#2022争霸赛*干货满满#***VPN更换CF卡详细教程
  

Kane4828 82442人觉得有帮助

{{ttag.title}}
本帖最后由 Kane4828 于 2022-9-25 11:22 编辑

****单兵VPN扩容cf卡变更方案*
一、 背景
      XXXVPN设备自带1Gcf卡,由于设备存在较多定制补丁以及运行年限较长,目前设备剩余空间已不足,无法进行22年HW加固,经过目前库存评估,目前计划给各**先替换一台设备CF后做加固满足HW安全要求。
二、本次设计设备以及影响[td]
*产品线*
*区域*
*ID*
*软件版本*
SSL单兵系统集群真实服务器M7.5
影响范围[td]
*产品线*
*是否重启服务*
*是否重启设备*
*是否拆双机/集群*
SSL
三、解决方案
针对本次变更环境以及步骤如下
目前2台单兵VPN设备为集群负载均衡模式。
1、登陆真实服务器WEB控制台
  • 退出集群模式,备份全局配置,拔掉真实服务器所有接线(记录好设备接线状态)
  • 截图网络配置以及设备所有授权和序列号信息,以防后期恢复忘记(操作时间:10分钟 影响范围:集群变为分发器单机运行,不影响业务)



2、使用svpnbaktool工具将设备的补丁包全部拷贝出来。
  • Win7或Win10系统
  • 解压备份还原工具svpnbaktool.zip至D:\svpnbaktool
  • 在D:\svpnbaktool目录空白处“按住shift键后右击鼠标”出现如下界面点击“在此处打开命令窗口”
  • 备份或还原前先用升级工具打通sslvpn设备的ssh通道
  • 如果备份设备是7.5之前版本,需要检查备份设备是否启用了双机功能【系统维护】界面查看是否有双机界面并且配置了双机,(7.5之前版本默认没有双机功能,少部分客户打了双机补丁包才会有双机功能,7.5以及之后版本没有双机功能),工具不支持双机场景下使用,如果备份设备启用了双机,需要跟客户协商关闭双机功能在备份,可以考虑将备机设备退出双机后,对备机进行备份;如果备份设备启用双机时使用工具克隆拷贝到新设备,会导致新设备故障



执行命令
svpnbaktool -s admin@199.201.73.194  -pw  admin的密码  -fb
#199.201.73.194为备份设备的IP地址, -pw后面接的是控制台admin的密码不是后台密码
#如果设备admin的密码存在特殊字符可能会出现密码识别异常连接失败,可以将密码用英文的双引号括起来””
#svpnbaktool -s admin@199.201.73.194  -pw  "p@#$$$^^*LodnbjNSL"  -fb
备份文件比较大,持续时间一般15分钟左右,备份成功(网络不好的可能要30分钟 ),会在电脑本地当前目录/sslvpnsnapshot/full目录下生成 版本IP地址网关ID_日期.bvpn格式的备份文件,如下图所示出现个congratulations,backup to(表示成功备份)
列出备份名称
svpnbaktool -s admin@199.201.73.194 -pw  admin的密码  -l
#命令可以查看本地备份好的文件名,用于还原时使用
  • 对真实服务器进行cf卡更换(操作时间:30分钟)






      确认以上部署全部操作完成(全局备份、所有授权信息导出截图、补丁包以拷贝)



      换卡



      cf卡位置如截图所示,截图中这种CF卡的拔出方式是先下后面铁片上的螺丝把铁片下下来,然后按CF卡旁边的条状塑料CF卡就能弹出;xxx的单兵VPN设备没有这个铁片,直接找到cf卡用尖口钳或者其他东西把固定cf卡的塑料刮掉,然后把新cf卡插上。(cf卡插槽两边有轨道,按轨道插稳,因为没有塑料固定了,所以换完卡后上设备主要尽量平着上,避免剧烈晃动机箱导致cf卡松动)
      装机盒盖
  • 网口乱序问题处理




      因为本次总部刷cf卡母盘的设备网口和现场设备网口不一致,所以换完cf卡后开机设备默认管理口会乱序到光口上,所以需要上门替换前携带光转电模块或者和客户确认现场有光转电模块或者二层光电交换机。
    处理方法如下:



      先通过光转电或者其他方式,进设备后台(该操作需400配合)
      通过执行命令ethtool -p ethx(x代表端口号) ,执行后,界面会有一个口亮,这样可以找到错误的对应关系
      对每个口子都找到错误关系,然后整体对应制定调换方式,使用升级客户端将网口换正确即可
  • 升级,刷版本信息,打HW补丁






      CF卡发货是刷的7.1版本的母盘(发货时让硬件部刷好的),需要先提供网关id找深信服开临时升级序列号(其他序列号将第1步备份好的授权序列号复制粘贴到对应位置),升级到7,5版本
      使用sangfor_update6.0进行版本升级
      升级顺序如下:
      1.Upgrade_Step1_For_SSLM7.5.ssu
      2.Upgrade_Step2_For_SSLM7.5.ssu
      3.M7.5_SP.ssu
  • 还原补丁包备份






      升级客户端或者控制台执行sshftp命令启用ssh
      关闭打开控制台的所有浏览器窗口
      在D:\svpnbaktool目录空白处按住shift键后右击鼠标”出现如下界面点击“在此处打开命令窗口”
      执行命令:
svpnbaktool -s admin@199.**.7**.1**4  -pw  admin的密码    -r  M7.6.3_1**.201.**.19*_9A055F75_20181211-200734.bvpn

#注意:
199.201.73.194替换为还原设备的IP地址,  -r 后面接前面备份时生成的文件名;如果设备admin的密码存在特殊字符可能会出现密码识别异常,可以将密码用英文的双引号括起来””
#比如svpnbaktool -s admin@199.***.73.**4  -pw  "密码" -r  M7.6.3_199.201.73.194_9A055F75_20181211-200734.bvpn
如上图所示出现congratulations,restore from字样说明还原设备成功
  • 还原全局配置






      将之前从备份设备导出的配置,导入还原设备【注意还原配置操作仅支持IE浏览器,其他浏览器会出现导入之后配置不生效】,并重启还原设备
      控制台恢复全局配置至被还原的设备
    [img][/img]
  • 打HW包






      TDCommonSystemd_20210807_CTI-Support_M7.5-M7.6.9R1.acheck_pkg
      CHECK_SP_SSL_IMPROVE_COM(20220701).acheck_pkg
  • 打防串货标识






      完成以上操作后联系400同事,解决授权非法告警(见下图),授权名称为:xxxxx(设备订单里的客户名称)
回退方案
1、扩容过程中出现问题:
  • 真实服务器扩容完单独承载业务不正常的话拔掉真实服务器接线,重新恢复分发器接线承载业务,先保障业务正常,再排查解决真实服务器问题。



2、扩容后出现问题:
  • HW中出现问题:先对扩容的设备进行问题处理,确认无法直接解决的话,评估影响时间考虑将4Gcf卡迁移到另一台设备上承载业务(理论可行,但是刷好版本的cf卡替换到设备上会导致设备编码变更,授权会出现问题,需要重新导入原分发器授权,真实服务器扩容完设备硬件故障现场无法修复再考虑此应急方案)
  • HW后出现问题:拔掉真实服务器接线,重新恢复分发器接线承载业务,先保障业务正常,再排查解决真实服务器问题。



打赏鼓励作者,期待更多好文!

打赏
37人已打赏

96445 发表于 2022-9-6 10:40
  
感谢楼主分享!文章对SSL VPN替换CF卡的流程很有帮助,步骤清晰详尽。发帖时需注意 客户名称、设备IP、控制台密码等信息需要脱敏,另外内容排版上也存在进一步优化的空间,增加可读性,优化读者体验。期待后续楼主带来更多有价值的分享!
zjwshenxian 发表于 2022-9-5 20:52
  
感谢分享,有益工资            
飞翔的苹果 发表于 2022-9-6 08:00
  
感谢楼主的分享,学习学习~~~
王蒙召 发表于 2022-9-6 08:19
  
感谢楼主的分享,学习学习~~~
白鹭先生 发表于 2022-9-6 08:37
  
感谢楼主的分享,学习学习
阿勒泰 发表于 2022-9-6 08:39
  
感谢分享,有助于工作,学习了!!!
新手581097 发表于 2022-9-6 09:03
  
我在社区摸爬滚打这么多年,所谓阅人无数,就算没有见过猪走路,也总明白猪肉是啥味道的。一看到楼主的气势,我就觉得楼主同在社区里灌水的那帮小混子有着本质的差别,你一定就是传说中的最强技术牛。
向上吧,少年 发表于 2022-9-6 09:03
  
每日一学,坚持打卡。
新手823266 发表于 2022-9-6 09:25
  
感谢楼主的分享,学习学习~~~
奔走的公牛 发表于 2022-9-6 09:29
  
感谢分享,有益工资            
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
安全效果
干货满满
西北区每日一问
技术笔记
新版本体验
功能体验
【 社区to talk】
技术咨询
标准化排查
2023技术争霸赛专题
产品连连看
GIF动图学习
信服课堂视频
每周精选
自助服务平台操作指引
秒懂零信任
技术晨报
技术圆桌
通用技术
答题自测
安装部署配置
每日一记
原创分享
玩转零信任
场景专题
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版版主

3
0
3

发帖

粉丝

关注

27
77
84

发帖

粉丝

关注

本版达人

新手24268...

本周建议达人

阿凯

本周分享达人

新手39341...

本周提问达人