Juniper設(shè)備常規(guī)操作與維護(hù)

1、Juniper設(shè)備常規(guī)操作與維護(hù)1 .設(shè)備操作1.1. 單機(jī)設(shè)備關(guān)機(jī)因?yàn)橹骺匕迳嫌写笕萘坑脖P，為防止強(qiáng)行斷電關(guān)機(jī)造成硬件故障，要求設(shè)備關(guān)機(jī)必須按照下面的步驟進(jìn)行操作：1. 管理終端連接console口。2. 使用具有足夠權(quán)限的用戶名和密碼登陸CLI命令行界面。3. 在提示符下輸入下面的命令：>requestsystemhaltTheoperatingsystemhashalted.Pleasepressanykeytoreboot（除非需要重啟設(shè)備，此時(shí)不要敲任何鍵，否則設(shè)備將進(jìn)行重啟）4. 等待console輸出上面提示信息后，確認(rèn)操作系統(tǒng)已停止運(yùn)行，關(guān)閉機(jī)箱背后電源模塊電源。1.2.

2、 單機(jī)設(shè)備重啟重啟必須按照下面的步驟進(jìn)行操作：1. 管理終端連接console口。2. 使用具有足夠權(quán)限的用戶名和密碼登陸CLI命令行界面。3. 在提示符下輸入下面的命令：>requestsystemreboot4. 等待console設(shè)備的輸出，操作系統(tǒng)已經(jīng)重新啟動(dòng)。1.3. 單機(jī)操作系統(tǒng)升級(jí)操作系統(tǒng)軟件升級(jí)必須按照下面的步驟進(jìn)行操作：1. 管理終端連接console口，便于升級(jí)過程中查看設(shè)備重啟和軟件加載狀態(tài)。2. 升級(jí)前，執(zhí)行下面的命令備份舊的軟件及設(shè)定：>requestsystemsnapshot3. 加載新的OS軟件：>ftp輸入用戶名密碼后，通過g

3、et命令下載os，ftp>lsftp>binftp>getfilename.tgzOS的默認(rèn)下載目錄為登錄用戶的主目錄/var/home/username4. 升級(jí)新下載的OS>requestsystemsoftwareaddno-validateno-copyfilename.tgzreboot5. 軟件加載成功后，設(shè)備將自動(dòng)重啟，重啟完成后檢查系統(tǒng)當(dāng)前軟件版本號(hào)：>showsystemsoftware也可以在防火墻上開啟FTPservice,通過客戶端用put方式將OS軟件上傳至防火墻。1.4. 雙機(jī)模式下主備設(shè)備關(guān)機(jī)雙機(jī)模式下關(guān)機(jī)方式與單機(jī)方式一致，備件關(guān)機(jī)

4、需要登錄備機(jī)的fxp0地址。登錄防火墻后，通過命令requestsystemhalt對(duì)主備防火墻分別進(jìn)行關(guān)機(jī)操作。1.5. 雙機(jī)模式下主備設(shè)備重啟雙機(jī)模式下關(guān)機(jī)方式與單機(jī)方式一致，備件重啟需要登錄備機(jī)的fxp0地址進(jìn)行操作。登錄設(shè)備后，通過命令requestsystemreboot對(duì)主備防火墻分別進(jìn)行重啟操作。1.6. 雙機(jī)模式下操作系統(tǒng)升級(jí)操作系統(tǒng)軟件升級(jí)必須按照下面的步驟進(jìn)行操作：1. 通過FTP將OS上傳至主防火墻>ftpftp>lsftp>binftp>getfilename.tgz2. 升級(jí)前，執(zhí)行下面的命令備份舊的軟件及設(shè)定：>requ

5、estsystemsnapshot3. 輸入命令開始ISSU升級(jí)>requestsystemsoftwarein-service-upgradefilename.tgzreboot4. ISSU過程中，將先自動(dòng)升級(jí)備墻，當(dāng)備墻升級(jí)完成后會(huì)自動(dòng)重啟。備墻重啟恢復(fù)正常后，轉(zhuǎn)發(fā)層面將切換到備墻；然后主防火墻開始版本升級(jí)，并重啟。在備墻恢復(fù)工作時(shí)，可通過命令確認(rèn)備墻的工作狀態(tài)，查看升級(jí)中是否有錯(cuò)誤> showchassisclusterstatus> showchassisalarms> showsystemalarms> showlogmessages|grepissu

6、5. 主墻升級(jí)完成后，需要通過手工方式恢復(fù)原主備關(guān)系。> requestchassisclusterfailoverredundancy-group0node0> requestchassisclusterfailoverredundancy-group1node0> requestchassisclusterfailoverresetredundancy-group0> requestchassisclusterfailoverresetredundancy-group16. 若ISSU升級(jí)失敗，只有一臺(tái)設(shè)備完成升級(jí)，則可在已升級(jí)設(shè)備上通過如下命令回退> req

7、uestchassisclusterin-service-upgradeabort> requestsystemsoftwarerollback> requestsystemreboot1.7. 雙機(jī)轉(zhuǎn)發(fā)平面主備切換及切換后恢復(fù)SRX轉(zhuǎn)發(fā)層面切換及恢復(fù)按照下面的步驟進(jìn)行操作：1. 檢查雙機(jī)狀態(tài)正常后，在防火墻上執(zhí)行以下命令進(jìn)行轉(zhuǎn)發(fā)平面主備切換：> requestchassisclusterfailoverredundancy-group1node1> requestchassisclusterfailoverresetredundancy-group12.在防火墻上確認(rèn)

8、切換是否正常：3. 恢復(fù)原轉(zhuǎn)發(fā)平面的主備關(guān)系：> requestchassisclusterfailoverredundancy-group1node0> requestchassisclusterfailoverresetredundancy-group14. 在防火墻上確認(rèn)是否正常恢復(fù)原有狀態(tài)：>showchassisclusterstatus1.8. 雙機(jī)控制平面主備切換及切換后恢復(fù)SRX控制層面切換及恢復(fù)按照下面的步驟進(jìn)行操作：1. 檢查雙機(jī)狀態(tài)正常后，在防火墻上執(zhí)行以下命令進(jìn)行轉(zhuǎn)發(fā)平面主備切換：> requestchassisclusterfailoverre

9、dundancy-group0node1> requestchassisclusterfailoverresetredundancy-group02. 在防火墻上確認(rèn)切換是否正常：>showchassisclusterstatus3. 恢復(fù)原轉(zhuǎn)發(fā)平面的主備關(guān)系：> requestchassisclusterfailoverredundancy-group0node0> requestchassisclusterfailoverresetredundancy-group04. 在防火墻上確認(rèn)是否正常恢復(fù)原有狀態(tài)：>showchassisclusterstatus1.

10、9. 雙機(jī)模式下更換備設(shè)備雙機(jī)模式下更換備墻按照下面的步驟進(jìn)行操作：1. 在備墻上執(zhí)行命令，將備墻關(guān)機(jī)>requestsystemhalt2. 將備墻上所有連接線纜取下，并將備墻下架。將新的備墻上架后，開機(jī)確認(rèn)硬件運(yùn)行正常，并恢復(fù)原有的線路鏈接3. 將新的備墻加入到雙機(jī)模式：# setchassisclustercontrol-portsfpc22port0# setinterfacesfab1fabric-optionsmember-interfacesge-12/1/04. 備墻重啟完成后確認(rèn)是否正常恢復(fù)原有狀態(tài)：>showchassisclusterstatus5. 在主墻上

11、commit一次做雙機(jī)配置同步#commit1.10. 雙機(jī)模式下更換主設(shè)備SRX雙機(jī)模式下更換主墻按照下面的步驟進(jìn)行操作：1. 在防火墻上執(zhí)行以下命令進(jìn)行轉(zhuǎn)發(fā)平面主備切換：> requestchassisclusterfailoverredundancy-group0node1> requestchassisclusterfailoverresetredundancy-group02. 在防火墻上確認(rèn)切換是否正常：>showchassisclusterstatus3. 在原主墻上執(zhí)行命令，將主墻關(guān)機(jī)>requestsystemhalt4. 將主墻上所有連接線纜取下，并

12、將主墻下架。將新的主墻上架后，開機(jī)確認(rèn)硬件運(yùn)行正常，并恢復(fù)原有的線路鏈接5. 將新的主墻加入到雙機(jī)模式：# setchassisclustercontrol-portsfpc10port0# setinterfacesfab1fabric-optionsmember-interfacesge-10/1/0# setchassisclustercluster-id1node0reboot6. 主重啟完成后確認(rèn)是否正?；謴?fù)原有狀態(tài)：>showchassisclusterstatus7. 然后通過手工方式恢復(fù)原主備關(guān)系。> requestchassisclusterfailoverred

13、undancy-group0node0> requestchassisclusterfailoverredundancy-group1node0> requestchassisclusterfailoverresetredundancy-group0> requestchassisclusterfailoverresetredundancy-group18. 在主墻上commit一次做雙機(jī)配置同步#commit1.11. 雙機(jī)模式更換電源雙機(jī)模式下更換電源按照下面的步驟進(jìn)行操作：1. 在防火墻上將故障電源拔出，并更換新的電源2. 在防火墻上確認(rèn)電源是否工作正常：>sho

14、wchassishardware3.2雙機(jī)模式更換故障板卡更換故障板卡請(qǐng)按照下面的步驟進(jìn)行操作：1. 如果是更換主墻的板卡，需要將轉(zhuǎn)發(fā)層面切換到備墻>requestchassisclusterfailoverredundancy-group1node12. 用命令將故障板卡斷電后，將板卡拔出>requestchassisfpcslot0offline3. 更換新板卡后，確認(rèn)板卡工作正常>showchassishardware4. 如果需要將轉(zhuǎn)發(fā)層面切換回主墻，通過手工方式恢復(fù)原主備關(guān)系。> requestchassisclusterfailoverredundancy-

15、group1node0> requestchassisclusterfailoverresetredundancy-group11.12. 配置備份及還原方法配置備份及還原按照下面的步驟進(jìn)行操作：1. 可以將配置通過命令保存本地# savesrx5800config還原時(shí)通過命令直接調(diào)取配置文件# loadoverridesrx5800config# commit2. 可以將配置通過命令保存在ftp服務(wù)器上# save/srx5800config.gz還原時(shí)通過命令調(diào)取ftp服務(wù)器上的文件# loadoverride/srx5800co

16、nfig.gz# commit1.13. 密碼修改方法密碼的修改方法通過如下命令進(jìn)行操作：#setsystemloginuseradminclasssuper-user-localauthenticationplain-text-password根據(jù)提示來輸入兩次新密碼即可生效1.14. 磁盤文件清理方法防火墻內(nèi)有兩個(gè)存儲(chǔ)單元，一個(gè)1G的CF卡和一個(gè)SSD硬盤（SRX3000為16G的硬盤；SRX5000為40G的硬盤）。由于防火墻允許存儲(chǔ)多個(gè)系統(tǒng)OS,同時(shí)存儲(chǔ)多種SYSLOG、Config等文件，在運(yùn)行較長時(shí)間后，硬盤空間可能會(huì)被占滿，導(dǎo)致新的OS無法上傳或新的SYSLOG文件無法建立。平時(shí)

17、需要如下命令查看存儲(chǔ)單元的利用率：> showsystemstorage可以通過如下命令清理磁盤中無用的系統(tǒng)OS及SYSLOG文件> requestsystemstoragecleanup或者通過命令單獨(dú)刪除某個(gè)目錄下的文件> filedelete1.15. 密碼恢復(fù)root密碼丟失，并且沒有其他的超級(jí)用戶權(quán)限，那么就需要執(zhí)行密碼恢復(fù)，該操作需要中斷設(shè)備正常運(yùn)行，但不會(huì)丟失配置信息，這點(diǎn)與ScreenOS存在區(qū)別。要進(jìn)行密碼恢復(fù)，請(qǐng)按照下面操作進(jìn)行：1 .Console口連接，然后重啟。2 .在啟動(dòng)過程中，console上出現(xiàn)下面的提示的時(shí)候，按空格鍵中斷正常啟動(dòng)方式，然后再

18、進(jìn)入單用戶狀態(tài)，并輸入：boot-sLoading/boot/defaults/loader.conf/kerneldata=syms=HitEntertobootimmediately,orspacebarforcommandprompt.loader>loader>boot-s執(zhí)行密碼恢復(fù)：在以下提示文字后輸入recovery，設(shè)備將自動(dòng)進(jìn)行重啟Enterfullpathnameofshellor'recovery'forrootpasswordrecoveryorRETURNfor/bin/sh:recovery進(jìn)入配置模式，刪除root密碼，并重現(xiàn)設(shè)置roo

19、t密碼：>configureEnteringconfigurationmode#deletesystemroot-authentication#setsystemroot-authenticationplain-text-password#Newpassword:#Retypenewpassword:#commitcommitcomplete2. 常用功能配置2.1. 配置主機(jī)名setgroupsnode0systemhost-nameSRX36002.2. VLAN設(shè)置進(jìn)入系統(tǒng)視圖：<SRX3600>configuration創(chuàng)建VLAN：SRX3600#setvlansv

20、lan100vlan-id100將接口加入VLAN：setvlansvlan100interfacege-0/0/3.0刪除VLAN：deletevlansvlan100vlan-id1002.3. 管理地址設(shè)置設(shè)置帶外管理口地址：setgroupsnode0interfacesfxp0unit0familyinetaddress/242.4.創(chuàng)建超級(jí)用戶root#setsystemloginuseradminclasssuper-user-localplain-text-passwordroot#newpassword:lab123root#retypenewpas

21、sword:lab1232.5.創(chuàng)建只讀用戶root#setsystemloginusermonitorclassread-only-localplain-text-passwordroot#newpassword:lab123root#retypenewpassword:lab123authenticationauthentication2.6.配置靜態(tài)路由setrouting-optionsstaticroute/0next-hop2.7.配置ospf路由setprotocolsospfareainterfacege-0/0/1.02.8.端

22、口操作接口添加注釋：setinterfacesreth0descriptionto_EX4200改變接口類型為交換模式：setinterfacesge-0/0/2unit0familyethernet-switching接口下配置IP地址：setinterfacesge-0/0/1.0familyinetaddress/242.9.防火墻策略操作創(chuàng)建策略：setsecuritypoliciesfrom-zonetrust_to_ustrustmatchsource-addressanysetsecuritypoliciesfrom-zonetrustto-zonetrust

23、to-zoneuntrustpolicyuntrustpolicytrust_to_ustrustmatchdestination-addressanysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicytrust_to_ustrustmatchapplicationanysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicytrust_to_ustrustthenpermit2.10. 提交并保存SRX3600#commit3. 常用監(jiān)控維護(hù)命令卜列操作命令在操作模式下使用，或在配置模式

24、下runshowShowsystemsoftware查看當(dāng)前軟件版本號(hào)showsystemuptime查看系統(tǒng)啟動(dòng)時(shí)間Showchassisharedware查看硬件板卡及序列號(hào)showchassisenvironment查看硬件板卡當(dāng)前狀態(tài)showchassisrouting-engine查看主控板（RE）資源使用及狀態(tài)showchassisfpc查看各業(yè)務(wù)板塊運(yùn)行狀態(tài)查看路由表查看 ARP 表查看系統(tǒng)日志查看所有接口運(yùn)行狀態(tài)showsecuritymonitoring查看防火墻最大新建會(huì)話數(shù)和SPU負(fù)載showrouteshowarpshowlogmessagesshowinterfaceterseshowinterfacege-x/y/zdetail查看接口運(yùn)行細(xì)節(jié)信息monitorinterfacege-x/y/z動(dòng)