背景
是这样的,AK125防火墙上线后激活了ips 、AV授权,然后设置的周日晚定时升级,然后周一来了发现web页面打开非常卡,大部分页面安全策略都没有结果,一直转圈圈,命令行ssh正常。但是查看一些ips升级情况也是异常没有输出
<H3C>dis ips sig lib ##没有输出,连出厂的版本也么有出来
排查
而周六还好好的,基本定位就是ips升级失败引起的。还好在保,400微信提单怼过去,一线技术接了单没排查出来结果,然后转到研发过来,向日葵远程了一天拿了好多设备日志,最后下班六点后给我回复,“DPI升级特征库需要连续的内存块,现场环境中有内存碎片,不满足连续内存块,能看到dpid进程一直在申请内存,但是申请失败导致进程繁忙。
解决的话升级R9560P18这个版本,同时安全策略请用快速日志发送”
意思我出厂的9524P33版本不行,要升级他说得这个,下面这个是我版本图
<H3C>dis version
H3C Comware Software, Version 7.1.064, Release 9524P33
Copyright (c) 2004-2020 New H3C Technologies Co., Ltd. All rights reserved.
H3C SecPath F1000-AK125 uptime is 2 weeks, 2 days, 1 hour, 44 minutes
<H3C>本来定周二晚上,也就是第二天就升级的,但是刚好月底收官,不准业务动荡,还好防火墙还nat啥的网络正常,就只能等到周五晚上升级了。就这么过了2天,第三天也就是周三我早上来上班,登陆防火墙看下,咦,升级成功了竟然。如图:
看来工程师说的没错吧,应该的确是卡住了,没申请到内存,所以拖了这么久才升级成功。继续咨询了400反馈还是建议升级版本,行吧,那就等周五晚上升级吧。
升级
。。。。好了,到了周五晚上九点多了,开始升级。
找到并下载客服指定的版本:R9560P18
http://www.h3c.com/cn/d_202112/1500667_30005_0.htm
下载IPE包就行,下载将其重命名为main.ipe 好记,
#本教程使用3CD软件,选择TFTP方式上传版本文件(电脑防火墙注意关闭)
#选择您需要导入的文件main.ipe文件的路径
#在设备出厂前,管理口0口的IP地址为192.168.0.1/24。可将电脑直连此接口上,并设置相同网段的IP地址。(本案例电脑直连G0接口,实际组网中也可以使用别的接口,只要确保设备与文件服务器路由可达。)
#在命令行配置界面的任意视图下,执行save命令保存设备当前配置信息:
<H3C>save force
#在命令行配置界面的用户视图下,执行dir命令查看设备当前的文件系统,确认启动文件及配置文件名,以及Flash的剩余空间,保证Flash有足够空间放入新的启动文件
<H3C>dir //查看空余空间够不够,空余空间要大于.IPE文件大小
#在命令行配置界面的用户视图下,执行tftp get命令将启动文件main.ipe导入到设备的Flash中:
通过mang管理口tftp传200mb比较耗时,我传了大概10分钟吧,上传后dir看下字节大小是否和windows右击属性一样大小哈,免得包没传完全,因为空间不够啥的
指定新版本文件作为下次启动文件
#在命令行配置界面的用户视图下,执行boot-loader命令设置设备下次启动使用的启动文件为main.ipe,并指定启动文件类型为main:
<H3C>boot-loader file flash:/main.ipe all main
结果报错了,说我空间不够,
说我磁盘空间不够了,我就删啊,把日志文件删了,
<H3C>dir
Directory of flash:0 -rw- 2641 Mar 04 2022 00:06:07 NGFirewall2022030316100284549.ak8 -rw- 104222 Jun 22 2022 17:37:05 diag_20220622-173639.tar.gz9 -rw- 104429 Jun 27 2022 10:45:50 diag_20220627-104512.tar.gz10 drw- - Mar 22 2022 22:34:34 diagfile11 drw- 228,521,984 - Feb 25 2022 21:41:10 main.ipe12 drw- - Feb 25 2022 17:41:10 dpi13 -rw- 7540736 Mar 23 2021 08:49:34 f1010fw-cmw710-boot-r9524p33.bin14 -rw- 136961024 Mar 23 2021 08:50:31 f1010fw-cmw710-system-r9524p33.bin15 -rw- 23598 Jun 22 2022 14:59:19 startup.cfg16 -rw- 159224 Jun 22 2022 14:59:19 startup.mdb17 drw- - Mar 23 2021 08:52:02 versionInfo
524288 KB total (316056 KB free)<H3C>delete /un diag_20220622-173639.tar.gz
<H3C>delete /un diag_20220627-104512.tar.gz
结果还是不够,最后找400啊,一波向日葵操作,<H3C>>reset recycle-bin #清空回收站,结果执行升级还是不够空间终极大招
400技术大佬,问我带了串口线没,我说带了,他说还是空间不够,要删除掉当前版本的启动文件,释放空间,问他要是删了挂了咋办,说带了串口线可以恢复原本版本,而且配置文件也保存了,那就干他,记住这里删了当前启动文件后就必须得升级包安装成功后才能重启啊,不然没有系统版本引导了。
<H3C>delete /un f1010fw-cmw710-boot-r9524p33.bin
<H3C>delete /un f1010fw-cmw710-system-r9524p33.bin
<H3C>>reset recycle-bin
最后再执行一遍升级,就是官方给的这个了,这里有点久,大概10分钟左右,安装成功了。
<H3C>boot-loader file flash:/main.ipe all main
#在命令行配置界面的用户视图下,执行display boot-loader命令查看设备的启动程序文件信息
我这图是拿的官方的,执行操作那会忘了拍照了,所以当前images版本和我上面写的不一样
重启设备完成升级
查看与验证
#使用dis version查看版本,已经升级到我们下载的版本号即为成功,升级完成。
<BKB-HK-PROD-FW>dis version
H3C Comware Software, Version 7.1.064, Release 9560P18
Copyright (c) 2004-2021 New H3C Technologies Co., Ltd. All rights reserved.
H3C SecPath F1000-AK125 uptime is 0 weeks, 2 days, 18 hours, 12 minutes
Last reboot reason: User rebootBoot image: flash:/f1010fw-cmw710-boot-R9560P18.bin
Boot image version: 7.1.064, Release 9560P18Compiled Nov 11 2021 15:00:00
System image: flash:/f1010fw-cmw710-system-R9560P18.bin
System image version: 7.1.064, Release 9560P18Compiled Nov 11 2021 15:00:00
Feature image(s) list:flash:/f1010fw-cmw710-secescan-R9560P18.bin, version: 7.1.064Compiled Nov 11 2021 15:00:00<H3C>dir
Directory of flash: (YAFFS2)0 -rw- 3321 Jun 21 2022 18:48:37 NGFirewall2022062110553860909.ak6 drw- - Jul 01 2022 22:15:26 diagfile7 drw- - Jul 01 2022 21:53:33 dpi8 -rw- 9434112 Jul 01 2022 21:45:14 f1010fw-cmw710-boot-R9560P18.bin9 -rw- 13611008 Jul 01 2022 21:47:15 f1010fw-cmw710-secescan-R9560P18.bin10 -rw- 205468672 Jul 01 2022 21:47:06 f1010fw-cmw710-system-R9560P18.bin16 drw- - Jun 21 2022 18:48:37 license21 -rw- 18735 Jul 01 2022 23:59:13 startup.cfg
<H3C>目前周一,20220704,暂时使用正常,同时周五升级完系统后,我更改ips、av定时升级为周六,然后今天周一发现ips、av也升级到了最新的20220629的版本。定时升级也ok,使用正常中
