Juniper防火墙丢失ScreenOS的灾难恢复

J u n i p e r E X交换机系统恢复------------------------------------------作者xxxx------------------------------------------日期xxxx1 交换机无法正常启动的解决办法EX交换机在突然掉电或非正常关机的情况下，设备重新启动后，可能会出现一直卡着启动进程或OS引导失败的场景，本文列出几种常见的模式及解决方法（注：本文档中提到的操作可能出现设备原有配置丢失情况出现，另外，对于通过命令关机时，强烈建议等到所有进程都halt时再对进行掉电操作）。

通常，交换机无法正常启动时，通过console输出为：1.系统直接进入Loader模式，Loader Prompt ( loader >) ；2.系统进入Debug模式，Debug Prompt (db>) ；3.系统进入UBoot模式，UBoot Prompt (=>)；4.系统能正常启动，但各系统进程无法正常加载；Can't load kernel error ；2 系统直接进入Loader模式解决办法方法一 TFTP方式恢复交换机1.准备好TFTP服务器，然后把Junos安装文件上传至TFTP的root目录层次下；2.用console连接交换机，并对设备进行加电；# When you see the "loading /boot/defaults/loader.conf" display hit ENTER.Then press [Enter] to boot immediately, or space bar for command prompt.Hit the space bar to enter the manual loader. The loader > prompt displays.(NOTE: There is a 1 second delay for hitting the space bar)(TIPS: you can hit space bar after you see "Loading /boot/defaults/loader.conf" message)3.配置交换机的管理ip地址；4.从TFTP安装Junos;==============================================This part of the boot log is related to the steps listed above==============================================Consoles: U-Boot consoleFound compatible API, ver. 7(marcelm@, Wed Feb 6 11:23:55 PST 2008)Memory: 1024MBLoading /boot/defaults/loader.conf/kernel data=0x9dc348+0x6df44 syms=[0x4+0x87bb0+0x4+0x8e152]Hit [Enter] to boot immediately, or space bar for command prompt. <-------HIT SPACE BAR-------Type '?' for a list of commands, 'help' for more detailed help.loader>Speed: 100, full duplexPackage /jinstall-ex-9.1R2.7-domestic-signed.tgz is signed.../kernel data=0x504104+0x32e60 syms=[0x4+0x50a00+0x4+0x6366f]Kernel entry at 0xa0000100 ...GDB: no debug ports presentKDB: debugger backends: ddbKDB: current backend: ddbCopyright (c) 1996-2008, Juniper Networks, Inc.All rights reserved.Copyright (c) 1992-2006 The FreeBSD Project.... snip ...==============================================或参考KB11752 - Installing EX-Series software from a TFTP server from Loader promp t OR Recovering from a Failed Software Upgrade on an EX Series Switch.方法二、USB方式恢复交换机步骤一、将需要安装的Junos软件copy至U盘根目录下；步骤二、用console连接交换机，并对设备进行加电；# When you see the "loading /boot/defaults/loader.conf" display hit ENTER.Then press [Enter] to boot immediately, or space bar for command prompt.Hit the space bar to enter the manual loader. The loader > prompt displays.(NOTE: There is a 1 second delay for hitting the space bar)(TIPS: you can hit space bar after you see "Loading /boot/defaults/loader.conf" message)步骤三、输入install注：交换机将从U盘进行安装；或参考KB10386 - Boot from USB and Recovering from a Failed Software Upgrade on an EX-series Switch OR Booting an EX Series Switch Using a Software Package Stored on a USB Flash Drive3 系统进入Debug模式解决办法步骤一，在db>模式下输入以下命令收集相关信息：db> x/s versiondb> alltracedb> psdb> show allvmsdb> show msgbufdb> show registersdb> show lockdb> show uma步骤二，完成以上步骤后，输入contdb> contDo you get the CLI prompt?No - Continue with 步骤三.Yes - Jump to 步骤四.步骤三,重启交换机，从loader模式进行恢复；如果交换机无法进入loader模式，请开case进行处理或采用install format方式解决；步骤四，在cli下用show system core-dumps看是否存在core-dump文件，如果有的话，可先进入shell模式层下，然后进入/var/core-dumps directory目录下，将文件上传至FTP服务器；或参考KB20635 - While booting up, switch stuck in db> mode4 系统进入UBoot模式解决办法按照以下三个步骤进行操作：1. 在UBoot模式输入reset重启交换机；2. Break启动顺序进入loader>模式# When you see the "loading /boot/defaults/loader.conf" display hit ENTER.Then press [Enter] to boot immediately, or space bar for command prompt.Hit the space bar to enter the manual loader. The loader > prompt displays.(NOTE: There is a 1 second delay for hitting the space bar)(TIPS: you can hit space bar after you see "Loading /boot/defaults/loader.conf" message)3. 然后按照方法一中的Loader模式进行处理；5 系统能正常启动，但其它各系统进程无法加载的解决方法设备启动后存在以下报错root@GZ-EX4200-1> show chassis alarms no-forwardingerror: the alarm-control subsystem is not runningroot@GZ-EX4200-1> show chassis hardware detail no-forwardingerror: the chassis-control subsystem is not running1. 对于10.4R3以前的版本，可按照Loader模式的方法进行处理；2. 对于10.4R3之后的版本，存在双分区双系统，而Junos loader默认是用disk99,如果这个分区的系统坏了之后，会一直卡着Loader>模式；步骤一，设备加电后，输入以下命令；=> setenv loaddev disk99: <enter>=> saveenv <enter>=> reset <enter>步骤二，在JunOS loader模式下选择从internal NAND flash 启动Junosloader> set currdev=disk0: <enter>loader> boot <enter>步骤三，在shell模式删除以下文件；<login> (Login as root)# ls -al /boot/loader.conf.local <enter>步骤四，Revert the change made in step one:# nvram unsetenv loaddev步骤五，Reboot6 Can't load kernel error解决办法如果设备重启后，一直显示以下错误:can't load '/kernel'can't load '/kernel.old'可参照DB模式进行恢复；7 Junos在备用分区启动（KB23180）开机提示：Warning:**************************************************************************************** ** **** WARNING: THIS DEVICE HAS BOOTED FROM THE BACKUP JUNOS IMAGE **** **** It is possible that the primary copy of JUNOS failed to boot up **** properly, and so this device has booted from the backup copy. **** **** Please re-install JUNOS to recover the primary copy in case **** it has been corrupted. **** *****************************************************************************************设备告警信息：user@switch> show chassis alarms1 alarms currently activeAlarm time Class Description2011-02-17 05:48:49 PST Minor Host 0 Boot from backup root查看加载路径：root> show system storage partitionsfpc0:--------------------------------------------------------------------------Boot Media: internal (da0)Active Partition: da0s1aBackup Partition: da0s2a <-- this is the backup sliceCurrently booted from: backup (da0s2a) <-- shows booted from that slicePartitions information:Partition Size Mountpoints1a 184M altroots2a 184M /s3d 369M /var/tmps3e 123M /vars4d 62M /configs4e unused (backup config)root> show system snapshot media internalInformation for snapshot on internal (/dev/da0s1a) (primary)Creation date: Feb 24 11:32:07 2012JUNOS version on snapshot:Information for snapshot on internal (/dev/da0s2a) (backup) <-- provides info for this slice/partition the switch booted off of and the date the file system was createdCreation date: Feb 14 05:42:42 2012 <-- if less than alarm date then customer should snapshot (it is a good way to confirmJUNOS version on snapshot:解决办法：把备用junos镜像copy到主用junos镜像request system snapshot media internal slice alternate查看junos启动镜像show system storage partitions确保开机启用主用junos镜像命令：request system reboot slice alternate media internaluser@switch>show system snapshot media internal slice 1user@switch>show system snapshot media internal slice 2。

j u n i p e r防火墙如何恢复出厂设置我的j u n i p e r防火墙恢想要恢复出厂设置，该怎么办呢?下面由学习啦小编给你做出详细的j u n i p e r防火墙恢复出厂设置方法介绍!希望对你有帮助!j u n i p e r防火墙恢复出厂设置方法一：和防火墙配套C O N S O L E线也两头都C O M口线边连接防火墙C O M口边连接电脑C O M口用超级终端登录进去按下方法恢复出厂设置①记录下防火墙序列号(又称 S e r i a l N u m b e r防火墙机身上面找)②使用控制线连接防火墙 C o n s o l e端口并重起防火墙③防火墙正常启动登录界面用记录下来序列号作登录用户名/密码根据防火墙提示恢复出厂配置 R E S E T 复位键j u n i p e r防火墙恢复出厂设置方法二：想要恢复之前的设置可以用r o l l b a c k0-50想要恢复出厂设置可以使用l o a d f a c t o r y-d e f a u l t 前提是设置了r o o t密码j u n i p e r防火墙恢复出厂设置方法三：1、先介绍软方法.用C o n s o l e(串口)访问N e t S c r e e n,在用户名和密码处都输入该设备的序列号(在设备背面的标签上有),再输入两次y确认后,就可以将N e t S c r e e n设备初始化至出厂状态.2、硬办法.找出后面板上的重置针孔,使用回形针,推压针孔四至六秒然后松开.状态L E D闪烁琥珀黄色.等待一至二秒,在第一次重置之后,电源L E D闪烁重新变成绿色;设备正等待第二次推压再次推压重置针孔四至六秒.状态L E D亮琥珀黄色半秒,然后返回到闪烁绿色状态.当设备重置时,状态L E D变为琥珀黄色半秒,然后返回到闪烁绿色状态此时配置已被删除并且设备被重置.设备重启后,即将N e t S c r e e n恢复至出厂设置。

为防止Juniper防火墙设备故障情况下造成网络中断，保障用户业务不间断运行，现针对Juniper防火墙故障情况下的快速恢复做具体描述。

一、设备重启动：Juniper防火墙在工作期间出现运行异常时，如需进行系统复位，可通过console线缆使用reset命令对防火墙进行重启，重启动期间可以在操作终端上查看防火墙相关启动信息。

二、操作系统备份：日常维护期间可将防火墙操作系统ScreenOS备份到本地设备，操作方式为：启动tftp 服务器并在命令行下执行：save software from flash to tftp x.x.x.x filename。

三、操作系统恢复：当防火墙工作发生异常时，可通过两种方式快速恢复防火墙操作系统，命令行方式：save software from tftp x.x.x.x filename to flash，或通过web方式：Configuration > Update > ScreenOS/Keys下选中Firmware Update (ScreenOS)选项，并在Load File栏选中保存在本地的ScreenOS文件，然后点击apply按钮，上传ScreenOS后防火墙将自动进行重启。

四、配置文件备份：日常维护期间可将防火墙配置信息备份到本地以便于故障时的恢复，操作方式有三种：1、启动tftp 服务器并在命令行下执行：save config from flash to tftp x.x.x.x filename。

2、通过超级终端远程telnet/ssh到防火墙，通过log记录方式将get config配置信息记录到本地。

3、通过web页面进行配置文件备份：Configuration > Update > Config File，点击save to file。

五、配置文件恢复：防火墙当前配置信息若存在错误，需进行配置信息快速恢复，操作方式有三种：1、启动tftp 服务器并在命令行下执行：save config from tftp x.x.x.x filename to flash，配置文件上传后需执行reset命令进行重启。

juniper防火墙之恢复出厂默认设置用过Juniper产品的人都应该知道一点，Juniper产品密码忘了的话是一件很痛苦的事，为什么这么说呢？下来就来听我给大家讲讲嘛！密码丢失是无法恢复的，那么我们就只有通过恢复出厂默认设置的方法来重新获得管理权限（原来配置的参数、证书等都将被删除）。

有两种办法恢复出厂默认配置：1、在Console模式下，用设备的序列号作用用户名/密码进行登录。

成功后系统出现警告提示，将擦去现有配置，确认后系统开始恢复默认配置，随后重启。

整个过程约3分钟。

那么我们如何获得这个序列号呢？要获得这个序列号的办法有两种，第一种就是在产品的背后有一个序列号。

第二种办法就是通过输入“get sys”来获取。

这里我们先来看看Juniper防火墙的启动过程：NetScreen NS-5GT Boot Loader Version 2.1.0 (Checksum: 61D07DA5)Copyright (c) 1997-2003 NetScreen Technologies, Inc.Total physical memory: 128MBTest - PassInitialization.... DoneHit any key to run loaderHit any key to run loaderHit any key to run loaderHit any key to run loaderLoading default system image from on-board flash disk...Done! (size = 11,108,352 bytes)Ignore image authentication!Start loading... ................................................................. ................................................................. ................................................................. ................................................................. ................................................................. ................................................................. ................................................................. ................................................................. ................................................................. ................................................................. ................................................................. ................................................................. ................................................................. ......................................Done.Juniper Networks, IncNS-5GT System SoftwareCopyright, 1997-2008Version 6.2.0r1.0Load Manufacture Information ... DoneInitialize FBTL 0.... DoneLoad NVRAM Information ... (6.2.0)DoneSYIMAGEInstall module init vectorsbuild and grow heap:system, order:13Initial port mode trust-untrust(1)Install modules (00fdc800,01bf5c70) ...PPP IP-POOL initiated, 256 poolsSystem config (1945 bytes) loadedDone.Load SystemConfiguration ................................................................. .................................................................Disabled licensekey auto update...................Donesystem init done..login: trust interface change physical state to Upuntrust interface change physical state to Uplogin: System change state to Active(1)以上就是我们Juniper防火墙的启动过程，这里学过cisco的应该大至是能够理解的。

有两种办法恢复出厂默认配置：1、在Console模式下，用设备的序列号作用用户名/密码进行登录。

成功后系统出现警告提示，将擦去现有配置，确认后系统开始恢复默认配置，随后重启。

整个过程约3分钟。

那么我们如何获得这个序列号呢？要获得这个序列号的办法有两种，第一种就是在产品的背后有一个序列号。

第二种办法就是通过输入“get sys”来获取。

这里我们先来看看Juniper防火墙的启动过程：NetScreen NS-5GT Boot Loader Version 2.1.0 (Checksum: 61D07DA5)Copyright (c) 1997-2003 NetScreen Technologies, Inc.Total physical memory: 128MBTest - PassInitialization.... DoneHit any key to run loaderHit any key to run loaderHit any key to run loaderHit any key to run loaderLoading default system image from on-board flash disk...Done! (size = 11,108,352 bytes)Ignore image authentication!Start loading... ................................................................. ................................................................. ................................................................. ................................................................. ................................................................. ................................................................. ................................................................. ................................................................. ................................................................. ................................................................. ................................................................. ................................................................. ................................................................. ......................................Done.Juniper Networks, IncNS-5GT System SoftwareCopyright, 1997-2008Version 6.2.0r1.0Load Manufacture Information ... DoneInitialize FBTL 0.... DoneLoad NVRAM Information ... (6.2.0)DoneSYIMAGEInstall module init vectorsbuild and grow heap:system, order:13Initial port mode trust-untrust(1)Install modules (00fdc800,01bf5c70) ...PPP IP-POOL initiated, 256 poolsSystem config (1945 bytes) loadedDone.Load SystemConfiguration ................................................................. .................................................................Disabled licensekey auto update...................Donesystem init done..login: trust interface change physical state to Upuntrust interface change physical state to Uplogin: System change state to Active(1)以上就是我们Juniper防火墙的启动过程，这里学过cisco的应该大至是能够理解的。

关于电脑防火墙丢失的情况说明
什么是电脑防火墙
电脑防火墙是一种用于保护计算机免受网络攻击的重要安全工具。

它可以监控网络流量，并根据预先设定的安全规则来允许或阻止数据包的传输。

防火墙可以提供以下功能：
•阻止未经授权的访问
•检测和阻止恶意软件
•过滤不安全的网络连接
•保护个人隐私
电脑防火墙丢失的可能原因
电脑防火墙丢失可能是由以下原因导致：
•更新操作系统或程序时出现错误
•遭受恶意软件攻击
•误操作或删除了防火墙软件
•硬件故障或设备损坏
解决丢失防火墙的问题
如果发现电脑防火墙丢失，可以尝试以下解决方法：
1.重新安装防火墙软件
2.通过系统还原功能恢复到防火墙存在的时间点
3.更新操作系统和防火墙软件
4.进行病毒扫描并清除可能的恶意软件
5.修复硬件故障或更换损坏的设备。

一、导致告警灯变红的原因：∙Failure of hardware component or software module.硬件或软件模块失效∙Firewall attacks detected.防火墙检测到攻击行为∙Red blinking - self-test failure occured, when ScreenOS was starting up.防火墙启动时红灯闪烁表示自检失败。

二、触发变红的日志类型：Emergency:Syn AttackTear Drop AttackPing of DeathAlert:Winnuke AttackIP Spoof AttackIP Source Route AttackLand AttackICMP FloodUDP FloodPort Scan AttackAddress SweepPolicy Deny Alarms三、清除告警灯方法清除一台设备：clear led alarm双机：clear cluster led alarm (if running NSRP, and you want the clear operation to be propagated to the other device in the NSRP cluster)补充：告警灯变为琥珀色的原因It turns amber due to the following reasons:∙Low memory (less than 10% remaining).剩余内存过低∙High CPU utilization (more than 90% in use).CPU使用率过高∙Session full.Session满了∙Maximum number of VPN tunnels reached,VPN数量达到最大值∙When HA/NSRP is configured, the alarm LED on both of the units will turn yellow/amber to let you know that they are configured for NSRP. This is due to an informational event in the event log. For more information, refer to KB5845 - AlarmLED is yellow/amber when two Juniper Firewalls are in a NSRP cluster.配置双机时出现问题HA status changed or redundant group member not found.双机状态变化或者找不到冗余组的成员。

Juniper防火墙常见故障应急预案Juniper防火墙常见故障快速处理指南应急启动条件：故障一：CPU负载突发升高故障二：并发会话突发升高故障三：防火墙主备关系紊乱应急操作步骤：故障一：CPU负载突发升高如果CPU持续升高，并且影响了业务的正常通信，而在规定时间内无法找到原因（例如找不到突发数据源、因为软硬件故障造成的CPU升高），可在收集完信息后，通过三层交换机替代防火墙，进行防火墙旁路的应急操作。

（注意：在外联区与Internet 区等需要NAT的地方不能使用此替代方案）收集的信息至少包括如下内容：request support informationset cli timestampshow chassis routing-engineshow system processes extensiveshow security monitoring performance sessionshow security monitoring session fpc <number> pic <number>show security monitoring performance spu故障二：并发会话突发升高一般在会话总数升高时，可通过命令clear security flow session及时关闭无用的会话，此命令可以基于源/目标地址、源/目标端口、IP协议来关闭会话。

另外，可以通过命令delete security flow tcp-session no-syn-check 打开对建立会话的包头syn标志位检测，以避免有攻击流量（例如rst flood）在防火墙上建立无用会话。

同时，可通过以下命令，临时降低每个ip允许的会话，以保证大部分的业务通讯：set security screen ids-option <screen> limit-session source-ip-based <number> set security screen ids-option <screen> limit-session destination-ip-based <number>set security zones security-zone <zone> screen <screen>如果会话持续升高，并且影响了业务的正常通信，而在规定时间内无法找到原因（例如找不到突发数据源、因为软硬件故障造成的会话升高），可在收集完信息后，通过三层交换机替代防火墙，进行防火墙旁路的应急操作。

计算机网络系统防火墙部署工程技术方案2006年6月目录第一章Juniper的安全理念 (3)1.1 基本防火墙功能 (3)1.2 内容安全功能 (4)1.3 虚拟专网(VPN)功能 (7)1.4 流量管理功能 (7)1.5 强大的ASIC的硬件保障 (8)1.6 设备的可靠性和安全性 (8)1.7 完备简易的管理 (9)第二章项目概述 (9)第三章总体方案建议 (10)3.1 防火墙A和防火墙B的双机热备、均衡负载实现方案 (10)3.2 防火墙A和防火墙B的VLAN（802.1Q的trunk协议）实现方案 (16)3.3 防火墙A和防火墙B的动态路由支持程度的实现方案 (17)3.4 防火墙的VPN实现方案 (17)3.5 防火墙的安全控制实现方案 (18)3.6 防火墙的网络地址转换实现方案 (26)3.7 防火墙的应用代理实现方案 (29)3.9 防火墙用户认证的实现方案 (29)3.10 防火墙对带宽管理实现方案 (31)3.11 防火墙日志管理、管理特性以及集中管理实现方案 (32)第一章Juniper的安全理念网络安全可以分为数据安全和服务安全两个层次。

数据安全是防止信息被非法探听；服务安全是使网络系统提供不间断的通畅的对外服务。

从严格的意义上讲，只有物理上完全隔离的网络系统才是安全的。

但为了实际生产以及信息交换的需要，采用完全隔离手段保障网络安全很少被采用。

在有了对外的联系之后，网络安全的目的就是使不良用心的人窃听数据、破坏服务的成本提高到他们不能承受的程度。

这里的成本包括设备成本、人力成本、时间成本等多方面的因素。

Juniper的整合式安全设备是专为互联网网络安全而设，将硬件状态防火墙、虚拟专用网（IPsec VPN）、入侵防护（IPS）和流量管理等多种安全功能集于一体。

Juniper整合式安全设备具有ASIC芯片硬件加速的安全策略、IPSec加密演算性能、低延时，可以无缝地部署到任何网络。