1 boot rom程序文件
2 应用程序文件
3 配置文件
防火墙的软件维护主要是针对上面三类文件,包括:boot rom程序文件、应用程序文件的升级下载及配置文件的上传下载等。
5.1.1 boot菜单在防火墙的软件维护过程中需要使用boot菜单,因此本节对boot菜单进行介绍。
按照图4-1所示搭建配置环境,然后启动防火墙,当配置终端上出现“press ctrl-b to enter boot menu”提示信息时,按下[ctrl+b]键,系统将提示:
please input boot rom password :
1 必须在出现“press ctrl-b to enter boot menu...”的3秒钟之内,按下[ctrl+b]键,才能进入boot菜单,否则将进入程序解压过程。
2 若您在进入程序解压过程后希望进入boot菜单,需要重新启动防火墙。
输入正确的口令后,键入[enter](如没有设置boot rom口令,直接键入[enter]即可)系统将进入boot菜单,显示如下:
1. h3c secpath f1000-a的boot菜单
boot menu:
1: download application program with xmodem
2: download application program with net
3: display file in flash
4: delete file from flash
5: start up and ignore configuration
6: enter debugging environment
7: boot rom operation menu
8: do not check the version of the software
9: exit and reboot
enter your choice(1-9):
boot菜单各选项含义如下:
1:通过xmodem下载应用程序,具体升级步骤请参见5.1.2 ;
2:通过以太网下载应用程序,h3c secpath f1000-a仅提供通过tftp升级应用程序的方法,具体升级步骤请参见5.1.4 ;
3:显示flash中的文件;
4:从flash中删除文件;
5:忽略配置文件并以初始配置启动;
6:进入调试环境;
7:进入boot rom操作子菜单;
8: 不检查boot rom程序扩展段、boot rom程序和应用程序的软件版本,此项用于版本升级时的后向兼容。当升级软件时,如采用的软件版本完全正确,仍无法升级成功,系统提示软件为“invalid version”,此时可选中此项,以便在软件升级时取消版本检查。此项被选中时只起作用一次,重新启动防火墙后即恢复版本检查。
9:退出boot菜单并重新启动防火墙。
2. h3c secpath f1000-a的boot rom子菜单
如前所述,进入boot菜单后选择第七项即可进入boot rom子菜单,其内容如下:
boot rom operation menu:
1: download boot rom with xmodem
2: download extended segment of boot rom with xmodem
3: restore extended segment of boot rom from flash
4: backup extended segment of boot rom to flash
5: exit to main menu
enter your choice(1-5):
各项含义如下:
1:通过xmodem升级boot rom程序;
2:通过xmodem升级boot rom程序扩展段;
3:从flash中恢复boot rom程序扩展段;
4:备份boot rom程序扩展段到flash中;
5:退回到主菜单。
该菜单中提供了boot rom程序升级、备份、恢复等方法,具体操作请参见5.1.2 、5.1.3 。
请勿轻易进行防火墙的软件升级,最好在技术支持人员的指导下进行。另外在进行防火墙升级时,请注意boot rom软件和应用程序的版本匹配。
5.1.2 利用xmodem协议完成应用程序和boot rom程序升级
利用xmodem协议完成软件升级时直接使用配置口,不必另外搭建配置环境。
1. 应用程序的升级
第一步:进入boot菜单(参见5.1.1 小节),键入[1],选择通过xmodem协议下载应用程序。防火墙将提供如下可供选择的下载速率:
downloading application program from serial ...
please choose your download speed:
1: 9600 bps
2: 19200 bps
3: 38400 bps
4: 57600 bps
5: 115200 bps
6: exit to main menu
enter your choice(1-6):
第二步:选择合适的下载速率,如键入[5],选择115200 bps的下载速率,防火墙将提示如下信息:
download speed is 115200 bps. change the terminal's speed to 115200 bps, and select xmodem protocol. press enter key when ready.
第三步:根据上面提示,改变配置终端设置的波特率(参考图4-4),使其与所选的软件下载波特率一致。设置完终端波特率后,应做一次终端的断开(即[拨入/断开])和拨号(即[拨入/拨号])操作,然后按[enter]键即可开始下载,系统提示如下:
downloading ... ccccc
设置完配置终端的波特率后,只有做一次终端仿真程序的断开和连接操作,新的设置才会有效。
第四步:从终端窗口选择[传送/发送文件],弹出如下图所示的对话框:
第五步:点击[浏览]按钮,选择需要下载的应用程序文件,并将协议设置为xmodem,然后点击[发送]按钮,系统弹出如下界面:
第六步:下载完成后,系统开始写flash(闪速存储器)操作,当这一操作完成后,终端界面出现如下信息,表明下载完成:
xmodem download completed, packet length 8790321 bytes.
system file length 7868992 bytes, http.zip file length 921329 bytes.
writing file flash:/system to flash...
please wait, it may take a long time
writing into flash succeeds.
please use 9600 bps.press [enter] key to reboot the system.
此时按提示将配置终端速率恢复为9600bps(并进行一次断开和拨号操作),然后系统正常启动。
2. boot rom程序的升级
第一步:进入boot菜单(参见5.1.1 小节),选择[7],进入boot rom操作子菜单。
第二步:在boot rom操作子菜单中选择[1],通过xmodem升级boot rom程序,防火墙将提供多种可选择的速率,随后操作与5.1.2 中的“1. 应用程序的升级”中的描述相同。
如果整个boot rom程序升级失败,将无法现场恢复,故只有在必要且有技术支持人员协助的情况下方可升级整个boot rom程序。
3. boot rom程序扩展段的升级
第一步:进入boot菜单(参见5.1.1 小节),选择[7],进入boot rom操作子菜单;
第二步:在boot rom操作子菜单中选择[2],通过xmodem升级boot rom程序扩展段,防火墙将提供多种可选择的速率,随后操作与5.1.2 中的“1. 应用程序的升级”中的描述相同。
采用这种方法升级boot rom程序只是升级了程序的一部分,一旦出现错误可以重新升级。
5.1.3 boot rom程序扩展段的备份及恢复
1. 在flash中备份boot rom程序的扩展段
如果防火墙需要备份boot rom程序的扩展段,可以采用如下方法:
第一步:进入boot菜单(操作方法见5.1.1 ),选择[7],进入boot rom操作子菜单;
第二步:在boot rom操作子菜单中选择[4],这样当前的boot rom程序扩展段将被复制到flash中。
backup extended segment, are you sure?[y/n]
键入[y],则开始备份;
如果备份成功,则提示信息如下:
writing to flash.please wait...####
backuping boot rom program to flash successed!
第三步:当再次出现boot子菜单时,选择[5],退出并重启防火墙即可。
2. 从flash中恢复boot rom程序扩展段
在boot rom程序扩展段出现问题或被误升级的情况下,可以将以前在flash中备份的boot rom程序扩展段重新恢复到boot rom中,方法如下:
第一步:进入boot菜单,选择[7],进入boot rom操作子菜单(菜单内容如上所示);
第二步:在boot rom操作子菜单中选择[3],从flash中恢复boot rom程序扩展段,会出现如下提示:
restore extended segment, are you sure?[y/n]
键入[y],则开始恢复;
如果成功恢复,则出现如下提示:
writing to boot rom.please wait...######
restoring boot rom program successed!
第三步:当再次出现boot子菜单时,选择[5],退出并重启防火墙即可。
5.1.4 通过tftp完成应用程序的升级
通过网络下载应用程序是指通过以太网口下载应用程序,此时防火墙作为client ,需要在防火墙的固定以太网口上连接tftp server。具体的升级方法如下:
tftp server程序由用户自己购买、安装,h3c secpath系列防火墙不提供此软件。
h3c secpath f1000-a仅提供tftp client的功能,故仅提供通过tftp升级应用程序的方法,升级步骤如下:
(1) 启动tftp server
在防火墙的以太网口所连接的pc上启动tftp server,并设置好欲加载文件的所在路径。
(2) 配置防火墙
第一步:进入tftp配置状态;
启动防火墙,进入boot菜单(操作方法见5.1.1 ),选择[2],进入net port download menu(网络下载菜单);
显示如下:
net port download menu:
1: change net parameter
2: download from net
3: exit to main menu
enter your choice(1-3): 1
第二步:配置tftp参数;
选择[1],可配置防火墙的网络接口参数,包括防火墙使用的接口、接口ip地址、子网掩码等;以及tftp server参数,包括tftp server的以太网口ip地址、应用程序的文件名等。
1 必须使用防火墙的eth0接口进行升级。
2 “ip address of the server : [192.168.1.10]”一项必须设为防火墙以太网口所连的tftp server的ip地址。
3 建议将tftp server的网口ip地址与防火墙eth0接口的ip地址设置为同一网段。
第三步:确认配置参数;
键入最后一项值后,将会出现如下提示并返回net port download menu菜单:
saving config, please wait...ok!
net port download menu:
1: change net parameter
2: download from net
3: exit to main menu
enter your choice(1-3): 2
(3) 通过tftp下载应用程序
按下[2]键,进入tftp下载状态,提示如下:
system file length 7868992 bytes, http.zip file length 921329 bytes.
加载成功,键入[enter]后,系统正常启动。
5.1.5 利用ftp完成程序/文件的上传下载
h3c secpath系列防火墙提供ftp server功能,为用户提供了另外一种更新配置文件、升级应用程序及boot rom程序的途径。任何ftp client(包括本地用户和远端用户)只要与防火墙连通即可。当通过用户验证后,即可进行配置文件或应用程序的上传下载。利用ftp上传/下载应用程序、配置文件及上传boot rom程序操作步骤如下:
上传:从ftp客户端的微机向防火墙传送文件,即put操作。
下载:从防火墙向ftp客户端的微机传送文件,即get操作。
1. 搭建上传/下载环境
搭建ftp本地上传/下载环境
第一步:通过防火墙以太网口连接微机;
第二步:配置防火墙以太网口ip地址,假设为10.110.10.10;
第三步:配置微机以太网口ip地址,假设为10.110.10.13;
第四步:将应用程序/boot rom程序/配置文件等拷贝到某一路径下,假设路径为c:\ version;
微机网口ip地址与防火墙以太网口ip地址应位于同一网段。
搭建ftp远程上传/下载环境
第一步:将微机通过wan连接至防火墙任意接口。这种方法不要求微机与防火墙在同一网段,用于防火墙远程升级;
第二步:将应用程序、boot rom程序或配置文件拷贝到某一路径下,假设路径为c:\version。
2. 启动ftp服务器
请防火墙侧维护人员进行配合,作如下配置:
第一步:设置验证方式;
aaa验证的具体配置您可以根据自己的实际情况进行选择,命令的详细介绍请参见本产品操作手册和命令手册的aaa和radius配置。
第二步:添加用户名;
[vpngateway] local-user vpngateway
vpngateway表示用户名。
第三步:添加口令;
[vpngateway-luser-vpngateway] password simple 123
第四步:添加服务类型,指定ftp目录;
[vpngateway-luser-vpngateway] service-type ftp ftp-directory flash:
第五步:添加权限等级;
[vpngateway-luser-vpngateway] level 3
第六步:启动ftp服务器。
[vpngateway] ftp server enable
经过以上操作,在防火墙上已经启动了ftp服务器,并设置了用户,这样任何一个ftp客户端程序均可使用该用户名、口令登录ftp服务器。
3. 上传/下载应用程序、配置文件及上传boot rom程序
第一步:在dos下进入应用程序、boot rom程序或配置文件所在路径,然后执行ftp命令,与防火墙建立ftp连接,如:
c:\version\ftp 10.110.10.10
若连接成功,则显示(以windows98为例):
connected to 10.110.10.10
220 ftp server ready on vpngateway at
user(10.110.10.10:(none)):
第二步:使用已经在防火墙上设置好的用户名、口令登录ftp服务器;
当出现提示符ftp]时,表示可以进行上传下载操作了。
第三步:上传/下载应用程序、配置文件或上传boot rom程序;
防火墙端应用程序缺省名称为system,配置文件缺省名称为config.cfg,boot rom扩展段文件缺省名称为bootrom,整个boot rom文件缺省名称为bootromfull。
上传应用程序/boot rom程序/配置文件
ftp] put:键入[put],表示进行上传操作。
local file:键入要上传的应用程序/boot rom程序/配置文件的名称。
remote file:键入防火墙端上传后所要保存的应用程序/boot rom程序/配置文件名称。
上传文件结束后,重新显示“ftp]” 提示符,可键入[dir]显示防火墙上的文件名称和大小,上传成功则配置文件大小与主机上的文件大小一致。
1 当使用ftp对应用程序进行升级时,请确保防火墙的flash中有足够的空间。若剩余空间不足,需使用delete /unreserved命令将旧版本或其他文件永久删除,否则无法上传新文件。
2 当使用put命令完成boot rom程序的上传后,还应接着使用upgrade bootrom [ full ]命令将bootrom/bootromfull程序从flash的根目录中解出,写到boot rom中,才能完成boot rom的升级。
3 将应用程序文件上传到flash中后,若要使应用程序在下次启动时生效,需将文件重命名为system。
4 将配置文件上传到flash中后,若要使配置文件在下次启动时生效,需将文件重命名为config.cfg,或使用startup saved-configuration命令设置系统下次启动时使用的配置文件。
下载应用程序/配置文件
ftp] get:键入[get],表示进行下载操作。
remote file:键入防火墙端应用程序/配置文件名称。
local file:键入要保存的应用程序/配置文件的名称。
第四步:上传/下载成功后,退出ftp客户端程序。
ftp]quit:键入[quit],表示退出ftp连接。
4. 使用detach命令将web文件解包分离出来。
ftp方式下载完成应用程序/配置文件后。当应用程序中包含web文件时,还需使用detach命令将其解包分离出来才能使用。
[vpngateway] detach system
system file length 7856557 bytes, http file length 834724 bytes.
[vpngateway] dir
directory of flash:/
如果要解包的文件没有捆绑web文件,则提示文件中没有捆绑web文件;如果没有指定解包出的web文件名,则web文件名缺省为http.zip。
5.1.6 修改boot rom口令
可以使用防火墙的boot菜单更改boot rom的口令。
启动防火墙,当配置终端上出现“system starts booting”提示信息时,按下[ctrl+d]键,系统将提示:
please input boot rom password :
1 必须在出现“system starts booting”的3秒钟之内,按下[ctrl+d]键,才能进入boot菜单,否则将进入程序解压过程。
2 若您在进入boot rom扩展段后希望进入loader段菜单,需要重新启动防火墙。
输入正确的口令后,键入[enter](如果没有设置boot rom口令,直接键入[enter]即可)系统将进入boot菜单,显示信息如下:
boot menu:
1: download boot rom with xmodem
2: download extended segment of boot rom with xmodem
3: modify boot rom password
4: system booting from flash
5: do not check the version of extended segment of boot rom
6: exit and reboot
enter your choice(1-6):
boot菜单各选项含义如下:
1:通过xmodem下载boot rom程序;
2:通过xmodem升级boot rom程序扩展段;
3:修改boot rom密码;
4:从flash中引导boot rom扩展段;(此项功能需要flash中存在boot rom扩展段的备份,请参见5.1.3 。)
5:不检查boot rom程序扩展段、boot rom程序的软件版本;(此项功能用于版本升级时的后向兼容。当升级软件时,如采用的软件版本完全正确,仍无法升级成功,系统提示软件为“invalid version”,此时可选中此项,以便在软件升级时取消版本检查。此项被选中时只起作用一次,重新启动防火墙后即恢复版本检查)
6:退出loader段菜单并重新启动防火墙。
在boot菜单中选择[3],修改boot rom密码,提示信息如下:
modify boot rom password, are you sure?[y/n]y
please input new password(max 32 char) :
retype the new password(max 32 char) :
saving the password... success!
密码的最大长度是32个字符。
5.1.7 口令丢失的处理
如果防火墙boot rom的口令或用户口令丢失,请与技术支持人员联系,技术支持人员会帮助您进入防火墙,并重新设置口令。