Решение проблемы обновления прошивки Juniper
August 26th, 2009 | by Ivan Kudryavtsev |Некоторое время назад мы стали счастливыми обладателями 3х файрволов Juniper NetScreen 208 Advanced. Надо сказать, что исторически мы защищали свою сеть с помощью хоста с GNU/Linux с настроенными iptables и iproute2. Однако, некоторое время назад мы решили запустить совместный онлайн проект с одним из томских провайдеров.
Соответственно, решили приобрести профессиональное сетевое оборудование для защиты периметра, чтобы поддерживало все требуемые нам функции, легко администрировалось и обладало высокой надежностью и невысокими требованиями к мощности источника. Выбор пал на Juniper NetScreen 208 - файрволы/маршрутизаторы HiEnd класса, немного устаревшие, но актуальные для наших целей. ВСоответственно, у нас высвобождалось кое-какое оборудование серверное оборудование, которое мы планируем отдать в проект.
Более подробно характеристики данных межсетевых экранов можно посмотреть этой технологической заметке: juniper-netscreen-204-208. Для решения наших задач вполне достаточно. Три единицы оборудования было приобретено для того, чтобы организовать периметр из двух экранов с демилитаризованной зоной, а одно устройство оставить для резервной замены.
Получив два первых устройства мы столкнулись с проблемой. На одном из них прошивка была такой старой, что не допускало использование устройства в силу наличия известных ошибок в прошивке. Первые попытки обновить прошивку до последней версии (на втором экране мы как раз имели последнюю версию прошивки) не привели к успеху. Железка говорила, что образ слишком большой и на флэш-память не входит. Попытки связаться с партнером Juniper в России привели к тому, что нам предложили купить поддержку за несколько тысяч долларов, а они нам предоставят прошивки промежуточных версий для обновления. Как легко догадаться прошивки промежуточных версий в интернет мы не нашли (Juniper не предоставляет свои прошивки в свободный доступ - это, в общем-то, имеет определенные плюсы, впрочем как и минусы). Получается, что, имея устройство, мы не можем его использовать в силу патовой ситуации с обновлением прошивки.
Однако, совершенно случайно мы нашли способ обновить прошивку 4.0.3 до 5.4.0 казалось бы экзотическим способом. Все дело в том, что эти устройства, как и многие другие активные сетевые устройства умеют загружаться по сети, скачивая ядро с помощью протокола tftp. Попытка загрузиться с последней версией прошивки к нашему удивлению удалась, после чего ядро само начало обновлять файловую систему рутера и успешно загрузилась. Далее, мы просто установили этот же образ во флэш-память и получили обновленное железо, что позволило нам начать строить периметр!
One Response to “Решение проблемы обновления прошивки Juniper”
By Nadija on Sep 17, 2009 | Reply
Молодцы ребята!!!
Гордость берет за русский народ, ищущий нестандартные решения!
з.ы…прикольный стиль изложения материала-очень легко и интересно читать, спасибо!