F5000-A防火墙升级故障处理

　　【故障现象】

　　F5000-A防火墙在现网中主要支撑客户的语音传输业务。目前使用的软件版本为Version 5.20 Release 3206P05，需要升级到Version 5.20F3210P10，升级完成之后经过了一段时间的观察，客户业务部分区域出现了语音电话在使用过程中声音不连续的情况，说话声音断断续续。

　　【故障处理】

　　通过抓包查看，出现了RTP包丢失的情况。对版本进行了反复测试分析得出了结论，RTP包因为长度不固定，必须每个包放在一个UDP报文里进行传输。如果将RTP包分段进行处理，就会出现丢失的情况。

　　F5000-A防火墙在新的版本中，UDP报文由连接数每秒变成了报文数每秒，所以就造成了上述的故障现象，需要根据实际情况调整参数。

　　【F3210P10升级注意事项】

　　如果将设备版本从R3206、F3207、F3208系列版本升级到 F3210系列版本时，需要注意以下配置是否有问题：

　　(1) 确认设备上是否配置了nat server以及 nat server配置中是否有绑定ACL的配置，如果有该配置，则其中已绑定ACL的nat server配置在升级后会丢失。

　　(2) 确认接口下是否配置了NAT静态地址映像(nat static)、NAT地址池(nat address-group)及服务器映射(NAT Server)，如果有该配置并且NAT配置中的global地址与接口地址不在同一网段，则防火墙接口默认对于收到的针对NAT global地址的ARP请求不会进行响应。在防火墙对端设备未配置指向NAT global地址的路由时可能引发NAT中断问题， 可以通过在该接口下配置与NAT global在同一网段的 sub地址来实现 ARP响应。

　　(3) F3210系列版本新增虚拟设备最大会话数的配置，升级版本前确认设备上是否配置了虚拟设备，如果已经配置了，从其他版本升级到 F3210系列后，最大会话数会默认设置为 0，需要根据用户实际情况调整每个虚拟设备的最大会话数。

　　(4) F3207及R3206部分版本的地址资源(含主机地址、范围地址、子网地址)名称、自定义服务资源名称、服务组资源名称允许配置某些特殊字符(包括：“!”、“#”、“?”、“@”、“~”、“(”、“)”)，但是F3210系列版本不支持这些特殊字符，因此需要在版本升级前将这些字符替换成其他字符。

　　(5)在F3207、R3206及F3208系列版本上配置的TCP Proxy中的受保护 IP，升级到F3210系列版本后会存在配置丢失，需要重新配置受保护 IP。

　　(6)在F3207、R3206及F3208系列版本上配置的UDP Flood 检测配置的触发阈值的单位，升级到F3210系列版本后会由原来的连接数每秒变化为报文数每秒。

　　(7)在F3207、R3206及F3208系列版本上配置的 ICMP Flood 检测配置的触发阈值的单位，升级到F3210系列版本后会由原来的连接数每面秒变化为报文数每秒。需要根据实际业务进行阈值调整。

　　针对目前的情况，建议升级到Version 5.20，F3210P10，根据实际业务进行阈值调整。

2016年01月