功能需求

在业务中断最短的情况下,堆叠主备防火墙从域间策略的软件版本升级至安全策略的软件版本。

配置步骤

1.将主设备上下行业务端口shutdown

[F5020]int range GigabitEthernet1/0/3 to GigabitEthernet1/0/6  GigabitEthernet2/0/3 to GigabitEthernet2/0/6  Route-Aggregation1

[F5020]shutdown

防火墙的冗余组功能切换生效,确认冗余组primary由Slot1(主设备)切换到Slot2(备设备),业务发生主备切换。

<F5020>dis redundancy group 

2.保存主设备配置

此时配置文件里主设备上除irf端口以外,其余端口全部shutdown,后续主设备升级重启完成后,端口仍然处于down状态,业务保留在备设备上,给手工回切业务至主框争取时间。从而可以手工操作shutdown备设备和undo shutdown主设备。

<F5020>save

3.确认业务正常后,手工断开irf线缆,使堆叠分裂。

确认用户会话在slot2(备设备)上:

<F5020>dis session table ipv4

现场拨掉Slot2备设备IRF堆叠线,对应接口为Ten-GigabitEthernet2/0/27,Ten-GigabitEthernet2/1/27。

4.重启Slot1主设备

重启前检查当前操作框为Slot1(主设备),指定启动文件。

<F5020>boot-loader file cfa0:/SECPATH5040F-CMW710-E9320P07.ipe slot 1 main

Verifying the file cfa0:/ SECPATH5040F-CMW710-E9320P07.ipe on slot 1...........Done.

H3C SecPath F5020 images in IPE:

  f5000fw-cmw710-boot-E9320P07.bin

  f5000fw-cmw710-system-E9320P07.bin

This command will set the main startup software images. Continue? [Y/N]:y

Add images to slot 1

……………………………………….

Do you want to delete cfa0:/ SECPATH5040F-CMW710-E9320P07.ipe now? [Y/N]:y

使用display boot-loader确认查看启动系统文件信息;display starup 确认查看启动配置文件信息,确认无误后进行reboot操作。此时提示保存配置,选择n,不保存

<F5020>dis boot-loader

Software images on slot 1:

Current software images:

  cfa0:/f5000fw-cmw710-boot-E9314.bin

  cfa0:/f5000fw-cmw710-system-E9314.bin

Main startup software images:

  cfa0:/f5000fw-cmw710-boot-E9320P07.bin

  cfa0:/f5000fw-cmw710-system-E9320P07.bin

Backup startup software images:

  None

<F5020>dis startup

MainBoard:

 Current startup saved-configuration file: cfa0:/startup.cfg

 Next main startup saved-configuration file: cfa0:/startup.cfg

 Next backup startup saved-configuration file: NULL

<F5020>reboot force

Start to check configuration with next startup configuration file, please wait.........DONE!

Current configuration may be lost after the reboot, save current configuration? [Y/N]:n

This command will reboot the device. Continue? [Y/N]:y

Now rebooting, please wait...

以新版本重启完成后然后确认版本信息

<DS-F5020-DMZ1>dis version

H3C Comware Software, Version 7.1.064, Ess 9320P07

Copyright (c) 2004-2017 New H3C Technologies Co., Ltd. All rights reserved.

查看Slot1(主设备)上冗余组状态为primary。Slot1(主设备)认为Slot2(备设备)不在位,track项均失效,Primary在Slot1(主设备)上。

<F5020>dis redundancy group

查看Slot2(备设备)上冗余组状态为primary。Slot2(备设备)认为Slot1(主设备)不在位,primary在Slot2(备设备)上。

<F5020>display redundancy group

域间策略转换为安全策略并重启

[F5020]security-policy switch-from object-policy startup.cfg security-startup.cfg

Configuration switching begins...

Object policies in the specified configuration file have been switched to security policies.

Reboot the device to make the configuration take effect. Reboot now? [Y/N]:y

 

重启完成后确认版本信息及安全策略配置

<F5020>dis version

H3C Comware Software, Version 7.1.064, Ess 9320P07

Copyright (c) 2004-2017 New H3C Technologies Co., Ltd. All rights reserved.

<F5020>display security-policy ip

5.操作接口

shutdown Slot2(备设备)上所有业务端口,undo shutdown Slot1(主设备)上所有业务端口:

#备设备

[F5020] int range GigabitEthernet1/0/3 to GigabitEthernet1/0/6

[F5020]shutdown

#主设备

[F5020] int range GigabitEthernet2/0/3 to GigabitEthernet2/0/6

[F5020]undo shutdown

#在主设备上查看相关会话

< F5020> dis session statistics summary

< F5020> dis session table ipv4

进行业务测试,若出现异常则采取回退方案进行回退操作。

6.重启备设备,与此同时恢复IRF堆叠线缆

重启前检查当前操作框为Slot2(备设备),指定启动文件。

<F5020>boot-loader file cfa0:/SECPATH5040F-CMW710-E9320P07.ipe slot 2 main

Verifying the file cfa0:/ SECPATH5040F-CMW710-E9320P07.ipe on slot 2...........Done.

H3C SecPath F5020 images in IPE:

  f5000fw-cmw710-boot-E9314.bin

  f5000fw-cmw710-system-E9314.bin

This command will set the main startup software images. Continue? [Y/N]:y

Add images to slot 2

……………………………………….

Do you want to delete cfa0:/SECPATH5040F-CMW710-E9320P07.ipe now? [Y/N]:y

将Slot 1(主设备)中的启动配置文件通过FTP拷贝至Slot2(备设备)中并指定为下次启动配置文件。

<F5020>startup saved-configuration security-startup.cfg

使用display boot-loader确认查看启动系统文件信息;display starup 确认查看启动配置文件信息,确认无误后重启备设备。此时提示保存配置,选择n,不保存

<F5020>dis boot-loader

Software images on slot 1:

Current software images:

  cfa0:/f5000fw-cmw710-boot-E9314.bin

  cfa0:/f5000fw-cmw710-system-E9314.bin

Main startup software images:

  cfa0:/f5000fw-cmw710-boot-E9320P07.bin

  cfa0:/f5000fw-cmw710-system-E9320P07.bin

Backup startup software images:

  None

<F5020>dis startup

MainBoard:

 Current startup saved-configuration file: cfa0:/startup.cfg

 Next main startup saved-configuration file: cfa0:/security-startup.cfg

 Next backup startup saved-configuration file: NULL

<F5020>reboot

Start to check configuration with next startup configuration file, please wait.........DONE!

Current configuration may be lost after the reboot, save current configuration? [Y/N]:n

This command will reboot the device. Continue? [Y/N]:y

Now rebooting, please wait...

此时立即连接备设备的堆叠线,对应接口为Ten-GigabitEthernet2/0/27,Ten-GigabitEthernet2/1/27。

重启完Slot2(备设备)时,确认Slot1(主设备)显示的冗余组信息与升级前一致。

[F5020]dis redundancy group

7.备设备重启结束后查看irf状态

<F5020>dis irf

MemberID    Role    Priority  CPU-Mac         Description

 *+1        Master  2         487a-da93-a626  ---

   2        Standby 1         487a-da93-a4dc  ---

--------------------------------------------------

 * indicates the device is the master.

 + indicates the device through which the user logs in.

 The bridge MAC of the IRF is: 487a-da93-a624

 Auto upgrade                : yes

 Mac persistent              : 6 min

 Domain ID                   : 3

8.保存配置,确认版本及相关配置

再次检查相关链路、冗余备份、会话、上下行路由等信息是否与升级前一致,确认业务是否正常,若有问题按照回退方案回退。若正常保存配置,至此完成IRF集群升级。

[F5020] int Route-Aggregation1

[F5020]un shutdown

[F5020]dis version

[F5020]save

应急预案:

升级期间如遇到不可预知的问题且短时间内无法定位或恢复时进行操作回退。回退方法为:重新指定下一次设备启动文件为升级前版本,并重启设备。操作完成后网络恢复到升级前的状态。

在Step5即slot1(主设备)升级完成后,在业务切换至slot1(主设备)后业务测试有异常,升级工作进入如下回退步骤:

接口操作

shutdown Slot1(主设备)上所有业务端口,undo shutdown Slot2(备设备)上所有业务端口:

指定主设备的旧启动系统文件和启动配置文件

使用display boot-loader确认查看启动系统文件信息;display starup 确认查看启动配置文件信息,确认无误后进行重启操作。提示保存配置时选择n,不保存

执行slot1(主设备)重启指令后恢复连接Slot2(备设备)IRF堆叠线,对应接口为Ten-GigabitEthernet2/0/27,Ten-GigabitEthernet2/1/27

恢复slot1主设备的上下行业务口,并保存配置,恢复至升级前状态。

若Slot1(主设备)与Slot2(备设备)升级都完成后出现业务不正常,需要按以下方式进行回退操作。

指定旧的启动文件和启动配置。

使用display boot-loader确认查看启动系统文件信息;display starup 确认查看启动配置文件信息,确认无误后进行重启操作。

<F5020>dis boot-loader

Software images on slot 1:

Current software images:

  cfa0:/f5000fw-cmw710-boot-E9320P07.bin

  cfa0:/f5000fw-cmw710-system-E9320P07.bin

Main startup software images:

  cfa0:/f5000fw-cmw710-boot- E9314.bin

  cfa0:/f5000fw-cmw710-system- E9314.bin

Backup startup software images:

  None

Software images on slot 2:

Current software images:

  cfa0:/f5000fw-cmw710-boot-E9320P07.bin

  cfa0:/f5000fw-cmw710-system-E9320P07.bin

Main startup software images:

  cfa0:/f5000fw-cmw710-boot- E9314.bin

  cfa0:/f5000fw-cmw710-system- E9314.bin

Backup startup software images:

  None

<F5020>dis startup

MainBoard:

 Current startup saved-configuration file: cfa0:/security-startup.cfg

 Next main startup saved-configuration file: cfa0:/startup.cfg

 Next backup startup saved-configuration file: NULL

<F5020>reboot

This command will reboot the device. Continue? [Y/N]:y

配置关键点及注意事项

序号

操作步骤

是否影响转发

业务中断时间

Step1

1.将主设备上的所有业务端口(不包括堆叠口)加入端口组,在端口组视图下执行shutdown命令。

2.测试业务是否正常,若异常则回退shutdown的操作。

<3S

Step2

在堆叠状态下保存配置。

0

Step3

断开堆叠链路使堆叠分裂。

0

Step4

升级主设备,升级完毕确认主设备工作正常。

0

Step5

1.将备设备和主设备上所有业务口(不包括堆叠口)分别加入端口组,shutdown备设备端口组,undo shutdown主设备上的端口组

注意:此时堆叠线路保持断开状态,

2. 测试业务是否正常,若异常刚按6进行回退。

<60S

Step6

升级备设备,备设备开始重启,立即连接堆叠线。

0

Step7

备设备重启完毕堆叠自动恢复,测试业务是否正常。

0

Step8

保存配置,查看版本及相关配置。

0

 

当升级单机时,执行reboot命令后首先会被询问是否保存当前配置,之后才会询问是否重启。在堆叠分裂的情况下,切勿执行保存配置的操作,所以第一次请输入N,第二次输入Y。

执行升级步骤第6步时,务必及时连接堆叠线。假如备框重启完毕未能加入主框的堆叠,则可能导致转发不通等异常。

 

案例信息

案例类型:典型配置
案例号:201804050003
创建时间:2018年4月5日
更新时间:2018年4月8日
发布时间:2018/4/8 19:03:32
文章密级:游客可见
有效期:长期有效
发布者:李超 [l11773]
点击次数:15853
评论平均得分:0
关键词:堆叠,域间策略版本,安全策略版本
产品线:安全产品
产品系列:
产品版本:
技术分类: 技术分类

常用操作
收藏