【准入】天擎强制合规模块-NAC集中管理版本引擎升级

代苏艳发表于:2021年01月06日 17:02:46

适配版本


产品:天擎-强制合规模块

版本:NAC引擎版本(集中管理版,不包含标准版NAC)

平台:NAC引擎设备

内容


一、升级说明

       这篇文字的升级操作仅仅指天擎NAC集中管理版本,是需要注册至天擎web管理页面才可以使用的版本。

而非标准版NAC(指有独立web管理页面的NAC),root权限登录请咨询二线登录。

       NAC版本的升级是为了实现,和天擎强制合规模块扩展包版本适配,或基于某个nacpkg版本的hotfix的更新等。

       注意:标准版NAC没有任何技术途径升级到NAC集中管理版本。


二、升级范围

所有NAC引擎升级包,包括nac_base包和nacpk包,比如:

序号

强制合规模块扩展包版本

nac_base

nacpkg

发布时间

1无扩展包nac_base.1.0.017.binnacpkg_6.0.1018.0279.bin2016年12月28日
2无扩展包nac_base.1.0.017.binnacpkg_6.0.1019.0102.bin2017年8月25日
36.5.0.1610nac_base.1.0.038.binnacpkg_6.3.1040.1774.bin2019年3月18日
46.5.0.1612nac_base.1.0.039.binnacpkg_6.3.1040.3002.bin2019年4月19日
56.5.0.1613nac_base.1.0.039.binnacpkg_6.3.1040.3005.bin2019年5月17日
67.0.0.1100nac_base.1.0.039.binnacpkg_6.3.1040.3005.bin2019年5月18日






三、升级准备
3.1 准备一台可以和NAC设备连通的终端。

3.2 准备ssh远程工具(如SecureCRT或xshell等)和文件传输工具(如winpscp)。

3.3 获取升级包。(目前先联系二线获取,后续会有专业发布平台)。

3.4 通过md5计算工具验证获取到的升级文件的md5值。


四、升级NAC
4.1 查看当前版本

root模式使用命令naccli(后续新版本使用命令naccli  -d)进入NAC-CLI模式,NAC-CLI模式使用命令exit退回root模式。使用guest登录NAC系统后,不支持直接切换回root模式。

在NAC-CLI模式下查看当前nac引擎版本信息:

<360NAC>system version list

4.2  将升级包上传至服务器端

           使用NAC自带的rz命令 将base包和pkg包上传到非/tmp/目录中。

4.3查看MD5值

校验当前上传的升级文件和二线提供的bin文件以及md5值是否一致,如果不一致请先在本地验证文件Md5值,然后再上传。

md5sum  nac_base.1.0.xxx.bin

md5sum  nacpkg_6.3.xxxx.xxxx.bin

注意:nac bin包已加密,在执行sh **.bin前需要将bin包解密,解密rpm请与二线联系获取

1)rpm -ivh nacpkg-1.0.01-1.el7.x86_64.rpm
2)nacpkg -e nac_base.1.0.051.bin(举例)
3)nacpkg -e nacpkg_7.0.1002.1519.bin(举例)

4.4升级base版本。

执行下列操作。

sh  nac_base.1.0.xxx.bin

操作方法:使用sh命令+base包名称的方法进行升级,sh与nac_base.1.0.038.bin之间有空格,都是小写。


举例:sh  nac_base.1.0.038.bin

image2019-6-3_13-30-4.png?version=1&modificationDate=1559539805000&api=v2

nac_base.1.0.038.bin后面不用加update参数,有如下提示,表示NAC引擎升级完成。

image2019-6-3_13-31-39.png?version=1&modificationDate=1559539900000&api=v2


4.5升级pkg版本。

sh nacpkg_6.3.xxxx.xxxx.bin update

操作方法:使用命令sh   nacpkg_6.3.xxxx.xxxx.bin文件   update参数进行升级,sh和nacpkg_6.3.xxxx.xxxx.bin直接有空格,nacpkg_6.3.xxxx.xxxx.bin和update直接有空格。

注意:update参数前面不需要输入-或者/等符号,直接输入单词update即可【如果不输入update参数,则部分配置可能会丢失,但是如果准入跨大版本升级不建议加update,比如7.0.3.1207升级7.0.3.4000,属于跨大版本升级;7.0.3.1207升级7.0.3.1208,属于同系列版本的hotfix升级】。

举例:sh nacpkg_6.3.1040.1774.bin update

image2019-6-3_13-39-4.png?version=1&modificationDate=1559540345000&api=v2

有如下提示“Update Successfully”说明升级成功。

image2019-6-3_13-43-21.png?version=1&modificationDate=1559540602000&api=v2


其他:(可选)如果需要重新升级nacpkg包,发现提示当前版本已经是要升级的版本了,可以修改/etc/version.txt。将版本号修改成小于当前版本的版本号,比如:

将6.3.1040.1774改成6.3.0.1040.1773,保存退出,即可重新升级nacpkg版本。

image2019-6-3_13-46-23.png?version=1&modificationDate=1559540784000&api=v2


五 、验证升级结果

5.1   检查版本

通过naccli(或者naccli -d)命令进入NAC-CLI模式

使用命令system version list 查看当前版本是否已经升级成功。

image2019-6-3_13-45-28.png?version=1&modificationDate=1559540729000&api=v2

5.2  保存配置

在NAC-CLI模式下使用命令sysconf save 保存配置。

“msg”返回Success说明保存成功。

image2019-6-3_13-49-27.png?version=1&modificationDate=1559540967000&api=v2