Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
VPN-1/FireWall-1アップグレード手順書
NGAI(R55)⇒NGX(R61)
VRRP構成
2007年 2月 株式会社アズジェント テクニカルサポートセンター
文書番号: NKFW-00038-01
2 / 17
NKFW-00038-01
目次
はじめに.................................................................................................................................3 1. 準備するもの .....................................................................................................................5 2. 構成図 ..............................................................................................................................6 3. アップグレード作業 ............................................................................................................7
3-1. Management Moduleのバージョンアップ、ライセンス投入.................................7 3-2. ha2機を NGXにアップグレード、ライセンス投入 .............................................. 11 3-3. ha2機にポリシーインストール ..........................................................................12 3-4. Masterを ha1機から ha2機に切替 ...............................................................14 3-5. ha1機を NGXにアップグレード、ライセンス投入 ..............................................14 3-6. ha1機にポリシーインストール ..........................................................................15 3-7. Masterを ha2機から ha1機に切替 ...............................................................17
本書で使用する製品名は各社の商標または登録商標です。 本文中では、®、©マークは省略しています。 Copyright © 2007 Asgent, Inc. All rights reserved. 本書は株式会社アズジェントが権利を有します。 本書に記載された事項は将来予告なしに変更することがあります。 本書の作成には細心の注意を払っておりますが、本書の内容に起因する直接的および間接的な
損害の一切につき、株式会社アズジェントは何ら責任を負わないものとします。
3 / 17
NKFW-00038-01
はじめに
対象読者 本文書は、Nokia IPシリーズ、Check Point VPN-1/FireWall-1のユーザを対象に書かれています。したがって読者が次の事項についての基本的な理解と実務知識を持つものと仮定します。 ・ TCP/IP ・ システム管理 ・ UNIXおよびWindows OSの基礎的なオペレーション 概要 この文書は、Nokia IPシリーズのルータ冗長化プロトコルVRRPとCheck Point NGXのステート同期機能を併用する構成で、NGAIからNGXにアップグレードする際の流れについて説明するものです。手順の詳細については、各手順書にてご確認ください。 対象バージョン アップグレード前: IPSO 3.7以降、Check Point NGAI(R54)以降 アップグレード後: IPSO 3.9以降、Check Point NGX (R60)以降 本文書のベース: アップグレード前: IPSO 3.8 Builld 055、Check Point NGAI(R55) アップグレード後: IPSO 4.1 Build 019、Check Point NGX (R61)
表記規則
AaBbCc123 画面表示を示します AaBbCc123 ユーザの入力を示します AaBbCc123 コメントを示します
注意事項
VRRP構成についての注意事項は、VRRP & Check Point NGXステート同期設定手順書にてご確認ください。
アップグレードについての注意事項は、VPN-1/FireWall-1 NGXへのアップグレード手順書にてご確認ください。
本書に記載の手順は、リスクを最小限に抑えることを考慮しておりますが、無停止を保障する
ものではありません。
4 / 17
NKFW-00038-01
本書に記載の手順は、本書指定の構成にて有効なものであり、異なる環境下では手順の異
なる場合があります。 作業途中で、サポート対象外の構成となる段階があります。作業開始後は速やかに最後まで
作業を行ってください。 修正パッチを当てる作業は、全てのバージョンアップ作業が完了してから行ってください。修
正パッチをインストールする場合は、全ての Enforcement Module に同一バージョンのパッチを適用してください。
5 / 17
NKFW-00038-01
1. 準備するもの
● NGX用ライセンス Management Module用ライセンス ×1 FireWall Module用ライセンス ×2 ● FW-1 NGXの CD-ROM ※ ライセンス及び CD-ROMがお手元にない場合は、弊社保守サポートWebよりお手続きください。
http://www.asgent.co.jp/Maintenance/CPFW1/informations/ngx_versionup.html ● FTPサーバー IPSOのインストール用(FTP インストールをする場合のみ) ● 参考資料 弊社保守サポートWeb より、該当するバージョンの手順書をご用意ください。 ・ IPSO & VPN-1 / FireWall-1 インストールガイド ・ VPN-1 / FireWall-1 NGXへのアップグレード手順書 Windows / Solaris用 ・ VRRP & VPN-1 / Firewall-1 NGX ステート同期設定手順書 ・ CheckPoint VPN-1 / FireWall-1 NGX リリースノート
6 / 17
NKFW-00038-01
2. 構成図
次のネットワーク構成をサンプルとして設定手順を説明します。 ホスト名 インターフェース IPアドレス
外部 192.168.200.1 内部 192.168.100.1
ha1
ステート同期 172.16.0.1 外部 192.168.200.2 内部 192.168.100.2
ha2
ステート同期 172.16.0.2 外部 192.168.200.3 仮想ルータ 内部 192.168.100.3
【OS情報】 ha1 : IPSO3.8 Build55 / FireWall-1 NGAI R55(Enforcement Module) ha2 : IPSO3.8 Build55 / FireWall-1 NGAI R55(Enforcement Module) asgent-rreg02fd : Windows2000Server / FireWall-1 NGAI R55(Management Module)
外部ネットワーク
Internet
内部ネットワーク
192.168.200.0/24
1 2
1 2
仮想ルータ ID:101
仮想 IP アドレス:
192.168.200.3
ha1 ha2
192.168.100.0/24
仮想ルータ ID:101
仮想 IP アドレス:
192.168.100.3
172.16.0.0/24
ステート同期専用リンク
1 2
Management Module (asgent-rreg02fd)
7 / 17
NKFW-00038-01
ha1、ha2 の両機はステート同期の設定が問題なく稼動しており、Management Module からそれぞれに対し正常なポリシーインストールが可能な状態であることとします。
3. アップグレード作業
【全体の流れ】 1. Management Moduleを NGXにアップグレード、ライセンス投入 2. ha2機を NGXにアップグレード、ライセンス投入 3. ha2機にポリシーインストール 4. Masterを ha1機から ha2機に切替 5. ha1機を NGXにアップグレード、ライセンス投入 6. ha1機にポリシーインストール 7. Masterを ha2機から ha1機に切替
3-1. Management Moduleのバージョンアップ、ライセンス投入
① Management Moduleのバックアップを保存 upgrade_exportツールを使用してバックアップを保存してください。 ※ 手順の詳細については、アップグレード手順書をご確認ください。
② Management Moduleを NGAI R55⇒NGX R61にアップグレード ※ 手順の詳細については、アップグレード手順書をご確認ください。 ※ Management Moduleのバージョンが FireWall Moduleのバージョンより上位の場合は、運用に影響はありません。
※ Management Moduleサーバーの再起動時に、ログの欠落が発生します。
8 / 17
NKFW-00038-01
CD-ROMで setup.exeを開き、画面の指示に従って進みます。 下記のオプション選択画面で”Upgrade”を選択し、次に進みます。
ライセンス投入についての画面が表示されますが、後の作業でライセンスを投入するため ここでは”Upgrade licemses during this installation process”にチェックをつけずに次 へ進みます。
9 / 17
NKFW-00038-01
その後は画面の指示に従って進んでください。 ※セットアップ完了後、サーバーを再起動してください。
③ Management Moduleへのライセンス投入 コマンドプロンプトより cpconfigコマンドでConfigrationToolを表示させ、NG用のライセ ンスを削除し、NGX用のライセンスを投入してください。
10 / 17
NKFW-00038-01
④ ポリシーインストール NGX用のSmartDashboardから、ルールが引き継がれていることを確認し、ポリシーイン ストールを行ってください。
【アップグレード前】
【アップグレード後】
11 / 17
NKFW-00038-01
【ポリシーインストールの完了を確認】
3-2. ha2機を NGXにアップグレード、ライセンス投入 ※ 手順の詳細については、インストールガイドをご確認ください。
① ha2機の、Management Module と Voyager に接続するインターフェース以外のインターフェースをすべて切断 (FTPサーバーを使用している場合、FTPサーバーに接続するインターフェースは接続)
② Voyagerから ha2機のバックアップを保存 ③ コマンドラインもしくは Voyagerから IPSO をアップグレード
④ コマンドラインもしくは Voyagerから FireWall-1 をアップグレード
⑤ NG用のライセンスを削除し、NGX用のライセンスを適用 ※ ライセンスの登録方法については、インストールガイドをご確認ください。
12 / 17
NKFW-00038-01
3-3. ha2機にポリシーインストール ※ 制限版ライセンスの場合、Cluster オブジェクトから Gateway オブジェクトを外した際に、サ
イト数の制限によりポリシーインストールが出来なくなる可能性があります。その際は、
Clusterオブジェクトから外したGatewayオブジェクトを削除し、ha1機のアップグレード後に
再度オブジェクトを作成しなおし、SIC を張りなおす必要があります。ha1 機ローカルのポリ
シーで動作しますので、オブジェクトを削除しても運用に問題はありませんが、ログ管理な
ど Management Module との通信が必要な動作は行えません。
① NGX用の SmartDashboardで Clusterオブジェクトから ha1機を除外 オブジェクトのリストから ha1機を選択して右クリックし、”Detach from Cluster”を選択し てください。
13 / 17
NKFW-00038-01
② Clusterオブジェクトにポリシーインストール Clusterオブジェクトのバージョンを”NGX R61”に変更してください。
ターゲットから ha1機を除外し、Clusterオブジェクトにのみポリシーインストールを行って ください。
14 / 17
NKFW-00038-01
3-4. Masterを ha1機から ha2機に切替 ① ha2機のインターフェースを接続
② ha1機の、Management Module接続以外のインターフェースを切断
③ ha2機がMaster となることを確認
Voyager もしくはコマンドラインで、ha2機の VRRP Monitorを確認してください。
3-5. ha1機を NGXにアップグレード、ライセンス投入 ※ ha2機と同様にアップグレード、ライセンス投入を行ってください。 ※ 手順の詳細については、インストール手順書をご確認ください。
15 / 17
NKFW-00038-01
3-6. ha1機にポリシーインストール ① NGX用の SmartDashboardで、Clusterオブジェクトに ha1機を追加
ha1機の Gatewayオブジェクトのバージョンを NGX R61に変更してください。 (オブジェクトを再作成する場合は、SICの張りなおしも行ってください)
Clusterオブジェクトの”Cluster Members”で、ha1機を追加してください。
16 / 17
NKFW-00038-01
② Clusterオブジェクトへのポリシーインストール
17 / 17
NKFW-00038-01
3-7. Masterを ha2機から ha1機に切替 ① ha1機の同期セグメントのインターフェースを接続し、同期の状況を確認 ステート同期の確認方法については、NGX用のステート同期設定手順書で確認してくだ さい。
② ha1機のインターフェースをすべて接続し、ha1機がMaster となることを確認
Voyager もしくはコマンドラインで、ha1機の VRRP Monitorを確認してください。
以上でアップグレードは完了となります。