说一下技术处理过程:
AC 6.1升级12.06版本,升级路线图请参阅社区文档
http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=10082&page=1&extra=#/pid37990
看过路线图后,升级路线规划为AC6.1-AC11.0R2-AC12.06。
其中升级11.x版本需要校验设备相关参数(硬件指标、软件许可、URL/应用库版本、是否存在定制等),需要加载预升级包(precheck_75.ssu)检测上述内容,过检后才可以升级。
其中在此感谢客服某公司 AC 1139 ,协助处理定制包与AC库大于于7000的问题。
升级时,在客户会议室接网线通过内网升级,并未单接设备进行,建议后期大家升级的时候单接DMZ升级,这样即使有问题排查也方便;
然后开始漫长的升级过程,其实设备升级过多台,个把小时总要的。但是本次升级卡在第二步,耐心等待了三个小时,终于忍不住了,咨询1139客服,此时美女客服(晚间9点多)已经下班,1139还是很耐心的用手机QQ指导检查,此时出现问题为:
AC桥IP可以ping通,但443/51111/22345等端口无法通讯,由于升级客户端升级步骤还卡在第二步,怀疑是设备升级过程中出现故障,设备也不敢去重启,也不敢终止升级,如下图所示:
于是与1139号客服沟通,客服建议我用服务号去联系400获取远程协助,因为我的服务号已经过期,无法使用,1139号客服本着为客户第一的精神,帮忙协调了值班工程师Sangfor2283-AC/SG协助处理本次“升级故障”;
Sangfor2283-AC/SG客服主动联系我远程,此时已经10点多,相信工程师的家人已经休息,2283工程师还是采用远程软件接入排查。
补充一下:前面在自行排查过程中,发现策略依然有效,会弹出封禁的http(1.1.1.2)页面提示;
Sangfor2283-AC/SG客服于是尝试采用1.1.1.2虚拟IP尝试登陆设备,结果可以登录设备,尝试在pshell客户端重启服务等方式,看是否桥IP是否可以恢复使用,但不奏效;
此时,暂时没有解决思路,于是与2283工程师沟通进行再次升级,本计划采用1.1.1.2这个IP升级,沟通后决定进入机房单接设备升级,结果一切顺利,升级也没有什么问题。
然而升级后,发现桥IP地址依然无法使用(可以ping通,但不可管理,443等端口依旧无法通讯),此时想到一个常见的问题:
回包路由----
有核心交换机环境下,前置网防火墙,一般AC做桥部署,桥IP一般设置为防火墙与核心级联的地址段,桥IP的网关指向防火墙,然后在AC添加内网回包路由,以保障管理地址的可接入性;
于是做了检查,回包路由果然存在问题,下一跳指向了一个不相干的IP地址,桥网关是正确的指向防火墙;
此时:
PC访问AC的数据走向:PC IP -PC网关(核心)-AC桥IP
AC返回PC的数据走向:AC桥IP-AC网关(防火墙)-(AC穿透不做路由处理)--PC网关(核心)-PC IP
那么就出现问题了,可以ping的到,但是管理不到,是因为AC11.x处理机制发生的变化,有别于AC6.x版本;
于是乎豁然开朗,修改好回包路由,大功告成。
也理解了AC这个升级为什么迟迟3小时(佩服我耐心请点赞)没成功,一直卡在第二步,一个简单的问题,却成了我这个所谓“老司机”的坑。
发表于 2018-4-25 01:59
