本帖最后由 福田周大强 于 2021-1-29 15:57 编辑
2021/1/6接到厂家通知,要给防火墙打加固包,照理说只有设备出现重大安全漏洞的时候(或防范于未然,我们的设备有高级设计,厂家会第一时间通知到用户。但是升级后出现的问题就很让人无语了 设备双机不正常,终端上网不正常(无限掉线)提示登录防火墙web管理页面密码错误,提示授权错误。
, 经查看没有SP_AF_JG_09,需要打补丁包,前期已经明确跟工程师说明,本地是双机部署,工程师确定没问题 第一个项目已经明确描述升级后出现的问题,故不再另作描述,这里开始只描述解决流程
一,第一时间老老实实拿笔记本电脑钻机房,两台设备各自登录查看补丁包是否一致(因为这个时候局域网已经没办法登录web管理页面,提示我密码错误(什么鬼,我都没改过密码)
二,进入冷冰冰的机房(此时心里已经”万马奔腾“)脑子开动十万转模式,笔记本电脑直连设备首先登录原”主控“查看补丁包是否已经打上?发现问题:主控没有补丁包,原备机已经自动切换为主控。接着登录已经被切换为主控的备机查看补丁包,发现加固包已经打上。初步判断两机版本不一致。拔掉心跳线,登录原主控打加固包,打上加固包后设备自动重启服务。插心跳线,接着问题依旧...... 在局域网状态下打开管理页面,无限自动刷新。而且发现原备机竟然变成了未授权状态,此时只能恢复配置了,恢复配置后显示备机授权正常。
三,再次直连原主控,查看加固包已经打上,再查看已经切换为主控的原备机加固包版本是否跟原主控版本一致,确定版本一致。但是提示两台防火墙心跳线不正常,排查心跳线(确定心跳线插好,网线没问题)重启原备机....等了N年后,重启好了,问题依旧,两台机都是主控  (阿西吧) 四,此时的心情已经不能用万马奔腾来形容了,因为又出现了两个新的问题,两台机都是主控肯定在打架了~ 无法上外网,再次直连登录原主控,选择确定本机为主控,再登录原备控设置为备机,但是,但是,但是,问题依旧~啊啊啊啊啊啊啊啊啊啊啊,接着继续排查,查看原主控跟备机的心跳线IP地址是否正确?找到问题,两台机器的心跳IP跟对端地址全是一样了 所以造成两台AF都是主控,造成此问题的原因是恢复了配置,但是如果不恢复配置就没法上网,授权都没有,简直了。
五,既然找到了问题,那么解决问题就相对简单了,停掉双机热备,清除心跳IP,重新设置两端心跳IP,插线。双机状态开启。 嗯,又来了问题。 排查备机授权,授权一致。查看主控安全库规则状态是最新,排查主控机器系统时间,接着排查备机主控时间。时间不一致 ,但是跟这些都没一点关系。
得吧,手动同步配置吧。同步完后查看双机规则,有无红色感叹号提示。
问题完美解决
对用户的建议:做任何升级改动前,备份配置,最好手动备份,并将备份文件另取名保存(特别是在多设备的情况下)
| 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
来自 # 
发表于 2021-1-15 08:39
学习了!!!
技术员2级 
