#2022争霸赛*干货满满#***VPN更换CF卡详细教程

****单兵VPN扩容cf卡变更方案*

一、 背景

      XXXVPN设备自带1Gcf卡，由于设备存在较多定制补丁以及运行年限较长，目前设备剩余空间已不足，无法进行22年HW加固，经过目前库存评估，目前计划给各**先替换一台设备CF后做加固满足HW安全要求。

二、本次设计设备以及影响[td]

*产品线*	*区域*	*ID*	*软件版本*
SSL	单兵系统集群真实服务器		M7.5

影响范围[td]

*产品线*	*是否重启服务*	*是否重启设备*	*是否拆双机/集群*
SSL	否	是	是

三、解决方案

针对本次变更环境以及步骤如下

目前2台单兵VPN设备为集群负载均衡模式。

1、登陆真实服务器WEB控制台

• 退出集群模式，备份全局配置，拔掉真实服务器所有接线(记录好设备接线状态)
• 截图网络配置以及设备所有授权和序列号信息，以防后期恢复忘记（操作时间：10分钟 影响范围：集群变为分发器单机运行，不影响业务）

  
  

  
  
  
  

2、使用svpnbaktool工具将设备的补丁包全部拷贝出来。

• Win7或Win10系统
• 解压备份还原工具svpnbaktool.zip至D:\svpnbaktool
• 在D:\svpnbaktool目录空白处“按住shift键后右击鼠标”出现如下界面点击“在此处打开命令窗口”
• 备份或还原前先用升级工具打通sslvpn设备的ssh通道
• 如果备份设备是7.5之前版本，需要检查备份设备是否启用了双机功能【系统维护】界面查看是否有双机界面并且配置了双机，（7.5之前版本默认没有双机功能，少部分客户打了双机补丁包才会有双机功能，7.5以及之后版本没有双机功能），工具不支持双机场景下使用，如果备份设备启用了双机，需要跟客户协商关闭双机功能在备份，可以考虑将备机设备退出双机后，对备机进行备份；如果备份设备启用双机时使用工具克隆拷贝到新设备，会导致新设备故障

  
  

  
  
  
  

执行命令

svpnbaktool -s admin@199.201.73.194  -pw  admin的密码  -fb
#199.201.73.194为备份设备的IP地址， -pw后面接的是控制台admin的密码不是后台密码
#如果设备admin的密码存在特殊字符可能会出现密码识别异常连接失败，可以将密码用英文的双引号括起来””
#svpnbaktool -s admin@199.201.73.194  -pw  "p@#$$$^^*LodnbjNSL"  -fb

备份文件比较大，持续时间一般15分钟左右，备份成功(网络不好的可能要30分钟 )，会在电脑本地当前目录/sslvpnsnapshot/full目录下生成 版本IP地址网关ID_日期.bvpn格式的备份文件，如下图所示出现个congratulations,backup to（表示成功备份）

列出备份名称

svpnbaktool -s admin@199.201.73.194 -pw  admin的密码  -l
#命令可以查看本地备份好的文件名，用于还原时使用

• 对真实服务器进行cf卡更换（操作时间：30分钟）

  
  

  
  

  
  

  
  
  
  
  确认以上部署全部操作完成(全局备份、所有授权信息导出截图、补丁包以拷贝)

  

  
  
  
  
  换卡

  

  
  
  
  
  cf卡位置如截图所示，截图中这种CF卡的拔出方式是先下后面铁片上的螺丝把铁片下下来，然后按CF卡旁边的条状塑料CF卡就能弹出；xxx的单兵VPN设备没有这个铁片，直接找到cf卡用尖口钳或者其他东西把固定cf卡的塑料刮掉，然后把新cf卡插上。（cf卡插槽两边有轨道，按轨道插稳，因为没有塑料固定了，所以换完卡后上设备主要尽量平着上，避免剧烈晃动机箱导致cf卡松动）
  装机盒盖
• 网口乱序问题处理

  
  

  
  

  
  
  
  因为本次总部刷cf卡母盘的设备网口和现场设备网口不一致，所以换完cf卡后开机设备默认管理口会乱序到光口上，所以需要上门替换前携带光转电模块或者和客户确认现场有光转电模块或者二层光电交换机。

  处理方法如下：

  
  
  
  
  先通过光转电或者其他方式，进设备后台(该操作需400配合)
  通过执行命令ethtool -p ethx（x代表端口号） ，执行后，界面会有一个口亮，这样可以找到错误的对应关系
  对每个口子都找到错误关系，然后整体对应制定调换方式，使用升级客户端将网口换正确即可

  

  
• 升级，刷版本信息，打HW补丁

  
  

  
  

  
  

  
  
  
  
  CF卡发货是刷的7.1版本的母盘（发货时让硬件部刷好的），需要先提供网关id找深信服开临时升级序列号（其他序列号将第1步备份好的授权序列号复制粘贴到对应位置），升级到7,5版本
  使用sangfor_update6.0进行版本升级
  升级顺序如下：
  1.Upgrade_Step1_For_SSLM7.5.ssu
  2.Upgrade_Step2_For_SSLM7.5.ssu
  3.M7.5_SP.ssu
• 还原补丁包备份

  
  

  
  

  
  

  
  
  
  
  升级客户端或者控制台执行sshftp命令启用ssh
  关闭打开控制台的所有浏览器窗口
  在D:\svpnbaktool目录空白处按住shift键后右击鼠标”出现如下界面点击“在此处打开命令窗口”
  执行命令：

svpnbaktool -s admin@199.**.7**.1**4  -pw  admin的密码    -r  M7.6.3_1**.201.**.19*_9A055F75_20181211-200734.bvpn

#注意：
199.201.73.194替换为还原设备的IP地址，  -r 后面接前面备份时生成的文件名；如果设备admin的密码存在特殊字符可能会出现密码识别异常，可以将密码用英文的双引号括起来””
#比如svpnbaktool -s admin@199.***.73.**4  -pw  "密码" -r  M7.6.3_199.201.73.194_9A055F75_20181211-200734.bvpn

如上图所示出现congratulations，restore from字样说明还原设备成功

• 还原全局配置

  

  
  

  
  

  
  

  
  
  
  
  将之前从备份设备导出的配置，导入还原设备【注意还原配置操作仅支持IE浏览器，其他浏览器会出现导入之后配置不生效】，并重启还原设备
  控制台恢复全局配置至被还原的设备

  [img][/img]
• 打HW包

  
  

  
  

  
  

  
  
  
  
  TDCommonSystemd_20210807_CTI-Support_M7.5-M7.6.9R1.acheck_pkg
  CHECK_SP_SSL_IMPROVE_COM(20220701).acheck_pkg
• 打防串货标识

  
  

  
  

  
  

  
  
  
  
  完成以上操作后联系400同事，解决授权非法告警（见下图），授权名称为：xxxxx(设备订单里的客户名称)

回退方案

1、扩容过程中出现问题：

• 真实服务器扩容完单独承载业务不正常的话拔掉真实服务器接线，重新恢复分发器接线承载业务，先保障业务正常，再排查解决真实服务器问题。

  
  

  
  
  
  

2、扩容后出现问题：

• HW中出现问题：先对扩容的设备进行问题处理，确认无法直接解决的话，评估影响时间考虑将4Gcf卡迁移到另一台设备上承载业务（理论可行，但是刷好版本的cf卡替换到设备上会导致设备编码变更，授权会出现问题，需要重新导入原分发器授权，真实服务器扩容完设备硬件故障现场无法修复再考虑此应急方案）
• HW后出现问题：拔掉真实服务器接线，重新恢复分发器接线承载业务，先保障业务正常，再排查解决真实服务器问题。

  
  

  
  
  
  

感谢楼主分享！文章对SSL VPN替换CF卡的流程很有帮助，步骤清晰详尽。发帖时需注意 客户名称、设备IP、控制台密码等信息需要脱敏，另外内容排版上也存在进一步优化的空间，增加可读性，优化读者体验。期待后续楼主带来更多有价值的分享！

感谢楼主的分享，学习学习~~~

没有接触过，啥也看不懂！

感谢楼主的分享，学习学习~~~

感谢楼主分享，每日学习打卡

每天学习一点，每天进步一点。