核心防火墙usg6650web页面不能正常登录,telnet可以正常登录。经过咨询华为工程师于2014827日成功定位故障原因:“认证进程挂死导致无法发送消息到AAAtelnet能够登录是由于配置了本地密码,不进行AAA认证”。

华为工程师给出的解决方法是将现有的软件版本V100R001C00SPC100升级到V100R001C10SPC100 + SPH101

经过协调研究防火墙升级工作定于201494日晚11点进行。

准备工作:

1:确认版本信息

huaweiUSG6650防火墙web故障_第1张图片

2:确认当前版本文件

当前版文件为suampua10v1r1c00spc1100.bin

huaweiUSG6650防火墙web故障_第2张图片

3:准备工具与文件

设备:笔记本、配置线、u盘、usg5320

文件:HUAWEI USG6000系列 V100R001C10SPH101 补丁说明书 01

      HUAWEI Secospace USG6000 V100R001C10SPC100 升级指导书 01

      USG6000V100R001C10SPC100.bin

      USG6000V100R001C10SPH101

 

升级步骤:

一:备份cf卡所有文件并导入新版本的启动软件。

1u盘插入防火墙usb接口,出现udisk0: filesystem status is OK.提示时说明u盘挂载成功。

2014-09-03 21:23:02 HLJT-FW-6650 %%01MDEV/4/INFO(l): Mobile storage Disk udisk0: attached.Starting filesystem checking,don't pull out the device until the process finishes.

2014-09-03 21:23:07 HLJT-FW-6650 %%01MDEV/4/INFO(l): Mobile storage Disk udisk0: filesystem status is OK.

2:在系统试图下执行 “copy ?” 出现”udisk0:” 说明u盘可以正常使用

copy ?

    STRING<1-64>  [drive][path][file name]

    hda1:         Cfcard device name

    udisk0:       USB device name#u盘正常识别#

vdbfs:        Hard disk device name

3:列出hda1:中的所有文件

dir

21:25:55  2014/09/03

Directory of hda1:/

   0   -rw- 119309177  Dec 20 2013 17:53:36   suampua10v1r1c00spc100.bin

   1   -rw-        61  Sep 02 2014 16:34:56   private-data.txt

   2   drw-         -  Dec 20 2013 18:03:32   isp

   3   -rw-       163  Jun 14 2014 22:33:40   precheckinfo.txt

   4   drw-         -  Dec 20 2013 18:04:24   umdb

   5   -rw-     41121  Sep 02 2014 16:34:56   vrpcfg1.cfg

   6   -rw-   2727936  Aug 10 2014 00:01:02   url_backup.sdb

   7   -rw-     32768  Jun 14 2014 09:32:58   userinfo.db

   8   -rw-       185  Jun 14 2014 10:32:58   ngepanic12_a.txt

   9   -rw-      4874  Jun 20 2014 16:35:44   licsecospaceusg6600v100r001_2014062005ax60.dat

   10  -rw-       132  Aug 10 2014 16:18:20   trace-cmd.sh-0.tar.gz

   11  -rw-     82873  Aug 10 2014 16:18:20   trace-harddisk_recv.o-0.tar.gz

   12  -rw-       142  Aug 10 2014 16:18:36   trace-diskscan.sh-0.tar.gz

   13  -rw-       139  Aug 10 2014 16:18:20   trace-emergency.sh-0.tar.gz

   14  -rw-     97079  Aug 10 2014 16:18:30   trace-daemon.out-0.tar.gz

   15  -rw-       967  Aug 10 2014 16:18:36   trace-emergency.sh-1.tar.gz

   16  -rw-       960  Aug 10 2014 16:18:36   trace-cmd.sh-1.tar.gz

   17  -rw-       129  Aug 10 2014 16:18:36   trace-sh-0.tar.gz

   18  -rw-       969  Aug 10 2014 16:18:36   trace-diskscan.sh-1.tar.gz

   19  -rw-         0  Sep 03 2014 21:05:12   10.1.34.33.txtttt

   20  -rw-   1048576  Sep 03 2014 21:25:00   usg6000v100r001c10spc100.bin

  ---- More ----[42D                                          [42D

1200640 KB total (244544 KB free)

执行copy命令,将cf卡中的文件备份到u盘里

copy  hda1:/ suampua10v1r1c00spc100.bin  udisk0:

21:30:05 2014/09/03

Copy hda1:/ suampua10v1r1c00spc100.bin to udisk0:/ suampua10v1r1c00spc100.bin?[Y/N]:y

When deciding whether to copy file hda1:/ suampua10v1r1c00spc100.bin to udisk0:/ suampua10v1r1c00spc100.bin, the user chose Y.

采用同样的方法,将其他的文件备份到u盘里

4:执行copy命令,将u盘中的启动文件导入到设备cf卡的根目录#必须是根目录,否则会导致升级失败#

copy udisk0:/usg6650-new/usg6000v100r001c10spc100.bin hda1:/

21:30:05  2014/09/03

Copy udisk0:/usg6650-new/usg6000v100r001c10spc100.bin to hda1:/usg6000v100r001c10spc100.bin?[Y/N]:y

When deciding whether to copy file udisk0:/usg6650-new/usg6000v100r001c10spc100.bin to hda1:/usg6000v100r001c10spc100.bin, the user chose Y.

/\|/\|/\|/\|/\|/\|/\|/\

  1%  complete|/\|/\|/\|/\|/\|/\|/\|

  2%  complete/\|/\|/\|/\|/\|/\|/\|/\

  3%  complete|/\|/\|/\|/\|/\|/\|/\|

  ……………………………………………

 97%  complete/\|/\|/\|/\|/\|/\|/\|/

 98%  complete\|/\|/\|/\|/\|/\|/\|/\|

 99%  complete/\|/\|/\|/\|/\|/\|/\|/

100%  complete

Info:Copied file udisk0:/usg6650-new/usg6000v100r001c10spc100.bin to hda1:/usg6000v100r001c10spc100.bin...Done#新版本文件导入完成#

查看cf卡中的文件,确认导入成功

dir hda1:/

21:30:37  2014/09/03

Directory of hda1:/

   0   -rw- 119309177  Dec 20 2013 17:53:36   suampua10v1r1c00spc100.bin

   1   -rw-        61  Sep 02 2014 16:34:56   private-data.txt

   2   drw-         -  Dec 20 2013 18:03:32   isp

   3   -rw-       163  Jun 14 2014 22:33:40   precheckinfo.txt

   4   drw-         -  Dec 20 2013 18:04:24   umdb

   5   -rw-     41121  Sep 02 2014 16:34:56   vrpcfg1.cfg

   6   -rw-   2727936  Aug 10 2014 00:01:02   url_backup.sdb

   7   -rw-     32768  Jun 14 2014 09:32:58   userinfo.db

   8   -rw-       185  Jun 14 2014 10:32:58   ngepanic12_a.txt

   9   -rw-      4874  Jun 20 2014 16:35:44   licsecospaceusg6600v100r001_2014062005ax60.dat

   10  -rw-       132  Aug 10 2014 16:18:20   trace-cmd.sh-0.tar.gz

   11  -rw-     82873  Aug 10 2014 16:18:20   trace-harddisk_recv.o-0.tar.gz

   12  -rw-       142  Aug 10 2014 16:18:36   trace-diskscan.sh-0.tar.gz

   13  -rw-       139  Aug 10 2014 16:18:20   trace-emergency.sh-0.tar.gz

   14  -rw-     97079  Aug 10 2014 16:18:30   trace-daemon.out-0.tar.gz

   15  -rw-       967  Aug 10 2014 16:18:36   trace-emergency.sh-1.tar.gz

   16  -rw-       960  Aug 10 2014 16:18:36   trace-cmd.sh-1.tar.gz

   17  -rw-       129  Aug 10 2014 16:18:36   trace-sh-0.tar.gz

   18  -rw-       969  Aug 10 2014 16:18:36   trace-diskscan.sh-1.tar.gz

   19  -rw- 146516519  Sep 03 2014 21:30:26   usg6000v100r001c10spc100.bin

   #新的版本文件已经存在于cf卡的根目录#

  ---- More ----[42D                                          [42D1200640 KB total (102464 KB free)

  ---- More ----[42D                                          [42D

 

二:重启设备

1:确认设备的当前的配置文件、版本文件和下次启动时加载的配置文件、版本文件,如下图。

huaweiUSG6650防火墙web故障_第3张图片

2:使用startup system-software命令指定下次启动时加载的版本文件,如下图。

huaweiUSG6650防火墙web故障_第4张图片

 

3:升级前确定执行display startup 查看startup信息,如下图。

huaweiUSG6650防火墙web故障_第5张图片 

4:重启设备

huaweiUSG6650防火墙web故障_第6张图片

  

 

三:确认升级成功

1:设备重启完成查看版本

huaweiUSG6650防火墙web故障_第7张图片

2:查看startup信息,以及其他硬件信息

huaweiUSG6650防火墙web故障_第8张图片

3:Web登录防火墙,检查各个业务状态均正常,防火墙升级成功。

huaweiUSG6650防火墙web故障_第9张图片

四:升级过程过程中所遇到的问题

1u盘不能被防火墙识别

   最初进行防火墙数据备份与数据上传时发现好多u盘不能被防火墙识别,提示信息为挂载失败,更换多次u盘之后正常识别。经过查阅升级知道使用u盘时的注意事项如下:

  • 在U盘识别、读写过程中(即U盘上的指示灯闪烁时),不允许热插拔正使用的U盘,

否则可能会造成数据丢失、文件系统损坏、系统异常复位等严重后果。

  • 插入U盘后,不要立即拔出。特别不要反复快速插拔,插拔的间隔时间最好在5s以

上。拔下后也不要立刻插入,要等5s后再插入。否则可能造成设备无法识别U盘。

  • 通过U盘方式升级版本软件时,建议使用Netac U208型号的U盘,如果使用了非指定的U

盘,那么将会存在升级失败的风险。

2:业务版加载问题

   设备重启大概需要时间为15分钟。设备重启之后业务版并不会马上加载成功,在设备启动之后大约需要5分钟业务版才能正常启动(与业务版多少也有关系,目前我公司两个业务版),此时要耐心等待不能对设备进行操作。

3:重启过之后发现lan区域的两个接口不能正常telnet

   升级之后发现业务正常但是10.X.X.253 10.X.XX.253不能正常telent ping

   经过排错,发现ospf正常,其他接口能正常telent ping。跟踪两个ip之后发现数据包到达防火墙之后直接匹配策略路由转发到了外网接口。

wKiom1TTRGmBiS8dAAA0WRWamV4921.jpg

在第一条策略路由目的ip地址加入这两个地址之后恢复正常。