本帖最后由 土豆们的创意工坊 于 2025-1-2 21:43 编辑
设备对调背景:有两组防火墙都为主主部署,一组A和B(A和B就是新架构的防火墙,以下AB也指的是这两个设备)是虚拟镜像口做内外网的业务口,另一组C和D透明口做内外网的业务口。客户是企业的网络工程师(客户办公室就是连接着机房的网络,时常出现网络缓慢,联系了人工服务得知是防火墙性能问题,所以才约了元旦进行设备替换),目前老架构承载着研发楼、文件服务器、虚拟化服务器、机房等大量设备的流量、新架构则在生产车间的机房中,业务相对客户所在的区域流量需求并不高。
一、1、了解客户网络情况:去对调往往不能光去对调设备,顺便要给客户升级版本和巡检下。如果你很了解客户的设备情况(设备版本、设备打过什么定制包或者补丁、网络拓扑图、对调设备机房之间的距离、设备替换后机房的托盘是否能够安装上(因为替换的老架构防火墙是2u的,需要托盘)等等) 2、不了解客户网络情况:临时接手并且资料不齐全或时间间隔大所以不了解客户的设备情况,(以下是理想情况下,最好的情况是越早越好,因为你永远不知道客户的设备之间到底离得有多远、客户是否会在一直在现场、在和你对接的客户离开前,询问下客户不在的情况下应该去找谁对接,万一出现了特殊情况,你无论是信息还是电话客户都不回。你就知道这个看上去有些多余的步骤有多保险了)提前两天约个技术400支撑,再提前一天去给客户升级版本和巡检(一定务必要严格执行,否则当你发现设备打了KB导致无法升级再400支援可能会浪费时间)
二、到客户现场后和客户了解下(业务空档期、网络拓扑等、设备的密码、客户的网络该这么接入)等业务空档期,测试主备控切换是否正常,避免背黑锅。开始对ABCD防火墙进行升级前检查(如何开启接口参考链接: AF巡检必读-纪元平台-深信服技术支持 (sangfor.com.cn)),新架构支持带业务撤下备机,老架构则不支持,担心的话可以都在业务空档期撤下设备。然后 备份配置再根据之前升级前检查的结果联系400删除补丁,然后再次进行升级前检查,没有问题就可以开始升级了(老架构在升级前需要关闭配置同步,新老架构可能都需要打升级前置包,新架构直接导入安装即可,老架构可能需要使用到升级客户端)(此时两台备机已经升级完成)然后 售后巡检根据巡检打补丁、如果设备可以联网规则库就上架后再更新,确认没有问题后 备份配置。 将两台设备进行恢复初始化,再根据在运行设备的配置进行配置(有些像网络对象、黑白名单可以通过导入导出节省时间),如果看到未启用或配置了部分的内容询问下客户是否需要保留,设备开启高可用性设置为主控,等业务空档期将另外两台未升级的设备替换下来,先观察下确定业务正常运行差不多半个小时,也可以让客户测试下业务,我们在设备控制台看下流量情况,没有问题就将重复之前的升级前检查、备份、升级、巡检、备份、配置高可用性并设置为被控,此时先接心跳口确认配置是否已经同步完成(确保管理IP不在同步列表内)再接业务口,进行主控切换确认没有问题开始进行巡检,再根据巡检的要求进行配置或修改。此时基本上已经完成了替换工作,之后需要观察差不多一周左右确保替换没有问题。
三、在这里非常感谢人工客服和400小伙伴救我一命,上面看上去不多实际上是我和客户花了两天差不多24个显小时,从早上九点弄到晚上九点,客户也一直在协助我替换,否则两天也换不完。主要是升级的流程太花费时间了,老架构原本3.0.32升到3.0.35想着可以把配置导到新架构节省时间,没想到需要提前三天预约,最后硬着头皮和客户确认每个配置的是否保留。然后才升级到3.0.48,新架构则从8.0.75升级到8.0.95。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术员1级 
