防火墙双机热备升级步骤

防火墙上下VRRP双机热备在不中断业务的情况下升级设备过程:

总体思路:

在部署了双机热备的网络环境中升级软件版本,需要遵循主要原则是Active设备和Standby设备分别升级,先升级Standby设备,然后再升级Active设备,在升级过程中必须关闭HRP功能

升级步骤:

升级版本前的准备:

  1. 检查当前版本软件,下载官方推荐版本镜像文件*.bin、补丁等。
  2. 当前业务模拟测试、业务测试报告,免责(三方授权问题)。
  3. 合理选择升级时间,降低业务风险性。
  4. 确保升级的时间使用供电系统稳定,另备冷机(型号、版本、配置一致)开VIP通道原厂服务。预约400工程师实时在线支持
  5. 记录当前业务的运行状况,便于和升级后的信息对比(路由表、安全策略、会话、系统统计信息等)。
  6. 保存和备份当前版本、补丁、授权文件、配置文件、策略、用户相关重要数据。
  7. 升级的版本提前上传到设备(正常通过web,命令行ftp、TFTP工具上传),Hash校验,查看文件是否出错。
  8. 编写升级方案和回退方案。

升级进行时处理:

  1. 先从备墙升级,undo hrp enable查看所有业务是否已经到主墙,同时物理拔除链路。
  2. 启动最新配置文件,保存。
  3. 重启设备后,查看版本、打最新补丁。接下来升级主墙,先把备墙重新接入网络中。
  4. 先关闭主墙hrp,再启动备墙hrp enable,查看流量是否都已经从备墙走,再断开主墙所有业务接口。
  5. 主墙启动最新配置文件,保存。重启。
  6. 检查版本、打最新补丁。接入网络中。
  7. 启动hrp,等待默认抢占60s后,查看当前状态信息、会话表等。
  8. save当前所有。
  9. 模拟故障测试是否OK

升级完成后的处理:

  1. 导出当前配置文件。
  2. 文件交接。
  3. 最后再测试一次业务。

双机热备中的一些问题

升级方式,下接sw一边vgmp管理组为active和standby,一边vgmp为initial和standby,这种情况有没有可能出现,怎么造成的?

有,负载均衡时,备防火墙取消VGMP组为ACTIVE的配置命令后会出现这种现象。

上下行路由器的情况下,升级过程中流量怎么切换?

路由器首先调整备墙OSPF cost值,保证当让备墙退出vgmp组时,ospf cost比主墙大。保证流量都还是走主。确保切换路由后,再undo hrp enable。这时候由于备墙上调整了ospf cost,流量还是走主。

需要升级主墙时,先把备设备接入网络中。调整主墙的ospf cost比现在的大。引流到备墙上。确保流量已经走备。敲undo hrp enable,升级备墙。

哪些故障会降低优先级?

接口故障:物理接口、VLAN、Eth-Trunk整个接口挂、IP-link或bfd都会导致vgmp优先级减2.

中低端防火墙VGMP优先级:主:65001 备:65000

高端防火墙:45001/45000 + 1000 * 板卡个数 + 2 *n(CPU个数)

高危操作流程,如何申请研发保证?

申请VIP通道,预约400工程师实时在线支持,备冷机(型号规格、版本、当前配置一致。)

四种升级版本方式:

  • Web方式:约15分钟。
  • 命令行方式:约15分钟。
  • U盘方式:约15分钟。
  • BootRom方式:约20分钟。
  • U盘、BootRom方式一般用于无法正常启动VRP文件。

为什么升级备防火墙的时候需要先打undo hrp enable?起到了什么作用?

  1. 离开VGMP备份组,关闭之后确保设备绝对离开了hrp的通信。
  2. 配置,主备模式下只允许在主设备上配置,而被设备只能配置基础信息(IP地址,接口zone划分、静态路由、动态路由等,安全策略不允许配置)
  3. 版本一致性,备机版本升级后与主机的版本存在不一致性,为避免因版本不一致产而导致的异常情况,需要关闭。
  4. 抢占,关闭HRP之后,上下将会以VRRP方式运行优先级为100,而启动VGMP的VRRP组优先级为120,避免了重启后可能给业务带来影响的隐患。

备墙升级成功,主墙的内容能不能同步给备墙,为什么?

不能,这个时候防火墙版本不统一。无法形成双机热备。

双机升级过程中是否有流量中断?

有。在升级主墙,把流量引导到备防火墙时,因为版本的不统一。主墙无法把session同步到备墙上,就会导致流量的中断。

防火墙接口虚MAC和实际MAC作业

当请求地址为虚IP地址时使用虚MAC。请求的为实际接口地址时,使用的是实际MAC地址。

如果做双机的时候又做了源nat,会有什么问题,该如何解决?

负载分担时,可能会导致翻译到同一地址,或者是同一个地址的同一个端口上。因为它们可以自己选择翻译的地址。有两种解决方法,第一种是写两个地址池,分别给不同的地址段来使用。负载分担时,会让一部分流量走左边,一部分走右边。也可以在防火墙上敲上命令一台hrp nat ports-segment primary另一台 hrp nat ports-segment secondary。

你可能感兴趣的:(网络安全)