Brocade Fabric Firmware Update

ab und an sollte man das tun

In diesem Beitrag geht es um das aktualisieren der Firmware eines Brocade Fibre Channel Switches, aka Fabric oder SAN Switch. Der Vorgang betrifft alle Switches, welche als Basis einen „Brocade 6505“ haben. Das sind meines Wissens nach:

  • HPE SN3000B
  • EMC DS-6505B
  • DELL Connectrix DS 6505B
  • IBM SAN24B-5
  • Fujitsu gab ihm keinen eigenen Namen

Allgemeine Infos

  1. Alle mir bekannten Hersteller verweisen bei der Firmware mittlerweile ausschließlich auf die Brocade Sources, was früher nicht immer so war.
  2. Die Firmware erhält man im Regelfall nur über den Hersteller, bei welchem der Switch erworben wurde. Von dort wird man dann mit einem Double Sign In Verfahren an die Brocade Seite weitergeleitet, welche dann zumindest anhand der E-Mail Adresse einen validen Vertrag oder Partnerstatus prüft.
  3. Für den Download benötigt man im Regelfall ein gültiges Benutzerkonto / einen Partner Account UND als Kunde in jedem Fall min. 1 Device mit gültigem Support Vertrag.
  4. Partner der Hersteller haben im Regelfall über ihren Account Zugriff auf die Firmware
  5. Aus lizenzrechtlichen Gründen kann ich die Software hier also nicht zum Download anbieten.
  6. Bei dieser Anleitung beschränke ich mich auf das Update, denn ich gehe davon aus, dass Leser dieses Beitrags die Details der notwendigen Software und deren Quellen, wie auch den Installationsvorgang kennen. Fallstricke werden natürlich erwähnt… 😉
  7. Die Firmware (das Fabric OS – FOS) kann entweder Step by Step aktualisiert werden, oder auch „disruptive“ auf enen Schlag. Disruptiv bedeutet in diesem Fall, dass es in jedem Fall eine Unterbrechung aller Verbindungen am betreffenden Switch gibt, da dieser neu gestartet werden muss (Dauer ca. 5 Minuten). „Non disruptive“ Updates sind nur bei Einhaltung einer vorgegebenen Reihenfolge der Upates möglich. Diese bitte, abhängig von der aktuellen und natürlich von der Zielversion bei Brocade prüfen.

Erforderliche Software

  1. Firmware beschaffen (im Regelfall *.zip Files) und auf dem System, welches für die Aktualisierung verwendet wird, abspeichern.
  2. Filezilla Server auf dem System, welches für die Aktualisierung verwendet wird (dieser muss irgendwo im Netzwerk bereitgestellt werden)
  3. Putty auf dem System, welches für die Aktualisierung verwendet wird(für den CLI Zugriff, welchen ich präferiere / das Überspringen mehrerer Releases geht aber nur via CLI)
  4. Ein Java JRE auf dem System, welches für die Aktualisierung verwendet wird (für den Zugriff auf die Switch GUI) Achtung erster Fallstrick! Ganz alte Firmware erfordert häufig ein ganz altes Java, also sicherheitshalber immer ne Version 7.5 bspw. dabei haben!

Vorbereitungen

  1. Filezilla Server auf dem Client oder einem Server im Netzwerk installieren und schon gehts los…
  2. Fallstrick 1: Die Windows Firewall – Wenn diese aktiv bleiben muss (Admin Richtlinie) reicht es nicht aus nur TCP 21 eingehend zuzulassen. Es muss auch eine Port Range für den Passiv Mode als Inbound Regel freigeschaltet werden, sonst funktioniert der Download der Firmware vom Switch aus nicht, weil der Passiv Mode dynamische Ports und nicht etwa nur TCP 21 verwendet.
  3. Fallstrick 2: Der passive Mode – Wenn die Windows Firewall aktiv ist, muss die Passive Port Range festgezurrt werden, sonst wird das nix. In den Einstellungen des Passiv Modes muss man eine fixe Port-Range anpassen. Dazu in der Filezilla Konfiguration:
    Edit -> Settings –> Passive mode settings –> Checkbox „Use custom port range“ aktivieren –> Range mit bspw. 50100 bis 51101 festlegen. (In beiden Feldern den selben Port, wie es andere beschreiben, geht bei den neuen Versionen nicht mehr…)
    Genau diese Port-Range jetzt als Inbound Policy an der Windows Firewall zulassen!
  4. Putty installieren und eine Verbindung auf die Fabric(s) via SSH herstellen
  5. Java installieren – Hier an die Sicherheitseinstellungen von Java denken (Systemsteuerung), also die URLs der Fabrics (mit http) als „Sicher“ hinterlegen. Jetzt mit dem IE (ja, der geht dafür tatsächlich am besten!) den Zugriff und den Start der Java Web Apps (*.jnlp files) testen. Am IE ggfs. ebenfalls die Seiten als sicher einstufen, sonst kommen evtl. die Java Sicherheitsprompts nicht.

Wenn der CLI Zugriff funzt, kann man schonmal weitermachen. Die GUI benötigt man im Prinzip nur, wenn man für andere Dinge (Zoning, Switch Administration) lieber die GUI nutzt. Aber egal wie das Update statfindet, die Fallstricke bleiben die selben!

Das Update

  1. Die Files in den FTP-Root kopieren. Dazu die heruntergeladenen ZIP Files entpacken, sodass unterhalb des Root Verzeichnis die eigentlichen Firmware Ordner liegen.
    Das sieht dann etwa so aus:Übrigens ist der Ordner SWBD118 der betreffende Ordner für den 6505.
    Achtung:
    Standardmäßig packt Brocade die ZIP Files in 2 Unterordner, also unbedingt sicherstellen, dass im Verzeichnis die oben abgebildeten Ordner direkt darunter und NICHT in einem weiteren Unterverzeichnis liegen!
  2. Dann die CLI öffnen und zunächst prüfen, welche Firmware (welches FOS) aktuell installiert ist:
    firmwareshow
  3. startet man ein nondisruptives Update, lautet der Befehl zum Update der Firmware
    firmwaredownload
  4. Möchte man schneller ans Ziel und kann sich aufgrund von Redundanzen einen sofortigen Reboot des Switches leisten, lautet der Befehl
    firmwaredownload -s
  5. In der Folge startet ein „Wizard“ der diverse Eingaben anfordert. Ich denke das erklärt sich selbst.
    • IP oder DNS Name des FTP Servers, welcher installiert wurde
    • FTP Username (nur bei Username „Anonymous“ darf das Kennwort leer bleiben!)
    • Der Verzeichnisname – Die Bezeichnung File Name ist historisch bedingt, als man beim Update noch das passende „release.plist“ File angeben musste. Hier ist mittlerweile nur der der Root Ordner des entpackten Firmware Files anzugeben. Den Rest sucht sich das FOS selbst. Das Verzeichnis ist mit einem führenden „/“ anzugeben. Direkt „unterhalb“ des Ordners muss sich dann die im Screenshot abgebildete Ordner Struktur befinden.
    • Das Netzwerk Protokoll – In unserem Fall die „2“, also FTP
    • Das Passwort des FTP Users
    • Auto-Commit after reboot bedeutet, das die Firmware automatisch auf die sekundäre Boot partition übertragen werden soll, wenn der switch erfolgreich neu gestartet wurde. Im Regelfall default lassen also „Y“.
    • Reboot system after download – ist nur ohne den „-s“ Schalter möglich. Verwendet man beim update also „firmwaredownload -s“, muss der Switch nach dem Update manuell neu gestartet werden.

    Und dann geht’s los…

  6. Direkt nach dem Neustart des Switches wird die neue Firmware gebootet und anschließend in die sekundäre Partition kopiert (der Switch bezeichnet auch dies als „Download“). Im Screenshot sieht man die unterschiedlichen Stati des Prozesses, also wieder SSH und:
    firmwareshow

    bis Primary/Secondary die selbe Version anzeigen:

  7. Nachdem auch dieser Prozess abgeschlossen ist, den Switch auf Fehler prüfen und man ist durch. Ein paar hilfreiche commands:
    switchstatusshow
    sensorshow
    switchportshow
    portshow
    porterrshow
    portstatsshow
    errdump