Juniper Networks 5000 User Manual

NETSCREEN-5000 SERIES

User’s Guide

Version 5.0 P/N 093-1489-000 Rev. A

Juniper Networks, the Juniper Networks logo, NetScreen, NetScreen Technologies, GigaScreen, and the NetScreen logo are registered trademarks of Juniper Networks, Inc. NetScreen-5GT, NetScreen-5XP, NetScreen-5XT, NetScreen-25, NetScreen-50, NetScreen-100, NetScreen-204, NetScreen-208, NetScreen-500, NetScreen-5200, NetScreen-5400, NetScreen-Global PRO, NetScreen-Global PRO Express, NetScreen-Remote Security Client, NetScreen-Remote VPN Client, NetScreen-IDP 10, NetScreen-IDP 100, NetScreen-IDP 500, GigaScreen ASIC, GigaScreen-II ASIC, and NetScreen ScreenOS are trademarks of Juniper Networks, Inc. All other trademarks and registered trademarks are the property of their respective companies.

Information in this document is subject to change without notice.

No part of this document may be reproduced or transmitted in any form or by any means, electronic or mechanical, for any purpose, without receiving written permission from:

Juniper Networks, Inc.

ATTN: General Counsel

1194 N. Mathilda Ave.

Sunnyvale, CA 94089-1206

FCC Statement

The following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense.

The following information is for FCC compliance of Class B devices: The equipment described in this manual generates and may radiate radio-frequency energy. If it is not installed in accordance with NetScreen’s installation instructions, it may cause interference with radio and television reception. This equipment has been tested and found to comply with the limits for a Class B digital device in accordance with the specifications in part 15 of the FCC rules. These specifications are designed to provide reasonable protection against such interference in a residential installation. However, there is no guarantee that interference will not occur in a particular installation.

If this equipment does cause harmful interference to radio or television reception, which can be determined by turning the equipment off and on, the user is encouraged to try to correct the interference by one or more of the following measures:

• Reorient or relocate the receiving antenna.

• Increase the separation between the equipment and receiver.

• Consult the dealer or an experienced radio/TV technician for help.

• Connect the equipment to an outlet on a circuit different from that to which the receiver is connected.

Caution: Changes or modifications to this product could void the user's warranty and authority to operate this device.

Disclaimer

THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION PACKET THAT SHIPPED WITH THE PRODUCT AND ARE INCORPORATED HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE SOFTWARE LICENSE OR LIMITED WARRANTY, CONTACT YOUR NETSCREEN REPRESENTATIVE FOR A COPY.

Language Contents

English ..................................................................................................................... 1

French ...................................................................................................................53

NetScreen-5000 Series iii

Language Contents

iv User’s Guide

Preface....................................................................................................................1

Guide Organization .................................................................................... 1

Command Line Interface (CLI) Conventions ............................................... 2

Juniper Networks NetScreen Publications ................................................... 2

Chapter 1 Overview ...............................................................................................3

NetScreen-5000 Series ................................................................................ 4

NetScreen-5200 .............................................................................................. 4

NetScreen-5400 .............................................................................................. 4

Power Supplies ............................................................................................ 5

NetScreen-5200 Power Recommendations..................................................... 6

NetScreen-5400 Power Recommendations..................................................... 6

The DC Power Supply ...................................................................................... 6

The AC Power Supply....................................................................................... 7

Fan Modules ............................................................................................... 7

NetScreen-5000 Modules ........................................................................... 8

Management Modules.................................................................................... 8

The 5000-M Management Module .............................................................8

The 5000-M2 Management Module ...........................................................9

Secure Port Modules...................................................................................... 10

The 5000-8G SPM ......................................................................................10

The 5000-2G24FE SPM ..............................................................................11

Chapter 2 Installing the Device ............................................................................ 13

General Installation Guidelines ................................................................ 14

Equipment Rack Installation Guidelines ................................................... 14

Mounting the NetScreen-5000 Series ....................................................... 15

NetScreen-5200 Front and Rear Mount......................................................... 15

NetScreen-5200 Mid-Mount .......................................................................... 16

NetScreen-5400 Front Mount......................................................................... 16

Installing and Connecting the AC Power Supply ...................................... 17

Installing and Wiring a DC Power Supply .................................................. 17

Establishing an HA Connection ................................................................. 19

Connecting the NetScreen-5000 Series to a Router or Switch .................. 19

Chapter 3 Configuring the Device ....................................................................... 21

Operational Modes .................................................................................. 22

Transparent Mode ......................................................................................... 22

Route Mode................................................................................................... 22

The NetScreen-5000 Interfaces ................................................................ 23

NetScreen-5200 Interfaces............................................................................ 23

NetScreen-5400 Interfaces............................................................................ 24

Configurable Interfaces ................................................................................ 24

NetScreen-5000 Series v

Table of Contents

Performing Initial Connection and Configuration ..................................... 25

Establishing a Terminal Emulator Connection................................................ 25

Upgrading the Firmware During the Boot Process ......................................... 26

Changing Your Admin Name and Password ................................................. 27

Setting Port and Interface IP Addresses ......................................................... 27

Viewing Current Interface Settings ............................................................27

Setting the IP Address of the Management Interface ...............................27

Setting the IP Address for the Trust Zone Interface .....................................28

Setting the IP Address for the Untrust Zone Interface .................................28

Allowing Outbound Traffic .........................................................................29

Configuring the Device for Telnet and WebUI Sessions ............................. 29

Starting a Console Session Using Telnet ......................................................... 29

Starting a Console Session Using Dialup ........................................................ 30

Establishing a GUI Management Session....................................................... 30

Configuring the Chassis Alarm .................................................................. 31

Configuring Aggregate Interfaces ............................................................ 32

Using CLI Commands to Reset the Device ................................................ 33

Chapter 4 Servicing the Device............................................................................35

Removing and Reseating Modules ........................................................... 36

Replacing a DC Power Supply .................................................................. 36

Replacing an AC Power Supply ................................................................ 37

Replacing the Fan Tray ............................................................................. 37

Connecting and Disconnecting Gigabit Ethernet Cables ........................ 38

Removing and Installing a Mini-GBIC Transceiver ..................................... 39

Appendix A Specifications ....................................................................................41

NetScreen-5200 Attributes ........................................................................ 42

NetScreen-5400 Attributes ........................................................................ 42

Electrical Specification ............................................................................. 42

Environmental Specification ..................................................................... 42

NEBS Certifications .................................................................................... 43

Safety Certifications .................................................................................. 43

EMI Certifications ...................................................................................... 43

Connectors ............................................................................................... 43

Appendix B Port Descriptions and LED Status ........................................................45

Module Port Descriptions .......................................................................... 46

Module LED Descriptions ........................................................................... 47

vi User’s Guide

Status LED States ....................................................................................... 47

Interpreting Status LEDs for the Management Modules .................................47

Interpreting Status LEDs for the Secure Port Module .......................................48

Interpreting Ethernet Port Status LEDs for All Modules .....................................48

Power Supply LEDs .................................................................................... 49

Interpreting Power Supply LED Status for the NetScreen-5200 .......................49

Interpreting Power Supply LED Status for the NetScreen-5400 .......................49

Single SPM Installed ..................................................................................49

Fan LED ..................................................................................................... 50

Index ..................................................................................................................... 51

NetScreen-5000 Series vii

Table of Contents

viii User’s Guide

Preface

The Juniper Networks NetScreen-5000 Series consists of purpose-built, high-performance security systems that provide IPSec VPN and firewall services for large-scale carrier, enterprise, and data-center networks. Built around NetScreen’s third-generation ASIC technology and distributed system architecture, the NetScreen-5000 Series offers excellent scalability and flexibility.

The NetScreen-5000 Series includes the following device models:

• The NetScreen-5200, a chassis-based, two-slot network security device.

• The NetScreen-5400, a chassis-based, four-slot network security device.

NetScreen-5000 Series architecture features multiple processing modules. These include a management module that provides overall system control, and security processing modules that allow a variety of port configurations. Together, these modules provide a wide range of performance and security gateway configurations. Because the modules can work in many combinations, you can customize the NetScreen-5000 Series to accommodate the specific requirements of your organization.

The NetScreen-5000 Series also employs a switch fabric for data exchange and a separate multi-bus channel for control information, thus delivering scalable performance for the most demanding environments.

UIDE

This manual has four chapters and two appendices.

Chapter 1, Overview provides a detailed overview of the system, its modules, Fast Ethernet (FE) and mini-GBIC connectors, power supplies, and fan tray.

Chapter 2, Installing the Device details how to rack mount the NetScreen-5000 Series, connect the power supplies, and connect the modules to the network in addition to providing desktop site requirements and guidelines for rack mounting.

Chapter 3, Configuring the Device details how to obtain an IP address for an interface on one of the modules and how to aggregate ports on one of the modules.

Chapter 4, Servicing the Device provides procedures on how to replace your module and power supplies.

Appendix A, Specifications provides a list of physical specifications about the NetScreen-5000 Series, the modules, and power supplies.

Appendix B, Port Descriptions and LED Status provides descriptions of port and LED behavior.

RGANIZATION

NetScreen-5000 Series 1

Preface

OMMAND LINE INTERFACE

The following conventions are used when presenting the syntax of a command line interface (CLI) command:

• Anything inside square brackets [ ] is optional.

• Anything inside braces { } is required.

• If there is more than one choice, each choice is separated by a pipe ( | ). For

example,

set interface { ether1/1 | ether1/2 | ether2/2 } manage

means “set the management options for the ether1/1, ether1/2, or ether2/2 interface”.

• Variables appear in italic. For example:

set admin user name1 password xyz

When a CLI command appears within the context of a sentence, it is in bold (except for variables, which are always in italic). For example: “Use the get system command to display the serial number of a NetScreen device.”

Note: When typing a keyword, you only have to type enough letters to identify the word

uniquely. For example, typing set adm u joe j12fmt54 is enough to enter the command

set admin user joe j12fmt54. Although you can use this shortcut when entering

commands, all the commands documented here are presented in their entirety.

(CLI) C

ONVENTIONS

UNIPER NETWORKS NETSCREEN PUBLICATIONS

To obtain technical documentation for any Juniper Networks NetScreen product, visit

www.juniper.net/techpubs/

For technical support, open a support case using the Case Manager link at http://

www.juniper.net/support/ or call 1-888-314-JTAC (within the United States) or 1-408-745-

9500 (outside the United States).

If you find any errors or omissions in the following content, please contact us at the e-mail address below:

2 User’s Guide

techpubs-comments@juniper.net

Chapter 1

Overview

This chapter provides detailed descriptions of the NetScreen-5000 Series, modules, power supplies, and fan assemblies.

Topics explained in this chapter include:

• “NetScreen-5000 Series” on page 4

– “NetScreen-5200” on page 4

– “NetScreen-5400” on page 4

• “Power Supplies” on page 5

– “NetScreen-5200 Power Recommendations” on page 6

– “NetScreen-5400 Power Recommendations” on page 6

– “The DC Power Supply” on page 6

– “The AC Power Supply” on page 7

• “Fan Modules” on page 7

• “NetScreen-5000 Modules” on page 8

– “Management Modules” on page 8

– “Secure Port Modules” on page 10

NetScreen-5000 Series 3

Chapter 1 Overview

NETS

CREEN

This section describes the NetScreen-5000 Series, which currently includes the NetScreen-5200 and the NetScreen-5400.

-5000 S

NetScreen-5200

The NetScreen-5200 is a chassis-based, two-slot network security device. Slot 1 is for the management module and Slot 2 is for the Secure Port Module (SPM). The device has two hot-swappable power supplies for power redundancy and a removable fan module.

The figure below shows a NetScreen-5200 with a management module in slot 1 (top) and an SPM in slot 2 (bottom).

NetScreen-5400

ERIES

The NetScreen-5400 is a chassis-based, four-slot network security device with a 5U (rack unit) chassis. The top slot (slot 1) holds the management module, and the bottom slots (slots 2-4) hold up to three Secure Port Modules (SPMs) for flexible, high-density port configurations. The device has three hot-swappable power supplies for power redundancy and a removable fan module.

The figure below shows a NetScreen-5400 fully populated with a management module in slot 1 (top) and SPMs in slots 2 through 4.

Management,

slot 1

SPM, slot 2

SPM, slot 3

SPM, slot 4

4 User’s Guide

OWER SUPPLIES

The NetScreen-5000 Series can use two kinds of power supplies:

• Alternating Current (AC) Power Supply

• Direct Current (DC) Power Supply

The slots for these power supplies are located in the back of the NetScreen-5200 and on the front of the NetScreen-5400.

Note: You can order a NetScreen-5000 Series that runs on DC power. For DC-powered

units, the power supply has a DC terminal block with three sockets.

When two or more power supplies are in service, they share the power load equally. The power supplies are hot-swappable, so you can remove one and replace it without affecting operation. Each power supply is intended to receive power from separate feeds.

When one power supply fails, the other(s) automatically assume the full load and the device logs a system alarm. This alarm is viewable through the WebUI or a console accessing the NetScreen Command Line Interface (CLI). The Alarm LED on the management module glows red in response to any power supply failure.

Power Supplies

Warning: You must replace the failed power supply as soon as possible; otherwise, system

damage may result. See “Servicing the Device” on page 35 for instructions on how to replace a power supply.

NetScreen-5000 Series 5

Chapter 1 Overview

NetScreen-5200 Power Recommendations

Although the NetScreen-5200 can run with one power supply, it is advisable to install both. This practice minimizes the likelihood of system failure due to individual power supply failure.

When either power supply fails, the Alarm LED on the management module glows red. If both are operational, the Alarm LED is off. For more information on power supply LEDs, see Appendix B, Port Descriptions and LED Status.

NetScreen-5400 Power Recommendations

When the NetScreen-5400 contains only two modules, it can operate with one power supply. However, if the system contains three or four modules, the system requires at least two power supplies. In either case, it is advisable to install all three power supplies. This practice minimizes the likelihood of system failure due to individual power supply failure.

When any power supply fails, the Alarm LED on the management module glows red. While all three are operational, the Alarm LED is off. For more information on power supply LEDs, see Appendix B, Port Descriptions and LED Status.

The DC Power Supply

The DC power supply weighs about three pounds. The faceplate contains a power LED, a power switch, a cooling fan vent, and three DC power terminal blocks that connect to power cables.

The figure below shows the NetScreen-5200 DC power supply.

Thumbscrew

Power

LED

Power Switch

DC Power

Terminal

Blocks

Grounding

Screw

6 User’s Guide

Fan Modules

The AC Power Supply

The AC power supply weighs about three pounds. The faceplate contains a power LED, a power switch, a male power outlet, and a cooling fan vent.

The figure below shows the NetScreen-5200 AC power supply.

Thumbscrew

Power LED

FAN MODULES

The NetScreen-5200 has a three-fan module and the NetScreen-5400 has a two-fan module. You can access the fan module from the left front side of each chassis.

• To remove the NetScreen-5200 fan module, turn the fan knob in the unlock position, then gently pull the fan module lever toward you to slide the module out.

• To remove the NetScreen-5400 fan module, loosen the two thumb screws that secure the fan module, then gently slide the module out.

If a fan stops operating due to failure or removal, the system continues to run and generates an alarm. When you replace the fan, do not leave the fan tray empty for more than two minutes. See “Replacing the Fan Tray” on page 37 for more information.

Male

Power

Outlet

Fuse

Power Switch

NetScreen-5000 Series 7

Chapter 1 Overview

NETS

CREEN

The NetScreen-5000 Series device supports two module types:

• NetScreen-5000 management modules

• NetScreen-5000 Secure Port Modules (SPMs)

The following table shows the modules supported by each slot.

NetScreen-5200 Management Module Secure Port Module N/A N/A

NetScreen-5400 Management Module Secure Port Module Secure Port Module Secure Port Module

-5000 M

slot 1 slot 2 slot 3 slot 4

ODULES

Management Modules

The management module provides general-purpose CPU delivery, and contains dedicated High Availability (HA) and management interfaces. It handles tasks such as management access, session setup and termination, and Internet Key Exchange (IKE) negotiation.

Note: There are currently two management modules: The 5000-M and 5000-M2.

The 5000-M Management Module

The 5000-M is based around a powerful, 600-MHz PowerPC CPU, which assists other system elements, primarily with non-flow related tasks. The 5000-M management module provides overall management and control of the system. Although it performs system management, the primary function of the 5000-M is to support the other modules.

Features of the 5000-M module include:

• A management port, for WebUI management sessions or Command Line Interface sessions.

• A console port, for serial terminal emulation programs such as HyperTerminal.

• Two High Availability (HA) ports.

• A modem port.

The 5000-M also has port Link and Activity LEDs, CPU utilization indicators, a High Availability (HA) LED, an Alarm LED, a Status LED, a Flash LED, and a Power LED. In addition, it has a compact flash slot for flash memory card installation.

8 User’s Guide

CPU Utilization

LEDs

Compact Flash Slot

NetScreen-5000 Modules

Management Port High Availability Ports

Power

LED

Status

LED

Alarm

LED

Flash

LED

Console

Port

Modem

Port

The 5000-M2 Management Module

The 5000-M2 is based around powerful, dual 1GHz PowerPC CPUs, which assist other system elements, primarily with non-flow related tasks. The 5000-M2 management module provides overall management and control of the system. Although it performs system management, the primary function of the 5000-M2 is to support the other modules.

Features of the 5000-M2 module include:

• A management port, for WebUI management sessions or Command Line Interface sessions.

• A console port, for serial terminal emulation programs such as HyperTerminal.

• Two High Availability (HA) ports.

• A modem port.

The 5000-M2 also has port Link and Activity LEDs, CPU utilization indicators, a High Availability (HA) LED, an Alarm LED, a Status LED, a Flash LED, and a Power LED. In addition, it has a compact flash slot for flash memory card installation.

Note: The 5000-M2 is not currently FIPS, NEBS, or Common Criteria Certified.

CPU Utilization

Power

LED

Status

LED

LEDs

LED

Alarm

LED

Compact Flash Slot

Flash

LED

Console

Management Port High Availability Ports

Port

Modem

Port

NetScreen-5000 Series 9

Chapter 1 Overview

Secure Port Modules

Secure Port Modules (SPMs) perform general packet processing and device connection tasks for devices that communicate with the NetScreen-5000 Series. These modules are based around the GigaScreen-II ASIC.

SPMs handle packets as they enter and exit the system, providing packet parsing, classification, and flow-level processing. SPMs also provide encryption, decryption, Network Address Translation (NAT), and session lookup features. When packets require processing beyond that provided by an SPM, the NetScreen-5000 Series hands them off to the management module for further processing.

There are currently two SPM models:

• The 5000-8G SPM, with eight mini-GBIC Gigabit Ethernet ports.

• The 5000-2G24FE SPM, with two mini-GBIC Gigabit Ethernet ports and 24 10/

100 Ethernet ports.

The 5000-8G SPM

The 5000-8G SPM provides eight Gigabit Ethernet mini-Gigabit Interface Converter (GBIC) ports using hot-swappable transceivers. The 5000-8G delivers up to 4 Gigabitsper-second (Gbps) of firewall and up to 2 Gbps of Virtual Private Network (VPN) capacity. This module is also capable of supporting a total of four aggregate interfaces.

(For details on connecting or removing a mini-GBIC transceiver and connecting and disconnecting a Gigabit Ethernet cable, see Chapter 4, Servicing the Device.)

The 5000-8G provides port Link and Activity LEDs in addition to Power and Status LEDs.

Eight 1-Gigabit

Power LED

Status LED

Link LED

Transmit/

Receive LED

mini-GBIC Ports

10 User’s Guide

NetScreen-5000 Modules

The 5000-2G24FE SPM

The 5000-2G24FE Secure Port Module (SPM) deploys two 1-Gigabit Ethernet ports and 24 FE ports with up to 2 Gbps of firewall and up to 1 Gbps of VPN process capacity. This module is capable of supporting a total of six aggregate interfaces. This total consists of one aggregate interface for the two 1-Gigabit ports, and five aggregate interfaces for the 24 10/100 Ethernet ports. Only similar ports can be aggregated together. You cannot aggregate a Gigabit port to a 10/100 FE port.

The 5000-2G24FE provides port Link and Activity LEDs, in addition to Power and Status LEDs.

Mini-GBIC transceivers are hot-swappable. For details on connecting or removing a miniGBIC transceiver and connecting or disconnecting a Gigabit Ethernet cable, see Chapter 4, Servicing the Device.

Power LED

Status LED

Link LED

Two 1 Gigabit

GBIC Ports

Ethernet RJ-45 Ports

Transmit/Receive

LED

NetScreen-5000 Series 11

Chapter 1 Overview

12 User’s Guide

Chapter 2

Installing the Device

This chapter describes how to install a NetScreen-5000 Series in an equipment rack or on a desktop and how to configure the device on a network. Topics in this chapter include:

• “General Installation Guidelines” on page 14

• “Equipment Rack Installation Guidelines” on page 14

• “Mounting the NetScreen-5000 Series” on page 15

– “NetScreen-5200 Front and Rear Mount” on page 15

– “NetScreen-5200 Mid-Mount” on page 16

– “NetScreen-5400 Front Mount” on page 16

• “Installing and Connecting the AC Power Supply” on page 17

• “Installing and Wiring a DC Power Supply” on page 17

• “Establishing an HA Connection” on page 19

• “Connecting the NetScreen-5000 Series to a Router or Switch” on page 19

NetScreen-5000 Series 13

Chapter 2 Installing the Device

ENERAL INSTALLATION

Observing the following precautions can prevent injuries, equipment failures, and shutdowns.

• Never assume that the power supply is disconnected from a power source. Always check first.

• Room temperature might not be sufficient to keep equipment at acceptable temperatures without an additional circulation system. Ensure that the room in which you operate the NetScreen-5000 Series has adequate air circulation.

• Do not work alone if potentially hazardous conditions exist.

• Look carefully for possible hazards in your work area, such as moist floors,

ungrounded power extension cables, frayed power cords, and missing safety grounds.

Important: Although you can place the NetScreen-5000 Series on a desktop for operation,

NetScreen does not recommend deploying it in this manner.

Warning: To prevent abuse and intrusion by unauthorized personnel, it is extremely

important to install the NetScreen device in a locked-room environment.

QUIPMENT RACK INSTALLATION

UIDELINES

The location of the chassis and the layout of your equipment rack or wiring room are crucial for proper system operation.

Use the following guidelines while configuring your equipment rack.

• Enclosed racks must have adequate ventilation. An enclosed rack should have louvered sides and a fan to provide cooling air.

• When mounting a chassis in an open rack, ensure that the rack frame does not block the intake or exhaust ports. If you install the chassis on slides, check the position of the chassis when it is seated all the way into the rack.

• In an enclosed rack with a ventilation fan in the top, equipment higher in the rack can draw heat from the lower devices. Always provide adequate ventilation for equipment at the bottom of the rack.

• Baffles can isolate exhaust air from intake air. The best placement of the baffles depends on the airflow patterns in the rack.

You can mount the device in a standard 19-inch equipment rack. Rack mounting requires the following tools:

• 1 Phillips-head screwdriver

• Rack-compatible screws

• The included rear slide kit (for the rear and front mount method) on the

NetScreen-5200

• Front-mount brackets

14 User’s Guide

Mounting the NetScreen-5000 Series

There are two ways to rack mount the NetScreen-5200:

• Rear and front mount

• Mid-mount

Note: Juniper Networks strongly recommends the rear and front rack mount configuration

for the NetScreen-5200.

You can only front-mount the NetScreen-5400.

OUNTING THE NETSCREEN

The following sections describe how to rack mount the NetScreen-5000 Series.

-5000 S

ERIES

NetScreen-5200 Front and Rear Mount

To mount the NetScreen-5200 with support from the front and rear, you need four fitted screws, a Phillips-head screwdriver, the rear slide kit, and brackets.

To mount the NetScreen-5200:

1. Screw the rear mount bracket to the rear rack posts.

2. With the indented groove of each slide facing outward, screw the slides to the middle of each side of the chassis.

3. Slip the slides into the rear mount brackets, then push the NetScreen-5200 forward until the left and right brackets contact the front rack posts, as shown below.

4. Screw the left and right brackets to the rack.

NetScreen-5000 Series 15

Chapter 2 Installing the Device

NetScreen-5200 Mid-Mount

To mid-mount the NetScreen-5200, you need four fitted screws, a Phillips-head screwdriver, and brackets.

To mid-mount the NetScreen-5200:

1. Screw the left and right brackets to the middle of each side of the chassis, as shown below.

2. Screw the left and right brackets to the rack.

NetScreen-5400 Front Mount

To front mount the NetScreen-5400, you need four fitted screws, a Phillips-head screwdriver, and brackets.

To front mount the device:

1. Screw the front mount bracket to the front of the chassis, as shown below.

2. Screw the left and right brackets to the rack.

16 User’s Guide

Installing and Connecting the AC Power Supply

NSTALLING AND

To install and connect the AC power supply to the NetScreen-5000 Series device:

1. On the NetScreen-5200, slide the power supply into one of the power compartments in the back of the system.

On the NetScreen-5400, slide the power supply into one of the power compartments on the front of the system.

2. Fasten the power supply to the system by tightening the corner screws into the eyelets on the sides of the power supply.

3. If you want to install two power supplies in the NetScreen-5200 or three power supplies in the NetScreen-5400, repeat steps 1 and 2 for the remaining power supplies.

4. Connect the female end of a standard power cord to the male connector on the back of each power supply.

5. Connect each power cord to a standard 100-240-Volt power outlet.

Note: Whenever you deploy two or more power supplies to a NetScreen-5000

Series device, connect each to a different power source. Each power supply is intended to receive power from separate feeds.

6. Turn the power switches on.

ONNECTING THE

AC P

OWER SUPPLY

Note: If there are multiple power supplies in the NetScreen-5000 Series device

and any of them are off, the Alarm LED on the management module glows red. This alarm indicates that maximum system stability requires all installed power supplies to be operational.

NSTALLING AND

To install and connect the DC power supply to the NetScreen-5000 Series device:

1. On the NetScreen-5200, slide the power supply into one of the power compartments in the back of the system.

On the NetScreen-5400, slide the power supply into one of the power compartments on the front of the system.

2. Fasten the power supply to the system by tightening the corner screws into the eyelets on the sides of the power supply.

3. If you want to install two power supplies in the NetScreen-5200 or three power supplies in the NetScreen-5400, repeat steps 1 and 2 for the remaining power supplies.

IRING A

DC P

OWER SUPPLY

NetScreen-5000 Series 17

Chapter 2 Installing the Device

The DC power supply, power switch, grounding screw, and terminal blocks, are located on the faceplate of the power supply unit.

Power

LED

-48V -48V COM

Power Switch

Thumbscrew

DC Power

Terminal Block

Grounding

Screw

Warning: You must shut off current to the DC feed wires before connecting the wires to the

power supplies. Also, make sure that the power switch is in the off position.

To connect the DC power supply to a grounding point at your site:

1. Remove the hex nut on the grounding screw.

2. Place the ground lug on the screw and tighten the hex nut securely.

3. Connect the other end of the grounding lug wire to a grounding point at your site.

To connect DC power feeds to the terminal blocks:

1. Loosen the retaining screws on each terminal block.

2. Insert the 0V DC (positive voltage) return wire into the center COM connector and the -48V DC power feed wire into either the left or right connector.

3. Fasten the screws over the connectors.

4. Turn the power switches on.

Note: If there are multiple power supplies in the NetScreen-5000 Series device

and any of them are off, the Alarm LED on the Management Module glows solid red. This alarm indicates that maximum system stability requires all installed power supplies to be operational.

18 User’s Guide

Establishing an HA Connection

STABLISHING AN

To assure continuous traffic flow in the event of system failure, you can cable and configure two NetScreen devices in a redundant cluster, with one device acting as a master and the other as its backup. The master propagates all its network, configuration and session information to the backup. Should the master fail, the backup is promoted to master and takes over the traffic processing.

To physically connect the master and backup devices, the 5000-M and 5000-M2 management modules provide a pair of High Availability (HA) ports. To connect the NetScreen-5000 Series devices, you can use the provided Gigabit Ethernet mini-GBIC cable. Use this cable to connect the HA1 port on one system to the HA1 port on another system. Though you cannot connect HA ports between 5000-M and 5000-M2 management modules, you can connect HA ports between the same type of management module. For example, a 5000-M management module to another 5000-M management module.

For information on setting up HA configurations, see the NetScreen Concepts & Examples ScreenOS Reference Guide.

ONNECTING THE NETSCREEN

HA C

ONNECTION

OR SWITCH

You can establish a high-speed connection to a router or switch, and provide firewall and general security for your network, by connecting a Secure Port Module (SPM) to a fiberoptic or copper wire backbone. There are two ways to create this connection:

-5000 S

ERIES TO A ROUTER

• Connect a Fiber Optic cable from one of the mini-GBIC ports to the router (or switch).

• Connect an Unshielded Twisted Pair (UTP) CAT5 cable from an FE port to the router (or switch).

NetScreen-5000 Series 19

Chapter 2 Installing the Device

20 User’s Guide

Chapter 3

Configuring the Device

This chapter describes how to perform initial configuration on a NetScreen-5000 Series once you have mounted it in a rack or desktop, plugged in the necessary cables, and turned the power on. Topics in this chapter include:

• “Operational Modes” on page 22

– “Transparent Mode” on page 22

– “Route Mode” on page 22

• “The NetScreen-5000 Interfaces” on page 23

– “NetScreen-5200 Interfaces” on page 23

– “NetScreen-5400 Interfaces” on page 24

– “Configurable Interfaces” on page 24

• “Performing Initial Connection and Configuration” on page 25

– “Establishing a Terminal Emulator Connection” on page 25

– “Upgrading the Firmware During the Boot Process” on page 26

– “Changing Your Admin Name and Password” on page 27

– “Setting Port and Interface IP Addresses” on page 27

• “Configuring the Device for Telnet and WebUI Sessions” on page 29

– “Starting a Console Session Using Telnet” on page 29

– “Starting a Console Session Using Dialup” on page 30

– “Establishing a GUI Management Session” on page 30

• “Configuring the Chassis Alarm” on page 31

• “Configuring Aggregate Interfaces” on page 32

• “Using CLI Commands to Reset the Device” on page 33

Note: You must register your product at www.netscreen.com/cso

services, such as the Deep Inspection Signature Service, can be activated on the device. After registering your product, use the WebUI or CLI to obtain the subscription for the service. For more information about registering your product and obtaining subscriptions for specific services, see the “System Parameters” chapter in the NetScreen Concepts & Examples ScreenOS Reference Guide.

NetScreen-5000 Series 21

so that certain ScreenOS

Chapter 3 Configuring the Device

PERATIONAL

A NetScreen-5000 Series device supports two operational modes: Transparent and Route. The default mode is Route.

ODES

Transparent Mode

In Transparent mode, a NetScreen-5000 Series device operates as a Layer-2 bridge. Because the device cannot translate packet IP addresses, it cannot perform Network Address Translation (NAT). Consequently, for the device to access the Internet, any IP address in your trusted (local) networks must be routable and accessible from untrusted (external) networks.

In Transparent mode, the IP addresses for the Layer-2 Trust and Untrust zones are

0.0.0.0, thus making the NetScreen-5000 Series device invisible to the network. However, the device can still perform firewall, VPN, and traffic management according to configured security policies.

Route Mode

In Route mode, a NetScreen-5000 Series device operates at Layer 3. Because you can configure each interface using an IP address and subnet mask, you can configure individual interfaces to perform NAT.

• When the interface performs NAT services, the NetScreen-5000 Series device translates the source IP address of each outgoing packet into the IP address of the untrusted interface. It also replaces the source port number with a randomly-generated value.

• When the interface does not perform NAT services, the source IP address and port number in each packet header remain unchanged. Therefore, to reach the Internet your local hosts must have routable IP addresses.

For more information on NAT, see the NetScreen Concepts & Examples ScreenOS Reference Guide.

22 User’s Guide

The NetScreen-5000 Interfaces

THE NETS

Each Secure Port Module (SPM) for a NetScreen-5000 Series device provide 8 or 26 physical ethernet ports. Each of these ports can serve as a physical interface. In addition, you can configure the ethernet ports to host multiple virtual (logical) interfaces.

CREEN

-5000 I

NTERFACES

NetScreen-5200 Interfaces

The NetScreen-5200 below contains one management module (in slot 1) and one 5000-8G SPM (in slot 2). You can use a 5000-M or a 5000-M2 management module in slot 1.

ethernet2/1

ethernet2/2

Status and Power LEDs

ethernet2/3

ethernet2/4

Modem PortConsole Port

ethernet2/5

ethernet2/6

ethernet2/7

ethernet2/8

MGT Port

HA Ports

NetScreen-5000 Series 23

Chapter 3 Configuring the Device

NetScreen-5400 Interfaces

A NetScreen-5400 contains one management module (in slot 1) and up to three SPMs. You can use a 5000-M or a 5000-M2 management module in slot 1. In the illustrations below, the device contains three 5000-8G SPMs.

ethernet4/1

ethernet4/2

ethernet4/3

ethernet4/4

Modem PortConsole Port

ethernet4/5

ethernet4/6

ethernet4/7

MGT Port

HA Ports

SPM, slot 2

SPM, slot 3

SPM, slot 4

ethernet4/8

Configurable Interfaces

The configurable interfaces available on a NetScreen-5000 Series device are as follows:

Interface Type Description

Ethernet interfaces ethernetn1/n2 specifies a physical ethernet interface, denoted by an interface

module in a slot (n1) and a physical port (n2) on the module.

ethernetn1/n2.n3 specifies a logical interface, denoted by an interface module in a slot (n1), a physical port (n2) on the module, and a logical interface number ( .n3). You create logical interfaces using the set interface command.

Layer-2 interfaces vlan1 specifies the interface used for management and VPN while the

NetScreen device is in Transparent mode.

Tunnel interfaces tunnel.n specifies a tunnel interface. Use this interface for VPN traffic.

Function interfaces mgt specifies a dedicated management interface bound to the MGT zone.

ha1 and ha2 specify the names of the dedicated HA ports.

24 User’s Guide

Performing Initial Connection and Configuration

ERFORMING INITIAL

To establish the first console session with the NetScreen-5000 Series device, use a vt100 terminal emulator program through the provided RJ-45/DB9 serial port connector.

ONNECTION AND

ONFIGURATION

Establishing a Terminal Emulator Connection

To establish an initial console session:

1. Plug the DB-9 end of the supplied RJ-45/DB-9 serial cable into the serial port of your workstation. (Be sure that the DB-9 is seated properly and secured with the screws.)

2. Plug the RJ-45 end of the cable into the Console port of the NetScreen-5000 Series device. (Be sure that the RJ-45 clip snaps into the port and is seated properly.)

3. Launch a Command Line Interface (CLI) session between your workstation and a NetScreen-5000 Series device using a standard serial terminal emulation program such as Hilgraeve HyperTerminal (provided with the Microsoft Windows operating system). The settings should be as follows:

• Baud Rate to 9600

• Parity to No

• Data Bits to 8

• Stop Bit to 1

• Flow Control to none

4. At the HyperTerminal window, press the enter key to display the login prompt.

5. At the login prompt, type netscreen.

6. At the password prompt, type netscreen.

Note: Use lowercase letters only. Both login and password are case-sensitive.

7. (Optional) By default, the console times out and terminates automatically after 10 minutes of idle time. To change this timeout interval, execute the following command:

set console timeout number

where number is the length of idle time in minutes before session termination. To prevent any automatic termination, specify a value of 0.

NetScreen-5000 Series 25

Chapter 3 Configuring the Device

Upgrading the Firmware During the Boot Process

1. Connect your computer to the NetScreen-5000 Series device:

a. Using a serial cable, connect the serial port on your computer to the

console port on the NetScreen-5000 Series device. This connection, in combination with a terminal application, enables you to manage the NetScreen device.

b. Using an Ethernet cable, connect the network port on your computer to

the management port on the NetScreen-5000 Series device. This connection enables the transfer of data between the computer, the TFTP server, and the NetScreen device.

2. Make sure that you have the new ScreenOS image file stored in the TFTP server directory on your computer. For information on obtaining the new firmware, see the NetScreen Concepts & Examples Reference Guide.

3. Run the TFTP server on your computer by double-clicking on the TFTP server application. You can minimize its window but it must be active in the background.

4. Log in to the NetScreen-5000 Series device using a terminal emulator such as HyperTerminal. See “Establishing a Terminal Emulator Connection” on page

25. Log in as the root admin or an admin with read-write privileges.

5. Power on or restart the NetScreen-5000 Series device.

6. Keep your eyes on the terminal emulator screen, then when you see “Hit any key to run loader”, press any key on your computer keyboard to interrupt the startup.

Note: If you do not interrupt the NetScreen-5000 Series device in time, it proceeds

to load the firmware saved in flash memory.

7. At the Boot File Name prompt, enter the file name of the ScreenOS firmware you want to load.

8. At the Self IP Address prompt, enter the IP address of the NetScreen-5000 Series device that is used to communicate to the TFTP server.

9. At the TFTP IP Address prompt, enter the IP address of the TFTP server.

An indication that the firmware is loading successfully is the display of the series of “rtatatatatata...” running on the terminal emulator screen and a series of symbols running on the TFTP server window. When the firmware installation is complete, a message informs you of the success of the installation.

10. Answer Yes to the following question: “Program to on-board flash” ([y]/n)”

Answering “yes” saves the firmware you installed to flash memory.

11. Answer Yes to the following question: “Run downloaded program? ([y]/n)”

Answering “yes” instructs the NetScreen-5000 Series device to start running the new ScreenOS firmware.

26 User’s Guide

Performing Initial Connection and Configuration

Changing Your Admin Name and Password

Because all NetScreen products use the same admin name and password (netscreen), it is highly advisable to change your admin name and password immediately. Enter the following commands:

set admin name name_str set admin password pswd_str save

For information on creating different levels of administrators, see the NetScreen Concepts & Examples ScreenOS Reference Guide.

Setting Port and Interface IP Addresses

Through the CLI, you can execute commands that set IP address and subnet mask values for most of the physical interfaces.

Viewing Current Interface Settings

To begin the configuration process, it is advisable to view existing port settings by executing the following command:

get interface

This command displays current port names, IP addresses, MAC addresses, and other useful information.

Setting the IP Address of the Management Interface

The default IP address and subnet mask settings for the MGT interface are 192.168.1.1 and 255.255.255.0, respectively. To access the MGT interface, you must change the IP address and subnet mask of the MGT interface to match your current network. NetScreen recommends using the MGT interface exclusively for out of band management.

Note: The MGT interface is on the 5000-M or 5000-M2 management modules, which are

always in slot 1.

To set the IP address of the MGT interface:

1. Choose an unused IP address within the current address range of your Local Area Network.

2. Set the MGT interface to this unused IP address by executing the following command:

set interface mgt ip ip_addr/mask

NetScreen-5000 Series 27

Chapter 3 Configuring the Device

For example, to set the IP address and subnet mask of the MGT interface to

10.100.2.183 and 16, respectively:

set interface mgt ip 10.100.2.183/16

3. To confirm the new port settings, execute the following command:

get interface mgt

Setting the IP Address for the Trust Zone Interface

The NetScreen-5000 Series device usually communicates with your protected network through an interface bound to the Trust zone. To allow an interface to communicate with internal devices, you must assign it the IP address and subnet mask for your protected network.

To set up the ethernet2/2 interface to communicate with your trusted network:

1. Determine the IP address and subnet mask of your trusted network.

2. Set the ethernet2/2 interface to the Trust zone by executing the following command:

set interface ethernet2/2 zone trust

3. Set the IP address and subnet mask by executing the following command:

set interface ethernet2/2 ip ip_addr/mask

where ip_addr is the IP address and mask is the subnet mask. For example, to set the IP address and subnet mask of the ethernet2/2 interface to

10.250.2.1/16:

set interface ethernet2/2 ip 10.250.2.1/16

4. (Optional) To confirm the new port settings, execute the following command:

get interface ethernet2/2

Setting the IP Address for the Untrust Zone Interface

The NetScreen-5000 Series device usually communicates with external (untrusted) devices through an interface bound to the Untrust zone. To allow an interface to communicate with external devices, you must assign it a public IP address.

To set up the ethernet2/3 interface to communicate with external devices:

1. Choose an unused public IP address and subnet mask.

2. Set the ethernet2/3 interface to the Untrust zone by executing the following command:

set interface ethernet2/3 zone untrust

28 User’s Guide

Configuring the Device for Telnet and WebUI Sessions

3. Set the IP address and subnet mask by executing the following command:

set interface ethernet2/3 ip ip_addr/mask

where ip_addr is the IP address and mask is the subnet mask. For example, to set the IP address and subnet mask of the ethernet2/3 interface to

172.16.20.1/16:

set interface ethernet2/3 ip 172.16.20.1/16

4. (Optional) To confirm the new interface settings, execute the following command:

get interface ethernet2/3

Allowing Outbound Traffic

By default, the NetScreen-5000 Series device does not allow inbound or outbound traffic, nor does it allow traffic to or from the DMZ. To permit (or deny) traffic, you must create access policies.

The following CLI command creates an access policy that permits all kinds of outbound traffic, from any host in your trusted LAN to any device on the untrusted network.

set policy from trust to untrust any any any permit

Save your access policy configuration with the following command:

save

Important: Your network might require a more restrictive policy than the one created in

the example above. The example is NOT a requirement for initial configuration. For detailed information about access policies, see the NetScreen Concepts & Examples

ScreenOS Reference Guide.

ONFIGURING THE DEVICE FOR TELNET AND

In addition to terminal emulator programs, you can use Telnet (or dialup) to establish console sessions with the NetScreen-5000 Series device. In addition, you can start management sessions using the NetScreen WebUI, a web-based GUI management application.

Starting a Console Session Using Telnet

To establish a Telnet session with the NetScreen-5000 Series device:

1. Connect an RJ-45 cable from the MGT interface to the internal switch, router, or hub in your LAN.

2. Open a Telnet session, specifying the current MGT interface IP address. For example, in Windows, click Start > Run, enter telnet ip_addr (where ip_addr is the address of the MGT interface), then click OK.

WEBUI S

ESSIONS

NetScreen-5000 Series 29

Chapter 3 Configuring the Device

For example, if the MGT interface has an address of

telnet

3. At the Username prompt, type your user name (default is netscreen).

4. At the Password prompt, type your password (default is netscreen).

Note: Use lowercase letters only. Both username and password are case-sensitive.

5. (Optional) By default, the console times out and terminates automatically after 10 minutes of idle time. To change this timeout interval, execute the following command:

set console timeout number

where number is the length of idle time in minutes before session termination. To prevent any automatic termination, specify a value of 0.

10.100.2.183

, enter:

Starting a Console Session Using Dialup

Each NetScreen-5000 Series device provides a modem port that allows you to establish a remote console session using a dialup connection through a 9600 bps modem. Dialing into the modem establishes a dialup console connection.

Note: The Terminal type for dialup sessions must be vt100. For example, in Hilgreave

HyperTerminal (a commonly-used terminal application), click Connect, select Remote System from the dropdown menu, then select vt100 from the Term Type menu.

Establishing a GUI Management Session

To access the NetScreen-5000 Series device with the WebUI management application:

1. Connect your computer (or your LAN hub) to the MGT interface using a Category-5 Ethernet cable. (The MGT interface is on the 5000-M or 5000-M2 management modules, which always reside in slot 1.)

2. Launch your browser, enter the IP address of the MGT interface in the URL field, then press Enter.

30 User’s Guide

Configuring the Chassis Alarm

For example, if you assigned the MGT interface an IP address of

10.100.2.183

http://10.100.2.183

The NetScreen WebUI software displays the login prompt.

3. Enter netscreen in both the Admin Name and Password fields, then click Login. (Use lowercase letters only. The Admin Name and Password fields are both case sensitive.)

The NetScreen WebUI application window appears.

/16, enter the following:

ONFIGURING THE

The NetScreen-5000 Series device allows you to configure the chassis alarm, an audible warning that sounds when a system failure or hazardous event occurs. To determine which failures and events trigger the chassis alarm:

1. Configure the audible alarms by executing the following command:

set chassis audible-alarm string

where string can be any of the following keywords:

all Enables all chassis alarms.

battery Sets the chassis alarm to sound when a battery fails.

fan-failed Sets the chassis alarm to sound when a fan fails.

power-failed Sets the chassis alarm to sound when a power supply fails.

temperature Sets the chassis alarm to sound when the temperature goes outside of

2. After configuring the alarm, it is advisable to view alarm environment information by executing the following command:

get chassis

HASSIS ALARM

the acceptable range.

NetScreen-5000 Series 31

Chapter 3 Configuring the Device

ONFIGURING AGGREGATE INTERFACES

The NetScreen-5000 Series device allows you to combine two or more physical ports into a single virtual port. This virtual port is known as an aggregate interface. Only Secure Port Modules (SPMs) support this feature.

• On a 5000-8G SPM, you can create up to four aggregate interfaces.

• On a 5000-2G24FE SPM, you can create up to five aggregate interfaces.

The 5000-8G SPM supports only certain combinations of ports for aggregate interfaces. For example, a 5000-8G SPM residing in slot 2 only supports the following port combinations:

• Ethernet2/1 and Ethernet2/2

• Ethernet2/3 and Ethernet2/4

• Ethernet2/5 and Ethernet2/6

• Ethernet2/7 and Ethernet2/8

You must assign one of the following names to the aggregate interface: aggregate1, aggregate2, aggregate3, or aggregate4.

In the following example, you combine two Gigabit Ethernet mini-GBIC ports, each running at 1 Gbps, into an aggregate interface running at 2 Gbps. The aggregate interface consists of Ethernet ports 1 and 2 on a 5000-8G SPM (residing in slot 2).

To create the aggregate interface:

1. (Optional) To see what physical ports are available on your NetScreen-5000 Series device:

get interface

2. To create an aggregate interface name:

set interface string zone zonename

where string is a legal aggregate interface name (aggregate1, aggregate2, aggregate3, or aggregate4).

For example, to create the aggregate interface name aggregate1:

set interface aggregate1 zone zonename

3. To assign ports ethernet2/1 and ethernet2/2 to the aggregate1 interface name:

set interface ethernet2/1 aggregate aggregate1 set interface ethernet2/2 aggregate aggregate1

4. (Optional) To see the updated port list and details about the new aggregate interface:

get interface get interface aggregate1

32 User’s Guide

Using CLI Commands to Reset the Device

Notice that the listing contains aggregate1, an aggregate interface comprised of ethernet2/1 and ethernet2/2. This aggregate interface runs with a throughput rate of 2 Gbps. You can now bind the aggregate interface to a zone.

Note: As with most other interfaces, you must assign the aggregate interface an

IP address so that other nodes on the network can reach it.

SING

CLI C

If you lose the admin password, you can use the following procedure to reset the NetScreen-5000 Series device to its default settings. This destroys any existing configurations, but restores access to the device.

Warning: Resetting the NetScreen-5000 Series will delete all existing configuration

settings, and the firewall and VPN services will be rendered inoperative.

To perform this operation, you need to make a console connection, as described in

“Establishing a Terminal Emulator Connection” on page 25.

Note: By default the device recovery feature is enabled. You can disable it by entering the

following CLI command: unset admin device-reset.

1. At the login prompt, type the serial number of the NetScreen-5000 Series device.

2. At the password prompt, type the serial number again.

OMMANDS TO RESET THE DEVICE

The following message appears:

!!! Lost Password Reset !!! You have initiated a command to reset the device to factory defaults, clearing all current configuration, keys and settings. Would you like to continue? y/[n]

NetScreen-5000 Series 33

Chapter 3 Configuring the Device

3. Press the y key.

The following message appears:

!! Reconfirm Lost Password Reset !! If you continue, the entire configuration of the device will be erased. In addition, a permanent counter will be incremented to signify that this device has been reset. This is your last chance to cancel this command. If you proceed, the device will return to factory default configuration, which is: System IP: 192.168.1.1; username: netscreen; password: netscreen. Would you like to continue? y/[n]

4. Press the y key to reset the device.

You can now login in using netscreen as the default admin name and password.

Note: After you successfully reset and reconfigure the NetScreen-5000 Series, you

should back up the new configuration setting. As a precaution against lost passwords, you should back up a new configuration that contains the NetScreen default password. This will ensure a quick recovery of a lost configuration. You should change the password on the system as soon as possible. For detailed information about configuration backups, see the System Parameters section in the NetScreen Concepts & Examples ScreenOS Reference Guide.

34 User’s Guide

Chapter 4

Servicing the Device

This chapter details service and maintenance of various components in your NetScreen-5000 Series. Topics in this chapter include:

• “Removing and Reseating Modules” on page 36

• “Replacing a DC Power Supply” on page 36

• “Replacing an AC Power Supply” on page 37

• “Replacing the Fan Tray” on page 37

• “Connecting and Disconnecting Gigabit Ethernet Cables” on page 38

• “Removing and Installing a Mini-GBIC Transceiver” on page 39

NetScreen-5000 Series 35

Chapter 4 Servicing the Device

EMOVING AND RESEATING

Although NetScreen-5000 Series modules are pre-installed before shipping, you may find it necessary to remove or reseat modules to suit the special security needs of your network.

Warning: Always be sure the chassis power switch is off before you remove or install a

Secure Port Module (SPM) or management module.

To remove a module from a NetScreen-5000 Series device:

1. Release the module from the chassis by loosening the screws.

2. Rotate the ejector/injector levers to disengage the module from the backplane.

3. Gently slide the module card out of the chassis.

To install a module in a NetScreen-5000 Series device:

1. Be sure the module is right-side-up and the ejector/injector levers are extended.

2. Slide the module into the appropriate slot of the chassis, until it is seated in the backplane.

3. To secure the module in the chassis, close the ejector/injector levers by pushing on them toward the center of the module.

4. Tighten the screws using a #2 Phillips-head screwdriver.

ODULES

EPLACING A

Warning: Before replacing a power supply, you MUST shut off current to the DC feed

wires that lead to the power supply. Also, be sure that the power switch is in the off position (right side pressed in).

To replace a DC power supply:

1. Turn off the power supply.

2. Loosen the retaining screws on the terminal block.

3. Remove the feed wires.

4. Turn the thumbscrew counterclockwise to release the power supply.

5. Lift and grip the lever, then gently pull the power supply straight out.

6. Insert the new power supply into the bay.

7. Secure the power supply in place by tightening the thumbscrew clockwise.

8. Reconnect the wires as explained in “Installing and Wiring a DC Power Supply”

DC P

on page 17.

OWER SUPPLY

36 User’s Guide

Replacing an AC Power Supply

EPLACING AN

To replace an AC power supply:

1. Turn off the power supply.

2. Lift the AC power cord retainer clip.

3. Unplug the cord from the power supply.

4. Turn the thumbscrew counterclockwise to release the power supply.

5. Lift and grip the lever, then gently pull the power supply straight out.

6. Insert the new power supply into the bay.

7. Secure the power supply in place by tightening the thumbscrew clockwise.

8. Lift the retainer clip, then plug the power cord into the power supply.

9. Press the retainer clip over the cord, securing it in place.

EPLACING THE FAN TRAY

The NetScreen-5000 Series fan modules differ according to the device model:

• The NetScreen-5200 fan module has three fans.

• The NetScreen-5400 fan module has two fans.

When a fan or fan module fails, the Fan LED glows red, and the system generates an event alarm and a SNMP trap. Although a NetScreen-5000 Series can operate with a fan out of service, it is advisable to replace the fan module as soon as possible.

AC P

OWER SUPPLY

When you remove the fan module, you must reinstall it (or replace it) within two minutes, or system failure may occur.

Warning: If the device becomes too hot, the system shuts down automatically.

Note: During the one-year warranty period, you can obtain a replacement fan module by

contacting NetScreen Technical support. After the warranty period, contact the NetScreen Sales department to renew your support contract.

To replace the fan module on a NetScreen-5200:

1. Remove the fan module by turning the fan lock knob in the unlock position.

2. Rotate the ejector/injector lever out to disengage the fan module from the fan bay.

3. Grip the fan module lever and gently slide the fan module straight out.

Warning: Do not remove the fan module while the fans are still spinning.

4. Insert the new fan module in the fan bay, then push it straight in.

NetScreen-5000 Series 37

Chapter 4 Servicing the Device

5. Close the injector/ejector level to fully seat the fan module.

6. Secure the fan module in place by tightening the thumbscrew in the lock position.

To replace the fan module on a NetScreen-5400:

1. Loosen the top and bottom thumbscrews, turning them counterclockwise.

2. Grip the screws then gently slide the fan module out.

Warning: Do not remove the fan module while the fans are still spinning.

3. Insert the new fan module in the fan bay, then push it straight in.

4. Secure the fan module in place by tightening the thumbscrews clockwise.

ONNECTING AND DISCONNECTING

ABLES

To connect a Gigabit Ethernet cable to a mini-GBIC connector transceiver port:

1. Hold the cable clip firmly but gently between your thumb and forefinger, with your thumb on top of the clip and your finger under the clip. (Do not depress the clip ejector on top of the clip.)

2. Slide the clip into the transceiver port until it clicks into place. Because the fit is close, you may have to apply some force to seat the clip. Apply force evenly and gently, to avoid clip breakage.

To remove the cable from the transceiver port:

1. Make sure the black transceiver ejector under the port is not pressed in; otherwise, when you attempt to remove the cable, the transceiver might come out with the cable still attached.

2. Hold the cable clip firmly but gently between your thumb and forefinger, with your thumb on top of the clip and your finger under the clip.

3. Use your thumb to gently press the clip ejector on top of the clip, down then forward. This action loosens the clip from the transceiver port.

4. Gently but firmly, pull the clip from the transceiver port.

IGABIT ETHERNET

38 User’s Guide

Removing and Installing a Mini-GBIC Transceiver

EMOVING AND INSTALLING A

To remove a mini-GBIC transceiver from a module:

1. Push in the black ejector (located on the underside of the transceiver) until it locks into place, disengaging the transceiver.

2. Grasp the transceiver at both sides then, firmly but gently, pull the transceiver toward you to remove it from the module.

To install a mini-GBIC transceiver into a module:

1. Grasp the transceiver with the label facing up, then insert it into the transceiver slot until seated.

2. Check to see if the black transceiver ejector extends fully out to the front of the ejector slot, flush with the port portion of the transceiver.

INI

-GBIC T

RANSCEIVER

NetScreen-5000 Series 39

Chapter 4 Servicing the Device

40 User’s Guide

Appendix A

Specifications

This appendix provides general system specifications for the NetScreen-5000 Series.

• “NetScreen-5200 Attributes” on page A-42

• “NetScreen-5400 Attributes” on page A-42

• “Electrical Specification” on page A-42

• “Environmental Specification” on page A-42

• “NEBS Certifications” on page A-43

• “Safety Certifications” on page A-43

• “EMI Certifications” on page A-43

• “Connectors” on page A-43

NetScreen-5000 Series 41

Appendix A Specifications

NETS

CREEN

Height: 3.4 inches (8.6 cm)

Depth: 19.5 inches (49.5 cm)

Width: 17.5 inches (44.5 cm)

Weight: 32 pounds (without power supply) (15 kg)

CREEN

Height: 8.62 inches (21.89 cm)

Depth: 14 inches (35 cm)

Width: 17.5 inches (44.5 cm)

Weight: 42 pounds (without power supply) (19 kg)

-5200 A

-5400 A

LECTRICAL SPECIFICATION

AC voltage: 100-240 VAC +/- 10%

DC voltage: -36 to -60 VDC

AC Watts: 150 Watts

TTRIBUTES

DC Watts: 150 Watts

Fuse Rating: AC: 3.15 Amps / 250 Volts

DC: 12 Amps / 250 Volts (NetScreen-5200) and 6 Amps / 250 Volts (NetScreen-5400)

NVIRONMENTAL SPECIFICATION

The following table presents the environmental specifications.

Temperature Operating Non-operating

Normal altitude 32-105°F, 0°-40° C-40°-158° F, -40°−70° C

Relative humidity 10-90% 5-95%

Non-condensing 10-90% 5-95%

The maximum normal altitude is 12,000 ft. (0-3,660 m)

42 User’s Guide

NEBS C

Level 3 NetScreen-5200 with DC power supply.

GR-63-Core: NEBS, Environmental Testing

GR-1089-Core: EMC and Electrical Safety for Network Telecommunications Equipment

Note: NEBS certification is currently not available on the 5000-M2 management module.

ERTIFICATIONS

AFETY

EMI C

ONNECTORS

UL, CUL, CSA, CE, CB

ERTIFICATIONS

FCC class A, CE class A, C-Tick, VCCI class A

The RJ-45 twisted-pair ports are compatible with the IEEE 802.3 Type 10/100 Base-T standard.

The mini-Gigabit transceivers used in NetScreen-5000 Series modules are Shortwave or SX type, so they are good for up to 550 meters. (This varies by manufacturer.) The limit is 850 for the optic LC-type connector. The mini-Gigabit transceivers are compatible with the IEEE 802.3z Gigabit Ethernet standard.

The following table lists media types and distances for the different types of connectors used in the NetScreen-5000 Series.

Standard Media Type Mhz/Km

1000 Base-SX 50/125µm Multimode Fiber 400 500 m

ERTIFICATIONS

Maximum Distance

Rating

50/125µm Multimode Fiber 500 550 m

62.5/125µm Multimode Fiber 160 220 m

62.5/125µm Multimode Fiber 200 275 m

1000 Base-LX 50/125µm Multimode Fiber 400 550 m

62.5/125µm Multimode Fiber 500 550 m

9/125µ Single-mode Fiber 10,000 m

100 Base-TX Category 5 and higher Unshielded

Twisted Pair (UTP) Cable

NetScreen-5000 Series 43

100 m

Appendix A Specifications

44 User’s Guide

Appendix B

Port Descriptions and LED Status

This appendix provides detail on port descriptions and LED status for the NetScreen-5000 Series modules.

• “Module Port Descriptions” on page B-46

• “Module LED Descriptions” on page B-47

• “Status LED States” on page B-47

• “Power Supply LEDs” on page B-49

• “Fan LED” on page B-50

NetScreen-5000 Series 45

Appendix B Port Descriptions and LED Status

ODULE PORT DESCRIPTIONS

The following table describes the ports on the 5000-M and 5000-M2 management modules.

Port Description Type Speed/Protocol

Console Enables a serial connection, to establish

terminal sessions with the system. Used for launching Command Line Interface (CLI) sessions.

Modem Enables a serial modem connection for

establishing dialup sessions.

MGT Enables a connection for establishing out-of-

band management sessions from outside of the network.

HA1 Enables connection with another device in a

redundancy cluster, where one device serves as the master (primary) device, and the other serves as the backup (secondary) device.

HA2 Enables connection with another device in a

redundancy cluster, where one device serves as the master (primary) device, and the other serves as the backup (secondary) device.

RJ-45 9600 Bps/

RS-232

RJ-45 9600 Bps/

RS-232

RJ-45 10/100 Mbps/

Ethernet

mini-GBIC 1 Gbps/

Gigabit Ethernet

mini-GBIC 1 Gbps/

Gigabit Ethernet

The following table describes the ports on the 5000-8G Secure Port Module (SPM).

Port Description Type Speed/Protocol

Network Ports 1-8

Eight Gigabit ports with an aggregate throughput of 8 Gbps.

mini-GBIC 1 Gbps/

Gigabit Ethernet

The following table details the ports on the 5000-2G24FE module.

Port Description Type Speed/Protocol

Network Ports 1-2

Network Ports 3-26

Two high-speed network ports for general connection to the network.

24 network ports for general connection to the network.

mini-GBIC 1 Gbps

Gigabit Ethernet

RJ-45 10/100 Mbps/

Ethernet

46 User’s Guide

ODULE

LED D

This section provides descriptions of the LEDs on NetScreen-5000 Series modules. Two types of LEDs exist on the modules:

• Status LEDs. These LEDs reflect certain conditions that exist on the system at large and do not explicitly refer to a given port.

• Port LEDs. These LEDs reflect basic conditions (for example, a link connection status) that exist for a specific port.

ESCRIPTIONS

TATUS

LED S

This section describes Status LED states on all modules.

TATES

Interpreting Status LEDs for the Management Modules

The Status LEDs indicate whether the management module is operating properly. The following table describes the status possibilities for each.

LED LED Color Meaning of the LED

CPU Utilization

POWER green Indicates the system is receiving power.

STATUS blinking

green Consists of an array of five LEDs that indicate the current level of

CPU utilization. Utilization is defined as the amount of traffic detected on the device at any given time. The CPU utilization LEDs represent the following percentages of possible utilization: 5%, 10%, 25%, 50%, and 90%.

off When all are off, indicates less than 5 percent CPU use.

off Indicates the system is not receiving power.

red Indicates the power has a problem.

Indicates the system is operational.

green

blinking amber

off Indicates the module is not operational.

HA green Indicates the module is a master in a redundancy cluster.

red Indicates the module is ineligible to be a backup.

amber Indicates the module is a backup in a redundancy cluster.

off Indicates that no HA activity has been defined.

ALARM red Indicates an alarm which could mean a system failure.

blinking red Indicates a self-test failure during the bootup process.

NetScreen-5000 Series 47

Indicates the system is booting up.

Appendix B Port Descriptions and LED Status

off Indicates the system has not detected an event or error at the

current time.

FLASH green Indicates the flash card is installed.

blinking green

off Indicates no flash card loaded in the flash card slot.

Indicates flash card activity.

Interpreting Status LEDs for the Secure Port Module

The Status LEDs indicate whether the Secure Port Module is operating properly. The following table describes the status possibilities for each.

LED LED Color Meaning of the LED

POWER green Indicates the system is receiving power.

off Indicates the system is not receiving power.

amber Indicates the system has initially received power.

STATUS blinking

green

green Indicates the system has a problem.

off Indicates the Secure Port Module is not operational.

Indicates the system is up and operational and that the power source is working properly.

Interpreting Ethernet Port Status LEDs for All Modules

The port Status LEDs indicate whether any of the ports on the modules are operating properly. The following table describes the status possibilities for each.

LED LED Color Meaning of the LED

LINK green Indicates a successful link has been established.

blinking green

off Indicates the port has not established a link with another device.

TX/RX green Indicates the port is successfully passing packets back and forth to

blinking green

off Indicates the port does not have a device connected to it.

Indicates the port is attempting to establish a link.

a destination device.

Indicates the port is attempting to pass packets back and forth to a destination device.

48 User’s Guide

OWER SUPPLY

The following tables describe LED behaviors on the 5000-M and 5000-M2 for different combinations of functioning power supplies.

LED

Interpreting Power Supply LED Status for the NetScreen-5200

The following table details the LED behaviors on the 5000-M and 5000-M2 for different combinations of functioning power supplies.

Power Supply 1 Present Power Supply 2 Present Power LED Alarm LED

Yes No Green Off

Yes Yes. Not functioning. Green Red

Yes Yes Green Off

Interpreting Power Supply LED Status for the NetScreen-5400

The status of the Power and Alarm LEDs depend upon whether the NetScreen-5400 contains a single Secure Port Module (SPM) or multiple SPMs.

Single SPM Installed

The following table describes the LED behaviors for different combinations of functioning power supplies when there is only one SPM installed.

Power Supply 1 Present

Yes No No Green Off

Yes Yes. Not turned

Yes Yes No Green Off

Yes Yes Yes. Not turned on. Green Red

Yes Yes Yes Green Off

Note: If the NetScreen-5400 contains more than one SPM, the system requires at least two

functioning power supplies. If a second power supply is not present or is present but not turned on, the Alarm LED is off, but a console message directing you to install and turn on another power supply appears.

Power Supply 2 Present

on.

Power Supply 3 Present

No Green Red

Power LED Alarm LED

NetScreen-5000 Series 49

Appendix B Port Descriptions and LED Status

LED

The following table describes the Fan LED on both the NetScreen-5200 and NetScreen5400 chassis.

LED Color Meaning of the LED

green Fans are operating.

off Power is off.

50 User’s Guide

Index

Numerics

5000-2G24FE, description 11 5000-8G

description 10 figure 10 port status LEDs 48 system status LEDs 48

5000-M

figure 8 system status LEDs 47

5000-M2

figure 9 system status LEDs 47

AC power supply 7

replacing 37 aggregate ports 31 asset recovery 33

cabling, network interfaces 29 changing login and password 27 configuring aggregate ports 31 connecting

power supply 17

serial connection 30

system to a router or switch 19

system to other devices 18 console

changing timeout 25, 30

establishing session 25

using a dialup connection session 30

DC power supply 6

replacing 36

wiring 17

dialup connection 30

fan tray, replacing 38

guide organization 1

high availability, establishing an HA connection 18

installation guidelines 14 installing modules 7

LED status 47 LED status types 47 Logging on 30 login, changing 27

management module, 5000-M 8 management module, 5000-M2 9 management port, setting an IP address 27 management session 30 modules 8

5000-2G24FE 11 5000-8G 10 5000-M 8 5000-M2 9 allowable slots 7 installing 7 management module 8 secure port modules 9

NetScreen-5000 Series 51

Index

mounting

mid-mount rack installation 16 rear and front rack installation 15

NetScreen publications 2 NetScreen-5000

connecting to a router or switch 19 connecting to other devices 18 modules 8

NetScreen-5200, about 4 NetScreen-5400, about 4

password

changing 27 resetting 33

port settings, viewing 27 port status LEDs, 5000-8G 48 power supplies

description 7

replacing 37 connecting to the system 7 DC

ground posts 18

replacing 36

terminal blocks 18

wiring 18 installing 17 recommendations 6

rack

installation guidelines 14 mounting 14

replacing

a DC power supply 36 an AC power supply 37

reset 33

Secure Port Modules

5000-2G24FE 11 5000-8G 10

system status LEDs

5000-8G 48 5000-M 47

transparent mode 22

ventilation 14 viewing port settings 27

52 User’s Guide

Table des matières

Préface..................................................................................................................53

Organisation du manuel .......................................................................... 53

Conventions relatives à l’interface de ligne de commande (CLI) ............ 54

Publications Juniper Networks NetScreen ................................................. 54

Chapitre 1 Présentation générale ........................................................................55

Série de produits NetScreen-5000 ............................................................ 56

Unité NetScreen-5200.................................................................................... 56

Unité NetScreen-5400.................................................................................... 56

Blocs d’alimentation ................................................................................. 57

Recommandations concernant l’alimentation électrique des unités

NetScreen-5200 ............................................................................................ 58

Recommandations concernant l’alimentation électrique des unités

NetScreen-5400 ............................................................................................ 58

Bloc d’alimentation CC ................................................................................. 58

Bloc d’alimentation CA.................................................................................. 59

Modules de ventilation ............................................................................. 59

Modules NetScreen-5000 ......................................................................... 60

Modules de gestion....................................................................................... 60

Module de gestion 5000-M ......................................................................60

Module de gestion 5000-M2 ....................................................................61

Modules de ports sécurisés ........................................................................... 62

SPM 5000-8G ............................................................................................62

SPM 5000-2G24FE .....................................................................................63

Chapitre 2 Installation de l’unité........................................................................... 65

Instructions d’installation générales .......................................................... 66

Instructions d’installation de la baie de matériel ...................................... 66

Montage de l’unité de la série NetScreen-5000 ...................................... 67

Montage avant et arrière de l’unité NetScreen-5200.................................... 67

Montage à mi-hauteur de l’unité NetScreen-5200........................................ 68

Montage frontal de l’unité NetScreen-5400 .................................................. 68

Installation et connexion du bloc d'alimentation CA ............................... 69

Installation et raccordement d’un bloc d’alimentation CD ...................... 69

Établissement d’une connexion HA .......................................................... 71

Connexion de l’unité de la série NetScreen-5000 à un routeur ou à un

commutateur ............................................................................................ 71

Chapitre 3 Configuration de l’unité...................................................................... 73

Modes de fonctionnement ....................................................................... 74

Mode Transparent ......................................................................................... 74

Mode Route................................................................................................... 74

Série de produits NetScreen-5000 ix

Table des matières

Interfaces NetScreen-5000 ....................................................................... 75

Interfaces NetScreen-5200............................................................................ 75

Interfaces NetScreen-5400............................................................................ 76

Interfaces configurables ............................................................................... 76

Exécution de la connexion et de la configuration initiales ....................... 77

Établissement d’une connexion d’émulateur de terminal............................. 77

Mise à niveau du micrologiciel au cours du processus de démarrage........ 78

Modification de votre nom et de votre mot de passe d’administrateur........ 79

Configuration des adresses IP de port et d’interface.................................... 79

Affichage des paramètres d’interface actuels .........................................79

Configuration de l’adresse IP de l’interface de gestion ............................79

Configuration de l’adresse IP pour l’interface de la zone Trust .................80

Configuration de l’adresse IP pour l’interface de zone Untrust .................80

Autorisation du trafic sortant .....................................................................81

Configuration de l’unité pour les sessions Telnet et d’interface utilisateur Web 81

Démarrage d’une session de console à l’aide de Telnet.............................. 81

Démarrage d’une session de console à l’aide d’un appel commuté .......... 82

Établissement d’une session de gestion d’interface utilisateur graphique .... 82

Configuration de l’alarme de châssis ....................................................... 83

Configuration d’interfaces agrégées ........................................................ 84

Utilisation des commandes d’interface de ligne de commande pour

réinitialiser l’unité ....................................................................................... 85

Chapitre 4 Entretien de l’unité ..............................................................................87

Retrait et réinstallation des modules ......................................................... 88

Remplacement d’un bloc d’alimentation CC .......................................... 88

Remplacement d’un bloc d’alimentation CA ........................................... 89

Remplacement du bloc de ventilation ..................................................... 89

Connexion et déconnexion des câbles Gigabit Ethernet ........................ 90

Retrait et installation d’un transmetteur mini-GBIC .................................... 91

Annexe A Spécifications .......................................................................................93

Attributs de l’unité NetScreen-5200 ........................................................... 94

Attributs de l’unité NetScreen-5400 ........................................................... 94

Spécifications électriques ......................................................................... 94

Spécifications environnementales ............................................................ 94

Certifications NEBS .................................................................................... 95

Certifications de conformité ..................................................................... 95

Certifications EMI ......................................................................................95

Connecteurs ............................................................................................. 95

x Manuel de l’utilisateur

Annexe B Description des ports et état des diodes électroluminescentes ...........97

Description des ports des modules ........................................................... 98

Description des DEL des modules ............................................................. 99

Etats des DEL d’état .................................................................................. 99

Interprétation des DEL d’état des modules de gestion ..................................99

Interprétation des DEL d’état des modules de ports sécurisés .....................100

Interprétation des DEL d’état des ports Ethernet pour tous les modules ......100

DEL des blocs d’alimentation ................................................................. 101

Interprétation de l’état des DEL des blocs d’alimentation pour l’unité

NetScreen-5200 ..........................................................................................101

Interprétation de l’état des DEL des blocs d’alimentation pour l’unité

NetScreen-5400 ..........................................................................................101

Un seul SPM installé .................................................................................101

DEL de ventilation (Fan) .......................................................................... 102

Index ...................................................................................................................103

Série de produits NetScreen-5000 xi

Table des matières

xii Manuel de l’utilisateur

Préface

La série de produits Juniper Networks NetScreen-5000 propose un ensemble de systèmes de sécurité ciblés haute performance qui offrent des services VPN et de pare-feu IPSec pour les réseaux de communications, d’entreprise et de centres de données à grande échelle. Centrée sur une architecture système distribuée et la technologie ASIC de troisième génération de NetScreen, la série de produits NetScreen-5000 offre une modularité et une flexibilité exceptionnelles.

La série NetScreen-5000 inclut les modèles d’unité suivants :

• L’unité NetScreen-5200, qui est un dispositif de sécurité réseau à châssis à deux connecteurs.

• L’unité NetScreen-5400, qui est un dispositif de sécurité réseau à châssis à quatre connecteurs.

L’architecture des unités de la série NetScreen-5000 comporte plusieurs modules de traitement. Parmi ces derniers se trouve un module de gestion qui fournit un contrôle global du système, ainsi que des modules de traitement de sécurité qui permettent d’obtenir tout un éventail de configurations des ports. Grâce à l’association de ces modules, vous avez à votre disposition un vaste choix de configurations pour les performances et les passerelles de sécurité. Étant donné que ces modules peuvent fonctionner selon de nombreuses combinaisons, vous pouvez personnaliser la série NetScreen-5000 pour l’adapter aux exigences spécifiques de votre organisation.

La série NetScreen-5000 utilise également un commutateur pour les échanges de données et un canal multibus à part pour les informations de contrôle. Ainsi, vous disposez de performances modulaires pour les environnements les plus exigeants.

RGANISATION DU MANUEL

Ce manuel comporte quatre chapitres et deux annexes. Le chapitre 1, Présentation générale, vous propose une présentation détaillée du système,

de ses modules, des connecteurs FE (Fast Ethernet) et mini-GBIC, des blocs d’alimentation et du bloc de refroidissement par ventilation.

Le chapitre 2, Installation de l’unité, détaille comment monter en baie une unité NetScreen-5000, comment connecter les blocs d’alimentation et comment connecter les modules au réseau. Il fournit également les configurations de site de bureau et les instructions de montage en baie.

Le chapitre 3, Configuration de l’unité, détaille comment obtenir une adresse IP pour une interface sur l’un des modules et comment agréger les ports sur l’un des modules.

Le chapitre 4, Entretien de l’unité, vous indique les procédures à suivre pour remplacer votre module et ses blocs d’alimentation.

L’annexe A, Spécifications, fournit la liste des spécifications physiques concernant la série NetScreen-5000, les modules et les blocs d’alimentation.

L’annexe B, Description des ports et état des diodes électroluminescentes, fournit la description du comportement des ports et des DEL.

Série de produits NetScreen-5000 53

Préface

ONVENTIONS RELATIVES À L’INTERFACE DE LIGNE DE

COMMANDE

Ce sont les conventions suivantes qui ont été adoptées pour présenter la syntaxe des commandes de l’interface de ligne de commande (CLI) :

• Les informations présentées entre crochets [ ] sont facultatives.

• Les informations présentées entre des accolades { } sont obligatoires.

• Si plusieurs choix sont possibles, ils sont séparés par un trait vertical ( | ). Par

exemple :

set interface { ether1/1 | ether1/2 | ether2/2 } manage

signifie « définir les options de gestion pour l’interface ether1/1, ether1/2 ou ether2/2 ».

• Les variables sont en italique. Par exemple :

Lorsqu’une commande de l’interface de ligne de commande est insérée dans une phrase du corps du texte, elle apparaît en gras (à l’exception des variables qui sont elles systématiquement en italique). Par exemple : « Pour afficher le numéro de série d’une unité NetScreen, utilisez la commande get system. »

Remarque : lorsque vous saisissez un mot-clé, vous pouvez ne saisir que ses premiers

caractères, à condition qu’ils permettent d’identifier ce mot de manière unique. Par exemple, pour entrer la commande set admin user michel j12fmt54, il vous suffit de saisir set adm u michel j12fmt54. Même si vous pouvez utiliser ce système de saisie rapide pour les commandes, c’est la version complète de ces dernières qui vous est systématiquement proposée dans cette documentation.

(CLI)

set admin user nom1 password xyz

UBLICATIONS JUNIPER

Si vous souhaitez obtenir de la documentation technique relative à un des produits Juniper Networks NetScreen, consultez le site Internet www.juniper.net/techpubs/

Si vous souhaitez obtenir une assistance technique, ouvrez un dossier d’assistance à l’aide du lien Case Manager disponible sous http://www.juniper.net/support/ 888-314-JTAC (aux États-Unis) ou 1-408-745-9500 (hors États-Unis).

Si vous trouvez des informations erronées ou incomplètes dans cette documentation, merci de nous les signaler en nous envoyant un courrier électronique à l’adresse suivante :

54 Manuel de l’utilisateur

ETWORKS NETSCREEN

techpubs-comments@juniper.net

ou contactez le 1-

Chapitre 1

Présentation générale

Vous trouverez dans ce chapitre la description détaillée des unités de la série NetScreen-5000, ainsi que des modules, des blocs d’alimentation et des systèmes de refroidissement par ventilation correspondants.

Les sujets abordés dans ce chapitre sont les suivants :

• « Série de produits NetScreen-5000 », page 56

– « Unité NetScreen-5200 », page 56 – « Unité NetScreen-5400 », page 56

• « Blocs d’alimentation », page 57

– « Recommandations concernant l’alimentation électrique des unités

NetScreen-5200 », page 58

– « Recommandations concernant l’alimentation électrique des unités

NetScreen-5400 », page 58

– « Bloc d’alimentation CC », page 58 – « Bloc d’alimentation CA », page 59

• « Modules de ventilation », page 59

• « Modules NetScreen-5000 », page 60

– « Modules de gestion », page 60 – « Modules de ports sécurisés », page 62

Série de produits NetScreen-5000 55

Chapitre 1 Présentation générale

ÉRIE DE PRODUITS

Cette section décrit la série de produits NetScreen-5000, qui comprend actuellement les unités NetScreen-5200 et NetScreen-5400.

NETS

Unité NetScreen-5200

L’unité NetScreen-5200 est un dispositif de sécurité réseau à châssis à deux connecteurs. Le connecteur 1 est destiné au module de gestion et le connecteur 2, au module de ports sécurisés (Secure Port Module, SPM). Cette unité est dotée de deux blocs d’alimentation remplaçables à chaud afin d'offrir une redondance électrique, ainsi que d’un module de ventilation amovible.

La figure ci-dessous présente une unité NetScreen-5200 avec un module de gestion dans le connecteur 1 (en haut) et un SPM dans le connecteur 2 (en bas).

Unité NetScreen-5400

CREEN

-5000

L’unité NetScreen-5400 est un dispositif de sécurité réseau à châssis à quatre connecteurs. Il est doté d’un châssis (pour baie) 5U. Le connecteur supérieur (connecteur

1) contient le module de gestion et les connecteurs inférieurs (connecteurs 2 à 4) contiennent jusqu'à trois SPM pour les configurations de ports flexibles haute densité. Cette unité est dotée de trois blocs d’alimentation remplaçables à chaud afin d’offrir une redondance électrique, ainsi que d’un module de ventilation amovible.

La figure ci-dessous présente une unité NetScreen-5400 complète avec un module de gestion dans le connecteur 1 (en haut) et des SPM dans les connecteurs 2 à 4.

Gestion,

connecteur 1

SPM, connecteur 2

SPM, connecteur 3

SPM, connecteur 4

56 Manuel de l’utilisateur

LOCS D’ALIMENTATION

Les unités de la série NetScreen-5000 peuvent utiliser deux sortes de bloc d’alimentation :

• Bloc d’alimentation CA

• Bloc d’alimentation CC

Les connecteurs pour ces blocs d’alimentation sont situés à l’arrière de l’unité NetScreen-5200 et sur le devant de l’unité NetScreen-5400.

Remarque : vous pouvez commander une unité de la série NetScreen-5000 qui fonctionne

avec une alimentation CC. Pour les unités CC, le bloc d’alimentation dispose d’un bornier CC avec trois sockets.

Lorsque au moins deux blocs d’alimentation sont en service, ils se partagent à égalité la charge électrique. Les blocs d’alimentation sont remplaçables à chaud : vous pouvez retirer un bloc et le remplacer sans que cela n’ait d’incidence sur le fonctionnement du système. Chaque bloc d’alimentation a été conçu pour recevoir l’alimentation électrique à partir de différentes sources.

Lorsqu’un bloc d’alimentation ne fonctionne plus, les autres blocs se répartissent automatiquement entre eux la charge totale ; l’unité consigne une alarme système. Vous pouvez afficher cette alarme dans l’interface utilisateur Web ou dans une console accédant à l’interface de ligne de commande de NetScreen. Pour signaler un bloc d’alimentation défectueux, la DEL (diode électro-luminescente) d’alarme (Alarm) du module de gestion s’allume (elle émet une lumière rouge).

Blocs d’alimentation

Avertissement : vous devez remplacer le bloc d’alimentation défectueux dès que possible ;

sinon, vous risquez d’endommager votre système. Pour obtenir des instructions pour remplacer un bloc d’alimentation, reportez-vous au chapitre « Entretien de l’unité »,

page 87.

Série de produits NetScreen-5000 57

Chapitre 1 Présentation générale

Recommandations concernant l’alimentation électrique des unités NetScreen-5200

Même si l’unité NetScreen-5200 peut tout à fait fonctionner avec un seul bloc d’alimentation, nous vous recommandons d’installer les deux blocs. Cela permet de réduire le risque de panne système due à un bloc d’alimentation défectueux.

Lorsque l’un des deux blocs tombe en panne, la DEL d’alarme (Alarm) du module de gestion s’allume (lumière rouge). Si les deux blocs sont opérationnels, cette DEL est éteinte. Pour plus d’informations sur les DEL des blocs d’alimentation, reportez-vous à l’annexe B, Description des ports et état des diodes électroluminescentes.

Recommandations concernant l’alimentation électrique des unités NetScreen-5400

Lorsque l’unité NetScreen-5400 ne contient que deux modules, elle peut fonctionner avec un seul bloc d’alimentation. Toutefois, si le système contient trois ou quatre modules, il requiert au moins deux blocs d’alimentation. Dans un cas comme dans l’autre, nous vous recommandons d’installer les trois blocs d’alimentation. Cela permet de réduire le risque de panne système due à un bloc d’alimentation défectueux.

Lorsque l’un des blocs tombe en panne, la DEL d’alarme (Alarm) du module de gestion s’allume (lumière rouge). Si les trois blocs sont opérationnels, cette DEL est éteinte. Pour plus d’informations sur les DEL des blocs d’alimentation, reportez-vous à l’annexe B,

Description des ports et état des diodes électroluminescentes.

Bloc d’alimentation CC

Le bloc d’alimentation CC pèse 1,36 kg environ. Sur la plaque avant se trouvent la DEL d’alimentation (Power), un interrupteur, une ouverture du système de refroidissement par ventilation et trois borniers CC reliés aux câbles d'alimentation.

La figure ci-dessous représente le bloc d’alimentation CC de l’unité NetScreen-5200.

DEL

d’alimen-

tation

(Power)

Vis de serrage à main

Borniers

Vis de

mise à la

terre

Interrupteur

58 Manuel de l’utilisateur

Modules de ventilation

Bloc d’alimentation CA

Le bloc d’alimentation courant alternatif pèse 1,36 kg environ. Sur la plaque avant se trouvent une DEL d’alimentation (Power), un interrupteur, une prise mâle et un système de refroidissement par ventilation.

La figure ci-dessous représente le bloc d’alimentation CA de l’unité NetScreen-5200.

Vis de

serrage à

main

DEL

d’alimen-

tation

(Power)

MODULES DE VENTILATION

L’unité NetScreen-5200 comporte un module à trois ventilateurs et l’unité NetScreen-5400, un module à deux ventilateurs. Vous pouvez accéder au module de ventilation à partir de la partie gauche sur le devant de chaque châssis.

• Pour retirer le module de ventilation de l’unité NetScreen-5200, dévissez la molette de blocage du ventilateur, puis tirez doucement vers vous le levier du module de ventilation pour extraire le module en le faisant glisser.

• Pour retirer le module de ventilation de l’unité NetScreen-5400, desserrez les deux vis de serrage à main qui maintiennent le module de ventilation en place, puis sortez le module en le faisant glisser doucement.

Si un ventilateur tombe en panne ou est retiré, le système continue à fonctionner et génère une alarme. Lorsque vous remplacez un ventilateur, ne laissez jamais son logement vide plus de deux minutes. Reportez-vous à la section « Remplacement du bloc

de ventilation », page 89 pour plus d’informations.

Prise

mâle

Fusible

Interrupteur

Série de produits NetScreen-5000 59

Chapitre 1 Présentation générale

ODULES NETSCREEN

Les unités de la série NetScreen-5000 prennent deux types de module en charge :

• Les modules de gestion NetScreen-5000

• Les modules de ports sécurisés (SPM) NetScreen-5000

Le tableau ci-après indique les modules pris en charge selon chaque connecteur.

connecteur 1 connecteur 2 connecteur 3 connecteur 4

-5000

NetScreen-5200 Module de gestion Module de ports

sécurisés

NetScreen-5400 Module de gestion Module de ports

sécurisés

S/O (sans objet) S/O (sans objet)

Module de ports sécurisés

Modules de gestion

Le module de gestion est un outil de transmission universelle avec l’UC ; il contient des interfaces HA et de gestion dédiées. Il gère les tâches telles que l’accès aux fonctions de gestion, la configuration des débuts et des fins de session, et la négociation IKE (Internet Key Exchange).

Remarque : il existe actuellement deux modules de gestion : le 5000-M et le 5000-M2.

Module de gestion 5000-M

Le module 5000-M est basé sur une puissante unité centrale avec microprocesseur PowerPC à 600 MHz ; il aide les autres éléments du système, notamment pour les tâches qui ne sont pas liées au flux de données. Le module de gestion 5000-M offre des fonctions de gestion et de contrôle complètes du système. Bien que le module 5000-M exécute la gestion du système, sa fonction première est de seconder les autres modules.

Les fonctions du module 5000-M sont les suivantes :

• Un port de gestion, pour les sessions de gestion de l’interface utilisateur Web ou les sessions de l’interface de ligne de commande.

• Un port pour la console, pour les programmes d’émulation de terminaux en série tels que HyperTerminal.

• Deux ports HA.

• Un port modem.

Le module 5000-M comporte également des DEL d’activité et de liaison (Link) pour les ports, des indicateurs d’utilisation de l’UC, ainsi que des DEL HA, d’alarme (Alarm), d’état (Status), Flash et d’alimentation (Power). En outre, il comporte un connecteur Compact Flash pour l’installation des cartes Flash Memory.

60 Manuel de l’utilisateur

Modules NetScreen-5000

DEL

d’alimentation

(Power)

Module de gestion 5000-M2

Le module 5000-M2 est basé sur des puissantes unités centrales avec biprocesseur PowerPC à 1 GHz ; il aide les autres éléments du système, notamment pour les tâches qui ne sont pas liées au flux de données. Le module de gestion 5000-M2 offre des fonctions de gestion et de contrôle complètes du système. Bien que le module 5000-M2 exécute la gestion du système, sa fonction première est de seconder les autres modules.

Les fonctions du module 5000-M2 sont les suivantes :

DEL d’utilisation de l'UC

(CPU Utilization)

DEL

d’état

(Status)

DEL HADEL

d’alarme

(Alarm)

Connecteur

Compact Flash

DEL

Flash

Port de la

console

Port de gestion Ports HA

Port du

modem

• Un port de gestion, pour les sessions de gestion de l’interface utilisateur Web ou les sessions de l’interface de ligne de commande.

• Un port pour la console, pour les programmes d’émulation de terminaux en série tels que HyperTerminal.

• Deux ports HA.

• Un port modem.

Le module 5000-M2 comporte également des DEL d’activité et de liaison (Link) pour les ports, des indicateurs d’utilisation de l’UC, ainsi que des DEL HA, d’alarme (Alarm), d’état (Status), Flash et d’alimentation (Power). En outre, il comporte un connecteur Compact Flash pour l’installation des cartes Flash Memory.

Remarque : à l’heure actuelle, le module 5000-M2 ne bénéficie pas d’une certification

FIPS, NEBS ou « Common Criteria ».

DEL

d’alimentation

(Power)

DEL d’utilisation de

l'UC (CPU Utilization)

DEL

d’état

(Status)

DEL

d’alarme

(Alarm)

Connecteur

Compact Flash

DEL

Flash

Port de la

console

Port de gestion Ports HA

Port du

modem

Série de produits NetScreen-5000 61

Chapitre 1 Présentation générale

Modules de ports sécurisés

Les modules de ports sécurisés (SPM) exécutent des tâches générales de traitement des paquets de données et de connexion des périphériques pour les dispositifs qui communiquent avec l’unité de la série NetScreen-5000. Ces modules sont basés sur le circuit intégré ASIC GigaScreen-II.

Les SPM traitent les paquets lorsque ces derniers entrent dans le système et le quittent ; ils permettent d'analyser les paquets de données, de les classifier et de traiter leur flux. Les SPM fournissent également des fonctions de chiffrement et de déchiffrement, de traduction d’adresse de réseau et de consultation de session. Lorsque les paquets requièrent un traitement allant au-delà des possibilités fournies par un SPM, l’unité de la série NetScreen-5000 les remet au module de gestion qui s’occupera du traitement supplémentaire requis.

Il existe actuellement deux modèles de SPM :

• Le SPM 5000-8G, avec huit ports Gigabit Ethernet mini-GBIC.

• Le SPM 5000-2G24FE, avec deux ports Gigabit Ethernet mini-GBIC et 24 ports

Ethernet 10/100.

SPM 5000-8G

Le SPM 5000-8G fournit huit ports mini-GBIC (Gigabit Interface Converter) Gigabit Ethernet utilisant des transmetteurs remplaçables à chaud. Le module 5000-8G fournit des capacités de pare-feu jusqu’à 4 Gbits/s et des capacités de VPN (réseau privé virtuel) jusqu’à 2 Gbits/s. Ce module est également capable de prendre en charge un total de quatre interfaces agrégées.

(Pour obtenir des informations sur la connexion ou le retrait d’un transmetteur miniGBIC, ainsi que sur la connexion et la déconnexion d’un câble Gigabit Ethernet, reportezvous au chapitre 4, Entretien de l’unité.)

Le module 5000-8G fournit des DEL d’activité et de liaison (Link) des ports, en plus des DEL d’alimentation (Power) et d’état (Status).

DEL

d’alimentation

(Power)

DEL d’état

(Status)

DEL de

liaison

(Link)

DEL d'émission/

de réception

Huit ports miniGBIC 1 gigabit

62 Manuel de l’utilisateur

Modules NetScreen-5000

SPM 5000-2G24FE

Le module de ports sécurisés (SPM) 5000-2G24FE déploie deux ports Ethernet à 1 gigabit et 24 ports FE avec des capacités de pare-feu jusqu’à 2 Gbits/s et de traitement VPN jusqu’à 1 Gbits/s. Ce module est également capable de prendre en charge un total de six interfaces agrégées. Ce total peut se décomposer ainsi : une interface agrégée pour les deux ports à 1 Gigabit et cinq interfaces agrégées pour les 24 ports Ethernet 10/100. Seuls les ports semblables peuvent être agrégés les uns aux autres. Vous ne pouvez pas agréger un port Gigabit à un port FE 10/100.

Le module 5000-2G24FE fournit des DEL d’activité et de liaison (Link) des ports, en plus des DEL d’alimentation (Power) et d’état (Status).

Les transmetteurs mini-GBIC sont remplaçables à chaud. Pour obtenir des informations sur la connexion ou le retrait d’un transmetteur mini-GBIC, ou sur la connexion et la déconnexion d’un câble Gigabit Ethernet, reportez-vous au chapitre 4, Entretien de

l’unité.

DEL d’alimentation

(Power)

DEL d’état

(Status)

DEL de

liaison (Link)

Deux ports

GBIC à 1

Gigabit

Ports RJ-45 Ethernet

DEL d'émission/

de réception

Série de produits NetScreen-5000 63

Chapitre 1 Présentation générale

64 Manuel de l’utilisateur

Chapitre 2

Installation de l’unité

Dans ce chapitre, vous trouverez la description de la procédure d’installation d’une unité de la série NetScreen-5000 dans une baie de matériel ou sur un bureau, ainsi que la procédure de configuration de cette unité sur un réseau. Les sujets abordés dans ce chapitre sont les suivants :

• « Instructions d’installation générales », page 66

• « Instructions d’installation de la baie de équipement », page 66

• « Montage de l’unité de la série NetScreen-5000 », page 67

– « Montage avant et arrière de l’unité NetScreen-5200 », page 67 – « Montage à mi-hauteur de l’unité NetScreen-5200 », page 68 – « Montage frontal de l’unité NetScreen-5400 », page 68

• « Installation et connexion du bloc d'alimentation CA », page 69

• « Installation et raccordement d’un bloc d’alimentation CD », page 69

• « Établissement d’une connexion HA », page 71

• « Connexion de l’unité de la série NetScreen-5000 à un routeur ou à un

commutateur », page 71

Série de produits NetScreen-5000 65

Chapitre 2 Installation de l’unité

NSTRUCTIONS D’INSTALLATION GÉNÉRALES

Afin de prévenir toute blessure corporelle et d’éviter toute défaillance et panne du matériel, respectez les précautions suivantes.

• Ne partez jamais du principe que le bloc d’alimentation est déconnecté de sa source d’alimentation. Vous devez systématiquement vérifier que tel est le cas.

• La température ambiante qui règne dans la pièce où est installée l’unité de la série NetScreen-5000 peut ne pas être adéquate pour maintenir le matériel à des températures acceptables. Vérifiez si cette pièce dispose d’un système d’aération approprié.

• N’intervenez pas seul si des conditions potentiellement dangereuses existent.

• Repérez avec soin tous les risques que peut présenter votre zone d’intervention

(par exemple, un sol humide, un câble d’extension électrique non mis à la terre, des câbles dénudés et l’absence de terre de sécurité).

Important : bien que l’unité de la série NetScreen-5000 puisse fonctionner sur un bureau,

NetScreen vous déconseille une telle installation.

Avertissement : pour empêcher tout abus ou toute intrusion de personnes non autorisées,

il est extrêmement important d’installer l’unité NetScreen dans un environnement qui peut être fermé à clé.

NSTRUCTIONS D’INSTALLATION DE LA BAIE DE ÉQUIPEMENT

L’emplacement du châssis et la configuration de votre baie de matériel ou de votre local électrique sont cruciaux pour le bon fonctionnement du système.

Lorsque vous configurez votre baie de matériel, respectez les instructions suivantes.

• Les baies fermées doivent bénéficier d’un système de ventilation approprié. Une baie fermée doit disposer de fentes sur les côtés, ainsi que d’un ventilateur comme système de refroidissement.

Lorsque vous montez un châssis dans une baie ouverte, Vérifiez si le cadre de la

•

baie n’obstrue pas les orifices d’entrée et d’échappement de l’air. Si vous installez le châssis sur des glissières, vérifiez son positionnement une fois qu’il est complètement installé dans la baie.

Dans une baie fermée avec système d’aération par ventilation en haut, le matériel

•

placé en haut de la baie peut « aspirer » la chaleur des dispositifs situés plus bas. Fournissez toujours l’aération adéquate pour le matériel au bas de la baie.

Des déflecteurs peuvent isoler l’air sortant de l’air entrant. Le meilleur

•

positionnement des déflecteurs dépend des circuits de cheminement de l’air dans la baie.

Vous pouvez monter cette unité dans une baie de matériel standard 19 pouces. Le montage en baie nécessite les outils suivants :

• Un tournevis cruciforme

• Des vis compatibles pour le montage en baie

• Le kit de montage pour glissière arrière (pour la méthode de montage avant et

arrière) fourni avec l’unité NetScreen-5200

• Les supports de fixation avant

66 Manuel de l’utilisateur

Montage de l’unité de la série NetScreen-5000

Vous avez deux possibilités pour monter l’unité NetScreen-5200 en baie :

• Montage avant et arrière

• Montage à mi-hauteur

Remarque : Juniper Networks vous recommande vivement d’adopter la configuration de

montage avant et arrière pour l’unité NetScreen-5200.

Seule l’unité NetScreen-5400 peut être montée frontalement.

ONTAGE DE L’UNITÉ DE LA SÉRIE NETSCREEN

Les sections suivantes décrivent comment monter l’unité de la série NetScreen-5000 en baie.

-5000

Montage avant et arrière de l’unité NetScreen-5200

Pour monter l’unité NetScreen-5200 avec une prise en charge à partir de l’avant et de l'arrière, il vous faut quatre boulons ajustés, un tournevis cruciforme, le kit de montage à glissière arrière et des supports de fixation.

Pour monter l’unité NetScreen-5200 :

1. Vissez les supports de fixation arrière sur les montants arrière de la baie.

2. Vissez chaque glissière, avec la rainure crantée tournée vers l’extérieur, au milieu de chacun des côtés du châssis.

3. Faites glisser les glissières dans les supports de fixation arrière, puis poussez l’unité NetScreen-5200 vers l’avant jusqu’à ce que les supports de fixation gauche et droit entrent en contact avec les montants avant de la baie, comme l’indique la figure ci-dessous.

4. Vissez les supports de fixation gauche et droit sur la baie.

Série de produits NetScreen-5000 67

Chapitre 2 Installation de l’unité

Montage à mi-hauteur de l’unité NetScreen-5200

Pour monter à mi-hauteur l’unité NetScreen-5200, il vous faut quatre boulons ajustés, un tournevis cruciforme et des supports de fixation.

Pour monter à mi-hauteur l’unité NetScreen-5200 :

1. Vissez les supports de fixation droit et gauche au milieu de chacun des côtés du châssis, comme l’indique la figure ci-dessous.

2. Vissez les supports de fixation gauche et droit sur la baie.

Montage frontal de l’unité NetScreen-5400

Pour monter frontalement l’unité NetScreen-5400, il vous faut quatre boulons ajustés, un tournevis cruciforme et des supports de fixation.

Pour monter frontalement l’unité :

1. Vissez le support de fixation avant sur le devant du châssis, comme l’indique la figure ci-dessous.

2. Vissez les supports de fixation gauche et droit sur la baie.

68 Manuel de l’utilisateur

Installation et connexion du bloc d'alimentation CA

NSTALLATION ET CONNEXION DU BLOC D'ALIMENTATION

Pour installer et connecter le bloc d’alimentation courant alternatif à l’unité de la série NetScreen-5000 :

1. Sur l’unité NetScreen-5200, faites glisser le bloc d’alimentation dans l’un des compartiments d’alimentation à l’arrière du système.

Sur l’unité NetScreen-5400, faites glisser le bloc d’alimentation dans l’un des compartiments d’alimentation à l’avant du système.

2. Raccordez le bloc d’alimentation au système en serrant les vis coudées dans les œillets sur les côtés du bloc d’alimentation.

3. Pour installer deux blocs d’alimentation dans l’unité NetScreen-5200 ou trois dans l’unité NetScreen-5400, effectuez de nouveau les étapes 1 et 2 pour chaque bloc d’alimentation à installer.

4. Reliez l’extrémité femelle du câble d’alimentation standard au connecteur mâle à l’arrière de chaque bloc d’alimentation.

5. Branchez chaque câble d’alimentation sur une prise standard 100/240 Volt.

Remarque : chaque fois que vous déployez au moins deux blocs d’alimentation

sur une unité de la série NetScreen-5000, branchez chacun d’entre eux sur une source électrique différente. Chaque bloc d’alimentation est destiné à recevoir son alimentation électrique à partir de différentes sources.

6. Mettez les interrupteurs sur leur position de marche.

Remarque : si vous utilisez plusieurs blocs d’alimentation avec l’unité de la série

NetScreen-5000 et que l’un d’entre eux est éteint, la DEL d’alarme (Alarm) du module de gestion s’allume (lumière rouge). Cette alarme indique que si vous voulez obtenir une stabilité maximale du système, alors tous les blocs d’alimentation installés doivent être opérationnels.

NSTALLATION ET RACCORDEMENT D’UN BLOC

D’ALIMENTATION

Pour installer et connecter le bloc d’alimentation CD à l’unité de la série NetScreen-5000 :

1. Sur l’unité NetScreen-5200, faites glisser le bloc d’alimentation dans l’un des compartiments d’alimentation à l’arrière du système.

Sur l’unité NetScreen-5400, faites glisser le bloc d’alimentation dans l’un des compartiments d’alimentation à l’avant du système.

2. Raccordez le bloc d’alimentation au système en serrant les vis coudées dans les œillets sur les côtés du bloc d’alimentation.

Série de produits NetScreen-5000 69

Chapitre 2 Installation de l’unité

Le bloc d’alimentation CD, l’interrupteur, la vis de mise à la terre et les borniers sont situés sur la façade avant de l’unité du bloc d’alimentation.

DEL

d’alimen-

tation

(Power)

-48 V -48 V COM

Interrupteur

Vis de serrage

à main

Borniers CD

Vis de mise

à la terre

Avertissement : avant de connecter les câbles aux blocs d’alimentation, vous devez couper

le courant dans les câbles d’alimentation CD. Assurez-vous également que l’interrupteur est sur sa position d’arrêt.

Pour connecter le bloc d’alimentation CD à un point de mise à la terre sur votre site :

1. Retirez l’écrou hexagonal de la vis de mise à la terre.

2. Passez l’œillet du câble de mise à la terre sur la vis et resserrez correctement l’écrou hexagonal.

3. Connectez l’autre extrémité du câble de mise à la terre à un point de mise à la terre sur votre site.

Pour connecter les borniers à une alimentation CD :

1. Desserrez les vis de fixation sur chaque bornier.

2. Insérez le câble de retour (tension positive) CD à 0 V dans le connecteur COM central et le câble d’alimentation électrique CD à -48 V dans le connecteur gauche ou droit.

3. Resserrez les vis sur les connecteurs.

4. Mettez les interrupteurs sur leur position de marche.

Remarque : si vous utilisez plusieurs blocs d’alimentation avec l’unité de la série

NetScreen-5000 et que l’un d’entre eux est éteint, la DEL d’alarme (Alarm) du module de gestion s’allume (lumière fixe rouge). Cette alarme indique que si vous voulez obtenir une stabilité maximale du système, alors tous les blocs d’alimentation installés doivent être opérationnels.

70 Manuel de l’utilisateur

TABLISSEMENT D’UNE CONNEXION

Pour éviter une interruption du flux de trafic en cas d’une défaillance du système, vous pouvez brancher et configurer deux unités NetScreen en une grappe redondante : l’une des unités agit en tant que maître et l’autre en tant que sa sauvegarde. Le maître propage l’ensemble de ses informations de réseau, de configuration et de session vers la sauvegarde. Si le maître tombe en panne, la sauvegarde est « promue » en tant que maître et prend en charge le traitement du trafic.

Pour connecter physiquement les unités maître et de sauvegarde, les modules de gestion 5000-M et 5000-M2 sont dotés d’une paire de ports HA (High Availability - haute disponibilité). Pour connecter les unités de la série NetScreen-5000, vous pouvez utiliser le câble mini-GBIC Gigabit Ethernet fourni. Utilisez ce câble pour connecter le port HA1 de l’un des systèmes au port HA1 de l’autre système. Vous ne pouvez pas relier les ports HA du module de gestion 5000-M aux ports HA du module 5000-M2. Par contre, vous pouvez connecter entre eux les ports HA des modules de gestion d’un même type. Par exemple, vous pouvez connecter un module de gestion 5000-M à un autre module de gestion 5000-M.

Pour obtenir des informations sur le paramétrage des configurations HA, reportez-vous au manuel NetScreen Concepts & Examples ScreenOS Reference Guide.

Établissement d’une connexion HA

ONNEXION DE L’UNITÉ DE LA SÉRIE NETSCREEN

ROUTEUR OU À UN COMMUTATEUR

Vous pouvez établir une connexion ultra-rapide avec un routeur ou un commutateur, et obtenir des fonctions de pare-feu et de sécurité générale pour votre réseau, en connectant un module de ports sécurisés (SPM) à une dorsale de fibre optique ou de fil de cuivre. Il existe deux manières de créer cette connexion :

• À l’aide d’un câble en fibre optique, connectez l’un des ports mini-GBIC au routeur (ou au commutateur).

• À l’aide d’un câble UTP (Unshielded Twisted Pair - paire torsadée non blindée) CAT. 5, connectez le port FE au routeur (ou au commutateur).

-5000 À UN

Série de produits NetScreen-5000 71

Chapitre 2 Installation de l’unité

72 Manuel de l’utilisateur

Chapitre 3

Configuration de l’unité

Dans ce chapitre, vous trouverez la description de l’exécution de la configuration initiale sur une unité de la série NetScreen-5000, une fois que vous l’avez montée en baie ou installée sur un bureau, et que vous avez branché les câbles nécessaires et mis le système sous tension. Les sujets abordés dans ce chapitre sont les suivants :

• « Modes de fonctionnement », page 74

– « Mode Transparent », page 74 – « Mode Route », page 74

• « Interfaces NetScreen-5000 », page 75

– « Interfaces NetScreen-5200 », page 75 – « Interfaces NetScreen-5400 », page 76 – « Interfaces configurables », page 76

• « Exécution de la connexion et de la configuration initiales », page 77

– « Établissement d’une connexion d’émulateur de terminal », page 77 – « Mise à niveau du micrologiciel au cours du processus de démarrage »,

page 78

– « Modification de votre nom et de votre mot de passe d’administrateur »,

page 79

– « Configuration des adresses IP de port et d’interface », page 79

• « Configuration de l’unité pour les sessions Telnet et d’interface utilisateur

Web », page 81

– « Démarrage d’une session de console à l’aide de Telnet », page 81 – « Démarrage d’une session de console à l’aide d’un appel commuté »,

page 82

– « Établissement d’une session de gestion d’interface utilisateur

graphique », page 82

• « Configuration de l’alarme de châssis », page 83

• « Configuration d’interfaces agrégées », page 84

• « Utilisation des commandes d’interface de ligne de commande pour réinitialiser

l’unité », page 85

Remarque : pour que certains services ScreenOS (le service de signatures Deep Inspection,

par exemple) puissent être activés sur l’unité, vous devez enregistrer votre produit sur le site

www.netscreen.com/cso

l’interface utilisateur Web ou l’interface de ligne de commande pour obtenir un abonnement au service de votre choix. Pour plus d'informations sur l’enregistrement de votre produit et votre abonnement à des services spécifiques, reportez-vous au chapitre « System Parameters » du manuel NetScreen Concepts & Examples ScreenOS Reference Guide.

Série de produits NetScreen-5000 73

(pages en anglais). Une fois votre produit enregistré, utilisez

Chapitre 3 Configuration de l’unité

ODES DE FONCTIONNEMENT

Les unités de la série NetScreen-5000 prennent en charge deux modes de fonctionnement : le mode Transparent et le mode Route. Le mode par défaut est « Route ».

Mode Transparent

En mode Transparent, chaque unité de la série NetScreen-5000 fonctionne en tant que pont au niveau de la couche Liaison des données (couche 2). Étant donné que l’unité ne peut pas traduire les adresses IP des paquets, elle ne peut pas exécuter les services NAT (Network Address Translation - traduction d'adresse de réseau). Par conséquent, pour que l’unité puisse accéder à Internet, chacune des adresses IP présentes sur vos réseaux (locaux) sécurisés doit être routable et accessible à partir des réseaux (externes) non sécurisés.

En mode transparent, les adresses IP pour les zones Trust et Untrust au niveau de la couche 2 sont du type 0.0.0.0. Par conséquent, l’unité de la série NetScreen-5000 est invisible sur le réseau. Toutefois, l’unité peut toujours exécuter des fonctions de pare-feu, de VPN et de gestion du trafic conformément aux règles de sécurité configurées.

Mode Route

En mode Route, les unités de la série NetScreen-5000 fonctionnent au niveau de la couche 3 (couche réseau). Étant donné que vous pouvez configurer chaque interface à l’aide d’une adresse IP et d’un masque de sous-réseau, vous pouvez configurer des interfaces individuelles pour exécuter les services NAT.

• Lorsque l’interface exécute des services NAT, l’unité de la série NetScreen-5000 traduit l'adresse IP source de chaque paquet sortant en une adresse IP de l’interface Untrusted. Elle remplace également le numéro du port source par une valeur générée de manière aléatoire.

• Lorsque l’interface n’exécute pas des services NAT, l’adresse IP et le numéro de port source restent tels quels dans chaque en-tête de paquet. Par conséquent, pour accéder à Internet, vos hôtes locaux doivent être dotés d’adresses IP routables.

Pour plus d’informations sur les services NAT, reportez-vous au manuel NetScreen Concepts & Examples ScreenOS Reference Guide.

74 Manuel de l’utilisateur

NTERFACES NETSCREEN

Sur les unités de la série NetScreen-5000, chaque module de ports sécurisés (SPM) propose 8 ou 26 ports Ethernet physiques. Chacun de ces ports peut être utilisé en tant qu’interface physique. En outre, vous pouvez configurer les ports Ethernet pour qu’ils hébergent plusieurs interfaces (logiques) virtuelles.

-5000

Interfaces NetScreen-5200

L’unité NetScreen-5200 ci-dessous contient un module de gestion (dans le connecteur 1) et un SPM 5000-8G (dans le connecteur 2). Vous pouvez utiliser un module de gestion 5000-M ou 5000-M2 dans le connecteur 1.

Interfaces NetScreen-5000

DEL d’état (Status) et

d’alimentation (Power)

ethernet2/1

ethernet2/2

ethernet2/3

ethernet2/4

Port ModemPort Console

ethernet2/5

ethernet2/6

ethernet2/7

ethernet2/8

Port de gestion

(MGT)

Ports HA

Série de produits NetScreen-5000 75

Chapitre 3 Configuration de l’unité

Interfaces NetScreen-5400

Une unité NetScreen-5400 contient un module de gestion (dans le connecteur 1) et jusqu’à trois SPM. Vous pouvez utiliser un module de gestion 5000-M ou 5000-M2 dans le connecteur 1. Sur la figure ci-dessous, l’unité contient trois SPM 5000-8G.

ethernet4/1

ethernet4/2

ethernet4/3

ethernet4/4

Port ModemPort Console

ethernet4/5

ethernet4/6

ethernet4/7

Port de gestion

(MGT)

Ports HA

SPM, connecteur 2

SPM, connecteur 3

SPM, connecteur 4

ethernet4/8

Interfaces configurables

Les interfaces configurables disponibles sur une unité de la série NetScreen-5000 sont les suivantes :

Type d’interface Description

Interfaces Ethernet ethernetn1/n2 spécifie l’interface Ethernet physique, suivie par un module

d’interface dans un connecteur (n1) et un port physique (n2) sur le module.

ethernetn1/n2.n3 spécifie une interface logique, suivie par un module d’interface dans un connecteur (n1), un port physique (n2) sur le module et un numéro d’interface logique (.n3). Pour créer des interfaces logiques, utilisez la commande set interface.

Interfaces de couche 2 vlan1 spécifie l’interface utilisée pour la gestion et le VPN lorsque l’unité

NetScreen est en mode transparent.

Interfaces tunnel tunnel.n spécifie une interface tunnel. Utilisez cette interface pour le trafic

VPN.

Interfaces fonction mgt spécifie une interface de gestion dédiée liée à la zone de gestion.

ha1 et ha2 spécifient les noms des ports HA dédiés.

76 Manuel de l’utilisateur

Exécution de la connexion et de la configuration initiales

XÉCUTION DE LA CONNEXION ET DE LA CONFIGURATION

INITIALES

Pour établir la première session de console avec l’unité de la série NetScreen-5000, utilisez un programme d’émulateur de terminal vt100 via le connecteur de port série RJ-45/DB-9 fourni.

Établissement d’une connexion d’émulateur de terminal

Pour établir une session de console initiale :

1. Branchez l’extrémité DB-9 du câble série RJ-45/DB-9 fourni sur le port série de votre poste de travail. (Assurez-vous que le connecteur DB-9 est enclenché correctement et qu’il est fixé par les vis.)

2. Branchez l’extrémité RJ-45 du câble sur le port Console de l’unité de la série NetScreen-5000. (Assurez-vous que le clip de verrouillage RJ-45 est correctement enclenché dans le port.)

3. Lancez une session d’interface de ligne de commande entre votre poste de travail et une unité de la série NetScreen-5000 en utilisant un programme d’émulation de terminaux en série standard, tel que Hilgraeve HyperTerminal (fourni avec le système d’exploitation Windows de Microsoft). Le paramétrage doit être le suivant :

• Débit (en bauds) : 9600

• Parité : no (non)

• Bits de données : 8

• Bit d’arrêt : 1

• Contrôle de flux : none (aucun)

4. À l’affichage de la fenêtre de HyperTerminal, appuyez sur la touche Entrée pour afficher l’invite de connexion.

5. À l’affichage de l’invite de connexion, saisissez netscreen.

6. À l’invite de mot de passe, saisissez netscreen.

Remarque : n’utilisez que des lettres minuscules. Le nom de connexion et le mot

de passe sont tous les deux sensibles à la casse.

7. (Facultatif) Par défaut, la session de la console arrive à expiration et s’arrête automatiquement après 10 minutes d’inactivité. Pour modifier l’intervalle de cette temporisation, exécutez la commande suivante :

set console timeout nombre

où nombre est la durée d’inactivité de la session en minutes avant l’arrêt de la session. Pour empêcher tout arrêt de session automatique, spécifiez la valeur 0.

Série de produits NetScreen-5000 77

Chapitre 3 Configuration de l’unité

Mise à niveau du micrologiciel au cours du processus de démarrage

1. Connectez votre ordinateur à l’unité de la série NetScreen-5000 : a. À l’aide d’un câble série, reliez le port série de votre ordinateur au port

Console de l’unité de la série NetScreen-5000. Grâce à cette connexion, associée à une application de terminal, vous pouvez gérer l’unité NetScreen.

b. À l’aide d’un câble Ethernet, reliez le port réseau de votre ordinateur au

port de gestion de l’unité de la série NetScreen-5000. Grâce à cette connexion, vous pouvez transférer des données entre l’ordinateur, le serveur TFTP et l’unité NetScreen.

2. Vérifiez que le dernier fichier image ScreenOS est stocké dans le répertoire du serveur TFTP sur votre ordinateur. Pour obtenir des informations sur l’obtention de ce nouveau micrologiciel, reportez-vous au manuel NetScreen Concepts & Examples ScreenOS Reference Guide.

3. Exécutez le serveur TFTP sur votre ordinateur en double-cliquant sur l’application du serveur TFTP. Vous pouvez réduire cette fenêtre, mais veillez à ce qu’elle reste active en arrière-plan.

4. Ouvrez une session sur l’unité de la série NetScreen-5000 à l’aide d’un émulateur de terminal, tel que HyperTerminal. Reportez-vous à la section « Établissement

d’une connexion d’émulateur de terminal », page 77. Ouvrez une session en tant

qu’administrateur-racine ou qu’administrateur avec des privilèges en lecture et en écriture.

5. Mettez l’unité de la série NetScreen-5000 sous tension ou redémarrez-la.

Surveillez l’écran de l’émulateur de terminal. Lorsque le message « Hit any key to run loader » (Appuyer sur une touche pour lancer le chargement) s’affiche, appuyez sur une touche du clavier de l’ordinateur pour interrompre le processus de démarrage.

Remarque : si vous n’interrompez pas l’unité de la série NetScreen-5000 à temps,

elle continue à charger le micrologiciel enregistré en mémoire Flash.

7. À l’invite « Boot File Name » (nom du fichier de démarrage), entrez le nom du fichier du micrologiciel ScreenOS à charger.

8. À l’invite « Self IP Address » (adresse IP de réponse), entrez l’adresse IP de l’unité de la série NetScreen-5000 utilisée pour communiquer avec le serveur TFTP.

9. À l’invite « TFTP IP Address » (adresse IP TFTP), entrez l’adresse IP du serveur TFTP.

Pour indiquer que le micrologiciel est chargé avec succès, la suite « rtatatatatata... » s’affiche en continu sur l’écran de l’émulateur de terminal, ainsi qu’une suite de symboles dans la fenêtre du serveur TFTP. Lorsque l’installation du micrologiciel est terminée, un message vous informe de la réussite de cette opération.

10. Répondez Yes (Oui) à la question suivante : « Program to on-board flash ([y]/n) » (Programmer en mémoire interne [o/n]).

En répondant « Yes » (Oui), vous enregistrez le micrologiciel installé en mémoire Flash.

11. Répondez Yes (Oui) à la question suivante : « Run downloaded program? ([y]/n) » (Exécuter le programme téléchargé ? [o/n]).

En répondant « Yes » (Oui), vous indiquez à l’unité de la série NetScreen-5000 qu’elle doit lancer l’exécution du nouveau micrologiciel ScreenOS.

78 Manuel de l’utilisateur

Exécution de la connexion et de la configuration initiales

Modification de votre nom et de votre mot de passe d’administrateur

Étant donné que tous les produits NetScreen utilisent le même nom et mot de passe d’administrateur (netscreen), nous vous recommandons vivement de les modifier immédiatement. Entrez les commandes suivantes :

set admin name chaîne_nom set admin password chaîne_motdepasse save

Pour obtenir des informations sur la création des différents niveaux des administrateurs, reportez-vous au manuel NetScreen Concepts & Examples ScreenOS Reference Guide.

Configuration des adresses IP de port et d’interface

À l’aide de l’interface de ligne de commande, vous pouvez exécuter des commandes qui définissent les valeurs d’adresse IP et de masque de sous-réseau pour la plupart des interfaces physiques.

Affichage des paramètres d’interface actuels

Pour lancer le processus de configuration, nous vous recommandons d’afficher les paramètres de port existants en exécutant la commande suivante :

get interface

Cette commande affiche les noms de port, les adresses IP et les adresses MAC actuels, ainsi que d’autres informations pratiques.

Configuration de l’adresse IP de l’interface de gestion

Les paramètres par défaut pour les adresses IP et le masque de sous-réseau pour l’interface de gestion sont 192.168.1.1 et 255.255.255.0, respectivement. Pour accéder à l’interface de gestion , vous devez modifier l’adresse IP et le masque de sous-réseau de l’interface de gestion pour qu’ils correspondent à votre réseau actuel. NetScreen vous recommande d’utiliser l’interface de gestion exclusivement pour la gestion hors bande.

Remarque : l’interface de gestion est présente sur les modules de gestion 5000-M ou

5000-M2, qui sont toujours dans le connecteur 1.

Pour définir l’adresse IP de l’interface de gestion :

1. Choisissez une adresse IP non utilisée au sein de la plage d’adresses actuelle de votre réseau local.

2. Paramétrez l’interface de gestion sur l’adresse IP non utilisée en exécutant la commande suivante :

set interface mgt ip adr_ip/masque

Série de produits NetScreen-5000 79

Chapitre 3 Configuration de l’unité

Par exemple, pour paramétrer l’adresse IP et le masque de sous-réseau de l’interface de gestion sur 10.100.2.183 et 16, respectivement, utilisez la commande suivante :

set interface mgt ip 10.100.2.183/16

3. Pour confirmer les nouveaux paramètres de port, exécutez la commande suivante :

get interface mgt

Configuration de l’adresse IP pour l’interface de la zone Trust

L’unité de la série NetScreen-5000 communique généralement avec votre réseau protégé via une interface liée à la zone Trust. Pour permettre à une interface de communiquer avec des dispositifs internes, vous devez lui assigner l’adresse IP et le masque de sousréseau de votre réseau protégé.

Pour configurer l’interface ethernet2/2 pour qu’elle communique avec votre réseau sécurisé :

1. Déterminez l’adresse IP et le masque de sous-réseau de votre réseau sécurisé.

2. Paramétrez l’interface ethernet2/2 sur la zone Trust en exécutant la commande suivante :

set interface ethernet2/2 zone trust

3. Définissez l’adresse IP et le masque de sous-réseau en exécutant la commande suivante :

set interface ethernet2/2 ip adr_ip/masque

où adr_ip est l’adresse IP et masque est le masque de sous-réseau. Par exemple, pour paramétrer l’adresse IP et le masque de sous-réseau de l’interface ethernet2/2 sur

10.250.2.1/16, utilisez la commande suivante :

set interface ethernet2/2 ip 10.250.2.1/16

4. (Facultatif) Pour confirmer les nouveaux paramètres de port, exécutez la commande suivante :

get interface ethernet2/2

Configuration de l’adresse IP pour l’interface de zone Untrust

L’unité de la série NetScreen-5000 communique généralement avec les dispositifs (non sécurisés) externes via une interface liée à la zone Untrust. Pour permettre à l’interface de communiquer avec les dispositifs externes, vous devez lui assigner une adresse IP publique.

Pour configurer l’interface ethernet2/3 pour qu’elle communique avec des dispositifs externes :

1. Choisissez une adresse IP publique et un masque de sous-réseau non utilisés.

2. Définissez l’interface ethernet2/3 sur la zone Untrust en exécutant la commande suivante :

set interface ethernet2/3 zone untrust

80 Manuel de l’utilisateur

Configuration de l’unité pour les sessions Telnet et d’interface utilisateur Web

3. Définissez l’adresse IP et le masque de sous-réseau en exécutant la commande suivante :

set interface ethernet2/3 ip adr_ip/masque

où adr_ip est l’adresse IP et masque est le masque de sous-réseau. Par exemple, pour paramétrer l’adresse IP et le masque de sous-réseau de l’interface ethernet2/3 sur 172.16.20.1/16, utilisez la commande suivante :

set interface ethernet2/3 ip 172.16.20.1/16

4. (Facultatif) Pour confirmer les nouveaux paramètres d’interface, exécutez la commande suivante :

get interface ethernet2/3

Autorisation du trafic sortant

Par défaut, l’unité de la série NetScreen-5000 n’autorise pas le trafic entrant ou sortant ; elle n’autorise pas non plus le trafic vers ou à partir du réseau DMZ. Pour autoriser (ou interdire) un trafic, vous devez créer des règles d’accès.

La commande de l’interface de ligne de commande suivante crée une règle d’accès qui autorise toute sorte de trafic entrant, à partir de tout hôte de votre réseau local sécurisé vers tout dispositif du réseau non sécurisé.

set policy from trust to untrust any any any permit

Enregistrez votre configuration de règle d’accès avec la commande suivante :

save

Important : votre réseau peut requérir une règle plus restrictive que celle créée dans

l’exemple précédent. Cet exemple n’est pas une exigence pour la configuration initiale. Pour obtenir des informations détaillées sur les règles d’accès, reportez-vous au manuel

NetScreen Concepts & Examples ScreenOS Reference Guide.

ONFIGURATION DE L’UNITÉ POUR LES SESSIONS TELNET ET

D’INTERFACE UTILISATEUR

Outre les programmes d’émulateur de terminal, vous pouvez utiliser Telnet (ou un appel commuté) pour établir des sessions de console avec l’unité de la série NetScreen-5000. De plus, vous pouvez lancer des sessions de gestion en utilisant l’interface utilisateur Web de NetScreen, une application de gestion d’interface utilisateur graphique basée sur le Web.

Démarrage d’une session de console à l’aide de Telnet

Pour établir une session Telnet avec une unité de la série NetScreen-5000 :

1. À l’aide d’un câble RJ-45, connectez l’interface de gestion au commutateur, routeur ou hub interne de votre réseau local.

2. Ouvrez une session Telnet, spécifiant l’adresse IP de l’interface de gestion actuelle. Par exemple, cliquez sur Démarrer > Exécuter, entrez telnet adr_ip (où adr_ip est l’adresse de l’interface de gestion), puis cliquez sur OK.

Série de produits NetScreen-5000 81

Chapitre 3 Configuration de l’unité

Par exemple, si l’interface de gestion est dotée de l’adresse entrez :

telnet

3. À l’invite du nom d’utilisateur, entrez votre nom d’utilisateur (par défaut, netscreen).

4. À l’invite du mot de passe, entrez votre mot de passe (par défaut, netscreen).

Remarque : n’utilisez que des lettres minuscules. Le nom d’utilisateur et le mot

de passe sont tous les deux sensibles à la casse.

5. (Facultatif) Par défaut, la session de la console arrive à expiration et s’arrête automatiquement après 10 minutes d’inactivité. Pour modifier l’intervalle de cette temporisation, exécutez la commande suivante :

set console timeout nombre

où nombre est la durée d’inactivité de la session en minutes avant l’arrêt de la session. Pour empêcher tout arrêt de session automatique, spécifiez la valeur 0.

10.100.2.183

Démarrage d’une session de console à l’aide d’un appel commuté

Chaque unité de la série NetScreen-5000 comporte un port Modem qui vous permet d’établir une session de console à distance à l’aide d’une connexion par appel commuté via un modem à 9 600 bps. La numérotation au niveau du modem établit une connexion à la console par appel commuté.

Remarque : le terminal pour les sessions par appel commuté doit être de type vt100. Par

exemple, dans Hilgraeve HyperTerminal (une application de terminal répandue), cliquez sur Connect (Connexion), sélectionnez Remote System (Système distant) dans le menu déroulant, puis sélectionnez vt100 dans le menu Term Type (Type de terminal).

Établissement d’une session de gestion d’interface utilisateur graphique

Pour accéder à l’unité de la série NetScreen-5000 avec une application de gestion de l’interface utilisateur Web :

1. Connectez votre ordinateur (ou votre hub de réseau local) à l’interface de gestion à l’aide d’un câble Ethernet de catégorie 5. (L’interface de gestion est présente sur les modules de gestion 5000-M ou 5000-M2, qui sont toujours dans le connecteur 1.)

2. Lancez votre navigateur, entrez l’adresse IP de l’interface de gestion dans le champ de l’URL, puis appuyez sur la touche Entrée.

82 Manuel de l’utilisateur

Configuration de l’alarme de châssis

Par exemple, si vous avez assigné à l’interface de gestion l’adresse IP

10.100.2.183

/16, entrez les informations suivantes :

http://10.100.2.183

Le logiciel de l’interface utilisateur Web de NetScreen affiche l’invite de connexion.

3. Entrez netscreen dans les deux champs de Admin Name (nom d’administrateur) et de Password (mot de passe), puis cliquez sur Login (Connexion). (N’utilisez que des lettres minuscules. Les champs du nom et du mot de passe de l’administrateur sont tous les deux sensibles à la casse.)

La fenêtre de l’application de l’interface utilisateur Web de NetScreen s’affiche.

ONFIGURATION DE L’ALARME DE CHÂSSIS

Grâce à l’unité de la série NetScreen-5000, vous pouvez configurer une alarme de châssis, qui est un avertissement sonore émis lorsqu’une défaillance du système ou un événement dangereux se produit. Pour déterminer les défaillances et les événements qui déclenchent l'alarme de châssis :

1. Configurez les alarmes sonores en exécutant la commande suivante :

set chassis audible-alarm chaîne

où chaîne peut être n’importe lequel des mots-clés suivants :

all Active toutes les alarmes de châssis.

battery L’alarme de châssis est émise en cas de panne de batterie.

fan-failed L’alarme de châssis est émise en cas de panne d’un ventilateur.

power-failed L’alarme de châssis est émise en cas d’une panne d’alimentation.

temperature L’alarme de châssis est émise lorsque la température sort de la plage

autorisée.

2. Une fois l’alarme configurée, nous vous recommandons d’afficher les informations d’environnement de l’alarme en exécutant la commande suivante :

get chassis

Série de produits NetScreen-5000 83

Chapitre 3 Configuration de l’unité

ONFIGURATION D’INTERFACES AGRÉGÉES

L’unité de la série NetScreen-5000 vous permet de combiner au moins deux ports physiques en un seul port virtuel. Ce port virtuel est connu en tant qu’interface agrégée. Seuls les modules de ports sécurisés (SPM) prennent en charge cette fonction.

• Sur un SPM 5000-8G, vous pouvez créer jusqu’à quatre interfaces agrégées.

• Sur un SPM 5000-2G24FE, vous pouvez créer jusqu’à cinq interfaces agrégées.

Le SPM 5000-8G ne prend en charge que certaines combinaisons de ports pour les interfaces agrégées. Par exemple, un SPM 5000-8G dans un connecteur 2 ne prend en charge que les combinaisons de ports suivantes :

• Ethernet2/1 et Ethernet2/2

• Ethernet2/3 et Ethernet2/4

• Ethernet2/5 et Ethernet2/6

• Ethernet2/7 et Ethernet2/8

Vous devez assigner l’un des noms suivants à l’interface agrégée : aggregate1, aggregate2, aggregate3 ou aggregate4.

Dans l’exemple suivant, vous associez deux ports mini-GBIC Gigabit Ethernet, chacun exécuté à 1 Gbit/s, dans une interface agrégée exécutée à 2 Gbits/s. L’interface agrégée est composée par les ports Ethernet 1 et 2 sur un SPM 5000-8G (dans le connecteur 2).

Pour créer l’interface agrégée :

1. (Facultatif) Pour afficher les ports physiques disponibles sur votre unité de la série NetScreen-5000 :

get interface

2. Pour créer un nom d’interface agrégée :

set interface chaîne zone nomdelazone

où chaîne est un nom d’interface autorisé (aggregate1, aggregate2, aggregate3 or aggregate4).

Par exemple, pour créer le nom d’interface agrégée aggregate1:

set interface aggregate1 zone nomdelazone

3. Pour assigner les ports ethernet2/1 et ethernet2/2 au nom d’interface aggregate1 :

set interface ethernet2/1 aggregate aggregate1 set interface ethernet2/2 aggregate aggregate1

4. (Facultatif) Pour afficher la liste mise à jour des ports, ainsi que des informations concernant la nouvelle interface agrégée :

get interface get interface aggregate1

84 Manuel de l’utilisateur

Utilisation des commandes d’interface de ligne de commande pour réinitialiser l’unité

Notez que la liste contient aggregate1, une interface agrégée composée de ethernet2/1 et de ethernet2/2. Cette interface agrégée est exécutée à un débit de 2 Gbits/s. Vous pouvez maintenant lier l'interface agrégée à une zone.

Remarque : comme pour la plupart des autres interfaces, vous devez assigner à

l’interface agrégée une adresse IP pour que les autres nœuds du réseau puissent y accéder.

TILISATION DES COMMANDES D’INTERFACE DE LIGNE DE

COMMANDE POUR RÉINITIALISER L’UNITÉ

Si vous perdez votre mot de passe d’administrateur, vous pouvez utiliser la procédure suivante pour rétablir les paramètres par défaut de l'unité de la série NetScreen-5000. Cela écrase les configurations existantes, mais restaure l’accès à l’unité.

Avertissement : la réinitialisation de l’unité de la série NetScreen-5000 supprimera tous

les paramètres de configuration existants ; les services de pare-feu et de VPN ne seront plus opérationnels.

Pour exécuter cette opération, vous devez effectuer une connexion de console, conformément à la section « Établissement d’une connexion d’émulateur de terminal »,

page 77.

Remarque : par défaut, la fonction de restauration de l’unité est activée. Vous pouvez la

désactiver en entrant la commande de l’interface de ligne de commande suivante : unset admin device-reset.

1. À l’invite de connexion, saisissez le numéro de série de l’unité de la série NetScreen-5000.

2. À l’invite du mot de passe, saisissez une nouvelle fois le numéro de série. Le message suivant s’affiche :

!!! Lost Password Reset !!! You have initiated a command to reset the device to factory defaults, clearing all current configuration, keys and settings. Would you like to continue? y/[n]

Réinitialisation du mot de passe oublié. Vous avez lancé la commande de rétablissement des paramètres par défaut définis en usine pour l’unité, ce qui effacera la totalité des configurations, touches et paramètres actuels. Voulez-vous continuer ? o/[n]

Série de produits NetScreen-5000 85

Chapitre 3 Configuration de l’unité

3. Appuyez sur la touche y. Le message suivant s’affiche :

Confirmer la réinitialisation du mot de passe oublié. Si vous continuez, l'intégralité de la configuration de l’unité sera effacée. En outre, un décompte permanent sera incrémenté pour indiquer que cette unité a été réinitialisée. C’est maintenant votre dernière possibilité pour annuler cette commande. Si vous continuez, la configuration par défaut définie en usine suivante sera rétablie pour l’unité : IP système : 192.168.1.1 ; nom d’utilisateur : netscreen ; mot de passe : netscreen. Voulez-vous continuer ? o/[n]

4. Appuyez sur la touche y pour réinitialiser l’unité. Vous pouvez maintenant ouvrir une session en utilisant netscreen en tant que

nom et mot de passe d’administrateur par défaut.

Remarque : une fois que vous avez réinitialisé et reconfiguré l’unité de la série

NetScreen-5000, nous vous conseillons de sauvegarder vos nouveaux paramètres de configuration. Comme solution en cas de perte de vos mots de passe, nous vous conseillons de sauvegarder une nouvelle configuration qui contient le mot de passe par défaut de NetScreen. Cela vous garantira une récupération rapide en cas de perte de la configuration. Nous vous conseillons de modifier le mot de passe du système le plus rapidement possible. Pour obtenir des informations détaillées sur les sauvegardes de configuration, reportez-vous à la section System

Parameters du manuel NetScreen Concepts & Examples ScreenOS Reference Guide.

86 Manuel de l’utilisateur

Chapitre 4

Entretien de l’unité

Dans ce chapitre, vous trouverez la description détaillée de l’entretien et de la maintenance de différents composants de votre unité de la série NetScreen-5000. Les sujets abordés dans ce chapitre sont les suivants :

• « Retrait et réinstallation des modules », page 88

• « Remplacement d’un bloc d’alimentation CC », page 88

• « Remplacement d’un bloc d’alimentation CA », page 89

• « Remplacement du bloc de ventilation », page 89

• « Connexion et déconnexion des câbles Gigabit Ethernet », page 90

• « Retrait et installation d’un transmetteur mini-GBIC », page 91

Série de produits NetScreen-5000 87

Chapitre 4 Entretien de l’unité

ETRAIT ET RÉINSTALLATION DES MODULES

Les modules de la série NetScreen-5000 sont préinstallés avant livraison, mais il se peut que vous deviez les retirer ou les réinstaller pour qu’ils répondent aux besoins de sécurité spécifiques de votre réseau.

Avertissement : avant de retirer ou d’installer un module de ports sécurisés (SPM) ou un

module de gestion, assurez-vous systématiquement que l’interrupteur du châssis est sur sa position d’arrêt.

Pour retirer un module d’une unité de la série NetScreen-5000 :

1. Dévissez les vis du module pour le retirer du châssis.

2. Faites pivoter les leviers de dégagement pour désenclencher le module du fond de panier.

3. Retirez la carte du module en la faisant glisser avec précaution hors du châssis.

Pour installer un module dans une unité de la série NetScreen-5000 :

1. Assurez-vous que le module est dans le bon sens (le dessus tourné vers le haut) et que les leviers de dégagement sont déployés.

2. Faites glisser le module dans le connecteur approprié du châssis, jusqu’à son enclenchement dans le fond de panier.

3. Pour fixer le module sur le châssis, refermez les leviers de dégagement en les poussant vers le centre du module.

4. Resserrez les vis à l’aide d’un tournevis cruciforme n° 2.

EMPLACEMENT D’UN BLOC D’ALIMENTATION

Avertissement : avant de remplacer un bloc d’alimentation, vous DEVEZ couper le

courant électrique dans les câbles d’alimentation CC du bloc d’alimentation. Assurez-vous également que l’interrupteur est sur sa position d’arrêt (sa moitié droite doit être abaissée).

Pour remplacer un bloc d’alimentation courant continu :

1. Éteignez le bloc d’alimentation.

2. Desserrez les vis de fixation du bornier.

3. Retirez les câbles d’alimentation.

4. Tournez la vis de serrage à main dans le sens inverse des aiguilles d’une montre pour libérer le bloc d’alimentation.

5. Soulevez le levier en le maintenant avec fermeté, puis retirez complètement le bloc d’alimentation en le tirant avec précaution.

6. Insérez le nouveau bloc d’alimentation dans la baie.

7. Fixez le bloc d’alimentation en resserrant la vis de serrage à main dans le sens des aiguilles d’une montre.

8. Reconnectez les câbles conformément à la section « Installation et raccordement

d’un bloc d’alimentation CD », page 69.

88 Manuel de l’utilisateur

Juniper Networks 5000 User Manual

Specifications and Main Features

Frequently Asked Questions

User Manual

Language Contents

Table of Contents

Preface

Overview

NetScreen-5200

NetScreen-5400

Power Supplies

NetScreen-5200 Power Recommendations

NetScreen-5400 Power Recommendations

The DC Power Supply

Fan Modules

The AC Power Supply

Management Modules

The 5000-M Management Module

The 5000-M2 Management Module

Secure Port Modules

The 5000-8G SPM

The 5000-2G24FE SPM

Installing the Device

Mounting the NetScreen-5000 Series

NetScreen-5200 Front and Rear Mount

NetScreen-5200 Mid-Mount

NetScreen-5400 Front Mount

Installing and Connecting the AC Power Supply

Establishing an HA Connection

Configuring the Device

Transparent Mode

Route Mode

The NetScreen-5000 Interfaces

NetScreen-5200 Interfaces

NetScreen-5400 Interfaces

Configurable Interfaces

Performing Initial Connection and Configuration

Establishing a Terminal Emulator Connection

Upgrading the Firmware During the Boot Process

Changing Your Admin Name and Password

Setting Port and Interface IP Addresses

Viewing Current Interface Settings

Setting the IP Address of the Management Interface

Setting the IP Address for the Trust Zone Interface

Setting the IP Address for the Untrust Zone Interface

Configuring the Device for Telnet and WebUI Sessions

Allowing Outbound Traffic

Starting a Console Session Using Telnet

Starting a Console Session Using Dialup

Establishing a GUI Management Session

Configuring the Chassis Alarm

Using CLI Commands to Reset the Device

Servicing the Device

Replacing an AC Power Supply

Removing and Installing a Mini-GBIC Transceiver

Specifications

Port Descriptions and LED Status

Index

Table des matières

Préface

Présentation générale

Unité NetScreen-5200

Unité NetScreen-5400

Blocs d’alimentation

Recommandations concernant l’alimentation électrique des unités NetScreen-5200

Recommandations concernant l’alimentation électrique des unités NetScreen-5400

Modules de ventilation

Bloc d’alimentation CA

Modules de gestion

Module de gestion 5000-M

Module de gestion 5000-M2

Modules de ports sécurisés

SPM 5000-8G

SPM 5000-2G24FE

Installation de l’unité

Montage de l’unité de la série NetScreen-5000

Montage avant et arrière de l’unité NetScreen-5200

Montage à mi-hauteur de l’unité NetScreen-5200

Montage frontal de l’unité NetScreen-5400

Installation et connexion du bloc d'alimentation CA