Juniper SRX3600防火墙操作手册 - 图文

SRX3600安全网关操作手册

Version 1.01

Chen Jiang System Engineer

Juniper Networks, Inc.

北京市东城区东长安街1号东方经贸城西三办公室15层1508室

邮编:100738 电话:58126000 http://www.juniper.net

第 1 页 共 98 页

修订记录

日期 2009/12/3 2009/12/5 2009/12/9

内容 创建文档 完成1.00版本 完成1.01版本，加入3.5 日常维护->SNMP相关内容

第 2 页 共 98 页

目 录

1.

总体概述.......................................................................................................................................... 6

1.1.

2.

文档术语 ................................................................................................................... 6

基本操作.......................................................................................................................................... 7

2.1.

2.2. 2.3. 2.4. 2.5. 2.6.

3.

通过Console线缆连接路由器 .............................................................................. 7 设备关闭 ................................................................................................................... 8 设备重启 ................................................................................................................... 8 JUNOS升级 ............................................................................................................ 9 密码恢复 ................................................................................................................. 10 常用监控维护命令 ................................................................................................. 11

SRX3600 ........................................................................................................................................ 13

3.1.

SRX3600结构 ....................................................................................................... 13

设备描述 ......................................................................................................................... 13 SRX3600主要组件 ........................................................................................................ 13 SRX3600技术规格 ........................................................................................................ 14 硬件组件结构 ................................................................................................................. 15 机箱 ................................................................................................................................. 16 背板 ................................................................................................................................. 17 路由引擎(RE: Routing Engine) ...................................................................................... 18 交换矩阵板(SFB: Switch Fabric Board) ........................................................................ 19 SPC接口卡..................................................................................................................... 19 NPC接口卡 .................................................................................................................... 20 IOC接口卡 ..................................................................................................................... 20 电源模块 ......................................................................................................................... 21 冷却系统 ......................................................................................................................... 22 数据包转发处理顺序 ..................................................................................................... 23 3.2. SRX3600安装流程 ............................................................................................... 23

安装前准备 ..................................................................................................................... 23 安装流程 ......................................................................................................................... 24 3.3. 硬件组件故障检查 ................................................................................................. 28

使用故障检查资源 ......................................................................................................... 28 冷却系统故障检查 ......................................................................................................... 29 光纤信号衰减检查 ......................................................................................................... 30 电源系统故障检查 ......................................................................................................... 31 3.4. 常用故障诊断命令 ................................................................................................. 32

查看端口状态 ................................................................................................................. 32 查看路由表 ..................................................................................................................... 32 查看OSPF邻居关系 ..................................................................................................... 34 Ping ................................................................................................................................. 34

第 3 页 共 98 页

Traceroute ....................................................................................................................... 35 监控接口流量 ................................................................................................................. 35 监控RE CPU利用率 ..................................................................................................... 35 监控SPU利用率 ........................................................................................................... 36 监控并发会话数 ............................................................................................................. 36 监控每秒新建连接数(JUNOS 10.1以后支持) ............................................................. 36 3.5. 设备日常维护 ......................................................................................................... 37

日常维护步骤 ................................................................................................................. 37 风扇盘的维护 ................................................................................................................. 37 路由引擎的维护 ............................................................................................................. 38 电源模块的维护 ............................................................................................................. 39 配置文件查看 ................................................................................................................. 39 批量配置导入 ................................................................................................................. 40 配置文件提交 ................................................................................................................. 40 SNMP管理 ..................................................................................................................... 40

4.

SRX3600基本配置介绍 .............................................................................................................. 44

4.1. 4.2. 4.3. 4.4. 4.5. 4.6. 4.7. 4.8. 4.9.

5.

JUNOS CLI ............................................................................................................ 44 JUNOS基本配置 .................................................................................................. 45 端口配置 ................................................................................................................. 47 SNMP配置 ............................................................................................................ 49 协议独立路由属性的配置 ..................................................................................... 50 配置OSPF路由 .................................................................................................... 51 配置BGP路由 ...................................................................................................... 54 配置Class-of-Service .......................................................................................... 57 配置路由策略(Policy) ........................................................................................... 72

SRX安全策略配置介绍 .............................................................................................................. 75

5.1. 5.2. 5.3. 5.4.

6.

安全域zone配置 .................................................................................................. 76 安全域zone的address-book配置 .................................................................... 76 Application配置 .................................................................................................... 77 安全策略配置 ......................................................................................................... 77

SRX NAT配置介绍 ..................................................................................................................... 78

6.1.

6.2. 6.3. 6.4. 6.5.

7.

定义源地址转换，类似于Screen OS的（DIP） ............................................. 79 定义目的地址转换，类似于Screen OS的（VIP） ......................................... 79 定义静态地址映射，类似于Screen OS的（MIP） ........................................ 80 定义NAT的proxy-arp ......................................................................................... 80 NAT典型配置 ........................................................................................................ 80

SRX3600双机热备配置介绍 ...................................................................................................... 82

7.1. 7.2. 7.3. 7.4. 配置Cluster id和Node id ................................................................................... 84 指定Control Port .................................................................................................. 84 指定Fabric Link .................................................................................................... 85 配置Redundancy Group ..................................................................................... 85

第 4 页 共 98 页

7.5. 7.6. 7.7. 7.8. 7.9. 7.10.

8. 9.

每个机箱的个性化配置 ......................................................................................... 86 配置Redundant Ethernet Interface ................................................................... 87 配置Interface Monitoring .................................................................................... 88 JSRP常用维护命令.............................................................................................. 88 JSRP中的软件升级.............................................................................................. 89 JSRP典型配置 ..................................................................................................... 89

IPSEC VPN配置介绍 ................................................................................................................. 92 SRX TRAFFIC LOG配置介绍 ................................................................................................... 94

9.1. 9.2. Events配置............................................................................................................ 94 Stream(traffic log)配置 ......................................................................................... 94

10. 附录................................................................................................................................................ 95

10.1. 10.2. 10.3.

WAP环境里SRX与HUAWEI交换机的配合 ................................................... 95 WAP SOCKETS业务配置样例 ........................................................................... 97 联系硬件返修 ......................................................................................................... 98

第 5 页 共 98 页

1. 断电后再加电以重新启动设备。

2. 在启动过程中，console上出现下面的提示的时候，按任意键中断正常启动方式，

然后再进入单用户状态：

Hit [Enter] to boot immediately, or any other key for command prompt.

Booting [kernel] in 9 seconds... < Press any key other than return > ok boot –s 3. 执行密码恢复

# cd /packages # ./mount.jkernel

Mounted jkernel package on /dev/vn1...

Verified manifest signed by PackageProduction_8_2_0 # ./mount.jroute

Mounted jroute package on /dev/vn2...

Verified manifest signed by PackageProduction_8_2_0 # cd /usr/libexec/ui # ./recovery-mode

4. 进入配置模式，设置新的root密码：

root> configure

Entering configuration mode

[edit]

root# set system root-authentication plain-text-password New password:

Retype new password: 5. 重新启动后，设备恢复正常。

如果出现任何现场无法解决的问题，请咨询Juniper相关工程师，或者寻求Juniper TAC的帮助，参阅寻求JTAC帮助。

2.6. 常用监控维护命令

下列操作命令在操作模式下使用，或在配置模式下run show… ? Show system software 查看当前软件版本号 ? show system uptime 查看系统启动时间

? Show chassis haredware 查看硬件板卡及序列号 ? show chassis environment 查看硬件板卡当前状态

? show chassis routing-engine 查看主控板（RE）资源使用及状态

第 11 页 共 98 页

? ? ? ? ? ? ? ? ? ? ? ?

?

show route 查看路由表 show arp 查看ARP表 show log messages 查看系统日志

show interface terse 查看所有接口运行状态 show interface ge-x/y/z detail 查看接口运行细节信息

monitor interface ge-x/y/z 动态统计接口数据包转发信息

monitor traffic interface ge-x/y/z 动态报文抓取（Tcpdump，类似ScreenOS snoop命令） show security flow session summary 查看当前防火墙并发会话数 show security flow session 查看当前防火墙具体并发会话 clear security flow session all 清除当前session

show security alg status 检查全局ALG开启情况

SRX对应ScreenOS debug flow basic跟踪报文处理路径的命令：

? set security flow traceoptions flag basic-datapath 开启SRX基本报文处理Debug ? set security flow traceoptions file filename.log 将输出信息记录到指定文件中 ? set security flow traceoptions file filename.log size 设置该文件大 小，缺

省128k

? set security flow traceoptions packet-filter filter1 destination-prefix 5.5.5.2 设置报文

跟踪过滤器

? run file show filename.log 查看该Log输出信息 SRX对应ScreenOS get tech命令，开Case时需要抓取的信息：request support information

第 12 页 共 98 页

3. SRX3600

3.1. SRX3600结构 设备描述

瞻博网络 (Juniper Networks?) SRX3000系列业务网关是下一代安全业务网关，在中型机箱中提供了市场领先的可扩展性和服务集成能力。这些产品是大中型企业、公共部门和电信运营商网络的理想选择，包括：

? 大型企业的服务器库/数据中心

? 部门或独立安全解决方案的汇聚环境 ? 云和托管供应商数据中心 ? 托管服务部署

SRX3000产品系列基于创新的“中置背板”(mid-plane) 设计和瞻博网络 (Juniper

Networks) 的动态服务架构，为大型企业和电信运营商环境提供最高性价比。每个业务 网关都支持近线性的可扩展性，在添加服务处理卡 (SPC) 的情况下，SRX3600最多 可支持30 Gbps的防火墙吞吐量。SPC设计用于支持广泛的服务，能够支持将来的新功 能，无需安装服务特定的硬件。通过将SPC应用于所有服务，将能够确保运行环境中的 特定服务领域不会存在闲置资源——最大限度地提高硬件利用率。

SRX3000产品系列采用模块化架构，提供市场领先的灵活性和性价比。这个网关基于 瞻博网络 (Juniper Networks) 的动态服务架构，支持灵活地配置I/O卡 (IOC) 、网络 处理卡 (NPC) 和服务处理卡 (SPC) ——使用户能够通过配置系统在性能和端口密度之 间实现理想均衡，并能够基于特定的网络要求对瞻博网络 (Juniper Networks) SRX业 务网关进行定制部署。这种灵活性支持您将SRX3600配置为支持超过100 Gbps的接 口 (可以是千兆以太网和万兆以太网端口的任意组合)；提供从10到30 Gbps的网络处 理性能；并且提供适当的服务处理来满足特定的业务需求。

SRX3600主要组件

SRX3600的关键组件是路由引擎(RE)，交换矩阵卡(SFB),安全业务处理卡(SPC),网络业务处理卡(NPC)和接口卡(IOC)。

? 路由引擎维护路由表并控制路由协议和其它管理任务。

? 路由引擎处理所有来自邻居的路由协议更新, 它的负载不会影响转发性能。

第 13 页 共 98 页

? ? ? ?

? 路由引擎利用丰富的互联网特性维护各种路由协议, 可灵活地进行发布、过滤及修

改路由条目。路由策略根据前缀、前缀长度及BGP属性等路由参数进行设置。 ? 路由引擎提供所有的管理功能，包括对机箱内各个组件的状态监控，提供管理员基

于CLI/WEB的管理界面，提供给网管平台的SNMP管理接口等等

SPC是负责数据包安全业务处理的逻辑实体，包括状态检测防火墙，NAT,IPsec VPN,IPS等等

NPC是负责将从IOCs卡接受报文并将报文转发至适合的SPC,同时负责提供CoS, Screen, Staeless ACL等功能

IOC提供给网路业务不同的网络接口类型，包括全套光传输接口及电传输接口。

SFB是系统的交换矩阵单元，负责调度系统各个模块之间的流量，通过无源背板为系统提供一个高性能无阻塞的交换单元

SRX3600技术规格

本部分列出了平台的基本技术规格。如想进一步了解详细信息, 请参见硬件安装手册, 网址：http://www.juniper.net/techpubs/hardware/。

路由引擎 1.2GHz ? ? ? ? ? ? ? 主要技术参数 ? ? ? ? 权威机构认证 ? ? ? ? ? ? ? ? ? （JUNOS 10.0） ? 1.2GHz PowerPC处理器 1GB DDR2 667 DRAM 1G Flash内部存储器 16GB SSD Flash驱动器,备用存储器 千兆以太网RJ-45 端口, 用于带外管理 两个RS-232 (RJ45 连接器) 异步串行端口, 用于控制台和远程管理 备份引导介质：紧急恢复U盘 30Gbps安全业务处理能力 2.25M 并发会话 4M RIB/ 640K FIB 40K安全策略 40K RTSP ALG per SPU CAN/CSA-C22.2 No. 60950-00/UL 60950 - 第三版, 信息技术设备安全性 EN 60825-1 激光产品安全性- 第一部分: 设备分类, 要求和用户指南 EN 60825-2 激光产品安全性- 第二部分: 光纤通信系统安全性 EN 60950 信息技术设备安全性 AS/NZS 3548 Class B (澳大利亚/ 新西兰) BSMI Class B (台湾) EN 55022 Class B Emissions (欧洲) FCC Part 15 Class B (美国) VCCI Class B (日本) 安全性 EMC(SRX3600) 第 14 页 共 98 页

抗干扰性 ? ? ? ? ? ? ? ? ? ? ? EN 61000-3-2 电源线谐波 EN 61000-4-2 ESD EN 61000-4-3 辐射抗干扰性 EN 61000-4-4 EFT EN 61000-4-5 电涌 EN 61000-4-6 低频公共抗干扰性 EN 61000-4-11 电压骤升和骤降 ETS-300386-2 电信网络设备电磁兼容性要求 GR-63-Core: NEBS, 物理保护 GR-1089-Core: 网络电信设备EMC 及电气安全性 SR-3580 NEBS 标准级别(符合第3级要求) ETSI NEBS 环境 温度 ? ? ? ? 32 - 104°F / 0 - 40°C 5-90%, 无冷凝 10,000 英尺/ 3,048 米高度上无性能下降 设计满足Telecordia Technologies Zone 4 地震要求 相对湿度 最高海拔 抗震

硬件组件结构

本节包含以下硬件组件的介绍、描述： ? 机箱 ? 背板 ? 路由引擎 ? 交换矩阵板 ? SPC ? NPC ? IOC ? 电源系统 ? 冷却系统

第 15 页 共 98 页

机箱

SRX3600机箱是刚性金属结构，用于其他部件的放置。SRX3600机箱中为前后插卡的形式。

SRX3600机箱结构参见下图：

图 3-1：SRX3600机箱前面板示图

图 3-2：SRX3600机箱后面板示图(AC)

第 16 页 共 98 页

图 3-3：SRX3600机箱后面板示图(DC)

背板

SRX3600的无源背板是机箱内用于物理区分前后空间的组件。它用于三个目的：

? 数据通道：数据报文受SCB里交换矩阵芯片的控制经由背板上的物理通道在不同业务

板卡之间进行报文交换。

? 电源分配：用于向系统的各个组件分配从电源模块得到的电源 ? 信令通道：背板提供用于监控各个系统组件的信令通道

SRX3600背板位于机箱的中部，提供前面板6个CFM (Common Form-factor Modules) 插槽和后面板6个CFM插槽。IOC/SFB/SPC从前面板插入，RE/SPC/NPC/PEM电源模块/风扇盘从后面板插入。背板还包含EEPROM，用于存储背板的序列号和硬件版本等信息。

SRX3600背板提供如下功能：

数据路径: 提供RE/IOC/NPC/SPC/SFB之间的数据物理路径

电源分布: 将从PEM电源模块输出的电力分发给RE/IOC/SPC/NPC/SFB等各个子系统 信号路径: 提供到RE/IOC/SPC/NPC/SFB的信号路径以便对各个子系统的状态进行监控

参见图 3-5：背板。

第 17 页 共 98 页

图 3-5：背板

路由引擎(RE: Routing Engine)

SRX3600使用路由引擎维护路由信令和路由表，路由引擎安装在机箱后面板的RE插槽内，每个路由引擎包含一个运行JUNOS软件的PowerPC计算平台。参见图 3-7：路由引擎。

在SRX3600后面板下方预留了两个RE槽位，分别为RE0 (Slot 0) 和RE1 (Slot 1)。但目前版本(JUNOS 10.0)系统只支持一个RE0。

路由引擎的Console和带外管理以太网接口均由内部总线连接至机箱前面板的SFB面板相应接口。

图 3-7：路由引擎

路由引擎（RE）组件

每个路由引擎由下列组件构成：

? CPU：1.2G PowerPC处理器，运行JUNOS系统

? DRAM：1G DDR2 667 DRAM,为JUNOS操作系统提供运行空间，同时为路由引擎提供

路由表和转发表的存储空间

? 内部Flash：1G Flash，为JUNOS操作系统映像文件, JUNOS配置文件和各个系统组件

的微码提供主存储空间。这个驱动器固定于路由引擎内部，不能从路由器外部接触到 ? 闪盘驱动器：16G SSD闪盘，提供JUNOS操作系统映像文件的备份存储空间用于灾难

第 18 页 共 98 页

? ? ? ? ? ? ? ?

恢复。同时为日志文件、内存Dump提供第二存储空间，这个驱动器固定于路由引擎内部，不能从路由器外部接触到

USB接口：提供灵活的移动存储空间，可用于灾难备份和恢复

管理接口：每个路由引擎包含一个10/100/100M以太网带外管理接口，2个异步串口：Console和AUX

EEPROM：存储路由引擎的序列号（Serial Number）和硬件版本信息 LED：显示RE活动状态

Reset按钮：按下将重启路由引擎

Online/Offline按钮：按下将把路由引擎下线或上线 弹出把手：用于固定路由引擎，也用于弹出路由引擎 固定螺丝：用于固定路由引擎

交换矩阵板(SFB: Switch Fabric Board)

SFB提供如下功能：

? 提供控制时钟信号和系统内时钟信号的分发

? 提供内置的8个电口千兆以太网业务接口和4个光口(SFP)千兆以太网业务接口 ? 提供内置的2个光口(SFP)千兆以太网HA控制接口 ? 提供两个千兆以太网带外管理接口

? 提供两个Console, 1个AUX以及两个BITS外部时钟接口 ? 提供两个USB接口

? 通过交换矩阵芯片SF Chip控制机箱内各个槽位的互联链路

在SRX3600前面板上方上预留了两个交换矩阵板槽位，但目前版本(JUNOS 10.0)系统只支持一个交换矩阵板。

图 3- 6：交换控制板

SPC接口卡

Services Processing Cards (SPCs) 是标准Common Form-factor Module (CFM) 尺寸的板卡，

第 19 页 共 98 页

它没有外部接口，只通过内部总线与IOC/NPC相连。它为SRX提供包括状态检测防火墙, NAT, IPS, IPsec VPN等在内的所有业务处理能力。一个SRX里可以有多块SPC，流量由NPC智能地平均分配给适合的SPC卡去处理。

SPC卡到背板的带宽为10Gbps.

NPC接口卡

Network Processing Cards (NPCs) 是标准Common Form-factor Module (CFM) 尺寸的板卡，它没有外部接口，只通过内部总线与IOC/SPC相连。它从IOCs卡接受报文并将报文转发至适合的Services Processing Card (SPC) 进行业务处理，当业务处理完成后NPC从SPC(s) 接受报文并将报文转发至适合的IOC.卡。

同时NPC 还负责以下业务的处理:

? CoS/QoS相关处理，包括buffer管理，队列调度等 ? Screen/DDoS防护

NPC接口指示灯状态含义如下:

NPC卡到背板的带宽为20Gbps.

IOC接口卡

IOC 接口卡是专门为高密度以太网业务设计的接口板卡，作为SFB上内置以太网接口的补充。IOC接口卡为CFM(Common Form-factor Module)标准尺寸。SRX3600的前面板的6个CFM槽位均可用于IOC接口卡。如果CFM槽位是空的，则必须加上CFM槽位挡板来保证散热风道正确经过设备内部。

第 20 页 共 98 页

Example: NSN@BJ-BJ-JA-NSN-A-1-RE1# set system services ftp ? Possible completions:

<[Enter]> Execute this command

connection-limit Maximum number of allowed connections (1..250) rate-limit Maximum number of connections per minute (1..250) | Pipe through a command {master}[edit]

NSN@BJ-BJ-JA-NSN-A-1-RE1# set system services ftp

{master}[edit]

NSN@BJ-BJ-JA-NSN-A-1-RE1# commit

配置DNS服务器

user@host# set system name-server dns-address 通过在用户模式使用edit命令进入配置模式： Example:

{master}[edit]

NSN@BJ-BJ-JA-NSN-A-1-RE1# commit

#配置模式

NSN@BJ-BJ-JA-NSN-A-1-RE1# set system name-server 192.168.1.1

配置本地超级用户

user@host# set system login user username class super-user #配置用户级别

user@host# set system login user username authentication plain-text-password #配置密码

Example: NSN@BJ-BJ-JA-NSN-A-1-RE1# set system login user NSN class super-user {master}[edit]

NSN@BJ-BJ-JA-NSN-A-1-RE1# set system login user NSN authentication plain-text-password New password: ********

Retype new password: ********

{master}[edit]

NSN@BJ-BJ-JA-NSN-A-1-RE1# commit

第 46 页 共 98 页

{master}[edit]

NSN@BJ-BJ-JA-NSN-A-1-RE1# show system login user NSN uid 2004;

class super-user; authentication {

encrypted-password \}

{master}[edit]

NSN@BJ-BJ-JA-NSN-A-1-RE1#

4.3. 端口配置

配置Loopback端口

user@host#set interface lo0 description description #配置端口描述

user@host#set interface lo0 unit 0 family inet address ip-address #配置IP地址

user@host#set interface lo0 unit 0 family iso address iso-address #配置ISO地址 Example: NSN@BJ-BJ-JA-NSN-A-1-RE1> edit Entering configuration mode

{master}[edit]

NSN@BJ-BJ-JA-NSN-A-1-RE1# set interfaces lo0 description “loopback 0”

{master}[edit]

NSN@BJ-BJ-JA-NSN-A-1-RE1# set interfaces lo0 unit 0 family inet address 59.43.0.4/32

{master}[edit]

NSN@BJ-BJ-JA-NSN-A-1-RE1# set interfaces lo0 unit 0 family iso address 86.4809.0010.0590.4300.0004.00

{master}[edit]

NSN@BJ-BJ-JA-NSN-A-1-RE1# commit

{master}[edit]

第 47 页 共 98 页

NSN@BJ-BJ-JA-NSN-A-1-RE1# show interfaces lo0 description %unit 0 {

family inet {

address 59.43.0.4/32 { primary; }

address 59.43.0.1/32; }

family iso {

address 86.4809.0010.0590.4300.0004.00; }

family inet6 {

address 2001:C68:100::3b2b:0004/128; } }

{master}[edit]

NSN@BJ-BJ-JA-NSN-A-1-RE1#

配置GE端口

user@host#set interface ge-slot/pic/port description description #配置端口描述

user@host#set interface so-slot/pic/port mtu mtu-number #配置端口MTU

user@host#set interface so-slot/pic/port hold-time up ms down ms #配置端口up/down的damping时间

user@host#set interface ge-slot/pic/port unit 0 family inet address ip-address #配置IP地址

user@host#set interface ge-slot/pic/port unit 0 family iso #端口允许运行ISIS

Example: NSN@BJ-BJ-JA-NSN-A-1-RE1> edit Entering configuration mode

{master}[edit]

NSN@BJ-BJ-JA-NSN-A-1-RE1# set interfaces ge-3/0/0 description “to_BJ-BJ-JA-NSN-RR-1”

第 48 页 共 98 页

{master}[edit]

NSN@BJ-BJ-JA-NSN-A-1-RE1# set interfaces ge-3/0/0 mtu 9182

{master}[edit]

NSN@BJ-BJ-JA-NSN-A-1-RE1# set interfaces ge-3/0/0 hold-time up 5000 down 0

{master}[edit]

NSN@BJ-BJ-JA-NSN-A-1-RE1# set interfaces ge-3/0/0 unit 0 family inet address 59.43.17.65/30

{master}[edit]

NSN@BJ-BJ-JA-NSN-A-1-RE1# set interfaces ge-3/0/0 unit 0 family iso

{master}[edit]

NSN@BJ-BJ-JA-NSN-A-1-RE1# commit

{master}[edit]

NSN@BJ-BJ-JA-NSN-A-1-RE1# show interfaces ge-3/0/0 description to_BJ-BJ-JA-NSN-RR-1; mtu 9192;

hold-time up 5000 down 0; unit 0 {

family inet {

address 59.43.17.65/30; }

family iso; }

4.4. SNMP配置

lab@host#show …… snmp {

community nms2access { authorization read-only; clients {

10.26.105.239/32; } }

trap-group nms2access_v2 { version v2;

destination-port 162; targets {

第 49 页 共 98 页

10.26.105.239; } }

4.5. 协议独立路由属性的配置

配置JUNOS Router-ID

user@host# set routing-options router-id router-id #配置Router-ID Example: NSN@BJ-BJ-JA-NSN-A-1-RE1> edit Entering configuration mode

{master}[edit]

NSN@BJ-BJ-JA-NSN-A-1-RE1# set routing-options router-id 59.43.0.4

{master}[edit]

NSN@BJ-BJ-JA-NSN-A-1-RE1# commit

配置JUNOS 的AS号码

user@host# set routing-options autonomous-system as-number #配置AS号码 Example: NSN@BJ-BJ-JA-NSN-A-1-RE1> edit Entering configuration mode

{master}[edit]

NSN@BJ-BJ-JA-NSN-A-1-RE1# set routing-options autonomous-system 4809

{master}[edit]

NSN@BJ-BJ-JA-NSN-A-1-RE1# commit

配置静态路由

user@host# set routing-options static route network/mask next-hop address #配置静态路由 Example: NSN@BJ-BJ-JA-NSN-A-1-RE1> edit Entering configuration mode

第 50 页 共 98 页

IOC接口卡在JUNOS 10.1以后可以在线热插拔，当把一块IOC插入一个正在工作的SRX设备后，路由引擎会把对应IOC线卡的软件下载到IOC的管理引擎上，IOC即开始自检并驱动自己进行工作，这时其它板卡的业务不会受到影响。

目前JUNOS 10.0支持3种类型的IOC接口卡：

图 3-13：16口电口千兆以太网接口卡

图3-14:16口光口(SFP)千兆以太网接口卡

图 3-15：2口光口(XFP)万兆以太网接口卡

IOC卡到背板的带宽为10Gbps.

电源模块

SRX3600可以安装交流和直流两种电源模块。电源模块通过系统背板(midplane)给系统的各个组件供电

SRX3600共可以安装4个电源模块，其中2个用于正常工作，另外2个用于1:1冗余。

表格 3-3：DC电源模块电气规范 项目 最大输出功率(每个PEM) DC输入电压

表格 3-4：AC电源模块电气规范 项目 最大输出功率(每个PEM) AC输入电压 AC输入频率 1000W 工作范围：100 -127V或200- 240 VAC 50 /60 Hz 规范 850W 工作范围：-40.5 到 -72VDC 规范 第 21 页 共 98 页

AC输入额定电流 12 A@100VAC或7A@220VAC 冷却系统

SRX3600冷却系统包含1个风扇盘(风扇盘含10个风扇)和1个空气滤网。安装在SRX3600机箱后面板右侧面的风扇盘从左侧吸入冷空气，经过空气滤网过滤的干净空气在机箱内循环来保证设备工作在一个可以接受的温度环境下。

风扇盘和空气滤网都是可以热插拔的组件。

SRX3600冷却空气从前面板看是从左侧流入右侧流出的，参见顶视图

前视图

图 3-10：机箱内的气流。

顶视图

图 3-10：机箱内的气流

前视图

第 22 页 共 98 页

图 3-11：风扇盘

图 3-12：空气滤网

数据包转发处理顺序

数据包进入SRX接口卡后在内部的处理顺序如下：

Packets入 ? 入向IOC ? SFB交换矩阵 ? 入向NPC ? SFB交换矩阵 ? 某SPC ? SFB交换矩阵 ? 出向NPC ? SFB交换矩阵 ? 出向IOC ? Packets出

由上可看出:

1. 任意两个处理卡(IOC/SPC/NPC)之间的报文传递必须经过SFB交换矩阵

2. 入向NPC和出向NPC可以是一块NPC，SRX3400最大支持2块NPC，SRX3600最大

支持3块SPC

3. 一条数据流在转发过程中经过一次SPC，但可能会经过2次NPC(当入向NPC与出向

NPC相同时)，因此NPC到背板的带宽(20Gbps)是SPC到背板的带宽(10Gbps)的两倍

3.2. SRX3600安装流程 安装前准备

安装场所要求

指标 海拔 温度 相对湿度 10000尺(3048米)以下 0°C to 40°C 5%-90%非冷凝 要求 第 23 页 共 98 页

防震 单设备尺寸（高×宽×深） 机箱尺寸（mm）（U） 单设备最大重量（Kg） 单设备最大功耗（kW） 供电方式 SRX3600为Telcordia Technologies Zone 4 级防震设计 22.2x44.5x64.8 (cm) 5U 52.6Kg 2KW AC/DC AC:100-127V/200-240V 允许电压波动范围 DC:-40.5 to -72VDC

防静电要求

? ? ? ? ?

设备良好接地 室内防尘

接触电路板时，应戴防静电手腕，穿防静电工作服

将拆卸下的电路板面朝上放置在抗静电的工作台上或放入防静电袋中 当观察或转移拆卸了的电路板时，请用手接触电路板的外边缘，避免用手直接触摸电路板上的元器

机柜要求

SRX3600被设计用于安装在EIA-310-D定义的标准19‖机柜里。具体标准文档可参考:http://www.eia.org.

安装流程

包装拆卸

SRX3600为纸箱包装，底座为木托，SRX3600通过紧固螺栓固定在底托上，《快速安装指南》配件盒包含在木箱里。

木箱包装外型尺寸为50cm(高)x61cm(宽)x91.4cm(深)，整个木箱包装重量为61.2公斤。

包装拆卸步骤如下：

1. 将包装木箱移至离安装点尽可能近的地方，但同时必须保证有足够的空间来拆卸木箱包装，当SRX3600紧固在木质底托上时，可以使用托盘叉车。

第 24 页 共 98 页

2. 放置包装木箱时保证指示箭头朝上。

3. 拧开将包装纸箱紧固在木底托上的固定木框的所有螺栓 4. 提起并移除固定木框 5. 提起并移除包装纸箱 6. 移除设备的泡沫覆盖

7. 移除配件盒和《快速安装指南》文档 8. 对比收到的部件与装箱单(附后) 9. 移除干燥剂袋.

10. 移除机箱上的放置的托盘

第 25 页 共 98 页

安装机柜托架

我们推荐使用机柜托架，因为SRX3600满载重量为52.6公斤。

安装挂耳

两侧挂耳可安装在SRX3600前侧，也可安装在靠近中部的位置。

第 26 页 共 98 页

安装SRX3600到机柜

由于SRX3600较重，可以使用叉车进行安装；如果不能使用叉车进行安装，则需要先移除SRX3600所有组件后再进行安装，安装完成后再重新安装所有路由器组件。将移除组件后的空机箱上架需要至少两人。移除所有组建后SRX3600机箱重量为约20公斤。

安装至机柜

1. 将SRX抬至机柜前比机柜的托盘或滑道略高的位置，将SRX放到托盘或滑轨上，推入

机柜。

2. 用满足机柜安装尺寸要求的盘头螺钉将SRX3600通过挂耳固定在机柜上，保证SRX3600

在机柜上位置水平并牢固

第 27 页 共 98 页

3.3. 硬件组件故障检查

本节描述如何进行硬件的故障检查。包含以下内容： ? 使用故障检查资源 ? 冷却系统故障检查 ? 数据包转发引擎故障检查 ? 电源系统故障检查

使用故障检查资源

对于路由器的故障检查，我们可以使用下面的资源： ? CLI命令行 ? LED

? 硬件和端口告警信息 ? 寻求JTAC帮助

CLI命令行

对于路由器硬件、软件、路由协议、网络连接性的控制和故障检查、，JUNOS的CLI命令行是主要的使用工具。CLI命令行可以显示路由表信息，路由协议的信息，使用ping和traceroute工具体现的网络连接信息。

可以通过连接路由引擎上的CONSOLE、ETHERNET、AUX口进入CLI命令行接口。

关于使用CLI显示端口和机箱产生的告警信息，请参阅“硬件和端口告警信息”。

硬件组件上的LED

下面描述的LED位于各个组件上，用于显示各个组件的状态。

? Craft Interface LED：SRX3600前面板由一个Craft 面板指示系统状态，Craft面板

上包括路由引擎状态指示灯，电源状态指示灯，DPC状态指示灯，SCB状态指示灯，风扇状态指示灯和告警指示灯等等

? Component LED：SRX3600的各个系统组件还有自己单独的状态指示灯，比如DPC

上的每个端口都有一个LED指示端口状态

第 28 页 共 98 页

硬件和端口告警信息

当路由引擎检测到一个告警的时候，会将前面板上相应的红色或者黄色的告警LED点亮。可以在命令行中使用show chassis alarms显示详细的告警描述。

uer@host> show chassis alarms

这里将描述两类告警消息： ? 机箱告警（Chassis alarms）——指示机箱组件的告警信息，例如冷却系统或者电源系统，

详情请查阅下面的表格。

? 端口告警（Interface alarms）——指示某个端口的问题，详情请查阅下面的表格。

下面的两个表格中的信息为使用命令show chassis alarms输出的结果。

表格 3-6：机箱告警消息

组件 Fans CLI消息 fan-name removed fan-name stopped spinning Too few fans installed or working Power supply x not providing power Power supply x 2.5V failed Power supply x 3.3V failed Power supply x 5V failed Power supplies Temperature sensors

temperature-sensor temperature sensor failed A temperature sensor exceeds 54 degrees C 寻求JTAC帮助

在故障检查过程中如果需要Juniper Network技术支持中心（JTAC）的支持和帮助，请使用E-mail: china-tac@juniper.net ，或访问http://www.juniper.net -> support -> create a case。

冷却系统故障检查

冷却系统包含安装在机箱侧面的风扇盘来保证SRX工作在一个可以接受的温度环境下。

要检查风扇盘，执行下面的步骤：

? 通过CLI命令行检查电源模块状态。通过下面的命令，观察输出的Status域的状

态：

user@host> show chassis environment Class Item Status Measurement

第 29 页 共 98 页

Fans Left Fan 1 OK Spinning at normal speed Left Fan 2 OK Spinning at normal speed Left Fan 3 OK Spinning at normal speed Left Fan 4 OK Spinning at normal speed ...

? 如果有风扇盘发生故障，可以通过观察判断出哪一个风扇除了问题。然后再处理。

机箱硬件组件故障检查

对机箱组件进行故障检查，使用下面的指导：

? 通过查看各板卡上相应的LED，可以检查出相应板卡的状态。 ? 使用CLI可以查看各板卡的状态，使用下面的命令：

user@host> show chassis hardware

光纤信号衰减检查

Juniper正品的SFP内部内置DOM数字诊断模块，可以从SFP里读取相关信息

lab@SRX3600> show interfaces diagnostics optics ge-0/2/0 Physical interface: ge-0/0/0

Laser bias current : 4.960 mA

Laser output power : 0.2820 mW / -5.50 dBm Module temperature : 24 degrees C / 76 degrees F Module voltage : 3.3030 V

第 30 页 共 98 页

Receiver signal average optical power : 0.9700 mW / -0.13 dBm

该命令可显示光纤模块发送和接收的光功率，可对照设备手册看是否在光模块的灵敏度范围内

电源系统故障检查

当电源模块工作正常，只有绿色的OK LED亮，橘红色的FAULT是不亮的。

如果LED出现其他情况，参阅下面的描述：

? 电源模块的所有LED均是熄灭的 ? 一个电源模块上的LED是熄灭的

电源模块的所有LED均是熄灭的

如果电源模块的所有LED均是熄灭的，可能的原因是：有人关闭了电源开关或者SRX达到了极限温度。后面的情况是路由引擎关闭了电源模块。没有电源供应，所以所有的LED均是熄灭的。

如果是温度导致的，在重新开机前需要降低环境温度。

一个电源模块上的LED是熄灭的

进行下面的检测步骤：

1. 检查Craft面板是否出现红色告警：

? 如果亮，通过下面的命令查看具体的原因： user@host> show chassis alarms

? 如果红色的LED没有亮，检查电源模块上的电源开关是否开了。

2. 更换出现问题的电源模块。如果换上电源模块后正常，那么原先的电源模块有问

题。

3. 如果换上电源模块还是不能正常工作，更换一组电源输入，再查看。 4. 如果不能确定原因，请联系技术支持。参见“寻求JTAC帮助”。

第 31 页 共 98 页

3.4. 常用故障诊断命令 查看端口状态

lab@SRX3600-re0# run show interfaces terse

Interface Admin Link Proto Local Remote ge-0/0/0 up up ge-0/0/1 up down ge-0/0/2 up down ge-0/0/3 up down ge-0/0/4 up down ge-0/0/5 up down ge-0/0/6 up down ge-0/0/7 up down ge-0/0/8 up down ge-0/0/9 up up

ge-0/0/9.0 up up inet 100.1.1.1/24 multiservice ge-0/1/0 up down 查看光接口光衰减

lab@SRX3600> show interfaces diagnostics optics ge-0/2/0

Physical interface: ge-0/0/0

Laser bias current : 4.960 mA

Laser output power : 0.2820 mW / -5.50 dBm Module temperature : 24 degrees C / 76 degrees F Module voltage : 3.3030 V

Receiver signal average optical power : 0.9700 mW / -0.13 dBm

查看路由表

lab@SRX3600-re0# run show route terse

inet.0: 7 destinations, 7 routes (7 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both

第 32 页 共 98 页

A Destination P Prf Metric 1 Metric 2 Next hop AS path * 0.0.0.0/0 S 5 >172.27.10.1 * 100.1.1.0/24 D 0 >ge-0/0/9.0 * 100.1.1.1/32 L 0 Local

* 172.27.10.0/25 D 0 >fxp0.0 * 172.27.10.106/32 L 0 Local

* 200.1.1.0/24 D 0 >ge-0/2/9.0 * 200.1.1.1/32 L 0 Local 注： S 标识静态路由(Static) D 标识直连路由(Direct) L 标识本地路由(Local) R 标识RIP路由(RIP) O 标识OSPF路由(OSPF) I 标识ISIS路由(ISIS) B 标识BGP路由(BGP)

lab@srx3600# run show route summary Autonomous system number: 65412 Router ID: 10.100.10.7

inet.0: 29 destinations, 29 routes (29 active, 0 holddown, 0 hidden) Direct: 4 routes, 4 active Local: 3 routes, 3 active RIP: 5 routes, 5 active BGP: 3 routes, 3 active IS-IS: 14 routes, 14 active

inet.3: 4 destinations, 4 routes (4 active, 0 holddown, 0 hidden) LDP: 4 routes, 4 active

__juniper_private1__.inet.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden) Direct: 2 routes, 2 active

iso.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden) Direct: 1 routes, 1 active

mpls.0: 8 destinations, 8 routes (8 active, 0 holddown, 0 hidden) MPLS: 3 routes, 3 active LDP: 5 routes, 5 active 注：

inet.0为IPv4路由表

第 33 页 共 98 页

inet6.0为IPv6路由表 inet.3为LDP路由表 iso.0为ISO路由表

MPLS.0为MPLS标签表

查看OSPF邻居关系

lab@r1# run show ospf neighbor

Address Interface State ID Pri Dead 10.100.2.2 fe-0/0/0.12 Full 10.100.10.2 128 36 10.100.2.6 fe-0/0/0.13 Full 10.100.10.3 128 35

Ping

lab@srx3600# run ping 10.100.10.1

PING 10.100.10.1 (10.100.10.1): 56 data bytes

64 bytes from 10.100.10.1: icmp_seq=0 ttl=61 time=4.967 ms 64 bytes from 10.100.10.1: icmp_seq=1 ttl=61 time=5.704 ms 64 bytes from 10.100.10.1: icmp_seq=2 ttl=61 time=4.670 ms 64 bytes from 10.100.10.1: icmp_seq=3 ttl=61 time=284.652 ms 64 bytes from 10.100.10.1: icmp_seq=4 ttl=61 time=4.677 ms 64 bytes from 10.100.10.1: icmp_seq=5 ttl=61 time=4.673 ms ^C

--- 10.100.10.1 ping statistics ---

6 packets transmitted, 6 packets received, 0% packet loss

round-trip min/avg/max/stddev = 4.670/51.557/284.652/104.244 ms

lab@srx3600# run ping 10.100.10.1 rapid

PING 10.100.10.1 (10.100.10.1): 56 data bytes !!!!!

--- 10.100.10.1 ping statistics ---

5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max/stddev = 4.422/5.022/5.896/0.493 ms

lab@srx3600# run ping 10.100.10.1 rapid count 1000 size 1000

PING 10.100.10.1 (10.100.10.1): 1000 data bytes

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

第 34 页 共 98 页

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! --- 10.100.10.1 ping statistics ---

1000 packets transmitted, 1000 packets received, 0% packet loss round-trip min/avg/max/stddev = 4.746/7.515/322.176/15.056 ms

Traceroute

lab@srx3600# run traceroute 10.100.10.1

traceroute to 10.100.10.1 (10.100.10.1), 30 hops max, 40 byte packets

1 10.100.3.13 (10.100.3.13) 158.691 ms 186.093 ms 106.141 ms 2 10.100.3.17 (10.100.3.17) 210.258 ms 183.060 ms 5.198 ms 3 10.100.2.9 (10.100.2.9) 27.482 ms 29.963 ms 28.159 ms 4 10.100.10.1 (10.100.10.1) 4.935 ms 7.819 ms 5.172 ms

监控接口流量

lab@srx3600# run monitor interface fe-0/0/1

监控RE CPU利用率

lab@srx>show chassis routing-engine 或使用定制的JUNOSscripts “srx-monitor.xsl” lab@srx>op srx-monitor

第 35 页 共 98 页

本文来源：https://www.bwwdw.com/article/ua4v.html