Buenas a todos,
Tengo dos forti 310B 3.00-b5515(MR7), en HA en producción. cual sería el mejor procedimiento de actualización a la ´ltima version del FortiOS. supongo que no es pasar directamente... mi idea es:
- Separo el HA.
- Actualizo Slave
- Actualizo Master
- Vuelvo a montar HA.
Otra duda que me surge es al desmontar el HA los dos no podrán estar activos debido a la duplicaciones de IPs, no? Como se haría eso? que problemas puedo tener?
Gracias a todos!
Pasos a seguir para actualizar forti 310B
Re: Pasos a seguir para actualizar forti 310B
Hola, en la teoria podees leer la gui de ha, dice que podes actualizar el ha, lo harias sobre el master y una vez que se actualiza el master y vuelve como master lo haces en el esclavo.
Si no tenes confianza en eso, podes agarrar primero el slave actualziarlo y luego tomas el master y lo actualizas.
lee el release note, lo idea es que lo lleves al mr2 patch6, pero revisa que pasos debes hacer para la actualizacion.
saludos
Si no tenes confianza en eso, podes agarrar primero el slave actualziarlo y luego tomas el master y lo actualizas.
lee el release note, lo idea es que lo lleves al mr2 patch6, pero revisa que pasos debes hacer para la actualizacion.
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Pasos a seguir para actualizar forti 310B
Sería pasar:
v3 MR7 Patch 5 ¿? (b5515) --> v3 MR7 Patch 9
v3 MR7 Patch 9 --> v4 MR1 Patch 6
v4 MR1 Patch 6 --> v4 MR2 Patch 6
Es así? como lo ves?
Según he entendido, puedo optar a actualizar con el HA montado, y teóricamente actualizaré el MASTER y automáticamente se actualiza el SLAVE... o puedo optar por romper el clúster y actualizar los dos a la misma versión (v4 MR2 Patch 2) y después montar el clúster de nuevo...
es así? como lo ves?
v3 MR7 Patch 5 ¿? (b5515) --> v3 MR7 Patch 9
v3 MR7 Patch 9 --> v4 MR1 Patch 6
v4 MR1 Patch 6 --> v4 MR2 Patch 6
Es así? como lo ves?
Según he entendido, puedo optar a actualizar con el HA montado, y teóricamente actualizaré el MASTER y automáticamente se actualiza el SLAVE... o puedo optar por romper el clúster y actualizar los dos a la misma versión (v4 MR2 Patch 2) y después montar el clúster de nuevo...
es así? como lo ves?
Última edición por LuisMLG el 10 May 2011, 20:35, editado 2 veces en total.
Re: Pasos a seguir para actualizar forti 310B
Hola, si me preguntas ami como lo haria? romperia el ha, agarro el esclavo lo formateo , le cargo el firmware 4.0 mr2 patch6 y configuro a mano todo, mirando y teniendo de referencia la config del master.
luego conecto este, y saco el master. Pruebo que funcione todo.
Hago backuop de la config de ex master, formateo le pongo el firmware mr2patch6 y cargo backup del ex eslave y armo el ha
saludos
luego conecto este, y saco el master. Pruebo que funcione todo.
Hago backuop de la config de ex master, formateo le pongo el firmware mr2patch6 y cargo backup del ex eslave y armo el ha
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Pasos a seguir para actualizar forti 310B
ME parece interesante, la verdad es que no me puedo permitir las 300 reglas, mas la configuracion VPN, mas los filtros.... es mucha tela.... ASí que en mi caso que tengo una configuración del FW tan densa, cómo lo harías?
Gracias!
Gracias!
Re: Pasos a seguir para actualizar forti 310B
Lo haria como te comente. Es mas seguro y confiable, que andar haciendo saltos entre firmware.
Lo que te cmabia en las politicas son los profiles, ya que hay varios por cada cosa (av,antipam,webfilter, application control) , entonces podes hacer editar las politicas haciendo un backup y borras los perfiles y por cli, las pegas sinm perfiles. Luego te queda por hacer los pefiles para cada politica.
Las vpn las podes copiar y pegar por cli.
saludos
Lo que te cmabia en las politicas son los profiles, ya que hay varios por cada cosa (av,antipam,webfilter, application control) , entonces podes hacer editar las politicas haciendo un backup y borras los perfiles y por cli, las pegas sinm perfiles. Luego te queda por hacer los pefiles para cada politica.
Las vpn las podes copiar y pegar por cli.
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
-
guybrush06
- Mensajes: 5
- Registrado: 30 Nov 2011, 10:38
Re: Pasos a seguir para actualizar forti 310B
Hola,
Aprovecho el hilo para exponer mi caso. Tengo:
2 Fortigate 310B en "cluster1" (version 3 MR7 Patch9)
2 Fortigate 310B en "cluster2" (versión 4 MR2 Patch4)
Fortianalyzer 800B que recolecta logs de cluster1 (versión 3 MR7 Patch7)
Dudas:
- ¿Mejoras de la versión 4 respecto a la 3?
- ¿ Funcionaría el Fortianalyzer en versión 3 con el cluster2?
- Para dejarlo todo en versión 4, qué pasos seguiríais?
El resultado ideal sería actualizar el cluster 1 y el Fortianalyzer a la misma versión que cluster2, y recolectar logs de ambos clústeres.
Estoy buscando documentación pero no encuentro algo concreto, si pudierais ayudarme os lo agradecería.
Muchas gracias, un saludo.
Aprovecho el hilo para exponer mi caso. Tengo:
2 Fortigate 310B en "cluster1" (version 3 MR7 Patch9)
2 Fortigate 310B en "cluster2" (versión 4 MR2 Patch4)
Fortianalyzer 800B que recolecta logs de cluster1 (versión 3 MR7 Patch7)
Dudas:
- ¿Mejoras de la versión 4 respecto a la 3?
- ¿ Funcionaría el Fortianalyzer en versión 3 con el cluster2?
- Para dejarlo todo en versión 4, qué pasos seguiríais?
El resultado ideal sería actualizar el cluster 1 y el Fortianalyzer a la misma versión que cluster2, y recolectar logs de ambos clústeres.
Estoy buscando documentación pero no encuentro algo concreto, si pudierais ayudarme os lo agradecería.
Muchas gracias, un saludo.
Re: Pasos a seguir para actualizar forti 310B
hola, si hay muchos cambiso importantes de 3.,0 a 4.0 (application control, dlp, etc) pero cmabian muchas cosas de config.
Por eso hay que tener cuidado a la hora de actualizar.
Yo lo que haria es levar todo a la versiones 4.0 mr2 ultimo patch (patch9)
Lo interesante si tenes cluster es que poder tomar el slave formatearlo y cargarle de cero el firmware (mr2 p9) e ir configurando de cero todo... copiando por hyperterminal direcciones, objetos, servicios, etc) y tambien podrias copiar y pegar politicas sin profiles (en 4.0 ya cambia eso) luego armas los perfiles 8av,as,webfiler,ips,dlp, ap, etc) y una vez que tenes todo, pones este como master y si funciona todo levantas el backupo nuevo en el otro y configurando el ha correctamente,
Lo mismo haria con el otro, auque es mas facil porque ya los tenes en mr2, solo seria upgredear al ptch9 y listo.
Lo mismo actualizar el analyzer...podrias hacerlo por web...
Siempre hagan backups, y lean el release note que hay en los firmware.
saludos
Por eso hay que tener cuidado a la hora de actualizar.
Yo lo que haria es levar todo a la versiones 4.0 mr2 ultimo patch (patch9)
Lo interesante si tenes cluster es que poder tomar el slave formatearlo y cargarle de cero el firmware (mr2 p9) e ir configurando de cero todo... copiando por hyperterminal direcciones, objetos, servicios, etc) y tambien podrias copiar y pegar politicas sin profiles (en 4.0 ya cambia eso) luego armas los perfiles 8av,as,webfiler,ips,dlp, ap, etc) y una vez que tenes todo, pones este como master y si funciona todo levantas el backupo nuevo en el otro y configurando el ha correctamente,
Lo mismo haria con el otro, auque es mas facil porque ya los tenes en mr2, solo seria upgredear al ptch9 y listo.
Lo mismo actualizar el analyzer...podrias hacerlo por web...
Siempre hagan backups, y lean el release note que hay en los firmware.
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
-
guybrush06
- Mensajes: 5
- Registrado: 30 Nov 2011, 10:38
Re: Pasos a seguir para actualizar forti 310B
Muchas gracias por tus consejos Gaby!
Un saludo
Un saludo