锐捷防火墙（WEB）——版本升级

1.最新版本将更多的功能移植到WEB界面上，实施前请将设备版本更新到最新（可通过官网下载）；

2.版本升级注意事项

全新NGFW从P3版本开始，底层文件存储方式与之前版本发生了变更；

如现场版本为P3版本之前（不包括P3版本），为了确保版本升级后能正常使用，需采取如下升级方式：

1）升级前请确保关闭wan1、wan2接口下的auto-ipsec管理属性（需要在命令行下操作,不关闭会导致版本升级后透明模式切换报错)

a）查看接口管理属性

RG-WALL # show system interface

config system interface

edit "wan1"

        set vdom "root"

        set ip 192.168.57.74 255.255.255.0

        set allowaccess ping https ssh telnet auto-ipsec

        set type physical

        set snmp-index 1

next

edit "wan2"

        set vdom "root"

        set ip 192.168.101.200 255.255.255.0

        set allowaccess ping auto-ipsec

        set type physical

        set snmp-index 2

b）关闭wan1、wan2口auto ipsec属性

RG-WALL # config system interface

RG-WALL (interface) # edit wan1

RG-WALL (wan1) # set allowaccess ping https ssh

RG-WALL (wan1) # next

RG-WALL (interface) # edit wan2

RG-WALL (wan2) # set allowaccess ping

RG-WALL (wan2) # end

2） 为达到完整升级的目的，升级版本时需要升级最新版本两次，即同一个版本升级两次，升级路线图：原始版本->最新版本->最新版本

3）各型号auto-ipsec默认开启情况辅助说明：

• S3100:wan1 和 wan2默认启用auto-ipsec
• S3600:wan1 和 wan2默认启用auto-ipsec
• M5100:wan1默认启用auto-ipsec
• M6600、X8500、X9300:没有接口开启auto-ipsec

一、需求

       由于当前的软件版本老旧，想要通过web界面升级设备的系统软件版本。

注意：升级前，务必做好配置备份，参见 日常维护>>配置备份及恢复。

二、升级要点

      1、RG-WALL 下一代防火墙，每款型号都有单独的版本文件，升级前务必确认下当前的设备型号；

      2、升级包的后缀名必须为.bin，前缀任意；

      3、升级前必须准备配置线，以防在升级失败后能及时处理；

      4、升级过程中请不要切换到其他界面，更不能断电或重启设备，升级过程一般在5分钟以内完成；

      5、版本导入后设备将自动重启，重启才能生效；

6、升级流程图：

1、P3版本之前（P0、P1、P2）需执行两次升级：P0,P1或P2-》P6-》P6，即P3之前版本升级到P6后，还需执行一次P6到P6的升级操作；

2、P3以及以后版本直接升级即可（P3->P6）；

      注意：升级会造成网络中断。升级过程中时，请按照操作步骤进行升级，操作不当会造成系统丢失

  三、升级步骤

       1、登入NGFW的web界面升级系统

            进入系统管理--面板状态--固件版本，点击”更新“按钮，

2、 选择 本地文件

  3、选择相关的OS文件

            点击”确定“，系统会自动重启。

五、效果验证

       系统会用新上载的OS重启。

六、P3版本升级注意事项

P3版本较之前做了较多的改动，需采取如下升级方式：

1. 升级前请确保关闭wan1、wan2接口下的auto-ipsec管理属性（需要在命令行下操作,不关闭会导致P3版本透明模式切换报错)

1）查看接口管理属性

RG-WALL # show system interface

config system interface

    edit "wan1"

        set vdom "root"

        set ip 192.168.57.74 255.255.255.0

        set allowaccess ping https ssh telnet auto-ipsec

        set type physical

        set snmp-index 1

    next

    edit "wan2"

        set vdom "root"

        set ip 192.168.101.200 255.255.255.0

        set allowaccess ping auto-ipsec

        set type physical

        set snmp-index 2

2)关闭wan1、wan2口auto ipsec属性

RG-WALL # config system interface

RG-WALL (interface) # edit wan1

RG-WALL (wan1) # set allowaccess ping https ssh

RG-WALL (wan1) # next

RG-WALL (interface) # edit wan2

RG-WALL (wan2) # set allowaccess ping

RG-WALL (wan2) # end       

2.先从P0、P1或者P2版本从web界面升级到P3（升级过程5分钟左右）；

3. 为达到完整升级的目的,在P3版本的基础上，web界面需再执行一次升级P3版本的动作

1）P3版本在升级时增加了格式化的动作，以确保达到完整升级；

2）P3版本升级时的格式化操作不会清空原来配置

3）后续版本不受此影响，仅P3版本需要2次升级

4）升级过程5分钟左右；

4.升级流程图：

1、P3版本之前（P0、P1、P2）需执行两次升级：P0,P1或P2-》P6-》P6，即P3之前版本升级到P6后，还需执行一次P6到P6的升级操作；

2、P3以及以后版本直接升级即可（P3->P6）；

5.各型号auto-ipsec默认开启情况辅助说明：

1) S3100:wan1 和 wan2默认启用auto-ipsec

2) S3600:wan1 和 wan2默认启用auto-ipsec

3) M5100:wan1默认启用auto-ipsec

4) M6600、X8500、X9300:没有接口开启auto-ipsec

防火墙系统版本升级方式除了通过web界面升级外，还可以通过tftp命令行方式下升级，现在需要通过tftp方式来升级防火墙系统版本。

注意：升级前，务必做好配置备份，参见 日常维护>>配置备份及恢复。

二、拓扑图

三、配置要点

      1.准备好工具，连接好console线

      2.连接网线，保证通讯正常

      3.搭建好tftp服务器

      4.开始升级

四、配置步骤

       1.准备好工具

        准备好console线，网线，升级文件，tftp工具，PC没有com口，需要购买转usb的线缆，并且装好驱动

       2.连接网线，保证通讯正常

       3.搭建好tftp服务器

       4.开始升级

搭建tftp服务器，可下载附件里的cisco tftp服务器

运行cisco tftp软件，将升级固件包放在下图红框中显示的文件夹内(安装程序时会指定文件夹)：如下图中的c:\tftp

重新启动设备，按如下步骤升级

1、console在输入M（按shift+m）进入BIOS菜单

...

[G]:  Get firmware image from TFTP server.

[F]:  Format boot device.

[B]:  Boot with backup firmware and set as default.

[I]:  Configuration and information.

[Q]:  Quit menu and continue to boot with default firmware.

[H]:  Display this list of options.

2、选择F，格式化Flash卡

Enter Selection [G]:

Enter G,F,B,I,Q,or H:  F                                   //选择F，将flash卡格式化。可选。

All data will be erased,continue:[Y/N]?Y

3、选择G，下载镜像文件

Enter G,F,B,I,Q,or H:  G                                   //选择G，从服务器上下载镜像文件

Please connect TFTP server to Ethernet port "MGMT1".       //将电脑连接至防火墙的MGMT1口

Enter TFTP server address [192.168.1.1]:                 //输入TFTP服务器地址

Enter local address [192.168.1.200]:                       //为MGMT1配置一个临时ip地址

Enter firmware image file name [image.out]: Ruijie_XXX_ .bin    //输入镜像文件的名字

MAC:14144B7EE172

###########################################

4、 同时tftp服务器也会提示下载成功

Total 45387871 bytes data downloaded.

Verifying the integrity of the firmware image.

Total 262144kB unzipped.

Save as Default firmware/Backup firmware/Run image without saving:[D/B/R]?d        //作为默认的引导文件

Programming the boot device now.

................................................................................................................................................................................................................................................................

Reading boot image 1401958 bytes.

Initializing firewall...

System is starting...

Resizing shared data partition...done

Formatting shared data partition ... done!