Ver. 1.1
承認 確認 担当
2 0 1 8
年
0 4
月
2 5
日
株 式 会 社 ネ ッ ト ワ ー ル ド
S
I
技
術
本
部
2
Copyrightⓒ2018 Networld Corporation. All rights reserved.目次
1
改訂履歴... 3
2
はじめに ... 4
3
アップグレード実施前の準備 ... 5
4
アップグレード作業の実施(スタンドアローン[非冗長構成]) ... 6
4.1
現在の使用バージョンの確認... 6
4.2
アップグレードの実施(GUI) ... 6
4.2.1
ファームウェア>ファームウェア管理画面へ移動 ... 6
4.2.2
ファームウェアのアップロード... 7
4.2.3
アップグレードの開始 ... 7
4.3
アップグレードの実施(CLI)... 9
4.3.1
現在のバージョンの確認... 9
4.3.2
Upgrade の実施... 9
4.4
バージョンの確認...10
4.5
設定の確認 ...10
5
アップグレード作業の実施(冗長構成)...11
5.1
作業前確認 ...11
5.1.1
[ Primary ]バージョン確認 ...11
5.1.2
[ Primary ]override と priority 設定を確認する ...11
5.1.3
[ Slave ] slave 機にログイン ...12
5.1.4
[ Slave ] バージョン確認 ...12
5.1.5
[ Slave ] override 設定を確認する ...12
5.2
アップグレードを実施する(GUI) ...13
5.2.1
システム >ファームウェア管理画面へ移動...13
5.2.2
アップグレードの開始 ...13
5.2.3
アップグレードの開始 ...14
5.3
アップグレードの実施( CLI ) ...15
5.3.1
Upgrade の実施...15
5.4
バージョンの確認...16
5.5
設定の確認 ...16
6
切り戻し手順について(その1)...17
7
切り戻し手順について(その2)...18
8
補足説明:...22
1
改訂履歴
変更履歴
番号 変更年月日 Version Page status 変更内容 作成 承認 1 2018/04/25 1.0 o アップグレード手順書 新規作成 NWD
2 2018/5/09 1.1 a 切り戻し手順(その2)を追加 NWD 3
4 5
4
Copyrightⓒ2018 Networld Corporation. All rights reserved.2
はじめに
本手順書は、バージョンアップグレード手順書について説明した資料になります。 Fortinet 社 FortiGate シリーズを対象とした手順書となります。 手順に関しての不明点がございましたら、合わせてご連絡下さい。 本書の内容は予告なく変更することがあります。 本書の内容について(株)ネットワールドは如何なる責任を負うものではありません。 本書の内容の無断転写はできません。3
アップグレード実施前の準備
1. 事前の準備
アップグレード作業を行うには、以下のクライアントを準備する必要がございます
アップグレードする対象ファームウェアのファイル(TEC-World から提供)をクライアントに保存 ※機種ごとにファームウェアがあるので、ファイル間違いがないようにすること
FortiGate へ GUI 接続可能なブラウザ(GUI で作業する場合)
CLI(スタンドアローン)でアップグレードする場合は[ FTP ] or [ TFTP ]サーバが必要 CLI(冗長構成)でアップグレードする場合は[TFTP]サーバが必要
2. 注意点
アップグレードには再起動または Failover が発生しますので、通信断が発生いたします。 メンテナンス時間等を基本的に確保していただければと存じます。 ブラウザから設定確認時における注意点 JavaScript 有効のブラウザをご利用下さい。設定画面が正しく表示されない場合がございます Firefox Google Chrome Safari Microsoft Edge ※バージョンによりサポートブラウザが異なり、バージョン差異やバグにより正常に 表示されない場合がございますので、該当のリリースノートをご確認下さい。 各バージョンリリース時の最新 2 バージョンを基本的にサポートしています。 アップグレード中にブラウザの更新 (再読込) ボタンは使用しないで下さい ブラウザはアップグレードに使用します(GUI作業する場合) 作業時は非常時用に、シリアルからも接続できる状況で実施下さい。3. コンフィグの引継ぎ、バックアップの取得について
現在使用している機器のコンフィグは、基本的にアップグレード後に引き継がれます。 アップグレード前後で必ず各バージョンでのバックアップを取得して下さい ※バージョン差異により引き継がれない項目もございますので、 アップグレード後は各設定をご確認ください。4. アップグレード作業の流れについて
本手順書のアップグレードは以下の手順で行います。詳細な手順は各項目を参照下さい。 1. アップグレードの事前作業 事前の準備で用意したクライアント PC を用意する 2. アップグレード作業 1. GUI/CLI から操作でアップグレードの実施 2. 正常にアップグレードされていることを確認5. その他
アップグレード中に発生した不具合等につきましては、出力されたログと共に TEC-World までお問い合わせ下さい。 作業時の CLI などのログがありましたら合わせて提供ください。6
Copyrightⓒ2018 Networld Corporation. All rights reserved.4
アップグレード作業の実施(スタンドアローン[非冗長構成])
作業は事前準備で用意したクライアント PC から GUI での操作で作業を行います。 冗長構成の手順について5章を参照ください4.1
現在の使用バージョンの確認
現在のバージョンを最初に確認をします。 GUI へログイン後、表示される [ Main ] 内の左上の [ システム情報 ] を確認 以下のように表示されたら、下記項目を確認します。 上記出力では v5.6.2 ( bulid1486 ) がバージョンとなります。 ※CLI で確認する場合は次節の【 アップグレードの実施(CLI) 】 を参照ください4.2
アップグレードの実施(GUI)
GUI でアップグレードする際の手順になります。 4.2.1 ファームウェア>ファームウェア管理画面へ移動 左フレームの [ システム ] > [ ファームウェア ] を選択し、[ ファームウェア管理 ]へ移動します。4.2.2 ファームウェアのアップロード [ ファームウェアをアップロード ] にある [ ファイルを選択 ]から 3 章で事前にクライアントに保存した ファームウェアを選択します。 4.2.3 アップグレードの開始 [ 設定のバックアップとアップグレード ] をクリックすると以下のメッセージが表示されますので、 [ 続ける ] をクリックします。
8
Copyrightⓒ2018 Networld Corporation. All rights reserved.クリック後アップグレードが開始されアップグレードプロセスにて再起動も自動で行われます。 そのため、本作業開始のタイミングで通信断が発生します。 コンソールでは以下のようなメッセージが表示されていれば進行中となります。
●メッセージ
メッセージが表示されたのち、適用が完了しますと、自動で再起動が
開始されます。
再起動後は 4.4 に進んでください。Firmware upgrade in progress ...
Done.
The system is going down NOW !!
Please stand by while rebooting the system.
Restarting system.
4.3
アップグレードの実施(CLI)
CLI でアップグレードする手順となります。
※CLI でアップグレードする場合は[ FTP Server ] または[ TFTP Server ]が必要になります。
4.3.1 現在のバージョンの確認
CLI でバージョンを確認するには、【 get system status 】 コマンドを実施します。
上記の出力結果ですと[5.6.2(build1486)のバージョンになります。
4.3.2 Upgrade の実施
CLIでアップグレードするには 【 restore image 】 コマンドを実施します。 コマンド(ftp の場合): execute restore image ftp file_name ID:PWD@IP コマンド(tftp の場合): execute restore image tftp file_name IP
コマンドは上記のようになります。FTP サーバの場合は ID/パスワードをIPと一緒に指定します。 コマンドの実施例は以下になります。
注意点として、本コマンドを実行すると【アップグレード実行しますか?】のあとは全て自動で実施され、 そのまま再起動されます。
自動再起動後は 4.4 へ進んでください。 FortiGate-VM64 # get system status
Version: FortiGate-VM64 v5.6.2,build1486,170816 (GA) 以下略
10
Copyrightⓒ2018 Networld Corporation. All rights reserved.4.4
バージョンの確認
再起動が完了するとログイン画面に戻りますので、4.1 の手順を行い、 システム情報にあるファームウェアを確認し、適用したバージョンと 一致することを確認下さい。 ※GUIが正常に表示されない場合は、ブラウザを一度閉じ、 画面のリロード(Ctrl+F5)を行って下さい。4.5
設定の確認
バージョン確認後、各設定の内容をご確認下さい。 以上で、ファームウェアのアップグレード作業は終了です。5
アップグレード作業の実施(冗長構成)
このセクションは冗長構成時のアップグレード手順をご案内します。 冗長化構成の FortiGate はコンフィグ同期設定を行っております。 異なるバージョンで HA 構成を組んだ場合、バージョン差異により同期するデータに差異が発生し、 問題となる可能性がございますので、絶対に行わないようにして下さい。 FortiGate の仕様として Primary にてアップグレードを行うことで両機器とも順番にアップグレードされます。 ただし、Failoverの動きについては[ override ]の設定有効/無効で動作が異なります。 Failoverについては Appendix を参照ください。 また、デフォルトでは直接 Slave 機器にはログインできないため、SSH またはGUIからのコンソール画面を ご用意ください5.1
作業前確認
アップグレード作業前に HA 各機器の設定を確認します。
作業内容の関係上すべて CLI で作業を行います。
5.1.1 [ Primary ]バージョン確認CLI でバージョンを確認するには、【 get system status 】 コマンドを実施します。
上記の出力結果ですと [ v5.6.2 ( build1486 ) のバージョンになります。
5.1.2 [ Primary ]override と priority 設定を確認する
CLI でHAの設定を確認するには【 get system ha 】コマンドを実施します
上記設定では [ priority = 2 ] [ override = disable ] となります。 FortiGate-VM01 # get system status
Version: FortiGate-VM64 v5.6.2,build1486,170816 (GA) 以下略
FortiGate-VM01 # get system ha group-id : 4 group-name : FG-HA mode : a-p 中略 priority : 2 override : disable
以下略
12
Copyrightⓒ2018 Networld Corporation. All rights reserved.5.1.3 [ Slave ] slave 機にログイン
[ Slave ] 機には [ Primary ] 機を踏み台にしてログインが必要です。 コマンドは【 execute ha manage [番号] 】になります。
[ execute ha manage ]の段階でタブ確認すると Slave の情報が表示されます。 その表示されている数字を指定してください。 上記では “0” がSlave の機器になりますので、番号は “0”を指定します。 その後 [ Slave ] 機へのログインID/PWD が確認されますので、入力してログインをします。 5.1.4 [ Slave ] バージョン確認 [ Slave ] 機にログイン後は [ Primary ] 機と同様にバージョン確認を行ってください。 手順は [ Primary ] 時の作業をご確認ください。 5.1.5 [ Slave ] override 設定を確認する [ Primary ] 機と同様に override のご確認も行ってください。 手順は [ Primary ]時の作業をご確認ください。
FortiGate-VM01 # execute ha manage <0> FGT0100000xxxxx
FortiGate-VM01 #
FortiGate-VM01 # execute ha manage 0 Entering character mode
Escape character is '^]'.
FortiGate-VM02 login: admin Password:
Welcome! FortiGate-VM02 #
5.2
アップグレードを実施する(GUI)
GUI でアップグレードする際の手順になります。 5.2.1 システム >ファームウェア管理画面へ移動 左フレームの [ システム ] > [ ファームウェア ] を選択し [ファームウェアをアップロード ]から イメージファイルを選択し[ 設定のバックアップとアップグレード ]をクリックします。 5.2.2 アップグレードの開始 [ 設定のバックアップとアップグレード ] をクリックすると以下のメッセージが表示されますので、 [ 続ける ] をクリックします。14
Copyrightⓒ2018 Networld Corporation. All rights reserved.5.2.3 アップグレードの開始 アップグレードが開始されます。 コンソールでは以下のようなメッセージが表示されていれば進行中となります。
●メッセージ
メッセージが表示されたのち、適用が完了しますと、
自動で再起動が開始されます。
この時のアップグレードの動きについて記載します。 コンソール画面をそれぞれ接続していますと両機器の動きが確認できます。 なお、記載の [ Primary / Slave ] について補足しておきます。 【 】と[ ]で変更していますのでご確認下さい。 ・ 【 Primary 】:デフォルト Primary を意味しています ・ 【 Slave 】:デフォルト Slave を意味しています ・ [ Primary ]:ステータスの Primary を意味しています ・ [ Slave ]:ステータスの Slave を意味しています。 Override 無効の場合 1. 【 Slave 】アップグレード開始し、アップグレード後再起動する 2. 【 Slave 】再起動完了後 [ Primary ] に昇格する(※Failover 発生)3. 【 Primary 】アップグレード開始し、アップグレード後再起動し [ Slave ] として稼働する Override 有効の場合
1. 【 Slave 】アップグレード開始し、アップグレード後再起動する 2. 【 Slave 】再起動完了後 [ Primary ] に昇格する(※Failover 発生) 3. 【 Primary 】アップグレード開始し、アップグレード後再起動する
4. 【 Primary 】再起動後に”Failback”して 【 Primary 】 機が [ Primary ] に昇格 【 Slave 】機が [ Slave ] に降格する(※Failover 発生)
Firmware upgrade in progress ...
Done.
The system is going down NOW !!
Please stand by while rebooting the system.
Restarting system.
両機器アップグレード完了後はもう一度ログイン画面表示する、 IP アドレスにてアクセスしなおしてください。 自動で画面推移しない可能性がございます。 -通信断の時間: 想定ではそれぞれ数秒程度かかりますが、環境によっては長引くこともあります、たとえば: ・スイッチにより MAC アドレスの学習タイミング ・STP が動作する環境。(スイッチのポートの状態によってはブロッキングの為フェイルオーバしても 通信が出来ない事があります) -作業するにあたり、機器 1 台をアップグレードするのにだいたい 15 分程度(2 台で 30 分)かかります。 不測の事態に備えて切り戻しも 30 分間として考えます。 合計 1 時間のメンテナンス時間を設ける事をお勧めします。
5.3
アップグレードの実施( CLI )
CLI でアップグレードする手順となります。 ※CLI でアップグレードする場合は [ TFTP Server ] が必要になります。 5.3.1 Upgrade の実施CLI でアップグレードするには 【 restore image 】 コマンドを実施します。 また、アップグレードには[ TFTP Server ] が必須となります。
コマンド: execute restore image tftp file_name IP
コマンドは上記のようになります。TFTP サーバは IP を指定します。
コマンド例: execute restore image tftp FGT_VM- v5-build1547-FORTINET.out 10.15.2.69
注意点として、本コマンドを実行すると【アップグレード実行しますか?】のあとは全て自動で実施され、 そのまま再起動されます。
16
Copyrightⓒ2018 Networld Corporation. All rights reserved.5.4
バージョンの確認
再起動が完了するとログイン画面に戻りますので、5.1 の手順を行い、 システム情報にあるファームウェアを確認し、適用したバージョンと 一致することを確認下さい。 ※GUIが正常に表示されない場合は、ブラウザを一度閉じ、 画面のリロード(Ctrl+F5)を行って下さい。5.5
設定の確認
バージョン確認後、各設定の内容をご確認下さい。 以上で HA 構成でのアップグレード作業は完了となります。6
切り戻し手順について(その1)
このセクションでは、アップグレード完了後に 1 世代前のファームウェアへ切り戻す場合の手順について説明し ます。 本作業は CLI で行います。作業中のコンソール接続を念のためしていただくことを推奨します。 FortiGate は内部で2つのファームウェアを保持する事ができます。 2つのファームウェアは別パーティション に保管されるため、別バージョン( 同一でも可 )のファームウェアを共存させることが出来ます。 アップグレードを行うと、新しいファームウェアは現在使用しているパーティションとは別のパーティションへ インストールされます。 そのためパーティションの切り替えを行なうことで、アップグレード前のファームウェアへ切り戻しすることが可能 です。 コンフィグはそれぞれのファームウェアが個別に保持します。 なお、HA構成で元のバージョンに戻すには両機器とも戻す必要がございます。 そのため、IPバッティングなどが発生しますので、片側はネットワークから完全に切り離して、ローカルにて 作業して、パーティションの切り戻しをおこなってください。 1. CLI より現在と裏側のパーティション及び起動パーティションを確認します。 出力例では、現在の起動パーティションが [ Partition 2 ] ということになります。 [ Active ] に [ Yes ] が入っているのが現在起動しているパーティションになります。 項目の右側の [ Image ] の項目がそのパーティションの適用バージョンになります。 2. 起動パーティションの変更【 execute set-next-reboot primary/secondary 】コマンドを実行します。 上記の場合、[Partition 1 ] の primary を指定します。
3. 機器を再起動します。
4. 起動完了後、起動パーティションを確認します。 FG200D3914811514 # diagnose sys flash list
Partition Image TotalSize(KB) Used(KB) Use% Active 1 FG200D-5.06-FW-build1486-170816 253871 48961 19% No 2 FG200D-5.06-FW-build1547-171204 253871 50320 20% Yes ★ 3 ETDB-1.00000 14866900 38200 0% No Image build at Dec 4 2017 20:57:21 for b1547
FG200D3914811514 #
FG200D3914811514 # execute set-next-reboot primary Default image is changed to image# 1.
FG200D3914811514 #
FG200D3914811514 # execute reboot This operation will reboot the system ! Do you want to continue? (y/n)y
FG200D3914811514 # diagnose sys flash list
18
Copyrightⓒ2018 Networld Corporation. All rights reserved.7
切り戻し手順について(その2)
このセクションでは、上記パーティションにないファームウェアへ切り戻す場合の手順について説明します。 作業中のコンソール接続を念のためしていただくことを推奨します。 また FortiGate はダウングレードを行う際、多くの設定情報は引き継がれませんのでご注意ください。 FortiGate をバージョンアップ前の状態に戻すためには、以下のファイルが必要となります。 ・バージョンアップ前に起動していたファームウェアのイメージファイル ・バージョンアップ前のバックアップコンフィグファイル 1. WebUI より FortiGate へログインします 「 WebUI 」 ⇒ 「 システム 」 ⇒ 「 ファームウェア 」 をクリックします。( v5.6 の場合 ) ※以前のバージョンは TOP ページのシステムステータス画面に「 ファームウェアバージョン 」の 項目があり、この中の[ アップデート ]リンクをクリックします。 2. 「 ファームウェアをアップロード 」よりダウングレードするファームウェアを選択し、 「 バージョンのダウングードを確認 」 をチェックします。3. 「 設定のバックアップとダウングレード 」 をクリックします。
20
Copyrightⓒ2018 Networld Corporation. All rights reserved.5. 起動後、再び WebUI よりログインし、システムステータス画面の「 ファームウェアバージョン 」 の項目 でダウングレードされている事を確認します。
7. リストア実行後、機器の再起動が発生しますので、起動後、正常にコンフィグがリストアされたことを 確認し、終了となります。
22
Copyrightⓒ2018 Networld Corporation. All rights reserved.8
補足説明:
-通信断のタイミング: ダウングレードを実行すると、コンフィグのリストアが完了するまでの間通信断が発生することが 考えられます(多くの設定は、バージョンアップのように引き継がれません)。そのため、実施する際は 十分にメンテナンス時間を設けた上で実施ください。 -FortiGate-100D ダウングレード時の注意点:FortiGate-100D は ver5.x の OS から ver4.x へのダウングレードを実施する際には、GUI ではなく TFTP にてファームウェアの変更を行う必要がありますので、ご注意ください。
TFTP で OS をインストール 後は設定が初期化されているため、改めて IP アドレスと管理アクセスを設定 の上、コンフィグのリストアを実施ください。
・FortiGate-100D の FortiOS が、5.0 から 4.0 へダウングレードできない事象について
