Juniper SRX3000系列防火墙巡检指南-V1.docx

JuniperSRX防火墙 Juniper SRX3000系列防火墙巡检维护指南深圳市普赛顿网络2011-10修改记录文件编号版本号拟制人/修改人拟制/修改日期更改理由主要更改内容注：文件第一次拟制时，“更改理由”、“主要更改内容”栏写“无”。本文档以Junos 10.2版本为主编写 目 录一、防火墙介绍41.1 SRX3000系列主要组件41.2硬件组件结构41.2.1机箱51.2.2背板71.2.3路由引擎(Routing Engine)81.2.4交换矩阵板(SFB: Switch Fabric Board)91.2.5SPC接口卡91.2.6NPC接口卡101.2.7IOC接口卡101.2.8电源模块111.2.9冷却系统121.2.10冷却系统故障检查及替换131.3 实物图例16二、防火墙巡检内容172.1检查系统当前时间172.2检查系统当前版本信息182.3检查系统当前是否有core-dump文件182.4检查系统硬件告警信息192.5检查系统告警信息192.6检查机箱状态202.7 检查双机状态212.8 检查路由引擎利用率212.9 检查SPC模块资源利用率222.10 检查并发会话数232.11检查当前每秒新建会话数23补充24一、防火墙介绍 SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品，JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统，JUNOS是全球首款将转发与控制功能相隔离，并采用模块化软件架构的网络操作系统。JUNOS作为电信级产品的精髓是Juniper真正成功的基石，它让企业级产品同样具有电信级的不间断运营特性，更好的安全性和管理特性，JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。基于NP架构的SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、SSL VPN和UTM等全系列安全功能，其安全功能主要来源于已被广泛证明的ScreenOS操作系统。1.1 SRX3000系列主要组件SRX300系列的关键组件是路由引擎(RE)，交换矩阵卡(SFB),安全业务处理卡(SPC),网络业务处理卡(NPC)和接口卡(IOC)。l 路由引擎维护路由表并控制路由协议和其它管理任务。n 路由引擎处理所有来自邻居的路由协议更新, 它的负载不会影响转发性能。n 路由引擎利用丰富的互联网特性维护各种路由协议, 可灵活地进行发布、过滤及修改路由条目。路由策略根据前缀、前缀长度及BGP属性等路由参数进行设置。n 路由引擎提供所有的管理功能，包括对机箱内各个组件的状态监控，提供管理员基于CLI/WEB的管理界面，提供给网管平台的SNMP管理接口等等l SPC是负责数据包安全业务处理的逻辑实体，包括状态检测防火墙，NAT,IPsec VPN,IPS等等l NPC是负责将从IOCs卡接受报文并将报文转发至适合的SPC,同时负责提供CoS, Screen, Staeless ACL等功能l IOC提供给网路业务不同的网络接口类型，包括全套光传输接口及电传输接口。l SFB是系统的交换矩阵单元，负责调度系统各个模块之间的流量，通过无源背板为系统提供一个高性能无阻塞的交换单元 1.2以下已3600为例，对SRX3000系列的硬件架构做介绍，（SRX3400与SRX3600硬件最大区别在与插槽数的不同）1.2硬件组件结构本节包含以下硬件组件的介绍、描述：n 机箱n 背板n 路由引擎n 交换矩阵板n SPCn NPCn IOCn 电源系统n 冷却系统1.2.1机箱SRX3600机箱是刚性金属结构，用于其他部件的放置。SRX3600机箱中为前后插卡的形式。SRX3600机箱结构参见下图：图 01：SRX3600机箱前面板示图图为机箱安装插槽板卡类型与位置分布图为SRX3000最低配置要求图 02：SRX3600机箱后面板示图(AC)图 03：SRX3600机箱后面板示图(DC)1.2.2背板SRX3600的无源背板是机箱内用于物理区分前后空间的组件。它用于三个目的：l 数据通道：数据报文受SCB里交换矩阵芯片的控制经由背板上的物理通道在不同业务板卡之间进行报文交换。l 电源分配：用于向系统的各个组件分配从电源模块得到的电源l 信令通道：背板提供用于监控各个系统组件的信令通道SRX3600背板位于机箱的中部，提供前面板6个CFM (Common Form-factor Modules) 插槽和后面板6个CFM插槽。IOC/SFB/SPC从前面板插入，RE/SPC/NPC/PEM电源模块/风扇盘从后面板插入。背板还包含EEPROM，用于存储背板的序列号和硬件版本等信息。SRX3600背板提供如下功能：数据路径: 提供RE/IOC/NPC/SPC/SFB之间的数据物理路径电源分布: 将从PEM电源模块输出的电力分发给RE/IOC/SPC/NPC/SFB等各个子系统信号路径: 提供到RE/IOC/SPC/NPC/SFB的信号路径以便对各个子系统的状态进行监控参见图 35：背板。图 05：背板1.2.3路由引擎(Routing Engine)SRX3600使用路由引擎维护路由信令和路由表，路由引擎安装在机箱后面板的RE插槽内，每个路由引擎包含一个运行JUNOS软件的PowerPC计算平台。参见图 37：路由引擎。在SRX3600后面板下方预留了两个RE槽位，分别为RE0 (Slot 0) 和RE1 (Slot 1)。但目前版本(JUNOS 10.0)系统只支持一个RE0。路由引擎的Console和带外管理以太网接口均由内部总线连接至机箱前面板的SFB面板相应接口。图 07：路由引擎路由引擎（RE）组件每个路由引擎由下列组件构成：l CPU：1.2G PowerPC处理器，运行JUNOS系统l DRAM：2G DDR2 667 DRAM,为JUNOS操作系统提供运行空间，同时为路由引擎提供路由表和转发表的存储空间l 内部Flash：1G Flash，为JUNOS操作系统映像文件, JUNOS配置文件和各个系统组件的微码提供主存储空间。这个驱动器固定于路由引擎内部，不能从路由器外部接触到l 闪盘驱动器：16G SSD闪盘，提供JUNOS操作系统映像文件的备份存储空间用于灾难恢复。同时为日志文件、内存Dump提供第二存储空间，这个驱动器固定于路由引擎内部，不能从路由器外部接触到l USB接口：提供灵活的移动存储空间，可用于灾难备份和恢复l 管理接口：每个路由引擎包含一个10/100/100M以太网带外管理接口，2个异步串口：Console和AUXl EEPROM：存储路由引擎的序列号（Serial Number）和硬件版本信息l LED：显示RE活动状态l Reset按钮：按下将重启路由引擎l Online/Offline按钮：按下将把路由引擎下线或上线l 弹出把手：用于固定路由引擎，也用于弹出路由引擎l 固定螺丝：用于固定路由引擎1.2.4交换矩阵板(SFB: Switch Fabric Board)SFB提供如下功能：l 提供控制时钟信号和系统内时钟信号的分发l 提供内置的8个电口千兆以太网业务接口和4个光口(SFP)千兆以太网业务接口l 提供内置的2个光口(SFP)千兆以太网HA控制接口l 提供两个千兆以太网带外管理接口l 提供两个Console, 1个AUX以及两个BITS外部时钟接口l 提供两个USB接口l 通过交换矩阵芯片SF Chip控制机箱内各个槽位的互联链路在SRX3600前面板上方上预留了两个交换矩阵板槽位，但目前版本(JUNOS 10.0)系统只支持一个交换矩阵板。图 0 6：交换控制板1.2.5 SPC接口卡Services Processing Cards (SPCs) 是标准Common Form-factor Module (CFM) 尺寸的板卡，它没有外部接口，只通过内部总线与IOC/NPC相连。它为SRX提供包括状态检测防火墙, NAT, IPS, IPsec VPN等在内的所有业务处理能力。一个SRX里可以有多块SPC，流量由NPC智能地平均分配给适合的SPC卡去处理。SPC卡到背板的带宽为10Gbps.1.2.6 NPC接口卡Network Processing Cards (NPCs) 是标准Common Form-factor Module (CFM) 尺寸的板卡，它没有外部接口，只通过内部总线与IOC/SPC相连。它从IOCs卡接受报文并将报文转发至适合的Services Processing Card (SPC) 进行业务处理，当业务处理完成后NPC从SPC(s) 接受报文并将报文转发至适合的IOC.卡。同时NPC 还负责以下业务的处理:l CoS/QoS相关处理，包括buffer管理，队列调度等l Screen/DDoS防护NPC接口指示灯状态含义如下:NPC卡到背板的带宽为20Gbps.1.2.7 IOC接口卡IOC 接口卡是专门为高密度以太网业务设计的接口板卡，作为SFB上内置以太网接口的补充。IOC接口卡为CFM(Common Form-factor Module)标准尺寸。SRX3600的前面板的6个CFM槽位均可用于IOC接口卡。如果CFM槽位是空的，则必须加上CFM槽位挡板来保证散热风道正确经过设备内部。IOC接口卡在JUNOS 10.1以后可以在线热插拔，当把一块IOC插入一个正在工作的SRX设备后，路由引擎会把对应IOC线卡的软件下载到IOC的管理引擎上，IOC即开始自检并驱动自己进行工作，这时其它板卡的业务不会受到影响。目前JUNOS 10.0支持3种类型的IOC接口卡：图 013：16口电口千兆以太网接口卡 图014:16口光口(SFP)千兆以太网接口卡图 015：2口光口(XFP)万兆以太网接口卡IOC卡到背板的带宽为10Gbps.1.2.8电源模块SRX3600可以安装交流和直流两种电源模块。电源模块通过系统背板(midplane)给系统的各个组件供电图为DC线路连接说明注意：您必须确保电源连接保持正确的极性。电源线可能会被标记为（+）和（ - ），以标明防火墙的极性。没有标准的直流电源线的颜色编码。SRX3600共可以安装4个电源模块，其中2个用于正常工作，另外2个用于1:1冗余。 表格 03：DC电源模块电气规范项目规范最大输出功率(每个PEM)850WDC输入电压工作范围：-40.5 到 -72VDC表格 04：AC电源模块电气规范项目规范最大输出功率(每个PEM)1000WAC输入电压工作范围：100 -127V或200- 240 VACAC输入频率50 /60 HzAC输入额定电流12 100VAC或7A220VAC1.2.9冷却系统SRX3600冷却系统包含1个风扇盘(风扇盘含10个风扇)和1个空气滤网。安装在SRX3600机箱后面板右侧面的风扇盘从左侧吸入冷空气，经过空气滤网过滤的干净空气在机箱内循环来保证设备工作在一个可以接受的温度环境下。风扇盘和空气滤网都是可以热插拔的组件。SRX3600冷却空气从前面板看是从左侧流入右侧流出的，参见顶视图前视图图 310：机箱内的气流。顶视图前视图图 010：机箱内的气流图 011：风扇盘图 012：空气滤网1.2.10冷却系统故障检查及替换1. 冷却系统故障检查冷却系统包含安装在机箱侧面的风扇盘来保证SRX工作在一个可以接受的温度环境下。要检查风扇盘，执行下面的步骤：n 通过CLI命令行检查电源模块状态。通过下面的命令，观察输出的Status域的状态：userhost show chassis environment Class Item Status MeasurementFans Left Fan 1 OK Spinning at normal speed Left Fan 2 OK Spinning at normal speed Left Fan 3 OK Spinning at normal speed Left Fan 4 OK Spinning at normal speed.n 如果有风扇盘发生故障，可以通过观察判断出哪一个风扇除了问题。然后再处理。 2操作图示如下图： 打开最右边的锁，抽出风扇及虑网，查看虑网是否有尘。如果尘比较大，直接用水清洗（将滤网拆下，无需关机，如果将风扇拿出，建议关机操作。1.3 实物图例SRX3600SRX3400（图片仅供参考，以实物为准）二、防火墙巡检内容2.1检查系统当前时间1检查内容检查系统当前时间2检查方法CLI 方式检查：用户模式（即大于号模式）Show system uptime3检查标准Current time 和当地时间一至，如果不一致，请手工调整rootNoName set date ?Possible completions: New date and time (YYYYMMDDhhmm.ss)4输出结果参考rootNoName show system uptime node0:-Current time: 2011-10-11 17:10:04 UTCSystem booted: 2011-10-10 16:03:35 UTC (1d 01:06 ago)Protocols started: 2011-10-10 16:31:29 UTC (1d 00:38 ago)Last configured: 2011-10-10 17:26:11 UTC (23:43:53 ago) by root 5:10PM up 1 day, 1:06, 1 user, load averages: 0.08, 0.09, 0.025检查结果6不符合时操作set uptime YYYYMMDDhhmm.ss2.2检查系统当前版本信息1检查内容检查系统当前版本信息2检查方法CLI 方式检查：用户模式（即大于号模式）Show version3检查标准使用版本为公司推荐版本4输出结果参考primary:node0rootNoName show version node0:-Hostname: NoNameModel: srx240hJUNOS Software Release 10.4R5.55检查结果6不符合时操作更新版本，详细操作见附件12.3检查系统当前是否有core-dump文件1检查内容检查系统当前否有core-dump 文件2检查方法CLI 方式检查：用户模式（即大于号模式）show system core-dumps3检查标准近期未出现core-dump文件，若有请尽快联系售后支持处理，并提供core-dump文件，提取core-dump文件方式见附件14输出结果参考root FW-1 show system core-dumps no-forwarding/var/crash/*core*: No such file or directory/var/tmp/*core*: No such file or directory/var/crash/kernel.*: No such file or directory/tftpboot/corefiles/*core*: No such file or directory5检查结果6不符合时操作核心文件用于故障分析，不进行操作2.4检查系统硬件告警信息1检查内容检查硬件告警信息2检查方法CLI 方式检查：用户模式（即大于号模式）show chassis alarms 3检查标准无硬件告警信息，若有请立即相关售后支持人员确认4输出结果参考rootNoName show chassis alarms node0:-No alarms currently active 5检查结果6不符合时操作根据告警信息判断故障，不对告警信息进行操作。clear security alarms all/ alert/ crit/ debug/ emerg/ err/ info/ notice/ warning清楚安全告警2.5检查系统告警信息1检查内容检查硬件告警信息2检查方法CLI 方式检查： 用户模式（即大于号模式）show system alarms 3检查标准无系统告警信息，若有请立即相关售后支持人员确认。4输出结果参考primary:node0rootNoName show system alarms node0:-No alarms currently active5检查结果6不符合时操作根据告警信息判断故障，不对告警信息进行操作。clear security alarms all/ alert/ crit/ debug/ emerg/ err/ info/ notice/ warning清楚安全告警2.6检查机箱状态1检查内容检查机箱内个模块状态，温度2检查方法CLI 方式检查：用户模式（即大于号模式）show chassis environment( 检查电源模块，各个业务模块，及风扇系统)3检查标准各个板卡状态显示OK，模块不超过degrees C,若有超过，请检查设备风扇冷却系统，见附件24输出结果参考root show chassis environment no-forwardingClass Item Status Measurement Temp PEM 0 Absent PEM 1 OK 21 degrees C / 69 degrees FPEM 2 OK 23 degrees C / 73 degrees F PEM 3 OK 22 degrees C / 71 degrees F Routing Engine 0 OK Routing Engine 1 Absent CB 0 Intake OK 29 degrees C / 84 degrees FCB 0 Exhaust A OK 39 degrees C / 102 degrees F CB 0 Mezz OK 36 degrees C / 96 degrees F FPC 0 Intake OK 35 degrees C / 95 degrees F FPC 0 Exhaust A OK 54 degrees C / 129 degrees F FPC 0 Exhaust B OK 56 degrees C / 132 degrees FFans Fan 1 OK Spinning at normal speed Fan 2 OK Spinning at normal speed Fan 3 OK Spinning at normal speed 。 Fan 7 OK Spinning at normal speed Fan 8 OK Spinning at normal speed Fan 9 OK Spinning at normal speed Fan 10 OK Spinning at normal speed5检查结果6不符合时操作如果有板卡或者风扇的ststus不正常，则可以重新插拔一下，或者更换新的板卡或者风扇以尝试恢复。2.7 检查双机状态1检查内容检查系统双机状态2检查方法CLI 方式检查：用户模式（即大于号模式）show chassis cluster status3检查标准 双机主备状态正常，无lost，优先级为0的不正常状态4输出结果参考rootSHTZPSFW01 show chassis cluster statusCluster ID: 1Node Priority Status Preempt Manual failoverRedundancy group: 0 , Failover count: 9 node0 200 primary no yes node1 100 secondary no yesRedundancy group: 1 , Failover count: 11 node0 200 primary no yes node1 100 secondary no yes5检查结果6不符合时操作当双机状态不正常时，应检查双机配置情况是否正确。双机配置详情见附件22.8 检查路由引擎利用率1检查内容检查路由引擎状态2检查方法CLI 方式检查：用户模式（即大于号模式）show chassis routing-engine3检查标准 引擎利用率不超过60%4输出结果参考root -FW-1 show chassis routing-engineRouting Engine status: Slot 0: Current state Master Election priority Master (default) DRAM 1023 MB Memory utilization 43 percent CPU utilization: User 0 percent Background 0 percent Kernel 6 percent Interrupt 0 percent Idle 93 percent Model RE-PPC-1200-A Start time 2011-09-09 00:51:39 CST Uptime 29 days, 19 hours, 38 minutes, 30 seconds Last reboot reason Router rebooted after a normal shutdown. Load averages: 1 minute 5 minute 15 minute 0.01 0.04 0.055检查结果6不符合时操作当CPU 利用率超过60%时，除了检查是否由异常导致外（异常情况时日志将会有记录），建议将业务分流或者进行扩容。2.9 检查SPC模块资源利用率1检查内容检查SPC模块资源利用率2检查方法CLI 方式检查：用户模式（即大于号模式），建议业务高峰时取show security monitoring fpc x （SPC 模块所在槽位）3检查标准SPC的CPU 利用率应该在60%以下。 4输出结果参考rootFW02 show security monitoring fpc 6 #”6” 是SPC所在的槽位编号rootFW02 show security monitoring fpc 6 node0:-FPC 6 PIC 0 CPU utilization : 13 % （ SPC 的CPU 利用率） Memory utilization : 64 % （ SPC 的内存利用率） Current flow session : 73155 Max flow session : 524288 Current CP session : 461767 Max CP session : 23592965检查结果当CPU 利用率超过60%时，除了检查是否由异常导致外（异常情况时日志将会有记录），建议将业务进行扩容或者分流。6不符合时操作2.10 检查并发会话数1检查内容检查SPC模块资源利用率2检查方法CLI 方式检查：用户模式（即大于号模式），建议业务高峰时取show security monitoring fpc x （SPC 模块所在槽位）3检查标准，本机上面槽位数最小的SPC 模块为控制SPC，在上面看查看当前并发会话有多少。4输出结果参考rootFW02 show security monitoring fpc 6 #”6” 是SPC所在的槽位编号rootFW02 show security monitoring fpc 6 node0:-FPC 6 PIC 0 CPU utilization : 13 % （ SPC 的CPU 利用率） Memory utilization : 64 % （ SPC 的内存利用率） Current flow session : 73155 Max flow session : 524288 Current CP session : 461767 （ 当前并发session） Max CP session : 23592965检查结果6不符合时操作当CPU 利用率超过60%或者当前CP会话接近最大峰值时，除了检查是否由异常导致外（异常情况时日志将会有记录），建议将增加SPC进行扩容或者分流。2.11检查当前每秒新建会话数1检查内容查看每秒新建的会话数2检查方法CLI 方式检查：用户模式（即大于号模式）show security monitoring performance session ( 查看查看最后60秒防火墙增加的会话数，不包括总会话数)3检查标准在上面看查看当每秒会话有多少，是否接近防火墙峰值4输出结果参考userhost show securitymonitoring performance sessionfpc 0 pic 0Last 60 seconds: 0: 8 1: 8 2: 8 3: 8 4: 8 5: 7 6: 7 7: 7 8: 7 9: 7 10: 7 11: 812: 8 13: 8 14: 7 15: 7 16: 7 17: