瞻博-Juniper-SSG-雙機高可用（HA）平滑升級經驗分享篇

已經十一月第三週最後一天了，博客依然是那個博客，學技術的那我的依然是那我的，哈哈。這裏難免稍微感性一番，確實這一年在忙碌中過去了，幾乎都沒感知的過去了。依稀記得一月份的目標和指標。

好了，不過多回憶過去了，也聊聊我接觸的一款防火牆JUNIPER-SSG系列，企業組網，高可用等等我在博客中每逢發佈新文章都會聊到，因此可見這一個部分在如今和將來是有多重要。

不過會配置不重要，會維護有真實場景演練實驗過纔是最厲害的（這裏不是說我厲害噢），割接有詳細的計劃，別看一個小小的固件升級，假若在高可用中去操做，應甲方要求不容許中斷等，都必須有相對較多的實施經驗和故障處理經驗。

今天這一篇文章的介紹，偏理論一點。但整體思路是沒問題得，你們自我領會便可。在文章最後，我會補充一些我在實施中的奇怪現象，就當你們一塊兒換換腦子，思考思考。

好了，進入主菜。

step1．使用Tftp備份兩臺防火牆現有配置文件和OS系統文件。 並查看是否有掛monitor監測，若掛監測能夠事先關掉。

step2．升級步驟爲先升級備用設備後升級主用設備，若是是Active/Active模式請切換爲Active/Passive模式後再升級備用設備。用筆記本電腦鏈接NS-B的Console口和MGT口，經過Web界面上對NS-B進行升級，並在Console口上觀察升級過程。 

PS：這裏徹底能夠遠程實施升級，由於我就這樣作過一次，徹底沒問題

step3．NS-B升級後將自動重啓，經過Console口觀察重啓過程。啓動後在console上輸入get system命令，驗證升級後的版本號。輸入get license，驗證license信息是否符合升級要求。輸入get nsrp，驗證此設備處於備機狀態。 

step4．Session信息應該自動從主機上同步到備機。爲進一步確保Session信息同步，在NS-B上執行exec nsrp syn rto all from peer，手工同步Session信息

step5．主備雙機進行狀態切換。用筆記本接NS-A的Console口，輸入exec nsrp vsd-group 0 mode backup命令，將狀態切換。使用get nsrp命令，驗證設備狀態已切換完成，此時NS-A爲備機，NS-B爲主機。

 

step6．在Web界面上對NS-A進行升級，在Console口上觀察升級過程。 

step7．NS-A升級後會自動重起，在Console口上觀察重起過程。啓動後在console上輸入get system命令，驗證升級後的版本號。輸入get license，驗證license信息是否知足升級需求。輸入get nsrp驗證此臺設備爲備機狀態。 

step8．恢復原先的主備狀態：在NS-B上執行exec nsrp vsd-group 0 mode backup命令，將狀態切換。驗證設備狀態已切換完成，此時NS-A爲主機，NS-B爲備機。 

step9．在設備NS-A上執行exec nsrp syn vsd-group 0 global-config checksum，驗證兩臺設備的配置同步。如雙機配置文件沒有同步，請執行exec nsrp syn vsd-group 0 global-config save 手動進行配置同步。 

step10．觀察兩臺防火牆的日誌，驗證是否存在異常告警信息。

整個過程，算上本地（遠程）upload fireware的時間，能夠控制5-8分鐘（5-13分鐘）內。只要深入研讀過Juniper-nsrp的底層原理，這個事情的難度簡直是「小菜」

這裏，在留給你們幾個有意思的實施現象。

1. 兩臺不一樣版本的Juniper-SSG320，我在配置NSRP時，HA協議起來了，並且能夠正常切換。這個對於如今的其餘廠商都是不可能的，好比：山石、華爲、深信服、華3、思科等

2. 接了HA心跳線，上游和下游的線路都沒有接入，HA配置覈對了不下於十遍，配置就是不一樣步。不知道怎麼回事？（最後發現實際上是正常的，只是我過多的關注設備名不同，其實HA的特性就是設備名不一樣步）

3. HA起來後，在通過一陣子以後，主設備沒法正常登錄（配置了ACS），在我檢查了ACS好多遍以後，仍然登陸不上，最後我實在沒辦法叫人去本地console，查看到主設備狀況。也沒發現任何問題。自後作了一個嘗試，set admin manage-ip x.x.x.x 加入一個可網管設備的源公網，一切恢復了

4. 。。。。。。。。

還有不少小問題，我這裏就不過多聊了，由於本章主要內容是介紹雙機平滑升級的思路，嘿嘿。

                ——————————這裏仍然是來自一家二級運營商的網工的分享