Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

维护SRX5600主机子系统

维护SRX5600防火墙主机子系统和 SCB

目的

为获得最佳防火墙性能,请验证主机子系统和任何其他 SCB 的状况。主机子系统包括安装在 SCB 插槽中的 SCB 和路由引擎。

行动

定期:

  • 检查工艺接口上的 LED 以查看有关路由引擎状态的信息。

  • 检查 SCB 面板上的 LED。

  • 检查路由引擎面板上的 LED。

  • 要检查路由引擎的状态,请发出 show chassis routing-engine 命令。输出类似于以下内容:

  • 要检查 SCB 的状态,请发出 show chassis environment cb 命令。输出类似于以下内容:

要检查特定 SCB 的状态,请发出 show chassis environment cb node slot 命令,例如 show chassis environment cb node 0

有关使用 CLI 的详细信息,请参阅 CLI 资源管理器

使 SRX5600 防火墙主机子系统脱机

主机子系统由安装了路由引擎的 SCB 组成。使主机子系统脱机,并作为一个单元联机。更换 SCB 或路由引擎之前,必须使主机子系统脱机。使主机子系统脱机会导致设备关闭。

使主机子系统脱机:

  1. 在连接到与要卸下的 SCB 配对的路由引擎的控制台或其他管理设备上,进入 CLI 操作模式并发出以下命令。该命令会彻底关闭路由引擎,因此将保留其状态信息:
  2. 等待控制台上出现一条消息,确认操作系统已停止。

    有关命令的详细信息,请参阅 www.juniper.net/documentation/ 中的 Junos OS 系统基础知识和服务命令参考

    注意:

    发出命令后 request system halt ,SCB 可能会继续转发流量大约 5 分钟。

操作和定位SRX5600防火墙 SCB 喷射器

  • 卸下或插入 SCB 时,请确保相邻插槽中的 SCB 或空白面板已完全插入,以免弹出器手柄撞击它们。弹出器手柄要求完全插入所有相邻组件,以免弹出器手柄撞击它们,这可能会导致损坏。

  • 顶出器手柄有一个旋转中心,需要朝向板的中心存放。确保位于板右端和左端的顶出器的长端是水平的,并尽可能向板的中心压。

  • 要插入或卸下 SCB,请将弹出器水平滑过 SCB,旋转它,然后再次滑动四分之一圈。再次转动弹出器,并根据需要重复上述步骤。利用分度功能来最大化杠杆作用并避免击中任何相邻组件。

  • 同时操作两个弹出器手柄。SCB 上的插入力对于一个顶出器来说太大。

更换SRX5600防火墙 SCB

更换 SCB 之前,请阅读操作 和定位 SRX5600 防火墙 SCB 弹出器中的指南。要更换 SCB,请执行以下步骤:

注意:

更换 SCB 的过程适用于 SRX5K-SCB、SRX5K-SCBE、SRX5K-SCB3 和 SRX5K-SCB4。

删除SRX5600防火墙 SCB

要卸下 SCB(请参阅 图 1):

注意:

SCB 和路由引擎将作为一个单元移除。您也可以单独卸下路由引擎。
谨慎:

在卸下 SCB 之前,请确保您知道如何正确操作弹出器手柄以避免损坏设备。

  1. 如果要从机箱群集中移除 SCB,请从任何节点停用结构接口。
    注意:

    应停用交换矩阵接口,以避免机箱群集出现故障。
  2. 使用以下通信之一关闭防火墙电源:

    • 如果 request system power-off 安装了路由引擎 SRX5K-RE-13-20 或路由引擎 SRX5K-RE-1800X4,请使用命令关闭防火墙。

    • 如果 request vmhost power-off 安装了路由引擎 SRX5K-RE3-128G,请使用命令关闭防火墙。

    注意:

    等待控制台上出现一条消息,确认服务已停止。
  3. 以物理方式关闭电源并从机箱上拔下电源线。
  4. 将防静电袋或防静电垫放在平坦、稳定的表面上。
  5. 将 ESD 接地带连接到裸露的手腕上,然后将腕带的另一端连接到 ESD 接地点。
  6. 关闭防火墙电源。
  7. 同时逆时针旋转弹出器手柄以卸下 SCB。
  8. 抓住弹出器手柄,将 SCB 滑出机箱约一半。
  9. 将一只手放在 SCB 下方以支撑它,然后将其完全滑出机箱。
  10. 将 SCB 放在防静电垫上。
  11. 如果现在不更换 SCB,请在空插槽上安装空面板。
图 1:卸下 SCB Removing an SCB

安装SRX5600防火墙 SCB

要安装 SCB(请参阅 图 2),请执行以下操作:

  1. 将 ESD 接地带连接到裸露的手腕上,然后将腕带的另一端连接到 ESD 接地点。
  2. 使用以下通信之一关闭防火墙电源:

    • 如果 request system power-off 安装了路由引擎 SRX5K-RE-13-20 或路由引擎 SRX5K-RE-1800X4,请使用命令关闭防火墙。

    • 如果 request vmhost power-off 安装了路由引擎 SRX5K-RE3-128G,请使用命令关闭防火墙。

    注意:

    等待控制台上出现一条消息,确认服务已停止。
  3. 以物理方式关闭电源并从机箱上拔下电源线。
  4. 小心地将 SCB 的侧面与机箱内的导轨对齐。
  5. 将 SCB 滑入机箱,直到感觉到阻力,小心地确保其正确对齐。
  6. 抓住两个弹出器手柄,同时顺时针旋转,直到 SCB 完全就位。
  7. 将弹出器手柄水平并朝向电路板中心放置在正确的位置。
  8. 将电源线连接到机箱并打开防火墙电源。电源面板上的 OK LED 应闪烁,然后稳定亮起。
  9. 要验证 SCB 是否正常工作,请检查其面板上的 LED。安装 SCB 几分钟后,绿色的 OK/FAIL LED 应稳定亮起。如果 OK/FAIL LED 为红色,请卸下并重新安装 SCB。如果 OK/FAIL LED 仍然稳定亮起,则 SCB 无法正常工作。请联系您的客户支持代表。

    要检查 SCB 的状态,请执行以下操作:

  10. 如果将 SCB 安装到机箱群集中,请通过新安装的 SCB 的控制台将该节点放回群集并重新启动。

    其中 x 是群集 ID,Y 是节点 ID

  11. 激活已禁用的结构接口。
图 2:安装 SCB Installing an SCB

更换SRX5600防火墙路由引擎

要更换路由引擎,请执行以下步骤:

注意:

更换路由引擎的过程适用于 SRX5K-RE-13-20、SRX5K-RE-1800X4 和 SRX5K-RE-128G。

卸下SRX5600防火墙路由引擎

谨慎:

更换路由引擎之前,必须使主机子系统脱机。

要卸下路由引擎(请参阅 图 3):

  1. 使主机子系统脱机,如使 SRX5600 防火墙主机子系统脱机中所述。
  2. 将防静电袋或防静电垫放在平坦、稳定的表面上。
  3. 将 ESD 接地带连接到裸露的手腕上,然后将腕带的另一端连接到 ESD 接地点。
  4. 向外翻转弹出器手柄以卸下路由引擎。
  5. 抓住弹出器手柄的路由引擎,将其滑出机箱约一半。
  6. 将一只手放在路由引擎下方以支撑它,然后将其完全滑出机箱。
  7. 将路由引擎放在防静电垫上。
图 3:卸下路由引擎 Removing a Routing Engine

安装 SRX5600 防火墙路由引擎

要将路由引擎安装到 SCB 中(请参阅 图 4):

注意:

如果在防火墙中仅安装一个路由引擎,则必须将其安装在防火墙机箱的 SCB 插槽 0 中。
  1. 如果尚未执行此操作,请使主机子系统脱机。请参阅使 SRX5600 防火墙主机子系统脱机
  2. 将 ESD 接地带连接到裸露的手腕上,然后将腕带的另一端连接到 ESD 接地点。
  3. 确保弹出器手柄未处于锁定位置。如有必要,向外翻转弹出器手柄。
  4. 将一只手放在路由引擎下方以支撑它。
  5. 小心地将路由引擎的侧面与 SCB 开口内的导轨对齐。
  6. 将路由引擎滑入 SCB,直到感到阻力,然后按路由引擎的面板,直到其与连接器啮合。
  7. 向内按两个弹出器手柄以安装路由引擎。
  8. 拧紧路由引擎面板右端和左端的外加螺钉。
  9. 打开防火墙电源。电源面板上的 OK LED 应闪烁,然后稳定亮起。

    路由引擎可能需要几分钟才能启动。

    路由引擎启动后,通过检查操作员接口上的 RE0RE1 LED 来验证其安装是否正确。如果防火墙正常运行且路由引擎运行正常,绿色 ONLINE LED 将常亮。如果红色 FAIL LED 常亮,请卸下并重新安装路由引擎。如果红色 FAIL LED 仍然稳定亮起,则路由引擎无法正常工作。请联系您的客户支持代表。

    要检查路由引擎的状态,请使用 CLI 命令:

    有关使用 CLI 的详细信息,请参阅 CLI 资源管理器

    图 4:安装路由引擎 Installing the Routing Engine
  10. 如果机箱群集中某个节点上的路由引擎已更换,则需要从群集中的另一个节点复制证书和密钥对:

    1. 在群集的两个节点上以 root 用户身份启动 shell 接口。

    2. 使用以下命令验证源节点(群集中的其他节点)和目标节点(更换路由引擎的节点)的 /var/db/certs/common/key-pair 文件夹中的文件:

      ls -la /var/db/certs/common/key-pair/

    3. 如果两个节点上存在相同的文件,请将目标节点上的文件备份到其他位置。例如:

      root@SRX-B% pwd /var/db/certs/common/key-pair root@SRX-B% ls -la total 8 drwx------ 2 root wheel 512 Jan 22 15:09 drwx------ 7 root wheel 512 Mar 26 2009 -rw-r--r-- 1 root wheel 0 Jan 22 15:09 test root@SRX-B% mv test test.old root@SRX-B% ls -la total 8 drwx------ 2 root wheel 512 Jan 22 15:10 drwx------ 7 root wheel 512 Mar 26 2009 -rw-r--r-- 1 root wheel 0 Jan 22 15:09 test.old root@SRX-B%

    4. 将文件从源节点的 /var/db/certs/common/key-pair 文件夹复制到目标节点上的同一文件夹中。

      注意:

      确保为目标节点使用正确的节点号。

    5. 在目标节点中,使用命令验证 ls –la 是否复制了源节点的 /var/db/certs/common/key-pair 文件夹中的所有文件。

    6. /var/db/certs/common/local /var/db/certs/common/certification-authority 文件夹重复步骤 b 到步骤 e。

针对 SCB3 和 IOC3 的低影响硬件升级

在开始 LICU 过程之前,请验证群集中的两个防火墙是否运行相同的 Junos OS 版本。

注意:

只能使用 LICU 进程执行硬件升级。

在从 Junos OS 版本 12.3X48-D10 升级到 15.1X49-D10 的软件的同时,必须执行硬件升级。

如果您的设备是机箱群集的一部分,则可以使用低影响硬件升级 (LICU) 过程将 SRX5K-SCBE (SCB2) 升级到 SRX5K-SCB3 (SCB3),将 SRX5K-MPC (IOC2) 升级到 IOC3(SRX5K-MPC3-100G10G 或 SRX5K-MPC3-40G10G),同时将停机时间降至最低。您还可以按照此过程将 SCB1 升级到 SCB2,将 RE1 升级到 RE2。

在机箱群集中,主设备描述为节点 0,辅助设备描述为节点 1。

请按照以下步骤执行 LICU

  1. 在进行 LICU 时,通过将辅助节点与网络隔离,确保辅助节点不会对网络流量产生影响。为此,请禁用辅助节点上的物理接口(RETH 子接口)。
  2. 禁用 SYN 位和 TCP 序列号检查,以便辅助节点接管。
  3. 提交配置。
  4. 断开机箱群集中设备之间的控制和结构链路,以便断开运行不同 Junos OS 版本的节点的连接。为此,请将控制端口和结构端口更改为错误的值。结构端口必须设置为任何 FPC 编号,控制端口必须设置为任何非 IOC 端口。发出以下命令:
  5. 提交配置。
    注意:

    提交配置后,将显示以下错误消息: 与节点 1 的连接已中断错误:由于控制平面通信中断,节点 1 上的远程解锁配置失败

    忽略错误消息。

  6. 将辅助节点上的 Junos OS 版本从 12.3X48-D10 升级到 15.1X49-D10。
  7. 打开辅助节点的电源。

    看:

  8. 在辅助节点上执行硬件升级,方法是将 SCB2 替换为 SCB3,将 IOC2 替换为 IOC3,并将现有中板替换为增强型中板。

    升级 SCB 时请执行以下步骤:

    要升级辅助节点上的路由引擎:

    1. 在关闭辅助节点电源之前,请将配置信息复制到 USB 设备。
    2. 将 RE1 替换为 RE2,并在 RE2 上升级 Junos OS。
    3. 将配置从 USB 设备上传到 RE2。

      有关在设备上安装 USB 驱动器的详细信息,请参阅知识库KB12880KB12022知识库文章。

    升级 MPC 时执行此步骤。

    1. 在辅助节点上配置控制端口、结构端口和 RETH 子端口。 

      [edit]
root@clustert# show | display set | grep reth0
set chassis cluster redundancy-group 1 ip-monitoring family
inet 44.44.44.2 interface reth0.0 secondary-ip-address 44.44.44.3
set interfaces xe-3/0/0 gigether-options redundant-parent
reth0
set interfaces xe-9/0/0 gigether-options redundant-parent
reth0
set interfaces reth0 vlan-tagging
set interfaces reth0 redundant-ether-options redundancy-group
1
set interfaces reth0 unit 0 vlan-id 20
set interfaces reth0 unit 0 family inet address 44.44.44.1/8

      [edit]
root@clustert# show | display set | grep reth1
set interfaces xe-3/0/4 gigether-options redundant-parent
reth1
set interfaces xe-9/0/4 gigether-options redundant-parent
reth1
set interfaces reth1 vlan-tagging 
set interfaces reth1 redundant-ether-options redundancy-group
1
 set interfaces reth1 unit 0 vlan-id 30
set interfaces reth1 unit 0 family inet address 55.55.55.1/8

  9. 验证辅助节点是否正在运行升级后的 Junos OS 版本。
  10. 通过禁用主节点上的接口并在辅助节点上启用接口来验证配置更改。
  11. 检查配置更改。
  12. 验证后,提交配置。

    网络流量故障转移到辅助节点。

  13. 通过检查辅助节点上的会话表和网络流量,验证故障转移是否成功。
  14. 将主节点上的 Junos OS 版本从 12.3X48-D10 升级到 15.1X49-D10。

    忽略与断开连接的群集相关的错误消息。

  15. 打开主节点的电源。

    看:

  16. 通过在主节点上执行硬件升级,将 SCB2 替换为 SCB3,将 IOC2 替换为 IOC3,并将现有中板替换为增强型中板。

    升级 SCB 时,请执行以下步骤。

    要升级主节点上的路由引擎:

    1. 在关闭辅助节点电源之前,请将配置信息复制到 USB 设备。
    2. 将 RE1 替换为 RE2,并在 RE2 上升级 Junos OS。
    3. 将配置从 USB 设备上传到 RE2。

      有关在设备上安装 USB 驱动器的详细信息,请参阅知识库KB12880KB12022知识库文章。

    升级 MPC 时执行此步骤。

    1. 在主节点上配置控制端口、结构端口和 RETH 子端口。 

      [edit]
root@clustert# show | display set | grep fab
set groups global interfaces fab1 fabric-options member-interfaces
xe-9/0/2 
set groups global interfaces fab0 fabric-options member-interfaces
xe-3/0/2

      [edit]
root@clustert# show | display set | grep reth0
set chassis cluster redundancy-group 1 ip-monitoring family
inet 44.44.44.2 interface reth0.0 secondary-ip-address 44.44.44.3
set interfaces xe-3/0/0 gigether-options redundant-parent
reth0
set interfaces xe-9/0/0 gigether-options redundant-parent
reth0
set interfaces reth0 vlan-tagging
set interfaces reth0 redundant-ether-options redundancy-group
1
set interfaces reth0 unit 0 vlan-id 20
set interfaces reth0 unit 0 family inet address 44.44.44.1/8

      [edit]
root@clustert# show | display set | grep reth1
set interfaces xe-3/0/4 gigether-options redundant-parent
reth1
set interfaces xe-9/0/4 gigether-options redundant-parent
reth1
set interfaces reth1 vlan-tagging 
set interfaces reth1 redundant-ether-options redundancy-group
1
 set interfaces reth1 unit 0 vlan-id 30
set interfaces reth1 unit 0 family inet address 55.55.55.1/8

  17. 验证主节点运行的是升级版 Junos OS 版本,以及主节点是否可用于接管网络流量。
  18. 检查配置更改。
  19. 验证后,提交配置。
  20. 通过在辅助节点上禁用接口并在主节点上启用接口来验证配置更改。

    网络流量故障转移到主节点。

  21. 要同步群集中的设备,请在辅助节点上使用正确的端口值重新配置控制端口和结构端口。
  22. 提交配置。
  23. 打开辅助节点的电源。

    看:

    1. 打开辅助节点电源后,启用主节点上的控制端口和结构端口,然后使用正确的端口值对其进行重新配置。
  24. 提交配置。
  25. 辅助节点启动后,验证它是否与主节点同步。
  26. 为辅助节点启用 SYN 位和 TCP 序列号检查。
  27. 提交配置。
  28. 验证冗余组 (RG) 状态及其优先级。

    辅助节点开机后,发出以下命令:

    在辅助节点上启用流量接口。

有关 LICU 的详细信息,请参阅知识库KB17947知识库文章。

机箱群集中 SRX5K-RE-1800X4 和 SRX5K-SCBE 或 SRX5K-RE-1800X4 和 SRX5K-SCB3 的不中断服务硬件升级

在开始 ISHU 过程之前,请确保已完成以下先决条件:

  • 更换表 1 中指定的所有接口卡,例如 IOC 和 Flex IOC。

    表1:用于升级的接口卡列表

    要更换的卡

    用于升级的替换卡

    SRX5K-40GE-SFP

    SRX5K-MPC 和 MIC

    SRX5K-4XGE-XFP

    SRX5K-MPC 和 MIC

    SRX5K-FPC-IOC

    SRX5K-MPC 和 MIC

    SRX5K-RE-13-20

    SRX5K-RE-1800X4

    SRX5K-SCB

    SRX5K-SCBE

    SRX5K-SCBE

    SRX5K-SCB3

  • 验证群集中的两个防火墙是否运行相同的 Junos OS 版本;带有 SRX5K-RE-1800X4 的 SRX5K-SCBE 为 12.1X47-D15 或更高版本;带有 SRX5K-RE-1800X4 的 SRX5K-SCB3 为 15.1X49-D10 或更高版本。有关防火墙支持的卡的详细信息,请参阅 SRX5400、SRX5600 和SRX5800防火墙支持的卡

    有关统一不中断服务的软件升级(统一 ISSU)的详细信息,请参阅 使用 ISSU 升级机箱群集中的两台设备

如果您的设备是机箱群集的一部分,则使用不中断服务的硬件升级 (ISHU) 过程,您可以升级:

  • 采用 SRX5K-RE-13-20 的 SRX5K-SCB 至采用 SRX5K-RE-1800X4 的 SRX5K-SCBE

    注意:

    两个防火墙必须具有相同的 Junos OS 版本 12.3X48。

  • SRX5K-SCBE 和 SRX5K-RE-1800X4 到 SRX5K-SCB3 和 SRX5K-RE-1800X4

    注意:

    您无法将带有 SRX5K-RE-13-20 的 SRX5K-SCB 直接升级到带有 SRX5K-RE-1800X4 的 SRX5K-SCB3。

注意:

我们强烈建议您在维护时段或尽可能低的流量期间执行 ISHU ,因为此时辅助节点不可用。

确保在升级 SCB 和路由引擎的同时,仅支持以下配置:

  • SRX5K-RE-13-20 和 SRX5K-SCB

  • SRX5K-RE-1800X4 和 SRX5K-SCBE

  • SRX5K-RE-1800X4 和 SRX5K-SCB3
注意:

执行 ISHU 时,在SRX5800防火墙中,第二个 SCB 可以包含一个路由引擎,但第三个 SCB 不得包含路由引擎。在SRX5600防火墙中,第二个 SCB 可以包含一个路由引擎。

要执行 ISHU,请执行以下操作:

  1. 将配置信息从辅助节点导出到 USB 或外部存储设备。

    有关在设备上安装 USB 的详细信息,请参阅知识库KB12880KB12022知识库文章。

  2. 关闭辅助节点的电源。

    请参阅关闭 SRX5400防火墙电源关闭SRX5600防火墙电源或关闭 SRX5800防火墙电源。

  3. 将所有接口卡从机箱底板上拉出 6“ 到 8” (保留电缆就位),从而断开机箱底板的连接。
  4. 根据机箱规格,将 SRX5K-SCB 替换为 SRX5K-SCBE,或将 SRX5K-SCBE 替换为 SRX5K-SCB3,将 SRX5K-RE-13-20 替换为 SRX5K-RE-1800X4。
  5. 打开辅助节点的电源。

    看:

  6. 辅助节点作为独立节点重新启动后,请配置与主节点中相同的群集 ID。
  7. 在辅助节点上安装与主节点相同的 Junos OS 软件映像,然后重新启动。
    注意:

    对于 SRX5K-RE-1800X4 和 SRX5K-SCBE,请确保安装的 Junos OS 版本为 12.1X47-D15 或更高版本,对于 SRX5K-RE-1800X4 和 SRX5K-SCB3,请确保安装的版本为 15.1X49-D10 或更高版本。
  8. 辅助节点重新启动后,将所有配置设置从 USB 导入到节点。

    有关在设备上安装 USB 的详细信息,请参阅知识库KB12880KB12022知识库文章。

  9. 关闭辅助节点的电源。

    请参阅 关闭SRX5400防火墙电源关闭SRX5600防火墙电源或关闭 SRX5800防火墙电源。

  10. 将所有接口卡重新插入机箱底板。
    注意:

    确保卡的插入顺序与主节点中的顺序相同,并保持控制链路和交换矩阵链路之间的连接。
  11. 打开节点电源并发出以下命令以确保所有卡都联机:

    节点启动后,它必须作为辅助节点加入群集。要进行验证,请发出以下命令

    注意:

    命令输出必须指示节点优先级设置为非零值,并且群集包含主节点和辅助节点。
  12. 手动启动到已升级节点的冗余组 (RG) 故障切换,以便将其作为主节点分配给所有 RG。

    对于 RG0,请发出以下命令:

    对于 RG1,请发出以下命令:

    通过发出以下命令验证是否已故障转移所有 RG:

  13. 通过执行以下操作来验证已升级的辅助节点的操作:

    • 要确保所有 FPC 都联机,请发出以下命令:

    • 要确保升级所有 RG 并将节点优先级设置为非零值,请发出以下命令:

    • 要确保升级的主节点接收和传输数据,请发出以下命令:

    • 要确保在升级的节点上创建和删除会话,请发出以下命令:

  14. 对主节点重复步骤 112
  15. 要确保 ISHU 进程成功完成,请通过发出以下命令检查集群的状态:

有关机箱群集的详细信息,请参阅 www.juniper.net/documentation/ 上的 SRX 系列设备的机箱群集用户指南