防火墙双机热备升级步骤

防火墙上下VRRP双机热备在不中断业务的情况下升级设备过程：

总体思路：

在部署了双机热备的网络环境中升级软件版本，需要遵循主要原则是Active设备和Standby设备分别升级，先升级Standby设备，然后再升级Active设备，在升级过程中必须关闭HRP功能

升级步骤：

升级版本前的准备：

1. 检查当前版本软件，下载官方推荐版本镜像文件*.bin、补丁等。
2. 当前业务模拟测试、业务测试报告，免责（三方授权问题）。
3. 合理选择升级时间，降低业务风险性。
4. 确保升级的时间使用供电系统稳定，另备冷机（型号、版本、配置一致）开VIP通道原厂服务。预约400工程师实时在线支持
5. 记录当前业务的运行状况，便于和升级后的信息对比（路由表、安全策略、会话、系统统计信息等）。
6. 保存和备份当前版本、补丁、授权文件、配置文件、策略、用户相关重要数据。
7. 升级的版本提前上传到设备（正常通过web，命令行ftp、TFTP工具上传），Hash校验，查看文件是否出错。
8. 编写升级方案和回退方案。

升级进行时处理：

1. 先从备墙升级，undo hrp enable查看所有业务是否已经到主墙，同时物理拔除链路。
2. 启动最新配置文件，保存。
3. 重启设备后，查看版本、打最新补丁。接下来升级主墙，先把备墙重新接入网络中。
4. 先关闭主墙hrp，再启动备墙hrp enable，查看流量是否都已经从备墙走，再断开主墙所有业务接口。
5. 主墙启动最新配置文件，保存。重启。
6. 检查版本、打最新补丁。接入网络中。
7. 启动hrp，等待默认抢占60s后，查看当前状态信息、会话表等。
8. save当前所有。
9. 模拟故障测试是否OK

升级完成后的处理：

1. 导出当前配置文件。
2. 文件交接。
3. 最后再测试一次业务。

双机热备中的一些问题

升级方式，下接sw一边vgmp管理组为active和standby，一边vgmp为initial和standby，这种情况有没有可能出现，怎么造成的？

有，负载均衡时，备防火墙取消VGMP组为ACTIVE的配置命令后会出现这种现象。

上下行路由器的情况下，升级过程中流量怎么切换？

路由器首先调整备墙OSPF cost值，保证当让备墙退出vgmp组时，ospf cost比主墙大。保证流量都还是走主。确保切换路由后，再undo hrp enable。这时候由于备墙上调整了ospf cost，流量还是走主。

需要升级主墙时，先把备设备接入网络中。调整主墙的ospf cost比现在的大。引流到备墙上。确保流量已经走备。敲undo hrp enable，升级备墙。

哪些故障会降低优先级？

接口故障：物理接口、VLAN、Eth-Trunk整个接口挂、IP-link或bfd都会导致vgmp优先级减2.

中低端防火墙VGMP优先级：主：65001 备：65000

高端防火墙：45001/45000 + 1000 * 板卡个数 + 2 *n(CPU个数)

高危操作流程，如何申请研发保证？

申请VIP通道，预约400工程师实时在线支持，备冷机（型号规格、版本、当前配置一致。）

四种升级版本方式：

• Web方式：约15分钟。
• 命令行方式：约15分钟。
• U盘方式：约15分钟。
• BootRom方式：约20分钟。
• U盘、BootRom方式一般用于无法正常启动VRP文件。

为什么升级备防火墙的时候需要先打undo hrp enable？起到了什么作用？

1. 离开VGMP备份组，关闭之后确保设备绝对离开了hrp的通信。
2. 配置，主备模式下只允许在主设备上配置，而被设备只能配置基础信息（IP地址，接口zone划分、静态路由、动态路由等，安全策略不允许配置）
3. 版本一致性，备机版本升级后与主机的版本存在不一致性，为避免因版本不一致产而导致的异常情况，需要关闭。
4. 抢占，关闭HRP之后，上下将会以VRRP方式运行优先级为100，而启动VGMP的VRRP组优先级为120，避免了重启后可能给业务带来影响的隐患。

备墙升级成功，主墙的内容能不能同步给备墙，为什么？

不能，这个时候防火墙版本不统一。无法形成双机热备。

双机升级过程中是否有流量中断？

有。在升级主墙，把流量引导到备防火墙时，因为版本的不统一。主墙无法把session同步到备墙上，就会导致流量的中断。

防火墙接口虚MAC和实际MAC作业

当请求地址为虚IP地址时使用虚MAC。请求的为实际接口地址时，使用的是实际MAC地址。

如果做双机的时候又做了源nat，会有什么问题，该如何解决？

负载分担时，可能会导致翻译到同一地址，或者是同一个地址的同一个端口上。因为它们可以自己选择翻译的地址。有两种解决方法，第一种是写两个地址池，分别给不同的地址段来使用。负载分担时，会让一部分流量走左边，一部分走右边。也可以在防火墙上敲上命令一台hrp nat ports-segment primary另一台 hrp nat ports-segment secondary。