HUAWEI_ASG2000_应用安全网关_V100R001C10SPC200_升级指导书.docx

HUAWEI ASG2000 应用安全网关V100R001C10SPC200升级指导书文档版本01发布日期2016-03-03华为技术有限公司版权所有 © 华为技术有限公司2016。 保留一切权利。非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。商标声明和其他华为商标均为华为技术有限公司的商标。本文档提及的其他所有商标或注册商标，由各自的所有人拥有。注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为公司对本文档内容不做任何明示或默示的声明或保证。由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。华为技术有限公司地址：深圳市龙岗区坂田华为总部办公楼 邮编：518129网址：文档版本 01 (2016-03-03)华为专有和保密信息 版权所有 © 华为技术有限公司i HUAWEI ASG2000 应用安全网关升级指导书目 录目 录1 升级前必读11.1 升级场景说明11.2 升级方式介绍21.3 升级流程31.4 升级影响61.4.1 升级过程中对现行系统的影响61.4.2 升级后对现行系统的影响61.5 注意事项72 ASG设备版本升级82.1 升级前准备82.1.1 准备升级环境82.1.2 获取升级所需的文件92.1.3 查询当前版本软件的信息102.1.4 确认License的使用情况102.1.5 查询设备的运行状态112.1.6 查询业务的运行情况122.1.7 保存和备份重要数据132.2 单机环境下的版本升级162.2.1 通过Web方式升级162.3 双机热备环境下升级ASG版本软件212.3.1 简介212.3.2 升级过程212.4 升级结果验证232.4.1 检查升级后的版本软件信息232.4.2 检查License的状态232.4.3 检查设备的运行状态242.4.4 检查配置是否恢复242.4.5 检查业务是否正常252.5 版本回退263 ASG管理中心升级273.1 升级前准备273.1.1 获取升级所需的安装包273.1.2 保证升级所需磁盘空间283.1.3 查询当前版本软件的信息283.1.4 查询采集器的运行状态283.1.5 查询当前管理的设备状态283.1.6 查询业务的运行情况283.1.7 分布式部署的版本信息303.2 集中式部署升级303.2.1 升级ASG管理中心303.2.2 验证升级结果333.2.3 升级异常处理343.3 分布式部署升级353.3.1 升级日志采集器353.3.2 验证升级结果383.3.3 采集器升级异常处理393.3.4 升级ASG管理中心服务器394 附录A：通过BootROM方式升级版本软件404.1 背景信息404.2 升级流程414.3 升级操作415 附录B：通过Console口搭建升级环境465.1 操作步骤465.2 故障处理485.2.1 忘记Console口密码的解决方法486 附录C：如何解决升级后自定义应用协议分类缺失507 附录D：申请License文件538 附录E：软件完整性校验569 附录F：升级记录表5710 附录G：缩略语5911 附录H：手动增加手机类型对象定义60文档版本 01 (2016-03-03)华为专有和保密信息 版权所有 © 华为技术有限公司iiiHUAWEI ASG2000 应用安全网关升级指导书1 升级前必读1 升级前必读关于本章1.1 升级场景说明1.2 升级方式介绍1.3 升级流程1.4 升级影响1.5 注意事项1.1 升级场景说明ASG主要包括两部分：ASG设备、ASG管理中心。ASG升级包括这两部分的升级，不同的部署场景，升级方式也有所不同。ASG设备的部署方式有两种，单机与双机热备，这两种部署方式主要来源于组网环境，不论哪种部署方案，升级过程中需要遵循特定的操作顺序和注意事项，以便将升级过程对业务的影响降到最小。下面分别为ASG设备每种部署方式提供升级方案：l 组网环境中，ASG设备作为单机部署到网络拓扑中。具体的升级操作指导请参见2.2 单机环境下的版本升级。l 通过在同一地点部署两台ASG设备，且设备之间配置心跳线。其中一台作为Master设备，另一台作为Slave设备。如果其中一台设备发生故障，另外一台设备可以迅速接替其工作，避免了单点故障，提高了网络的稳定性和可靠性。这种部署方式在升级过程中需要遵循特定的操作顺序和注意事项，以便将升级过程对业务的影响降到最小。升级的主要原则：先升级Slave设备，再升级Master设备，且升级过程中，心跳线是断开的；具体的操作方式与单机环境下升级相同，请参见2.3 双机热备环境下升级ASG版本软件。ASG管理中心的部署方式有两种：集中式部署与分布式部署。下面分别为ASG管理中心每种部署方式提供升级方案：l 仅有一台服务器，同时具备ASG管理中心服务器和日志采集器的功能，安装方式为ASG管理中心+日志采集器。这种部署方式，是将ASG管理中心与日志采集器通过一个安装程序部署在一台服务器上的。这种部署方式一次升级就能完成整套ASG管理中心系统的升级，具体的升级操作指导请参见3.2 集中式部署升级。l 多台服务器分布式部署，其中一台服务器为ASG管理中心服务器（安装方式为ASG管理中心+日志采集器），其余服务器为日志采集器服务器（安装方式为日志采集器单独安装）。这种部署方式，服务器通常分布式部署在多个地点，所有日志采集器服务器与ASG管理中心服务器网络连通，但各个日志采集器无冗余备份，它们之间的网线也不要求是互通的。升级时，首先升级各个日志采集器服务器（请参见3.3.1 升级日志采集器），可在不同的时间进行升级，但各个日志采集器升级后的版本应该是要一致的。最后升级ASG管理中心服务器（请参见3.2.1 升级ASG管理中心）。1.2 升级方式介绍ASG设备支持使用多种方式对版本软件进行升级，您可以根据实际情况选择合适的升级方式，如表1-1所示。表1-1 ASG设备升级方式升级方式适用环境优势前提条件文档中的位置Web（推荐方式）能够通过Web访问设备。一键式操作，简单方便。能够通过Web访问设备。2.2.1 通过Web方式升级BootROM无法通过Web访问设备、版本软件已经损坏且设备Console口已连接PC或连接PC较方便可以从Console口读取整个升级过程。需要使用RS-232配置电缆将PC的串口和设备的Console口连接；传送版本软件时需要网络环境的支持，需要准备第三方的FTP server程序。4 附录A：通过BootROM方式升级版本软件ASG管理中心的升级方式有集中部署升级与分布式部署升级，您可根据ASG管理中心的实际部署方式选择合适的升级方式，如表1-2所示。表1-2 ASG管理中心升级方式升级方式适用环境优势前提条件文档中的位置集中式升级ASG管理中心与日志采集器通过一个安装程序部署在一台服务器上。ASG管理中心与日志采集器都部署在同一台服务器上，只需要执行一个升级安装程序，且因为升级而带来的短暂性数据丢失的影响比较小。需要准备ASG管理中心升级包。3.2 集中式部署升级分布式升级至少存在一个日志采集器与ASG管理中心安装在不同服务器上。分开部署，分开升级，对其中一个升级的过程中，另一个服务不需要重启，业务不需要中断。需要准备ASG管理中心升级包3.3 分布式部署升级1.3 升级流程ASG系统的升级流程如图1-2所示。图1-2 升级流程图升级过程中各步骤的具体信息如表1-3所示。表1-3 升级步骤序号升级步骤内容耗时是否可选1升级前准备介绍升级前需要了解的注意事项和需要进行的准备工作。约15分钟必选2升级ASG设备介绍升级ASG设备软件版本的具体步骤。Web方式：约30分钟必选BootROM方式：约25分钟3验证ASG设备升级结果介绍升级ASG设备后验证结果的操作，若升级失败，则执行版本回退操作。约15分钟必选4升级独立部署的采集器介绍独立部署的采集器升级操作步骤。本步骤可选，仅当存在独立部署的采集器时才执行。约10分钟可选5验证独立部署的采集器升级结果介绍升级独立部署的采集器后，对升级结果进行验证的步骤。本步骤可选，仅当存在独立部署的采集器时才执行。约10分钟可选6升级ASG管理中心服务器介绍升级ASG管理中心服务器。约15分钟必选7验证ASG管理中心服务器升级结果介绍升级ASG管理中心升级后，对ASG管理中心升级结果。约10分钟必选8版本回退介绍版本回退的具体步骤。Web方式：约30分钟可选BootROM方式：约25分钟说明由于不同网络环境中设备的接口卡数量和配置文件大小不同，因此设备重新启动所需的时间也不相同。此处所给出的升级过程和版本回退所需的时间仅供参考。1.4 升级影响如果需要升级ASG系统到最新版本，您需要认真阅读本章节，根据ASG实际的部署场景，了解升级对现有部署的系统造成的可能影响。选择最合适的升级时间点，升级方式，以便将升级所带来的影响降到最小。1.4.1 升级过程中对现行系统的影响l ASG设备升级过程对业务的影响由于在ASG设备升级的过程中，需要重启，导致升级期间终端无法连接设备进行认证。这段时间，终端用户无法通过身份认证获取上网服务，可能导致网络中断，无法处理其他与网络相关的业务。因此，在升级前，建议选择非业务时段，即用户认证接入数量较少的时候进行升级，将升级带来的业务影响降到最小。l ASG管理中心服务器+日志采集器升级过程对业务的影响升级ASG管理中心的过程中，由于日志采集器服务会重启，导致未及时上报的数据将被丢弃（其中包括流量、时长、网络威胁、关键字、HTTP外发、文件外发、网站访问、应用行为）；且服务重启这期间所发生的本需要审计的数据将不会被审计。升级ASG管理中心的过程中，由于ASG管理中心服务器服务会被停止一段时间，这期间，管理员无法在ASG管理中心上进行审计管理。如果是分布式部署的场景，在日志采集器升级完成后，再升级ASG管理中心服务器，在其升级重启期间，采集器上报的审计数据将被丢弃。1.4.2 升级后对现行系统的影响l V100R001C00SPC200之后的版本（含V100R001C00SPC200），日志采集器增强了日志审计功能，对日志格式进行了调整，导致V100R001C00SPC100日志采集器采集到的日志在升级到V100R001C00SPC200或更高版本后，因为格式不兼容，这部分的日志将被丢弃。l V100R001C00SPC600版本，根据所属应用，对应用协议进行了重新分类，导致从V100R001C00SPC600之前版本导出的对象定义文件不再适用于V100R001C00SPC600以及后续版本。同时升级前如果对象定义中已经配置了自定义应用协议，请阅读6 附录C：如何解决升级后自定义应用协议分类缺失，并按附录说明操作，否则将影响上网权限策略和限流策略正常使用。l V100R001C00SPC600以及后续版本，设备版本文件中不再包含ASG客户端。如果升级到V100R001C10，并且之前使用客户端认证，那么升级完版本文件后还需要从华为Support网站下载部署工具并搭建环境供内网用户下载ASG客户端。l V100R001C10版本，新增了自动启用域内NAT功能，该功能默认打开。用户和服务器处于相同安全区域且IP地址在相同网段的情况下，用户通过外部IP地址访问服务器，会自动将其IP地址转换为出接口IP地址。当配置文件中包含用户和服务器所处的安全区域的域内NAT，升级后可能会导致使用外部IP地址访问服务器的用户，其IP地址与升级前不一致。如果这种改变影响正常功能，请在升级后手动关闭自动启用域内NAT功能。l V100R001C10版本，新增了手机终端识别审计功能，当升级前的配置在升级后仍然生效时，请在升级后手动定义代表手机类型的对象，请阅读11 附录H：手动增加手机类型对象定义，按附录说明完成手机类型对象定义。l V100R001C10SPC100版本开始，ASG不再支持ASG Client功能。1.5 注意事项l ASG设备升级过程中，设备会重启，会导致用户与设备连接中断，请选择非业务时段，即用户认证接入数量较少的时候进行升级。l ASG管理中心升级过程中，ASG管理中心服务器与日志采集器会重启服务，会影响到数据采集，有可能会出现短暂性数据丢失的现象，请选择非业务时段，或是ASG管理中心服务器、日志采集器比较空闲的时间段里进行升级。l ASG设备升级前，建议对设备上的配置文件进行备份保存，这样做不仅可以保留升级前的配置信息，也可以用于升级后版本验证。l 在大流量压力下，ASG设备资源会大量消耗，可能导致内存不足，建议在非业务高峰期进行特征库升级。l 进行ASG管理中心升级时，如果当前ASG管理中心版本已经是ASG Manager V100R001C10SPC100，则无需再进行升级。文档版本 01 (2016-03-03)华为专有和保密信息 版权所有 © 华为技术有限公司7HUAWEI ASG2000 应用安全网关升级指导书2 ASG设备版本升级2 ASG设备版本升级关于本章2.1 升级前准备2.2 单机环境下的版本升级2.3 双机热备环境下升级ASG版本软件2.4 升级结果验证2.5 版本回退2.1 升级前准备2.1.1 准备升级环境准备辅助工具建议您准备以下工具，以便在升级过程中使用：l 文件比较工具，用于比较升级前后的配置文件，检查配置是否丢失。建议您使用合法途径获得的第三方工具，例如Beyond Compare。l 截图软件，用于保存升级前后不便于通过文字记录的设备信息，如设备运行状态图、会话表等。建议您使用操作系统自带的截图软件准备Web方式的升级环境(HTTP)选择“系统 > 管理员 > 登录设置”，勾选“启用HTTP服务”，并设置HTTP服务端口号，点击“应用”。如设备IP为192.168.0.1，端口号为3000，请在浏览器的地址栏中输入http:/192.168.0.1:3000，验证配置是否生效。1. 默认情况下设备HTTP服务开启且端口号为80，这种情况下访问设备只需在浏览器的地址栏输入设备的IP，不需要加端口号，如设备IP为192.168.0.1，请在浏览器地址栏输入http:/192.168.0.1。2. 使用HTTP登录ASG Web无法修改HTTP 服务端口号，如果需要修改设备HTTP服务端口号请使用HTTPS登录ASG Web，启用HTTP服务并修改端口号。准备Web方式的升级环境(HTTPS)如果需要通过HTTPS服务登录设备后进行升级，请先使用HTTP服务登录设备选择“系统 > 管理员 > 登录设置”，勾选“启用HTTPS服务”，并设置HTTPS端口号，点击“应用”。然后在同一页面上点击“点击下载根证书”链接，下载SSL证书并按向导安装。所有操作完成后，如果设备IP为192.168.0.1，端口号为2000，请在浏览器的地址栏中输入https:/192.168.0.1:2000，验证配置是否生效。1. 默认情况下设备的HTTPS服务未开启。2. 使用HTTPS登录ASG Web无法修改HTTPS 服务端口号，如果需要通过HTTPS访问设备请先使用HTTP登录ASG Web，启用HTTPS服务并修改端口号。准备BootROM方式的升级环境请阅读5 附录B：通过Console口搭建升级环境2.1.2 获取升级所需的文件背景信息您需要登录华为企业网support网站下载升级所需文件，如果是ASG2050&2100&2150&2200请下载“ASG2050&2100&2150&2200 主机软件及客户端 ASG2050&2100&2150&2200V100R001C10SPC200.bin”，如果是ASG2600&2800请下载“ASG2600&2800 主机软件及客户端 ASG2600&2800V100R001C10SPC200.bin”。l ASG设备版本软件，以.bin为后缀名。表2-1 ASG设备版本软件列表序号文件名称文件说明文件大小(KB)1ASG2050&2100&2150&2200V100R001C10SPC200.bin主机软件包，用于主机软件升级。适用于ASG2050/ASG2100/ASG2150/ASG220043,5292ASG2600&2800V100R001C10SPC200.bin主机软件包，用于主机软件升级。适用于ASG2600/ASG280043,374l （可选）软件完整性校验具体操作请阅8 附录E：软件完整性校验您需要准备如下文档，以便升级时参考：l HUAWEI ASG2000 应用安全网管 V100R001C10SPC200 版本使用指导书l HUAWEI ASG2000 应用安全网管 V100R001C10SPC200 版本说明书l HUAWEI ASG2000 应用安全网管 V100R001C10SPC200 升级指导书操作步骤步骤 1 登录到步骤 2 如果您是初次登录网站，需要执行步骤3先注册。如果您已经是注册用户，转到步骤4直接登录。步骤 3 单击“注册”，根据屏幕提示进行注册。注册成功后，您会收到您的用户账号和密码，请妥善保存。步骤 4 输入用户名、密码及系统给出的校验码，单击“登录”。登录成功后，搜索“ASG2200 V100R001C10SPC200”或者“ASG2800 V100R001C10SPC200”查阅或获取该产品的相关文档及系统软件。-结束2.1.3 查询当前版本软件的信息您可以通过Web方式登录到设备的图形界面环境，在Web界面上查询当前版本软件的信息，以及进行后续操作。使用admin账号登录ASG设备管理界面，单击右上角的“关于”，在弹出的对话框中可以看到版本信息，确认并记录升级前的版本信息，建议截图备份以便与升级后的版本信息对比。2.1.4 确认License的使用情况操作步骤步骤 1 记录升级前ASG设备的License信息，建议截图备份以便与升级后的License信息对比。图2-2 ASG设备License信息（已授权）-结束2.1.5 查询设备的运行状态查看设备运行状态选择“实时状态 > 运行状态”菜单，查看“设备资源信息”，记录CPU使用率和内存使用率等信息。建议截图备份，以便与升级后对比。图2-3 ASG设备运行状态查看接口卡的注册状态可以使用WEB界面提供的CLI控制台，在任意视图下使用display device命令查看接口卡的注册状态。<ASG2200> display device ASG2200's Device FWG2MPUA status: Slot # Type Online Status - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 0 RPU Present Normal 2 5FSW Present Normal 7 FAN Present Normal 8 FAN Present Normal 9 FAN Present Normal 10 PWR Present Normal 正常情况下，接口卡状态应该为Normal。当Status字段显示Abnormal时，表示该槽位的接口卡运行不正常。当发现有个别槽位接口卡运行不正常时请及时确认，若有问题请与技术支持工程师确认是否可以升级或必须更换，并记录接口卡状态。升级完成后再重点确认一下这些接口卡的状态。如仍然无法正常运行，请联系技术支持工程师。2.1.6 查询业务的运行情况选择“网络 > 监控 > ARP表”，查看ARP表信息。请记录升级前设备ARP表的记录数量，与升级后的记录对比，如果数量差异不是很大，说明升级后设备ARP功能正常。图2-4 ASG设备ARP表信息查看会话表信息选择“网络 > 监控 > 会话表”，查看会话表信息，请记录升级前设备会话表中的记录数量，与升级后的记录对比，如果数量差异不是很大，说明升级后设备会话功能正常。图2-5 ASG设备会话表信息查看路由表信息选择“网络 > 监控 > 路由表”，查看路由表信息。请记录升级前设备路由表的记录数量，与升级后的记录对比，如果数量差异不是很大，说明升级后设备路由功能正常。图2-6 ASG设备路由表信息2.1.7 保存和备份重要数据背景信息重要数据包括：版本文件、当前配置文件、用户配置文件等。请升级前务必备份版本文件、当前配置文件和用户配置文件。操作步骤步骤 1 备份当前使用的版本文件。系统升级在版本文件不重名的情况下不会删除原来的版本文件，您可以选择跳过此步骤。您也可以按下面的步骤执行，保存版本文件到本地PC。选择“系统 > 维护 > 升级系统”。选择“系统更新”页签，单击“管理版本文件”按钮。在弹出的对话框中，找到配置列中图标亮起的一个（），点击下载按钮（）下载并保存版本文件到本地。请确认下载到本地的版本文件大小和管理版本文件列表中的文件大小相同。图2-7 ASG设备升级前版本文件步骤 2 备份ASG设备配置信息。选择“系统 > 维护 > 配置备份与恢复”。依次单击“导出当前配置”和“导出用户配置”，将当前配置文件和用户配置文件保存到本地。图2-8 导出ASG设备配置设备的用户配置和当前配置为两个不同的文件，需要分别备份。步骤 3 记录升级前用户/部门配置信息。选择“用户管理 > 上网用户 > 部门/用户”，点击展开部门用户信息。记录升级前root部门下直属部门、用户及总用户数量。如图2-9所示。建议截图保存信息。图2-9 部门用户信息步骤 4 如果对象定义中已经配置了自定义应用协议，请阅读6 附录C：如何解决升级后自定义应用协议分类缺失，并按附录说明操作。否则可能影响到上网权限策略和限流策略的功能。-结束2.2 单机环境下的版本升级升级ASG设备，您有三种可选方式：Web一键式升级、BootROM方式升级。我们推荐使用Web一键式升级。您也可以根据表1-1选择合适的升级方式。本节主要介绍Web一键式升级，通过BootROM方式升级版本软件的具体操作请参见4 附录A：通过BootROM方式升级版本软件。l 请严格按照升级步骤进行升级，并记录整个升级过程所做的操作，以便升级失败后，进行故障的分析和定位。l 升级过程中严禁掉电、重启。如果在升级过程中出现掉电或重启，将会损坏版本软件文件导致设备无法启动。2.2.1 通过Web方式升级通过Web方式升级ASG2050/2100/2150/2200/2600/2800方法相同。本节将以升级ASG2600为例进行说明。升级流程通过Web方式升级版本软件的流程如图2-10所示。图2-10 通过Web方式升级版本软件流程图操作步骤步骤 1 登录ASG Web。步骤 2 选择“系统 > 维护 > 升级系统”，在“系统更新”页签中单击“一键式版本升级”。弹出图2-11界面。如果还没有备份用户配置和当前配置，请务必从设备导出配置并保存到本地，具体操作请阅2.1.7 保存和备份重要数据。图2-11 一键式版本升级步骤 3 单击“下一步”，弹出图2-12界面。选择V100R001C10SPC200版本文件（后缀名为.bin）。如果当前网络和业务状况允许设备重启，选中“设置为下次启动系统软件，并重启系统”，否则选中“设置为下次启动系统软件，不重启系统”。图2-12 选择版本文件步骤 4 单击“开始升级”，将弹出提示框图2-13，请阅读确认框信息。图2-13 升级前确认步骤 5 如果确认可以升级，请单击“是”。设备将自动完成删除已有系统软件、上传版本文件、设置启动软件和重启（如果第三步选中“设置为下次启动系统软件，不重启系统”则没有重启过程）。整个过程ASG2050/2100/2150/2200设备约30分钟，ASG2600/2800约20分钟。升级结束后浏览器会自动跳转到登录页面，如图2-14所示表明版本升级已经完成。图2-14 登录页面在步骤5中，如果单击“是”弹出flash卡空间不足提示框，如图2-15所示。请勾选版本文件后点击“删除”按钮。图2-15 Flash空间不足提示框系统软件必须以“.bin”作为文件扩展名，文件名不支持中文。-结束2.3 双机热备环境下升级ASG版本软件2.3.1 简介双机热备是ASG的一个重要特性。通过部署两台ASG，如果其中一台设备发生故障，另外一台设备可以迅速接替其工作，避免了单点故障，提高了网络的稳定性和可靠性。关于双机热备的详细介绍请参见产品文档。在部署了双机热备的网络环境中升级软件版本，需要遵循的主要原则是Master设备和Slave设备分别升级，先升级Slave设备，然后再升级Master设备，在升级过程中HRP备份通道（心跳线）必须断开。l 双机热备环境下升级版本软件时，Master设备和Slave设备的目标版本软件必须一致。l 搭建双机环境时，请确保主备设备的初始配置文件一致，以避免由于配置不一致，导致不兼容的情况发生。2.3.2 升级过程背景信息双机热备环境中升级软件版本的具体流程如图2-16所示。图2-16 双机热备环境中升级版本软件流程图升级前ASG_A为Master设备，ASG_B为Slave设备，具体步骤如下。操作步骤步骤 1 断开ASG_B（备机）与上下行设备的连接，ASG_B与ASG_A之间的HRP备份通道（心跳线）连接也必须断开。假设ASG_B与上下行设备连接的接口为GE0/0/1和GE 0/0/2，与ASG_A之间的HRP备份通道接口为MGMT，操作如下：通过Web登录ASG_B设备，选择“网络 > 接口”，将GE0/0/1和GE0/0/2的对应的“启用”复选框去选中，即表示禁用了这两个接口。步骤 2 升级ASG_B的软件版本。关闭HRP功能，通过Web登录ASG_B设备，选择“系统 > 高可靠性 > 双机热备”。在“配置双机热备”中，去选中“HRP启动”复选框并单击“应用”。然后开始升级软件版本，具体的操作步骤和注意事项与升级单台设备相同，请参见2.2 单机环境下的版本升级。步骤 3 ASG_B升级并重新启动完成后，恢复ASG_B与上下行设备的连接，恢复过程同步骤1，选中“启用”复选框；ASG_B与ASG_A之间的HRP备份通道（心跳线）连接不能恢复。步骤 4 断开ASG_A(主机)与上下行设备的连接。具体过程同步骤1。断开ASG_A与上下行设备的连接后，业务流量将通过ASG_B进行转发。由于ASG_B无法从ASG_A获得会话信息，部分业务需要重新建立连接，因此将会导致部分业务中断一段时间。步骤 5 升级ASG_A的软件版本。具体的操作步骤和注意事项与升级单台设备相同，请参见2.2 单机环境下的版本升级。步骤 6 恢复ASG_B与ASG_A之间的HRP功能。ASG_A升级并重新启动完成后，恢复ASG_B与ASG_A之间的HRP备份通道（心跳线）连接，并将ASG_A和ASG_B的HRP开关开启（过程见步骤2）。然后等待12分钟，使ASG_B上的会话信息完全备份到ASG_A。步骤 7 恢复ASG_A与上下行设备的连接，将ASG_A接入到原有网络中。执行上述操作后，ASG_A将切换为Master设备，业务流量将通过ASG_A进行转发。由于ASG_A已经从ASG_B获得了会话信息，因此业务不会中断。步骤 8 观察业务运行情况，验证升级结果。如果需要版本回退，请将版本回退至升级前的版本，回退流程请参见2.5 版本回退。-结束2.4 升级结果验证2.4.1 检查升级后的版本软件信息升级成功后，使用admin账号登录ASG设备管理界面。单击右上角的“关于”可以查看到升级后的版本软件信息。如果升级正常，“版本信息”应显示为V100R001C10SPC200。如果升级结束后版本信息不是V100R001C10SPC200，请确认版本软件是否下载正确。如果还存在问题请联系华为技术服务工程师或拨打4008229999反馈问题。2.4.2 检查License的状态选择“系统 > 维护 > License管理”，可以查看到升级后的License信息。请与升级前备份的License信息比较。如果升级后各检测库授权情况和升级过期时间或查询过期时间未发生改变则表明升级正常。如果发生改变，请联系华为技术服务工程师或拨打4008229999反馈问题。如果从V100R001C00SPC300及更低版本升级到V100R001C10SPC200，升级后License信息会增加“设备所在国家/地区”和“查询服务器”两项信息。请您根据实际情况，配置“设备所在国家/地区”。图2-172.4.3 检查设备的运行状态查看CPU和内存使用率选择“实时状态 > 运行状态”，在“设备资源信息”中查看升级后的设备运行状态。如果升级后的CPU和内存使用率与升级前的使用率差别不大，则可以认为设备运行状态正常。查看接口卡的注册状态在任意视图下使用display device命令查看接口卡的注册状态。<ASG2200> display device ASG2200's Device FWG2MPUA status: Slot # Type Online Status - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 0 RPU Present Normal 2 5FSW Present Normal 7 FAN Present Normal 8 FAN Present Normal 9 FAN Present Normal 10 PWR Present Normal 正常情况下，接口卡状态应该为Normal。当Status字段显示Abnormal时，表示该槽位的接口卡运行不正常。当发现有个别槽位接口卡运行不正常时请及时联系技术支持工程师。2.4.4 检查配置是否恢复升级结束后，参照2.1.7 保存和备份重要数据导出当前配置和用户配置，需要比较升级前后的当前配置文件和用户配置文件确定升级后配置是否正常恢复。V100R001C00SPC400版本ASG设备针对重启做了性能优化，对配置文件内容的顺序做了改变，因此如果从V100R001C00SPC300及更低版本升级到V100R001C10SPC200版