華三F090防火牆
- 0關注
- 0收藏,1517瀏覽
最佳答案
可以參考這個步驟:
M9000 在堆疊下升級要求丟包盡可能減少,可靠性高,中斷時間短,升級平滑,配置過度平滑。
操作說明 |
準備工作: |
備份防火牆配置 |
查看M9K兩台設備空間是否足夠,如果不足則刪除文件; |
使用TFTP\FTP功能將軟件包上傳至需升級的設備,並刪除.mdb 文件。 |
升級開始: |
斷開M9K-2防火牆的上下行鏈路,再斷開堆疊線路和MAD線路,讓其分裂成二台設備。 |
升級IRF備設備(M9K-2) |
確認待升級主控板已經處於正常狀態,不保存配置重啟進行軟件升級,升級完成後查看軟件版本。 |
斷開M9K-1上下聯鏈路,連接M9K-2的上下聯鏈路,檢查業務是否正常; |
測試正常後,進行下一步操作,按M9K-2的方法升級M9K-1。 |
斷開M9K-2上下聯鏈路,連接M9K-1的上下聯鏈路,檢查業務是否正常; |
恢複堆疊鏈路,此時M9K-2重啟,恢複M9K-2上下聯鏈路; |
|
待兩台M9K堆疊起來後,再次測試業務; |
記得在升級之前要把flash裏的.mdb文件刪除。
- 2025-07-11回答
- 評論(0)
- 舉報
-
(0)
兩台防火牆F1070組成IRF,做冗餘主備,並配置BFD MAD 進行分裂檢測。業務在deviceA上跑,若deviceA上下行鏈路故障,則切換到deviceB
先要求在業務中斷最短的情況下,堆疊主備防火牆從域間策略的軟件版本升級至安全策略的軟件版本
現有版本為 Release R9345P14
升級版本為 Release R9333P35
配置步驟
1 收集與備份:
<F1070>dir
<F1070>display version
<F1070>display irf
<F1070>display mad verbose
<F1070>save //ftp備份starup.cfg
2 查看剩餘空間,上傳升級版本,複製升級版本(主備),指定為下次啟動文件:
<F1070>dir
<F1070>dir slot1#flash:/
<F1070>dir slot2#flash:/
<F1070>delete //刪除多餘文件
<F1070>reset recycle-bin //清空回收站
ftp上傳版本文件
<F1070>copy flash:/ xxx.ipe slot1#flash:/
<F1070>copy flash:/ xxx.ipe slot2#flash:/
<F1070>boot-load file flash:/xxx.ipe slot 1 main //指定重啟加載版本文件
<F1070>boot-load file flash:/xxx.ipe slot 2 main
<F1070>display boot-loader
3 關閉MAD檢測口,shutdown主框的業務口,確認業務切換到備框, 業務測試正常後,保存配置(之後割接過程中不再保存配置):
[F1070]interface Route-Aggregation 3
[F1070-Route-Aggregation3]undo mad bfd enable
[F1070]int range g 1/0/6 to g 1/0/7
[F1070-if-range]shutdown
[F1070]save
[F1070]display redundancy group aaa
[F1070]display reth int reth 2
[F1070]dis reth int reth 2
4 斷開堆疊線路,建議通過拔線方式,使堆疊分裂;
<F1070>display irf
<F1070>display irf link
<F1070>display irf configuration
5 確認業務正常後,重啟主框:
[F1070]display redundancy group aaa
[F1070]display reth int reth 2
[F1070]display reth int reth 2
<F1070>reboot slot 1 (主框)
6 通過display system stable state確認主框板卡正常後,通過 security-policy switch-from object-policy startup.cfg xx.cfg實 現對象策略轉換為安全策略,再次重啟設備;
<F1070>display device
<F1070>display sys stable state
[F1070]security-policy switch-from object-policy startup.cfg security-startup.cfg
<F1070>reboot slot 1
7 通過display system stable state確認主框板卡正常後, shutdown 備框業務口,同時undo shutdown主框業務口,測試業務;
<F1070>display version
<F1070>display sys stable state
<F1070>display security-policy ip
[F1070]interface range g 2/0/6 to g 2/0/7 (備框)
[F1070-if-range]shutdown (備框)
[F1070]interface range g 1/0/6 to g 1/0/7 (主框)
[F1070-if-range]undo shutdown (主框)
[F1070]display redundancy group aaa
[F1070]display reth int reth 1
[F1070]display reth int reth 2
[sw1]ping 2.2.2.1
8 業務正常後,重啟備框。重啟過程中,恢複堆疊鏈路,備框重啟完成後,自動加入堆疊;
<F1070>reboot slot 2
注意:不要保存配置
<F1070>display device
<F1070>display irf
<F1070>display irf link
<F1070>display irf configuration
[F1070]display redundancy group aaa
[F1070]display reth int reth 1
[F1070]display reth int reth 2
9 測試業務正常後,恢複MAD線路,保存查看配置
[F1070]interface Route-Aggregation 3
[F1070-Route-Aggregation3]mad bfd enable
[F1070-Route-Aggregation3]mad ip add 192.168.2.1 24 member 1
[F1070-Route-Aggregation3]mad ip add 192.168.2.2 24 member 2
[F1070-Route-Aggregation3]quit
[F1070]display mad verbose
[F1070]save
<F1070>display version
實驗數據與結果
查看剩餘空間
<F1070>dir
1048576 KB total (745584 KB free)
<F1070>dir slot1#flash:/
1048576 KB total (745584 KB free)
<F1070>dir slot2#flash:/
1048576 KB total (735772 KB free)
查看版本文件
<F1070>dis boot-loader
Software images on slot 1:
Current software images:
flash:/f1000fw-cmw710-boot-R9345P14.bin
flash:/f1000fw-cmw710-system-R9345P14.bin
Main startup software images:
flash:/f1000fw-cmw710-boot-R9333P35.bin
flash:/f1000fw-cmw710-system-R9333P35.bin
Backup startup software images:
None
Software images on slot 2:
Current software images:
flash:/f1000fw-cmw710-boot-R9345P14.bin
flash:/f1000fw-cmw710-system-R9345P14.bin
Main startup software images:
flash:/f1000fw-cmw710-boot-R9333P35.bin
flash:/f1000fw-cmw710-system-R9333P35.bin
Backup startup software images:
None
關閉主框業務,確認切換業務到備框
[F1070-if-range]dis redundancy group aaa
Redundancy group aaa (ID 2):
Node ID Slot Priority Status Track weight
1 Slot1 100 Secondary -255
2 Slot2 50 Primary 255
Preempt delay time remained : 0 sec
Preempt delay timer setting : 60 sec
Remaining hold-down time : 0 sec
Hold-down timer setting : 1 sec
Manual switchover request : No
Member interfaces:
Reth1 Reth2
Node 1:
Track info:
Track Status Reduced weight Interface
1 Negative 255 GE1/0/7
2 Negative(Faulty) 255 GE1/0/6
Node 2:
Track info:
Track Status Reduced weight Interface
3 Positive 255 GE2/0/7
4 Positive 255 GE2/0/6
[F1070-if-range]dis reth int reth 1
Reth1 :
Redundancy group : aaa
Member Physical status Forwarding status Presence status
GE1/0/7 DOWN(redundancy down) Inactive Normal
GE2/0/7 UP Active Normal
[F1070-if-range]dis reth int reth 2
Reth2 :
Redundancy group : aaa
Member Physical status Forwarding status Presence status
GE1/0/6 DOWN Inactive Normal
GE2/0/6 UP Active Normal
通過display system stable state確認主框板卡正常
<F1070>dis sys stable state
System state : Stable
Redundancy state : No redundance
Slot CPU Role State
1 0 Active Stable
通過display system stable state確認主框板卡正常後, shutdown
備框業務口,同時undo shutdown主框業務口,測試業務;
[F1070]dis redundancy group aaa
Redundancy group aaa (ID 1):
Node ID Slot Priority Status Track weight
1 Slot1 100 Primary 255
2 Slot2 50 Secondary 255
Member interfaces:
Reth1 Reth2
Node 1:
Track info:
Track Status Reduced weight Interface
1 Positive 255 GE1/0/7
2 Positive 255 GE1/0/6
Node 2:
Track info:
Track Status Reduced weight Interface
3 Positive 255 GE2/0/7
4 Positive 255 GE2/0/6
[F1070]dis reth int reth 1
Reth1 :
Redundancy group : aaa
Member Physical status Forwarding status Presence status
GE1/0/7 UP Active Normal
GE2/0/7 UP Inactive Normal
[F1070]dis reth int reth 2
Reth2 :
Redundancy group : aaa
Member Physical status Forwarding status Presence status
GE1/0/6 UP Active Normal
GE2/0/6 UP Inactive Normal
配置關鍵點
升級前準備:
升級過程中:
升級完成後:
細節補充:
1、為什麼拆堆疊升級前要關掉mad檢測
BFD來檢測網絡中是否存在多個IRF,IRF分裂後,通過分裂檢測機製IRF會檢測到網絡中存在其它處於正常工作狀態的IRF。對於LACP MAD和BFD MAD檢測,衝突處理會先比較兩個IRF中成員設備的數量,數量多的IRF繼續工作,數量少的遷移到Recovery狀態(即禁用狀態)。如果成員數量相等,則主設備成員編號小的IRF繼續工作,其它IRF遷移到Recovery狀態。這樣會使得備框遷移到Recovery狀態,主備框都無業務口運行,造成業務中斷
2、為什麼備框重啟前不要保存配置
更正:是堆疊分裂狀態下所有單框重啟時都不要保存配置:單框下重啟保存時都會丟失堆疊狀態下單獨配置在其他框的配置,再堆疊同步時就會丟失。堆疊斷裂前,保存配置,主備框配置都會保存在starup文件中,接著堆疊分裂狀態下單框重啟時一定不要保存配置,那樣最後堆疊重新啟動調用starup的時候就是正常的配置。
3、Reth 口mac地址是否相同,為什麼要相同
相同,在上、下行設備看來,與其連接的是以太網冗餘接口,學習到的是以太網冗餘接口的MAC地址。成員接口的激活狀態發生變化,不會影響上、下行設備
- 2025-07-26回答
- 評論(0)
- 舉報
-
(0)
暫無評論
編輯答案
親~登錄後才可以操作哦!
確定你的郵箱還未認證,請認證郵箱或綁定手機後進行當前操作
舉報
×
侵犯我的權益
×
侵犯了我企業的權益
×
- 1. 您舉報的內容是什麼?(請在郵件中列出您舉報的內容和鏈接地址)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
- 3. 是哪家企業?(營業執照,單位登記證明等證件)
- 4. 您與該企業的關係是?(您是企業法人或被授權人,需提供企業委托授權書)
抄襲了我的內容
×
原文鏈接或出處
誹謗我
×
- 1. 您舉報的內容以及侵犯了您什麼權益?(請在郵件中列出您舉報的內容、鏈接地址,並給出簡短的說明)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
對根叔社區有害的內容
×
不規範轉載
×
舉報說明
暫無評論