• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

防火墙这么把域间安全策略,改为安全策略生效

2024-11-27提问
  • 0关注
  • 0收藏,141浏览
zhiliao_mnjCRc
zhiliao_mnjCRc 三段
粉丝:2人 关注:0人

问题描述:

防火墙这么把域间安全策略,改为安全策略生效。发下命令行

最佳答案

已采纳
zhiliao_sEUyB
zhiliao_sEUyB 九段
粉丝:237人 关注:8人

防火墙版本升级,同时需要将对象策略转换为安全策略  

过程分析

在业务中断最短的情况下,堆叠主备防火墙从域间策略的软件版本升级至安全策略的软件版本。

1.将主设备上下行业务端口shutdown

[F5020]int range GigabitEthernet1/0/3 to GigabitEthernet1/0/6  GigabitEthernet2/0/3 to GigabitEthernet2/0/6  Route-Aggregation1

[F5020]shutdown

防火墙的冗余组功能切换生效,确认冗余组primary由Slot1(主设备)切换到Slot2(备设备),业务发生主备切换。

<F5020>dis redundancy group 

2.保存主设备配置

此时配置文件里主设备上除irf端口以外,其余端口全部shutdown,后续主设备升级重启完成后,端口仍然处于down状态,业务保留在备设备上,给手工回切业务至主框争取时间。从而可以手工操作shutdown备设备和undo shutdown主设备。

<F5020>save

3.确认业务正常后,手工断开irf线缆,使堆叠分裂。

确认用户会话在slot2(备设备)上:

<F5020>dis session table ipv4

现场拨掉Slot2备设备IRF堆叠线,对应接口为Ten-GigabitEthernet2/0/27,Ten-GigabitEthernet2/1/27。

4.重启Slot1主设备

重启前检查当前操作框为Slot1(主设备),指定启动文件。

<F5020>boot-loader file cfa0:/SECPATH5040F-CMW710-E9320P07.ipe slot 1 main

Verifying the file cfa0:/ SECPATH5040F-CMW710-E9320P07.ipe on slot 1...........Done.

H3C SecPath F5020 images in IPE:

  f5000fw-cmw710-boot-E9320P07.bin

  f5000fw-cmw710-system-E9320P07.bin

This command will set the main startup software images. Continue? [Y/N]:y

Add images to slot 1

……………………………………….

Do you want to delete cfa0:/ SECPATH5040F-CMW710-E9320P07.ipe now? [Y/N]:y

使用display boot-loader确认查看启动系统文件信息;display starup 确认查看启动配置文件信息,确认无误后进行reboot操作。此时提示保存配置,选择n,不保存。

<F5020>dis boot-loader

Software images on slot 1:

Current software images:

  cfa0:/f5000fw-cmw710-boot-E9314.bin

  cfa0:/f5000fw-cmw710-system-E9314.bin

Main startup software images:

  cfa0:/f5000fw-cmw710-boot-E9320P07.bin

  cfa0:/f5000fw-cmw710-system-E9320P07.bin

Backup startup software images:

  None

<F5020>dis startup

MainBoard:

 Current startup saved-configuration file: cfa0:/startup.cfg

 Next main startup saved-configuration file: cfa0:/startup.cfg

 Next backup startup saved-configuration file: NULL

<F5020>reboot force

Start to check configuration with next startup configuration file, please wait.........DONE!

Current configuration may be lost after the reboot, save current configuration? [Y/N]:n

This command will reboot the device. Continue? [Y/N]:y

Now rebooting, please wait...

以新版本重启完成后然后确认版本信息

<DS-F5020-DMZ1>dis version

H3C Comware Software, Version 7.1.064, Ess 9320P07

Copyright (c) 2004-2017 New H3C Technologies Co., Ltd. All rights reserved.

查看Slot1(主设备)上冗余组状态为primary。Slot1(主设备)认为Slot2(备设备)不在位,track项均失效,Primary在Slot1(主设备)上。

<F5020>dis redundancy group

查看Slot2(备设备)上冗余组状态为primary。Slot2(备设备)认为Slot1(主设备)不在位,primary在Slot2(备设备)上。

<F5020>display redundancy group

域间策略转换为安全策略并重启

[F5020]security-policy switch-from object-policy startup.cfg security-startup.cfg

Configuration switching begins...

Object policies in the specified configuration file have been switched to security policies.

Reboot the device to make the configuration take effect. Reboot now? [Y/N]:y

 

重启完成后确认版本信息及安全策略配置

<F5020>dis version

H3C Comware Software, Version 7.1.064, Ess 9320P07

Copyright (c) 2004-2017 New H3C Technologies Co., Ltd. All rights reserved.

<F5020>display security-policy ip

5.操作接口

shutdown Slot2(备设备)上所有业务端口,undo shutdown Slot1(主设备)上所有业务端口:

#备设备

[F5020] int range GigabitEthernet1/0/3 to GigabitEthernet1/0/6

[F5020]shutdown

#主设备

[F5020] int range GigabitEthernet2/0/3 to GigabitEthernet2/0/6

[F5020]undo shutdown

#在主设备上查看相关会话

< F5020> dis session statistics summary

< F5020> dis session table ipv4

进行业务测试,若出现异常则采取回退方案进行回退操作。

6.重启备设备,与此同时恢复IRF堆叠线缆

重启前检查当前操作框为Slot2(备设备),指定启动文件。

<F5020>boot-loader file cfa0:/SECPATH5040F-CMW710-E9320P07.ipe slot 2 main

Verifying the file cfa0:/ SECPATH5040F-CMW710-E9320P07.ipe on slot 2...........Done.

H3C SecPath F5020 images in IPE:

  f5000fw-cmw710-boot-E9314.bin

  f5000fw-cmw710-system-E9314.bin

This command will set the main startup software images. Continue? [Y/N]:y

Add images to slot 2

……………………………………….

Do you want to delete cfa0:/SECPATH5040F-CMW710-E9320P07.ipe now? [Y/N]:y

使用display boot-loader确认查看启动系统文件信息;确认无误后重启备设备。此时提示保存配置,选择n,不保存。

<F5020>dis boot-loader

Software images on slot 1:

Current software images:

  cfa0:/f5000fw-cmw710-boot-E9314.bin

  cfa0:/f5000fw-cmw710-system-E9314.bin

Main startup software images:

  cfa0:/f5000fw-cmw710-boot-E9320P07.bin

  cfa0:/f5000fw-cmw710-system-E9320P07.bin

Backup startup software images:

  None

<F5020>reboot

Start to check configuration with next startup configuration file, please wait.........DONE!

Current configuration may be lost after the reboot, save current configuration? [Y/N]:n

This command will reboot the device. Continue? [Y/N]:y

Now rebooting, please wait...

此时立即连接备设备的堆叠线,对应接口为Ten-GigabitEthernet2/0/27,Ten-GigabitEthernet2/1/27。

重启完Slot2(备设备)时,确认Slot1(主设备)显示的冗余组信息与升级前一致。

[F5020]dis redundancy group

7.备设备重启结束后查看irf状态

<F5020>dis irf

MemberID    Role    Priority  CPU-Mac         Description

 *+1        Master  2         487a-da93-a626  ---

   2        Standby 1         487a-da93-a4dc  ---

--------------------------------------------------

 * indicates the device is the master.

 + indicates the device through which the user logs in.

 The bridge MAC of the IRF is: 487a-da93-a624

 Auto upgrade                : yes

 Mac persistent              : 6 min

 Domain ID                   : 3

8.保存配置,确认版本及相关配置

再次检查相关链路、冗余备份、会话、上下行路由等信息是否与升级前一致,确认业务是否正常,若有问题按照回退方案回退。若正常保存配置,至此完成IRF集群升级。

[F5020] int Route-Aggregation1

[F5020]un shutdown

[F5020]dis version

[F5020]save

应急预案:

升级期间如遇到不可预知的问题且短时间内无法定位或恢复时进行操作回退。回退方法为:重新指定下一次设备启动文件为升级前版本,并重启设备。操作完成后网络恢复到升级前的状态。

在Step5即slot1(主设备)升级完成后,在业务切换至slot1(主设备)后业务测试有异常,升级工作进入如下回退步骤:

接口操作

shutdown Slot1(主设备)上所有业务端口,undo shutdown Slot2(备设备)上所有业务端口:

指定主设备的旧启动系统文件和启动配置文件

使用display boot-loader确认查看启动系统文件信息;display starup 确认查看启动配置文件信息,确认无误后进行重启操作。提示保存配置时选择n,不保存。

执行slot1(主设备)重启指令后恢复连接Slot2(备设备)IRF堆叠线,对应接口为Ten-GigabitEthernet2/0/27,Ten-GigabitEthernet2/1/27

恢复slot1主设备的上下行业务口,并保存配置,恢复至升级前状态。

若Slot1(主设备)与Slot2(备设备)升级都完成后出现业务不正常,需要按以下方式进行回退操作。

指定旧的启动文件和启动配置。

使用display boot-loader确认查看启动系统文件信息;display starup 确认查看启动配置文件信息,确认无误后进行重启操作。

<F5020>dis boot-loader

Software images on slot 1:

Current software images:

  cfa0:/f5000fw-cmw710-boot-E9320P07.bin

  cfa0:/f5000fw-cmw710-system-E9320P07.bin

Main startup software images:

  cfa0:/f5000fw-cmw710-boot- E9314.bin

  cfa0:/f5000fw-cmw710-system- E9314.bin

Backup startup software images:

  None

Software images on slot 2:

Current software images:

  cfa0:/f5000fw-cmw710-boot-E9320P07.bin

  cfa0:/f5000fw-cmw710-system-E9320P07.bin

Main startup software images:

  cfa0:/f5000fw-cmw710-boot- E9314.bin

  cfa0:/f5000fw-cmw710-system- E9314.bin

Backup startup software images:

  None

<F5020>dis startup

MainBoard:

 Current startup saved-configuration file: cfa0:/security-startup.cfg

 Next main startup saved-configuration file: cfa0:/startup.cfg

 Next backup startup saved-configuration file: NULL

<F5020>reboot

This command will reboot the device. Continue? [Y/N]:y

序号

操作步骤

是否影响转发

业务中断时间

Step1

1.将主设备上的所有业务端口(不包括堆叠口)加入端口组,在端口组视图下执行shutdown命令。

2.测试业务是否正常,若异常则回退shutdown的操作。

<3S

Step2

在堆叠状态下保存配置。

0

Step3

断开堆叠链路使堆叠分裂。

0

Step4

升级主设备,升级完毕确认主设备工作正常。

0

Step5

1.将备设备和主设备上所有业务口(不包括堆叠口)分别加入端口组,shutdown备设备端口组,undo shutdown主设备上的端口组

(注意:此时堆叠线路保持断开状态,)

2. 测试业务是否正常,若异常刚按6进行回退。

<60S

Step6

升级备设备,备设备开始重启,立即连接堆叠线。

0

Step7

备设备重启完毕堆叠自动恢复,测试业务是否正常。

0

Step8

保存配置,查看版本及相关配置。

0

 

当升级单机时,执行reboot命令后首先会被询问是否保存当前配置,之后才会询问是否重启。在堆叠分裂的情况下,切勿执行保存配置的操作,所以第一次请输入N,第二次输入Y。

执行升级步骤第6步时,务必及时连接堆叠线。假如备框重启完毕未能加入主框的堆叠,则可能导致转发不通等异常。

 

解决方法

参考如上步骤进行升级

注意事项

操作过程会影响到业务,注意申请窗口时间。

回复zhiliao_mnjCRc:

看答案

zhiliao_sEUyB 发表时间:2024-11-27 更多>>

什么命令

zhiliao_mnjCRc 发表时间:2024-11-27
回复zhiliao_mnjCRc:

看答案

zhiliao_sEUyB 发表时间:2024-11-27
1 个回答
按时间 按赞数
zhiliao_v6hOyc
zhiliao_v6hOyc 七段
粉丝:7人 关注:1人

1.升级到较新版本
2.通过security-policy switch-from object-policy命令将旧的配置文件startup.cfg转换为新的security.cfg

3.重启后完成转换

注意事项:

目前只能对对象策略进行转换,

包过滤策略无法转换。

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +
网站相关
关于我们
服务条款
帮助中心
经验与权限
积分规则
联系我们
联系我们
建议反馈
常用链接
标杆的神器下载
关注我们
H3C官网
新华三服务公众号
安仔远程运维服务
新华三商城
内容许可
除特别说明外,用户内容均可采用知识共享署名-相同方式共享3.0中国大陆许可协议进行许可

Copyright©2024新华三集团保留一切权利 当前呈现版本 NO.1

本图标版权归新华三集团所有,仅限本社区使用,切勿用做商业目的,违者必究

浙ICP备09064986号-1   浙公网安备 33010802004416号

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明