已经十一月第三周最后一天了,博客依然是那个博客,学技术的那个人依然是那个人,哈哈。这里不免稍微感性一番,确实这一年在忙碌中过去了,几乎都没感知的过去了。依稀记得一月份的目标和指标。


好了,不过多回忆过去了,也聊聊我接触的一款防火墙JUNIPER-SSG系列,企业组网,高可用等等我在博客中每逢发布新文章都会聊到,所以可见这一个部分在现在和未来是有多重要。


不过会配置不重要,会维护有真实场景演练实验过才是最厉害的(这里不是说我厉害噢),割接有详细的计划,别看一个小小的固件升级,倘若在高可用中去操作,应甲方要求不允许中断等,都必须有相对较多的实施经验和故障处理经验。


今天这一篇文章的介绍,偏理论一点。但总体思路是没问题得,大家自我领会即可。在文章最后,我会补充一些我在实施中的奇怪现象,就当大家一起换换脑子,思考思考。


好了,进入主菜。

step1.使用Tftp备份两台防火墙现有配置文件和OS系统文件。 并查看是否有挂monitor监测,若挂监测可以事先关掉。


step2.升级步骤为先升级备用设备后升级主用设备,如果是Active/Active模式请切换为Active/Passive模式后再升级备用设备。用笔记本电脑连接NS-B的Console口和MGT口,通过Web界面上对NS-B进行升级,并在Console口上观察升级过程。 

PS:这里完全可以远程实施升级,因为我就这样做过一次,完全没问题


step3.NS-B升级后将自动重启,通过Console口观察重启过程。启动后在console上输入get system命令,验证升级后的版本号。输入get license,验证license信息是否符合升级要求。输入get nsrp,验证此设备处于备机状态。 


step4.Session信息应该自动从主机上同步到备机。为进一步确保Session信息同步,在NS-B上执行exec nsrp syn rto all from peer,手工同步Session信息


step5.主备双机进行状态切换。用笔记本接NS-A的Console口,输入exec nsrp vsd-group 0 mode backup命令,将状态切换。使用get nsrp命令,验证设备状态已切换完成,此时NS-A为备机,NS-B为主机。

 

step6.在Web界面上对NS-A进行升级,在Console口上观察升级过程。 


step7.NS-A升级后会自动重起,在Console口上观察重起过程。启动后在console上输入get system命令,验证升级后的版本号。输入get license,验证license信息是否满足升级需求。输入get nsrp验证此台设备为备机状态。 


step8.恢复原先的主备状态:在NS-B上执行exec nsrp vsd-group 0 mode backup命令,将状态切换。验证设备状态已切换完成,此时NS-A为主机,NS-B为备机。 


step9.在设备NS-A上执行exec nsrp syn vsd-group 0 global-config checksum,验证两台设备的配置同步。如双机配置文件没有同步,请执行exec nsrp syn vsd-group 0 global-config save 手动进行配置同步。 


step10.观察两台防火墙的日志,验证是否存在异常告警信息。



整个过程,算上本地(远程)upload fireware的时间,可以控制5-8分钟(5-13分钟)内。只要深刻研读过Juniper-nsrp的底层原理,这个事情的难度简直是“小菜”


这里,在留给大家几个有意思的实施现象。

  1. 两台不同版本的Juniper-SSG320,我在配置NSRP时,HA协议起来了,而且可以正常切换。这个对于现在的其他厂商都是不可能的,比如:山石、华为、深信服、华三、思科等

  2. 接了HA心跳线,上游和下游的线路都没有接入,HA配置核对了不下于十遍,配置就是不同步。不知道怎么回事?(最后发现其实是正常的,只是我过多的关注设备名不一样,其实HA的特性就是设备名不同步)

  3. HA起来后,在经过一阵子之后,主设备无法正常登陆(配置了ACS),在我检查了ACS好多遍之后,仍然登录不上,最后我实在没办法叫人去本地console,查看到主设备情况。也没发现任何问题。自后做了一个尝试,set admin manage-ip x.x.x.x 加入一个可网管设备的源公网,一切恢复了

  4. 。。。。。。。。


还有很多小问题,我这里就不过多聊了,因为本章主要内容是介绍双机平滑升级的思路,嘿嘿。


                ——————————这里仍然是来自一家二级运营商的网工的分享