Имеется 2 маршрутизатора ESR в составе кластера Active/Standby с firewall failover для резервирования сессий Firewall. Необходимо обновить ПО без прерывания сервисов в схеме.
cluster cluster-interface bridge 1 unit 1 mac-address a8:f9:4b:ad:07:f8 exit unit 2 mac-address a8:f9:4b:ac:e8:9c exit enable exit hostname ESR-1 unit 1 hostname ESR-2 unit 2 object-group service FAILOVER port-range 9999 exit object-group network SYNC_SRC ip address-range 192.18.1.254 unit 1 ip address-range 192.18.1.253 unit 2 exit object-group network SYNC_DST ip address-range 192.18.1.253 unit 1 ip address-range 192.18.1.254 unit 2 exit security zone SYNC exit security zone LAN exit bridge 1 vlan 1 security-zone SYNC ip address 192.18.1.254/24 unit 1 ip address 192.18.1.253/24 unit 2 vrrp id 1 vrrp ip 192.18.1.1/24 vrrp group 1 vrrp enable exit interface gigabitethernet 1/0/2 security-zone LAN ip address 192.1.2.254/24 vrrp id 2 vrrp ip 192.1.2.1/24 vrrp group 1 vrrp authentication key ascii-text encrypted 88B11079B51D vrrp authentication algorithm md5 vrrp exit interface gigabitethernet 1/0/3 description "Network: SYNC" mode switchport exit interface gigabitethernet 2/0/2 security-zone LAN ip address 192.1.2.253/24 vrrp id 2 vrrp ip 192.1.2.1/24 vrrp group 1 vrrp authentication key ascii-text encrypted 88B11079B51D vrrp authentication algorithm md5 vrrp exit interface gigabitethernet 2/0/3 description "Network: SYNC" mode switchport exit ip failover local-address object-group SYNC_SRC remote-address object-group SYNC_DST vrrp-group 1 exit security zone-pair SYNC self rule 1 action permit match protocol icmp enable exit rule 2 action permit match protocol vrrp enable exit rule 3 action permit match protocol ah enable exit rule 4 action permit match protocol udp match destination-port object-group FAILOVER enable exit exit security zone-pair LAN self rule 1 action permit enable exit exit ip firewall failover sync-type unicast port 9999 enable exit
- Первоначально необходимо обновить standby устройство:
Необходимо подключиться к обновляемому устройству по консольному кабелю или предварительно настроив доступ по SSH(Подробнее см. в разделе Настройка доступа SSH, Telnet справочника команд CLI.)
Загружаем ПО (firmware-файл) на сервисный маршрутизатор ESR c использованием одного из протоколов удаленной загрузки файлов.
ESR-2# copy tftp://<tftp-server-ip>:/<firmware-file> system:firmware |******************************************| 100% (0B) Firmware updated successfully.
Далее необходимо выбрать образ ПО обновленной версии для следующей загрузки. Перезагрузить сервисный маршрутизатор.
ESR-2# show bootvar
Image Version Date Status After reboot
----- --------------- ------------------------------ --------------- ----------
1 1.24.1 build 2024-11-11 13:14:54 Not Active
3[18a8c04558]
2 1.24.0 build 2024-08-06 14:52:54 Active *
7[e5aaa4200]
ESR-2# boot system image-1
This command cannot be interrupted, do not turn off device during process.
Continue? (y/N): y
2037-02-26T02:20:36+00:00 %FILE_MGR-I-INFO: operation started: 'boot system image-1' (index: 1, origin: CLI)
2037-02-26T02:20:52+00:00 %FIRMWARE-I-INFO: Writing data...
2037-02-26T02:21:08+00:00 %FILE_MGR-I-INFO: operation is finished: 'boot system image-1' (index: 1, origin: CLI)
Boot image set successfully.
Successfully updated: uboot
ESR-2# reload sys
Do you really want to reload system now? (y/N): y
После перезагрузки видим сообщение о том, что наши версии с мастером не совпадaют:
2037-02-25T22:13:14+00:00 %CLUSTER-W-SYNC_FIRMWARE_WARN: unit 1 'ESR-1' SW version not synced with local
Убедиться можно командой show version:
Unit Hostname Boot version SW version HW version ---- --------------- ------------------------------ ------------------------------------ ---------- 1 ESR-1 1.24.0.7 (2024-08-06 14:53:09) 1.24.0 build 7 (2024-08-06 14:52:54) 1v4 2* ESR-2 1.24.1.3 (2024-11-11 13:15:09) 1.24.1 build 3 (2024-11-11 13:14:54) 1v4
Также, проверить синхронизацию можно командой show cluster sync status:
System part Synced ---------------------- ------ candidate-config Yes running-config Yes SW version No licence Yes licence (After reboot) Yes date Yes
2. Теперь для проверки корректности работы на новом ПО необходимо перевести наш Backup маршрутизатор в активный, т.е. перенести нагрузку на него.
Для этого применяем команду clear vrrp-state на Active маршрутизаторе.
ESR-1# clear vrrp-state ESR-1# 2037-02-26T02:41:03+00:00 %VRRP-I-INSTANCE: VRRP2 Entering BACKUP state 2037-02-26T02:41:03+00:00 %VRRP-I-INSTANCE: VRRP1 Entering BACKUP state
Убеждаемся, что сменилась активная роль в кластере командой show cluster status:
Unit Hostname Role MAC address State IP address ---- -------------------- ---------- ----------------- -------------- --------------- 1* ESR-1 Standby ec:b1:e0:d0:2a:c0 Joined 192.18.1.254 2 ESR-2 Active ec:b1:e0:d0:6f:18 Joined 192.18.1.253
Также можно убедиться, что наши сервисы не прервались и мастерство сменилось командой show high-availability state:
DHCP server:
State: Disabled
Last state change: --
crypto-sync:
State: Disabled
Firewall:
Firewall sessions and NAT translations:
Tracking VRRP Group 1
Tracking VRRP Group state: Backup
State: Successful synchronization
Fault Reason: --
Last synchronization: 2037-02-25 22:45:16
3. В случае если весь требуемый функционал на актуальной версии ПО работает корректно, обновляем оставшееся устройство командой sync cluster system force на active устройстве, она начнет процесс синхронизации: автоматически обновит ПО standby устройства и перезагрузит.
ESR-2# sync cluster system force Unit 1 'ESR-1': system synchronization was started ESR-2# 2037-02-26T02:42:54+00:00 %FILE_MGR-I-INFO: operation started: 'copy system:firmware flash:firmware' (index: 1, origin: esrfs) 2037-02-26T02:42:55+00:00 %FILE_MGR-I-INFO: operation is finished: 'copy system:firmware flash:firmware' (index: 1, origin: esrfs) 2037-02-26T02:42:55+00:00 %FILE_MGR-I-INFO: operation started: 'copy system:firmware flash:firmware' (index: 2, origin: esrfs) 2037-02-26T02:42:56+00:00 %FILE_MGR-I-INFO: operation is finished: 'copy system:firmware flash:firmware' (index: 2, origin: esrfs) 2037-02-26T02:43:14+00:00 %CLUSTER-I-SYNC_SYSTEM_INFO: from unit 1 'ESR-1': system will be rebooted for apply all changes
Если необходимо обратно вернуть мастерство - снова применяем команду clear vrrp-state на Active маршрутизаторе.
4. В противном случае, возвращаем мастерство на устройство, которое работает на старом ПО и снова выполняем команду sync cluster system force для отката ПО на втором устройстве.