Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

维护SRX5400线卡和模块

持有 SRX5400 防火墙卡

携带卡片时,您可以垂直或水平握住它。

注意:

存储卡的重量为 18.3 磅(8.3 千克)。准备好在举起卡片时接受卡片的全部重量。

要垂直握持卡片:

  1. 调整卡片的方向,使面板朝向您。要验证方向,请确认卡上的文本正面朝上,EMI 条位于右侧。
  2. 将一只手放在卡面板上,从顶部边缘向下约四分之一处。为避免EMI屏蔽条变形,请勿用力按压其。
  3. 将另一只手放在卡片的底部边缘。

如果卡片在握住之前是水平的,请将左手放在面板上,右手放在底部边缘。

要水平握持卡:

  1. 调整卡片的方向,使面板朝向您。

  2. 用左手抓住顶部边缘,用右手抓住底部边缘。

携带卡片时,您可以将卡片的面板靠在身体上。

携带卡时,请勿将其撞到任何东西。卡组件易碎。

切勿在任何地方握住或握住卡片,除非本主题指示合适的位置。特别是,切勿抓住连接器边缘,尤其是在连接器和底部边缘相交的角落处的电源连接器处(参见 图 1)。

图 1:不要抓住连接器边缘 Do Not Grasp the Connector Edge

切勿仅用一只手将卡放在面板上。

请勿将卡片的任何边缘直接靠在坚硬的表面上(参见 图 2)。

不要堆叠卡片。

图 2:请勿将卡放在边缘 Do Not Rest the Card on an Edge

如果必须将卡片暂时放在边缘上,同时在垂直和水平之间更改其方向,请用手作为边缘和表面之间的缓冲。

存储 SRX5400 防火墙卡

您必须按如下方式存储卡:

  • 在防火墙机箱中

  • 在装运备用卡的容器中

  • 水平和钣金面朝下

当您将卡片存放在水平表面或运输容器中时,请务必将其放入防静电袋中。由于卡片很重,而且防静电袋易碎,因此两个人更容易将卡片插入袋子中。为此,一个人将卡保持在水平位置,面板朝向身体,另一个人将袋子的开口滑过卡连接器边缘。

如果您必须自己将卡插入袋子中,请先将卡水平放置在平坦、稳定的表面上,钣金面朝下。在面板朝向您的情况下调整卡的方向。小心地将卡片连接器边缘插入袋子的开口,然后将袋子拉向您以盖住卡片。

切勿将存储卡堆叠在任何其他组件的下方或顶部。

更换SRX5400防火墙 MPC

要更换 MPC,请执行以下过程:

卸下SRX5400防火墙 MPC

MPC 水平安装在防火墙的前面。完全配置的 MPC 的重量可达 18.35 磅(8.3 千克)。准备好接受它的全部重量。

要删除 MPC,请执行以下作:

  1. 准备好更换的 MPC 空面板和 MPC 的防静电垫。此外,使用要卸下的 MPC 上的光学接口为每个 MIC 准备好橡胶安全帽。
  2. ESD 接地腕带连接到裸露的手腕,然后将腕带的另一端连接到 ESD 接地点。
  3. 标记连接到 MPC 上每个 MIC 的电缆,以便以后可以将电缆重新连接到正确的 MIC。
  4. 使用下列方法之一使 MPC 脱机:

    • 按住作员界面上的相应在线按钮。按钮旁边的绿色 OK/FAIL LED 开始闪烁。按住按钮直到 LED 熄灭。

    • 发出以下 CLI 命令:

      user@host>request chassis fpc slot slot-number offline

  5. 如果尚未执行此作,请关闭防火墙电源。
  6. 断开电缆与 MPC 中安装的 MIC 的连接。
    激光警告:

    请勿直视光纤收发器或光纤电缆的末端。光纤收发器和连接到收发器的光纤电缆会发出可能伤害眼睛的激光。
    谨慎:

    请勿将光纤收发器暴露在外,插入或拔下电缆时除外。安全帽可保持端口清洁并保护您的眼睛免受意外暴露在激光下。
    谨慎:

    请勿将光纤电缆弯曲超过其最小弯曲半径。直径小于几英寸的电弧会损坏电缆并导致难以诊断的问题。
  7. 如果 MIC 使用光纤电缆,请立即用橡胶安全帽盖住每个收发器和每根电缆的末端。
  8. 将断开的电缆排列在电缆管理支架中,以防止电缆产生应力点。
  9. 同时逆时针转动两个弹出器手柄以卸下 MPC。
  10. 抓住手柄,将 MPC 直接滑出插件架的一半。请参阅 图 3
    图 3:删除 MPC Removing an MPC
  11. 将一只手放在 MPC(MIC 外壳)的前部,另一只手放在其下方以支撑它。将 MPC 完全滑出机箱,然后将其放在防静电垫或静电袋中。
    谨慎:

    MPC 的权重集中在后端。准备好在将 MPC 滑出机箱时承受全部重量(最高 18.35 磅(8.3 千克)。

    当 MPC 从机箱中取出时,请勿握住弹出器手柄、母线或边缘连接器。他们无法支撑它的重量。

    卸下后,请勿将 MPC 堆叠在一起。将每个单独放入静电袋中,或放在平坦、稳定表面上的防静电垫上。
  12. 如有必要,请从 MPC 中删除每个已安装的 MIC。
  13. 取下每个 MIC 后,请立即将其放在防静电垫或静电袋中。
  14. 如果短时间内未将 MPC 重新安装到已清空的线卡插槽中,请在每个插槽上安装一个空的 DPC 面板,以保持卡架中的气流正常。

安装 SRX5400 防火墙 MPC

MPC 水平安装在防火墙的前面。完全配置的 MPC 的重量可达 18.35 磅(8.3 千克)。准备好接受它的全部重量。

要安装 MPC,请执行以下作:

  1. ESD 接地腕带连接到裸露的手腕,然后将腕带的另一端连接到 ESD 接地点。
  2. 如果尚未执行此作,请关闭防火墙电源。
  3. 将 MPC 放在抗静电垫上。
  4. 从静电包中取出要安装在更换 MPC 中的每个 MIC,并确定 MPC 上要连接的插槽。
  5. 验证每个光纤 MIC 是否都有一个覆盖 MIC 收发器的橡胶安全帽。如果没有,请用安全帽盖住收发器。
  6. 将每个 MIC 安装到 MPC 上的相应插槽中。
  7. 在插件架中找到计划安装 MPC 的插槽。
  8. 调整 MPC 的方向,使面板朝向您。
  9. 将 MPC 提升到位,然后小心地将 MPC 的侧面与插件架内的导轨对齐。请参阅 图 4
    谨慎:

    当 MPC 从机箱中取出时,请勿握住弹出器手柄、母线或边缘连接器。他们无法支撑它的重量。
    图 4:在 SRX5400 防火墙 Installing an MPC in the SRX5400 Firewall中安装 MPC
  10. 将 MPC 一直滑入插件架,直到感觉到阻力。
  11. 抓住两个弹出器手柄,然后同时顺时针旋转它们,直到 MPC 完全就位。
  12. 如果 MPC 上的任何 MIC 连接到光纤电缆,请从每个收发器和电缆上取下橡胶安全帽。
    激光警告:

    请勿直视光纤收发器或光纤电缆的末端。光纤收发器和连接到收发器的光纤电缆会发出可能伤害眼睛的激光。
  13. 相应的电缆插入 MPC 上每个 MIC 上的电缆连接器端口。固定电缆,使其不支撑自身重量。使用电缆管理系统,将多余的电缆放在整齐的盘绕环中。将紧固件放在环上有助于保持其形状。
    谨慎:

    不要让光纤电缆从连接器上自由悬挂。不要让电缆的紧固环悬垂,这会在紧固点对电缆施加压力。
    谨慎:

    请勿将光纤电缆弯曲超过其最小弯曲半径。直径小于几英寸的电弧会损坏电缆并导致难以诊断的问题。
  14. 打开防火墙电源。电源面板上的 OK LED 应闪烁,然后常亮。
  15. 通过发出 show chassis fpcshow chassis fpc pic-status 命令来验证 MPC 是否正常工作。例如:

    使用以下 CLI 命令首次使 MPC 联机:

更换SRX5400防火墙 MIC

要更换 MIC,请执行以下过程:

卸下SRX5400防火墙 MIC

MIC 位于安装在防火墙前面的 MPC 中。MIC 的重量不到 2 磅(0.9 千克)。

要卸下 MIC:

  1. 将静电袋或防静电垫放在平坦、稳定的表面上以接收 MIC。如果 MIC 连接到光纤电缆,请为每个收发器和电缆准备好橡胶安全帽。
  2. ESD 接地腕带连接到裸露的手腕,然后将腕带的另一端连接到 ESD 接地点。
  3. 关闭防火墙电源。
  4. 为连接到 MIC 的电缆贴上标签,以便以后可以将每根电缆重新连接到正确的 MIC。
  5. 断开 MIC 的电缆。如果 MIC 使用光纤电缆,请立即用橡胶安全帽盖住每个收发器和每根电缆的末端。
    激光警告:

    请勿直视光纤收发器或光纤电缆的末端。光纤收发器和连接到收发器的光纤电缆会发出可能伤害眼睛的激光。
    谨慎:

    请勿将光纤收发器暴露在外,插入或拔下电缆时除外。安全帽可保持端口清洁并保护您的眼睛免受意外暴露在激光下。
  6. 布置电缆以防止其移位或产生应力点。固定电缆,使其在悬挂在地板上时不会支撑自身的重量。将多余的电缆放在整齐盘绕的环中。
    谨慎:

    请勿将光纤电缆弯曲超过其最小弯曲半径。直径小于几英寸的电弧会损坏电缆并导致难以诊断的问题。
  7. 在 MPC 上,将要卸下的 MIC 旁边的弹出旋钮从 MPC 面板上拉开。弹出旋钮位于 MIC 和将 MPC 保留在防火墙卡架中的旋转旋钮之间。拉动弹出旋钮可将 MIC 从 MPC 上拔下并部分弹出。请参阅图 5
    图 5:卸下 MIC Removing a MIC
  8. 抓住 MIC 面板上的手柄,然后将 MIC 滑出 MPC 卡托架。将其放入静电袋或防静电垫上。
  9. 如果短时间内未将 MIC 重新安装到清空的 MIC 插槽中,请在插槽上方安装一个空 MIC 面板,以保持 MPC 插件架中的正常气流。

安装 SRX5400 防火墙 MIC

要安装 MIC,请执行以下作:

  1. ESD 接地腕带连接到裸露的手腕,然后将腕带的另一端连接到 ESD 接地点。
  2. 如果尚未执行此作,请关闭防火墙电源。
  3. 如果 MIC 使用光纤电缆,请验证面板上每个收发器上方是否装有橡胶安全帽。如有必要,安装盖子。
  4. 在 MPC 上,将与要安装的 MIC 相邻的弹出旋钮从 MPC 面板上拉开。弹出旋钮位于 MIC 和将 MPC 保留在防火墙卡架中的旋转旋钮之间。请参阅图 6
    图 6:安装 MIC Installing a MIC
  5. 将 MIC 后部与位于 MIC 插槽角落的导轨对齐。
  6. 将 MIC 滑入 MPC,直至其牢固地固定在 MPC 中。弹出旋钮将自动向面板移动,以将 MIC 锁定在就位位置。

    如果 MIC 未正确插入插槽,请将弹出旋钮完全拉出,然后再次尝试让 MIC 就位。除非在您开始插入 MIC 时弹出旋钮一直处于完全位置,否则 MIC 将无法正确就位。

    谨慎:

    将 MIC 直接滑入插槽,以免损坏 MIC 上的组件。
  7. 将 MIC 插入其插槽后,通过将弹出旋钮一直推入 MPC 面板来验证弹出旋钮是否已接合。
  8. 如果 MIC 使用光纤电缆,请从每个收发器和每根电缆的末端取下橡胶安全帽。
    激光警告:

    请勿直视光纤收发器或光纤电缆的末端。光纤收发器和连接到收发器的光纤电缆会发出可能伤害眼睛的激光。
    谨慎:

    请勿将光纤收发器暴露在外,插入或拔下电缆时除外。安全帽可保持端口清洁并保护您的眼睛免受意外暴露在激光下。
  9. 将相应的电缆插入 MIC 上的电缆连接器。
  10. 布置每根电缆以防止电缆移位或产生应力点。固定电缆,使其在悬挂在地板上时不会支撑自身的重量。将多余的电缆放在整齐盘绕的环中。
    谨慎:

    不要让光纤电缆从连接器上自由悬挂。不要让电缆的紧固环悬垂,这会在紧固点对电缆施加压力。
    谨慎:

    请勿将光纤电缆弯曲超过其最小弯曲半径。直径小于几英寸的电弧会损坏电缆并导致难以诊断的问题。
  11. 打开防火墙电源。电源面板上的 OK LED 应闪烁,然后常亮。
  12. 通过发出 show chassis fpcshow chassis fpc pic-status 命令来验证 MPC 和 MIC 是否正常工作。

在运行中的 SRX5400 防火墙机箱群集中安装 MPC 和 MIC

如果您的防火墙是机箱群集的一部分,则可以在群集的防火墙中安装额外的 MPC,而不会导致网络停机。

此类安装满足以下条件:

  • 群集中的每个防火墙都有一个用于 MPC 的空置插槽。

  • 如果机箱群集在主动-主动模式下运行,则必须先将其转换为主动-被动模式,然后才能使用此过程。通过将一个节点设置为所有冗余组的主节点,可以将群集转换为主动-被动模式。

  • 群集中的两个防火墙都必须运行 Junos OS 12.1X45-D10 或更高版本。

如果安装不符合这些条件,请使用 安装 SRX5400 防火墙 MPC 中的过程在防火墙中安装 MPC。

注意:

在此安装过程中,您必须一次关闭一台设备。在一台设备关闭期间,其余设备无需备份即可运行。如果剩余的设备因任何原因出现故障,将导致网络停机,直到您重新启动至少一台设备。

要在运行中的 SRX5400 防火墙群集中安装 MPC 而不造成停机,请执行以下作:

  1. 使用路由引擎上的控制台端口与群集中的一台设备建立 CLI 会话。
  2. 发出show chassis cluster status命令以确定群集中哪个防火墙当前为主防火墙,哪个防火墙为辅助防火墙。

    在下面的示例中,所有冗余组在节点 0 上都是主冗余组,在节点 1 上是辅助冗余组:

  3. 如果在步骤 2 中与之建立 CLI 会话的设备不是集群中的辅助节点,请使用作为辅助节点的设备上的控制台端口建立 CLI 会话。
  4. 在辅助防火墙的 CLI 会话中,发出request system power off命令以关闭防火墙。
  5. 等待辅助防火墙完全关闭。
  6. 按照安装 SRX5400 防火墙 MPC 中的过程,在已关闭电源的防火墙中安装新的 MPC。
  7. 按照安装 SRX5400 防火墙 MIC 中的过程,在已关闭电源的防火墙的 MPC 中安装 MIC。
  8. 打开辅助防火墙的电源并等待其完成启动。
  9. 重新建立与辅助节点设备的 CLI 会话。
  10. 发出 show chassis fpc pic-status 命令以确保辅助节点机箱中的所有卡都重新联机。例如:
  11. 发出 show chassis cluster status 命令以确保所有冗余组的优先级大于零。
  12. 使用作为主节点的设备上的控制台端口建立 CLI 会话。
  13. 在主节点设备的 CLI 会话中,发出 request chassis cluster failover 命令以对每个 ID 号大于零的冗余组进行故障转移。

    例如:

  14. 在主节点设备的 CLI 会话中,发出request system power off命令以关闭防火墙。此作会导致冗余组 0 故障转移到其他防火墙上,使其成为群集中的活动节点。
  15. 重复步骤 6,在已关闭电源的防火墙中安装 MPC。
  16. 重复步骤 7,在已关闭电源的防火墙的 MPC 中安装 MIC。
  17. 打开防火墙电源并等待其完成启动。
  18. 在每个节点上发出show chassis fpc pic-status命令,以确认所有卡都联机且两个防火墙均正常运行。例如:
  19. 发出 show chassis cluster status 命令以确保所有冗余组的优先级大于零。

在 SRX5400 防火墙上维护 SPC

目的

为获得最佳防火墙性能,请验证服务处理卡 (SPC) 的状况。防火墙最多可以有三个 FPC(两个 SPC)水平安装在机箱前面的插件架中。要维护 SPC,请定期执行以下步骤。

行动

定期:

  • 检查与每个 SPC 插槽对应的作员接口上的 LED。当 SPC 正常工作时,标记为 OK 的绿色 LED 常亮。

  • 检查每个 SPC 面板上的 OK/FAIL LED。如果 SPC 检测到故障,它会向路由引擎发送报警消息。

  • 发出 CLI show chassis fpc 命令以检查已安装 SPC 的状态。如示例输出所示,标记为“状态”的列中的值“联机”表示 SPC 运行正常:

    如需更详细的输出,请添加 detail 选项。以下示例未指定槽号,该编号是可选的:

  • 发出 CLI show chassis fpc pic-status 命令。插槽编号为 02,从下到上:

    有关命令输出的进一步说明,请参阅 www.juniper.net/documentation/ 上的Junos OS系统基础知识和服务命令参考

更换SRX5400防火墙 SPC

要更换 SPC,请执行以下过程:

卸下SRX5400防火墙 SPC

SPC 的重量高达 18.3 磅(8.3 千克)。准备好接受它的全部重量。

要卸下 SPC(参见 图 7):

  1. 准备好更换 SPC 或空白面板以及 SPC 的防静电垫。还要为要拆卸的每个使用光学接口的 SPC 准备好橡胶安全帽。
  2. ESD 接地腕带连接到裸露的手腕,然后将腕带的另一端连接到 ESD 接地点。
  3. 使用命令request system power-off关闭防火墙电源。
    注意:

    等待控制台上出现一条消息,确认服务已停止。
  4. 物理关闭电源并从机箱上拔下电源线。
  5. 标记连接到 SPC 上每个端口的电缆,以便以后可以将电缆重新连接到正确的端口。
  6. 断开电缆与 SPC 的连接。如果 SPC 使用光纤电缆,请立即用橡胶安全帽盖住每个收发器和每根电缆的末端。将断开的电缆排列在电缆管理系统中,以防止电缆产生应力点。
    激光警告:

    请勿直视光纤收发器或光纤电缆的末端。光纤收发器和连接到收发器的光纤电缆会发出可能伤害眼睛的激光。
    谨慎:

    请勿将光纤收发器暴露在外,插入或拔下电缆时除外。安全帽可保持端口清洁并保护您的眼睛免受意外暴露在激光下。
    谨慎:

    请勿将光纤电缆弯曲超过其最小弯曲半径。直径小于几英寸的电弧会损坏电缆并导致难以诊断的问题。
    谨慎:

    不要让光纤电缆从连接器上自由悬挂。不要让电缆的紧固环悬垂,这会在紧固点对电缆施加压力。
  7. 同时逆时针转动两个弹出器手柄以卸下 SPC。
  8. 抓住手柄,将 SPC 直接从盒中滑出一半。
  9. 将一只手放在 SPC 的前部,另一只手放在其下方以支撑它。将 SPC 完全滑出机箱,然后将其放在防静电垫或静电袋中。
    谨慎:

    SPC 的重量集中在后端。准备好在将 SPC 滑出机箱时承受全部重量(最大 18.3 磅(8.3 千克)。

    当 SPC 从机箱中取出时,请勿握住弹出器手柄、母线或边缘连接器。他们无法支撑它的重量。

    移除后请勿将 SPC 堆叠在一起。将每个单独放入静电袋中,或放在平坦、稳定表面上的防静电垫上。
  10. 如果短时间内未将 SPC 重新安装到空插槽中,请在插槽上方安装一个空面板,以保持插件架中的气流正常。
图 7:卸下 SPC Inserting or removing a modular line card from a Juniper Networks router chassis for added functionality.

安装 SRX5400 防火墙 SPC

要安装 SPC(参见 图 8):

  1. ESD 接地腕带连接到裸露的手腕,然后将腕带的另一端连接到 ESD 接地点。
  2. 使用命令request system power-off关闭防火墙电源。
    注意:

    等待控制台上出现一条消息,确认服务已停止。
  3. 物理关闭电源并从机箱上拔下电源线。
  4. 将 SPC 放在防静电垫上或将其从静电袋中取出。
  5. 确定防火墙上将安装 SPC 的插槽。
  6. 验证每个光纤收发器是否都盖有橡胶安全帽。如果没有,请用安全帽盖住收发器。
  7. 调整 SPC 的方向,使面板朝向您,卡上的文字正面朝上,EMI 条位于右侧。
  8. 将 SPC 提起到位,并小心地将卡的左右边缘与卡架内的导轨对齐。
  9. 将 SPC 一直滑入插件架,直到感觉到阻力。
  10. 抓住两个弹出器手柄并同时顺时针旋转它们,直到 SPC 完全就位。
  11. 如果 SPC 使用光纤电缆,请从每个收发器和电缆上取下橡胶安全帽。
    激光警告:

    请勿直视光纤收发器或光纤电缆的末端。光纤收发器和连接到收发器的光纤电缆会发出可能伤害眼睛的激光。
  12. 相应的电缆插入每个 SPC 上的电缆连接器端口(参见 图 9)。固定电缆,使其不支撑自身重量。使用电缆管理系统,将多余的电缆放在整齐的盘绕环中。将紧固件放在环上有助于保持其形状。
    谨慎:

    不要让光纤电缆从连接器上自由悬挂。不要让电缆的紧固环悬垂,这会在紧固点对电缆施加压力。
    谨慎:

    请勿将光纤电缆弯曲超过其最小弯曲半径。直径小于几英寸的电弧会损坏电缆并导致难以诊断的问题。
  13. 将电源线连接到机箱。
  14. 打开防火墙电源。电源面板上的 OK LED 应闪烁,然后常亮。
  15. 通过发出show chassis fpcshow chassis fpc pic-status 命令来验证 SPC 是否正常工作。
图 8:安装 SPC Inserting a line card into a Juniper Networks router chassis for added network interfaces.
图 9:将电缆连接到 SPC Rear view of network equipment with various ports; a highlighted section shows a fiber-optic cable connected for high-speed data transmission.

更换运行中的 SRX5400、SRX5600或SRX5800防火墙中的 SPC 机箱群集

如果您的防火墙是正在运行的机箱群集的一部分,则可以通过将网络停机时间降至最短,将第一代 SRX5K-SPC-2-10-40 SPC 更换为第二代 SRX5K-SPC-4-15-320 SPC,或将第一代和第二代 SPC 更换为新一代 SRX5K-SPC3。

注意:

SRX5400防火墙不支持 SRX5K-SPC-2-10-40 SPC。

要更换属于机箱群集的防火墙中的 SPC,必须满足以下条件:

  • 每个防火墙必须至少安装一个 SPC。如果遇到的会话数大于一个 SPC 的会话限制,则安装可能需要额外的 SPC。

  • 如果机箱群集在主动-主动模式下运行,则必须先将其转换为主动-被动模式,然后才能使用此过程。通过将一个节点设置为所有冗余组的主节点,可以将群集转换为主动-被动模式。

  • 要替换第一代 SRX5K-SPC-2-10-40 SPC,群集中的两个防火墙都必须运行 Junos OS 11.4R2S1、12.1R2 或更高版本。

  • 要替换第二代 SRX5K-SPC-4-15-320 SPC,群集中的两个防火墙都必须运行 Junos OS 12.1X44-D10 或更高版本。

  • 要替换新一代 SRX5K-SPC3 SPC,群集中的两个防火墙都必须运行 Junos OS 18.2R1-S1 或更高版本。

  • 必须在群集中的两个防火墙中安装相同类型且插槽相同的 SPC。群集中的两个防火墙必须具有相同的 SPC 物理配置。

  • 如果要将现有 SRX5K-SPC-2-10-40 SPC 更换为 SRX5K-SPC-4-15-320 SPC,则必须将新 SPC 安装在最低编号的插槽中。例如,如果机箱的插槽 2 和 3 中已安装 SPC,则必须先更换插槽 2 中的 SPC。这可确保中心点 (CP) 功能由 SRX5K-SPC-4-15-320 SPC 执行。

  • 如果是首次将 SRX5K-SPC3 SPC 添加到混合了其他 SPC 的机箱中,则必须先将第一个 SRX5K-SPC3 安装在编号最低的插槽中,其他 SPX5K-SPC3 可以安装在任何可用插槽中。例如,如果机箱的插槽 2 和 3 中已安装两个 SRX5K-SPC-4-15-320 SPC,则必须在插槽 0 或 1 中安装 SRX5K-SPC3 SPC。您需要确保在提供中心点 (CP) 功能的插槽中安装了 SRX5K-SPC3 SPC,以便 SRX5K-SPC3 SPC 执行 CP 功能。

    注意:

    您的防火墙不能混用 SRX5K-SPC-2-10-40 SPC 和 SRX5K-SPC3 SPC,但从 Junos OS 18.2R2 版开始,然后是 18.4R1 版(但不是 18.3R1),您可以混合使用 SRX5K-SPC-4-15-320 SPC 和 SRX5K-SPC3 SPC。

    如果要将 SRX5K-SPC3 添加到只有 SRX5K-SPC3 的机箱中,则新的 SRX5K-SPC3 可以安装在任何可用插槽中。

  • 如果将 SRX5K-SPC-4-15-320 SPC 或 SRX5K-SPC3 SPC 添加到防火墙,则防火墙必须已配备高容量电源和风扇托架以及高容量空气过滤器。有关详细信息,请参阅 将 SRX5600 防火墙从标准容量电源升级到大容量 电源或 将 SRX5600 防火墙从标准容量升级到大容量电源

如果安装不符合这些条件,请使用 安装SRX5400防火墙 SPC安装SRX5600防火墙 SPC安装SRX5800防火墙 SPC 中的过程在防火墙中安装 SPC。

注意:

在此安装过程中,您必须一次关闭一台设备。当一台设备关闭时,另一台设备无需备份即可运行。如果该设备因任何原因发生故障,将导致网络停机,直到您重新启动至少一台设备。

要替换防火墙群集中的 SPC,请执行以下作:

  1. 使用要替换 SPC 的节点的路由引擎上的控制台端口建立 CLI 会话。
  2. show chassis cluster status使用命令确定群集中哪个防火墙当前为主防火墙,哪个防火墙为辅助防火墙。
  3. 如果要在其中恢复 SPC 的防火墙是主节点,请使用request chassis cluster failover node命令触发故障切换,使其他节点成为主节点。请参阅启动机箱群集手动冗余组故障切换
  4. show chassis fpc pic-status使用命令检查两个节点上所有卡的状态。
  5. 禁用连接到辅助节点的收入端口。
  6. 使用以下通信之一关闭辅助节点的电源:

    • request system power-off如果防火墙安装了路由引擎 SRX5K-RE-13-20 或路由引擎 SRX5K-RE-1800X4,请使用命令关闭防火墙。

    • request vmhost power-off如果防火墙安装了路由引擎 SRX5K-RE3-128G,请使用命令关闭防火墙。

    注意:

    等到控制台上出现一条消息,确认服务已停止且 LED 未闪烁。
  7. 等待辅助节点完全关闭,然后从机箱上拔下电源线。
  8. 删除连接到辅助节点的控制链路和结构链路。
  9. 按照卸下SRX5400防火墙 SPC卸下SRX5600防火墙 SPC卸下SRX5800防火墙 SPC 中的过程,从已关闭电源的防火墙上卸下 SPC。
  10. 按照安装SRX5400防火墙 SPC安装SRX5600防火墙 SPC安装SRX5800防火墙 SPC 中的过程,在断电防火墙中安装新的 SPC。
  11. 电源线插入机箱并打开辅助节点的电源。
  12. 使用设备上的控制台端口建立 CLI 会话。
  13. show chassis fpc pic-status使用命令确保辅助节点机箱中的所有卡都已重新联机。
  14. show chassis cluster status使用命令确保所有冗余组的优先级大于零。
  15. 所有卡联机后,使用 CLI 命令show system alarms检查机箱或系统报警。
  16. 如果没有机箱或系统警报,请使用以下命令之一停止辅助节点:

    • request system halt如果辅助节点安装了路由引擎 SRX5K-RE-13-20 或路由引擎 SRX5K-RE-1800X4,请使用命令停止辅助节点。

    • request vmhost halt如果辅助节点安装了路由引擎 SRX5K-RE3-128G,请使用命令停止辅助节点。

  17. 在停止过程中,您将在控制台上看到几条消息。等待看到Press any key to reboot消息,但不要按任何键。
  18. 将控制链路和结构链路连接到辅助节点,现在按任意键。这将重新启动辅助节点,并且需要一些时间才能使所有卡联机。
  19. 使用 CLI 命令show chassis cluster status验证辅助节点的状态。
  20. 启用连接到辅助节点的收入端口以删除IF Interface monitoring该标志。

机箱群集中 SRX5K-SPC3 的不中断服务硬件升级

如果您的设备是机箱群集的一部分,并且没有混合 SPC,而只有 SRX5K-SPC3 SPC,则只能使用不中断服务的硬件升级 (ISHU) 过程安装额外的 SRX5K-SPC3 (SPC3),以避免网络停机。

注意:

此 ISHU 过程不会替换任何现有的服务处理卡 (SPC),它将指导您在机箱群集中安装额外的 SPC3 卡。
注意:

强烈建议您在维护时段或尽可能低的流量期间执行 ISHU,因为辅助节点此时不可用。

要使用 ISHU 过程在属于机箱群集的防火墙中安装 SPC3,必须满足以下条件:

  • 每个防火墙必须至少安装一个 SPC3。

  • 从 Junos OS 19.4R1 版开始,所有 SRX5000 系列设备都支持 ISHU for SRX5K-SPC3 机箱群集:

    • 如果机箱只有一个 SPC3,则使用 ISHU 过程只能再安装一个 SPC3。

    • 如果机箱已有两个 SPC3 卡,则无法使用 ISHU 过程再安装任何 SPC3 卡。

    • 如果机箱已有三个或更多 SPC3 卡,则可以使用 ISHU 过程安装其他 SPC3 卡。

  • 将 SPC3 安装到机箱群集不得将中心点 (CP) 功能模式从组合 CP 模式更改为完全 CP 模式。

    当机箱中有两个或少于两个 SPC3 时,CP 模式为组合 CP 模式。机箱中有两个以上的 SPC3,CP 模式为全 CP 模式。

  • 如果机箱群集在主动-主动模式下运行,则必须先将其转换为主动-被动模式,然后才能使用此过程。通过将一个节点设置为所有冗余组的主节点,可以将群集转换为主动-被动模式。

  • 将新的 SPC3 添加到机箱时,必须将其安装在机箱中编号更高的插槽中,其编号必须高于机箱中第一个安装的 SPC3。

  • 防火墙必须已配备大容量电源和风扇托架,以及大容量空气过滤器。有关详细信息,请参阅将 SRX5600 防火墙从标准容量升级到大容量电源将 SRX5600 防火墙从标准容量升级到大容量电源

在此安装过程中,您必须一次关闭一台设备。在一台设备关闭期间,另一台设备无需备份即可运行。如果其他设备因任何原因发生故障,将导致网络停机,直到至少重新启动其中一台设备。

要在不造成停机的情况下将 SPC3 添加到防火墙群集中:

  1. 使用路由引擎上的控制台端口与群集中的一台设备建立 CLI 会话。
  2. show chassis cluster status使用命令确定群集中哪个防火墙当前为主防火墙,哪个防火墙为辅助防火墙。
  3. 如果在步骤 2 中与之建立 CLI 会话的设备不是集群中的辅助节点,请使用作为辅助节点的设备上的控制台端口建立 CLI 会话。
  4. 在辅助防火墙的 CLI 会话中:
    1. show chassis fpc pic-status使用命令检查两个节点上所有卡的状态。
    2. request vmhost power-off如果防火墙安装了路由引擎 SRX5K-RE3-128G,请使用命令关闭防火墙;否则请使用命令request system power-off
  5. 等待辅助防火墙完全关闭,然后从机箱中拔下电源线。
  6. 按照安装SRX5400防火墙 SPC安装SRX5600防火墙 SPC安装SRX5800防火墙 SPC 中的过程,在断电防火墙中安装新的 SPC3 或 SPC3。
  7. 电源线插入机箱并打开辅助防火墙电源,然后等待其完成启动。
  8. 重新建立与辅助节点设备的 CLI 会话。
  9. show chassis fpc pic-status使用命令确保辅助节点机箱中的所有卡都已重新联机。
  10. show chassis cluster status使用命令确保所有冗余组的优先级大于零。
  11. 使用作为主节点的设备上的控制台端口建立 CLI 会话。
  12. 在主节点的 CLI 会话中:
    1. request chassis cluster failover使用命令对 ID 号大于零的每个冗余组进行故障转移。
    2. request vmhost power-off如果防火墙安装了路由引擎 SRX5K-RE3-128G,请使用命令关闭防火墙,否则请使用命令request system power-off。此作会导致冗余组 0 故障转移到其他防火墙上,使其成为群集中的活动节点。
  13. 重复步骤 6,在已关闭电源的防火墙中安装 SPC3。
  14. 打开防火墙电源并等待其完成启动。
  15. show chassis fpc pic-status在每个节点上使用命令确认所有卡都联机,并且两个防火墙均正常运行。
  16. show chassis cluster status使用命令确保所有冗余组的优先级大于零。