Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

如何升级到 Junos OS 21.2R3 版

总结 在本主题中,您将了解如何在瞻博网络® SRX 系列防火墙设备上将 Junos OS 软件升级到 21.2R3 版。您还将了解适用于瞻博网络® vSRX 虚拟防火墙虚拟防火墙的升级选项。

升级 Junos OS 的最佳实践

我们建议您从以下最佳实践开始,以优化升级体验:

  • 阅读 Junos OS 21.2R3 版的发行说明。

  • 如果使用 CLI 升级软件,请通过控制台端口将笔记本电脑/计算机连接到 SRX 系列防火墙(推荐)。

  • 将您的设备连接到互联网。

  • 备份当前配置。

  • 确保没有未提交的更改。

  • 使用命令清除 request system storage cleanup 文件并擦除不需要的或未使用的配置。

  • 如果设置了机箱群集,请确保两个节点都联机且具有相同版本的 Junos OS。

  • 计划延长维护时段(最好在非工作时间),以最大程度地减少影响。

  • 在维护时段内为升级、故障排除和任何配置后过程分配足够的时间。
  • 确定在升级后帮助验证应用程序和网络功能的业务联系人。

执行安装前步骤

请确保在执行升级之前完成以下任务。
  1. 检查当前的 Junos OS 软件版本。
    user@host> show version
  2. 检查系统是否有足够的存储空间进行升级。
    user@host> show system storage 从示例输出中, /dev/vtbd0s1a/dev/vtbd1s1f 表示存储可在 CompactFlash 卡和硬盘上使用。
  3. 保存活动配置和许可证密钥。您可以创建包含配置或许可证密钥的文件,并使用以下方法之一进行保存。
    • 将其保存在外部服务器(FTP、HTTP 或 SCP)或笔记本电脑(推荐)上。以下示例显示如何使用 SCP 在外部设备上保存活动配置。
    • 将其保存在本地设备上。以下示例显示了在设备上保存活动配置。
    系统将活动配置保存在指定的文件位置。
    同样, user@host> request system license save filename 使用命令保存许可证密钥并将其复制到外部设备或存储在本地。
  4. (可选)使用系统快照功能创建设备上运行的软件的副本。拥有软件快照可帮助您恢复到已知的稳定环境,以防升级出现问题。请参阅使用快照备份安装
  5. 确保没有未提交的更改。
  6. 删除具有多个源地址的 NTP 配置。
  7. 检查您的配置是否包含以下 Junos 默认应用程序并将其删除。

    • GPRS 隧道协议 (GTP) 应用:Junos-gprs-gtp-c-tcp、junos-gprs-gtp-c-tcp、junos-gprs-gtp-u-tcp

    • 基于 SSL 的动态应用程序:junos:HTTPS、junos:IMAPS、junos:POP3S、junos:SMTPS

直接在独立安全密码器 (CLI) 上升级

在此示例中,我们将使用以下硬件和软件组合:

  • 瞻博网络 SRX300 防火墙
  • Junos OS 20.4R3 版
  • 512 MB 可用闪存

要从 Junos OS 20.4R3 版升级到 Junos OS 21.2R3 版:

  1. 导航到 SRX300 的瞻博网络 支持 页面,选择 Junos 作为操作系统,选择 21.2 作为版本,如图 1 所示。
    图 1:下载 Junos OS 软件 Download Junos OS Software
  2. 单击“下载”下的 tgz (395.91 MB)。
  3. 输入您的凭据以查看并接受最终用户许可协议。系统将引导您进入软件映像下载页面。
  4. 您将在页面上看到以下两个选项。使用以下选项之一下载 Junos OS 映像文件:
    • 要直接在您的安全设备上下载图像,请使用以下URL:您可以直接在安全设备上下载软件映像。根据屏幕上的说明,复制框中提供的 URL。URL 字符串将复制到剪贴板。使用安全设备上的文件复制命令下载图像。

      示例:要直接在安全设备上下载图像,请在安全设备上运行以下命令。.

      您的安全设备将图像下载到 /var/tmp/image-name 位置。此示例中的映像名称为 junos-srxsme-21.2R3.8.tgz

    • 要在本地主机(本地系统,如笔记本电脑)上下载映像,请执行以下操作: 您可以使用 SCP 或 SFTP 选项将软件映像从本地系统复制到安全设备。

      例 :要使用SCP将软件映像复制到安全设备,请在安全设备上运行以下命令。

    在此过程中,我们会将图像直接下载到安全设备上。
  5. 验证 Junos 安装包上的 MD5 校验和。
    此步骤确认未以任何方式修改从瞻博网络网站下载的 Junos 安装包。
    1. 列出要显示下载图像的文件。
      user@host> file list /var/tmp
    2. 显示图像文件的 MD5 校验和值。
      user@host> file checksum md5 /var/tmp/junos-srxsme-21.2R3.8.tgz
    3. 返回软件下载页面,然后单击 SRX300 的 校验和 选项。将屏幕上显示的 MD5 校验和值与您从 CLI 命令输出获得的 MD5 哈希输出值进行比较。
      图 2:MD5 校验和值 MD5 Checksum Value MD5 Checksum Value
    4. 重复上述步骤以计算文件的 SHA1、SHA256 和 SHA512 值。
  6. 在开始实际升级之前,请验证 Junos OS 映像以确保现有配置与新映像兼容。
    user@host> request system software validate /var/tmp/junos-srxsme-21.2R3.8.tgz
    注意:将 SRX 系列防火墙从 21.2 版之前的 Junos OS 版本升级到 Junos OS 21.2 或更高版本时,SRX1500设备系列、SRX4000系列设备SRX5000具有 RE3 的设备系列和 vSRX 虚拟防火墙实例不支持 request system software validate用于软件验证的命令。
  7. 安装映像。
    user@host> request system software add /var/tmp/junos-srxsme-21.2R3.8.tgz no-copy
    关于软件验证选项
    将 Junos OS 从版本 21.2 或更早版本升级到版本 21.2 或更高版本时,请注意以下事项:

    • 由于 FreeBSD 升级,SRX1500设备、SRX4000系列设备、SRX5000具有 RE3 和 vSRX 虚拟防火墙的设备系列实例不支持软件验证。

    • no-validate使用 或 request system software upgrade 命令中的request system software in-service-upgrade选项。

    • no-compatibility-check 选项 request system software in-service-upgrade 与命令而不是 no-validate 选项一起使用。

    有关更多详细信息,请查看知识库文章 需要使用“无验证”选项

    注意:

    如果要使用 RE3 升级 SRX5000 线防火墙,则必须使用“请求 vmhost 软件添加”命令。
  8. 重新启动系统。
    Reboot the system ? [yes,no] (no)
    Yes
  9. 安装新的 Junos OS 版本后,请完成以下检查。
  • 使用命令 show version 重新启动系统后检查 Junos OS 版本。
  • 使用命令确保 show configuration 设备设置、网络设置和其他配置已到位。

直接在机箱群集 (CLI) 中的安全设备上升级

在此示例中,我们将使用以下硬件和软件组合:

  • 机箱群集设置中的瞻博网络SRX4200防火墙设备
  • Junos OS 20.4R3 版
  • 512 MB 可用闪存

开始之前

  • 确保群集的每个节点上都具有相同版本的 Junos OS。
  • 确保群集中的两台设备同时联机。
  • 卸下机箱群集结构接口 enabledisable 配置(如果已配置该选项)。

例子:

  1. 下载并验证 Junos OS 21.2R3 版映像。详情请参阅 直接在独立安全密码器(CLI)上升级 中提供的步骤1至步骤6。
  2. 在节点 0 上安装 Junos OS 映像。
    安装完成后,请勿重新启动设备。
  3. 在节点 1 上安装 Junos OS 映像。
    安装完成后,请勿重新启动设备。
  4. 通过在两个节点上分别使用 request system reboot 命令重新启动两个节点。
    重新启动后,两个节点将具有相同的 Junos OS 映像。
  5. 使用 show version 命令在系统重新启动后检查 Junos OS 版本。

使用 USB 闪存盘或 J-Web 升级 Junos OS

U 盘

如果您无法通过控制台访问 SRX 系列防火墙,则可以使用 USB 闪存驱动器升级 Junos OS 映像,或在启动介质损坏后恢复 SRX 系列防火墙。有关详细信息,请参阅 通过 CLI 安装软件(方法 3 - 从将 Junos 软件复制到 U 盘)中的知识库文章。

J-Web

您可以使用 J-Web 通过几个步骤升级 SRX 系列防火墙。有关详细信息,请参阅 安装软件包

vSRX 虚拟防火墙虚拟机的升级注意事项

如果您考虑升级 vSRX 虚拟防火墙虚拟机上的 Junos OS,请注意以下事项:

  • 我们建议您部署新的 vSRX 虚拟防火墙虚拟机,而不是执行 Junos OS 升级。新的虚拟机使您能够从 vSRX 虚拟防火墙迁移到更新、更增强的 vSRX 虚拟防火墙 3.0 版本。

  • 迁移到 vSRX 虚拟防火墙 3.0 软件架构可提供许多好处,包括引入新服务、提供定制服务以及根据动态需求扩展安全服务。Junos OS 18.4R1 及更高版本支持 vSRX 虚拟防火墙 3.0。

  • 有关 vSRX 虚拟防火墙 3.0 支持的更多详细信息,请参阅知识库文章可用 虚拟 SRX 型号概述、vSRX 和 vSRX 3.0 ;有关迁移到 vSRX 虚拟防火墙 3.0 的说明,请参阅 迁移到 vSRX3.0

cSRX 容器防火墙容器防火墙的升级注意事项

从 Junos OS 20.2R1 版开始,瞻博网络® cSRX 容器防火墙容器防火墙映像可从瞻博网络支持站点下载,与其他 Junos OS 平台映像类似。cSRX 容器防火墙容器打包在 Docker 映像中,并在 Linux 主机上的 Docker 引擎中运行。

要升级 cSRX 容器防火墙,您必须从 Docker 环境中的瞻博网络网站下载 cSRX 容器防火墙软件映像,然后启动新的 cSRX 容器防火墙实例。有关详细信息,请参阅以下链路:

有关不同受支持的 Linux 主机操作系统上的 docker 安装说明,请参阅:

有关如何在装有 Ubuntu OS 的服务器上实施瞻博网络的 cSRX 容器防火墙的完整信息,请参阅 Day One:使用 cSRX 构建容器

在由 Junos Space 管理的 SRX 系列防火墙上升级 Junos OS

总结 使用以下简单步骤升级由 Junos Space 管理的安全设备。观看视频 Junos Space 映像管理 ,了解该过程。

在此示例中,我们将使用以下硬件和软件组合:

  • 由 Security Director 管理的瞻博网络 SRX300 防火墙
  • Junos OS 版本 15.1X49-D170
  1. 在网络管理平台 GUI 上,选择 设备>设备管理。此时将显示“设备管理”页面。
  2. 检查设备上运行的操作系统 (OS) 版本。
  3. 导航到瞻博网络 支持 页面,下载 Junos OS 21.2R3 版,并将文件保存到您的计算机。有关说明,请参阅 直接在安全密码器(CLI)上升级
  4. 转到 图像和脚本 ,然后选择 图像。单击 导入映像 图标,将映像文件上传到 Junos Space 平台。

    图像上传完成后,“图像”页面会在 “文件名”下显示上传的图像。

  5. 通过选择“ 操作>在设备上验证图像 ”选项来验证映像。
  6. 通过导航到映像 和脚本>映像>MD5验证结果 页面来检查验证结果。
  7. 选择上传的 Junos OS 映像,然后从操作菜单中选择部署映像选项。或者,可以通过选择“设备上的暂存映像”选项来选择稍后暂存部署。
  8. “在设备上部署映像 ”页上,选择要升级的设备,并指定“ 成功安装后删除包”“下载前删除任何现有映像 ”选项。
  9. 单击 部署 开始安装。升级完成后,您可以通过导航到设备 >设备管理 页面来检查设备上的软件版本。此处,操作系统版本现在显示 Junos OS 21.2R3 版。
  10. 成功安装后重新启动设备。

升级由瞻博网络 Security Director Cloud 管理的 SRX 系列防火墙上的 Junos OS

您可以使用瞻博网络 Security Director Cloud 来管理 SRX 系列(独立群集和机箱群集)和 vSRX 虚拟防火墙上运行的软件映像。瞻博网络 Security Director Cloud 可帮助您管理(添加、暂存、部署和删除)所有托管网络设备映像的整个生命周期。

要在 Security Director Cloud 管理的设备上执行 Junos OS 升级,请转至 SRX > 设备管理 > 软件映像

当您需要升级或降级设备上运行的映像时,可以使用瞻博网络 Security Director Cloud 添加设备的软件映像,在设备上暂存和部署所需的映像。

有关更多信息,请参阅《瞻博网络 Security Director Cloud 用户指南》的“关于映像”页面

在由 Juniper Sky™ Enterprise 管理的 SRX 系列防火墙上升级 Junos OS

您可以使用 Juniper Sky Enterprise 托管的映像轻松升级 Junos OS 设备。Juniper Sky Enterprise 只需使用浏览器即可简化 Junos OS 映像升级过程。

要在 Juniper Sky Enterprise 管理的设备上执行 Junos OS 升级:

  1. 从 Juniper Sky Enterprise 仪表板中选择一个目标设备,然后选择要升级的 Junos OS 映像版本。

  2. 单击 升级 选项。

  3. Juniper Sky Enterprise 检查可用磁盘空间。如果有足够的空间,它将启用 “新建升级 ”选项以继续。

Juniper Sky Enterprise 直接从瞻博网络提供映像,使该过程快速高效。有关更多信息,请参阅 Juniper Sky Enterprise 用户指南

升级到 Junos OS 21.2R3 版之后

升级到 Junos OS 19.4R3 版或 Junos OS 21.2R3 版后,请执行以下步骤。

  • 将设备配置文件复制回设备。我们建议您保留配置,除非您要部署新的 vSRX 虚拟防火墙虚拟机。

  • 下载并安装最新的入侵检测和防御 (IDP) 签名包。请参阅 手动更新 IDP 签名数据库

  • 下载并安装最新的应用程序签名包。请参阅 手动下载和安装 Junos OS 应用程序签名包

  • 更改 GPRS 隧道协议 (GTP) 设置。从 Junos OS 15.1X49 版升级到 Junos OS 18 后,不进行 GTP 检查的 GTP 分发将不起作用。X 版本。您可以使用以下解决方法之一:

    • 如果可能,请禁用 GTP 分发功能。

    • 对通过设备的所有 GTP 流量启用 GTP 检查。为此,您可以在可能承载 GTP 流量的所有安全策略上配置 GTP 配置文件。请参阅 示例:在策略中启用 GTP 检查。

  • 确定何时迁移到统一策略。请参阅 升级后开始使用统一策略

许可要求

从 Junos OS 21.1R1 版开始,我们已过渡到 SRX 系列防火墙和 vSRX 虚拟防火墙的 Flex 软件订阅许可模式。21.1 版之前的 Junos OS 使用旧版许可管理系统 (LMS) 中的许可证。

如果您有旧版许可证密钥,并且在升级到 Junos OS 21.1 版、21.2R3 版或更高版本时应用了这些密钥,则许可证将在 30 天的宽限期后过期。您必须使用瞻博网络敏捷许可 (JAL) 门户购买新许可证。有关详细信息,请参阅 SRX 系列设备的 Flex 软件许可证

如果您有任何疑问,请通过 https://www.juniper.net/in/en/contact-us/ 联系瞻博网络销售代表,他们将协助您为应用程序选择最佳许可模式。

下一步是什么

现在,您已经在设备上安装了新的 Junos OS,如果要迁移到统一策略配置,请参阅 升级后开始使用统一策略。否则,请了解可以开始在 Junos OS 中使用的新功能和增强功能。请参阅 探索升级到 Junos OS 19.4R3 版后的新功能