Cómo upgradear/patchear el OS de los switchs/routers de Huawei?

La idea del presente tutorial es poner al día a los dispositivos Huawei, dándoles así una nueva vida y tal vez un uso que anteriormente no tenían.

Para completar el tutorial se necesitará de:

  • Las credenciales (un usuario preferentemente lvl15) del dispositivo de red Huawei al cual vayamos a upgradear.
  • Conocimientos básicos del CLI de Huawei (se agradecen pero no son imprescindibles si se sigue el paso a paso del presente tutorial).
  • Una PC (preferentemente con un puerto serial físico disponible, ya sea un conector DB9 o USB).
  • Conexión a internet para descargar los OS de los dispositivos.
  • Un poco de paciencia (se explicará en su debido momento la razón).

Por qué hacerle un upgrade del OS a nuestros dispositivos de red?

Pues, además de las nuevas versiones de los OS traer parches para esas molestas fallas en la seguridad que acarrean las viejas versiones hemos encontrado algunos beneficios prácticos, por ejemplo:

  • En routers un tanto viejos como el AR158E (corriendo el OS V200R003C01SPC300) la única interfaz que podía enrutar era el puerto WAN (eth0) (cosa entendible, pues es un router xDSL) mientras que las demás interfaces se comportaban como un switch lvl3, o sea solo podía asignársele una IP a esas interfaces vía Vlanif, pero no podían enrutar. Una vez completado el upgrade (a la versión V200R010C10SPC700) todas las interfaces fueron capaces de enrutar.
  • En switchs como el S5700-28C-EI-24S antes de actualizar (V200R003C00SPC300) solo podrian ser declaradas 2 Vlanif mientras que luego del upgrade (V200R005C00spc500) se pueden declarar hasta mas de 10 Vlanif.
  • En routers WiFi como el AP7110DN es necesario el upgrade de su OS de fábrica para cambiar de modos entre los modos fat/cloud.

Comencemos:

1- Registro en el foro de Huawei (IMPORTANTE)

Creánlo o no, cuando vamos a realizar cualquier tipo de upgrade es necesario conocer al detalle todo lo que acarrea dicho upgrade, pues con cada uno puede que ocurran cambios importantes, por ejemplo: puede que se implemente de manera diferente algun protocolo de videoconferencias (H.323 o SIP), puede que el ICMP esté bloqueado para todos los puertos por defecto, puede que se experimente un de/crecimiento del filesystem del dispostivo, puede que la gestión web no pueda estar disponible luego del update… Siempre hay que estar preparado para lo peor. Y qué mejor manera de informarse que la documentación oficial por muy cansina que a veces resulte?

Es importante señalar que para obtener archivos importantes como el Upgrade guide o el mismo archivo del OS a upgradear de cada dispositivo es vital estar logueados en el sitio enterprise de Huawei.

Voy a asumir que todos saben lo que es un foro y que todos saben como crearse una cuenta en ellos, así que qué esperan? Vayan a loguearse en el sitio enterprise de Huawei. Como dato interesante: los integrantes del foro de Huawei son una comunidad muy activa y muuucho menos agresiva de sitio como StackExchange. Mi recomendación es que elijan la opción de registro email.

2- Información y archivos a upgradear desde el sitio oficial

Cualquiera pudiera pensar que para descargar los OS nuevos (y los viejos los necesitamos para hacer un downgrade y están disponibles) de los dispositivos a manejar uno necesita pagar, pues al menos en Huawei no es así. Ellos solo requieren de tu alma y que te conviertas en cliente (customer) de ellos. Sin convertirte en customer puedes acceder a la información pública de su sitio, pero no a la que nos interesa a nosotros, pues nos aparecerá con un candado que nos impedirá descargar nada realmente importante (solo los Users Manuals e Installations Guides).

Para convertirte en customer de Huawei solo tienes que registrar un producto dando algunos datos sencillos (algunos más que cuando te registraste en el sitio).

Luego de dirigirnos a este enlace hacemos click en My Product Permission y luego en Product Registration:

Esperamos una página como la siguiente:

En la imagen hay par de campos que pueden provocar alguna confusión:

  • SN: No es más que el Serial Number del dispositivo en el que vamos a trabajar. Con cada versión del OS el comando para buscar el SN varía, pueden ir aquí (switchs series S) o aquí (routers) para búsquedas mas profundas. Los comandos que siempre me han funcionado:

  • En el campo nombre intenten ser lo más preciso posible. Ejemplo: trabajo con varios switchs modelo S5700, pero cada uno tiene nombre y apellidos, así que en vez de poner solo S5700 (que tambien es aceptable), en la documentacion oficial aconsejan poner el nombre completo del dispositivo, por ejemplo: S5700-28C-EI-24S
  • Cuba sí aparece, bajo la region de Norte América.

Rellenamos todos los campos y luego de completar el captcha (uno de los captchas mas pesados que he visto!!!):

Si luego de dar OK nos desplazamos hacia abajo en esa misma página, bajo la sección de Application submitted veremos que nuestra petición esta siendo registrada (Pending approval):

Recuerdan cuando les mencioné en los requisitos para este tutorial paciencia? Pues ahora es cuando tienen que esperar unas cuantas horas. Personalmente en cada ocasión me tomó menos de 12h pero nunca fue rechazada una petición con datos correctos. Es un proceso sencillo pero un tanto largo y burocrático, pero es lo que hay.

Una vez el estado pasa de Pending approval a Approved ya tenemos acceso total a la información, upgrades y patchs para nuestro dispositivo.

Puede darse el caso de que hayamos registrado nuestro producto con un SN erróneo, de ser ese el caso Huawei nos contestará con un correo parecido a este:

3- Descargando el upgrade/patchs

Ya una vez todo el proceso anterior está hecho ya solo falta lo más fácil, descargar los archivos que vamos a utilizar para hacer el upgrade/patch de nuestro dispositivo.

Para esto nos dirigimos a la página de support de Huawei, desde donde buscaremos nuestro dispositivo (nótese que del mismo dispositivo hay mas de un tipo, tener en cuenta a la hora de descargar el upgrade/patch, pues puede que no sea el mismo para todos los dipositivos de la misma familia):

Una vez entremos en la sección de nuestro dispositivo iremos a la pestaña de Software Download:Intentaremos siempre utilizar los links que contengan la manito con el pulgar arriba, al parecer es al versión más estable según los propios usuarios.

Seleccionamos el archivo (usualmente vienen en formato zip o en .cc) y le damos a descargar, aceptamos y el proceso de descarga comienza.

4- Upgrade (ejemplo práctico con Router AR158E)

4.1- Nos logueamos en el dispositivo, ya sea por puerto serie o por SSH.

4.2.1- Nos fijamos en la versión del sistema:

Aquí podremos ver también otros datos como: el nombre del dispositivo (no solo la serie), la RAM (SDARM), la capacidad de almacenamiento (Flash), versión del PCB, la versión del OS actual…

4.2.2- Verificamos el sistema de archivos:

El archivo .cc es el OS que el dispositivo carga. En el Startup system software vemos el OS que corre actualmente, mientras que en Next startup system software vemos el OS que usará el dispositivo en el próximo reinicio, como es obvio ahora mismo ambas variables son iguales, pero luego cambiará. En este menú podremos ver otras informaciones.

4.2.3- Ahora comprobamos el estado del dispositivo:

Si el dispositivo funciona correctamente, el valor en el campo Online es Presente, el valor en el campo Register es Registered y el valor en el campo Alarm es Normal.

Si el valor del campo Alarm es Abnormal, la placa no está funcionando correctamente.

4.3-  Hay que mencionar que en este paso simplemente se buscará vía para enviar el (OS) .cc descargado desde Huawei. En la documentación oficial presentan varias vías: TFTP, FTP, o SFTP, Serial, ocupando el dispositivo el rol de cliente o servidor en el protocolo según sea el caso necesario.

En dependencia de la vía o protocolo que se seleccione para realizar la transferencia el proceso será más o menos rápido. En este caso se seleccionó el protocolo FTP, ya sabemos que es un protocolo obsoleto, pero hace la magia… En este caso el dispositivo de red asumirá el roll de servidor mientras que una PC será el cliente, con un cliente de FTP cualquiera.

4.4- Para poder utilizar el protocolo FTP ambos dispositivos (Router/Switch) tendrán que estar en la misma subred, para eso el primer paso es poner un IP en la interfaz 0 (en este caso Ethernet0/0/0) del dispositivo.

(NOTA: en la documentación oficial comentan que para esta vía se puede utilizar cualquier interfaz/puerto, pero recomiendan encarecidamente utilizar la interfaz 0)

La única gran diferencia a la hora de upgradear un Switch y un Router es a la hora de configurarle la interfaz de red a la cual accederemos. Mientras que en el ejemplo anterior (un Router) se le puede asignar directamente el IP a una interfaz, en el ejemplo siguiente (un Switch hay que configurale el IP a una vlanif y luego asignarla a una interfaz):

4.5-Configurar un usuario y “darle permisos” para dejarlo loguearse utilizando el protocolo FTP. Se puede utilizar un usuario previamente creado o simplemente crear uno nuevo, en este caso crearemos un usuario llamado huawei con el password huawei:

(NOTA: Recordar que a la hora de otorgar permisos en el cli de Huawei, los permisos no son aditivos, o sea que si se desea añadir un permiso a los que el usuario ya tiene no basta solo con setear el permiso deseado, sino que tiene que setear, además del permiso que se desea todos los anteriores. Ejemplo: si un usuario que previamente tenía permisos para loguearse usando la consola serial y el protocolo SSH y se le setea local-user AR service-type ftp perderá el permiso para loguearse por consola, por lo que la manera correcta seria: local-user AR service-type terminal ftp ssh):

4.6- Levantamos el servidor FTP:

4.7- Ahora, se debería checkear que el dispositivo tenga suficiente espacio libre, como vemos tiene 400MB libres:

Como se puede apreciar en la línea 0 tenemos el OS, incluso un archivo test.txt que le enviamos anteriormente de prueba.

4.8- El siguiente paso es utilizar el cliente FTP de elección y loguearnos en nuestro dispositivo usando el nombre de usuario y password configurados anteriormente (recordar que ambos dispositivos tienen que estar en el mismo segmento de red).

Es recomendable guardar toda la información que tenga el dispositivo, en caso de desastre.

4.9- Copiar el OS al dispositivo utilizando el mismo cliente FTP. Una vez terminada la copia (en mi caso nunca llego a los 100kB/s de transferencia, y hay momentos en los que parece que no copia, solo dale su tiempo) se comprueba que se haya copiado el OS listando los ficheros:

En este caso vemos que se copió al final del almacenamiento.

4.10-Anteriormente se utilizó el comando display startup para comprobar que OS utiliza el dispositivo, tenerlo en cuenta por ahora, pues se volverá a utilizar en unos momentos.

Ahora toca decirle al dispositivo que en su siguiente reinicio levante el OS que le copiamos vía FTP:

(NOTA: cuando le damos la dirección del nuevo OS al almacenamiento y presionamos TAB para que autocomplete no lo hará, hay que ponerlo a mano)

Y ahora solo resta comprobar que el dispositivo haya cargado el OS:

Por ahora solo nos resta reiniciar el dispositivo…

(NOTA: Durante el proceso de upgrade el dispositivo se reiniciará par de veces, en mí caso tomó alrededor de 8-10 minutos para completar el proceso)

4.11- Comprobar que el proceso se completó correctamente:

4.12- Con el objetivo de ahorrar espacio, procedemos a borrar el archivo del sistema (.cc) anterior:

(NOTA: Al borrar con la opción /unreserved estamos borrando totalmente, sin pasar por la papelera de reciclaje interna, el archivo)

5- Update (ejemplo práctico con Switch S5700)

Existirán veces en las que tengamos nuestros dispositivos con el ultimo OS disponible pero Huawei publica regularmente parches de seguridad. Para hacernos con estos archivos se realiza el mismo procedimiento que se siguió para obtener el OS en el ejemplo práctico pasado: nos registramos en el foro, registramos nuestro producto convirtiéndonos en Customers, esperamos por la notificación de confirmación y procedemos al sitio de nuestro dispositivo ya registrado para obtener los parches, activamos el servidor FTP interno del dispositivo y le pasamos el archivo… Justo como en el ejemplo anterior!!!

5.1- Una vez subido el parche (en este caso un archivo nombrado S5700EI-V200R005SPH038.pat) a la raíz de la memoria interna, especificamos el fichero, para que sea utilizado al inicio del sistema:

5.2- Reiniciamos el S5700 (recomendamos hacerlo por consola):

El parche no debe tardar más de 3 minutos.

5.3- Accedemos nuevamente por SSH (o consola, incluso desde el FTP server) y borramos el anterior parche del sistema, que se encontraba antes de subir el nuevo. En este caso, fue el siguiente:

5.4- Verificamos que se haya aplicado el parche correctamente:

Podemos ver que se aplicó correctamente el parche “V200R005SPH038” y se encuentra en uso, por el sistema.

5.5- Verificamos el dispositivo:

5.6- Por último verificamos los softwares del sistema que se están usando y el fichero de configuración:

6- Y listo!!! Ya tenemos nuestros dispositivos upgradeados y con sus parches de seguridad aplicados!!!

Autores:

  • Frank Morales
  • Franco Díaz

 

 

 

 

 

¿De cuánta utilidad te ha parecido este contenido?

¡Haz clic en una estrella para puntuar!

Promedio de puntuación 5 / 5. Recuento de votos: 1

Hasta ahora, ¡no hay votos!. Sé el primero en puntuar este contenido.

Sé el primero en comentar

Dejar una contestacion

Tu dirección de correo electrónico no será publicada.


*