Ver. 1.1 承認確認担当 2 0 1 8 年 0 4 月 2 5 日株式会社ネットワールド S I 技術本部インフラソリューション技術部
目次 1 改訂履歴...3 2 はじめに...4 3 アップグレード実施前の準備...5 4 アップグレード作業の実施 ( スタンドアローン [ 非冗長構成 ])...6 4.1 現在の使用バージョンの確認...6 4.2 アップグレードの実施 (GUI)...6 4.2.1 ファームウェア > ファームウェア管理画面へ移動...6 4.2.2 ファームウェアのアップロード...7 4.2.3 アップグレードの開始...7 4.3 アップグレードの実施 (CLI)...9 4.3.1 現在のバージョンの確認...9 4.3.2 Upgrade の実施...9 4.4 バージョンの確認...10 4.5 設定の確認...10 5 アップグレード作業の実施 ( 冗長構成 )...11 5.1 作業前確認...11 5.1.1 [ Primary ] バージョン確認...11 5.1.2 [ Primary ]override と priority 設定を確認する...11 5.1.3 [ Slave ] slave 機にログイン...12 5.1.4 [ Slave ] バージョン確認...12 5.1.5 [ Slave ] override 設定を確認する...12 5.2 アップグレードを実施する (GUI)...13 5.2.1 システム > ファームウェア管理画面へ移動...13 5.2.2 アップグレードの開始...13 5.2.3 アップグレードの開始...14 5.3 アップグレードの実施 ( CLI )...15 5.3.1 Upgrade の実施...15 5.4 バージョンの確認...16 5.5 設定の確認...16 6 切り戻し手順について ( その1)...17 7 切り戻し手順について ( その2)...18 8 補足説明 :...22 2
1 改訂履歴変更履歴番号変更年月日 Version Page status 変更内容作成承認 1 2018/04/25 1.0 o アップグレード手順書新規作成 NWD 2 2018/5/09 1.1 a 切り戻し手順 ( その2) を追加 NWD 3 4 5 status: a(dd), d(elete), r(eplace), o(ther) 3
2 はじめに本手順書は バージョンアップグレード手順書について説明した資料になります Fortinet 社 FortiGate シリーズを対象とした手順書となります 手順に関しての不明点がございましたら 合わせてご連絡下さい 本書の内容は予告なく変更することがあります 本書の内容について ( 株 ) ネットワールドは如何なる責任を負うものではありません 本書の内容の無断転写はできません Copyright 2018 Networld, Corp. All rights reserved. 4
3 アップグレード実施前の準備 1. 事前の準備アップグレード作業を行うには 以下のクライアントを準備する必要がございます アップグレードする対象ファームウェアのファイル (TEC-World から提供 ) をクライアントに保存 機種ごとにファームウェアがあるので ファイル間違いがないようにすること FortiGate へ GUI 接続可能なブラウザ (GUI で作業する場合 ) CLI( スタンドアローン ) でアップグレードする場合は [ FTP ] or [ TFTP ] サーバが必要 CLI( 冗長構成 ) でアップグレードする場合は [TFTP] サーバが必要 2. 注意点 アップグレードには再起動または Failover が発生しますので 通信断が発生いたします メンテナンス時間等を基本的に確保していただければと存じます ブラウザから設定確認時における注意点 JavaScript 有効のブラウザをご利用下さい 設定画面が正しく表示されない場合がございます Firefox Google Chrome Safari Microsoft Edge バージョンによりサポートブラウザが異なり バージョン差異やバグにより正常に表示されない場合がございますので 該当のリリースノートをご確認下さい 各バージョンリリース時の最新 2 バージョンを基本的にサポートしています アップグレード中にブラウザの更新 ( 再読込 ) ボタンは使用しないで下さい ブラウザはアップグレードに使用します (GUI 作業する場合 ) 作業時は非常時用に シリアルからも接続できる状況で実施下さい 3. コンフィグの引継ぎ バックアップの取得について現在使用している機器のコンフィグは 基本的にアップグレード後に引き継がれます アップグレード前後で必ず各バージョンでのバックアップを取得して下さい バージョン差異により引き継がれない項目もございますので アップグレード後は各設定をご確認ください 4. アップグレード作業の流れについて本手順書のアップグレードは以下の手順で行います 詳細な手順は各項目を参照下さい 1. アップグレードの事前作業事前の準備で用意したクライアント PC を用意する 2. アップグレード作業 1. GUI/CLI から操作でアップグレードの実施 2. 正常にアップグレードされていることを確認 5. その他アップグレード中に発生した不具合等につきましては 出力されたログと共に TEC-World までお問い合わせ下さい 作業時の CLI などのログがありましたら合わせて提供ください 5
4 アップグレード作業の実施 ( スタンドアローン [ 非冗長構成 ]) 作業は事前準備で用意したクライアント PC から GUI での操作で作業を行います 冗長構成の手順について 5 章を参照ください 4.1 現在の使用バージョンの確認 現在のバージョンを最初に確認をします GUI へログイン後 表示される [ Main ] 内の左上の [ システム情報 ] を確認 以下のように表示されたら 下記項目を確認します 上記出力では v5.6.2 ( bulid1486 ) がバージョンとなります CLI で確認する場合は次節の アップグレードの実施 (CLI) を参照ください 4.2 アップグレードの実施 (GUI) GUI でアップグレードする際の手順になります 4.2.1 ファームウェア > ファームウェア管理画面へ移動 左フレームの [ システム ] > [ ファームウェア ] を選択し [ ファームウェア管理 ] へ移動します 6
4.2.2 ファームウェアのアップロード [ ファームウェアをアップロード ] にある [ ファイルを選択 ] から 3 章で事前にクライアントに保存したファームウェアを選択します 4.2.3 アップグレードの開始 [ 設定のバックアップとアップグレード ] をクリックすると以下のメッセージが表示されますので [ 続ける ] をクリックします 7
クリック後アップグレードが開始されアップグレードプロセスにて再起動も自動で行われます そのため 本作業開始のタイミングで通信断が発生します コンソールでは以下のようなメッセージが表示されていれば進行中となります メッセージ Firmware upgrade in progress... Done. The system is going down NOW!! Please stand by while rebooting the system. Restarting system. メッセージが表示されたのち 適用が完了しますと 自動で再起動が開始されます 再起動後は 4.4 に進んでください 8
4.3 アップグレードの実施 (CLI) CLI でアップグレードする手順となります CLI でアップグレードする場合は [ FTP Server ] または [ TFTP Server ] が必要になります 4.3.1 現在のバージョンの確認 CLI でバージョンを確認するには get system status コマンドを実施します FortiGate-VM64 # get system status Version: FortiGate-VM64 v5.6.2,build1486,170816 (GA) 以下略 上記の出力結果ですと [5.6.2(build1486) のバージョンになります 4.3.2 Upgrade の実施 CLIでアップグレードするには restore image コマンドを実施します コマンド (ftp の場合 ): execute restore image ftp file_name ID:PWD@IP コマンド (tftp の場合 ): execute restore image tftp file_name IP コマンドは上記のようになります FTP サーバの場合は ID/ パスワードをIPと一緒に指定します コマンドの実施例は以下になります 注意点として 本コマンドを実行すると アップグレード実行しますか? のあとは全て自動で実施され そのまま再起動されます 自動再起動後は 4.4 へ進んでください 9
4.4 バージョンの確認 再起動が完了するとログイン画面に戻りますので 4.1 の手順を行い システム情報にあるファームウェアを確認し 適用したバージョンと一致することを確認下さい GUI が正常に表示されない場合は ブラウザを一度閉じ 画面のリロード (Ctrl+F5) を行って下さい 4.5 設定の確認 バージョン確認後 各設定の内容をご確認下さい 以上で ファームウェアのアップグレード作業は終了です 10
5 アップグレード作業の実施 ( 冗長構成 ) このセクションは冗長構成時のアップグレード手順をご案内します 冗長化構成の FortiGate はコンフィグ同期設定を行っております 異なるバージョンで HA 構成を組んだ場合 バージョン差異により同期するデータに差異が発生し 問題となる可能性がございますので 絶対に行わないようにして下さい FortiGate の仕様として Primary にてアップグレードを行うことで両機器とも順番にアップグレードされます ただし Failover の動きについては [ override ] の設定有効 / 無効で動作が異なります Failover については Appendix を参照ください また デフォルトでは直接 Slave 機器にはログインできないため SSH または GUI からのコンソール画面をご用意ください 5.1 作業前確認 アップグレード作業前に HA 各機器の設定を確認します 作業内容の関係上すべて CLI で作業を行います 5.1.1 [ Primary ] バージョン確認 CLI でバージョンを確認するには get system status コマンドを実施します FortiGate-VM01 # get system status Version: FortiGate-VM64 v5.6.2,build1486,170816 (GA) 以下略 上記の出力結果ですと [ v5.6.2 ( build1486 ) のバージョンになります 5.1.2 [ Primary ]override と priority 設定を確認する CLI でHAの設定を確認するには get system ha コマンドを実施します FortiGate-VM01 # get system ha group-id : 4 group-name mode : FG-HA : a-p 中略 priority : 2 override 以下略 : disable 上記設定では [ priority = 2 ] [ override = disable ] となります 11
5.1.3 [ Slave ] slave 機にログイン [ Slave ] 機には [ Primary ] 機を踏み台にしてログインが必要です コマンドは execute ha manage [ 番号 ] になります [ execute ha manage ] の段階でタブ確認すると Slave の情報が表示されます その表示されている数字を指定してください FortiGate-VM01 # execute ha manage <0> FGT0100000xxxxx FortiGate-VM01 # 上記では 0 がSlave の機器になりますので 番号は 0 を指定します その後 [ Slave ] 機へのログインID/PWD が確認されますので 入力してログインをします FortiGate-VM01 # execute ha manage 0 Entering character mode Escape character is '^]'. FortiGate-VM02 login: admin Password: Welcome! FortiGate-VM02 # 5.1.4 [ Slave ] バージョン確認 [ Slave ] 機にログイン後は [ Primary ] 機と同様にバージョン確認を行ってください 手順は [ Primary ] 時の作業をご確認ください 5.1.5 [ Slave ] override 設定を確認する [ Primary ] 機と同様に override のご確認も行ってください 手順は [ Primary ] 時の作業をご確認ください 12
5.2 アップグレードを実施する (GUI) GUI でアップグレードする際の手順になります 5.2.1 システム > ファームウェア管理画面へ移動 左フレームの [ システム ] > [ ファームウェア ] を選択し [ ファームウェアをアップロード ] から イメージファイルを選択し [ 設定のバックアップとアップグレード ] をクリックします 5.2.2 アップグレードの開始 [ 設定のバックアップとアップグレード ] をクリックすると以下のメッセージが表示されますので [ 続ける ] をクリックします 13
5.2.3 アップグレードの開始 アップグレードが開始されます コンソールでは以下のようなメッセージが表示されていれば進行中となります メッセージ Firmware upgrade in progress... Done. The system is going down NOW!! Please stand by while rebooting the system. Restarting system. メッセージが表示されたのち 適用が完了しますと 自動で再起動が開始されます この時のアップグレードの動きについて記載します コンソール画面をそれぞれ接続していますと両機器の動きが確認できます なお 記載の [ Primary / Slave ] について補足しておきます と [ ] で変更していますのでご確認下さい Primary : デフォルト Primary を意味しています Slave : デフォルト Slave を意味しています [ Primary ]: ステータスの Primary を意味しています [ Slave ]: ステータスの Slave を意味しています Override 無効の場合 1. Slave アップグレード開始し アップグレード後再起動する 2. Slave 再起動完了後 [ Primary ] に昇格する ( Failover 発生 ) 3. Primary アップグレード開始し アップグレード後再起動し [ Slave ] として稼働する Override 有効の場合 1. Slave アップグレード開始し アップグレード後再起動する 2. Slave 再起動完了後 [ Primary ] に昇格する ( Failover 発生 ) 3. Primary アップグレード開始し アップグレード後再起動する 4. Primary 再起動後に Failback して Primary 機が [ Primary ] に昇格 Slave 機が [ Slave ] に降格する ( Failover 発生 ) 14
両機器アップグレード完了後はもう一度ログイン画面表示する IP アドレスにてアクセスしなおしてください 自動で画面推移しない可能性がございます - 通信断の時間 : 想定ではそれぞれ数秒程度かかりますが 環境によっては長引くこともあります たとえば : スイッチにより MAC アドレスの学習タイミング STP が動作する環境 ( スイッチのポートの状態によってはブロッキングの為フェイルオーバしても通信が出来ない事があります ) - 作業するにあたり 機器 1 台をアップグレードするのにだいたい 15 分程度 (2 台で 30 分 ) かかります 不測の事態に備えて切り戻しも 30 分間として考えます 合計 1 時間のメンテナンス時間を設ける事をお勧めします 5.3 アップグレードの実施 ( CLI ) CLI でアップグレードする手順となります CLI でアップグレードする場合は [ TFTP Server ] が必要になります 5.3.1 Upgrade の実施 CLI でアップグレードするには restore image コマンドを実施します また アップグレードには [ TFTP Server ] が必須となります コマンド : execute restore image tftp file_name IP コマンドは上記のようになります TFTP サーバは IP を指定します コマンド例 : execute restore image tftp FGT_VM- v5-build1547-fortinet.out 10.15.2.69 注意点として 本コマンドを実行すると アップグレード実行しますか? のあとは全て自動で実施され そのまま再起動されます HA のアップグレードの順番については 5.2.3 の情報を参照ください 15
5.4 バージョンの確認 再起動が完了するとログイン画面に戻りますので 5.1 の手順を行い システム情報にあるファームウェアを確認し 適用したバージョンと一致することを確認下さい GUI が正常に表示されない場合は ブラウザを一度閉じ 画面のリロード (Ctrl+F5) を行って下さい 5.5 設定の確認 バージョン確認後 各設定の内容をご確認下さい 以上で HA 構成でのアップグレード作業は完了となります 16
6 切り戻し手順について ( その 1) このセクションでは アップグレード完了後に 1 世代前のファームウェアへ切り戻す場合の手順について説明し ます 本作業は CLI で行います 作業中のコンソール接続を念のためしていただくことを推奨します FortiGate は内部で 2 つのファームウェアを保持する事ができます 2 つのファームウェアは別パーティションに保管されるため 別バージョン ( 同一でも可 ) のファームウェアを共存させることが出来ます アップグレードを行うと 新しいファームウェアは現在使用しているパーティションとは別のパーティションへインストールされます そのためパーティションの切り替えを行なうことで アップグレード前のファームウェアへ切り戻しすることが可能です コンフィグはそれぞれのファームウェアが個別に保持します なお HA 構成で元のバージョンに戻すには両機器とも戻す必要がございます そのため IP バッティングなどが発生しますので 片側はネットワークから完全に切り離して ローカルにて作業して パーティションの切り戻しをおこなってください 1. CLI より現在と裏側のパーティション及び起動パーティションを確認します FG200D3914811514 # diagnose sys flash list Partition Image TotalSize(KB) Used(KB) Use% Active 1 FG200D-5.06-FW-build1486-170816 253871 48961 19% No 2 FG200D-5.06-FW-build1547-171204 253871 50320 20% Yes 3 ETDB-1.00000 14866900 38200 0% No Image build at Dec 4 2017 20:57:21 for b1547 FG200D3914811514 # 出力例では 現在の起動パーティションが [ Partition 2 ] ということになります [ Active ] に [ Yes ] が入っているのが現在起動しているパーティションになります 項目の右側の [ Image ] の項目がそのパーティションの適用バージョンになります 2. 起動パーティションの変更 execute set-next-reboot primary/secondary コマンドを実行します 上記の場合 [Partition 1 ] の primary を指定します FG200D3914811514 # execute set-next-reboot primary Default image is changed to image# 1. FG200D3914811514 # 3. 機器を再起動します FG200D3914811514 # execute reboot This operation will reboot the system! Do you want to continue? (y/n)y 4. 起動完了後 起動パーティションを確認します FG200D3914811514 # diagnose sys flash list Partition Image TotalSize(KB) Used(KB) Use% Active 1 FG200D-5.06-FW-build1486-170816 253871 48960 19% Yes 2 FG200D-5.06-FW-build1547-171204 253871 50321 20% No 3 ETDB-1.00000 14866900 38200 0% No Image build at Aug 16 2017 21:45:20 for b1486 FG200D3914811514 # 17
7 切り戻し手順について ( その 2) このセクションでは 上記パーティションにないファームウェアへ切り戻す場合の手順について説明します 作業中のコンソール接続を念のためしていただくことを推奨します また FortiGate はダウングレードを行う際 多くの設定情報は引き継がれませんのでご注意ください FortiGate をバージョンアップ前の状態に戻すためには 以下のファイルが必要となります バージョンアップ前に起動していたファームウェアのイメージファイル バージョンアップ前のバックアップコンフィグファイル 1. WebUI より FortiGate へログインします WebUI システム ファームウェア をクリックします ( v5.6 の場合 ) 以前のバージョンは TOP ページのシステムステータス画面に ファームウェアバージョン の項目があり この中の [ アップデート ] リンクをクリックします 2. ファームウェアをアップロード よりダウングレードするファームウェアを選択し バージョンのダウングードを確認 をチェックします 18
3. 設定のバックアップとダウングレード をクリックします 4. 上記メッセージが出力されますので 続ける をクリックしダウングレードが開始されます 19
5. 起動後 再び WebUI よりログインし システムステータス画面の ファームウェアバージョン の項目でダウングレードされている事を確認します 6. リストア をクリックし アップグレード前に取得したバックアップファイルから設定を復元します 20
7. リストア実行後 機器の再起動が発生しますので 起動後 正常にコンフィグがリストアされたことを確認し 終了となります 21
8 補足説明 : - 通信断のタイミング : ダウングレードを実行すると コンフィグのリストアが完了するまでの間通信断が発生することが考えられます ( 多くの設定は バージョンアップのように引き継がれません ) そのため 実施する際は十分にメンテナンス時間を設けた上で実施ください -FortiGate-100D ダウングレード時の注意点 : FortiGate-100D は ver5.x の OS から ver4.x へのダウングレードを実施する際には GUI ではなく TFTP にてファームウェアの変更を行う必要がありますので ご注意ください TFTP で OS をインストール後は設定が初期化されているため 改めて IP アドレスと管理アクセスを設定の上 コンフィグのリストアを実施ください FortiGate-100D の FortiOS が 5.0 から 4.0 へダウングレードできない事象について BIOS メニュー画面からの TFTP による FortiOS のインストール方法について 22