Comments
Description
Transcript
VPN-1/FireWall-1 アップグレード手順書 NGAI(R55
VPN-1/FireWall-1 アップグレード手順書 NGAI(R55)⇒NGX(R61) VRRP 構成 2007 年 2 月 株式会社アズジェント テクニカルサポートセンター 文書番号: NKFW-00038-01 目次 はじめに................................................................................................................................. 3 1. 準備するもの ..................................................................................................................... 5 2. 構成図 .............................................................................................................................. 6 3. アップグレード作業 ............................................................................................................ 7 3-1. Management Module のバージョンアップ、ライセンス投入................................. 7 3-2. ha2 機を NGX にアップグレード、ライセンス投入 .............................................. 11 3-3. ha2 機にポリシーインストール .......................................................................... 12 3-4. Master を ha1 機から ha2 機に切替 ............................................................... 14 3-5. ha1 機を NGX にアップグレード、ライセンス投入 .............................................. 14 3-6. ha1 機にポリシーインストール .......................................................................... 15 3-7. Master を ha2 機から ha1 機に切替 ............................................................... 17 本書で使用する製品名は各社の商標または登録商標です。 本文中では、®、©マークは省略しています。 Copyright © 2007 Asgent, Inc. All rights reserved. 本書は株式会社アズジェントが権利を有します。 本書に記載された事項は将来予告なしに変更することがあります。 本書の作成には細心の注意を払っておりますが、本書の内容に起因する直接的および間接的な 損害の一切につき、株式会社アズジェントは何ら責任を負わないものとします。 2 / 17 NKFW-00038-01 はじめに 対象読者 本文書は、Nokia IP シリーズ、Check Point VPN-1/FireWall-1 のユーザを対象に書かれていま す。したがって読者が次の事項についての基本的な理解と実務知識を持つものと仮定します。 ・ TCP/IP ・ システム管理 ・ UNIX および Windows OS の基礎的なオペレーション 概要 この文書は、Nokia IP シリーズのルータ冗長化プロトコル VRRP と Check Point NGX のステート 同期機能を併用する構成で、NGAI から NGX にアップグレードする際の流れについて説明するも のです。手順の詳細については、各手順書にてご確認ください。 対象バージョン アップグレード前: IPSO 3.7 以降、Check Point NGAI(R54)以降 アップグレード後: IPSO 3.9 以降、Check Point NGX (R60)以降 本文書のベース: アップグレード前: IPSO 3.8 Builld 055、Check Point NGAI(R55) アップグレード後: IPSO 4.1 Build 019、Check Point NGX (R61) 表記規則 AaBbCc123 画面表示を示します AaBbCc123 ユーザの入力を示します AaBbCc123 コメントを示します 注意事項 ¾ VRRP 構成についての注意事項は、VRRP & Check Point NGX ステート同期設定手順書 にてご確認ください。 ¾ アップグレードについての注意事項は、VPN-1/FireWall-1 NGX へのアップグレード手順書 にてご確認ください。 ¾ 本書に記載の手順は、リスクを最小限に抑えることを考慮しておりますが、無停止を保障する ものではありません。 3 / 17 NKFW-00038-01 ¾ 本書に記載の手順は、本書指定の構成にて有効なものであり、異なる環境下では手順の異 なる場合があります。 ¾ 作業途中で、サポート対象外の構成となる段階があります。作業開始後は速やかに最後まで 作業を行ってください。 ¾ 修正パッチを当てる作業は、全てのバージョンアップ作業が完了してから行ってください。修 正パッチをインストールする場合は、全ての Enforcement Module に同一バージョンのパッ チを適用してください。 4 / 17 NKFW-00038-01 1. 準備するもの ● NGX 用ライセンス Management Module 用ライセンス ×1 FireWall Module 用ライセンス ×2 ● FW-1 NGX の CD-ROM ※ ライセンス及び CD-ROM がお手元にない場合は、弊社保守サポート Web よりお手続きくださ い。 http://www.asgent.co.jp/Maintenance/CPFW1/informations/ngx_versionup.html ● FTP サーバー IPSO のインストール用(FTP インストールをする場合のみ) ● 参考資料 弊社保守サポート Web より、該当するバージョンの手順書をご用意ください。 ・ IPSO & VPN-1 / FireWall-1 インストールガイド ・ VPN-1 / FireWall-1 NGX へのアップグレード手順書 Windows / Solaris 用 ・ VRRP & VPN-1 / Firewall-1 NGX ステート同期設定手順書 ・ CheckPoint VPN-1 / FireWall-1 NGX リリースノート 5 / 17 NKFW-00038-01 2. 構成図 次のネットワーク構成をサンプルとして設定手順を説明します。 Internet 外部ネットワーク 192.168.200.0/24 仮想ルータ ID:101 仮想 IP アドレス: 192.168.200.3 1 2 ステート同期専用リンク ha1 1 1 172.16.0.0/24 ha2 2 2 仮想ルータ ID:101 仮想 IP アドレス: 192.168.100.3 内部ネットワーク 192.168.100.0/24 Management Module (asgent-rreg02fd) ホスト名 インターフェース IP アドレス ha1 外部 192.168.200.1 内部 192.168.100.1 ステート同期 172.16.0.1 外部 192.168.200.2 内部 192.168.100.2 ステート同期 172.16.0.2 外部 192.168.200.3 内部 192.168.100.3 ha2 仮想ルータ 【OS 情報】 ha1 : IPSO3.8 Build55 / FireWall-1 NGAI R55(Enforcement Module) ha2 : IPSO3.8 Build55 / FireWall-1 NGAI R55(Enforcement Module) asgent-rreg02fd : Windows2000Server / FireWall-1 NGAI R55(Management Module) 6 / 17 NKFW-00038-01 ha1、ha2 の両機はステート同期の設定が問題なく稼動しており、Management Module からそれぞ れに対し正常なポリシーインストールが可能な状態であることとします。 3. アップグレード作業 【全体の流れ】 1. Management Module を NGX にアップグレード、ライセンス投入 2. ha2 機を NGX にアップグレード、ライセンス投入 3. ha2 機にポリシーインストール 4. Master を ha1 機から ha2 機に切替 5. ha1 機を NGX にアップグレード、ライセンス投入 6. ha1 機にポリシーインストール 7. Master を ha2 機から ha1 機に切替 3-1. Management Module のバージョンアップ、ライセンス投入 ① Management Module のバックアップを保存 upgrade_export ツールを使用してバックアップを保存してください。 ※ 手順の詳細については、アップグレード手順書をご確認ください。 ② Management Module を NGAI R55⇒NGX R61 にアップグレード ※ 手順の詳細については、アップグレード手順書をご確認ください。 ※ Management Module のバージョンが FireWall Module のバージョンより上位の場 合は、運用に影響はありません。 ※ Management Module サーバーの再起動時に、ログの欠落が発生します。 7 / 17 NKFW-00038-01 CD-ROM で setup.exe を開き、画面の指示に従って進みます。 下記のオプション選択画面で”Upgrade”を選択し、次に進みます。 ライセンス投入についての画面が表示されますが、後の作業でライセンスを投入するため ここでは”Upgrade licemses during this installation process”にチェックをつけずに次 へ進みます。 8 / 17 NKFW-00038-01 その後は画面の指示に従って進んでください。 ※セットアップ完了後、サーバーを再起動してください。 ③ Management Module へのライセンス投入 コマンドプロンプトより cpconfig コマンドで ConfigrationTool を表示させ、NG 用のライセ ンスを削除し、NGX 用のライセンスを投入してください。 9 / 17 NKFW-00038-01 ④ ポリシーインストール NGX 用の SmartDashboard から、ルールが引き継がれていることを確認し、ポリシーイン ストールを行ってください。 【アップグレード前】 【アップグレード後】 10 / 17 NKFW-00038-01 【ポリシーインストールの完了を確認】 3-2. ha2 機を NGX にアップグレード、ライセンス投入 ※ 手順の詳細については、インストールガイドをご確認ください。 ① ha2 機の、Management Module と Voyager に接続するインターフェース以外のインタ ーフェースをすべて切断 (FTP サーバーを使用している場合、FTP サーバーに接続するインターフェースは接続) ② Voyager から ha2 機のバックアップを保存 ③ コマンドラインもしくは Voyager から IPSO をアップグレード ④ コマンドラインもしくは Voyager から FireWall-1 をアップグレード ⑤ NG 用のライセンスを削除し、NGX 用のライセンスを適用 ※ ライセンスの登録方法については、インストールガイドをご確認ください。 11 / 17 NKFW-00038-01 3-3. ha2 機にポリシーインストール ※ 制限版ライセンスの場合、Cluster オブジェクトから Gateway オブジェクトを外した際に、サ イト数の制限によりポリシーインストールが出来なくなる可能性があります。その際は、 Cluster オブジェクトから外した Gateway オブジェクトを削除し、ha1 機のアップグレード後に 再度オブジェクトを作成しなおし、SIC を張りなおす必要があります。ha1 機ローカルのポリ シーで動作しますので、オブジェクトを削除しても運用に問題はありませんが、ログ管理な ど Management Module との通信が必要な動作は行えません。 ① NGX 用の SmartDashboard で Cluster オブジェクトから ha1 機を除外 オブジェクトのリストから ha1 機を選択して右クリックし、”Detach from Cluster”を選択し てください。 12 / 17 NKFW-00038-01 ② Cluster オブジェクトにポリシーインストール Cluster オブジェクトのバージョンを”NGX R61”に変更してください。 ターゲットから ha1 機を除外し、Cluster オブジェクトにのみポリシーインストールを行って ください。 13 / 17 NKFW-00038-01 3-4. Master を ha1 機から ha2 機に切替 ① ha2 機のインターフェースを接続 ② ha1 機の、Management Module 接続以外のインターフェースを切断 ③ ha2 機が Master となることを確認 Voyager もしくはコマンドラインで、ha2 機の VRRP Monitor を確認してください。 3-5. ha1 機を NGX にアップグレード、ライセンス投入 ※ ha2 機と同様にアップグレード、ライセンス投入を行ってください。 ※ 手順の詳細については、インストール手順書をご確認ください。 14 / 17 NKFW-00038-01 3-6. ha1 機にポリシーインストール ① NGX 用の SmartDashboard で、Cluster オブジェクトに ha1 機を追加 ha1 機の Gateway オブジェクトのバージョンを NGX R61 に変更してください。 (オブジェクトを再作成する場合は、SIC の張りなおしも行ってください) Cluster オブジェクトの”Cluster Members”で、ha1 機を追加してください。 15 / 17 NKFW-00038-01 ② Cluster オブジェクトへのポリシーインストール 16 / 17 NKFW-00038-01 3-7. Master を ha2 機から ha1 機に切替 ① ha1 機の同期セグメントのインターフェースを接続し、同期の状況を確認 ステート同期の確認方法については、NGX 用のステート同期設定手順書で確認してくだ さい。 ② ha1 機のインターフェースをすべて接続し、ha1 機が Master となることを確認 Voyager もしくはコマンドラインで、ha1 機の VRRP Monitor を確認してください。 以上でアップグレードは完了となります。 17 / 17 NKFW-00038-01