瞻博-Juniper-SSG-双机高可用（HA）平滑升级经验分享篇

ibaobei

　　已经十一月第三周最后一天了，博客依然是那个博客，学技术的那个人依然是那个人，哈哈。这里不免稍微感性一番，确实这一年在忙碌中过去了，几乎都没感知的过去了。依稀记得一月份的目标和指标。
　　好了，不过多回忆过去了，也聊聊我接触的一款防火墙JUNIPER-SSG系列，企业组网，高可用等等我在博客中每逢发布新文章都会聊到，所以可见这一个部分在现在和未来是有多重要。
　　不过会配置不重要，会维护有真实场景演练实验过才是最厉害的（这里不是说我厉害噢），割接有详细的计划，别看一个小小的固件升级，倘若在高可用中去操作，应甲方要求不允许中断等，都必须有相对较多的实施经验和故障处理经验。
　　今天这一篇文章的介绍，偏理论一点。但总体思路是没问题得，大家自我领会即可。在文章最后，我会补充一些我在实施中的奇怪现象，就当大家一起换换脑子，思考思考。
　　好了，进入主菜。
　　step1．使用Tftp备份两台防火墙现有配置文件和OS系统文件。 并查看是否有挂monitor监测，若挂监测可以事先关掉。
　　step2．升级步骤为先升级备用设备后升级主用设备，如果是Active/Active模式请切换为Active/Passive模式后再升级备用设备。用笔记本电脑连接NS-B的Console口和MGT口，通过Web界面上对NS-B进行升级，并在Console口上观察升级过程。
　　PS：这里完全可以远程实施升级，因为我就这样做过一次，完全没问题
　　step3．NS-B升级后将自动重启，通过Console口观察重启过程。启动后在console上输入get system命令，验证升级后的版本号。输入get license，验证license信息是否符合升级要求。输入get nsrp，验证此设备处于备机状态。
　　step4．Session信息应该自动从主机上同步到备机。为进一步确保Session信息同步，在NS-B上执行exec nsrp syn rto all from peer，手工同步Session信息
　　step5．主备双机进行状态切换。用笔记本接NS-A的Console口，输入exec nsrp vsd-group 0 mode backup命令，将状态切换。使用get nsrp命令，验证设备状态已切换完成，此时NS-A为备机，NS-B为主机。
　　step6．在Web界面上对NS-A进行升级，在Console口上观察升级过程。
　　step7．NS-A升级后会自动重起，在Console口上观察重起过程。启动后在console上输入get system命令，验证升级后的版本号。输入get license，验证license信息是否满足升级需求。输入get nsrp验证此台设备为备机状态。
　　step8．恢复原先的主备状态：在NS-B上执行exec nsrp vsd-group 0 mode backup命令，将状态切换。验证设备状态已切换完成，此时NS-A为主机，NS-B为备机。
　　step9．在设备NS-A上执行exec nsrp syn vsd-group 0 global-config checksum，验证两台设备的配置同步。如双机配置文件没有同步，请执行exec nsrp syn vsd-group 0 global-config save 手动进行配置同步。
　　step10．观察两台防火墙的日志，验证是否存在异常告警信息。
　　整个过程，算上本地（远程）upload fireware的时间，可以控制5-8分钟（5-13分钟）内。只要深刻研读过Juniper-nsrp的底层原理，这个事情的难度简直是“小菜”
　　这里，在留给大家几个有意思的实施现象。

• 　　两台不同版本的Juniper-SSG320，我在配置NSRP时，HA协议起来了，而且可以正常切换。这个对于现在的其他厂商都是不可能的，比如：山石、华为、深信服、华三、思科等
  
• 　　接了HA心跳线，上游和下游的线路都没有接入，HA配置核对了不下于十遍，配置就是不同步。不知道怎么回事？（最后发现其实是正常的，只是我过多的关注设备名不一样，其实HA的特性就是设备名不同步）
  
• 　　HA起来后，在经过一阵子之后，主设备无法正常登陆（配置了ACS），在我检查了ACS好多遍之后，仍然登录不上，最后我实在没办法叫人去本地console，查看到主设备情况。也没发现任何问题。自后做了一个尝试，set admin manage-ip x.x.x.x 加入一个可网管设备的源公网，一切恢复了
  
• 　　。。。。。。。。
  

　　还有很多小问题，我这里就不过多聊了，因为本章主要内容是介绍双机平滑升级的思路，嘿嘿。
　　——————————这里仍然是来自一家二级运营商的网工的分享