Firmware Upgrade en HA

Para discusiones sobre temas técnicos (solución de problemas, configuraciones) cuyo tema no pertenezca especificamente a otros foros.
Responder
gardagantxo
Mensajes: 1
Registrado: 17 Nov 2020, 07:43

Firmware Upgrade en HA

Mensaje por gardagantxo »

Hola, Soy nuevo en el foro y he estado buscando alguna duda similar a la que os quiero plantear, pero no he encontrado nada.

Necesito actualizar la versión de firmware de un forti 90D en HA. Los saltos de upgrade los tengo claros (Siguiendo las recomendaciones de forti) , pero nunca he hecho el upgrade (siempre lo han hecho partners) y no se si implica corte en el servicio.

Configuración Actual en HA:
FW1: Master
FW2: Secondary

¿Alguien me puede decir si al hacer el upgrade en el master se reinician los 2 firewall?. O ¿Puedo hacer el upgrade y el HA se encarga de que no haya corte en el servicio?.
Entre salto y salto de upgrade me han aconsejado hacer backup de la configuración, para así tener la versión de firmware y su backup emparejados.
La versión desde la que parto es la 5.4.5 y quiero llegar a la 5.4.13, para luego dar el salto a 5.6 y lo que me deje (Por un tema de vulnerabilidades en el SSL-VPN).

Gracias de antemano.
Avatar de Usuario
makco10
Mensajes: 1345
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: Firmware Upgrade en HA

Mensaje por makco10 »

Hola,

Al mantener el HA activo no tendrás afectación en tus servicios pero si es importante que aun así lo realices en una ventana de mantenimiento.

Al realizar el upgrade primero se actualiza el master luego pasa al slave pero el cluster se mantendrá activo es decir, el secundario se empezará a actualizar hasta que el primario se haya actualizado y reiniciado.

Saludos.
Defend Your Enterprise Network With Fortigate Next Generation Firewall

NSE4
NSE5
AndresW
Mensajes: 450
Registrado: 09 Jun 2014, 17:05

Re: Firmware Upgrade en HA

Mensaje por AndresW »

makco10 escribió: 17 Nov 2020, 18:58 Hola,

Al realizar el upgrade primero se actualiza el master luego pasa al slave pero el cluster se mantendrá activo es decir, el secundario se empezará a actualizar hasta que el primario se haya actualizado y reiniciado.

Saludos.
Estimado Makco10, sólo para ser riguroso con la información. Al estar habilitada la feature "uninterruptible-upgrade" en un cluster, primero se actualiza la unidad subordinada o slave, tal como lo indica Fortinet en su documentación

[Debes identificarte para poder ver enlaces.]

Saludos,
Saludos!

_____________________________________________________________

Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
Flochy
Mensajes: 8
Registrado: 24 Feb 2022, 17:59

Re: Firmware Upgrade en HA

Mensaje por Flochy »

Buenas tardes tengo otra consulta relacionada sobre un tema parecido. a ver si me podéis ayudar.

Anoche cargué el Firmware V.7.0.5 y todo terminó perfectamente. pero me saltó que no sincronizaba el HA. otras veces me ha pasado y al rato-horas se vuelven a sincronizar perfectamente. pero esta vez no ha sucedido. este es el error que me sale:

CORE01 (global) # get sys ha status
Primary selected using:
HA Health Status: OK
Model: FortiGate-601E
Mode: HA A-P
Group: 1
Debug: 0
Cluster Uptime: 315 days 16:21:2
Cluster state change time: 2022-04-20 00:12:18
<2022/04/20 00:12:18> FG6H1ETB20903814 is selected as the primary because its uptime is larger than peer member FG6H1ETB20904227.
<2022/04/20 00:10:02> FG6H1ETB20903814 is selected as the primary because it's the only member in the cluster.
<2022/04/20 00:09:55> FG6H1ETB20903814 is selected as the primary because UPGRADE_SECONDARY flag is set on peer member FG6H1ETB20904227.
<2022/04/19 23:59:43> FG6H1ETB20904227 is selected as the primary because its uptime is larger than peer member FG6H1ETB20903814.
ses_pickup: enable, ses_pickup_delay=disable
override: disable
Configuration Status:
FG6H1ETB20903814(updated 2 seconds ago): in-sync
FG6H1ETB20904227(updated 2 seconds ago): out-of-sync
System Usage stats:
FG6H1ETB20903814(updated 2 seconds ago):
sessions=22971, average-cpu-user/nice/system/idle=1%/0%/1%/96%, memory=38%
FG6H1ETB20904227(updated 2 seconds ago):
sessions=1873, average-cpu-user/nice/system/idle=0%/0%/0%/100%, memory=26%
HBDEV stats:
FG6H1ETB20903814(updated 2 seconds ago):
ha: physical/1000auto, up, rx-bytes/packets/dropped/errors=36188568748/115327658/0/0, tx=687802277796/2153521267/0/0
FG6H1ETB20904227(updated 2 seconds ago):
ha: physical/1000auto, up, rx-bytes/packets/dropped/errors=687798818714/2153504269/0/0, tx=566538074/3314202/0/0
MONDEV stats:
FG6H1ETB20903814(updated 2 seconds ago):
WAN_VPN: aggregate/00, up, rx-bytes/packets/dropped/errors=22951707883/135686106/0/0, tx=195940687590/186244896/0/0
x2: physical/10000full, up, rx-bytes/packets/dropped/errors=184166471377/159578808/0/12, tx=11933538845/97239808/0/0
FG6H1ETB20904227(updated 2 seconds ago):
WAN_VPN: aggregate/00, up, rx-bytes/packets/dropped/errors=6641150/65902/0/0, tx=487232/3809/0/0
x2: physical/10000full, up, rx-bytes/packets/dropped/errors=1279087/4229/0/0, tx=460/6/0/0
Primary : CORE01 , FG6H1ETB20903814, HA cluster index = 1
Secondary : CORE02 , FG6H1ETB20904227, HA cluster index = 0
number of vcluster: 1
vcluster 1: work 169.254.0.2
Primary: FG6H1ETB20903814, HA operating index = 0
Secondary: FG6H1ETB20904227, HA operating index = 1


He intentado resincronizar de forma manual y nada, reviso el estado de los checksum y me aparecen totalmente diferentes en de todas las vdom. me he quedado sin ideas. Algun consejo??
Avatar de Usuario
makco10
Mensajes: 1345
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: Firmware Upgrade en HA

Mensaje por makco10 »

Te comparto un link para que realices validaciones iniciales : [Debes identificarte para poder ver enlaces.]

Si el problema persiste quizas tengas que crear un caso de soporte con el TAC de Fortinet.

Saludos.
Flochy escribió: 20 Abr 2022, 16:20 Buenas tardes tengo otra consulta relacionada sobre un tema parecido. a ver si me podéis ayudar.

Anoche cargué el Firmware V.7.0.5 y todo terminó perfectamente. pero me saltó que no sincronizaba el HA. otras veces me ha pasado y al rato-horas se vuelven a sincronizar perfectamente. pero esta vez no ha sucedido. este es el error que me sale:

CORE01 (global) # get sys ha status
Primary selected using:
HA Health Status: OK
Model: FortiGate-601E
Mode: HA A-P
Group: 1
Debug: 0
Cluster Uptime: 315 days 16:21:2
Cluster state change time: 2022-04-20 00:12:18
<2022/04/20 00:12:18> FG6H1ETB20903814 is selected as the primary because its uptime is larger than peer member FG6H1ETB20904227.
<2022/04/20 00:10:02> FG6H1ETB20903814 is selected as the primary because it's the only member in the cluster.
<2022/04/20 00:09:55> FG6H1ETB20903814 is selected as the primary because UPGRADE_SECONDARY flag is set on peer member FG6H1ETB20904227.
<2022/04/19 23:59:43> FG6H1ETB20904227 is selected as the primary because its uptime is larger than peer member FG6H1ETB20903814.
ses_pickup: enable, ses_pickup_delay=disable
override: disable
Configuration Status:
FG6H1ETB20903814(updated 2 seconds ago): in-sync
FG6H1ETB20904227(updated 2 seconds ago): out-of-sync
System Usage stats:
FG6H1ETB20903814(updated 2 seconds ago):
sessions=22971, average-cpu-user/nice/system/idle=1%/0%/1%/96%, memory=38%
FG6H1ETB20904227(updated 2 seconds ago):
sessions=1873, average-cpu-user/nice/system/idle=0%/0%/0%/100%, memory=26%
HBDEV stats:
FG6H1ETB20903814(updated 2 seconds ago):
ha: physical/1000auto, up, rx-bytes/packets/dropped/errors=36188568748/115327658/0/0, tx=687802277796/2153521267/0/0
FG6H1ETB20904227(updated 2 seconds ago):
ha: physical/1000auto, up, rx-bytes/packets/dropped/errors=687798818714/2153504269/0/0, tx=566538074/3314202/0/0
MONDEV stats:
FG6H1ETB20903814(updated 2 seconds ago):
WAN_VPN: aggregate/00, up, rx-bytes/packets/dropped/errors=22951707883/135686106/0/0, tx=195940687590/186244896/0/0
x2: physical/10000full, up, rx-bytes/packets/dropped/errors=184166471377/159578808/0/12, tx=11933538845/97239808/0/0
FG6H1ETB20904227(updated 2 seconds ago):
WAN_VPN: aggregate/00, up, rx-bytes/packets/dropped/errors=6641150/65902/0/0, tx=487232/3809/0/0
x2: physical/10000full, up, rx-bytes/packets/dropped/errors=1279087/4229/0/0, tx=460/6/0/0
Primary : CORE01 , FG6H1ETB20903814, HA cluster index = 1
Secondary : CORE02 , FG6H1ETB20904227, HA cluster index = 0
number of vcluster: 1
vcluster 1: work 169.254.0.2
Primary: FG6H1ETB20903814, HA operating index = 0
Secondary: FG6H1ETB20904227, HA operating index = 1


He intentado resincronizar de forma manual y nada, reviso el estado de los checksum y me aparecen totalmente diferentes en de todas las vdom. me he quedado sin ideas. Algun consejo??
Defend Your Enterprise Network With Fortigate Next Generation Firewall

NSE4
NSE5
Flochy
Mensajes: 8
Registrado: 24 Feb 2022, 17:59

Re: Firmware Upgrade en HA

Mensaje por Flochy »

Muchas gracias por la ayuda.
Responder