SRX防火墙日常监控命令

JUNIPER SRX防火墙Case信息表

SRX 防火墙日常监控命令

1、查看当前设备CPU、会话使用情况（正常情况下CPU峰值不要超过90%、并发连接数资源峰值不要超过MAX的80%） admin@#run op srx-monitor 2、清除会话表

admin@#run clear security flow session all (此操作必须要经过客户同意才可操作！慎用！)

3、查看当前设备CPU使用情况（正常情况下CPU峰值不要超过90%） admin@#run show chassis routing-engine 4、查看当前带宽使用情况

admin@#run monitor interface traffic

5、查询基于端口NAT地址翻译（正常情况下NAT翻译峰值不要超过MAX的90%） lab@srx5800a# run show security nat interface-nat-ports 6、查看会话明细表（并发连接数资源峰值不要超过MAX的80%） admin@#run show security flow session

admin@#run show security flow session summary 7、查看/清除ARP表 admin@#run show arp admin@#run clear arp

8、查看设备时间(系统时间和当地时间、时区一致） admin@#run show system uptime

9、查看接口状态（正在使用的接口应为UP或Active） admin@#run show interfaces terse 10、查看光纤接口下的收发功率

lab@mx480-2-re0# run show interfaces diagnostics optics ge-0/0/2 11、软件升级

admin@#run request system software add

ftp://192.168.100.101/junos-srx3000-10.0R1.4-domestic.tgz no-copy

1

JUNIPER SRX防火墙Case信息表

no-validate unlink 12、查看版本

admin@#run show version 13、查看机箱环境

user@host> show chassis environment user@host> show chassis environment cb user@host> show chassis environment cb 0 user@host> show chassis environment pem

14、查看机箱告警（正常情况下不能存在大量硬件错识信息） user@host> show chassis alarms

15、查看日志信息（正常工作情况下，日志中不应该有大量重复的信息，如端口频繁up/down、大量用户认证失败信息等。） user@host> show log messages 16、查看机箱硬件信息

user@host> show chassis hardware 17、查看机箱路由引擎信息

user@host> show chassis routing-engine 18、查看机箱FPC信息 user@host> show chassis fpc user@host> show chassis fpc detail user@host> show chassis fpc pic-status 19、系统关机/重启

user@host> request system halt/reboot 20、板卡上线/下线

user@host>request chassis fpc slot slot-number offline user@host>request chassis fpc slot slot-number online

21、防火墙设备指示灯检查（直接查看防火墙前面板的LED 指示灯）

Status ：系统状态。黄色闪烁表示系统正常启动；绿色闪烁表示系统正常工作。 Alarm：系统告警。红色表示系统有严重硬件或软件故障；黄色表示系统有某一方面

2

JUNIPER SRX防火墙Case信息表

负载过重。如：内存少于10%、CPU 利用率超过90%、 连接数满。绿色表示没有告警。

PWR：电源供电情况。绿色表示电源工作正常；红色表示电源失效或没装电源模块。 HA：高可用状态。绿色表示系统当前为主用状态；绿色闪烁表示没有找到冗余组成

员；黄色表示系统当前为备用状态；黑色表示系统没有配置HA（高可用性）。

JSRP常用维护命令

1、由主FW访问备FW：

admin@>request routing-engine login node 1 2、手工切换JSRP Master

admin@> request chassis cluster failover redundancy-group 1 node 1 3、手工回复JSRP状态

admin@> request chassis cluster failover reset redundancy-group 1 4、查看cluster interface

admin@> show chassis cluster interfaces Control link name: em0

Redundant-ethernet Information:

Name Status Redundancy-group reth0 Up 1 reth1 Up 1 reth2 Down Not configured reth3 Down Not configured 5、查看cluster 状态

admin@>show chassis cluster status Cluster ID: 1

Node name Priority Status Preempt Manual failover Redundancy group: 0 , Failover count: 1

node0 200 primary no no node1 100 secondary no no

3

JUNIPER SRX防火墙Case信息表

Redundancy group: 1 , Failover count: 7

node0 200 primary no no node1 100 secondary no no 6、取消cluster配置

admin@#set chassis cluster cluster-id 0 reboot 7、恢复处于disabled状态的node

当control port或fabric link出现故障时，为避免出现双master (split-brain)的状况， JSRP会把出现故障前状态为secdonary的node置为disabled状态，即除了RE，其余部件都不工作。想要恢复必须reboot该node。 admin@>request system reboot

4