JUNOS-SRX-JUNIPER-安全平台笔记(下册SRX)..doc

JUNOS 安全平台笔记 (下册-SRX-3K) CCIE #24012 destiny.gundam@163.com 2010-7-27  目录 1、 SRX相关硬件参数： 3 2、 SRX相关槽位情况： 4 3、 HA（JUNOS 10.2） 9 a) 基本常识 9 b) RG（redundancy group）常识 10 c) RG0：路由引擎 11 d) RGX：其它RG： 12 e) RETH（redundant ethernet interfaces）： 12 f) chassis cluster状态 13 g) RETH（Redundancy Ethernet interface） 13 h) RG interface monitoring 15 i) RG IP address monitoring(还需修正？？？？) 15 j) RG fialover 17 k) 手工failover 17 l) Chassis cluster of SNMP 19 m) Control Link Failure and Recovery 19 n) Date plane 21 o) CHASSIS CLUSTER带来的问题 23 p) CHASSIS CLUSTER配置实例 23 4、 ISSU（in-service software upgrade） 28 此功能尚未在实战中试用过，暂略。 28 5、 NAT(Network Address Translation)（有待修正） 28 甲. NAT的种类 28 丙. Rules 29 丁. NAT处理顺序 30 戊. 静态NAT： 30 己. 目的NAT 31 庚. 源NAT 33 专门针对SRX的笔记 第一章：概念 37 第四章 策略 64 第五章 NAT 83 第十章 HA 105 第十二章 透明模式 139 第十三章 SRX管理 154 第七章 高性能攻击减缓 161 第十一章 routing 190 SRX相关硬件参数： 交换矩阵和控制板(SCB)?交换矩阵和控制板(SCB)是动态业务架构的核心组件，可将机箱从简单的模块容器转变为高效的网状网络。SCB旨在支持机箱中的所有模块通过极高的带宽发送流量。 路由引擎(RE)?路由引擎(RE)与SCB紧密集成，还能为路由网络流量计算路由表。 服务处理卡(SPC)?作为SRX3000业务网关背后的“大脑”，服务处理卡(SPC)旨在处理网关上的所有可用的服务。由于无需购买专用硬件来支持特定服务或功能，因而不会出现某些硬件的使用超出极限，而其他硬件却处于空闲状态的情况。SPC的所有处理能力均可用于支持网关上的任意或全部服务和功能。SRX3600和SRX3400业务网关上使用了相同的SPC。（注：要想实现正常的系统功能，至少需要1个NPC和1个SPC） 网络处理卡(NPC)?为了确保实现最大的处理性能和灵活性，SRX3000业务网关系列利用网络处理卡(NPC)来将进出的流量分配给相应的SPC和IOC，同时应用QoS功能，以及执行DoS/DDoS防护功能。SRX3600可配置用于支持1到3个NPC，而SRX3400可配置用于支持1到2个NPC。向这些网关添加更多NPC可支持企业定制解决方案，以满足其特定的性能要求。（注：要想实现正常的系统功能，至少需要1个NPC和1个SPC） 输入/输出卡(IOC)?除了能够完美支持内置铜线端口、小型可热插拔(SFP)端口和高可用性(HA)端口的组合外，与同类产品相比，SRX3000系列还可实现最大的I/O端口密度。每一个SRX3000业务网关均可以安装一个或多个输入/输出卡(IOC)，每一个IOC可以支持16个千兆位接口（16个铜线或光纤千兆以太网），或者20个千兆位接口（2个万兆XFP以太网）。凭借能够添加更多IOC的出色灵活性，SRX3000业务网关系列可支持在接口和处理能力之间实现最佳平衡。（注：要想实现正常的系统功能，至少需要1个NPC和1个SPC） SRX3K-SPC-1-10-40 SRX3000服务处理卡，配有1 Ghz处理器和4 GB内存 SRX3K-NPC SRX 3000网络处理卡 SRX3K-16GE-TX 用于SRX3000的16个10/100/1000铜线CFM I/O卡 SRX3K-16GE-SFP 用于SRX3000的16个千兆SFP以太网I/O卡，无收发器 SRX3K-2XGE-XFP 用于SRX3000的2个万兆XFP以太网I/O卡，无收发器  红色线：CONSOLE口，0代表RE0的console口； 橙色：管理口，fxp0，0代表RE0的fxp0，1代表RE1的fxp0口，绝不是fxp1口，fxp1是RE与PFE之间的桥梁； 绿色：ge