SRX3600安全网关操作手册

1、 Page * MERGEFORMAT 178SRX3600安全网关操作手册目 录 TOC o 1-3 h z u HYPERLINK l _Toc504680275 1.总体概述 PAGEREF _Toc504680275 h 7 HYPERLINK l _Toc504680276 1.1.文档术语 PAGEREF _Toc504680276 h 7 HYPERLINK l _Toc504680277 2.基本操作 PAGEREF _Toc504680277 h 9 HYPERLINK l _Toc504680278 2.1.通过Console线缆连接路由器 PAGEREF _Toc5046

2、80278 h 9 HYPERLINK l _Toc504680279 2.2.设备关闭 PAGEREF _Toc504680279 h 11 HYPERLINK l _Toc504680280 2.3.设备重启 PAGEREF _Toc504680280 h 11 HYPERLINK l _Toc504680281 2.4.JUNOS升级 PAGEREF _Toc504680281 h 12 HYPERLINK l _Toc504680282 2.5.密码恢复 PAGEREF _Toc504680282 h 15 HYPERLINK l _Toc504680283 3.SRX3600 PAG

3、EREF _Toc504680283 h 18 HYPERLINK l _Toc504680284 3.1.SRX3600结构 PAGEREF _Toc504680284 h 18 HYPERLINK l _Toc504680285 设备描述 PAGEREF _Toc504680285 h 18 HYPERLINK l _Toc504680286 SRX3600主要组件 PAGEREF _Toc504680286 h 19 HYPERLINK l _Toc504680287 SRX3600技术规格 PAGEREF _Toc504680287 h 20 HYPERLINK l _Toc50468

4、0288 硬件组件结构 PAGEREF _Toc504680288 h 23 HYPERLINK l _Toc504680289 机箱 PAGEREF _Toc504680289 h 23 HYPERLINK l _Toc504680290 背板 PAGEREF _Toc504680290 h 26 HYPERLINK l _Toc504680291 路由引擎(Routing Engine) PAGEREF _Toc504680291 h 27 HYPERLINK l _Toc504680292 交换矩阵板(SFB: Switch Fabric Board) PAGEREF _Toc50468

5、0292 h 29 HYPERLINK l _Toc504680293 SPC接口卡 PAGEREF _Toc504680293 h 30 HYPERLINK l _Toc504680294 NPC接口卡 PAGEREF _Toc504680294 h 30 HYPERLINK l _Toc504680295 IOC接口卡 PAGEREF _Toc504680295 h 31 HYPERLINK l _Toc504680296 电源模块 PAGEREF _Toc504680296 h 32 HYPERLINK l _Toc504680297 冷却系统 PAGEREF _Toc504680297

6、 h 33 HYPERLINK l _Toc504680298 数据包转发处理顺序 PAGEREF _Toc504680298 h 35 HYPERLINK l _Toc504680299 3.2.SRX3600安装流程 PAGEREF _Toc504680299 h 35 HYPERLINK l _Toc504680300 安装前准备 PAGEREF _Toc504680300 h 35 HYPERLINK l _Toc504680301 安装流程 PAGEREF _Toc504680301 h 37 HYPERLINK l _Toc504680302 3.3.硬件组件故障检查 PAGERE

7、F _Toc504680302 h 41 HYPERLINK l _Toc504680303 使用故障检查资源 PAGEREF _Toc504680303 h 41 HYPERLINK l _Toc504680304 冷却系统故障检查 PAGEREF _Toc504680304 h 44 HYPERLINK l _Toc504680305 光纤信号衰减检查 PAGEREF _Toc504680305 h 45 HYPERLINK l _Toc504680306 电源系统故障检查 PAGEREF _Toc504680306 h 46 HYPERLINK l _Toc504680307 3.4.常

8、用故障诊断命令 PAGEREF _Toc504680307 h 47 HYPERLINK l _Toc504680308 查看端口状态 PAGEREF _Toc504680308 h 47 HYPERLINK l _Toc504680309 查看路由表 PAGEREF _Toc504680309 h 48 HYPERLINK l _Toc504680310 查看OSPF邻居关系 PAGEREF _Toc504680310 h 51 HYPERLINK l _Toc504680311 Ping PAGEREF _Toc504680311 h 51 HYPERLINK l _Toc50468031

9、2 Traceroute PAGEREF _Toc504680312 h 53 HYPERLINK l _Toc504680313 监控接口流量 PAGEREF _Toc504680313 h 53 HYPERLINK l _Toc504680314 监控RE CPU利用率 PAGEREF _Toc504680314 h 54 HYPERLINK l _Toc504680315 监控SPU利用率 PAGEREF _Toc504680315 h 54 HYPERLINK l _Toc504680316 监控并发会话数 PAGEREF _Toc504680316 h 54 HYPERLINK l

10、_Toc504680317 监控每秒新建连接数(JUNOS 10.1以后支持) PAGEREF _Toc504680317 h 55 HYPERLINK l _Toc504680318 3.5.设备日常维护 PAGEREF _Toc504680318 h 56 HYPERLINK l _Toc504680319 日常维护步骤 PAGEREF _Toc504680319 h 56 HYPERLINK l _Toc504680320 风扇盘的维护 PAGEREF _Toc504680320 h 57 HYPERLINK l _Toc504680321 路由引擎的维护 PAGEREF _Toc504

11、680321 h 59 HYPERLINK l _Toc504680322 电源模块的维护 PAGEREF _Toc504680322 h 61 HYPERLINK l _Toc504680323 配置文件查看 PAGEREF _Toc504680323 h 62 HYPERLINK l _Toc504680324 批量配置导入 PAGEREF _Toc504680324 h 63 HYPERLINK l _Toc504680325 配置文件提交 PAGEREF _Toc504680325 h 64 HYPERLINK l _Toc504680326 SNMP管理 PAGEREF _Toc50

12、4680326 h 64 HYPERLINK l _Toc504680327 4.SRX3600基本配置介绍 PAGEREF _Toc504680327 h 71 HYPERLINK l _Toc504680328 4.1.JUNOS CLI PAGEREF _Toc504680328 h 71 HYPERLINK l _Toc504680329 4.2.JUNOS基本配置 PAGEREF _Toc504680329 h 73 HYPERLINK l _Toc504680330 4.3.端口配置 PAGEREF _Toc504680330 h 77 HYPERLINK l _Toc504680

13、331 4.4.SNMP配置 PAGEREF _Toc504680331 h 82 HYPERLINK l _Toc504680332 4.5.协议独立路由属性的配置 PAGEREF _Toc504680332 h 83 HYPERLINK l _Toc504680333 4.6.配置OSPF路由 PAGEREF _Toc504680333 h 85 HYPERLINK l _Toc504680334 4.7.配置BGP路由 PAGEREF _Toc504680334 h 91 HYPERLINK l _Toc504680335 4.8.配置Class-of-Service PAGEREF _

14、Toc504680335 h 96 HYPERLINK l _Toc504680336 4.9.配置路由策略(Policy) PAGEREF _Toc504680336 h 129 HYPERLINK l _Toc504680337 5.SRX安全策略配置介绍 PAGEREF _Toc504680337 h 135 HYPERLINK l _Toc504680338 5.1.安全域zone配置 PAGEREF _Toc504680338 h 135 HYPERLINK l _Toc504680339 5.2.安全域zone的地址本配置 PAGEREF _Toc504680339 h 137 H

15、YPERLINK l _Toc504680340 5.3.application配置 PAGEREF _Toc504680340 h 137 HYPERLINK l _Toc504680341 5.4.安全策略配置 PAGEREF _Toc504680341 h 138 HYPERLINK l _Toc504680342 6.SRX NAT配置介绍 PAGEREF _Toc504680342 h 140 HYPERLINK l _Toc504680343 7.SRX3600双机热备配置介绍 PAGEREF _Toc504680343 h 145 HYPERLINK l _Toc50468034

16、4 7.1.配置Cluster id和Node id PAGEREF _Toc504680344 h 147 HYPERLINK l _Toc504680345 7.2.指定Control Port PAGEREF _Toc504680345 h 148 HYPERLINK l _Toc504680346 7.3.指定Fabric Link PAGEREF _Toc504680346 h 149 HYPERLINK l _Toc504680347 7.4.配置Redundancy Group PAGEREF _Toc504680347 h 150 HYPERLINK l _Toc5046803

17、48 7.5.每个机箱的个性化配置 PAGEREF _Toc504680348 h 151 HYPERLINK l _Toc504680349 7.6.配置Redundant Ethernet Interface PAGEREF _Toc504680349 h 153 HYPERLINK l _Toc504680350 7.7.配置Interface Monitoring PAGEREF _Toc504680350 h 155 HYPERLINK l _Toc504680351 7.8.JSRP常用维护命令 PAGEREF _Toc504680351 h 156 HYPERLINK l _To

18、c504680352 7.9.JSRP中的软件升级 PAGEREF _Toc504680352 h 158 HYPERLINK l _Toc504680353 7.10.附录 JSRP典型配置 PAGEREF _Toc504680353 h 158 HYPERLINK l _Toc504680354 8.SRX Traffic Log配置介绍 PAGEREF _Toc504680354 h 170 HYPERLINK l _Toc504680355 8.1.Events配置 PAGEREF _Toc504680355 h 170 HYPERLINK l _Toc504680356 8.2.St

19、ream(traffic log)配置 PAGEREF _Toc504680356 h 171 HYPERLINK l _Toc504680357 9.附录 PAGEREF _Toc504680357 h 173 HYPERLINK l _Toc504680358 9.1.WAP环境里SRX与HUAWEI交换机的配合 PAGEREF _Toc504680358 h 173 HYPERLINK l _Toc504680359 9.2.WAP SOCKETS业务配置样例 PAGEREF _Toc504680359 h 175 HYPERLINK l _Toc504680360 9.3.联系硬件返修

20、 PAGEREF _Toc504680360 h 177总体概述本文档用于说明Juniper SRX3600产品基本命令配置和硬件操作指导。更多的信息请参考下面的网站：JUNOS 9.6: HYPERLINK /techpubs/software/junos/junos96/index.html /techpubs/software/junos/junos96/index.htmlSRX 硬件手册: HYPERLINK /techpubs/hardware/junos-srx/index.html /techpubs/hardware/junos-srx/index.html文档术语Air F

21、ilter空气过滤网ESD Point静电释放点Fan Tray风扇盘PEM(Power Equipment Modules)电源模块Craft Interface控制面板RE：Routing Engine路由引擎SFB: Switch Fabric Board 交换矩阵板PFE：Packet Forwarding Engine转发引擎FRU：Field-replaceable unit可现场更换部件DPC：Dense Port Concentrators高密度接口卡FPC：Flexible PIC Concentrator物理接口汇聚卡PIC：Physical Interface Card物

22、理接口卡SPC：Services Processing Cards 业务处理卡NPC：Network Processing Cards网络处理卡IOC：Input Output cards 接口卡SFP：Small Factor Pluggable小型可插拔光收发器，适用千兆以太网基本操作JUNOS软件是专门为互联网设计的第一种路由操作系统。它运行在Juniper网络公司的所有T-系列、M/MX系列和J-系列路由器以及SRX系列集成安全网关上，被部署在全球最大、增长最迅速的网络中。它提供的全套具有工业强度的路由协议、灵活的策略语言和领先的功能特性，可以高效地扩展支持极大数量的网络接口和路由。

23、基于标准的JUNOS软件可以支持互联网路由协议，同时控制路由器及其接口并实现对各种规模的网络的系统管理。简便易用的界面使您可以配置路由协议和接口属性、监控路由、检测并排除协议和网络连接故障。本节将描述设备的一些应急操作，这些操作都会影响设备的正常功能，操作时请谨慎使用： HYPERLINK l _通过Console线缆连接路由器 通过Console线缆连接路由器 HYPERLINK l _设备关闭_1 设备关闭 HYPERLINK l _设备重启 设备重启 HYPERLINK l _JUNOS升级 JUNOS升级 HYPERLINK l _密码恢复 密码恢复通过Console线缆连接路由器使用

24、下面的步骤连接路由器的Console接口：准备好Juniper路由设备自带的Console线缆将Console线缆的DB9插头一头插到PC或者笔记本电脑的COM口上，另外一端插到SRX3600路由引擎的的CONSOLE口上。注意，插入前请观察那一个RE是主用的(默认情况下slot 0 的路由引擎为主用)，将RJ45插头插入主用的RE上。打开计算机中的终端软件工具。例如：SecureCRT或者Windows自带的超级终端。设置如下：端口：选择第二步中Console线缆插入到PC上的端口，通常为COM 1或者COM 2波特率：9600数据位：8位停止位：1位流控：无打开配置到的SecureCRT或

25、者超级终端，按“Enter”键，屏幕出现登陆的提示符，即连接成功。如果没有显示，请检查线缆或者终端的配置是否正确。如果出现任何现场无法解决的问题，请寻求Juniper TAC的帮助，参阅 HYPERLINK l _寻求JTAC帮助 寻求JTAC帮助。设备关闭Juniper设备关闭必须按照下面的步骤进行操作：用Console或Telnet/SSH连接到主用路由引擎上使用具有足够权限的用户名和密码登陆CLI命令行界面。在提示符下输入下面的命令：userhost request system haltThe operating system has halted.Please press any k

26、ey to reboot等待console设备的出现上面的输出，确认设备软件已经停止运行。关闭机箱背后电源模块电源。如果出现任何现场无法解决的问题，请咨询Juniper TAC的帮助，参阅 HYPERLINK l _寻求JTAC帮助 寻求JTAC帮助。设备重启Juniper设备重启必须按照下面的步骤进行操作：用Console或Telnet/SSH连接到主用路由引擎上使用具有足够权限的用户名和密码登陆CLI命令行界面。在提示符下输入下面的命令：userhost request system reboot等待console设备的输出，确认设备软件已经重新启动。如果要进行电源关闭的重新启动，请参阅“

27、 HYPERLINK l _设备关闭 设备关闭”，在重新开启电源之前必须等待60秒。如果出现任何现场无法解决的问题，请咨询Juniper TAC的帮助，参阅 HYPERLINK l _寻求JTAC帮助 寻求JTAC帮助。JUNOS升级Juniper设备JUNOS软件升级必须按照下面的步骤进行操作：用Console或Telnet/SSH连接到主用路由引擎上下载新的JUNOS软件，放置到FTP服务器上。升级前，执行下面的命令备份旧的软件及设定：userhost request system snapshot 安装新的JUNOS软件：userhost request system software

28、add ftp/:username:password / jinstall-7.X-package-name-signed.tgz no-copy unlinkChecking compatibility with configuration Initializing.Using jbase-7.x-package-nameUsing /var/tmp/jinstall-7.x-package-name.signed.tgzVerified jinstall-7.x-package-name.tgz signed byPackageDevelopment_0 Using /var/valida

29、te/tmp/jinstall-signed/jinstall-7.x-package-name.tgzUsing /var/validate/tmp/jinstall/jbundle-7.x-package-name.tgzChecking jbundle requirements on /Using /var/validate/tmp/jbundle/jbase-7.x-package-name.tgzUsing /var/validate/tmp/jbundle/jkernel-7.x-package-name.tgzUsing /var/validate/tmp/jbundle/jcr

30、ypto-7.x-package-name.tgzUsing /var/validate/tmp/jbundle/jpfe-7.x-package-name.tgzUsing /var/validate/tmp/jbundle/jdocs-7.x-package-name.tgzUsing /var/validate/tmp/jbundle/jroute-7.x-package-name.tgzValidating against /config/juniper.conf.gzmgd: commit completeValidation succeededInstalling package/

31、var/tmp/jinstall-7.x-package-name-signed.tgz .Verified jinstall-7.x-package-name-signed.tgz signed byPackageDevelopment_0 Pre-checking requirements for jinstall.Auto-deleting old jinstall.Deleting saved config files .Deleting bootstrap installer .Adding jinstall.WARNING: This package will load JUNOS

32、 7.x software.WARNING: It will save JUNOS configuration files, and SSH keysWARNING: (if configured), but erase all other files and informationWARNING: stored on this machine. It will attempt to preserve dumpsWARNING: and log files, but this can not be guaranteed. This is theWARNING: pre-installation

33、 stage and all the software is loaded whenWARNING: you reboot the system.Saving the config files .Installing the bootstrap installer .WARNING: A REBOOT IS REQUIRED TO LOAD THIS SOFTWARE CORRECTLY. Use theWARNING: request system reboot command when software installation isWARNING: complete. To abort

34、the installation, do not reboot your system,WARNING: instead use the request system software delete jinstallWARNING: command as soon as this operation completes.Saving package file in/var/sw/pkg/jinstall-7.x-package-name-signed.tgz .Saving state for rollback .重新启动设备：userhost request system rebootReb

35、oot the system ? yes,no (no) yes如果出现任何现场无法解决的问题，请寻求Juniper TAC的帮助，参阅 HYPERLINK l _寻求JTAC帮助 寻求JTAC帮助。密码恢复如果设备的Root密码丢失，而且没有其他的超级用户权限，那么就需要执行密码恢复，该操作需要中断设备的正常功能。要进行密码恢复，请按照下面操作进行：断电后再加电以重新启动设备。在启动过程中，console上出现下面的提示的时候，按任意键中断正常启动方式，然后再进入单用户状态：Hit Enter to boot immediately, or any other key for command

36、 prompt.Booting kernel in 9 seconds.ok boot s执行密码恢复# cd /packages# ./mount.jkernelMounted jkernel package on /dev/vn1.Verified manifest signed by PackageProduction_8_2_0# ./mount.jrouteMounted jroute package on /dev/vn2.Verified manifest signed by PackageProduction_8_2_0# cd /usr/libexec/ui# ./recov

37、ery-mode进入配置模式，设置新的root密码：root configure Entering configuration modeeditroot# set system root-authentication plain-text-password New password:Retype new password:重新启动后，设备恢复正常。如果出现任何现场无法解决的问题，请咨询Juniper相关工程师，或者寻求Juniper TAC的帮助，参阅 HYPERLINK l _寻求JTAC帮助 寻求JTAC帮助。SRX3600SRX3600结构设备描述瞻博网络 (Juniper Networ

38、ks) SRX3000系列业务网关是下一代安全业务网关，在中型机箱中提供了市场领先的可扩展性和服务集成能力。这些产品是大中型企业、公共部门和电信运营商网络的理想选择，包括：大型企业的服务器库/数据中心 部门或独立安全解决方案的汇聚环境 云和托管供应商数据中心托管服务部署SRX3000产品系列基于创新的“中置背板”(mid-plane) 设计和瞻博网络 (Juniper Networks) 的动态服务架构，为大型企业和电信运营商环境提供最高性价比。每个业务网关都支持近线性的可扩展性，在添加服务处理卡 (SPC) 的情况下，SRX3600最多可支持30 Gbps的防火墙吞吐量。SPC设计用于支持广

39、泛的服务，能够支持将来的新功能，无需安装服务特定的硬件。通过将SPC应用于所有服务，将能够确保运行环境中的特定服务领域不会存在闲置资源最大限度地提高硬件利用率。SRX3000产品系列采用模块化架构，提供市场领先的灵活性和性价比。这个网关基于瞻博网络 (Juniper Networks) 的动态服务架构，支持灵活地配置I/O卡 (IOC) 、网络处理卡 (NPC) 和服务处理卡 (SPC) 使用户能够通过配置系统在性能和端口密度之间实现理想均衡，并能够基于特定的网络要求对瞻博网络 (Juniper Networks) SRX业务网关进行定制部署。这种灵活性支持您将SRX3600配置为支持超过10

40、0 Gbps的接口 (可以是千兆以太网和万兆以太网端口的任意组合)；提供从10到30 Gbps的网络处理性能；并且提供适当的服务处理来满足特定的业务需求。SRX3600主要组件SRX3600的关键组件是路由引擎(RE)，交换矩阵卡(SFB),安全业务处理卡(SPC),网络业务处理卡(NPC)和接口卡(IOC)。路由引擎维护路由表并控制路由协议和其它管理任务。路由引擎处理所有来自邻居的路由协议更新, 它的负载不会影响转发性能。路由引擎利用丰富的互联网特性维护各种路由协议, 可灵活地进行发布、过滤及修改路由条目。路由策略根据前缀、前缀长度及BGP属性等路由参数进行设置。路由引擎提供所有的管理功能，

41、包括对机箱内各个组件的状态监控，提供管理员基于CLI/WEB的管理界面，提供给网管平台的SNMP管理接口等等SPC是负责数据包安全业务处理的逻辑实体，包括状态检测防火墙，NAT,IPsec VPN,IPS等等NPC是负责将从IOCs卡接受报文并将报文转发至适合的SPC,同时负责提供CoS, Screen, Staeless ACL等功能IOC提供给网路业务不同的网络接口类型，包括全套光传输接口及电传输接口。SFB是系统的交换矩阵单元，负责调度系统各个模块之间的流量，通过无源背板为系统提供一个高性能无阻塞的交换单元SRX3600技术规格本部分列出了平台的基本技术规格。如想进一步了解详细信息, 请

42、参见硬件安装手册, 网址： HYPERLINK /techpubs/hardware/ /techpubs/hardware/。路由引擎1.2GHz 1.2GHz 赛扬处理器1GB DDR2 667 DRAM1G Flash内部存储器16GB IDE Flash驱动器,备用存储器千兆以太网RJ-45 端口, 用于带外管理两个RS-232 (RJ45 连接器) 异步串行端口, 用于控制台和远程管理备份引导介质：紧急恢复U盘主要技术参数（JUNOS 10.0）30Gbps安全业务处理能力2.25M 并发会话4M RIB/ 640K FIB40K安全策略40K RTSP ALG per SPU权威机

43、构认证安全性CAN/CSA-C22.2 No. 60950-00/UL 60950 - 第三版, 信息技术设备安全性EN 60825-1 激光产品安全性- 第一部分: 设备分类, 要求和用户指南EN 60825-2 激光产品安全性- 第二部分: 光纤通信系统安全性EN 60950 信息技术设备安全性EMC(SRX3600)AS/NZS 3548 Class B (澳大利亚/ 新西兰)BSMI Class B (台湾)EN 55022 Class B Emissions (欧洲)FCC Part 15 Class B (美国)VCCI Class B (日本)抗干扰性EN 61000-3-2 电

44、源线谐波EN 61000-4-2 ESDEN 61000-4-3 辐射抗干扰性EN 61000-4-4 EFTEN 61000-4-5 电涌EN 61000-4-6 低频公共抗干扰性EN 61000-4-11 电压骤升和骤降ETSIETS-300386-2 电信网络设备电磁兼容性要求NEBSGR-63-Core: NEBS, 物理保护GR-1089-Core: 网络电信设备EMC 及电气安全性SR-3580 NEBS 标准级别(符合第3级要求)环境温度32 - 104F / 0 - 40C相对湿度5-90%, 无冷凝最高海拔10,000 英尺/ 3,048 米高度上无性能下降抗震设计满足Tel

45、ecordia Technologies Zone 4 地震要求硬件组件结构本节包含以下硬件组件的介绍、描述：机箱背板路由引擎交换矩阵板SPCNPCIOC电源系统冷却系统机箱SRX3600机箱是刚性金属结构，用于其他部件的放置。SRX3600机箱中为前后插卡的形式。SRX3600机箱结构参见下图：图 STYLEREF 1 s 3 SEQ 图表 * ARABIC s 1 1：SRX3600机箱前面板示图图 STYLEREF 1 s 32：SRX3600机箱后面板示图(AC)图 STYLEREF 1 s 33：SRX3600机箱后面板示图(DC)背板SRX3600的无源背板是机箱内用于物理区分前后

46、空间的组件。它用于三个目的：数据通道：数据报文受SCB里交换矩阵芯片的控制经由背板上的物理通道在不同业务板卡之间进行报文交换。电源分配：用于向系统的各个组件分配从电源模块得到的电源信令通道：背板提供用于监控各个系统组件的信令通道SRX3600背板位于机箱的中部，提供前面板6个CFM (Common Form-factor Modules) 插槽和后面板6个CFM插槽。IOC/SFB/SPC从前面板插入，RE/SPC/NPC/PEM电源模块/风扇盘从后面板插入。背板还包含EEPROM，用于存储背板的序列号和硬件版本等信息。SRX3600背板提供如下功能：数据路径: 提供RE/IOC/NPC/SP

47、C/SFB之间的数据物理路径电源分布: 将从PEM电源模块输出的电力分发给RE/IOC/SPC/NPC/SFB等各个子系统信号路径: 提供到RE/IOC/SPC/NPC/SFB的信号路径以便对各个子系统的状态进行监控参见 REF _Ref105402673 h 图35：背板。图 STYLEREF 1 s 35：背板路由引擎(Routing Engine)SRX3600使用路由引擎维护路由信令和路由表，路由引擎安装在机箱后面板的RE插槽内，每个路由引擎包含一个运行JUNOS软件的PowerPC计算平台。参见 REF _Ref98513768 h * MERGEFORMAT 图 37：路由引擎。在

48、SRX3600后面板下方预留了两个RE槽位，分别为RE0 (Slot 0) 和RE1 (Slot 1)。但目前版本(JUNOS 10.0)系统只支持一个RE0。路由引擎的Console和带外管理以太网接口均由内部总线连接至机箱前面板的SFB面板相应接口。图 STYLEREF 1 s 37：路由引擎路由引擎（RE）组件每个路由引擎由下列组件构成：CPU：1.2G PowerPC处理器，运行JUNOS系统DRAM：2G DDR2 667 DRAM,为JUNOS操作系统提供运行空间，同时为路由引擎提供路由表和转发表的存储空间内部Flash：1G Flash，为JUNOS操作系统映像文件, JUNOS

49、配置文件和各个系统组件的微码提供主存储空间。这个驱动器固定于路由引擎内部，不能从路由器外部接触到闪盘驱动器：16G SSD闪盘，提供JUNOS操作系统映像文件的备份存储空间用于灾难恢复。同时为日志文件、内存Dump提供第二存储空间，这个驱动器固定于路由引擎内部，不能从路由器外部接触到USB接口：提供灵活的移动存储空间，可用于灾难备份和恢复管理接口：每个路由引擎包含一个10/100/100M以太网带外管理接口，2个异步串口：Console和AUXEEPROM：存储路由引擎的序列号（Serial Number）和硬件版本信息LED：显示RE活动状态Reset按钮：按下将重启路由引擎Online/O

50、ffline按钮：按下将把路由引擎下线或上线弹出把手：用于固定路由引擎，也用于弹出路由引擎固定螺丝：用于固定路由引擎交换矩阵板(SFB: Switch Fabric Board)SFB提供如下功能：提供控制时钟信号和系统内时钟信号的分发提供内置的8个电口千兆以太网业务接口和4个光口(SFP)千兆以太网业务接口提供内置的2个光口(SFP)千兆以太网HA控制接口提供两个千兆以太网带外管理接口提供两个Console, 1个AUX以及两个BITS外部时钟接口提供两个USB接口通过交换矩阵芯片SF Chip控制机箱内各个槽位的互联链路在SRX3600前面板上方上预留了两个交换矩阵板槽位，但目前版本(JU

51、NOS 10.0)系统只支持一个交换矩阵板。图 STYLEREF 1 s 3 6：交换控制板SPC接口卡Services Processing Cards (SPCs) 是标准Common Form-factor Module (CFM) 尺寸的板卡，它没有外部接口，只通过内部总线与IOC/NPC相连。它为SRX提供包括状态检测防火墙, NAT, IPS, IPsec VPN等在内的所有业务处理能力。一个SRX里可以有多块SPC，流量由NPC智能地平均分配给适合的SPC卡去处理。SPC卡到背板的带宽为10Gbps.NPC接口卡Network Processing Cards (NPCs) 是标

52、准Common Form-factor Module (CFM) 尺寸的板卡，它没有外部接口，只通过内部总线与IOC/SPC相连。它从IOCs卡接受报文并将报文转发至适合的Services Processing Card (SPC) 进行业务处理，当业务处理完成后NPC从SPC(s) 接受报文并将报文转发至适合的IOC.卡。同时NPC 还负责以下业务的处理:CoS/QoS相关处理，包括buffer管理，队列调度等Screen/DDoS防护NPC接口指示灯状态含义如下:NPC卡到背板的带宽为20Gbps.IOC接口卡IOC 接口卡是专门为高密度以太网业务设计的接口板卡，作为SFB上内置以太网接口

53、的补充。IOC接口卡为CFM(Common Form-factor Module)标准尺寸。SRX3600的前面板的6个CFM槽位均可用于IOC接口卡。如果CFM槽位是空的，则必须加上CFM槽位挡板来保证散热风道正确经过设备内部。IOC接口卡在JUNOS 10.1以后可以在线热插拔，当把一块IOC插入一个正在工作的SRX设备后，路由引擎会把对应IOC线卡的软件下载到IOC的管理引擎上，IOC即开始自检并驱动自己进行工作，这时其它板卡的业务不会受到影响。目前JUNOS 10.0支持3种类型的IOC接口卡：图 STYLEREF 1 s 313：16口电口千兆以太网接口卡 图 STYLEREF 1

54、s 314:16口光口(SFP)千兆以太网接口卡图 STYLEREF 1 s 315：2口光口(XFP)万兆以太网接口卡IOC卡到背板的带宽为10Gbps.电源模块SRX3600可以安装交流和直流两种电源模块。电源模块通过系统背板(midplane)给系统的各个组件供电SRX3600共可以安装4个电源模块，其中2个用于正常工作，另外2个用于1:1冗余。 表格 STYLEREF 1 s 33：DC电源模块电气规范项目规范最大输出功率(每个PEM)850WDC输入电压工作范围：-40.5 到 -72VDC表格 STYLEREF 1 s 34：AC电源模块电气规范项目规范最大输出功率(每个PEM)1

55、000WAC输入电压工作范围：100 -127V或200- 240 VACAC输入频率50 /60 HzAC输入额定电流12 A100VAC或7A220VAC冷却系统SRX3600冷却系统包含1个风扇盘(风扇盘含10个风扇)和1个空气滤网。安装在SRX3600机箱后面板右侧面的风扇盘从左侧吸入冷空气，经过空气滤网过滤的干净空气在机箱内循环来保证设备工作在一个可以接受的温度环境下。风扇盘和空气滤网都是可以热插拔的组件。SRX3600冷却空气从前面板看是从左侧流入右侧流出的，参见 REF _Ref105406603 h 图 310：机箱内的气流。顶视图前视图图 STYLEREF 1 s 310：机

56、箱内的气流图 STYLEREF 1 s 311：风扇盘图 STYLEREF 1 s 312：空气滤网数据包转发处理顺序数据包进入SRX接口卡后在内部的处理顺序如下：Packets入 入向IOC SFB交换矩阵 入向NPC SFB交换矩阵 某SPC SFB交换矩阵 出向NPC SFB交换矩阵 出向IOC Packets出由上可看出:任意两个处理卡(IOC/SPC/NPC)之间的报文传递必须经过SFB交换矩阵入向NPC和出向NPC可以是一块NPC，SRX3400最大支持2块NPC，SRX3600最大支持3块SPC一条数据流在转发过程中经过一次SPC，但可能会经过2次NPC(当入向NPC与出向NPC

57、相同时)，因此NPC到背板的带宽(20Gbps)是SPC到背板的带宽(10Gbps)的两倍SRX3600安装流程安装前准备安装场所要求指标要求海拔10000尺(3048米)以下温度0C to 40C相对湿度5%-90%非冷凝防震SRX3600为Telcordia Technologies Zone 4 级防震设计单设备尺寸（高宽深）22.2x44.5x64.8 (cm)机箱尺寸（mm）（U）5U单设备最大重量（Kg）52.6Kg单设备最大功耗（kW）2KW供电方式AC/DC允许电压波动范围AC:100-127V/200-240VDC:-40.5 to -72VDC防静电要求设备良好接地室内防尘

58、接触电路板时，应戴防静电手腕，穿防静电工作服将拆卸下的电路板面朝上放置在抗静电的工作台上或放入防静电袋中当观察或转移拆卸了的电路板时，请用手接触电路板的外边缘，避免用手直接触摸电路板上的元器机柜要求SRX3600被设计用于安装在EIA-310-D定义的标准19”机柜里。具体标准文档可参考:.安装流程包装拆卸SRX3600为纸箱包装，底座为木托，SRX3600通过紧固螺栓固定在底托上，快速安装指南配件盒包含在木箱里。木箱包装外型尺寸为50cm(高)x61cm(宽)x91.4cm(深)，整个木箱包装重量为61.2公斤。包装拆卸步骤如下：1. 将包装木箱移至离安装点尽可能近的地方，但同时必须保证有足

59、够的空间来拆卸木箱包装，当SRX3600紧固在木质底托上时，可以使用托盘叉车。2. 放置包装木箱时保证指示箭头朝上。3. 拧开将包装纸箱紧固在木底托上的固定木框的所有螺栓4. 提起并移除固定木框5. 提起并移除包装纸箱6. 移除设备的泡沫覆盖7. 移除配件盒和快速安装指南文档8. 对比收到的部件与装箱单(附后)9. 移除干燥剂袋.10. 移除机箱上的放置的托盘安装机柜托架我们推荐使用机柜托架，因为SRX3600满载重量为52.6公斤。安装挂耳两侧挂耳可安装在SRX3600前侧，也可安装在靠近中部的位置。安装SRX3600到机柜由于SRX3600较重，可以使用叉车进行安装；如果不能使用叉车进行安

60、装，则需要先移除SRX3600所有组件后再进行安装，安装完成后再重新安装所有路由器组件。将移除组件后的空机箱上架需要至少两人。移除所有组建后SRX3600机箱重量为约20公斤。安装至机柜将SRX抬至机柜前比机柜的托盘或滑道略高的位置，将SRX放到托盘或滑轨上，推入机柜。用满足机柜安装尺寸要求的盘头螺钉将SRX3600通过挂耳固定在机柜上，保证SRX3600在机柜上位置水平并牢固硬件组件故障检查本节描述如何进行硬件的故障检查。包含以下内容： HYPERLINK l _使用故障检查资源_3 使用故障检查资源 HYPERLINK l _冷却系统故障检查_3 冷却系统故障检查 HYPERLINK l