华为USG6650防火墙升级步骤.docx

防火墙升级报告 升级背景 核心防火墙usg6650web页面不能正常登录，telnet可以正常登录。经过咨询华为工程师于2014年8月27日成功定位故障原因：“认证进程挂死导致无法发送消息到AAA，telnet能够登录是由于配置了本地密码，不进行AAA认证 ”。 华为工程师给出的解决方法是将现有的软件版本V100R001C00SPC100升级到 V100R001C10SPC100 + SPH101。 经过协调研究防火墙升级工作定于2014年9月4日晚11点进行。 准备工作： 1:确认版本信息 当前版本是v100r001c00spc100 2:确认当前版本文件 当前版文件为suampua10v1r1c00spc1100.bin 3：准备工具与文件 设备：笔记本、配置线、u盘、usg5320 文件：HUAWEI USG6000系列 V100R001C10SPH101 补丁说明书 01 HUAWEI Secospace USG6000 V100R001C10SPC100 升级指导书 01 USG6000V100R001C10SPC100.bin USG6000V100R001C10SPH101 升级步骤： 一：备份cf卡所有文件并导入新版本的启动软件。 1：将u盘插入防火墙usb接口，出现udisk0: filesystem status is OK.提示时说明u盘挂载成功。 2014-09-03 21:23:02 HLJT-FW-6650 %%01MDEV/4/INFO(l): Mobile storage Disk udisk0: attached.Starting filesystem checking,don't pull out the device until the process finishes. 2014-09-03 21:23:07 HLJT-FW-6650 %%01MDEV/4/INFO(l): Mobile storage Disk udisk0: filesystem status is OK. 2：在系统试图下执行 “copy ?” 出现”udisk0:” 说明u盘可以正常使用 <HLJT-FW-6650>copy ? STRING<1-64> [drive][path][file name] hda1: Cfcard device name udisk0: USB device name#u盘正常识别# vdbfs: Hard disk device name 3：列出hda1：中的所有文件 <HLJT-FW-6650>dir 21:25:55 2014/09/03 Directory of hda1:/ 0 -rw- 119309177 Dec 20 2013 17:53:36 suampua10v1r1c00spc100.bin 1 -rw- 61 Sep 02 2014 16:34:56 private-data.txt 2 drw- - Dec 20 2013 18:03:32 isp 3 -rw- 163 Jun 14 2014 22:33:40 precheckinfo.txt 4 drw- - Dec 20 2013 18:04:24 umdb 5 -rw- 41121 Sep 02 2014 16:34:56 vrpcfg1.cfg 6 -rw- 2727936 Aug 10 2014 00:01:02 url_backup.sdb 7 -rw- 32768 Jun 14 2014 09:32:58 userinfo.db 8 -rw- 185 Jun 14 2014 10:32:58 ngepanic12_a.txt 9 -rw- 4874 Jun 20 2014 16:35:44 licsecospaceusg6600v100r001_2014062005ax60.dat 10 -rw- 132 Aug 10 2014 16:18:20 trace-cmd.sh-0.tar.gz 11 -rw- 82873 Aug 10 2014 16:18:20 trace-harddisk_recv.o-0.tar.gz 12 -rw- 142 Aug 10 2014 16:18:36 trace-diskscan.sh-0.tar.gz 13 -rw- 139 Aug 10 2014 16:18:20 trace-emergency.sh-0.tar.gz 14 -rw- 97079 Aug 10 2014 16:18:30 trace-daemon.out-0.tar.gz 15 -rw- 967 Aug 10 2014 16:18:36 trace-emergency.sh-1.tar.gz 16 -rw- 960 Aug 10 2014 16:18:36 trace-cmd.sh-1.tar.gz 17 -rw- 129 Aug 10 2014 16:18:36 trace-sh-0.tar.gz 18 -rw- 969 Aug 10 2014 16:18:36 trace-diskscan.sh-1.tar.gz 19 -rw- 0 Sep 03 2014 21:05:12 10.1.34.33.txtttt 20 -rw- 1048576 Sep 03 2014 21:25:00 usg6000v100r001c10spc100.bin ---- More ----[42D [42D 1200640 KB total (244544 KB free) 执行copy命令，将cf卡中的文件备份到u盘里 <HLJT-FW-6650>copy hda1:/ suampua10v1r1c00spc100.bin udisk0: 21:30:05 2014/09/03 Copy hda1:/ suampua10v1r1c00spc100.bin to udisk0:/ suampua10v1r1c00spc100.bin?[Y/N]:y When deciding whether to copy file hda1:/ suampua10v1r1c00spc100.bin to udisk0:/ suampua10v1r1c00spc100.bin, the user chose Y. 采用同样的方法，将其他的文件备份到u盘里。 4：执行copy命令 ，将u盘中的启动文件导入到设备cf卡的根目录#必须是根目录，否则会导致升级失败# <HLJT-FW-6650>copy udisk0:/usg6650-new/usg6000v100r001c10spc100.bin hda1:/ 21:30:05 2014/09/03 Copy udisk0:/usg6650-new/usg6000v100r001c10spc100.bin to hda1:/usg6000v100r001c10spc100.bin?[Y/N]:y When deciding whether to copy file udisk0:/usg6650-new/usg6000v100r001c10spc100.bin to hda1:/usg6000v100r001c10spc100.bin, the user chose Y. /\|/\|/\|/\|/\|/\|/\|/\ 1% complete|/\|/\|/\|/\|/\|/\|/\| 2% complete/\|/\|/\|/\|/\|/\|/\|/\ 3% complete|/\|/\|/\|/\|/\|/\|/\| …………………………………………… 97% complete/\|/\|/\|/\|/\|/\|/\|/ 98% complete\|/\|/\|/\|/\|/\|/\|/\| 99% complete/\|/\|/\|/\|/\|/\|/\|/ 100% complete Info:Copied file udisk0:/usg6650-new/usg6000v100r001c10spc100.bin to hda1:/usg6000v100r001c10spc100.bin...Done#新版本文件导入完成# 查看cf卡中的文件，确认导入成功 <HLJT-FW-6650>dir hda1:/ 21:30:37 2014/09/03 Directory of hda1:/ 0 -rw- 119309177 Dec 20 2013 17:53:36 suampua10v1r1c00spc100.bin 1 -rw- 61 Sep 02 2014 16:34:56 private-data.txt 2 drw- - Dec 20 2013 18:03:32 isp 3 -rw- 163 Jun 14 2014 22:33:40 precheckinfo.txt 4 drw- - Dec 20 2013 18:04:24 umdb 5 -rw- 41121 Sep 02 2014 16:34:56 vrpcfg1.cfg 6 -rw- 2727936 Aug 10 2014 00:01:02 url_backup.sdb 7 -rw- 32768 Jun 14 2014 09:32:58 userinfo.db 8 -rw- 185 Jun 14 2014 10:32:58 ngepanic12_a.txt 9 -rw- 4874 Jun 20 2014 16:35:44 licsecospaceusg6600v100r001_2014062005ax60.dat 10 -rw- 132 Aug 10 2014 16:18:20 trace-cmd.sh-0.tar.gz 11 -rw- 82873 Aug 10 2014 16:18:20 trace-harddisk_recv.o-0.tar.gz 12 -rw- 142 Aug 10 2014 16:18:36 trace-diskscan.sh-0.tar.gz 13 -rw- 139 Aug 10 2014 16:18:20 trace-emergency.sh-0.tar.gz 14 -rw- 97079 Aug 10 2014 16:18:30 trace-daemon.out-0.tar.gz 15 -rw- 967 Aug 10 2014 16:18:36 trace-emergency.sh-1.tar.gz 16 -rw- 960 Aug 10 2014 16:18:36 trace-cmd.sh-1.tar.gz 17 -rw- 129 Aug 10 2014 16:18:36 trace-sh-0.tar.gz 18 -rw- 969 Aug 10 2014 16:18:36 trace-diskscan.sh-1.tar.gz 19 -rw- 146516519 Sep 03 2014 21:30:26 usg6000v100r001c10spc100.bin #新的版本文件已经存在于cf卡的根目录# ---- More ----[42D [42D1200640 KB total (102464 KB free) ---- More ----[42D [42D 二：重启设备 1：确认设备的当前的配置文件、版本文件和下次启动时加载的配置文件、版本文件，如下图。 2：使用startup system-software命令指定下次启动时加载的版本文件，如下图。 3：升级前确定执行display startup 查看startup信息，如下图。 下次启动文件为新的版本文件 4：重启设备 设备正常重启 三：确认升级成功 1:设备重启完成查看版本 当前版本为新的软件版本 2:查看startup信息，以及其他硬件信息 所有硬件均正常加载 全部为新的版本软件 3:Web登录防火墙，检查各个业务状态均正常，防火墙升级成功。 四：升级过程过程中所遇到的问题 1：u盘不能被防火墙识别 最初进行防火墙数据备份与数据上传时发现好多u盘不能被防火墙识别，提示信息为挂载失败，更换多次u盘之后正常识别。经过查阅升级知道使用u盘时的注意事项如下： l 在U盘识别、读写过程中（即U盘上的指示灯闪烁时），不允许热插拔正使用的U盘， 否则可能会造成数据丢失、文件系统损坏、系统异常复位等严重后果。 l 插入U盘后，不要立即拔出。特别不要反复快速插拔，插拔的间隔时间最好在5s以 上。拔下后也不要立刻插入，要等5s后再插入。否则可能造成设备无法识别U盘。 l 通过U盘方式升级版本软件时，建议使用Netac U208型号的U盘，如果使用了非指定的U 盘，那么将会存在升级失败的风险。 2：业务版加载问题 设备重启大概需要时间为15分钟。设备重启之后业务版并不会马上加载成功，在设备启动之后大约需要5分钟业务版才能正常启动（与业务版多少也有关系，目前我公司两个业务版），此时要耐心等待不能对设备进行操作。 3：重启过之后发现lan区域的两个接口不能正常telnet 升级之后发现业务正常但是10.1.4.253 、10.1.14.253不能正常telent 、ping 。 经过排错，发现ospf正常，其他接口能正常telent ping。跟踪两个ip之后发现数据包到达防火墙之后直接匹配策略路由转发到了外网接口。 在第一条策略路由目的ip地址加入这两个地址之后恢复正常。