一、配置指导书
1.1、如何对设备进行版本升级指导书
1.2、升级问题排错指导书
二、问题现象
AC或SG设备升级失败,出现报错信息等。
三、场景排查思维导图
1、确认版本信息是否有定制和KB
版本信息有定制或者KB的话,需要联系400确认新版本有合入再做修改升级。
2、升级前注意事项
2.1、DLAN版本变化
Dlan2.52:AC/SG1.8--AC/SG1.95
Dlan4.13:AC/SG1.96--AC/SG2.0
Dlan4.32:AC/SG3.4--AC/SG6.1
Dlan5.25:AC/SG11.0--AC/SG12.0
注意:dlan2.52和dlan4.x之间不能对接sangfor-vpn,dlan4.x和5.x之间可以对接。
2.2、功能删减情况
3.0x升级3.2版本,需要重置数据库,丢失数据中心日志;
3.3x升级3.4或4.2升级4.3版本丢失ips和垃圾邮件过滤功能;
6.1升级11.x后,数据中心历史数据中的用户/组排行和各类报表不支持转换,历史数据中的行为日志会进行索引,内置数据中心索引一周数据,外置数据中心索引一个月数据,超过的数据需要查询历史日志的时候,根据弹出的提示进行索引。
6.1升级11.x版本,主要丢失功能如下:
●邮件延迟审计
●URL智能识别
●黑白名单组
●信任的证书颁发机构/SSL安全控制
●外发文件告警
●安全策略:危险行为识别
●安全策略:ActiveX插件过滤
●安全策略:恶意网页过滤
●安全策略:安全桌面
●上网加速
●准入策略:应用程序时长统计
3、常见故障
3.1、如何使用升级检测脚本
3.2、升级11.0使用percheck检测脚本检测报错
3.2.1、AC/SG6.1,IAM4.1,AC10.2版本升级会检测规则库是否最新,可以升级如下规避包来规避规则库的检查。
3.2.2、AC/SG6.1开启准入策略的应用时长统计功能,加载升级包报错,如下图
【问题原因】:11.x去掉了该功能,因此升级前需要先关闭该功能。
【解决办法】:准入策略中关闭该项功能,重新升级版本即可。
3.2.3、AC/SG6.1上网时长提醒页面有进行定制检测不通过,报错如下图:
【报错原因】:AC/SG设备的上网时长提醒页面有进行定制,
【解决办法】:请去终端提示页面定制页面进行恢复默认操作,但是不要点击保存
3.3、升级11.2以上版本报错
3.3.1、提示命令处理错误
原因:设备刚刚重启完,分区没有挂载完全,此时加载升级包升级下一个版本时,遇到如上图报错。
3.3.2、升级5.0版本升级失败报错
【错误号:101】设备上的规则库太老;请升级或导入最新的规则库。
【解决办法】设备当前应用识别规则库版本必须比5.0升级包自带的规则库新(8月的规则库),否则不允许升级;如果已经是最新的规则库依旧报错,就回滚后重新更新一次再升级设备版本。
【错误号:102】自定义应用不允许与内置的应用名称和应用类型重名;
【错误号:103】一个自定义应用名称不允许同时归属两个应用类型;
【解决办法】请将自定义应用删除,或将其应用名称或应用类型改名。
【错误号:104】端口冲突,8028端口已被新版本占用;
【解决办法】请检查上网加速或控制台的端口配置,不允许使用8028端口。5.0设备邮件代理功能使用8028端口,所以不允许升级前有其他程序占用8028端口。
【错误号:105】自定义URL数不允许超过19条;
【解决办法】请删除超过19条URL组的自定义URL。
PS:从5.0版本开始小于1G内存设备将不允许升级;
四、信息获取
转400请提供如下信息
当前网络环境:
规则库是否最新:
是否打补丁包(Appversion可选):
五、维护说明
如对本场景使用有建议或疑问可以进行回帖反馈,我们回及时进行优化或答疑。
发表于 2017-11-17 09:45
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
