3. 将新的备墙加入到双机模式:
# set chassis cluster control-ports fpc 22 port 0 # set interfaces fab1 fabric-options member-interfaces ge-12/1/0 > set chassis cluster cluster-id 1 node 1 reboot 4. 备墙重启完成后确认是否正常恢复原有状态:
> show chassis cluster status 5. 在主墙上commit一次做双机配置同步
# commit
3.10 双机模式下更换主SRX
SRX双机模式下更换主墙按照下面的步骤进行操作: 1. 在防火墙上执行以下命令进行转发平面主备切换:
> request chassis cluster failover redundancy-group 0 node 1 > request chassis cluster failover reset redundancy-group 0 2. 在防火墙上确认切换是否正常:
> show chassis cluster status 3. 在原主墙上执行命令,将主墙关机
> request system halt
4. 将主墙上所有连接线缆取下,并将主墙下架。将新的主墙上架后,开机确认硬件运行
正常,并恢复原有的线路链接 5. 将新的主墙加入到双机模式:
# set chassis cluster control-ports fpc 10 port 0 # set interfaces fab1 fabric-options member-interfaces ge-10/1/0 > set chassis cluster cluster-id 1 node 0 reboot 6. 主重启完成后确认是否正常恢复原有状态:
> show chassis cluster status 7. 然后通过手工方式恢复原主备关系。
> request chassis cluster failover redundancy-group 0 node 0 > request chassis cluster failover redundancy-group 1 node 0 > request chassis cluster failover reset redundancy-group 0 > request chassis cluster failover reset redundancy-group 1 8. 在主墙上commit一次做双机配置同步
# commit
第 26 页 共 32 页
3.11 双机模式更换电源
SRX双机模式下更换电源按照下面的步骤进行操作: 1. 在防火墙上将故障电源拔出,并更换新的电源 2. 在防火墙上确认电源是否工作正常:
> show chassis hardware
3.12 双机模式更换故障板卡
更换故障板卡请按照下面的步骤进行操作:
1. 如果是更换主墙的板卡,需要将转发层面切换到备墙
> request chassis cluster failover redundancy-group 1 node 1 2. 用命令将故障板卡断电后,将板卡拔出
> request chassis fpc slot 0 offline 3. 更换新板卡后,确认板卡工作正常
> show chassis hardware
4. 如果需要将转发层面切换回主墙,通过手工方式恢复原主备关系。
> request chassis cluster failover redundancy-group 1 node 0 > request chassis cluster failover reset redundancy-group 1
3.13 配置备份及还原方法
配置备份及还原按照下面的步骤进行操作: 1. 可以将配置通过命令保存本地
# save srx5800config 还原时通过命令直接调取配置文件 # load override srx5800config # commit
2. 可以将配置通过命令保存在ftp 服务器上
第 27 页 共 32 页
# save ftp://10.1.1.1/srx5800config.gz 还原时通过命令调取ftp 服务器上的文件
# load override ftp://10.1.1.1/srx5800config.gz # commit
3.14 密码修改方法
密码的修改方法通过如下命令进行操作:
# set system login user admin class super-user-local authentication plain-text-password 根据提示来输入两次新密码即可生效
3.15 磁盘文件清理方法
防火墙内有两个存储单元,一个1G的CF卡和一个SSD硬盘(SRX3000为16G的硬盘;SRX5000为40G的硬盘)。由于防火墙允许存储多个系统OS,同时存储多种SYSLOG、Config等文件,在运行较长时间后,硬盘空间可能会被占满,导致新的OS无法上传或新的SYSLOG文件无法建立。 平时需要如下命令查看存储单元的利用率: > show system storage
可以通过如下命令清理磁盘中无用的系统OS及SYSLOG文件 > request system storage cleanup
或者通过命令单独删除某个目录下的文件 > file delete
3.16 密码恢复
SRX Root密码丢失,并且没有其他的超级用户权限,那么就需要执行密码恢复,该操作需要中断设备正常运行,但不会丢失配置信息,这点与ScreenOS存在区别。
要进行密码恢复,请按照下面操作进行:
1. Console口连接SRX,然后重启SRX。
2. 在启动过程中,console上出现下面的提示的时候,按空格键中断正常启动方式,然后
再进入单用户状态,并输入:boot -s
Loading /boot/defaults/loader.conf /kernel data=… … syms=[… …]
Hit [Enter] to boot immediately, or space bar for command prompt.
第 28 页 共 32 页
loader>
loader> boot -s
3. 执行密码恢复:在以下提示文字后输入recovery,设备将自动进行重启
Enter full pathname of shell or 'recovery' for root password recovery or RETURN for /bin/sh: recovery 4. 进入配置模式,删除root密码,并重现设置root密码:
> configure
Entering configuration mode
#delete system root-authentication
#set system root-authentication plain-text-password #New password:
#Retype new password: # commit
commit complete
3.17 常用监控维护命令
下列操作命令在操作模式下使用,或在配置模式下run show…
? Show system software 查看当前软件版本号 ? show system uptime 查看系统启动时间
? Show chassis haredware 查看硬件板卡及序列号 ? show chassis environment 查看硬件板卡当前状态
? show chassis routing-engine 查看主控板(RE)资源使用及状态 ? show chassis fpc 查看各业务板块运行状态
? show security monitoring 查看防火墙最大新建会话数和SPU负载 ? show route 查看路由表 ? show arp 查看ARP表 ? show log messages 查看系统日志
? show interface terse 查看所有接口运行状态 ? show interface ge-x/y/z detail 查看接口运行细节信息
? monitor interface ge-x/y/z 动态统计接口数据包转发信息
? monitor traffic interface ge-x/y/z 动态报文抓取(Tcpdump,类似ScreenOS snoop
命令)
? show security flow session summary 查看当前防火墙并发会话数 ? show security flow session 查看当前防火墙具体并发会话 ? clear security flow session all 清除当前session
? show security alg status 检查全局ALG开启情况
? SRX对应ScreenOS debug flow basic跟踪报文处理路径的命令:
? set security flow traceoptions flag basic-datapath 开启SRX基本报文处理Debug ? set security flow traceoptions file filename.log 将输出信息记录到指定文件中 ? set security flow traceoptions file filename.log size
小,缺省128k
? set security flow traceoptions packet-filter filter1 destination-prefix 5.5.5.2
第 29 页 共 32 页
设置报文跟踪过滤器
? run file show filename.log 查看该Log输出信息
? SRX对应ScreenOS get tech命令,开Case时需要抓取的信息:request support
information
? 查看cluster interface
root@router> show chassis cluster interfaces ? 查看cluster 状态、节点状态、主备关系 lab@srx5800a# run show chassis cluster status ? 取消cluster配置
srx5800a# set chassis cluster disable reboot
lab> show security monitoring performance session lab> show security monitoring performance spu
admin@SRX-A> show configuration admin@SRX-A> show log messages admin@SRX-A> show system uptime admin@SRX-A> show version
admin@SRX-A> show security flow session
admin@SRX-A> show security flow session summary admin@SRX-A> show chassis cluster status admin@SRX-A> show chassis cluster interfaces
admin@SRX-A> show configuration | compare config20120831.txt admin@SRX-A# show | compare rollback 0
admin@SRX-A> request support information | save filename admin@SRX-A> request system snapshot
admin@SRX-A> show security monitoring performance session admin@SRX-A> show security monitoring performance spu admin@SRX-A> show chassis routing-engine
第 30 页 共 32 页