防火墙上下VRRP双机热备在不中断业务的情况下升级设备过程:
总体思路:
在部署了双机热备的网络环境中升级软件版本,需要遵循主要原则是Active设备和Standby设备分别升级,先升级Standby设备,然后再升级Active设备,在升级过程中必须关闭HRP功能
升级步骤:
升级版本前的准备:
- 检查当前版本软件,下载官方推荐版本镜像文件*.bin、补丁等。
- 当前业务模拟测试、业务测试报告,免责(三方授权问题)。
- 合理选择升级时间,降低业务风险性。
- 确保升级的时间使用供电系统稳定,另备冷机(型号、版本、配置一致)开VIP通道原厂服务。预约400工程师实时在线支持
- 记录当前业务的运行状况,便于和升级后的信息对比(路由表、安全策略、会话、系统统计信息等)。
- 保存和备份当前版本、补丁、授权文件、配置文件、策略、用户相关重要数据。
- 升级的版本提前上传到设备(正常通过web,命令行ftp、TFTP工具上传),Hash校验,查看文件是否出错。
- 编写升级方案和回退方案。
升级进行时处理:
- 先从备墙升级,undo hrp enable查看所有业务是否已经到主墙,同时物理拔除链路。
- 启动最新配置文件,保存。
- 重启设备后,查看版本、打最新补丁。接下来升级主墙,先把备墙重新接入网络中。
- 先关闭主墙hrp,再启动备墙hrp enable,查看流量是否都已经从备墙走,再断开主墙所有业务接口。
- 主墙启动最新配置文件,保存。重启。
- 检查版本、打最新补丁。接入网络中。
- 启动hrp,等待默认抢占60s后,查看当前状态信息、会话表等。
- save当前所有。
- 模拟故障测试是否OK
升级完成后的处理:
- 导出当前配置文件。
- 文件交接。
- 最后再测试一次业务。
双机热备中的一些问题
升级方式,下接sw一边vgmp管理组为active和standby,一边vgmp为initial和standby,这种情况有没有可能出现,怎么造成的?
有,负载均衡时,备防火墙取消VGMP组为ACTIVE的配置命令后会出现这种现象。
上下行路由器的情况下,升级过程中流量怎么切换?
路由器首先调整备墙OSPF cost值,保证当让备墙退出vgmp组时,ospf cost比主墙大。保证流量都还是走主。确保切换路由后,再undo hrp enable。这时候由于备墙上调整了ospf cost,流量还是走主。
需要升级主墙时,先把备设备接入网络中。调整主墙的ospf cost比现在的大。引流到备墙上。确保流量已经走备。敲undo hrp enable,升级备墙。
哪些故障会降低优先级?
接口故障:物理接口、VLAN、Eth-Trunk整个接口挂、IP-link或bfd都会导致vgmp优先级减2.
中低端防火墙VGMP优先级:主:65001 备:65000
高端防火墙:45001/45000 + 1000 板卡个数 + 2 n(CPU个数)
高危操作流程,如何申请研发保证?
申请VIP通道,预约400工程师实时在线支持,备冷机(型号规格、版本、当前配置一致。)
四种升级版本方式:
- Web方式:约15分钟。
- 命令行方式:约15分钟。
- U盘方式:约15分钟。
- BootRom方式:约20分钟。
- U盘、BootRom方式一般用于无法正常启动VRP文件。
为什么升级备防火墙的时候需要先打undo hrp enable?起到了什么作用?
- 离开VGMP备份组,关闭之后确保设备绝对离开了hrp的通信。
- 配置,主备模式下只允许在主设备上配置,而被设备只能配置基础信息(IP地址,接口zone划分、静态路由、动态路由等,安全策略不允许配置)
- 版本一致性,备机版本升级后与主机的版本存在不一致性,为避免因版本不一致产而导致的异常情况,需要关闭。
- 抢占,关闭HRP之后,上下将会以VRRP方式运行优先级为100,而启动VGMP的VRRP组优先级为120,避免了重启后可能给业务带来影响的隐患。
备墙升级成功,主墙的内容能不能同步给备墙,为什么?
不能,这个时候防火墙版本不统一。无法形成双机热备。
双机升级过程中是否有流量中断?
有。在升级主墙,把流量引导到备防火墙时,因为版本的不统一。主墙无法把session同步到备墙上,就会导致流量的中断。
防火墙接口虚MAC和实际MAC作业
当请求地址为虚IP地址时使用虚MAC。请求的为实际接口地址时,使用的是实际MAC地址。
如果做双机的时候又做了源nat,会有什么问题,该如何解决?
负载分担时,可能会导致翻译到同一地址,或者是同一个地址的同一个端口上。因为它们可以自己选择翻译的地址。有两种解决方法,第一种是写两个地址池,分别给不同的地址段来使用。负载分担时,会让一部分流量走左边,一部分走右边。也可以在防火墙上敲上命令一台hrp nat ports-segment primary另一台 hrp nat ports-segment secondary。