今天临晨2:00到5:00进行了F5扩容的割接,在此总结一下:
1.之前对现有网络环境的仔细考察还是到位的,没有出现因为不了解的网络结构而出现的问题。
2.之前做的准备工作比较充分,但还不是最充分。在现场也发现一两个疏忽掉的配置。比如交换机接口配了没有开启;防火墙的一些在特定模式下粘贴的在全局模式下粘贴;不用的接口没有去掉。
3.没有严格按照之前列好的list来做,虽然技术点都到位了,但有一个业务接口人的通知落下了。
4.叫了机房人员还是有必要的,不然线的长度不够,到时还要抽时间找梯子,割接时间就不够了。
5.割接时有两个人相互配合,遇到问题解决得会快一些。
6.在割接之前将要拔的网线都贴上简明的标签以便回滚时插线。
割接过程中遇到的一些问题:
1.旧的F5不能ping通直连的ip,但对端能ping通它。这个问题出现了两次。
第一次是做HA的时候,ping不通对端,但对端能ping过来。当时是重做HA的vlan,重庆配IP地址解决。
第二次是F5上移动线路的网关ping不通,小概率能ping通(需要做了HA的另一台ping触发),当ping不通的时候用tcpdump能抓到icmp的回显。说明对方是后回的,应该是通的。当时是将active切换到另一台F5,重启这一台F5,重启两次失败。第三次成功,初步判断是个bug。
2.做了HA(failover)后,配置同步时,出现一个关于rule的错误,定位到报错的irules,将注释的语句删除掉再同步就成功了。可能是同步用的语法检查跟irules用的语法检查有些冲突。
3.做了failover后,有的vs存活探测失败,发现F5用非浮动ip去探测内部主机的存活状态(以前旧F5上的ip变成了浮动ip)。核心交换机上的vacl放开相应的网段,之前是旧F5上的单个ip。
阅读(1587) | 评论(0) | 转发(0) |
