HUAWEI-ASG2000-应用安全网关-V100R001C10SPC200-升级指导书

1、 ( DOCPROPERTY ReleaseDate 2016-03-03) DOCPROPERTY PartNumber DOCPROPERTY Product&Project Name HUAWEI ASG2000 应用安全网关 DOCPROPERTY ProductVersion V100R001C10SPC200 DOCPROPERTY DocumentName 升级指导书文档版本 DOCPROPERTY DocumentVersion 01发布日期 DOCPROPERTY ReleaseDate 2016-03-03华为技术有限公司文档版本 DOCPROPERTY DocumentV

2、ersion * MERGEFORMAT 01 ( DOCPROPERTY ReleaseDate 2016-03-03) DOCPROPERTY ProprietaryDeclaration * MERGEFORMAT 华为专有和保密信息 版权所有 华为技术有限公司 华为专有和保密信息 版权所有 华为技术有限公司 PAGE i 版权所有 华为技技术有限公司2016。 保留一切权利。非经本公司书面许可，任任何单位和个人不不得擅自摘抄、复复制本文档内容的的部分或全部，并并不得以任何形式式传播。商标声明和其他华为商标均为华华为技术有限公司司的商标。本文档提及的其他所有有商标或注册商标标，由各自的所

3、有有人拥有。注意您购买的产品、服务或或特性等应受华为为公司商业合同和和条款的约束，本本文档中描述的全全部或部分产品、服务或特性可能能不在您的购买或或使用范围之内。除除非合同另有约定定，华为公司对本本文档内容不做任任何明示或默示的的声明或保证。由于产品版本升级或其其他原因，本文档档内容会不定期进进行更新。除非另另有约定，本文档档仅作为使用指导导，本文档中的所所有陈述、信息和和建议不构成任何何明示或暗示的担担保。华为技术有限公司地址：深圳市龙岗区坂田华为为总部办公楼 邮编：518129网址： HYPERLINK DOCPROPERTY Product&Project NameHUAWEI ASG2

4、000 应用安全网关 DOCPROPERTY DocumentName 升级指导书 STYLEREF Contents 目 录 DOCPROPERTY Product&Project NameHUAWEI ASG2000 应用安全网关 DOCPROPERTY DocumentName 升级指导书 STYLEREF Contents 目 录文档版本 DOCPROPERTY DocumentVersion * MERGEFORMAT 01 ( DOCPROPERTY ReleaseDate 2016-03-03) DOCPROPERTY ProprietaryDeclaration * MERGE

5、FORMAT 华为专有和保密信息 版权所有 华为技术有限公司华为专有和保密信息 版权所有 华为技术有限公司PAGE iii DOCPROPERTY DocumentVersion * MERGEFORMAT 01 DOCPROPERTY ProprietaryDeclaration * MERGEFORMAT 华为专有和保密信息 版权所有 华为技术有限公司PAGE lx DOCPROPERTY DocumentVersion * MERGEFORMAT 01 DOCPROPERTY ProprietaryDeclaration * MERGEFORMAT 华为专有和保密信息 版权所有 华为技术

6、有限公司华为专有和保密信息 版权所有 华为技术有限公司PAGE 7升级前必读关于本章 HYPERLINK l _asg_upgrade_guide_0001 o 1.1 升级场景说说明 HYPERLINK l _asg_upgrade_guide_0002 o 1.2 升级方式介介绍 HYPERLINK l _asg_upgrade_guide_0003 o 1.3 升级流程 HYPERLINK l _asg_upgrade_guide_0004 o 1.4 升级影响 HYPERLINK l _asg_upgrade_guide_0007 o 1.5 注意事项升级场景说明ASG主要包括两部分分

7、：ASG设备、ASG管理中心心。ASG升级包包括这两部分的升升级，不同的部署署场景，升级方式式也有所不同。ASG设备的部署方式式有两种，单机与与双机热备，这两两种部署方式主要要来源于组网环境境，不论哪种部署署方案，升级过程程中需要遵循特定定的操作顺序和注注意事项，以便将将升级过程对业务务的影响降到最小小。下面分别为ASG设备备每种部署方式提提供升级方案：组网环境中，ASG设设备作为单机部署署到网络拓扑中。具体的升级操作指导请请参见REF _asg_upgrade_guide_0017 r h2.2 REF _asg_upgrade_guide_0017-chtext h单机环境境下的版本升级。

8、通过在同一地点部署两两台ASG设备，且且设备之间配置心心跳线。其中一台台作为Master设设备，另一台作为为Slave设备备。如果其中一台台设备发生故障，另另外一台设备可以以迅速接替其工作作，避免了单点故故障，提高了网络络的稳定性和可靠靠性。这种部署方式在升级过过程中需要遵循特特定的操作顺序和和注意事项，以便便将升级过程对业业务的影响降到最最小。升级的主要要原则：先升级Slave设设备，再升级Master设设备，且升级过程程中，心跳线是断断开的；具体的操操作方式与单机环环境下升级相同，请请参见REF _asg_upgrade_guide_0020 r h2.3 REF _asg_upgrade

9、_guide_0020-chtext h双机热备备环境下升级ASG版版本软件。ASG管理中心的部署署方式有两种：集集中式部署与分布布式部署。下面分别为ASG管理理中心每种部署方方式提供升级方案案：仅有一台服务器，同时时具备ASG管理理中心服务器和日日志采集器的功能能，安装方式为ASG管管理中心+日志采采集器。这种部署方式，是将ASG管管理中心与日志采采集器通过一个安安装程序部署在一一台服务器上的。这这种部署方式一次次升级就能完成整整套ASG管理中中心系统的升级，具具体的升级操作指指导请参见REF _asg_upgrade_guide_0035 r h3.2 REF _asg_upgrade_g

10、uide_0035-chtext h集中式部署升级级。多台服务器分布式部署署，其中一台服务务器为ASG管理理中心服务器（安安装方式为ASG管管理中心+日志采采集器），其余服服务器为日志采集集器服务器（安装装方式为日志采集集器单独安装）。这种部署方式，服务器器通常分布式部署署在多个地点，所所有日志采集器服服务器与ASG管管理中心服务器网网络连通，但各个个日志采集器无冗冗余备份，它们之之间的网线也不要要求是互通的。升升级时，首先升级级各个日志采集器器服务器（请参见见REF _asg_upgrade_guide_0041 r h3.3.1 REF _asg_upgrade_guide_0041-ch

11、text h升级级日志采集器），可可在不同的时间进进行升级，但各个个日志采集器升级级后的版本应该是是要一致的。最后后升级ASG管理理中心服务器（请请参见REF _asg_upgrade_guide_0036 r h3.2.1 REF _asg_upgrade_guide_0036-chtext h升级ASG管理理中心）。升级方式介绍ASG设备支持使用多多种方式对版本软软件进行升级，您您可以根据实际情情况选择合适的升升级方式，如REF _asg_upgrade_guide_0002_tbl01 r h表1-1所示。ASG设备升级方式升级方式适用环境优势前提条件文档中的位置Web（推荐方式）能够通

12、过Web访问设设备。一键式操作，简单方便便。能够通过Web访问设设备。REF _asg_upgrade_guide_0018 r h2.2.1 REF _asg_upgrade_guide_0018-chtext h通过Web方方式升级BootROM无法通过Web访问设设备、版本软件已已经损坏且设备Console口口已连接PC或连连接PC较方便可以从Console口口读取整个升级过过程。需要使用RS-232配配置电缆将PC的的串口和设备的Console口口连接；传送版本本软件时需要网络络环境的支持，需需要准备第三方的的FTP server程程序。REF _asg_upgrade_guide_0

13、044 r h4 REF _asg_upgrade_guide_0044-chtext h附录A：通过BootROM方方式升级版本软件件ASG管理中心的升级级方式有集中部署署升级与分布式部部署升级，您可根根据ASG管理中中心的实际部署方方式选择合适的升升级方式，如REF _asg_upgrade_guide_0002_tbl02 r h表1-2所示。ASG管理中心升级方方式升级方式适用环境优势前提条件文档中的位置集中式升级ASG管理中心与日志志采集器通过一个个安装程序部署在在一台服务器上。ASG管理中心与日志志采集器都部署在在同一台服务器上上，只需要执行一一个升级安装程序序，且因为升级而而带来

14、的短暂性数数据丢失的影响比比较小。需要准备ASG管理中中心升级包。REF _asg_upgrade_guide_0035 r h3.2 REF _asg_upgrade_guide_0035-chtext h集中式部署升升级分布式升级至少存在一个日志采集集器与ASG管理理中心安装在不同同服务器上。分开部署，分开升级，对对其中一个升级的的过程中，另一个个服务不需要重启启，业务不需要中中断。需要准备ASG管理中中心升级包REF _asg_upgrade_guide_0039 r h3.3 REF _asg_upgrade_guide_0039-chtext h分布式部署升升级升级流程ASG系统的升

15、级流程程如REF _asg_upgrade_guide_0003_fig01 r h图1-1所示。升级流程图升级过程中各步骤的具具体信息如REF _asg_upgrade_guide_0003_tbl01 r h表1-3所示。升级步骤序号升级步骤内容耗时是否可选1升级前准备介绍升级前需要了解的的注意事项和需要要进行的准备工作作。约15分钟必选2升级ASG设备介绍升级ASG设备软软件版本的具体步步骤。Web方式：约30分分钟必选BootROM方式：约25分钟3验证ASG设备升级结结果介绍升级ASG设备后后验证结果的操作作，若升级失败，则则执行版本回退操操作。约15分钟必选4升级独立部署的采集器器

16、介绍独立部署的采集器器升级操作步骤。本本步骤可选，仅当当存在独立部署的的采集器时才执行行。约10分钟可选5验证独立部署的采集器器升级结果介绍升级独立部署的采采集器后，对升级级结果进行验证的的步骤。本步骤可可选，仅当存在独独立部署的采集器器时才执行。约10分钟可选6升级ASG管理中心服服务器介绍升级ASG管理中中心服务器。约15分钟必选7验证ASG管理中心服服务器升级结果介绍升级ASG管理中中心升级后，对ASG管管理中心升级结果果。约10分钟必选8版本回退介绍版本回退的具体步步骤。Web方式：约30分分钟可选BootROM方式：约25分钟说明由于不同网络环境中设设备的接口卡数量量和配置文件大小小

17、不同，因此设备备重新启动所需的的时间也不相同。此此处所给出的升级级过程和版本回退退所需的时间仅供供参考。升级影响如果需要升级ASG系系统到最新版本，您您需要认真阅读本本章节，根据ASG实实际的部署场景，了了解升级对现有部部署的系统造成的的可能影响。选择择最合适的升级时时间点，升级方式式，以便将升级所所带来的影响降到到最小。升级过程中对现行系统统的影响ASG设备升级过程对对业务的影响由于在ASG设备升级级的过程中，需要要重启，导致升级级期间终端无法连连接设备进行认证证。这段时间，终终端用户无法通过过身份认证获取上上网服务，可能导导致网络中断，无无法处理其他与网网络相关的业务。因此，在升级前，建议

18、议选择非业务时段段，即用户认证接接入数量较少的时时候进行升级，将将升级带来的业务务影响降到最小。ASG管理中心服务器器+日志采集器升升级过程对业务的的影响升级ASG管理中心的的过程中，由于日日志采集器服务会会重启，导致未及及时上报的数据将将被丢弃（其中包包括流量、时长、网络威胁、关键键字、HTTP外外发、文件外发、网站访问、应用用行为）；且服务务重启这期间所发发生的本需要审计计的数据将不会被被审计。升级ASG管理中心的的过程中，由于ASG管管理中心服务器服服务会被停止一段段时间，这期间，管管理员无法在ASG管管理中心上进行审审计管理。如果是是分布式部署的场场景，在日志采集集器升级完成后，再再升

19、级ASG管理理中心服务器，在在其升级重启期间间，采集器上报的的审计数据将被丢丢弃。升级后对现行系统的影影响V100R001C00SPC200之之后的版本（含V100R001C00SPC200），日日志采集器增强了了日志审计功能，对对日志格式进行了了调整，导致V100R001C00SPC100日日志采集器采集到到的日志在升级到到V100R001C00SPC200或或更高版本后，因因为格式不兼容，这这部分的日志将被被丢弃。V100R001C00SPC600版版本，根据所属应应用，对应用协议议进行了重新分类类，导致从V100R001C00SPC600之之前版本导出的对对象定义文件不再再适用于V100

20、R001C00SPC600以以及后续版本。同同时升级前如果对对象定义中已经配配置了自定义应用用协议，请阅读REF _d0e5841 r h6 REF _d0e5841-chtext h附录C：如何解解决升级后自定义义应用协议分类缺缺失，并按附录说说明操作，否则将将影响上网权限策策略和限流策略正正常使用。V100R001C00SPC600以以及后续版本，设设备版本文件中不不再包含ASG客客户端。如果升级级到V100R001C10，并并且之前使用客户户端认证，那么升升级完版本文件后后还需要从华为Support网网站下载部署工具具并搭建环境供内内网用户下载ASG客客户端。V100R001C10版版本

21、，新增了自动动启用域内NAT功功能，该功能默认认打开。用户和服服务器处于相同安安全区域且IP地地址在相同网段的的情况下，用户通通过外部IP地址址访问服务器，会会自动将其IP地地址转换为出接口口IP地址。当配配置文件中包含用用户和服务器所处处的安全区域的域域内NAT，升级级后可能会导致使使用外部IP地址址访问服务器的用用户，其IP地址址与升级前不一致致。如果这种改变变影响正常功能，请请在升级后手动关关闭自动启用域内内NAT功能。V100R001C10版版本，新增了手机机终端识别审计功功能，当升级前的的配置在升级后仍仍然生效时，请在在升级后手动定义义代表手机类型的的对象，请阅读REF _asg_u

22、pgrade_guide_appdendix_mobile.xml r h11 REF _asg_upgrade_guide_appdendix_mobile.xml-chtext h附录H：手动增增加手机类型对象象定义，按附录说说明完成手机类型型对象定义。V100R001C10SPC100版版本开始，ASG不不再支持ASG Client功功能。注意事项ASG设备升级过程中中，设备会重启，会会导致用户与设备备连接中断，请选选择非业务时段，即即用户认证接入数数量较少的时候进进行升级。ASG管理中心升级过过程中，ASG管管理中心服务器与与日志采集器会重重启服务，会影响响到数据采集，有有可能会出现短

23、暂暂性数据丢失的现现象，请选择非业业务时段，或是ASG管管理中心服务器、日志采集器比较较空闲的时间段里里进行升级。ASG设备升级前，建建议对设备上的配配置文件进行备份份保存，这样做不不仅可以保留升级级前的配置信息，也也可以用于升级后后版本验证。在大流量压力下，ASG设设备资源会大量消消耗，可能导致内内存不足，建议在在非业务高峰期进进行特征库升级。进行ASG管理中心升升级时，如果当前前ASG管理中心心版本已经是ASG Manager V100R001C10SPC100，则则无需再进行升级级。 DOCPROPERTY Product&Project NameHUAWEI ASG2000 应用安全网

24、关 DOCPROPERTY DocumentName 升级指导书 STYLEREF 1 n * MERGEFORMAT 1 STYLEREF 1 升级前必读 DOCPROPERTY Product&Project NameHUAWEI ASG2000 应用安全网关 DOCPROPERTY DocumentName 升级指导书 STYLEREF 1 n * MERGEFORMAT Error! No text of specified style in document. STYLEREF 1 Error! No text of specified style in document.文档版本

25、DOCPROPERTY DocumentVersion * MERGEFORMAT 01 ( DOCPROPERTY ReleaseDate 2016-03-03) DOCPROPERTY ProprietaryDeclaration * MERGEFORMAT 华为专有和保密信息 版权所有 华为技术有限公司华为专有和保密信息 版权所有 华为技术有限公司PAGE 26ASG设备版本升级关于本章 HYPERLINK l _asg_upgrade_guide_0009 o 2.1 升级前准备备 HYPERLINK l _asg_upgrade_guide_0017 o 2.2 单机环境下下的版本升

26、级 HYPERLINK l _asg_upgrade_guide_0020 o 2.3 双机热备环环境下升级ASG版版本软件 HYPERLINK l _asg_upgrade_guide_0023 o 2.4 升级结果验验证 HYPERLINK l _asg_upgrade_guide_0029 o 2.5 版本回退升级前准备准备升级环境准备辅助工具建议您准备以下工具，以以便在升级过程中中使用：文件比较工具，用于比比较升级前后的配配置文件，检查配配置是否丢失。建建议您使用合法途途径获得的第三方方工具，例如Beyond Compare。截图软件，用于保存升升级前后不便于通通过文字记录的设设备信息

27、，如设备备运行状态图、会会话表等。建议您您使用操作系统自自带的截图软件准备Web方式的升级级环境(HTTP)选择“系统 管理理员 登录设设置”，勾选“启启用HTTP服务务”，并设置HTTP服服务端口号，点击击“应用”。如设设备IP为，端端口号为3000，请请在浏览器的地址址栏中输入http:/:3000，验证证配置是否生效。默认情况下设备HTTP服服务开启且端口号号为80，这种情情况下访问设备只只需在浏览器的地地址栏输入设备的的IP，不需要加加端口号，如设备备IP为，请请在浏览器地址栏栏输入http:/。使用HTTP登录ASG Web无法修改改HTTP 服务务端口号，如果需需要修改设备HTTP

28、服服务端口号请使用用HTTPS登录录ASG Web，启启用HTTP服务务并修改端口号。准备Web方式的升级级环境(HTTPS)如果需要通过HTTPS服服务登录设备后进进行升级，请先使使用HTTP服务务登录设备选择“系统 管理理员 登录设设置”，勾选“启启用HTTPS服服务”，并设置HTTPS端端口号，点击“应应用”。然后在同同一页面上点击“点击下载根证书书”链接，下载SSL证证书并按向导安装装。所有操作完成成后，如果设备IP为为，端端口号为2000，请请在浏览器的地址址栏中输入https:/:2000，验证证配置是否生效。默认情况下设备的HTTPS服服务未开启。使用HTTPS登录ASG Web

29、无法修改改HTTPS 服服务端口号，如果果需要通过HTTPS访访问设备请先使用用HTTP登录ASG Web，启用HTTPS服服务并修改端口号号。准备BootROM方方式的升级环境请阅读REF _asg_upgrade_guide_0048 r h5 REF _asg_upgrade_guide_0048-chtext h附录B：通通过Console口口搭建升级环境获取升级所需的文件背景信息您需要登录华为企业网网support网网站下载升级所需需文件，如果是ASG2050&2100&2150&2200请请下载“ASG2050&2100&2150&2200 主机软件及客户户端 ASG2050&21

30、00&2150&2200V100R001C10SPC200.bin”，如果是ASG2600&2800请下载“ASG2600&2800 主机软件及客户端 ASG2600&2800V100R001C10SPC200.bin”。ASG设备版本软件，以以.bin为后缀缀名。ASG设备版本软件列列表序号文件名称文件说明文件大小(KB)1ASG2050&2100&2150&2200V100R001C10SPC200.bin主机软件包，用于主机机软件升级。适用用于ASG2050/ASG2100/ASG2150/ASG220043,5292ASG2600&2800V100R001C10SPC200.bin主机

31、软件包，用于主机机软件升级。适用用于ASG2600/ASG280043,374（可选）软件完整性校校验具体操作请阅REF _asg_upgrade_guide_0052_1 r h8 REF _asg_upgrade_guide_0052_1-chtext h附录录E：软件完整性性校验您需要准备如下文档，以以便升级时参考：HUAWEI ASG2000 应用安全网管 V100R001C10SPC200 版本使用指导书书HUAWEI ASG2000 应用安全网管 V100R001C10SPC200 版本说明书HUAWEI ASG2000 应用安全网管 V100R001C10SPC200 升级指导书

32、操作步骤登录到 HYPERLINK /enterprise/#tabname=productsupport o http:/enterprise/#tabname=productsupport网站的主页。如果您是初次登录网站站，需要执行步骤骤3先注册。如果果您已经是注册用用户，转到步骤4直直接登录。单击“注册”，根据屏屏幕提示进行注册册。注册成功后，您您会收到您的用户户账号和密码，请请妥善保存。输入用户名、密码及系系统给出的校验码码，单击“登录”。登录成功后，搜索“ASG2200 V100R001C10SPC200”或者“ASG2800 V100R001C10SPC200”查阅或获取该产产品的

33、相关文档及及系统软件。结束查询当前版本软件的信信息您可以通过Web方式式登录到设备的图图形界面环境，在在Web界面上查查询当前版本软件件的信息，以及进进行后续操作。使用admin账号登登录ASG设备管管理界面，单击右右上角的“关于”，在弹出的对话话框中可以看到版版本信息，确认并并记录升级前的版版本信息，建议截截图备份以便与升升级后的版本信息息对比。确认License的的使用情况操作步骤记录升级前ASG设备备的License信信息，建议截图备备份以便与升级后后的License信信息对比。ASG设备License信信息（已授权）结束查询设备的运行状态查看设备运行状态选择“实时状态 运行状态”菜单单

34、，查看“设备资资源信息”，记录录CPU使用率和和内存使用率等信信息。建议截图备备份，以便与升级级后对比。ASG设备运行状态查看接口卡的注册状态态可以使用WEB界面提提供的CLI控制制台，在任意视图图下使用display device命命令查看接口卡的的注册状态。 display device ASG2200s Device FWG2MPUA status: Slot # Type Online Status - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 0 RPU Present Norm

35、al 2 5FSW Present Normal 7 FAN Present Normal 8 FAN Present Normal 9 FAN Present Normal 10 PWR Present Normal 正常情况下，接口卡状状态应该为Normal。当当Status字段段显示Abnormal时，表示该槽位的接口卡运行不正常。当发现有个别槽位接口口卡运行不正常时时请及时确认，若若有问题请与技术术支持工程师确认认是否可以升级或或必须更换，并记记录接口卡状态。升升级完成后再重点点确认一下这些接接口卡的状态。如如仍然无法正常运运行，请联系技术术支持工程师。查询业务的运行情况选择“网络 监

36、控控 ARP表表”，查看ARP表表信息。请记录升升级前设备ARP表表的记录数量，与与升级后的记录对对比，如果数量差差异不是很大，说说明升级后设备ARP功功能正常。ASG设备ARP表信信息查看会话表信息选择“网络 监控控 会话表”，查看会话表信信息，请记录升级级前设备会话表中中的记录数量，与与升级后的记录对对比，如果数量差差异不是很大，说说明升级后设备会会话功能正常。ASG设备会话表信息息查看路由表信息选择“网络 监控控 路由表”，查看路由表信信息。请记录升级级前设备路由表的的记录数量，与升升级后的记录对比比，如果数量差异异不是很大，说明明升级后设备路由由功能正常。ASG设备路由表信息息保存和备

37、份重要数据背景信息重要数据包括：版本文文件、当前配置文文件、用户配置文文件等。请升级前前务必备份版本文文件、当前配置文文件和用户配置文文件。操作步骤备份当前使用的版本文文件。系统升级在版本文件不不重名的情况下不不会删除原来的版版本文件，您可以以选择跳过此步骤骤。您也可以按下下面的步骤执行，保保存版本文件到本本地PC。选择“系统 维护护 升级系统统”。选择“系统统更新”页签，单单击“管理版本文文件”按钮。在弹出的对话框中，找找到配置列中图标标亮起的一个（），点点击下载按钮（）下下载并保存版本文文件到本地。请确确认下载到本地的的版本文件大小和和管理版本文件列列表中的文件大小小相同。ASG设备升级前

38、版本本文件备份ASG设备配置信信息。选择“系统 维护护 配置备份份与恢复”。依次次单击“导出当前前配置”和“导出出用户配置”，将将当前配置文件和和用户配置文件保保存到本地。导出ASG设备配置设备的用户配置和当前前配置为两个不同同的文件，需要分分别备份。记录升级前用户/部门门配置信息。选择“用户管理 上网用户 部门/用户”，点点击展开部门用户户信息。记录升级级前root部门门下直属部门、用用户及总用户数量量。如REF _asg_upgrade_guide_0016_fig06 r h图2-8所示。建建议截图保存信息息。部门用户信息如果对象定义中已经配配置了自定义应用用协议，请阅读REF _d0e

39、5841 r h6 REF _d0e5841-chtext h附录C：如何解解决升级后自定义义应用协议分类缺缺失，并按附录说说明操作。否则可可能影响到上网权权限策略和限流策策略的功能。结束单机环境下的版本升级级升级ASG设备，您有有三种可选方式：Web一键式升升级、BootROM方方式升级。我们推推荐使用Web一一键式升级。您也也可以根据REF _asg_upgrade_guide_0002_tbl01 r h表1-1选择合适的升升级方式。本节主主要介绍Web一一键式升级，通过过BootROM方方式升级版本软件件的具体操作请参参见REF _asg_upgrade_guide_0044 r h4

40、 REF _asg_upgrade_guide_0044-chtext h附录A：通过过BootROM方方式升级版本软件件。请严格按照升级步骤进进行升级，并记录录整个升级过程所所做的操作，以便便升级失败后，进进行故障的分析和和定位。升级过程中严禁掉电、重启。如果在升升级过程中出现掉掉电或重启，将会会损坏版本软件文文件导致设备无法法启动。通过Web方式升级通过Web方式升级ASG2050/2100/2150/2200/2600/2800方法相相同。本节将以升升级ASG2600为为例进行说明。升级流程通过Web方式升级版版本软件的流程如如REF _asg_upgrade_guide_0018_fi

41、g01 r h图2-9所示。通过Web方式升级版版本软件流程图操作步骤登录ASG Web。选择“系统 维护护 升级系统统”，在“系统更更新”页签中单击击“一键式版本升升级”。弹出REF _asg_upgrade_guide_0018_fig02 r h图2-10界面。如果果还没有备份用户户配置和当前配置置，请务必从设备备导出配置并保存存到本地，具体操操作请阅REF _asg_upgrade_guide_0016 r h2.1.7 REF _asg_upgrade_guide_0016-chtext h保存和备份重要要数据。一键式版本升级单击“下一步”，弹出出REF _asg_upgrade_g

42、uide_0018_fig03 r h图2-11界面。选选择V100R001C10SPC200版版本文件（后缀名名为.bin）。如如果当前网络和业业务状况允许设备备重启，选中“设设置为下次启动系系统软件，并重启启系统”，否则选选中“设置为下次次启动系统软件，不不重启系统”。选择版本文件单击“开始升级”，将将弹出提示框REF _asg_upgrade_guide_0018_fig05 r h图2-12，请阅读确确认框信息。升级前确认如果确认可以升级，请请单击“是”。设设备将自动完成删删除已有系统软件件、上传版本文件件、设置启动软件件和重启（如果第第三步选中“设置置为下次启动系统统软件，不重启系系

43、统”则没有重启启过程）。整个过过程ASG2050/2100/2150/2200设备约约30分钟，ASG2600/2800约20分分钟。升级结束后后浏览器会自动跳跳转到登录页面，如如REF _asg_upgrade_guide_0018_fig06 r h图2-13所示表表明版本升级已经经完成。登录页面在步骤5中，如果单击击“是”弹出flash卡卡空间不足提示框框，如REF _asg_upgrade_guide_0018_fig07 r h图2-14所示。请请勾选版本文件后后点击“删除”按按钮。Flash空间不足提提示框系统软件必须以“.bin”作为文件扩展名名，文件名不支持持中文。结束双机热备

44、环境下升级ASG版版本软件简介双机热备是ASG的一一个重要特性。通通过部署两台ASG，如如果其中一台设备备发生故障，另外外一台设备可以迅迅速接替其工作，避避免了单点故障，提提高了网络的稳定定性和可靠性。关关于双机热备的详详细介绍请参见产产品文档。在部署了双机热备的网网络环境中升级软软件版本，需要遵遵循的主要原则是是Master设设备和Slave设设备分别升级，先先升级Slave设设备，然后再升级级Master设设备，在升级过程程中HRP备份通通道（心跳线）必必须断开。双机热备环境下升级版版本软件时，Master设设备和Slave设设备的目标版本软软件必须一致。搭建双机环境时，请确确保主备设备的

45、初初始配置文件一致致，以避免由于配配置不一致，导致致不兼容的情况发发生。升级过程背景信息双机热备环境中升级软软件版本的具体流流程如REF _asg_upgrade_guide_0022_fig01 r h图2-15所示。双机热备环境中升级版版本软件流程图升级前ASG_A为Master设设备，ASG_B为为Slave设备备，具体步骤如下下。操作步骤断开ASG_B（备机机）与上下行设备备的连接，ASG_B与ASG_A之之间的HRP备份份通道（心跳线）连连接也必须断开。假设ASG_B与上下下行设备连接的接接口为GE0/0/1和GE 0/0/2，与ASG_A之间的HRP备备份通道接口为MGMT，操操作

46、如下：通过Web登录ASG_B设备，选择“网络 接口口”，将GE0/0/1和GE0/0/2的对应的的“启用”复选框框去选中，即表示示禁用了这两个接接口。升级ASG_B的软件件版本。关闭HRP功能，通过过Web登录ASG_B设备，选择“系统 高可可靠性 双机机热备”。在“配配置双机热备”中中，去选中“HRP启启动”复选框并单单击“应用”。然然后开始升级软件件版本，具体的操操作步骤和注意事事项与升级单台设设备相同，请参见见REF _asg_upgrade_guide_0017 r h2.2 REF _asg_upgrade_guide_0017-chtext h单机环境境下的版本升级。ASG_B升

47、级并重新新启动完成后，恢恢复ASG_B与与上下行设备的连连接，恢复过程同同 HYPERLINK l step1 o 步骤1，选中“启启用”复选框；ASG_B与ASG_A之之间的HRP备份份通道（心跳线）连连接不能恢复。断开ASG_A(主机机)与上下行设备备的连接。具体过程同 HYPERLINK l step1 o 步骤1。断开ASG_A与上下下行设备的连接后后，业务流量将通通过ASG_B进进行转发。由于ASG_B无法从ASG_A获得会话信息息，部分业务需要要重新建立连接，因因此将会导致部分分业务中断一段时时间。升级ASG_A的软件件版本。具体的操作步骤和注意意事项与升级单台台设备相同，请参参见

48、REF _asg_upgrade_guide_0017 r h2.2 REF _asg_upgrade_guide_0017-chtext h单机环境境下的版本升级。恢复ASG_B与ASG_A之间的HRP功功能。ASG_A升级并重新新启动完成后，恢恢复ASG_B与与ASG_A之间间的HRP备份通通道（心跳线）连连接，并将ASG_A和ASG_B的的HRP开关开启启（过程见 HYPERLINK l step2 o 步骤2）。然后等待12分钟，使使ASG_B上的的会话信息完全备备份到ASG_A。恢复ASG_A与上下下行设备的连接，将将ASG_A接入入到原有网络中。执行上述操作后，ASG_A将切换为M

49、aster设设备，业务流量将将通过ASG_A进进行转发。由于ASG_A已经从ASG_B获得了会话信信息，因此业务不不会中断。观察业务运行情况，验验证升级结果。如果需要版本回退，请请将版本回退至升升级前的版本，回回退流程请参见REF _asg_upgrade_guide_0029 r h2.5 REF _asg_upgrade_guide_0029-chtext h版本回退。结束升级结果验证检查升级后的版本软件件信息升级成功后，使用admin账账号登录ASG设设备管理界面。单单击右上角的“关关于”可以查看到到升级后的版本软软件信息。如果升升级正常，“版本本信息”应显示为为V100R001C10S

50、PC200。如如果升级结束后版版本信息不是V100R001C10SPC200，请请确认版本软件是是否下载正确。如如果还存在问题请请联系华为技术服服务工程师或拨打打4008229999反反馈问题。检查License的的状态选择“系统 维护护 License管管理”，可以查看看到升级后的License信信息。请与升级前前备份的License信信息比较。如果升升级后各检测库授授权情况和升级过过期时间或查询过过期时间未发生改改变则表明升级正正常。如果发生改改变，请联系华为为技术服务工程师师或拨打4008229999反反馈问题。如果从V100R001C00SPC300及及更低版本升级到到V100R001

51、C10SPC200，升升级后License信信息会增加“设备备所在国家/地区区”和“查询服务务器”两项信息。请请您根据实际情况况，配置“设备所所在国家/地区”。检查设备的运行状态查看CPU和内存使用用率选择“实时状态 运行状态”，在在“设备资源信息息”中查看升级后后的设备运行状态态。如果升级后的的CPU和内存使使用率与升级前的的使用率差别不大大，则可以认为设设备运行状态正常常。查看接口卡的注册状态态在任意视图下使用display device命命令查看接口卡的的注册状态。 display device ASG2200s Device FWG2MPUA status: Slot # Type O

52、nline Status - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 0 RPU Present Normal 2 5FSW Present Normal 7 FAN Present Normal 8 FAN Present Normal 9 FAN Present Normal 10 PWR Present Normal 正常情况下，接口卡状状态应该为Normal。当当Status字段段显示Abnormal时，表示该槽位的接口卡运行不正常。当发现有个别槽位接口口卡运行不正常时时请及时联

53、系技术术支持工程师。检查配置是否恢复升级结束后，参照REF _asg_upgrade_guide_0016 r h2.1.7 REF _asg_upgrade_guide_0016-chtext h保存和备份重要要数据导出当前配配置和用户配置，需需要比较升级前后后的当前配置文件件和用户配置文件件确定升级后配置置是否正常恢复。V100R001C00SPC400版版本ASG设备针针对重启做了性能能优化，对配置文文件内容的顺序做做了改变，因此如如果从V100R001C00SPC300及及更低版本升级到到V100R001C10SPC200版版本，如果直接通通过比较软件如Beyond Compare进进

54、行比较，配置会会存在差异。检查当前配置恢复情况况（从V100R001C00SPC300及及更低版本升级到到V100R001C10SPC200版版本）请使用我们提供的脚本本进行比较，确定定升级后当前配置置是否丢失，具体体操作如下：新建一个txt文档，命命名为compare.txt。复复制 findstr /ivg:after.cfg before.cfgresult1.txt findstr /ivg:before.cfg after.cfgresult2.txt 到compare.txt文文件里，修改文件件名为compare.bat将升级前和升级后导出出的当前配置文件件复制到compare.b

55、at所所在目录下，修改改配置文件名，将将升级前的当前配配置文件名改为before.cfg，升升级后的配置文件件名改为after.cfg。点击批处理后会产生两两个文件result1.txt和和result2.txt。使用文件比较软件如Beyond Compare进进行对比result1.txt和和result2.txt，如如果只有“_Magic_ASG_Boot_Prefix_Flag_Please_NO_Conflict_”和“_Magic_Network_End_Please_NO_Conflict_”两处差异则说明升级后后当前配置已经恢恢复。如REF _asg_upgrade_guide_

56、0027_fig01 r h图2-17所示对比文件差异检查当前配置恢复情况况（从V100R001C00SPC400或或V100R001C00SPC500升升级到V100R001C10SPC200版版本）可直接通过比较软件如如Beyond Compare进进行比较。如果升升级后导出的当前前配置无任何差异异或只是配置顺序序差异，则说明升升级后当前配置已已经恢复检查用户配置恢复情况况选择“用户管理 上网用户 部门/用户”，点点击展开部门用户户信息，与升级前前的部门用户信息息比较，如果没有有差异表明升级后后用户配置正常恢恢复。检查业务是否正常选择“网络 监控控”，通过截图或或文字保存升级后后ARP表、

57、会话话表、路由表中的的记录数量，与升升级前的记录数量量进行比较，如果果差异不是很大，则则表明升级后ARP、会话、路由功能能正常。版本回退回退至升级前的版本时时，请您务必将升升级前版本对应的的配置文件（包括括当前配置文件和和用户配置文件，在在升级前已经备份份）上传至设备中中，并在“系统 维护 系统重启”中选选择“保存并重启启”，避免由于版版本间命令行差异异导致配置丢失。应用场景实施版本回退主要有以以下几种情况：升级后设备无法正常启启动，需要将当前前版本回退到以前前的版本。通过BootROM方方式进行版本回退退，具体的操作方方法与通过BootROM方方式升级版本软件件的过程相同，请请参见REF _

58、asg_upgrade_guide_0044 r h4 REF _asg_upgrade_guide_0044-chtext h附录A：通过过BootROM方方式升级版本软件件。升级后设备可以正常启启动，但某种业务务功能不能正常运运行，需要将当前前版本回退到以前前的版本。在这种情况下，可以通通过以下方式进行行版本回退：通过Web方式回退版版本，具体的操作作方法与通过Web方方式升级版本软件件的过程相同，请请参见REF _asg_upgrade_guide_0018 r h2.2.1 REF _asg_upgrade_guide_0018-chtext h通过Web方式式升级。通过BootROM

59、方方式回退版本，具具体的操作方法与与通过BootROM方方式升级版本软件件的过程相同，请请参见REF _asg_upgrade_guide_0044 r h4 REF _asg_upgrade_guide_0044-chtext h附录A：通过过BootROM方方式升级版本软件件。注意事项在版本回退过程中，需需要注意以下问题题：版本回退操作的注意事事项和验证回退结结果的方法，都与与版本升级的过程程相同，具体的内内容请参见相应的的升级方式中的描描述。版本回退过程中业务将将暂时中断，中断断时间与回退方式式、业务配置情况况有关。版本回退前，请确认回回退的目标版本是是否需要打补丁，如如果需要，请在回回

60、退完成后及时安安装补丁。关于补补丁的安装，请参参见补丁版本对应应的使用指导书。 DOCPROPERTY Product&Project NameHUAWEI ASG2000 应用安全网关 DOCPROPERTY DocumentName 升级指导书 STYLEREF 1 n * MERGEFORMAT 2 STYLEREF 1 ASG设备版本升级 DOCPROPERTY Product&Project NameHUAWEI ASG2000 应用安全网关 DOCPROPERTY DocumentName 升级指导书 STYLEREF 1 n * MERGEFORMAT Error! No tex