

  1. SRX5400 ファイアウォール ホスト サブシステムのオフライン化の説明に従って、ホスト サブシステムをオフラインにします。
  2. 静電防止袋または帯電防止マットを平らで安定した面に置きます。
  3. ESD 接地ストラップを手首に着け、ストラップのもう一方の端を ESD 接地ポイントと接続します。
  4. イジェクタハンドルを外側に倒して、ルーティングエンジンを外します。
  5. イジェクタのハンドルでルーティングエンジンをつかみ、シャーシから半分ほど引き出します。
  6. 手をルーティングエンジンの下に添えて支え、シャーシから完全に引き出します。
    図3:ルーティングエンジンModular network router chassis with labeled Routing Engine managing control plane functions and slots for line cards.の取り外し
  7. ルーティングエンジンを静電防止用マットの上に置きます。

SRX5400 Firewall ルーティングエンジンのインストール

ルーティングエンジンをSCBに取り付けるには( 図4を参照)。

手記:

サービス ゲートウェイにルーティングエンジンを 1 つだけインストールする場合は、サービス ゲートウェイ シャーシの SCB スロット 0 にインストールする必要があります。
  1. まだ 行っていない場合は、ホスト サブシステムをオフラインにします。 SRX5400 ファイアウォール ホスト サブシステムのオフライン化を参照してください。
  2. ESD 接地ストラップを手首に着け、ストラップのもう一方の端を ESD 接地ポイントと接続します。
  3. イジェクタハンドルがロック位置にないことを確認します。必要に応じて、イジェクタハンドルを外側に反転させます。
  4. ルーティングエンジンの下に片手を添えてサポートします。
  5. ルーティングエンジンの側面を、SCBの開口部の内側のガイドに慎重に合わせます。
  6. 抵抗を感じるまでルーティングエンジンをSCBにスライドさせ、ルーティングエンジンのフェースプレートをコネクターにかみ合うまで押します。
    注意:

    ガイド上のルーティングエンジンの位置合わせが間違っていると、ルーティングエンジンの背面にあるコンポーネントが損傷する可能性があります。
    図4:ルーティングエンジンJuniper Networks router chassis with labeled Routing Engine, managing the control plane and modular slots for line cards and power supplies.のインストール
  7. 両方のイジェクタハンドルを内側に押して、ルーティングエンジンを装着します。
  8. ルーティングエンジンのフェースプレートの右端と左端にある非脱落型ネジを締めます。
  9. ファイアウォールの電源を入れます。電源フェースプレートの OK LED が点滅し、その後点灯します。

    ルーティングエンジンの起動に数分かかる場合があります。

    ルーティングエンジンが起動した後、クラフト インターフェイス上の RE0 および RE1 LEDを確認して、正しくインストールされていることを確認します。ファイアウォールが動作し、ルーティングエンジンが正常に機能している場合は、緑色の オンライン LEDが点灯します。代わりに赤色の FAIL LED が点灯する場合は、ルーティングエンジンを取り外して再度取り付けます。それでも赤色の FAIL LED が点灯している場合、ルーティングエンジンは正常に機能していません。カスタマーサポート担当者にお問い合わせください。

    ルーティングエンジンのステータスを確認するには、CLI コマンドを使用します:

    CLIの使用の詳細については、 CLIエクスプローラーを参照してください。

  10. シャーシ クラスタ内のノードの 1 つでルーティングエンジンを交換した場合、クラスタ内の他のノードから証明書とキー ペアをコピーする必要があります。

    1. クラスタの両方のノードで、rootユーザーとしてシェルインタフェースを起動します。

    2. ソースノード(クラスタ内の他のノード)と宛先ノード(ルーティングエンジンが置き換えられたノード)の /var/db/certs/common/key-pair フォルダにあるファイルを確認するには、次のコマンドを使用します:

      ls -la /var/db/certs/common/key-pair/

    3. 両方のノードに同じファイルが存在する場合は、宛先ノード上のファイルを別の場所にバックアップします。例えば:

      root@SRX-B% pwd /var/db/certs/common/key-pair root@SRX-B% ls -la total 8 drwx------ 2 root wheel 512 Jan 22 15:09 drwx------ 7 root wheel 512 Mar 26 2009 -rw-r--r-- 1 root wheel 0 Jan 22 15:09 test root@SRX-B% mv test test.old root@SRX-B% ls -la total 8 drwx------ 2 root wheel 512 Jan 22 15:10 drwx------ 7 root wheel 512 Mar 26 2009 -rw-r--r-- 1 root wheel 0 Jan 22 15:09 test.old root@SRX-B%

    4. ソース ノードの /var/db/certs/common/key-pair フォルダーから、宛先ノードの同じフォルダーにファイルをコピーします。

      手記:

      宛先ノードに正しいノード番号を使用していることを確認します。

    5. コピー先ノードで、 ls –la コマンドを使用して、コピー元ノードの /var/db/certs/common/key-pair フォルダにあるすべてのファイルがコピーされていることを確認します。

    6. /var/db/certs/common/local フォルダと /var/db/certs/common/certification-authority フォルダについて、ステップ b からステップ e を繰り返します。

運用SRX5400、SRX5600、またはSRX5800ファイアウォールシャーシクラスタ内のルーティングエンジン交換

ファイアウォールが動作中のシャーシ クラスタの一部である場合、ルーティング エンジンを交換できます。ネットワークのダウンタイムを最小限に抑えることで、SRX5K-RE-13-20、SRX5K-RE-1800X4、SRX5K-RE-128G

シャーシ クラスタの一部であるファイアウォールでルーティング エンジンを置き換えるには、次の条件を満たす必要があります。

  • 各ファイアウォールには、少なくとも 1 つのルーティング エンジンがインストールされている必要があります。

  • RE交換が予定されているノードがサービスを実行していないことを確認する必要があります。そのノードでアクティブなサービスがある場合は、RGスイッチオーバーを実行して、他のノードがすべてのRGに対してアクティブになります。

手記:

RG0スイッチオーバーを実行すると、ファイアウォールはすべてのBGP、OSPF、およびIS-ISネイバーシップをフラップし、サービスを中断するように促します。スイッチオーバーはメンテナンス期間中に実行することをお勧めします。

この交換手順では、クラスタ内のルーティング エンジンを 2 つのノード(ノード 0 とノード 1)で置き換えます。ノードは、デュアル制御リンクとデュアルファブリックリンクで接続されます。各ノードには、デュアル ルーティング エンジン(RE0 プライマリと RE1 セカンダリ)が搭載されています。この手順は、単一のREを持つノードにも適用できます。この手順では、ノード 0 での RE0 の交換について説明しており、両方のノードでオンラインとして表示されます。

手記:

ルーターを交換する際は、交換する予定のルーティング エンジンが搭載されているデバイスをオフにする必要があります。

シャーシ クラスタ内のルーティング エンジンを交換するには、次の手順に従います。

  1. 交換するノード0のRE0でコンソールポートを使用して、CLIセッションを確立します。
  2. show chassis cluster status コマンドを使用して、クラスタ内で現在プライマリのファイアウォールとセカンダリのファイアウォールを判別します。
  3. ノード 0 がプライマリ ノードの場合は、request chassis cluster failover node コマンドを使用してフェイルオーバーをトリガーし、もう一方のノードをプライマリにします。シャーシ クラスタの手動冗長グループ フェイルオーバーの開始を参照してください。
  4. show chassis fpc pic-statusコマンドを使用して、両方のノード上のすべてのカードのステータスを確認します。
  5. クラスタ ID を 0 に設定して、クラスタからノード 0 を削除します。
    手記:再起動オプションは選択しないでください。
  6. ノード 0 に接続された収益ポートを無効にします。
  7. 以下のいずれかのコマンドを使用して、ノード 0 を停止します。

    • ノード 0 に ルーティングエンジン SRX5K-RE-13-20 または ルーティングエンジン SRX5K-RE-1800X4 がインストールされている場合は、 request system halt コマンドを使用してノード 0 を停止します。

    • ノード0にルーティングエンジンSRX5K-RE3-128Gがインストールされている場合は、 request vmhost halt コマンドを使用してノード0を停止します。

  8. ノード 0 の電源をオフにします。
    手記:

    サービスが停止し、LED が点滅していないことを確認するメッセージがコンソールに表示されるまで待ちます。
  9. ノード 0 が完全にシャットダウンするのを待ってから、シャーシから電源ケーブルを取り外します。
  10. ノード0に接続されている制御リンクとファブリックリンクを削除します。
  11. SRX5800ファイアウォールルーティングエンジンの交換SRX5600ファイアウォールルーティングエンジンの交換、またはSRX5400ファイアウォールルーティングエンジンの交換の手順を使用して、電源がオフになったノード0のルーティングエンジンを交換します。
  12. 電源ケーブルをノード 0 シャーシに挿入し、ノードの電源をオンにします。
  13. デバイスのコンソール ポートを使用して、CLI セッションを確立します。
  14. show chassis fpc pic-status コマンドを使用して、ノード 0 シャーシのすべてのカードがオンラインに戻っていることを確認します。
  15. show chassis cluster statusコマンドを使用して、すべての冗長グループのプライオリティがゼロより大きいことを確認します。
  16. すべてのカードがオンラインになったら、CLI コマンドを使用してシャーシまたはシステムのアラームshow system alarms確認します。
  17. クラスタ ID を 1 に設定します。
    手記:再起動オプションは選択しないでください。
  18. 以下のいずれかのコマンドを使用して、ノード 0 を停止します。

    • ノード 0 に ルーティングエンジン SRX5K-RE-13-20 または ルーティングエンジン SRX5K-RE-1800X4 がインストールされている場合は、 request system halt コマンドを使用してノード 0 を停止します。

    • ノード0にルーティングエンジンSRX5K-RE3-128Gがインストールされている場合は、 request vmhost halt コマンドを使用してノード0を停止します。

  19. 停止プロセス中は、コンソールにいくつかのメッセージが表示されます。メッセージが表示されるPress any key to reboot待ちますが、キーは押さないでください
  20. 制御リンクとファブリックリンクをノード0に接続します。
  21. いずれかのキーを押して再起動します。これにより、ノード0が再起動し、すべてのカードがオンラインになるまでに時間がかかります。
  22. CLI コマンドを使用してshow chassis cluster statusセカンダリ ノードのステータスを確認します。
  23. シャーシまたはシステムのアラームを確認し、フラグCSクリアされているかどうかを確認します。
  24. セカンダリノードに接続された収益ポートを有効にして、IF Interface monitoringフラグを削除します。

SCB3およびIOC3の影響が少ないハードウェアアップグレード

LICU手順を開始する前に、クラスタ内の両方のファイアウォールで同じJunos OSリリースが実行されていることを確認します。

手記:

ハードウェアのアップグレードは、LICUプロセスを使用してのみ実行できます。

ハードウェアのアップグレードは、Junos OS リリース 12.3X48-D10 から 15.1X49-D10 へのソフトウェア アップグレードと同時に実行する必要があります。

デバイスがシャーシ クラスタの一部である場合、影響の少ないハードウェア アップグレード(LICU)手順を使用して、最小限のダウンタイムで、SRX5K-SCBE(SCB2)からSRX5K-SCB3(SCB3)に、SRX5K-MPC(IOC2)からIOC3(SRX5K-MPC3-100G10GまたはSRX5K-MPC3-40G10G)にアップグレードできます。また、この手順に従って、SCB1 を SCB2 に、RE1 を RE2 にアップグレードすることもできます。

シャーシ クラスタでは、プライマリ デバイスはノード 0、セカンダリ デバイスはノード1として表されます。

次の手順に従って、 LICUを実行します。

  1. LICUの進行中にセカンダリノードをネットワークから分離することで、セカンダリノードがネットワークトラフィックに影響を与えないようにします。このためには、セカンダリノード上の物理インターフェイス(RETH子インターフェイス)を無効にします。
  2. セカンダリノードが引き継ぐためのSYNビットとTCPシーケンス番号のチェックを無効にします。
  3. 設定をコミットします。
  4. シャーシ クラスタ内のデバイス間の制御リンクとファブリック リンクを切断し、異なる Junos OS リリースを実行しているノードが切断されるようにします。このためには、制御ポートとファブリックポートを誤った値に変更してください。ファブリックポートは任意のFPC番号に設定し、制御ポートは任意の非IOCポートに設定する必要があります。次のコマンドを発行します。
  5. 設定をコミットします。
    手記:

    設定をコミットすると、「 Connection to node1 has been broken error:remote unlock-configuration failed on node1 due to control plane communication break」というエラー メッセージが表示されます。

    エラーメッセージは無視してください。

  6. セカンダリ ノードの Junos OS リリースを 12.3X48-D10 から 15.1X49-D10 にアップグレードします。
  7. セカンダリ ノードの電源をオンにします。

    見る:

  8. SCB2 を SCB3 に、IOC2 を IOC3 に、既存のミッドプレーンを拡張ミッドプレーンに置き換えて、セカンダリ ノードでハードウェア アップグレードを実行します。

    SCB をアップグレードする際には、次の手順を実行します。

    セカンダリ ノードのルーティングエンジンをアップグレードするには、次の手順に従います。

    1. セカンダリ ノードの電源をオフにする前に、設定情報を USB デバイスにコピーします。
    2. RE1をRE2に置き換え、RE2でJunos OSをアップグレードします。
    3. USBデバイスからRE2に設定をアップロードします。

      デバイスへのUSBドライブの取り付けの詳細については、ナレッジベースKB記事KB12880およびKB12022を参照してください。

    MPC をアップグレードする場合、このステップを実行します。

    1. セカンダリノードで、制御ポート、ファブリックポート、RETH 子ポートを設定します。

  9. セカンダリ ノードがアップグレードされた Junos OS リリースを実行していることを確認します。
  10. プライマリノードのインターフェイスを無効にし、セカンダリノードのインターフェイスを有効にすることで、設定の変更を確認します。
  11. 設定変更を確認します。
  12. 確認後、設定をコミットします。

    ネットワーク トラフィックはセカンダリ ノードにフェールオーバーします。

  13. セカンダリ ノードのセッション テーブルとネットワーク トラフィックを確認して、フェールオーバーが成功したことを確認します。
  14. プライマリ ノードの Junos OS リリースを 12.3X48-D10 から 15.1X49-D10 にアップグレードします。

    切断されたクラスタに関するエラーメッセージは無視します。

  15. プライマリ ノードの電源をオンにします。

    見る:

  16. SCB2をSCB3に、IOC2をIOC3に、既存のミッドプレーンを拡張ミッドプレーンに置き換えて、プライマリノードでハードウェアアップグレードを実行します。

    SCB をアップグレードするときに、次の手順を実行します。

    プライマリ ノードのルーティングエンジンをアップグレードするには、次の手順に従います。

    1. セカンダリ ノードの電源をオフにする前に、設定情報を USB デバイスにコピーします。
    2. RE1をRE2に置き換え、RE2でJunos OSをアップグレードします。
    3. USBデバイスからRE2に設定をアップロードします。

      デバイスへのUSBドライブの取り付けの詳細については、ナレッジベースKB記事KB12880およびKB12022を参照してください。

    MPC をアップグレードする場合、このステップを実行します。

    1. プライマリノードで、制御ポート、ファブリックポート、RETH 子ポートを設定します。

  17. プライマリ ノードでアップグレードされた Junos OS リリースが実行されており、プライマリ ノードがネットワーク トラフィックを引き継ぐことができることを確認します。
  18. 設定変更を確認します。
  19. 確認後、設定をコミットします。
  20. セカンダリノードのインターフェイスを無効にし、プライマリノードのインターフェイスを有効にすることで、設定の変更を確認します。

    ネットワーク トラフィックはプライマリ ノードにフェールオーバーします。

  21. クラスタ内のデバイスを同期させるには、セカンダリノードで制御ポートとファブリックポートを正しいポート値で再設定します。
  22. 設定をコミットします。
  23. セカンダリ ノードの電源をオンにします。

    見る:

    1. セカンダリ ノードの電源をオンにしたら、プライマリ ノードの制御ポートとファブリック ポートを有効にし、正しいポート値で再設定します。
  24. 設定をコミットします。
  25. セカンダリ ノードが起動したら、プライマリ ノードと同期していることを確認します。
  26. セカンダリノードのSYNビットとTCPシーケンス番号のチェックを有効にします。
  27. 設定をコミットします。
  28. 冗長グループ(RG)の状態とその優先度を確認します。

    セカンダリノードの電源がオンになったら、次のコマンドを発行します。

    セカンダリノードでトラフィックインターフェイスを有効にします。

LICUの詳細については、ナレッジベースKB記事KB17947を参照してください。

シャーシ クラスタ内の SRX5K-RE-1800X4 と SRX5K-SCBE、または SRX5K-RE-1800X4 と SRX5K-SCB3 のインサービス ハードウェア アップグレード

ISHU 手順を開始する前に、次の前提条件が完了していることを確認してください。

  • 表 1 の指定に従って、IOC やフレックス IOC などのすべてのインターフェイス カードを交換します。

    表 1:アップグレード用インターフェイス カードのリスト

    交換するカード

    アップグレード用の交換用カード

    SRX5K-40GE-SFP

    SRX5K-MPC と MIC

    SRX5K-4XGE-XFP

    SRX5K-MPC と MIC

    SRX5K-FPC-IOC

    SRX5K-MPC と MIC

    SRX5K-RE-13-20

    SRX5K-RE-1800X4

    SRX5K-SCB

    SRX5K-SCBE

    SRX5K-SCBE

    SRX5K-SCB3

  • クラスタ内の両方のファイアウォールで同じJunos OSバージョンが実行されていることを確認します。SRX5K-RE-1800X4 を搭載した SRX5K-SCBE の場合はリリース 12.1X47-D15 以降、SRX5K-RE-1800X4 を搭載した SRX5K-SCB3 の場合はリリース 15.1X49-D10 以降。ファイアウォールでサポートされているカードの詳細については 、SRX5400、SRX5600、およびSRX5800ファイアウォールでサポートされているカードを参照してください。

    統合型稼動中ソフトウェア アップグレード(統合型 ISSU)の詳細については、 ISSUを使用したシャーシ クラスタ内の両方のデバイスのアップグレードを参照してください。

デバイスがシャーシ クラスタの一部である場合、インサービス ハードウェア アップグレード(ISHU)手順を使用して、次のアップグレードを行うことができます。

  • SRX5K-RE-13-20搭載のSRX5K-SCBからSRX5K-RE-1800X4搭載のSRX5K-SCBE

    手記:

    両方のファイアウォールは、同じJunos OSバージョン12.3X48である必要があります。

  • SRX5K-RE-1800X4を搭載したSRX5K-SCBEからSRX5K-RE-1800X4を搭載したSRX5K-SCB3

    手記:

    SRX5K-RE-13-20を搭載したSRX5K-SCBを、SRX5K-RE-1800X4を搭載したSRX5K-SCB3に直接アップグレードすることはできません。

手記:

現時点ではセカンダリノードが利用できないため、メンテナンスウィンドウ中、または可能な限りトラフィックが少ない時間帯に ISHU を実行することを強くお勧めします。

SCBとルーティングエンジンのアップグレードは、必ず同時に行ってください。以下の設定のみがサポートされています。

  • SRX5K-RE-13-20 および SRX5K-SCB

  • SRX5K-RE-1800X4 と SRX5K-SCBE

  • SRX5K-RE-1800X4 および SRX5K-SCB3
手記:

ISHU を実行している間、SRX5800 ファイアウォールでは、2 番目の SCB に ルーティングエンジン を含めることができますが、3 番目の SCB に ルーティングエンジンを含めることはできません。SRX5600 ファイアウォールでは、2 番目の SCB にルーティングエンジンを含めることができます。

ISHUを実行するには:

  1. セカンダリ ノードから USB または外部ストレージ デバイスに設定情報をエクスポートします。

    デバイスへのUSBの取り付けの詳細については、ナレッジベースのKB記事KB12880およびKB12022を参照してください。

  2. セカンダリ ノードの電源をオフにします。

    SRX5400ファイアウォールの電源オフSRX5600ファイアウォールの電源オフ、またはSRX5800ファイアウォールの電源オフを参照してください。

  3. すべてのインターフェイスカードをバックプレーンから6インチから8インチ引き出して、シャーシのバックプレーンから取り外します(ケーブルはそのままにしておきます)。
  4. シャーシの仕様に基づいて、SRX5K-SCBをSRX5K-SCBEに、またはSRX5K-SCBEをSRX5K-SCB3に、SRX5K-RE-13-20をSRX5K-RE-1800X4に交換します。
  5. セカンダリ ノードの電源をオンにします。

    見る:

  6. セカンダリ ノードがスタンドアロン ノードとして再起動されたら、プライマリ ノードと同じクラスタ ID を設定します。
  7. プライマリ ノードと同じ Junos OS ソフトウェア イメージをセカンダリ ノードにインストールし、再起動します。
    手記:

    インストールされているJunos OSのバージョンが、SRX5K-RE-1800X4およびSRX5K-SCBEの場合はリリース12.1X47-D15以降、SRX5K-RE-1800X4およびSRX5K-SCB3の場合は15.1X49-D10以降であることを確認します。
  8. セカンダリ ノードの再起動後、すべての構成設定を USB からノードにインポートします。

    デバイスへのUSBの取り付けの詳細については、ナレッジベースのKB記事KB12880およびKB12022を参照してください。

  9. セカンダリ ノードの電源をオフにします。

    SRX5400 ファイアウォールの電源オフSRX5600 ファイアウォールの電源オフ、または SRX5800 ファイアウォールの電源オフを参照してください。

  10. すべてのインターフェイスカードをシャーシのバックプレーンに挿入し直します。
    手記:

    カードがプライマリ ノードと同じ順序で挿入されていることを確認し、制御リンクとファブリック リンク間の接続を維持します。
  11. ノードの電源をオンにし、次のコマンドを発行して、すべてのカードがオンラインになっていることを確認します。

    ノードが起動したら、セカンダリ ノードとしてクラスタに参加する必要があります。確認するには、次のコマンドを発行します

    手記:

    コマンドの出力では、ノードの優先度がゼロ以外の値に設定されていること、およびクラスタにプライマリ ノードとセカンダリ ノードが含まれていることを示す必要があります。
  12. アップグレードされたノードへの冗長グループ(RG)フェイルオーバーを手動で開始し、プライマリノードとしてすべてのRGに割り当てられるようにします。

    RG0 の場合は、次のコマンドを発行します。

    RG1 の場合は、次のコマンドを発行します。

    次のコマンドを発行して、すべてのRGがフェイルオーバーされていることを確認します。

  13. 以下を実行して、アップグレードされたセカンダリノードの動作を確認します。

    • すべてのFPCがオンラインであることを確認するには、次のコマンドを発行します。

    • すべてのRGがアップグレードされ、ノード優先度がゼロ以外の値に設定されていることを確認するには、次のコマンドを発行します。

    • アップグレードされたプライマリノードがデータを送受信するようにするには、次のコマンドを発行します。

    • アップグレードされたノードでセッションが確実に作成および削除されるようにするには、次のコマンドを発行します。

  14. プライマリノードに対してステップ 1 から 12 を繰り返します。
  15. ISHU プロセスが正常に完了したことを確認するには、次のコマンドを発行してクラスタのステータスを確認します。

シャーシ クラスタの詳細については、『 Chassis Cluster User Guide for SRXシリーズ Devices at www.juniper.net/documentation/』を参照してください。