Juniper防火墙故障情况下的快速恢复

juniper防火墙之恢复出厂默认设置用过Juniper产品的人都应该知道一点，Juniper产品密码忘了的话是一件很痛苦的事，为什么这么说呢？下来就来听我给大家讲讲嘛！密码丢失是无法恢复的，那么我们就只有通过恢复出厂默认设置的方法来重新获得管理权限（原来配置的参数、证书等都将被删除）。

有两种办法恢复出厂默认配置：1、在Console模式下，用设备的序列号作用用户名/密码进行登录。

成功后系统出现警告提示，将擦去现有配置，确认后系统开始恢复默认配置，随后重启。

整个过程约3分钟。

那么我们如何获得这个序列号呢？要获得这个序列号的办法有两种，第一种就是在产品的背后有一个序列号。

第二种办法就是通过输入“get sys”来获取。

这里我们先来看看Juniper防火墙的启动过程：NetScreen NS-5GT Boot Loader Version 2.1.0 (Checksum: 61D07DA5)Copyright (c) 1997-2003 NetScreen Technologies, Inc.Total physical memory: 128MBTest - PassInitialization.... DoneHit any key to run loaderHit any key to run loaderHit any key to run loaderHit any key to run loaderLoading default system image from on-board flash disk...Done! (size = 11,108,352 bytes)Ignore image authentication!Start loading... ................................................................. ................................................................. ................................................................. ................................................................. ................................................................. ................................................................. ................................................................. ................................................................. ................................................................. ................................................................. ................................................................. ................................................................. ................................................................. ......................................Done.Juniper Networks, IncNS-5GT System SoftwareCopyright, 1997-2008Version 6.2.0r1.0Load Manufacture Information ... DoneInitialize FBTL 0.... DoneLoad NVRAM Information ... (6.2.0)DoneSYIMAGEInstall module init vectorsbuild and grow heap:system, order:13Initial port mode trust-untrust(1)Install modules (00fdc800,01bf5c70) ...PPP IP-POOL initiated, 256 poolsSystem config (1945 bytes) loadedDone.Load SystemConfiguration ................................................................. .................................................................Disabled licensekey auto update...................Donesystem init done..login: trust interface change physical state to Upuntrust interface change physical state to Uplogin: System change state to Active(1)以上就是我们Juniper防火墙的启动过程，这里学过cisco的应该大至是能够理解的。

JuniperSRX恢复主分区引导系统
突然停电或者非正常关机后Juniper OS的主分区受损重启失败后会从备件分区启动系统，并收到如下的提示：
注：以下操作是在超级终端完成的，以及所有命令是在命令模式（>）下进行的.
1.首先可以查看是在那个分区启动系统
命令：show system storage partitions
如下图所示是在备份分区启动的：
2.查看备份分区系统版本和主分区系统版本，因为还原后会把主分区版本覆盖
命令：show system snapshot media internal
3.可通过下面的命令从备份分区恢复JunOS 镜象到主分区：
request system snapshot internal slice alternate
4.还原后，用下面的命令重启设置，以让其从主分区启动
命令：request system reboot media internal
注：官网的例子版是10.4R3，用的命令是request system reboot slice alternate media internal 但我的12.1的版是无效的。

5.重启完成后可验证是否从主分区启动
命令：show system storage partitions。

有两种办法恢复出厂默认配置：1、在Console模式下，用设备的序列号作用用户名/密码进行登录。

成功后系统出现警告提示，将擦去现有配置，确认后系统开始恢复默认配置，随后重启。

整个过程约3分钟。

那么我们如何获得这个序列号呢？要获得这个序列号的办法有两种，第一种就是在产品的背后有一个序列号。

第二种办法就是通过输入“get sys”来获取。

这里我们先来看看Juniper防火墙的启动过程：NetScreen NS-5GT Boot Loader Version 2.1.0 (Checksum: 61D07DA5)Copyright (c) 1997-2003 NetScreen Technologies, Inc.Total physical memory: 128MBTest - PassInitialization.... DoneHit any key to run loaderHit any key to run loaderHit any key to run loaderHit any key to run loaderLoading default system image from on-board flash disk...Done! (size = 11,108,352 bytes)Ignore image authentication!Start loading... ................................................................. ................................................................. ................................................................. ................................................................. ................................................................. ................................................................. ................................................................. ................................................................. ................................................................. ................................................................. ................................................................. ................................................................. ................................................................. ......................................Done.Juniper Networks, IncNS-5GT System SoftwareCopyright, 1997-2008Version 6.2.0r1.0Load Manufacture Information ... DoneInitialize FBTL 0.... DoneLoad NVRAM Information ... (6.2.0)DoneSYIMAGEInstall module init vectorsbuild and grow heap:system, order:13Initial port mode trust-untrust(1)Install modules (00fdc800,01bf5c70) ...PPP IP-POOL initiated, 256 poolsSystem config (1945 bytes) loadedDone.Load SystemConfiguration ................................................................. .................................................................Disabled licensekey auto update...................Donesystem init done..login: trust interface change physical state to Upuntrust interface change physical state to Uplogin: System change state to Active(1)以上就是我们Juniper防火墙的启动过程，这里学过cisco的应该大至是能够理解的。

Juniper防火墙常见故障应急预案Juniper防火墙常见故障快速处理指南应急启动条件：故障一：CPU负载突发升高故障二：并发会话突发升高故障三：防火墙主备关系紊乱应急操作步骤：故障一：CPU负载突发升高如果CPU持续升高，并且影响了业务的正常通信，而在规定时间内无法找到原因（例如找不到突发数据源、因为软硬件故障造成的CPU升高），可在收集完信息后，通过三层交换机替代防火墙，进行防火墙旁路的应急操作。

（注意：在外联区与Internet 区等需要NAT的地方不能使用此替代方案）收集的信息至少包括如下内容：request support informationset cli timestampshow chassis routing-engineshow system processes extensiveshow security monitoring performance sessionshow security monitoring session fpc <number> pic <number>show security monitoring performance spu故障二：并发会话突发升高一般在会话总数升高时，可通过命令clear security flow session及时关闭无用的会话，此命令可以基于源/目标地址、源/目标端口、IP协议来关闭会话。

另外，可以通过命令delete security flow tcp-session no-syn-check 打开对建立会话的包头syn标志位检测，以避免有攻击流量（例如rst flood）在防火墙上建立无用会话。

同时，可通过以下命令，临时降低每个ip允许的会话，以保证大部分的业务通讯：set security screen ids-option <screen> limit-session source-ip-based <number> set security screen ids-option <screen> limit-session destination-ip-based <number>set security zones security-zone <zone> screen <screen>如果会话持续升高，并且影响了业务的正常通信，而在规定时间内无法找到原因（例如找不到突发数据源、因为软硬件故障造成的会话升高），可在收集完信息后，通过三层交换机替代防火墙，进行防火墙旁路的应急操作。

计算机网络系统防火墙部署工程技术方案2006年6月目录第一章Juniper的安全理念 (3)1.1 基本防火墙功能 (3)1.2 内容安全功能 (4)1.3 虚拟专网(VPN)功能 (7)1.4 流量管理功能 (7)1.5 强大的ASIC的硬件保障 (8)1.6 设备的可靠性和安全性 (8)1.7 完备简易的管理 (9)第二章项目概述 (9)第三章总体方案建议 (10)3.1 防火墙A和防火墙B的双机热备、均衡负载实现方案 (10)3.2 防火墙A和防火墙B的VLAN（802.1Q的trunk协议）实现方案 (16)3.3 防火墙A和防火墙B的动态路由支持程度的实现方案 (17)3.4 防火墙的VPN实现方案 (17)3.5 防火墙的安全控制实现方案 (18)3.6 防火墙的网络地址转换实现方案 (26)3.7 防火墙的应用代理实现方案 (29)3.9 防火墙用户认证的实现方案 (29)3.10 防火墙对带宽管理实现方案 (31)3.11 防火墙日志管理、管理特性以及集中管理实现方案 (32)第一章Juniper的安全理念网络安全可以分为数据安全和服务安全两个层次。

数据安全是防止信息被非法探听；服务安全是使网络系统提供不间断的通畅的对外服务。

从严格的意义上讲，只有物理上完全隔离的网络系统才是安全的。

但为了实际生产以及信息交换的需要，采用完全隔离手段保障网络安全很少被采用。

在有了对外的联系之后，网络安全的目的就是使不良用心的人窃听数据、破坏服务的成本提高到他们不能承受的程度。

这里的成本包括设备成本、人力成本、时间成本等多方面的因素。

Juniper的整合式安全设备是专为互联网网络安全而设，将硬件状态防火墙、虚拟专用网（IPsec VPN）、入侵防护（IPS）和流量管理等多种安全功能集于一体。

Juniper整合式安全设备具有ASIC芯片硬件加速的安全策略、IPSec加密演算性能、低延时，可以无缝地部署到任何网络。

Netscreen 防火墙维护指南一、综述防火墙作为企业核心网络中的关键设备，需要为所有进出网络的信息流提供安全保护，对于企业关键的实时业务系统，要求网络能够提供7*24小时的不间断保护，保持防火墙系统可靠运行及在故障情况下快速诊断恢复成为维护人员的工作重点。

NetScreen防火墙提供了丰富的冗余保护机制和故障诊断、排查方法，通过日常管理维护可以使防火墙运行在可靠状态，在故障情况下通过有效故障排除路径能够在最短时间内恢复网络运行。

本文对Netscreen防火墙日常维护进行较系统的总结，为防火墙维护人员提供设备运维指导。

二、Netscreen防火墙日常维护围绕防火墙可靠运行和出现故障时能够快速恢复为目标，Netscreen防火墙维护主要思路为：通过积极主动的日常维护将故障隐患消除在萌芽状态；故障发生时，使用恰当的诊断机制和有效的故障排查方法及时恢复网络运行；故障处理后及时进行总结与改进避免故障再次发生。

常规维护：在防火墙的日常维护中，通过对防火墙进行健康检查，能够实时了解Netscreen防火墙运行状况，检测相关告警信息，提前发现并消除网络异常和潜在故障隐患，以确保设备始终处于正常工作状态。

1、日常维护过程中，需要重点检查以下几个关键信息：Session：如已使用的Session数达到或接近系统最大值，将导致新Session不能及时建立连接，此时已经建立Session的通讯虽不会造成影响；但仅当现有session连接拆除后，释放出来的Session资源才可供新建连接使用。

维护建议：当Session资源正常使用至85％时，需要考虑设备容量限制并及时升级，以避免因设备容量不足影响业务拓展。

CPU: Netscreen是基于硬件架构的高性能防火墙，很多计算工作由专用ASIC芯片完成，正常工作状态下防火墙CPU使用率应保持在50%以下，如出现CPU利用率过高情况需给予足够重视，应检查Session使用情况和各类告警信息，并检查网络中是否存在攻击流量。

JuniperEX交换机系统恢复1 交换机无法正常启动的解决办法EX交换机在突然掉电或非正常关机的情况下，设备重新启动后，可能会出现一直卡着启动进程或OS引导失败的场景，本文列出几种常见的模式及解决方法（注：本文档中提到的操作可能出现设备原有配置丢失情况出现，另外，对于通过命令关机时，强烈建议等到所有进程都halt时再对进行掉电操作）。

通常，交换机无法正常启动时，通过console输出为：1.系统直接进入Loader模式，Loader Prompt ( loader >) ；2.系统进入Debug模式，Debug Prompt (db>) ；3.系统进入UBoot模式，UBoot Prompt (=>)；4.系统能正常启动，但各系统进程无法正常加载；5.系统提示Can't load kernel error ；2 系统直接进入Loader模式解决办法方法一 TFTP方式恢复交换机1.准备好TFTP服务器，然后把Junos安装文件上传至TFTP的root目录层次下；2.用console连接交换机，并对设备进行加电；# When you see the "loading /boot/defaults/loader.conf" display hit ENTER.Then press [Enter] to boot immediately, or space bar for command prompt.Hit the space bar to enter the manual loader. The loader > prompt displays.(NOTE: There is a 1 second delay for hitting the space bar) (TIPS: you can hit space bar after you see "Loading /boot/defaults/loader.conf" message)3.配置交换机的管理ip地址；loader> set ipaddr=192.168.100.2loader> set netmask=255.255.255.0 loader> set serverip=192.168.100.14.从TFTP安装Junos;loader> install tftp://192.168.100.1/jinstall-ex-9.1R2.7-domestic-signed.tgz====================================== ========This part of the boot log is related to the steps listed above ========================================= =====Consoles: U-Boot console Found compatible API, ver. 7FreeBSD/PowerPC U-Boot bootstrap loader, Revision 2.1 (marcelm@/doc/2d12446631.html,, Wed Feb 6 11:23:55 PST 2008) Memory: 1024MB Loading /boot/defaults/loader.conf /kernel data=0x9dc348+0x6df44 syms=[0x4+0x87bb0+0x4+0x8e152]Hit [Enter] to boot immediately, or space bar for command prompt. <-------HIT SPACE BAR-------Type '?' for a list of commands, 'help' for more detailed help.loader>loader> set ipaddr=192.168.100.2 loader> set netmask=255.255.255.0 loader> set serverip=192.168.100.1 loader> install tftp://192.168.100.1/jinstall-ex-9.1R2.7-domestic-signed.tgz Speed: 100, full duplex Package /jinstall-ex-9.1R2.7-domestic-signed.tgz is signed.../kernel data=0x504104+0x32e60 syms=[0x4+0x50a00+0x4+0x6366f] Kernel entry at 0xa0000100 ...GDB: no debug ports present KDB: debugger backends: ddb KDB: current backend: ddb Copyright (c) 1996-2008, Juniper Networks, Inc.All rights reserved.Copyright (c) 1992-2006 The FreeBSD Project.... snip ...====================================== ========或参考KB11752 - Installing EX-Series software from a TFTP server from Loader promp t OR Recovering from a Failed Software Upgrade on an EX Series Switch.方法二、USB方式恢复交换机步骤一、将需要安装的Junos软件copy至U盘根目录下；步骤二、用console连接交换机，并对设备进行加电；# When you see the "loading /boot/defaults/loader.conf" display hit ENTER.Then press [Enter] to boot immediately, or space bar for command prompt.Hit the space bar to enter the manual loader. The loader > prompt displays.(NOTE: There is a 1 second delay for hitting the space bar) (TIPS: you can hit space bar after you see "Loading /boot/defaults/loader.conf" message)步骤三、输入install file:///jinstall-ex-3200-10.0S1.1-domestic-signed.tgz 注：交换机将从U盘进行安装；或参考KB10386 - Boot from USB and Recovering from a Failed Software Upgrade on an EX-series Switch OR Booting an EX Series Switch Using a Software Package Stored on a USB Flash Drive3 系统进入Debug模式解决办法步骤一，在db>模式下输入以下命令收集相关信息：db> x/s versiondb> alltrace db> ps db> show allvms db> show msgbuf db> show registers db> show lock db> show uma步骤二，完成以上步骤后，输入contdb> contDo you get the CLI prompt?No - Continue with 步骤三.Yes - Jump to 步骤四.步骤三,重启交换机，从loader模式进行恢复；如果交换机无法进入loader模式，请开case 进行处理或采用install format方式解决；步骤四，在cli下用show system core-dumps看是否存在core-dump文件，如果有的话，可先进入shell模式层下，然后进入/var/core-dumps directory目录下，将文件上传至FTP服务器；或参考KB20635 - While booting up, switch stuck in db> mode4 系统进入UBoot模式解决办法按照以下三个步骤进行操作：1. 在UBoot模式输入reset重启交换机；2. Break启动顺序进入loader>模式# When you see the "loading /boot/defaults/loader.conf" display hit ENTER.Then press [Enter] to boot immediately, or space bar for command prompt.Hit the space bar to enter the manual loader. The loader > prompt displays.(NOTE: There is a 1 second delay for hitting the space bar) (TIPS: you can hit space bar after you see "Loading /boot/defaults/loader.conf" message)3. 然后按照方法一中的Loader模式进行处理；5 系统能正常启动，但其它各系统进程无法加载的解决方法设备启动后存在以下报错root@GZ-EX4200-1> show chassis alarms no-forwardingerror: the alarm-control subsystem is not runningroot@GZ-EX4200-1> show chassis hardware detail no-forwardingerror: the chassis-control subsystem is not running1. 对于10.4R3以前的版本，可按照Loader模式的方法进行处理；2. 对于10.4R3之后的版本，存在双分区双系统，而Junos loader 默认是用disk99,如果这个分区的系统坏了之后，会一直卡着Loader>模式；步骤一，设备加电后，输入以下命令；=> setenv loaddev disk99:=> saveenv=> reset步骤二，在JunOS loader模式下选择从internal NAND flash 启动Junosloader> set currdev=disk0:loader> boot步骤三，在shell模式删除以下文件；(Login as root)# ls -al /boot/loader.conf.local# rm /boot/loader.conf.local步骤四，Revert the change made in step one:# nvram unsetenv loaddev步骤五，Reboot6 Can't load kernel error解决办法如果设备重启后，一直显示以下错误:can't load '/kernel'can't load '/kernel.old'可参照DB模式进行恢复；7 Junos在备用分区启动（KB23180）开机提示：Warning:***************************************************** ************************************* **** WARNING: THIS DEVICE HAS BOOTED FROM THE BACKUP JUNOS IMAGE **** **** It is possible that the primary copy of JUNOS failed to boot up **** properly, and so this device has booted from the backup copy. **** **** Please re-install JUNOS to recover the primary copy in case **** it has been corrupted. **** ***************************************************************** ************************设备告警信息：user@switch> show chassis alarms1 alarms currently activeAlarm time Class Description2011-02-17 05:48:49 PST Minor Host 0 Boot from backup root查看加载路径：root> show system storage partitionsfpc0:--------------------------------------------------------------------------Boot Media: internal (da0)Active Partition: da0s1aBackup Partition: da0s2a <-- this is the backup sliceCurrently booted from: backup (da0s2a) <-- shows booted from that slicePartitions information:Partition Size Mountpoints1a 184M altroots2a 184M /s3d 369M /var/tmps3e 123M /vars4d 62M /configs4e unused (backup config)root> show system snapshot media internalInformation for snapshot on internal (/dev/da0s1a) (primary) Creation date: Feb 24 11:32:07 2012JUNOS version on snapshot:jbase : 10.4I20120224_1123_bshekarjcrypto-ex: 10.4I20120224_1123_bshekarjdocs-ex: 10.4I20120224_1123_bshekarjkernel-ex: 10.4I20120224_1123_bshekarjroute-ex: 10.4I20120224_1123_bshekarjswitch-ex: 10.4I20120224_1123_bshekarjweb-ex: 10.4I20120224_1123_bshekarjpfe-ex42x: 10.4I20120224_1123_bshekarInformation for snapshot on internal (/dev/da0s2a) (backup) <-- provides info for this slice/partition the switch booted off of and the date the file system was createdCreation date: Feb 14 05:42:42 2012 <-- if less than alarmdate then customer should snapshot (it is a good way to confirm JUNOS version on snapshot:jbase : 11.2-20120214.0jcrypto-ex: 11.2-20120214.0jdocs-ex: 11.2-20120214.0jkernel-ex: 11.2-20120214.0jroute-ex: 11.2-20120214.0jswitch-ex: 11.2-20120214.0jweb-ex: 11.2-20120214.0jpfe-ex42x: 11.2-20120214.0解决办法：把备用junos镜像copy到主用junos镜像request system snapshot media internal slice alternate查看junos启动镜像show system storage partitions确保开机启用主用junos镜像命令：request system reboot slice alternate media internaluser@switch>show system snapshot media internal slice 1 user@switch>show system snapshot media internal slice 2。