SRX3600安全网关操作手册

SRX3600 安全网关操作手册 安全网关操作手册
Version 1.01
Chen Jiang System Engineer
Juniper Networks, Inc.
北京市东城区东长安街1号东方经贸城西三办公室15层1508室
邮编:100738 电话:65288800 https://www.doczj.com/doc/f715237301.html,
第 1 页 共 98 页

修订记录
日期 2009/12/3 2009/12/5 2009/12/9
内容 创建文档 完成 1.00 版本 完成 1.01 版本，加入 3.5 日常维护->SNMP 相关内容
第 2 页 共 98 页

目 录
1. 总体概述..........................................................................................................................................6 总体概述
1.1.
2.
文档术语...................................................................................................................6
基本操作..........................................................................................................................................7 基本操作
2.1. 2.2. 2.3. 2.4. 2.5.
3.
通过 Console 线缆连接路由器 ..............................................................................7 设备关闭...................................................................................................................8 设备重启...................................................................................................................8 JUNOS 升级 ............................................................................................................9 密码恢复.................................................................................................................10
SRX3600........................................................................................................................................12
SRX3600 结构.......................................................................................................12 设备描述.........................................................................................................................12 SRX3600 主要组件........................................................................................................12 SRX3600 技术规格........................................................................................................13 硬件组件结构.................................................................................................................14 机箱.................................................................................................................................15 背板.................................................................................................................................16 路由引擎(Routing Engine).............................................................................................17 交换矩阵板(SFB: Switch Fabric Board)........................................................................18 SPC 接口卡.....................................................................................................................18 NPC 接口卡....................................................................................................................19 IOC 接口卡.....................................................................................................................19 电源模块.........................................................................................................................20 冷却系统.........................................................................................................................21 数据包转发处理顺序.....................................................................................................22 3.2. SRX3600 安装流程...............................................................................................22 安装前准备.....................................................................................................................22 安装流程.........................................................................................................................23 3.3. 硬件组件故障检查.................................................................................................27 使用故障检查资源.........................................................................................................27 冷却系统故障检查.........................................................................................................28 光纤信号衰减检查.........................................................................................................29 电源系统故障检查.........................................................................................................30 3.4. 常用故障诊断命令.................................................................................................31 查看端口状态.................................................................................................................31 查看路由表.....................................................................................................................31 查看 OSPF 邻居关系 .....................................................................................................33 Ping .................................................................................................................................33 Traceroute .......................................................................................................................34 3.1.
第 3 页 共 98 页

监控接口流量.................................................................................................................34 监控 RE CPU 利用率.....................................................................................................34 监控 SPU 利用率 ...........................................................................................................35 监控并发会话数.............................................................................................................35 监控每秒新建连接数(JUNOS 10.1 以后支持).............................................................35 3.5. 设备日常维护.........................................................................................................36 日常维护步骤.................................................................................................................36 风扇盘的维护.................................................................................................................36 路由引擎的维护.............................................................................................................37 电源模块的维护.............................................................................................................38 配置文件查看.................................................................................................................38 批量配置导入.................................................................................................................39 配置文件提交.................................................................................................................39 SNMP 管理.....................................................................................................................39
4. SRX3600 基本配置介绍 基本配置介绍..............................................................................................................43
4.1. 4.2. 4.3. 4.4. 4.5. 4.6. 4.7. 4.8. 4.9.
5.
JUNOS CLI............................................................................................................43 JUNOS 基本配置 ..................................................................................................44 端口配置.................................................................................................................46 SNMP 配置 ............................................................................................................48 协议独立路由属性的配置.....................................................................................49 配置 OSPF 路由....................................................................................................50 配置 BGP 路由 ......................................................................................................54 配置 Class-of-Service ..........................................................................................57 配置路由策略(Policy) ...........................................................................................73
SRX 安全策略配置介绍 ..............................................................................................................76
5.1. 5.2. 5.3. 5.4.
6. 7.
安全域 zone 配置 ..................................................................................................76 安全域 zone 的地址本配置 ..................................................................................77 application 配置.....................................................................................................77 安全策略配置.........................................................................................................78
SRX NAT 配置介绍 .....................................................................................................................78 SRX3600 双机热备配置介绍 双机热备配置介绍......................................................................................................81
7.1. 7.2. 7.3. 7.4. 7.5. 7.6. 7.7. 7.8. 7.9. 7.10.
配置 Cluster id 和 Node id ...................................................................................82 指定 Control Port ..................................................................................................83 指定 Fabric Link ....................................................................................................83 配置 Redundancy Group .....................................................................................84 每个机箱的个性化配置.........................................................................................84 配置 Redundant Ethernet Interface ...................................................................85 配置 Interface Monitoring ....................................................................................86 JSRP 常用维护命令..............................................................................................87 JSRP 中的软件升级..............................................................................................88 附录 JSRP 典型配置............................................................................................88
第 4 页 共 98 页

8.
SRX TRAFFIC LOG 配置介绍 配置介绍...................................................................................................94
8.1. 8.2.
9.
Events 配置............................................................................................................94 Stream(traffic log)配置 .........................................................................................94
附录................................................................................................................................................95 附录
9.1. 9.2. 9.3.
WAP 环境里 SRX 与 HUAWEI 交换机的配合 ...................................................95 WAP SOCKETS 业务配置样例...........................................................................97 联系硬件返修.........................................................................................................98
第 5 页 共 98 页

1. 总体概述
本文档为Juniper公司编写。用于说明Juniper SRX3600产品基本命令配置和硬件操作指导。 更多的信息请参考下面的网站： JUNOS 9.6 : https://www.doczj.com/doc/f715237301.html,/techpubs/software/junos/junos96/index.html SRX 硬件手册 : https://www.doczj.com/doc/f715237301.html,/techpubs/hardware/junos-srx/index.html
1.1. 文档术语
Air Filter 空气过滤网 ESD Point 静电释放点 Fan Tray 风扇盘 PEM(Power Equipment Modules) 电源模块 Craft Interface 控制面板 RE：Routing Engine 路由引擎 SFB: Switch Fabric Board 交换矩阵板 PFE：Packet Forwarding Engine 转发引擎 FRU：Field-replaceable unit 可现场更换部件 DPC：Dense Port Concentrators 高密度接口卡 FPC ：Flexible PIC Concentrator 物理接口汇聚卡 PIC：Physical Interface Card 物理接口卡 SPC：Services Processing Cards 业务处理卡 NPC：Network Processing Cards 网络处理卡 IOC ：Input Output cards 接口卡 SFP：Small Factor Pluggable 小型可插拔光收发器，适用千兆以太网
第 6 页 共 98 页

2. 基本操作
JUNOS 软件是专门为互联网设计的第一种路由操作系统。 它运行在 Juniper 网络公司的 所有 T-系列、M/MX 系列和 J-系列路由器以及 SRX 系列集成安全网关上，被部署在全球最 大、增长最迅速的网络中。它提供的全套具有工业强度的路由协议、灵活的策略语言和领先 的功能特性，可以高效地扩展支持极大数量的网络接口和路由。 基于标准的 JUNOS 软件 可以支持互联网路由协议，同时控制路由器及其接口并实现对各种规模的网络的系统管理。 简便易用的界面使您可以配置路由协议和接口属性、 监控路由、 检测并排除协议和网络连接 故障。 本节将描述设备的一些应急操作， 这些操作都会影响设备的正常功能， 操作时请谨慎使 用： 通过 Console 线缆连接路由器 设备关闭 设备重启 JUNOS 升级 密码恢复
2.1. 通过 Console 线缆连接路由器
使用下面的步骤连接路由器的 Console 接口： 1. 2. 准备好 Juniper 路由设备自带的 Console 线缆 将 Console 线缆的 DB9 插头一头插到 PC 或者笔记本电脑的 COM 口上， 另外一端 插到 SRX3600 路由引擎的的 CONSOLE 口上。注意，插入前请观察那一个 RE 是 主用的(默认情况下 slot 0 的路由引擎为主用)，将 RJ45 插头插入主用的 RE 上。
第 7 页 共 98 页

3.
打开计算机中的终端软件工具。 例如： SecureCRT 或者 Windows 自带的超级终端。 设置如下： 端口：选择第二步中 Console 线缆插入到 PC 上的端口，通常为 COM 1 或者 COM 2 波特率：9600 数据位：8 位 停止位：1 位 流控：无
4.
打开配置到的 SecureCRT 或者超级终端，按“Enter”键，屏幕出现登陆的提示符， 即连接成功。如果没有显示，请检查线缆或者终端的配置是否正确。
如果出现任何现场无法解决的问题，请寻求 Juniper TAC 的帮助，参阅寻求 JTAC 帮助。
2.2. 设备关闭
Juniper 设备关闭必须按照下面的步骤进行操作： 1. 2. 3. 用 Console 或 Telnet/SSH 连接到主用路由引擎上 使用具有足够权限的用户名和密码登陆 CLI 命令行界面。 在提示符下输入下面的命令： user@host> request system halt
… The operating system has halted. Please press any key to reboot
4. 5. 等待 console 设备的出现上面的输出，确认设备软件已经停止运行。 关闭机箱背后电源模块电源。
如果出现任何现场无法解决的问题，请咨询 Juniper TAC 的帮助，参阅寻求 JTAC 帮助。
2.3. 设备重启
Juniper 设备重启必须按照下面的步骤进行操作： 1. 用 Console 或 Telnet/SSH 连接到主用路由引擎上
第 8 页 共 98 页

2. 3.
使用具有足够权限的用户名和密码登陆 CLI 命令行界面。 在提示符下输入下面的命令： user@host> request system reboot
4.
等待 console 设备的输出，确认设备软件已经重新启动。
如果要进行电源关闭的重新启动，请参阅“设备关闭” ，在重新开启电源之前必须等待 60 秒。 如果出现任何现场无法解决的问题，请咨询 Juniper TAC 的帮助，参阅寻求 JTAC 帮助。
2.4. JUNOS 升级
Juniper 设备 JUNOS 软件升级必须按照下面的步骤进行操作： 1. 2. 3. 用 Console 或 Telnet/SSH 连接到主用路由引擎上 下载新的 JUNOS 软件，放置到 FTP 服务器上。 升级前，执行下面的命令备份旧的软件及设定： user@host> request system snapshot 4. 安装新的 JUNOS 软件： user@host> request system software add
ftp//:username:password@192.168.1.1 / jinstall-7.X-package-name-signed.tgz no-copy unlink
Checking compatibility with configuration Initializing... Using jbase-7.x-package-name Using /var/tmp/jinstall-7.x-package-name.signed.tgz Verified jinstall-7.x-package-name.tgz signed by PackageDevelopment_0 Using /var/validate/tmp/jinstall-signed/jinstall-7.x-package-name.tgz Using /var/validate/tmp/jinstall/jbundle-7.x-package-name.tgz Checking jbundle requirements on / Using /var/validate/tmp/jbundle/jbase-7.x-package-name.tgz Using /var/validate/tmp/jbundle/jkernel-7.x-package-name.tgz Using /var/validate/tmp/jbundle/jcrypto-7.x-package-name.tgz Using /var/validate/tmp/jbundle/jpfe-7.x-package-name.tgz Using /var/validate/tmp/jbundle/jdocs-7.x-package-name.tgz Using /var/validate/tmp/jbundle/jroute-7.x-package-name.tgz Validating against /config/juniper.conf.gz mgd: commit complete Validation succeeded
第 9 页 共 98 页

Installing package '/var/tmp/jinstall-7.x-package-name-signed.tgz' ... Verified jinstall-7.x-package-name-signed.tgz signed by PackageDevelopment_0 Pre-checking requirements for jinstall... Auto-deleting old jinstall... Deleting saved config files ... Deleting bootstrap installer ... Adding jinstall... WARNING: This package will load JUNOS 7.x software. WARNING: It will save JUNOS configuration files, and SSH keys WARNING: (if configured), but erase all other files and information WARNING: stored on this machine. It will attempt to preserve dumps WARNING: and log files, but this can not be guaranteed. This is the WARNING: pre-installation stage and all the software is loaded when WARNING: you reboot the system. Saving the config files ... Installing the bootstrap installer ... WARNING: Use the WARNING: WARNING: WARNING: WARNING: A REBOOT IS REQUIRED TO LOAD THIS SOFTWARE CORRECTLY. 'request system reboot' command when software installation is complete. To abort the installation, do not reboot your system, instead use the 'request system software delete jinstall' command as soon as this operation completes.
Saving package file in /var/sw/pkg/jinstall-7.x-package-name-signed.tgz ... Saving state for rollback ... 5. 重新启动设备： user@host> request system reboot
Reboot the system ? [yes,no] (no) yes
如果出现任何现场无法解决的问题，请寻求 Juniper TAC 的帮助，参阅寻求 JTAC 帮助。
2.5. 密码恢复
如果设备的 Root 密码丢失，而且没有其他的超级用户权限， 那么就需要执行密码恢复， 该操作需要中断设备的正常功能。 要进行密码恢复，请按照下面操作进行：
第 10 页 共 98 页

1. 2.
断电后再加电以重新启动设备。 在启动过程中，console 上出现下面的提示的时候，按任意键中断正常启动方式， 然后再进入单用户状态： Hit [Enter] to boot immediately, or any other key for command prompt. Booting [kernel] in 9 seconds... < Press any key other than return > ok boot –s
3.
执行密码恢复 # cd /packages # ./mount.jkernel Mounted jkernel package on /dev/vn1... Verified manifest signed by PackageProduction_8_2_0 # ./mount.jroute Mounted jroute package on /dev/vn2... Verified manifest signed by PackageProduction_8_2_0 # cd /usr/libexec/ui # ./recovery-mode 进入配置模式，设置新的 root 密码： root> configure Entering configuration mode [edit] root# set system root-authentication plain-text-password New password: Retype new password:
4.
5.
重新启动后，设备恢复正常。
如果出现任何现场无法解决的问题，请咨询 Juniper 相关工程师，或者寻求 Juniper TAC 的帮助，参阅寻求 JTAC 帮助。
第 11 页 共 98 页

3. SRX3600
3.1. SRX3600 结构 设备描述
瞻博网络 (Juniper Networks?) SRX3000 系列业务网关 是下一代安全业务网关， 在中型机箱中提供了 市场领先的可扩展性和服务集成能力。 这些产 品是大中型企业、 公共部门和电信运营商网络 的理想选择，包括： 大型企业的服务器库/数据中心 部门或独立安全解决方案的汇聚环境 云和托管供应商数据中心 托管服务部署 SRX3000 产品系列基于创新的“中置背板”(mid-plane) 设计和瞻博网络 (Juniper Networks) 的动态服务架构，为大型企业和电信运营商环境提供最高性价比。每个业务 网关都支持近线性的可扩展性，在添加服务处理卡 (SPC) 的情况下，SRX3600 最多 可支持 30 Gbps 的防火墙吞吐量。SPC 设计用于支持广泛的服务，能够支持将来的新功 能，无需安装服务特定的硬件。通过将 SPC 应用于所有服务，将能够确保运行环境中的 特定服务领域不会存在闲置资源——最大限度地提高硬件利用率。 SRX3000 产品系列采用模块化架构，提供市场领先的灵活性和性价比。这个网关基于 瞻博网络 (Juniper Networks) 的动态服务架构，支持灵活地配置 I/O 卡 (IOC) 、网络 处理卡 (NPC) 和服务处理卡 (SPC) ——使用户能够通过配置系统在性能和端口密度之 间实现理想均衡，并能够基于特定的网络要求对瞻博网络 (Juniper Networks) SRX 业 务网关进行定制部署。这种灵活性支持您将 SRX3600 配置为支持超过 100 Gbps 的接 口 (可以是千兆以太网和万兆以太网端口的任意组合)；提供从 10 到 30 Gbps 的网络处 理性能；并且提供适当的服务处理来满足特定的业务需求。
SRX3600 主要组件
SRX3600 的关键组件是路由引擎(RE)， 交换矩阵卡(SFB),安全业务处理卡(SPC),网络业务处 理卡(NPC)和接口卡(IOC)。 路由引擎维护路由表并控制路由协议和其它管理任务。 路由引擎维护路由表并控制路由协议和其它管理任务。 路由引擎处理所有来自邻居的路由协议更新, 它的负载不会影响转发性能。
第 12 页 共 98 页

路由引擎利用丰富的互联网特性维护各种路由协议, 可灵活地进行发布、 过滤及修 改路由条目。路由策略根据前缀、前缀长度及 BGP 属性等路由参数进行设置。 路由引擎提供所有的管理功能， 包括对机箱内各个组件的状态监控， 提供管理员基 于 CLI/WEB 的管理界面，提供给网管平台的 SNMP 管理接口等等 是负责数据包安全业务处理的逻辑实体， 安全业务处理的逻辑实体 包括状态检测防火墙， 包括状态检测防火墙， SPC 是负责数据包安全业务处理的逻辑实体， NAT,IPsec VPN,IPS 等等 是负责将从 SPC, NPC 是负责将 从 IOCs 卡接受报文并将报文转发至适合的 SPC, 同时负责提供 CoS, Screen, Staeless ACL 等功能 提供给网路业务不同的网络接口类型，包括全套光传输接口及电传输接口 全套光传输接口及电传输接口。 IOC 提供给网路业务不同的网络接口类型，包括全套光传输接口及电传输接口。 是系统的交换矩阵单元，负责调度系统各个模块之间的流量， SFB 是系统的交换矩阵单元，负责调度系统各个模块之间的流量，通过无源背板为系统 提供一个高性能无阻塞的交换单元
SRX3600 技术规格
本部分列出了平台的基本技术规格。如想进一步了解详细信息, 请参见硬件安装手册, 网 址：https://www.doczj.com/doc/f715237301.html,/techpubs/hardware/。
路由引擎 1.2G 1.2GHz 1.2GHz 赛扬处理器 1GB DDR2 667 DRAM 1G Flash 内部存储器 16GB IDE Flash 驱动器,备用存储器 千兆以太网 RJ-45 端口, 用于带外管理 两个 RS-232 (RJ45 连接器) 异步串行端口, 用于控制台和远程管理 备份引导介质：紧急恢复 U 盘 主要技术参数 （JUNOS 10.0） 30Gbps 安全业务处理能力 2.25M 并发会话 4M RIB/ 640K FIB 40K 安全策略 40K RTSP ALG per SPU 权威机构认证 安全性 CAN/CSA-C22.2 No. 60950-00/UL 60950 - 第三版, 信息技术设备安 全性 EN 60825-1 激光产品安全性- 第一部分: 设备分类, 要求和用户指南 EN 60825-2 激光产品安全性- 第二部分: 光纤通信系统安全性 EN 60950 信息技术设备安全性 EMC(SRX3600) EMC(SRX3600) SRX3600 AS/NZS 3548 Class B (澳大利亚/ 新西兰) BSMI Class B (台湾) EN 55022 Class B Emissions (欧洲) FCC Part 15 Class B (美国) VCCI Class B (日本)
第 13 页 共 98 页

抗干扰性 EN 61000-3-2 电源线谐波 EN 61000-4-2 ESD EN 61000-4-3 辐射抗干扰性 EN 61000-4-4 EFT EN 61000-4-5 电涌 EN 61000-4-6 低频公共抗干扰性 EN 61000-4-11 电压骤升和骤降 ETSI ETS-300386-2 电信网络设备电磁兼容性要求 NEBS GR-63-Core: NEBS, 物理保护 GR-1089-Core: 网络电信设备 EMC 及电气安全性 SR-3580 NEBS 标准级别(符合第 3 级要求)
环境
温度 32 - 104°F / 0 - 40°C 相对湿度 5-90%, 无冷凝 最高海拔 10,000 英尺/ 3,048 米高度上无性能下降 抗震 设计满足 Telecordia Technologies Zone 4 地震要求
硬件组件结构 硬件组件结构
本节包含以下硬件组件的介绍、描述： 机箱 背板 路由引擎 交换矩阵板 SPC NPC IOC 电源系统 冷却系统
第 14 页 共 98 页

机箱
SRX3600 机箱是刚性金属结构，用于其他部件的放置。SRX3600 机箱中为前后插卡的形式。 SRX3600 机箱结构参见下图：
图 3-1：SRX3600 机箱前面板示图
图 3-2：SRX3600 机箱后面板示图(AC)
第 15 页 共 98 页

图 3-3：SRX3600 机箱后面板示图(DC)
背板
SRX3600 的无源背板是机箱内用于物理区分前后空间的组件。它用于三个目的： 数据通道：数据报文受 SCB 里交换矩阵芯片的控制经由背板上的物理通道在不同业务 板卡之间进行报文交换。 电源分配：用于向系统的各个组件分配从电源模块得到的电源 信令通道：背板提供用于监控各个系统组件的信令通道 SRX3600 背板位于机箱的中部，提供前面板 6 个 CFM (Common Form-factor Modules) 插槽 和后面板 6 个 CFM 插槽。IOC/SFB/SPC 从前面板插入，RE/SPC/NPC/PEM 电源模块/风扇 盘从后面板插入。背板还包含 EEPROM，用于存储背板的序列号和硬件版本等信息。 SRX3600 背板提供如下功能： 数据路径: 提供 RE/IOC/NPC/SPC/SFB 之间的数据物理路径 电源分布: 将从 PEM 电源模块输出的电力分发给 RE/IOC/SPC/NPC/SFB 等各个子系统 信号路径: 提供到 RE/IOC/SPC/NPC/SFB 的信号路径以便对各个子系统的状态进行监控 参见图 3-5：背板。
第 16 页 共 98 页

图 3-5：背板
路由引擎(Routing Engine) 路由引擎
SRX3600 使用路由引擎维护路由信令和路由表，路由引擎安装在机箱后面板的 RE 插槽内， 每个路由引擎包含一个运行 JUNOS 软件的 PowerPC 计算平台。参见图 3-7：路由引擎。 在 SRX3600 后面板下方预留了两个 RE 槽位，分别为 RE0 (Slot 0) 和 RE1 (Slot 1)。但目前 版本(JUNOS 10.0)系统只支持一个 RE0。 路由引擎的 Console 和带外管理以太网接口均由内部总线连接至机箱前面板的 SFB 面板相 应接口。
图 3-7：路由引擎 ： 路由引擎（ ） 路由引擎（RE）组件 每个路由引擎由下列组件构成： CPU：1.2G PowerPC 处理器，运行 JUNOS 系统 DRAM：2G DDR2 667 DRAM,为 JUNOS 操作系统提供运行空间， 同时为路由引擎提供 路由表和转发表的存储空间 内部 Flash：1G Flash，为 JUNOS 操作系统映像文件, JUNOS 配置文件和各个系统组件 的微码提供主存储空间。这个驱动器固定于路由引擎内部，不能从路由器外部接触到
第 17 页 共 98 页

闪盘驱动器：16G SSD 闪盘，提供 JUNOS 操作系统映像文件的备份存储空间用于灾难 恢复。同时为日志文件、内存 Dump 提供第二存储空间，这个驱动器固定于路由引擎内 部，不能从路由器外部接触到 USB 接口：提供灵活的移动存储空间，可用于灾难备份和恢复 管理接口：每个路由引擎包含一个 10/100/100M 以太网带外管理接口，2 个异步串口： Console 和 AUX EEPROM：存储路由引擎的序列号（Serial Number）和硬件版本信息 LED：显示 RE 活动状态 Reset 按钮：按下将重启路由引擎 Online/Offline 按钮：按下将把路由引擎下线或上线 弹出把手：用于固定路由引擎，也用于弹出路由引擎 固定螺丝：用于固定路由引擎
交换矩阵板 交换矩阵板(SFB: Switch Fabric Board)
SFB 提供如下功能： 提供控制时钟信号和系统内时钟信号的分发 提供内置的 8 个电口千兆以太网业务接口和 4 个光口(SFP)千兆以太网业务接口 提供内置的 2 个光口(SFP)千兆以太网 HA 控制接口 提供两个千兆以太网带外管理接口 提供两个 Console, 1 个 AUX 以及两个 BITS 外部时钟接口 提供两个 USB 接口 通过交换矩阵芯片 SF Chip 控制机箱内各个槽位的互联链路 在 SRX3600 前面板上方上预留了两个交换矩阵板槽位，但目前版本(JUNOS 10.0)系统只支 持一个交换矩阵板。
图 3- 6：交换控制板
SPC 接口卡
第 18 页 共 98 页

Services Processing Cards (SPCs) 是标准 Common Form-factor Module (CFM) 尺寸的板卡， 它没有外部接口，只通过内部总线与 IOC/NPC 相连。它为 SRX 提供包括状态检测防火墙, NAT, IPS, IPsec VPN 等在内的所有业务处理能力。 一个 SRX 里可以有多块 SPC， 流量由 NPC 智能地平均分配给适合的 SPC 卡去处理。 SPC 卡到背板的带宽为 10Gbps.
NPC 接口卡
Network Processing Cards (NPCs) 是标准 Common Form-factor Module (CFM) 尺寸的板卡， 它没有外部接口，只通过内部总线与 IOC/SPC 相连。它从 IOCs 卡接受报文并将报文转发至 适合的 Services Processing Card (SPC) 进行业务处理，当业务处理完成后 NPC 从 SPC(s) 接 受报文并将报文转发至适合的 IOC.卡。 同时 NPC 还负责以下业务的处理: CoS/QoS 相关处理，包括 buffer 管理，队列调度等 Screen/DDoS 防护 NPC 接口指示灯状态含义如下:
NPC 卡到背板的带宽为 20Gbps.
IOC 接口卡 接口卡
IOC 接口卡是专门为高密度以太网业务设计的接口板卡，作为 SFB 上内置以太网接口的补 充。IOC 接口卡为 CFM(Common Form-factor Module)标准尺寸。SRX3600 的前面板的 6 个 CFM 槽位均可用于 IOC 接口卡。如果 CFM 槽位是空的，则必须加上 CFM 槽位挡板来保证 散热风道正确经过设备内部。
第 19 页 共 98 页

IOC 接口卡在 JUNOS 10.1 以后可以在线热插拔，当把一块 IOC 插入一个正在工作的 SRX 设备后，路由引擎会把对应 IOC 线卡的软件下载到 IOC 的管理引擎上，IOC 即开始自检并 驱动自己进行工作，这时其它板卡的业务不会受到影响。 目前 JUNOS 10.0 支持 3 种类型的 IOC 接口卡：
图 3-13：16 口电口千兆以太网接口卡
图 3-14:16 口光口(SFP)千兆以太网接口卡
图 3-15：2 口光口(XFP)万兆以太网接口卡 IOC 卡到背板的带宽为 10Gbps.
电源模块 电源模块
SRX3600 可以安装交流和直流两种电源模块。电源模块通过系统背板(midplane)给系统的各 个组件供电 SRX3600 共可以安装 4 个电源模块，其中 2 个用于正常工作，另外 2 个用于 1:1 冗余。 表格 3-3：DC 电源模块电气规范 项目 最大输出功率(每个 PEM) DC 输入电压 表格 3-4：AC 电源模块电气规范 项目 最大输出功率(每个 PEM) AC 输入电压 1000W 工作范围：100 -127V 或 200- 240 VAC 规范 850W 工作范围：-40.5 到 -72VDC 规范
第 20 页 共 98 页