控制器【系统维护】-【系统更新】-【控制器升级】-【查看升级历史记录】(如图)，确认控制器是否升级过补丁包。如果控制器升级过补丁包，升级记录最上方会显示类型为补丁包，此类情况是不能升级的，务必先联系信锐售后4008783389或者当地办事处咨询补丁包的作用及目标升级版本是否已经解决，由信锐工程师判断并确认能不能回滚到正式版本和升级。

注意：控制器存在补丁包的情况下，是不能直接升级，在信锐工程师确认能回滚升级的情况下需将补丁包回滚到正式版本才可升级版本。回滚补丁包时控制器会重启，如图可在【系统维护】-【系统更新】-【控制器升级】-【查看升级历史记录】中进行回滚补丁包操作。

1.3 检查控制器集群

检查【控制器集群】-【集中管理】，控制器是否有启用集中管理。

检查【控制器集群】-【高可用性】，控制器是否有启用高可用性，搭建了双机。

如果控制器启用了集中管理或启用了高可用性时，建议联系当地办事处或者拨打信锐售后电话，让信锐工程师协助配合升级。

1.4 确认升级路线

控制器升级前需要确认当前设备版本，在控制器web界面可以查看当前控制器版本：

确认版本后，再按照如下的升级路线图确认升级路线：

5]Z(N(R3X5X]B~_(6SK8YIH

注意：

1、控制器升级至3.6版本前需等待AP自动同步版本，升级至3.6版本后不需等待AP同步版本，自动重启完毕后可继续升级。

2、NAC 3.3.8版本设备升级前需联系信锐400远程确认

3、NAC 3.6及3.6之后版本可以直接升级到3.7.4.2R1或最新版本。

4、NAC 3.8.1.1版本与NAC 3.8.1.2版本之间不能互相升降级

1.5 备份控制器配置

1、备份控制器配置

2、控制器网络配置备份，低版本无单独【网络备份恢复】菜单，如无下图菜单可忽略此步骤。

1.6 开启控制器ssh和updateme

1、控制器升级使用TCP 51111端口,NAC默认关闭51111端口，升级前需在控制器页面【系统维护】-【调试选项】开启sshd。所有版本NAC的SSH均会每天凌晨2时左右定时关闭，所以每次升级前均需要手动打开sshd选项。

2、NAC 3.8.1.2及之后版本升级还需再开启updateme功能，开启方法如下：网页打开控制器完整URL后面加上英文?show，即可看到updateme选项，如图。

1.7 下载升级工具与升级包

1、下载升级工具：点击下载

2、下载所需要升级的版本升级包：点击查看，若未能找到需要的升级包，可以联系信锐售后获取。

2 升级前须知

1、在升级过程中禁止手动重启设备，电脑和控制器的网络不能中断，否则会导致设备严重损坏。

2、升级超过一小时仍未升级完成，或者升级过程中提示报错，可以联系当地技术或者信锐400查看原因。

3、电脑要用和控制器同一内网的有线网络，禁止跨公网远程升级控制器，禁止连接控制器发出来的无线信号升级控制器，否则设备无法升级成功且可能损坏设备。

4、NAC 3.8.1.1及之前的版本禁止在控制器web界面的【系统维护】-【系统更新】-【控制器升级】-【正式包升级】中升级控制器，必须用信锐的升级工具加载升级包升级，升级工具的下载及使用详见第3章。

NAC 3.8.1.2开始可以在【系统维护】-【系统更新】-【控制器升级】-【正式包升级】中升级控制器（NAC3.10.0版本开始在【系统管理】-【系统更新】-【控制器升级】-【正式包升级】），使用信锐升级工具升级的方法也支持，这两种升级包格式不一致不能混用，升级包需联系信锐400或当地办事处获取。

5、若AP和控制器不在同一个网段，一定要给AP固定控制器的地址，否则AP离线的概率会变大。给AP固定控制器地址的配置方法为【无线接入点】-【接入点管理】，选中AP，然后点击批量编辑接入点，在发现控制器IP地址栏填写控制器IP地址,注意固定发现NAC地址时，对于部分远程AP远程部署的场景，需要留意地址是否与内网部署的AP一致。

6、控制器升级之后，AP与控制器软件版本不一致，此时AP会自动同步到和控制器相同的版本，当版本没有同步上来的时候，AP会一直处于离线状态，这个属于正常现象。在此期间网络无法使用。

7、升级会断网，因此建议在下班时间不影响业务的情况下升级。

8、升级控制器需要校验升级序列号，所以需要保证升级时用于升级的电脑可以上网或控制器可以上网。

9、使用升级客户端升级NAC时提示“无法连接设备，请检查网络是否正常”，需要在【系统维护】-【调试选项】开启sshd。

3 升级步骤

3.1 NAC升级

使用有线网络访问控制器，打开升级工具，根据升级路线图确认的需要升级的升级包，按照升级路线图加载升级包，待升级成功后，控制器重启起来才可继续升级下一个升级包。

1、打开升级工具，输入控制器的IP和密码，点击连接。

2、选择从本地加载升级包升级，点击浏览，选择升级包，然后点击下一步。

3、点击“开始升级”

升级等待，中途切勿断开控制器电源或者中断电脑跟控制器的连接，否则会导致升级失败，控制器可能损坏。出现升级成功的提示后控制器会自动重启。控制器重启完后，AP会需要一段时间（一般十几分钟）同步控制器版本。等到AP全部同步好版本并上线后，控制器升级就算完全成功了。

3.2 NAC母盘包和DC包升级步骤

注意：NAC3.6以下版本升级到高版本后，如需在高版本需要使用审计和日志中心功能，则需要升级母盘包。在控制器升级正式包成功后，再给控制器升级WAC母盘包和DC升级包，NAC3.6以上版本升级不需升级WAC母盘包和DC升级包。

1、下载WAC母盘包：点击下载

2、下载DC升级包：点击下载

3、用无线升级工具给控制器先升级WAC母盘包，等控制器升级成功，控制器重启起来后，再升级DC升级包。（升级时注意事项参见第2章）

4 升级失败排查

4.1 提示udphistory.sh上传失败

原因：升级客户端没有解压

解决办法：升级客户端需要

解压后，再打开升级客户端升级控制器

$C:\Users\Lenovo.LAPTOP-D52UCSPF\Documents\My Knowledge\temp\e6f05df4-dca4-4d85-ab05-a4da2d3d67a0\128\index_files\wpsE792.tmpdffefc00-322b-4093-a77b-712342365da7.jpg$

4.2 Check package md5 failed

原因：解析升级包出错，升级包下载的不完整导致的，MD5校验失败

解决办法：重新下载升级包升级。

$C:\Users\Lenovo.LAPTOP-D52UCSPF\Documents\My Knowledge\temp\e6f05df4-dca4-4d85-ab05-a4da2d3d67a0\128\index_files\wpsE793.tmpd35be934-4355-4288-aa8f-f7f49bff308a.png$

4.3 提示不支持的控制器版本

原因：控制器当前版本不支持直接升级到对应的版本

解决办法：根据升级路线图重新下载匹配的升级包逐级升级。如果不确定升级包是否可以升级可以联系信锐400或者当地办事处确认。

4.4 提示Please disable High Availability first

原因：控制器当前是双机状态，高可用性没关，双机环境下不能直接升级

解决办法：需要关闭高可用性重新升级（拆除双机升级）

$C:\Users\Lenovo.LAPTOP-D52UCSPF\Documents\My Knowledge\temp\e6f05df4-dca4-4d85-ab05-a4da2d3d67a0\128\index_files\wpsE7E1.tmp1cabf69c-af70-4634-b438-4edf8af51d7a.png$

4.5 提示Because of KB package

原因：控制器上升级过补丁包导致升级报错

解决办法：先找当地办事处或信锐400确认补丁包的作用。由信锐工程师确认补丁包作用，确认可以升级后再回滚补丁包。

$C:\Users\Lenovo.LAPTOP-D52UCSPF\Documents\My Knowledge\temp\e6f05df4-dca4-4d85-ab05-a4da2d3d67a0\128\index_files\wpsE7E2.tmp1154adcd-93bb-48de-b510-8bd7b48c29a7.jpg$

4.6 提示校验升级序列号失败

原因：控制器升级序列号无效，或者控制器/电脑无法上网。

解决办法：

1、如果是因为控制器升级序列号无效导致升级失败，则需要更新软件升级序列号。

2、如果是因为控制器/电脑无法上网导致升级失败，则只要保证控制器或电脑其中一个可以上网即可。

深信服自助服务平台

信锐自助服务平台

网络控制器NAC

NAC升级指导-单机

1 控制器升级准备事项

1.1 软件升级序列号

1.2 控制器补丁包确认