AR28-09、AR28-10、AR28-11及3COM 5012四款设备的升级注意事项

AR28-09/10/11及3COM 5012四款设备的升级注意事项

在进行 AR28-09、AR28-10、AR28-11及3COM 5012四款设备升级时需要遵守如下注意事项：

一、如果采用本地升级，步骤如下：

1. 将配置文件（AR系列为vrpcfg.cfg，3COM R5000系列为config.cfg）文件通过FTP下载到PC机备份保存；

2. 通过display version命令查明待升级设备的BOOTROM版本情况，如果BOOTROM版本为9.06或以下，需要升级BOOTROM到9.07或以上；

3. 重新启动路由器，使用CTRL+B命令进入BOOTROM菜单，然后按CTRL+F，按照提示格式化待升级设备的FLASH；

4. 通过BOOTROM菜单中的FTP或TFTP方式将待升级的主机软件下载到设备中，并在BOOTROM菜单中将该待升级文件设置成主启动文件，然后重新启动路由器；

5. 路由器启动完成并正常运行后，通过FTP将备份的配置文件重新下载到FLASH中，再次启动路由器，完成升级。

二、如果采用远程升级，采取如下步骤：

1. 将设备的原有配置文件（AR系列为vrpcfg.cfg，3COM R5000系列为config.cfg）文件通过FTP下载到PC机备份；

2. 远程telnet登陆到路由器之后，在监控视图下执行format flash:命令，其作用为格式化路由器的FLASH；

3. 通过display version命令查明该设备的BOOTROM版本情况，如果BOOTROM版本为9.06或以下，需要远程升级BOOTROM到9.07或以上。执行upgrade bootrom命令，注意先不要重新启动路由器；

4. 通过FTP方式将新的、待升级的主机软件下载到设备的FLASH中；

5. 在系统管理视图下执行bootfile main命令设置主启动文件为待升级的主机软件；

6. 保存路由器配置；

7. 重新启动路由器。

注意事项：

1. 远程升级过程中所有升级步骤执行完成之前不可以重启路由器，否则可能会造成远程升级失败，远程升级失败后只能使用本地升级恢复版本和配置。推荐优先使用本地升级。

2. 如果需要从VRP3.3升级到3.4版本需要注意AAA/RADIUS部分的配置恢复问题，详见:AR系列模块化系列路由器从VRP3.3升级到VRP3.4必读

VRP3.4继承了VRP3.3版本的所有功能特性，与VRP3.3相比增加了auto config，PKI，tacacs+，POS/CPOS，ARP PROXY，DNS Client，URFP，RSH，BGP-Multihop VPN，终端接入服务，VOIP等特性。如果需要从VRP3.3版本升级到VRP3.4请务必注意以下几点：

在AR28路由器上使用VRP3.4，务必先将BOOTROM升级到9.07以上版本。因为老版本的BOOTROM不能支持大的主机软件，新的主机软件和老版本的BOOTROM无法一起工作。

只能用于32M FLASH的机型，不可以在只有8M FLASH的R系列主机上使用。新的主机软件大小已经超过8M.

建议采用本地升级。如果需要远程升级，务必检查相关配置和应用，一般需要修改配置后才能做远程升级，有的情况下需要先手工转换配置并验证，将修改过的配置文件用FTP传到FLASH中，然后才能升级主机软件。AAA本地认证及radius认证的体系结构与VRP3.3版本相比有较大不同，相关配置不完全兼容，也无法全部自动转换，这给远程升级带来一些不便。

 

由于AR系列路由器VRP3.4版本中AAA部分做了较大幅度的整改，从而使得VRP3.3到VRP3.4的升级的操作比较复杂，如果操作不慎有升级失败的风险。下文从AAA部分各个重要的配置单元对升级的影响进行了简要描述。

1. 本地用户管理升级

本地用户部分基本能自动升级，将VRP3.3中有关本地用户的配置自动转换成VRP3.4中新的配置格式，如配置用例1,2。

但对于用例1，VRP3.3中local-user ssss password simple ssss配置默认用户exec level为最高级别，而升级后VRP3.4不兼容此项默认设置，而是为0，最低权限。如果VRP3.3中本地用户设置了level,则升级后可以兼容。

配置用例1：

[VRP3.3中本地用户配置]

local-user ssss password simple ssss

[VRP3.4中对应的升级后的配置]

#

local-user ssss

 password simple ssss

 service-type ssh telnet terminal

 service-type ftp

 service-type ppp

#

配置用例2：

[VRP3.3中本地用户配置]

local-user ddd password simple ddd

local-user ddd service-type ftp

[VRP3.4中对应的升级后的配置]

#

local-user ddd

password simple ddd

service-type ftp  

#

因此在升级到VRP3.4之前应该先设置本地telnet用户的等级（一般可修改为3），保存配置后再升级到VRP3.4才能保证登陆的用户有足够的权限调整配置。也可以升级前使用super password 设置超级密码，升级后通过超级密码获得权限。

2. 采用本地认证升级

AAA的本地认证部分（包括login、 ppp接入方式的认证），由于两个版本的实现机制和配置有很大的不同，在不修改接口配置的情况下，不可以自动升级使用（ftp本地认证除外）。

·login用户（telnet, terminal, ssh）本地AAA认证，需在user vty 修改配置

[AR18-20-ui-vty0-4]authentication-mode scheme 

·对于VRP3.3中PPP本地验证有两种情况：

  〈1〉VRP3.3中PPP在接口或虚模板中没配置AAA验证，只配置chap/pap验证时（ppp authentication-mode pap | chap），当client端不需要分配地址的情况下，可以自动升级成功。此时VRP3.4在实质上采用的是本地认证，用的system domain。如果client端需要验证端通过地址池分配地址，则升级到VPR3.4前需要手工修改配置文件，必须在domain中配置ip pool。

〈2〉VRP3.3中PPP/PPPOE在接口或虚模板中配置了AAA验证（包括AAA的各种验证方式），则无法自动升级。需要按VRP3.4手册新的配置逐项配置。

需要注意的是AAA的本地验证虽然升级后AAA部分没修改任何配置就可以通过，但它使用的是升级后版本自动生成的默认配置，而不是自动兼容了原版本的配置，VRP3.3中关于认证、授权、计费的配置VRP3.4将都不能兼容。

3. 采用RADIUS或HWTACACS服务器认证升级

VRP3.3版本中RADIUS的配置升级后都不能兼容。如果需要使用RADIUS验证，则必须按照VRP3.4手册进行新的配置。HWTACACS是VRP3.4新增的特性。这两项特性在未测试过局方的server时，必要情况下需要预先做模拟验证。

4. TELNET验证升级注意问题

VRP3.4中telnet的验证不仅包括配置认证、还需要配置计费，即VRP3.4中支持telnet计费。当然本地认证对任何接入方式都不需要计费，但如果采用radius(包含本地radius)或hwtacacs认证，则需要配置计费。否则，需要配置accounting optional来使计费可选。

5. 版本回退需注意问题

版本回退时，VRP3.4的AAA相关的配置全部不能生效，即VRP3.3版本不兼容VRP3.4中的任何配置。因此如果需要远程做版本回退，一定要先恢复VRP3.3的配置文件。