AR28-09/10/11及3COM 5012四款设备的升级注意事项
在进行 AR28-09、AR28-10、AR28-11及3COM 5012四款设备升级时需要遵守如下注意事项:
一、如果采用本地升级,步骤如下:
1. 将配置文件(AR系列为vrpcfg.cfg,3COM R5000系列为config.cfg)文件通过FTP下载到PC机备份保存;
2. 通过display version命令查明待升级设备的BOOTROM版本情况,如果BOOTROM版本为9.06或以下,需要升级BOOTROM到9.07或以上;
3. 重新启动路由器,使用CTRL+B命令进入BOOTROM菜单,然后按CTRL+F,按照提示格式化待升级设备的FLASH;
4. 通过BOOTROM菜单中的FTP或TFTP方式将待升级的主机软件下载到设备中,并在BOOTROM菜单中将该待升级文件设置成主启动文件,然后重新启动路由器;
5. 路由器启动完成并正常运行后,通过FTP将备份的配置文件重新下载到FLASH中,再次启动路由器,完成升级。
二、如果采用远程升级,采取如下步骤:
1. 将设备的原有配置文件(AR系列为vrpcfg.cfg,3COM R5000系列为config.cfg)文件通过FTP下载到PC机备份;
2. 远程telnet登陆到路由器之后,在监控视图下执行format flash:命令,其作用为格式化路由器的FLASH;
3. 通过display version命令查明该设备的BOOTROM版本情况,如果BOOTROM版本为9.06或以下,需要远程升级BOOTROM到9.07或以上。执行upgrade bootrom命令,注意先不要重新启动路由器;
4. 通过FTP方式将新的、待升级的主机软件下载到设备的FLASH中;
5. 在系统管理视图下执行bootfile main命令设置主启动文件为待升级的主机软件;
6. 保存路由器配置;
7. 重新启动路由器。
注意事项:
1. 远程升级过程中所有升级步骤执行完成之前不可以重启路由器,否则可能会造成远程升级失败,远程升级失败后只能使用本地升级恢复版本和配置。推荐优先使用本地升级。
2. 如果需要从VRP3.3升级到3.4版本需要注意AAA/RADIUS部分的配置恢复问题,详见:AR系列模块化系列路由器从VRP3.3升级到VRP3.4必读
VRP3.4继承了VRP3.3版本的所有功能特性,与VRP3.3相比增加了auto config,PKI,tacacs+,POS/CPOS,ARP PROXY,DNS Client,URFP,RSH,BGP-Multihop VPN,终端接入服务,VOIP等特性。如果需要从VRP3.3版本升级到VRP3.4请务必注意以下几点:
在AR28路由器上使用VRP3.4,务必先将BOOTROM升级到9.07以上版本。因为老版本的BOOTROM不能支持大的主机软件,新的主机软件和老版本的BOOTROM无法一起工作。
只能用于32M FLASH的机型,不可以在只有8M FLASH的R系列主机上使用。新的主机软件大小已经超过8M.
建议采用本地升级。如果需要远程升级,务必检查相关配置和应用,一般需要修改配置后才能做远程升级,有的情况下需要先手工转换配置并验证,将修改过的配置文件用FTP传到FLASH中,然后才能升级主机软件。AAA本地认证及radius认证的体系结构与VRP3.3版本相比有较大不同,相关配置不完全兼容,也无法全部自动转换,这给远程升级带来一些不便。
由于AR系列路由器VRP3.4版本中AAA部分做了较大幅度的整改,从而使得VRP3.3到VRP3.4的升级的操作比较复杂,如果操作不慎有升级失败的风险。下文从AAA部分各个重要的配置单元对升级的影响进行了简要描述。
1. 本地用户管理升级
本地用户部分基本能自动升级,将VRP3.3中有关本地用户的配置自动转换成VRP3.4中新的配置格式,如配置用例1,2。
但对于用例1,VRP3.3中local-user ssss password simple ssss配置默认用户exec level为最高级别,而升级后VRP3.4不兼容此项默认设置,而是为0,最低权限。如果VRP3.3中本地用户设置了level,则升级后可以兼容。
配置用例1:
[VRP3.3中本地用户配置]
local-user ssss password simple ssss
[VRP3.4中对应的升级后的配置]
#
local-user ssss
password simple ssss
service-type ssh telnet terminal
service-type ftp
service-type ppp
#
配置用例2:
[VRP3.3中本地用户配置]
local-user ddd password simple ddd
local-user ddd service-type ftp
[VRP3.4中对应的升级后的配置]
#
local-user ddd
password simple ddd
service-type ftp
#
因此在升级到VRP3.4之前应该先设置本地telnet用户的等级(一般可修改为3),保存配置后再升级到VRP3.4才能保证登陆的用户有足够的权限调整配置。也可以升级前使用super password 设置超级密码,升级后通过超级密码获得权限。
2. 采用本地认证升级
AAA的本地认证部分(包括login、 ppp接入方式的认证),由于两个版本的实现机制和配置有很大的不同,在不修改接口配置的情况下,不可以自动升级使用(ftp本地认证除外)。
·login用户(telnet, terminal, ssh)本地AAA认证,需在user vty 修改配置
[AR18-20-ui-vty0-4]authentication-mode scheme
·对于VRP3.3中PPP本地验证有两种情况:
〈1〉VRP3.3中PPP在接口或虚模板中没配置AAA验证,只配置chap/pap验证时(ppp authentication-mode pap | chap),当client端不需要分配地址的情况下,可以自动升级成功。此时VRP3.4在实质上采用的是本地认证,用的system domain。如果client端需要验证端通过地址池分配地址,则升级到VPR3.4前需要手工修改配置文件,必须在domain中配置ip pool。
〈2〉VRP3.3中PPP/PPPOE在接口或虚模板中配置了AAA验证(包括AAA的各种验证方式),则无法自动升级。需要按VRP3.4手册新的配置逐项配置。
需要注意的是AAA的本地验证虽然升级后AAA部分没修改任何配置就可以通过,但它使用的是升级后版本自动生成的默认配置,而不是自动兼容了原版本的配置,VRP3.3中关于认证、授权、计费的配置VRP3.4将都不能兼容。
3. 采用RADIUS或HWTACACS服务器认证升级
VRP3.3版本中RADIUS的配置升级后都不能兼容。如果需要使用RADIUS验证,则必须按照VRP3.4手册进行新的配置。HWTACACS是VRP3.4新增的特性。这两项特性在未测试过局方的server时,必要情况下需要预先做模拟验证。
4. TELNET验证升级注意问题
VRP3.4中telnet的验证不仅包括配置认证、还需要配置计费,即VRP3.4中支持telnet计费。当然本地认证对任何接入方式都不需要计费,但如果采用radius(包含本地radius)或hwtacacs认证,则需要配置计费。否则,需要配置accounting optional来使计费可选。
5. 版本回退需注意问题
版本回退时,VRP3.4的AAA相关的配置全部不能生效,即VRP3.3版本不兼容VRP3.4中的任何配置。因此如果需要远程做版本回退,一定要先恢复VRP3.3的配置文件。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作